Foydalanishni boshqarish
Avtorizasiya ruxsatlarni nazoratlashning autentifikasiyadan o’tgan foydalanuvchilar uchun harakatlarni cheklash bilan shug’ullanuvchi qismi bo’lib, aksariyat hollarda foydalanishni boshqarish modellari yordamida amalga oshiriladi. Ushbu ma’ruzada ma’lumotlarga nisbatan foydalanishni mantiqiy boshqarish tartibi bilan tanishib chiqiladi.
Foydalanishni boshqarish subyektni obyektga ishlash qobilyatini aniqlashdir. Umumiy holda foydalanishni boshqarish quyidagi diagramma bilan tavsiflanadi (11.1-rasm):
Hozirda tizimlarda obyektlarni boshqarish uchun turlicha usullar mavjud bo’lib, ularga quyidigalarni misol keltirish mumkin:
diskresion foydalanishni boshqarish usuli (Discretionary access control, DAC);
mandatli foydalanishni boshqarish usuli (Mandatory access control, MAC);
rolga asoslangan foydalanishni boshqarish usuli (Role-based access control, RBAC);
attributlarga asoslangan foydalanishni boshqarish usuli (Attribute-based access control, ABAC).
Tizimda ushbu foydalanish usullari bir-biridan alohida-alohida foydalanilishi talab etilmaydi va ularning kombinasiyasidan ham foydalanish mumkin (11.2-rasm).
DAC usuli
Foydalanishni boshqarishning mazkur usuli tizimdagi shaxsiy obyektlarni himoyalash uchun qo’llaniladi. Bunga ko’ra obyekt egasining o’zi undan foydalanish huquqini va kirish turini o’zi belgilaydi.
DAC da subyektlar tomonidan obyektlarni boshqarish subyektlarning identifikasiya axborotiga va asoslanadi. Masalan, UNIX operasion tizimida fayllarni himoyalashda, fayl egasi qolganlarga o’qish (r), yozish (w) va bajarish (x) amallaridan bir yoki bir nechtasini berishi mumkin. Umumiy holda DAC usuli aksariyat operasion tizimlarda foydalanishlarni boshqarish uchun foydalaniladi. Masalan, quyidagi 11.3-rasmda DAC usulini Windows NT/2k/XP OTlarida foydalanish holati keltirilgan.
Biroq, DAC jiddiy kamchilikka ega. Bu holat ma’lumotlar undan foydalanish huquqiga ega bo’lmagan subyektlar tomonidan foydalanilmasligini to’liq kafolatlamaganidir. Bu holat ma’lumotni o’qish huquqiga ega bo’lgan bir foydalanuvchini ma’lumotni egasining ruxsatisiz huquqga ega bo’lmagan foydalanuvchiga yuborish imkoniyati mavjudligida namayon bo’ladi. Bundan tashqari, DACga tegishli yana bir kamchilik sifatida tizimdagi barcha obyektlar ulardan foydalanishni belgilaydigan suyektlarga tegishli. Amalda esa, tizimdagi barcha ma’lumotlar shaxslarga tegishli emas, balki butun tizimga tegishli bo’ladi. Bularga yaqqol misol sifatida axborot tizimini keltirish mumkin.
DACning klassik tizimi dastlab obyekt hech kimga biriktirilmagan holatda “yopiq” deb ataladi. Agar obyekt foydalanuvchiga biriktirilsa va ulardan foydalanish bo’yicha cheklovlar o’rnatilgan bo’lsa unda “ochiq” obyekt deb ataladi.
Dostları ilə paylaş: |