r
Argumentlar (hoshiyalar nomi,
hoshiyalar ustid a
funksiyalar)
A
J
Argumentlar (manbalar, amallar, ifodalar predikatlari)
1.10-rasm. SQL-yo‘riqnomalari strukturasi.
Ikkinchi qismi argumentlar! ma’lumotlar manbaini (jadvallar
nomini, jadvallar ustidagi amallami), komandalar bajarilishi usul-
lari, shartlari va rejimlarini (taqqoslash predikatlarini, jadvallar
hoshiyalari mazmunlari bo‘yicha mantiqiy va matematik ifodalami)
belgilashlari mumkin boigan bitta yoki bir nechta gaplardan iborat.
SQL - yo‘riqnomalarining ro‘yxati SQL tilining qismlari bo‘yicha
ajratiladi.
DDL tili tarkibiga relyatsion jadvallami va ular orasidagi
bogianishlami yaratishda asosiy funksiyalar naborini ta’minlovchi
bir necha bazaviy yo‘riqnomalar kiradi:
CREA.TETABLE . . . — jadval tuzish;
CREATEINDEX . . . — indeks yaratish;
ALTERTABLE . . . - avval tuzilgan jadval strukturasin o‘zgar-
tirish;
DROP . . . - mavjud jadvalni va maiumotlar bazasini yo‘q qi-
lish.
CREATEABLE va ALTERTABLE yo‘riqnomalar struktura-
sida CONSTRAINT gapi (ma’lumotlar qiymatlariga cheklashlar
tashkil etish) NOT NULL (mos hoshiya bo‘yicha nullik qiymatlar
nojoiz), AYTOINC (qiymatlari inkremental xarakterli, ya’ni har bir
yangi yozuv bilan qiymatlar xarakterining ketina-ket o‘suvchi
hoshiya) v a PRIMARY KEY (noyob hoshiya uchun aniqlash)
ko‘rsatma!ari bilan muhim rolni o‘ynaydi.
DML tili tarkibiga ma’lumotlami kiritish, ishlash va chiqarish
bo‘yicha quyidagi bazaviy yo‘riqnomalar ham kiradi:
SELECT . . . - maiumotlar bazasidan maiumotlami tanlash;
INSERT . . . - maiumotlar bazasiga maiumotlami qo‘shish;
30
UPDATE . . . - ma’lumotlar bazasidagi maiumotlarai yangi-
lash;
DELETE . . . — ma’lumotlami chiqarib tashlash;
GRANT . . . — foydalanuvchiga imtiyozlami taqdim etish;
REVOKE . . . - foydalanuvchi imtiyozlarini bekor qilish;
COMMIT . . . - joriy tranzaksiyani qaydlash;
ROLLBACK . . . - joriy tranzaksiyani to‘xtatish.
SELECT yo‘riqnomasining bir turi - SELECT . . . INTO . . .
(bir yoki bir necha jadvaldan yozuvlar naborini tanlash va u
yordamida yangi jadvalni tuzish) va jadvallami birlashtirish amalini
bajaruvchi
dastlabki
SELECT
yo‘riqnomasiga
qo‘shimcha
(SELECT.. . UNION SELECT .. .) UNION SELECT yo‘riqnoma-
lari muhim ahamiyatga ega.
SQL — yo‘riqnomalarida CONSTRAINT gapidan tashqari
quyidagi gaplar ishlatiladi:
FROM . . . — SELECT yo‘riqnomalarida sanab o‘tilgan hoshi-
yalardagi jadvallami yoki so‘rovlami ko‘rsatadi;
WHERE . . . - FROM gapida sanab o‘tilgan jadvallardagi qay-
si yozuvlami SELECT, UPDATE yoki DELETE yo‘riqnomalari-
ning bajarilishi natijasiga qo‘shish lozimligini aniqlaydi;
GROUP BY . . . - hoshiyalar ro‘yxatida ko‘rsatilgan bir xil
qiymatli yozuvlami bitta yozuvga birlashtiradi;
HAVING . . . - SELECT yo‘riqnomasi GROUPBY gapi bilan
ishlatilganda
qanday
guruhlangan
yozuvlar akslantirilishini
aniqlaydi;
IN . . . - MBBT yadrosi aloqa bog‘lashi mumkin bo‘lgan ma’-
lumotlarning har qanday tashqi bazasidagi jadvallami aniqlaydi;
ORDERBY . . . - so‘rov natijasida olingan yozuvlami, ko‘rsa-
tilgan hoshiya yoki hoshiyalar qiymatlari asosida, o‘sish yoki
kamayish tartibida saralaydi.
FROM gapi bo‘yichajna’liimotlamuig manbai sifatida iadval-
lar va so‘rovlardan tashqari jadvallami uch xil ko‘rinishda bir
lashtirish natijalari ham ishlatilishi mumkin. Ushbu birlashtirishlar -
INNEP JOIN . . . ON . . . , LEFT JOIN . . . ON . . . va
RIGHT JOIN . . . ON . . . (mos holda, ichki bog‘lanish, chapga
yoki o‘ngga tashqi bog‘lanish).
