Texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent
Yüklə 5,01 Kb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Foydalanishni boshqarish sxemasi
- Windows XP da DACdan foydalanish
|
97 4.2. Ma’lumotlardan foydalanishni mantiqiy boshqarish Foydalanishni boshqarish. Avtorizatsiya foydalanishlarni nazoratlashning autentifikatsiyadan o‘tgan foydalanuvchilar harakatlarini cheklash qismi bo‘lib, aksariyat hollarda foydalanishni boshqarish modellari yordamida amalga oshiriladi. Foydalanishni boshqarish subyektning obyektga yo‘naltirilgan faollik manbai imkoniyatini aniqlashdir. Umumiy holda foydalanishni boshqarish quyidagi sxema orqali tavsiflanadi (4.3-rasm): Subyekt Obyekt Ruxsat Natija 4.3-rasm. Foydalanishni boshqarish sxemasi Hozirda tizimlarda obyektlardan foydalanishni boshqarishning quyidagi usullari keng tarqalgan: - foydalanishni diskretsion boshqarish usuli (Discretionary access control, DAC); - foydalanishni mandatli boshqarish usuli (Mandatory access control, MAC); - foydalanishni rollarga asoslangan boshqarish usuli (Role-based access control, RBAC); - foydalanishni atributlarga asoslangan boshqarish usuli (Attribute-based access control, ABAC). Tizimda ushbu usullarning bir-biridan alohida-alohida foydalanilishi talab etilmaydi, ya’ni ularning kombinatsiyasidan ham foydalanish mumkin. Foydalanishni boshqarishning DAC usuli. Foydalanishni boshqarishning mazkur usuli tizimdagi shaxsiy aktivlarni himoyalash uchun qo‘llaniladi. Bunga ko‘ra obyekt egasining o‘zi undan foydalanish huquqi va foydalanish turini belgilaydi. DAC da subyektlar tomonidan obyektlarni boshqarish subyektlarning identifikatsiya axborotiga asoslanadi. Masalan, UNIX operatsion tizimda fayllarni himoyalashda, fayl egasi qolganlarga o‘qish (read, r), yozish (write, w) va bajarish (execute, x) amallaridan bir yoki bir nechtasini berishi mumkin. Umumiy holda DAC usuli aksariyat 98 operatsion tizimlarda foydalanishlarni boshqarishda ishlatiladi. Masalan, 4.4-rasmda DAC usulini Windows NT/2k/XP OTlarida foydalanish holati keltirilgan. 4.4-rasm. Windows XP da DACdan foydalanish Biroq, DACning jiddiy xavfsizlik muammosi - ma’lumotlardan foydalanish huquqiga ega bo‘lmagan subyektlar tomonidan foydalanilmasligi to‘liq kafolatlanmaganligi. Bu holat ma’lumotlardan foydalanish huquqiga ega bo‘lgan biror bir foydalanuvchining ma’lumot egasining ruxsatisiz foydalanish huquqiga ega bo‘lmagan foydalanuvchilarga yuborish imkoniyati mavjudligida namoyon bo‘ladi. Bundan tashqari, DACning yana bir kamchiligi tizimdagi barcha obyektlar ulardan foydalanishni belgilaydigan suyektlarga tegishli ekanligi. Amalda esa, tizimdagi barcha ma’lumotlar shaxslarga tegishli bo‘lmay, balki butun tizimga tegishli bo‘ladi. Bularga yaqqol misol sifatida axborot tizimini keltirish mumkin. DACning klassik tizimida, dastlab obyekt hech kimga biriktirilmagan bo‘lsa, “yopiq” obyekt deb ataladi. Agar obyekt foydalanuvchiga biriktirilgan va ulardan foydalanish bo‘yicha cheklovlar o‘rnatilgan bo‘lsa, “ochiq” obyekt deb ataladi. Foydalanishni boshqarishning MAC usuli. MAC usuli bo‘yicha foydalanishni boshqarish xavfsizlik siyosati ma’muriga markazlashgan 99 holda boshqarishni amalga oshirish imkoniyatini beradi. Bunda foydalanuvchi xavfsizlik siyosatini o‘zgartira olmaydi. DAC usulida esa obyektning egasi xavfsizlik siyosatini quradi va kimga foydalanish uchun ruxsat berilishini belgilaydi. Foydalanishni boshqarishning MAC usuli xavfsizlik siyosati ma’muriga tashkilot bo‘ylab xavfsizlik siyosatini amalga oshirish imkoniyatini beradi. MAC usulida foydalanuvchilar tasodifan yoki atayin ushbu siyosatni bekor qila olmaydilar. Bu esa xavfsizlik ma’muriga barcha foydalanuvchilar uchun bajarilishi kafolatlangan markazlashgan siyosatni belgilashga imkon beradi. MAC usulida foydalanishni boshqarish subyektlar va obyektlarni tasniflashga asoslanadi. Tizimning har bir subyekti va obyekti bir nechta xavfsizlik darajasiga ega bo‘ladi. Obyektning xavfsizlik darajasi tashkilotda obyektning muhimlik darajasi bilan yoki yo‘qolgan taqdirda keltiradigan zarar miqdori bilan xarakterlanadi. Subyektning xavfsizlik darajasi esa unga ishonish darajasi bilan belgilanadi. Oddiy holda xavfsizlik darajasi uchun: “ mutlaqo maxfiy” (MM), “maxfiy” (M), “konfidensial” (K) va “ ochiq” (O) belgilar tayinlanadi. Bu yerda, MM>M>K>O. MAC asosida axborot maxfiyligini ta’minlash. Agar obyekt va subyektning xavfsizlik darajalari orasidagi bir qancha bog‘liqlik shartlari bajarilsa, u holda subyekt obyektdan foydalanish huquqiga ega bo‘ladi. Xususan, quyidagi shartlar bajarilish kerak (4.5-rasm): - agar subyektning xavfsizlik darajasida obyektning xavfsizlik darajasi mavjud bo‘lsa, o‘qish uchun ruxsat beriladi; - agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasida mavjud bo‘lsa, yozishga ruxsat beriladi. Ushbu modelda foydalanuvchi va subyekt tushunchalari bir – biridan farqlanadi. Xususan, xavfsizlik darajasi subyektga berilsa, foydalanuvchi esa u yoki bu vaqtda subyekt nomidan ish qilishi mumkin bo‘ladi. Shuning uchun, turli hollarda bir foydalanuvchi turli subyekt nomidan ish ko‘rishi mumkin bo‘ladi. Biroq, biror aniq vaqtda foydalanuvchi faqat bitta subyekt nomidan ish qilishi muhim hisoblanadi. Bu axborotni yuqori sathdan quyi sathga uzatilmasligini ta’minlaydi. |