İNFORMASİYA TƏHLÜKƏSİZLİYİ ________________________ 341 ____________________________
model təhlükəsizliyin çoxsəviyyəli modeli adlandırılır. Model
məxfiliyin saxlanması üçün yararlıdır.
ƏLÇATANLIĞIN SEÇMƏKLƏ MƏHDUDLAŞDIRILMASI Əlçatanlığın seçməklə məhdudlaşdırılması sistemi qanuna
uyğun olaraq aşağıdakı kimi formalaşdırılır:
Əməliyyat sistemi obyektinin sahibi vardır;
Obyektin sahibi digər subyektlərin ixtiyarı olaraq daxil
olmasını məhdudlaşdırır;
Hər üçlük üçün (subyekt-obyekt-üsul) əlçatanlığın
müəyyən edilməsi eynidir;
Heç olmasa bir imtiyazlı (üstün) istifadəçi (administrator)
vardır ki, o istənilən üsulla istənilən obyekta müraciət
etmə imkanına malikdir.
İmtiyazlı
istifadəçi
obyektə
əlçatanlığın
məhdudlaşdırılmasına əhəmiyyət verməyə bilməz. Məsələn,
Windows NT əməliyyat sistemində administrator kanar obyektə
(başqa subyektə məxsus olan obyektə) müraciət etmək üçün
əvvəlcə bu obyektin sahibi olduğunu elan etməlidir
(administratorun
istənilən
obyektə
sahiblik
çıxma
üstünlüyündən istifadə etməsi ilə), sonra özünə lazım olan
üstünlüklərdən istifadə etməklə həmin obyektə müraciət edə
bilər. Həyata keçirilən sonuncu tələb potensial daxil olmaq
imkanından məhrum olan obyektlərə aid deyildir.
Obyektlərə daxil olma imkanı olan subyektlər əlçatanlığın
seçməklə məhdudlaşdırılmasından istifadə etməklə yeni
anlayışdan - əlçatanlıq matrisi və təhlükəsizlik domeni
anlayışından istifadə edir. Əlçatanlıq matrisinin sətirlərində
əlçatanlığın subyektləri, sütunlarında - əlçatanlığın obyektləri,
İNFORMASİYA TƏHLÜKƏSİZLİYİ ________________________ 342 ____________________________
hücrələrində isə - əməliyyatlar sadalanır. Bu sadalananları
subyekt obyekt üzərində yerinə yetirə bilər.
Təhlükəsizlik domeni (protection domain) əməliyyat
sisteminin hər bir obyekti üzərində yerinə yetirilə bilən
obyektlər toplumunu və əməliyyatların növünü müəyyən edir.
Əməliyyat sistemində işləyən konkret obyektlər arasında
əlaqə aşağıdakı şəkildə təşkil edilmişdir:
Hər bir istifadəçi domen ola bilər. Belə olan halda
əlçatanlıq təmin olunan obyektlər toplusu istifadəçinin
identifikasiyasından asılıdır;
Hər bir proses domen ola bilər. Belə olan halda
əlçatanlıq
obyektlərinin
toplusunu
prosesin
identifikasiyası müəyyən edir;
Hər bir prosedura domen ola bilər. Belə ola halda
əlçatan obyektlər toplusu prosedurun daxilində müəyyən
edilən lokal dəyişənlərlə müəyyən edilir. Qeyd etmək
lazımdır ki, prosedurun yerinə yetirilməsi domenin
dəyişməsinə səbəb olur.
Əlçatanlığın seçməklə məhdudlaşdırılmasının üsyünlüyü
cevikliyidir (uyuşanlığıdır). Çatışmazlığı mərkəzləşdirilmiş
nəzarətin mürəkkəb olması və idarəetmənin səpələnməsidir.
Əlçatanlığın seçməklə məhdudlaşdırılmasında müdafiənin
altsistemi tərəfindən əməliyyat sisteminin müdafiə olunmasının
təşkili bəzi hallarda kifayətedici olmur. Məsələn, ABŞ-da dövlət
əhəmiyyətli informasiyanın (əgər informasiya əlçatanlığın
seçməklə məhdudlaşdırılmasını dəstəkləyirsə) kompüter
sistemlərində saxlanılması qadağan olunmuşdur.
Əlçatanlığın
seçməklə
məhdudlaşdırılmasının
genişləndirilmiş modeli izolə edilmiş (qapanmış) proqram
mühiti sayılır.