31
Predikatlardan SQL - yo'riqnomalaridagi shartlar asosida tan-
lab olingan yozuvlami ishlatish usullarini va rejimlarini belgilash
uchun foydalaniladi. Bunday predikatlar quyidagilar:
ALL . . . - SQL - yo‘riqnomalari shartlariga mos barcha yo
zuvlami tanlab oladi;
DISTINCT . . . — tanlangan hoshiyalarda takrorlanuvchi qiy-
matlarga ega yozuvlami chiqarib tashlaydi;
DISTINCTROW . . . — butunlay takrorlanuvchi yozuvlarga a-
soslangan ma’lumotlami tushirib qoldiradi;
TOP .... - ORDER BY gapi yordamida tavsiflangan diapazon-
ning boshlanishidagi yoki oxiridagi yozuvlami qaytaradi.
SQL - yo‘riqnomalarida matematik iboralar qoidalari bo‘yicha
qurilgan va natijasi muayyan, jumladan mantiqiy qiymat bo‘lgan har
qanday operatorlar, konstantalar, matnli konstantalar qiymatlari,
fiinksiyalar, hoshiyalar nomi kombinatsiyalari ifoda hisoblanadi.
Foydalanuvchilarga imtiyozlami taqdim etuvchi yoki bekor
qiluvchi GRANT va REVOKE yo‘riqnomalari SQL tili yo‘riqno-
malarining asosini tashkil etadi.
GRANT yo‘riqnomasining strukturasi quyidagi ko‘rinishga
ega:
GRANT imtiyozlari ro‘yxati vergul orqali ON Obyekt Nomi
TO foydalanuvchilar ismlari vergul orqali
[WITH GRANT OPTION];
bu erda:
- obyekt (jadval) ustida ruxsat etilgan yo‘riqnomalar (amallar)
- SELECT, INSERT, UPDATE, DELETE - imtiyozlar ro‘yxatini
tashkil etadi;
- foydalanuvchilar ro‘yxati ulaming ismlari - identifikatorlari
orqali ifodalanishi yoki tizimda ro‘yxatga olingan, barcha foydala-
nuvchilami identifikatsiyalovchi tayanch so‘z PUBLIC bilan
almashtirilishi mumkin;
- WITH GRANT OPTION direktivasi sanab o‘tilgan foydala
nuvchilarga boshqa foydalanuvchilarga ro'yxatda ko‘rsatilgan im
tiyozlar - vakolatlami berish bo‘yicha qo‘shimcha alohida vako-
latlar ato etadi.
Aksariyat hollarda muayyan obyekt bo'yicha GRANT va
REVOKE komandalarini berish huquqiga avtomatik tarzda ushbu
32
obyektni yaratuvchilari ega bo‘ladilar. Boshqa yondashishlarda
ushbu huquqqa ishonchli subyektlar, ya’ni ma’murlar ega bo‘ladilar.
Bunday yondashish ochiq holda foydalanish matritsasini tuzishni
ko‘zda tutmasa-da, foydalanishni cheklashning diskresion prinsipi
foydalanishning ixtiyoriy va majburiy boshqarishni qo‘shib amalga
oshiriladi.
Aslida aksariyat MBBTda imtiyozlar va foydalanishni o‘ma-
tish, ma’lumotlar bazasi strukturasi kabi ma’lumotlar bazasining
tizimli jadvallarida, y a’ni foydalanish matritsasi sifatida ham qabul
qilish mumkin bo‘lgan ma’lumotlar bazasining tizimli katalogida
“qaydlanadi”.
Yuqorida aytib o‘tilganidek, diskresion prinsipi ma’lumotlar
bazasidan foydalanishni cheklash tizimini predmet sohasining
xususiyatlariga va foydalanuvchilar ehtiyojiga sozlash bo‘yicha
yuqori moslanuvchanlikka ega, ammo samarali boshqaruvchanlik
ta’minlanmaydi va tizimda qanday bo‘lsa ham aniq bir maqsadga
yo'naltirilgan xavfsizlik siyosatini o'tkazishni qiyinlashtiradi. Ush
bu kamchilikni bartaraf etishga ikkita yo‘l bilan, ya’ni “tasavvur
etish” texnikasini ishlatish va SQL tilini maxsus kengaytirish orqali
erishiladi. “Tasavvur etish” deganda ma’lumotlarni tanlashdagi glo
bal avtorizatsiyalangan so‘rov tushuniladiki, ushbu so‘rov foydala
nuvchilar uchun ma’lum obyekt (obyektJar) xususida “o‘zining” ta-
sawurini shakllantiradi. 0 ‘zining sxemasiga (obyektiga va ma’lu-
motlariga tanlangan yoki maxsus o‘zgartirilgan) qandaydir virtual
ma’lumotlar bazas ini shakllantiradi. Foydalanuvchining tizimga
kirishida uni identifikatsiyalash va autentifikatsiyalash jarayonida
xavfsizlik yadrosi foydalanuvchi uchun mos tasavvur-so‘rovlar qi-
dirib topadi va so‘rovni bajarish uchun MBBTning asosiy yadrosiga
uzatadi. So‘rovni bajarish natijasida foydalanuvchi faqat uning
vakolatiga va vazifalariga mos obyektlami “ko‘radi” va ulardan
foydalanadi.
__
Umuman, tasavvur etish texnikasi vositasida foydalanishni
cheklash tizimini yaratish, bevosita GRANT yo‘riqnomasidan foy-
dalanishga nisbatan oddiyroq usul hisoblanadi va quyidagi ikkita
bosqichda amalga oshiriladi:
33
- barcha ro‘yhatga olingan foydalanuvchilar uchun tizimda
CREATE VIEW koristruktsiyasi yordamida o‘zlarining ma’lumotlar
bazasi xususidagi tasavvurlari vujudga keltiriladi;
- vujudga keltirilgan tasawurlar “GRANT SELECT ON Ta-
sawur Ism i TO. Foydalanuvchi Ismi” yo‘riqnoma yordamida o‘zi-
ning foydalanuvchilari bilan avtorizatsiyalanadi.
Shu bilan birga, bunday yondashish ma’lumotlar bazasi ob-
yektlariga bevosita qoilanuvchi GRANT yo‘riqnomasiga nisbatan
qo‘polroq hisoblanadi, chunki obyektlardan foydalanish ko‘rsat-
malarining
alohida amallar (SELECT, INSERT, UPDATE,
DELETE) darajasida boiishligini ta’minlamaydi.
Shu sababli xavfsizlikning maxsus qoidalari (RULE) kiritilgan
hodisa-muolaja ideologiyasiga asoslangan SQL tilining maxsus ken-
gaytirishlari ishlatiladi:
CREA/TESECURITYRULE - Ism Qoidalar
GRANT- imtiyozlar ro‘yxati-vergul orqali ON - Obyekt Ismi
WHERE — shartlar
TO- Foydalanuvchilar Ismlari- vergul orqali.
Xavfsizlik qoidalarining kiritilishi turli xavfsizlik siyosatini
yuqori darajali nazoratlash va boshqaruvchanlik bilan amalga oshi-
rish imkoniyatini ta’minlaydi. Ammo, tasawur etish texnikasi va
GRANT y o ‘riqnomalaridan bevosita foydalanish mandatli cheklash
tizimini qurishga imkon bermaydi.
Ushbu masalani yechish uchun konfidensiallik belgisi kiritil
gan, maiumotlar bazasi obyektlarini yaratish imkoniyati bilan ken-
gaytirilgan SQL tili tavsiya etilishi mumkin. Ammo tijorat va xavf
sizlik jarayonlariga binoan sertifikatsiyalangan MBBTida bunday
misollar judakam uchraydi.
Maiumotlar bazasi xavfsizligi bo‘yicha ta’kidlash lozimki,
zamonaviy TvlBBTda SQL tilining mos konstruktsiyasini avtomatik
tarzda shakllantiruvchi va aksariyat hollarda bevosita dasturlashsiz
foydalanish ko‘rsatmalarini, qoidalarini va cheklashlami amalga
oshirish uchun maxsus dialog — ko‘rgazmali interfeys ishlab chiqi-
ladi va ishlatiladi.
34
1.3.3. Obyektlardan takroran foydalanish xavfsizligini
ta’minlash texnologiyalari
Umuman, kompyuter tizimi, xususan, asosiy va tashqi (diskli)
xotira, ko‘p marta takroran ishlatiluvchi obyektlarga klassik misol
hisoblanadi. Obyektlardan takroran foydalanish xavfsizligini ta’min-
lovchi tëxnologiyalar niyati buzuqni qiziqtiruvchi axborotning
oldingi faoliyat izi bo‘yicha yoki texnologik “chiqindi”dan tasodifiy
yoki atayin chiqarib olinishi tahdidini bartaraf etishga yo‘naltirilgan.
Ushbu texnologiyaning bir qismi operatsion tizimi sathida
amalga oshirilsa, boshqa qismi MBBTning avtomatlashtirilgan ax-
borot tizimida amalga oshiriluvchi o‘ziga xos funksiyalar hisob
lanadi.
Bu tëxnologiyalar shartli ravishda quyidagi uchta guruhga
ajratiladi:
- jarayonlami yakkalash (izolyatsiyalash);
- jarayon tugaganidan so‘ng xotirani tozalash;
- axborot sirqib chiqadigan bilvosita kanallami to‘sish.
Jarayonlami yakkalash ko'pchilik foydalanuvchi (ko‘p prot-
sessorli) tizimlar ishonchliligini ta’minlovchi standart prinsip va
usul hisoblanadi. Unga binoan har bir jarayonga o‘zining boshqalar
(avvalo asosiy xotira makonlari) bilan kesishmaydigan hisoblash
resurslari ajratiladi. MBBTda ushbu masalalar tranzaksiya monitori
yordamida yechiladi.
Jarayon tugagach xotirani tozalash, vakolatli foydalanuvchi-
laming konfidensial maiumotlar bilan ishlash jarayoni tugaganidan
so‘ng konfidensial axborotni ruxsatsiz foydalanishdan bevosita
bartaraf etishga yo‘naltirilgan. Ushbu funksiya jarayonlami yakka
lash kabi, ko‘pincha operatsion tizim yordamida bajariladi. Ta’-
kidlash lozimki, nafaqat jarayon bajarilishi vaqtida konfidensial
ma’lumotlar joylashgan asosiy xotiraning qismi, balki virtual-xotira
tizimida ishlatiluvchi diskli xotira qismi ham tozalanishi lozim.
Yuqorida aytilganidek, foydalanishni cheklash tizimi amalga
oshirilganida axborot sirqib chiqadigan bilvosita kanallar boiishi
mumkin. Undan tashqari ma’lumotlami ishlash jarayonlarining
xarakteristikalari bilan bogiiq qator texnologik jihatlar axborot
sirqib chiqadigan bilvosita kanallar manbai bo‘lishi mumkin. Bu
35
nuqtayi nazaridan “vaqtli” va “xotira bo‘yicha” bilvosita kanallar
farqlanadi.
Birinchi holda vakolatsiz foydalanuvchi konfidensial axborot-
ning ba’zi elementlariga vakolatli foydalanuvchi tomonidan alohida
jarayonlami bajarilishi vaqtini tahlillash asosida ega boiadi
(masalan, shubhasiz oddiy yoki qandaydir namunaviy amal uchun
haqiqatga to‘g‘ri kelmaydigan katta vaqt bo‘yicha).
Ikkinchi holda ba’zi obyektlaming (fayllaming, jadvallaming)
egallagan hajmi “shubha” tug‘diradi, ya’ni foydalanuvchiga ko‘ra
ular tarkibining hajmi aslidagi hajmiga shubhasiz mos kelmaydi.
Boshqacha aytganda, maiumotlami ishlovchi barcha amallar
foydalanuvchi “tasawuriga” mos ma’lumotlar hajmi ustidagina
bajarilishi lozim.
Axborot xavfsizligi nuqtayi nazaridan, jiddiy holatlardan yana
bin, eng qat’iy variant - ruxsat etilgan muolajalar texnologiyasi
ishlatiladi. Bunda tizimdan foydanuvchilarga maiumotlar bazasi
bilan ishlashga faqat ruxsat etilgan muolajalami ishga tushirish
orqali ruxsat beriladi. Ushbu yondashish ham yuqorida ko‘rilgan
saqlanuvchi (stored) muolajalar texnologiyasiga asoslangan. Har bir
foydalanuvchi uchun, uning vakolatlari va fixnksiyalariga binoan,
tizim ma’muri tomonidan ma’lumotlami ishlash muolajalari nabori
shakllantiriladi. Xavfsizlikni ta’minlash uchun faylda saqlanuvchi
muolajalar shifrlanadi.
Foydalanuvchi tizimga kirishida identifikatsiya va autentifi-
katsiyadan o‘tganidan so‘ng unga MBBT yadrosi tomonidan muola-
jalaming ruxsat etilgan nabori taqdim etiladi. Foydalanuvchi ma’-
lumotlaming o‘zidan bevosita foydalana olmaydi va faqat ulami
mos muolajalar bo‘yicha ishlanishi natijalari bilan ishlaydi.
Kompyuter tizimi maiumotlari strukturasi buzg4unchiga ma’-
lum bo‘lishi mumkin boigan ma’lumotlar fayllarida joylashtiriladi.
Shu sababli, maiumotlar fayllaridan, kompyuter tizimi MBBT
dasturiy ta’minotidan tashqarida operatsion tizim yoki diskli mu-
harrir vositalari orqali ruxsatsiz foydalanish imkoniyati kompyuter
tizimi maiumotlari xavfsizligiga yana bir tahdid hisoblanadi. Ushbu
tahdidni betaraflashtirish uchun kriptografik himoya usullari va
vositalaridan foydalaniladi. Aksariyat hollarda himoyaning kripto
grafik vositalari bevosita MBBT dasturiy ta’minotiga o‘matiladi.
36
Ma’Iumotlar bazasining fayli (fayllari) diskli xotira qurilmalarida
joylashtirilganida shifrlanadi. Mos holda, fayl ochilganida krip-
tografik qismtizim uni deshifrlaydi. MBBTning o‘ziga mos xusu-
siyati - asosiy xotira sahifalarini maxsus buferlashni tashkil etish
orqali ma’lumotlar bazasi fayllari bilan ishlashning alohida tartibi.
Rivojlangan MBBTlarda ma’lumotlar bazasi obyektlarini ular-
ning konfidensiallik darajasiga asosan tan lab, shifrlash imkoniyati
mavjud (yozuvlaming alohida hoshiyalarigacha).
1.3.4. Ishonchli loyihalash va ma’murlash texnologiyalari
Axborot xavfsizligiga tahdidlaming bir qismi kompyuter tizim-
lari hayotiy siklining bosqichlarida bilmasdan (yoki atayin) qilingan
xatoliklar natijasida paydo boiadi. Bularga quyidagilar taalluqli:
MBBT dasturiy ta’minotini ishlab chiqishda; MBBT bazasida mu-
ayyan kompyuter tizimini loyihalashda va yaratishda, xususan, foy-
dalanishni cheklash tizimini loyihalashda; tizimni ma’murlashda,
xususan, shtatdan tashqari vaziyatlarda foydalanuvchilar xarakatiga
munosabat bildirishda; yanglishishdan so‘ng rezervlash, arxivlash
va axborotni tiklash bo'yicha texnologik amallarda; kompyuter tizi
mini ekspluatatsiyadan chiqarishda. Ushbu tahdidlami betaraflash-
tirish yoki ehtimolliklarini pasaytirish maqsadida ishonchli loyiha
lash va ma’murlash texnologiyalarining umumiy guruhiga birlash-
tiriluvchi qator tashkil iy-texnologik va texnik vositalar, yechimlar
ishlatiladi. Bularni shartli ravishda quyidagi qismguruhlarga ajratish
mumkin:
- dasturiy ta’minotni ishonchli ishlab chiqish texnologiyasi;
- kompyuter tizimlarini ishonchli loyihalash va yaratish texno
logiyasi;
- kompyuter tizimlarini ma’murlashning texnik vositalari va
maxsus asboblari;
- xavfsizlikjarayonlarining bayonnomasini tuzish va auditi.
Dasturiy ta’minotni ishonchli ishlab chiqish texnologiyasi
tizim yadrosi va konsepsiyasida (ma’lumotlami ifodalash qismtizimi
va maiumotlardan foydalanish qismtizimi) ma’lumotlar xavfsiz-
ligining u yoki bu modelini va texnologiyalarini awaldan hisobga
olishga asoslangan dasturiy kodni ishlab chiqishda xatoliklami ka-
37
maytiruvchi umumiy yondashishlami va qator o‘ziga xos jihatlami
o‘z ichiga oladi. Kompyuter tizimi xavfsizligi tizimida aniqlangan
zaifliklaming tahlili ko‘rsatadiki, raxnalaming mavjudligi va niyati
buzuqlar tomonidan topilish ehtimolligi himoya tizimi dastlabki
himoyalanmagan tizimni yadrosi va interfeysi ustida ustqurma yoki
tashqi qobiq ko‘rinishida amalga oshirilganida jiddiy katta bo‘ladi.
MBBT dasturiy ta’minoti asosida muayyan avtomatlashtirilgan
axborot tizimini ishonchli loyihalash va yaratish texnologiyasi tizim
infrastrukturasida va foydalanishni cheklash qismtizimida mantiqiy
xatoliklami bartaraf etishga yo‘naltirilgan. Bunda struktura-funk-
sional yondashish asosiy hisoblanadi va kengtarqalgan.
Foydalanuvchilaming (subyektlaming) va axborot tizimi
obyektlarining (ma’lumotlar bazasining) katta sonida foydalanishni
cheklash sxemasi juda murakkab va chigal bo‘lishi mumkin. Bu esa
ma’murlash uchun qiyinchiliklar tug‘ilishiga sabab bo‘ladi va
mantiqiy xatoliklarga asos tug'diradi. Ushbu tahdidni bartaraf etish
uchun struktura-funksional yondashish doirasida ishchi guruh
texnikasi ishlatiladi.
Ishchi guruh ma’lumotlar bazasiga qandaydir umumiy daxl-
dorlikga (o‘xshash amallami bajaruvchi) va umumiy ma’lumotlarga
nisbatan konfidensiallikning yaqin parametrlariga ega foydala-
nuvchilami birlashtiradi.
Tizim ma’muri ishchi guruhiarini ma’lum identifikatsiyali va
vakolatlar naboriga ega kollektiv foydalanuvchilar sifatida tuzishi
mumkin. Har bir foydalanuvchi qandaydir ishchi guruhning a’zosi
bo'lishi shart. Ishchi guruhga belgilangan vakolatlar avtomatik
tarzda barcha foydalanuvchilarga - guruh a’zolariga tarqatiladi. Bu
foydalanishni cheklashning zonal-fimksional prinsipining ba’zi
elementlarining ifodasi hisoblanadi. Qo‘shimcha ravishda har bir
foydalanuvchining shaxsiy hisob yozuvida vakolatlari aniqlanishi
mumkin.
Aksariyat hollarda bunday yondashish tizimdan foydalanuvchi
subyektlar sonini jiddiy kamaytirishga, foydalanishni cheklash
sxemasini oddiyroq, “shaffof’ va boshqariluvchan bo‘lishiga imkon
berad:. Natijada muayyan foydalanuvchining muayyan obyektdan
foydalanishga noto‘g‘ri ruxsat berish, vakolatlarini oshirish, ortiq-
38
cha huquqlarini taqdim etish va h. kabi xatoliklar ehtimolligi ka-
mayadi.
Ishchi guruh texnologiyalarida maiumotlar bazasidagi jara-
yonlar foydalanuvchi belgisi va ishchi guruh belgisi bilan ta’min-
lanadi va mos holda MBBT xavfsizligi yadrosi ikkala belgining
haqiqiyligini tekshiradi.
Ishchi guruh texnologiyalari asosida foydalanish tizimini loyi-
halash “yuqoridan” (deduktiv) va “pastdan” (induktiv) amalga oshi-
rilishi mumkin.
Deduktiv usulga binoan awal foydalanuvchilaming (subyekt-
laming) funksional strukturasini va tashkiliy ierarxiyasini tahlillash
asosida ishchi guruhlar shakllantiriladi va foydalanishning guruhli
vazifalari belgilanadi. So‘ngra har bir foydalanuvchi tizimda ro‘y-
xatga olinganida, uning vazifalariga muvofiq bir yoki bir necha
guruh tarkibiga kiritiladi. Oxirida har bir foydalanuvchi uchun uning
funksional vakolat ehtiyojlari xarakteristikalarining xususiyatlari
tahlil etiladi va zaruriyat tug‘ilganida foydalanishning alohida qo‘-
shimcha vazifasi amalga oshiriladi. Bunda guruhlami shakllantirish,
foydalanishni guruhli va alohida o‘matish tizim ma’muri tomonidan
amalga oshiriladi. Bu foydalanishni boshqarishning majburiy usu-
liga mos keladi.
Bunday yondashish foydalanishning xatolik bilan taqdim eti-
lish ehimolligini pasaytirishga imkon beradi va foydalanish tizi-
mining qat’iy markazlashgan boshqarilishini ta’minlaydi. Ammo,
o4z navbatida, bunday yondashish subyektlaming obyektlardan foy
dalanishning guruhli va alohida vakolatlarining takrorlanishiga (tak-
rorlanish muammosi) hamda subyektning bitta obyektning o‘zidan
turli guruhlarda qatnashish orqali foydalanishning ortiqchaligiga
(guruhlarning kesishishi muammosi yoki, umumiy ma’noda, guruh
lami optimallash muammosi) sabab bo‘lishi mumkin.
Induktiv usulida ishchi guruhlami loyihalash dastlab subyekt
laming (foydalanuvchilaming) obyektlardan foydalanishning alohi
da vazifalarining taqdimi amalga oshiriladi. Vazifalami taqdim etish
foydalanuvchilaming funksional ehtiyojlarini va vakolat xarakte-
ristikalarini so‘rov va tahlillash asosida bajariladi va tizim ma’muri
tomonidan (foydalanishini boshqarishning majburiy usuli) yoki
obyekt egalarini foydalanish subyektlari tomonidan alohida so‘roq-
39
lash (foydalanishni boshqarishning ixtiyoriy prinsipi) orqali amalga
oshirilishi mumkin. So‘ngra tizim ma’muri tomonidan turli subyekt-
lardan foydalanishning umumiy yoki o‘xshash dasturlari tahlil etilib,
uning asosida subyektlar ishchi guruhlarga birlashtiriladi. Ajratilgan
foydalanishning umumiy dasturlari foydalanish vazifalarining gu-
ruhli taqdimoti sifatida ishlatiladi. Subyektlar va obyektlaming katta
sonida foydalanishning o‘xshashligini tahlil etish oson masala emas.
Ushbu masalani tizim ma’muri ko‘pincha evristik hal etadi.
Tizimni ma’murlash va kuzatish jarayonida ishonchlilikni va
xavsizlikni oshirishning qo‘shimcha tashkiliy usuli umumiy ma’-
murlashni va xavfsizlikni ma’murlashni bir-biridan ajratish hisob-
lanadi. Umumiy ma’mur tizimning axborot infrastrukturasini quradi,
madadlaydi va boshqaradi. Axborot infrastrukturasi tarkibiga axbo-
rot-mantiqiy sxema, obyektlar (resurslar va qurilmalar) konfiden-
sialligini kategoriyalash, interfeys va dialog elementlari, shakllar,
so‘rovlar kutubxonasi, lug‘at-tasnif baza, maiumotlami rezervlash
va arxivlash kiradi. Xavfsizlik ma’muri foydalanishni cheklash
tizimini tashkil etadi va boshqaradi. Ushbu tizim tarkibiga foydala-
nuvchilaming vakolat xarakteristikalari (dopusklar), foydalanish
ning muayyan vazifalari, foydalanuvchilaming foydalanish belgi-
larini shakllantirish va qaydlash kiradi.
Foydalanuvchilaming hisob yozuvi massividan faqat xavfsizlik
ma’muri foydalana oladi. Bitta shaxs tomonidan bir vaqtning o‘zida
asosiy ma’murlash va xavfsizlikni ma’murlash vazifalarini bajari-
lishiga y o i qo‘yilmaydi. Bu esa tizim ishonchliiigini oshiradi.
Xavfsizlik hodisalarining bayonnomasini tuzish va auditi xavf
sizlik holati va jarayonlarining boshqariluvchanligini ta’minlashda
muhim vosita hisoblanib, axborot xavfsizligini buzish omillarini
tekshirish, sabablarini tahlillash va bartaraf etish, ular yetkazadigan
salbiy oqibatlami va zararlami pasaytirish uchun sharoitlar yaratadi.
Tizimda xavfsizlik nuqtayi nazaridan barcha jiddiy hodisalar
hujjatlanishi shart:
- foydalanuvchilaming kirishi/chiqishi;
- yangi foydalanuvchilami ro‘yxatga olish, foydalanish imti-
yozlarini va vazifalarini (hisob yozuvlari massiviga barcha
murojaatlami) almashtirish;
40
- fayllar ustidagi barcha amallar (yaratish, yo‘qotish, nomini
o‘zgartirish, nusxalash, ochish, bekitish);
- masofadagi tizimga murojaat, masofadagi tizimdan murojaat.
Bunda har bir bunday hodisaga quyidagi qaydlanuvchi mini
mal kerakli parametrlar ro‘yxati o'matiladi:
- hodisa kuni va vaqti;
- foydalanuvchi - boshlab beruvchi identifikatori;
- hodisa turi;
- so‘rov manbai (taqsimlangan tizim uchun terminalning,
ishchi stansiyaning tarmoqdagi nomi va h.);
- tilga olingan obyektlar nomi;
- tizimdagi hisoblarga kiritilgan o‘zgartirishlar, xususan, hisob
yozuvi massivlariga kiritilgan o‘zgartirishlar;
- subyektlaming va obyektlaming foydalanish belgilari.
Bunday yondashish MBBTda jumallashtirish texnologiyasidan
foydalanuvchi hodisa - muolaja texnologiyasiga mos keladi. Bunda
hodisalar jumalidan faqat xavfsizlik ma’muri foydalanadi va u
xavfsizlikning buzilishi faktlari yoki alomatlari aniqlanganida
hodisalar jarayonini tiklash, tizim xavfsizligining buzilishi sabab-
larini va manbalarini tahlillash va bartaraf etish imkoniyatiga ega.
Shu nuqtayi nazaridan, xavfsizlikning hodisalar jumali xavf
sizlik auditining kerakli vositasi hisoblanadi. Xavfsizlik auditining
maqsadi xavfsizlik muammolari yoki buzilishlarini o‘z vaqtida
aniqlash va xavfsizlik ma’muriga xabar berish uchun tizimdagi ho-
disalami nazoratlash va kuzatishdan iborat. Kompyuter tizimlaridan
foydalanish, turli muolajalar, amallar, axborot oqimlari jarayonlari
ko‘p jihatli, qat’iy determinatsiyalanmagan, ya’ni qisman yoki to‘la
stoxastik bo‘lganligi sababli, axborot xavfsizligining buzilishi fakt-
larini va alomatlarini aniqlashning avtomatlashtirilgan muolajalarini
ishlab chiqish juda muraldkab va noaniq masala hisoblanadi. Shu
sababli, hozirda qator evristik va neyrotarmoq texnologiyalari ishlab
chiqilmoqda. Ular ba’zi hollarda muvaffaqqiyatli ravishda xavf
sizlik ma’murining dasturiy vositasida ishlatilib, tizim xavfsiz-
ligining avtomatlashtirilgan auditini ta’minlamoqda.
Oddiy holda o‘zgarishlami jumallashtirish deganda maiumot-
lar bazasidagi barcha o‘zgarishlami ketma-ket tashqi xotiraga
yozish tushuniladi. Quyidagi axborot yozil^di:
41
- o‘zgarishlaming tartib raqamlari, turi va vaqti;
- tranzaksiya identifikatori;
- o‘zgarishga chalingan obyekt (saqlanuvchi fayl tartib raqami
va undagi ma’lumotlar blokining tartib raqami, blok ichidagi qator
tartib raqami);
- obyektning oldingi va yangi holati.
Shu tariqa shakllangan axborot ma’lumotlar bazas in ing o'zga-
rish jurnali deb ataladi. Jurnal tarkibida tranzaksiyaning boshlanishi
va nihoyasining belgilari va nazorat nuqtasining olinish belgisi
boiadi.
Ajratilgan yozuvli MBBT da tashqi xotira ma’lumotlari bloki
ushbu blok ustida bajarilgan oxirgi o‘zgartirishning tartib raqami
belgisi bilan ta’minlanadi. Tizim adashganda ushbu belgi ma’lu-
motlar blokining qaysi versiyasi tashqi xotiraga kirishga ulgir-
ganligini bilishga imkon beradi.
Ajratilgan yozuvli MBBT vaqti-vaqti bilan nazorat nuqtalarini
bajaradi. Ushbu jarayon bajarilishi vaqtida barcha yozilmagan
ma’lumotlar tashqi xotiraga o‘tkaziladi, jumalga esa nazorat
nuqtasining olinishi xususida belgi yoziladi. Undan keyin jumaldagi
nazorat nuqtasigacha yozilgan yozuvlar yo‘qotilishi mumkin.
0 ‘zgarishlar jurnali bevosita tashqi xotiraga yozilmasligi,
ammo asosiy xotirada to‘planishi mumkin. Tranzaksiyaning tasdig’i
holida MBBT jumalning aolgan qismini tashqi xotiraga yozilishini
kutadi. Shu tariqa tasdiq signalidan keyin kiritilgan barcha ma’lu-
motlaming, diskli keshdan barcha o‘zgargan bloklami ko‘chiri-
lishini kutmasdan turib, tashqi xotiraga o‘tkazilishi kafolatlanadi.
MBBT jumalning qolgan qismini nazorat nuqtasini ishlashida ham
kutadi.
Bitta tranzaksiyaning mantiqiy rad etilishi yoki ortga qaytish
signali holida jumal teskari tarafga skanerlanadi va bekor qilingan
tranzaksiyaning barcha yozuvlari, jumaldan tranzaksiya boshlanishi
belgisigacha chiqariladi. Chiqarilgan axborotga mos holda tran
zaksiya harakatini bekor qiluvchi harakat bajariladi, jumalga esa
kompensatsiyalovchi yozuv yoziladi. Ushbu jarayon “Ortga qay
tish” (rollback) deb ataladi.
Fizik rad etilganida, na jumal, na maiumotlar bazasi shikast-
lanmagan bo‘lsa, progonka (boshdan-oyoq ko‘rikdan o‘tkazish -
4?
rollforward) jarayoni bajariladi. Jumal oldingi nazorat nuqtasidan
boshlab to‘g‘ri yo‘nalishga skanerlanadi. Barcha yozuvlar jumaldan
oxirigacha chiqariladi. Jumaldan chiqarilgan axborot tashqi xotira-
ning ma’Iumotlar blokiga kiritiladi. Agar progonka jarayonida yana
yanglishish paydo bo‘lsa, jumalni skanerlash yana boshidan bosh-
lanadi, ammo tiklash uzilish nuqtasidan davom ettiriladi.
MBBTning barqarorligini oshirish uchun o‘zgarish jumalining
bir necha bir xil nusxasini bir vaqtda yozish mumkin. Jumal nus-
xalarining biridan foydalanish mumkin boimasa, MBBT foyda-
lanish mumkin boigan nusxalarining ixtiyoriy biridan foydalanib,
maiumotlami tiklaydi. Bunday strategiya o‘zgarish jumalini
multiplekslash deb ataladi.
Nazorat savollari
1. Ma’Iumotlar bazasi xavfsizligini ta’minlashda qanday das-
turiy-texnologik masalalar yechiladi?
2. Identifikatsiya/autentifikatsiyaning himoyalangan tizimdagi
o ‘mi.
3. Identifikatsiya/autentifikatsiyaning qanday vositalarini bila-
siz?
4. Ma’lumotlar bazasini boshqarish tizimlarida asosan auten-
tifikatsiyaning qanday turi ishlatiladi?
5. Parolli autentifikatsiya tizimining asosiy kamchiliklari.
6. Ma’Iumotlar bazasini boshqarish tizimining asosiy va qo‘-
shimcha vazifalari nimadan iborat?
7. Ilk MBBTlarda foydalanuvchilaming ma’Iumotlar bazasi
tili orqali o‘zaro aloqasini tushuntiring.
8. SQL-yo‘riqnomaIari strukturasini tushuntiring.
9. “Tasavvur etish” deganda nima tushuniladi?
10. Obyektlardan takroran foydalanish xavfsizligini ta’minlash
texnologiyalari.
11. Ishonchli loyihalash va ma’murlash texnologiyalari.
12. Jumallashtirish texnologiyasini tushuntiring.
13. 0 ‘zgarish jumallariga qanday axborot yoziladi?
14. 0 ‘zgarish jumalini multiplekslash nima?
43
2-bob. MA’LUMOTLAR BAZASIDAN FOYDALANISHNI
CHEKLASH MODELLARIVA USULLARI
2.1. Ma’lumotlar bazasi xavfsizligi modellari
Axborot xavfsizligining asosiy yo‘nalishlaridan biri, foydala-
nishni cheklash modellari deb ham ataluvchi, axborot xavfsizligi
ning formal modelini yaratish hisoblanadi. Axborot xavfsizligining
modeii deganda xavfsizlik siyosatining formal tavsifi tushuniladi.
Xavfsizlik siyosati deganda axborotni ishlash jarayonini qat’iy bel-
gilovchi umumiy tartib va qoidalar majmui tushuniladiki, ulaming
bajarilishi ma’lum tahdidlar to‘plamidan himoyalanishni ta’min-
laydi.
Xavfsizlik modellari himoyalangan kompyuter tizimlarini
yaratish va tadqiqlash jarayonlarida muhim rolni o'ynaydi, chunki
ular quyidagi o‘ta muhim masalalami yechishni qamrab oluvchi
sisteraotexnik yondashishni ta’minlaydi:
- axborotni himoyalash vositalari va usullarini amalga oshirish
mexanizmlarini belgilovchi himoyalangan kompyuter tizimlari
arxitekturasining bazaviy prinsiplarini tanlash va asoslash;
- xavfsizlik siyosatiga (talablar, shartlar, mezonlar) rioya
qilinishning rasmiy isboti yo‘li bilan ishlab chiqariluvchi tizim
xususiyatlarini (himoyalanganligini) tasdiqlash;
- ishlab chiqariluvchi himoyalangan kompyuter tizimining
muhim tarkibiy qismi hisoblanuvchi xavfsizlik siyosatining formal
tafsilotli ro‘yxatini tuzish.
Mohiyatan, xavfsizlik modellari “ Buyurtmachi (Iste’molchi) -
Ishlab chiqaruvchi (Mutaxassis) - Ekspert (Auditor)” uchlikdagi
dastlabki bogiovchi element hisoblanadi. Buyurtmachilar xavfsizlik
modellari asosida o‘zlarining tashkilotlari va korxonalarida qabul
qilingan xavfsizlik siyosatiga, axborotni ishlashning texnologik
jarayonlariga mos keluvchi himoyalangan kompyuter tizimlariga
talabiami ifodalashlari mumkin. Ishlab chiqaruvchilar xavfsizlik
44
modellari asosida ishlab chiqariluvchi tizimlar bo‘yicha texriik-
texnologik talablami va dasturiy-texnik yechimlami shakllantira-
ailar. Ekspertlar xavfsizlik modellariga asoslanib, muayyan tizimlar
himoyalanganligini baholash usulini va tafsilotli ro‘yxatini yarata-
dilar, axborotni himoyalash talablari bo‘yicha ishlab chiqarilgan
tizimni sertifikatsiyalashni amalga oshiradilar.
Dostları ilə paylaş: |