RBAC usulida foydalanishni boshqarishning asosiy g’oyasi tizimning ishlash prinsipini tashkilotda kadrlar vazifasini haqiqiy ajratilishiga maksimal darajada yaqinlashtirishdir.
RBAC usuli foydalanuvchini axborotga ruxsatini boshqarish uning tizimdagi harakat xiliga asoslanadi. Ushbu usuldan foydalanish tizimdagi rollarni aniqlashni nazarda tutadi. Rol tushunchasini muayyan faoliyat turi bilan bog’liq harakatlar va majburiyatlar to’plami sifatida qarish mumkin. Shunday qilib, har bir obyekt uchun har bir foydalanuvchini foydalanish ruxsatini belgilash o’rniga, rol uchun obyektlardan foydalanish ruxsatini ko’rsatish yetarli. Bunda, foydalanuvchilar o’z navbatida o’zlarining rollarini ko’rsatishadi. Biror rolni bajaruvchi foydalanuvchi rol uchun belgilangan foydalanish huquqiga ega bo’ladi.
Umuman olganda, foydalanuvchi turli vaziyatlarda turli rollarni bajarishi mumkin. Xuddi shu rolni ba’zida bir nechta foydalanuvchilar bir vaqtning o’zidan ishlatishlari mumkin. Ba’zi tizimlarda foydalanuvchiga bir vaqtning o’zida bir
nechta rollarni bajarishga ruxsat berilsa, boshqalarida har qanday vaqtda bir-biriga zid bo’lmagan bir yoki bir nechta rollarga cheklov mavjud bo’lishi mumkin.
RBAC usulining asosiy afzalliklari quyidagilar:
Ma’murlashning osonligi. Foydalanishlarni boshqarishning klassik modellarida obyekt bo’yicha muayan amallarni bajarish huquqlari har bir foydalanuvchi yoki foydalanuvchilar guruhi uchun ro’yxatga olingan bo’ladi. Rolli modelda rol va foydalanuvchi tushunchalarini ajratish vazifani ikki qismga ajratish imkonini beradi: foydalanuvchi rolini aniqlash va rol uchun obyektga bo’lgan ruxsatni aniqlash. Ushbu yondashuv boshqaruv jarayonini foydalanuvchini javobgarlik sohasini o’zgartirganda undan eski rolni olib tashlash va yangi vazifasiga mos kelidagan rolni berishning o’zi kifoya qilgani bois sezilarli darajada soddalashtiradi. Agar foydalanish huquqi bevosita foydalanuvchi va obyektlar o’rtasida aniqlansa, mazkur muolaja yangi foydalanuvchi huquqlarini qayta tayinlashi uchun ko’p harakatlarni talab qiladi.
Rollar iyerarxiyasi. Rollarning haqiqiy iyerarxiyasini yaratish orqali real biznes jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin. Har bir rol o’z imtiyozlari bilan bir qatorda boshqa rollarning imtiyozlariga ega bo’lishi mumkin. Ushbu yondashuv tizimni boshqarishni sezilarli darajada osonlashtiradi.
Eng kam imtiyoz prinsipi. Rolli model foydalanuvchiga tizimda kerakli vazifalarni bajarishga imkon beruvchi eng kichik rol bilan ro’yxatdan o’tish imkonini beradi. Ko’plab rollarga ega foydalanuvchilar aniq bir vazifani bajarishi uchun o’zining barcha imtiyozlaridan foydalanishi har doim ham talab etilmaydi.
Eng kam imtiyoz prinsipi tizimdagi ma’lumotlarning ishonchligini ta’minlash uchun juda muhimdir. Bu foydalanuvchiga imkoniyatlari orasidan faqat muayan vazifani bajarishi uchun kerak bo’lganini berilishini talab etadi. Buning uchun rol maqsadini aniqlash, uni bajarish uchun zarur bo’lgan imtiyozlarni to’plash va bu asosida foydalanuvchi imtiyozlarini cheklash talab etiladi. Joriy vazifani bajarish uchun talab qilinmaydigan foydalanuvchi imtiyozlarini rad etish tizimning xavfsizlik siyosatini buzilishidan saqlaydi.
Majburiyatlarniajratish.Tizimda foydalanishlarni boshqarishning yana bir muhim prinsiplaridan biri bu – vazifalarni taqsimlashdir. Firibgarlikni oldini olish uchun bir shaxs tomonidan ko’plab vazifalarni bajarish talab etilmaydigan holatlar amalda yetarlicha mavjud. Bunga misol sifatida bir kishi tomonidan to’lov ma’lumotini yaratish va uni tasdiqlashni olish mumkin. Shubhasiz, bu amallarni bir shaxs bajara olmaydi. Rollarga asoslangan usul esa ushbu muammoni maksimal darajada osonlik bilan hal qilishga yordam beradi.
Rasmiy ko’rinishda RBAC usulini quyidagicha tasvirlash mumkin (49-rasm):
Rollar ierarxiyasi
rasm.RBACmodeli
Model quyidagi mazmunga ega: foydalanuvchilar, rollar va imtiyozlar. Foydalanuvchi sifatida inson yoki uning nomidan ish ko’ruvchi dastur bo’lishi mumkin. Rol foydalanuvchini tashkilotda faoliyat turi bo’lsa, imtiyoz esa tizimning bir yoki bir nechta obyektlaridan foydalanish uchun aniqlangan ruxsat.
Diagrammadagi “rollarni foydalanuvchilarga tayinlash” va “imtiyozlarni tayinlash” munosabati ko’pga-ko’p turga tegishli. Ya’ni, foydalanuvchi bir nechta
rollarga ega bo’lishi va bir nechta foydalanuvchi bir rolda bo’lishi mumkin. Shunga o’xshash, bir qancha imtiyozlar bitta ro’lga tegishli yoki bir nechta rollar bitta imtiyozga ega bo’lishi mumkin. Shuningdek, ushbu modelda xususiy buyurtma qilingan to’plam – rollar iyerarxiyasi mavjud. FoydalanishniboshqarishningABACusuli Atributlarga asoslangan foydalanishlarni boshqarish usuli (ABAC) - obyektlar va subyektlarning atributlari, ular bilan mumkin bo’lgan amallar va so’rovlarga mos keladigan muhit uchun qoidalarni tahlil qilish asosida foydalanishlarni boshqaradi. Undagi qoidada har qanday turdagi attributlardan (foydalanuvchi atributlari, resurs atributlari, obyekt va muhit atributlari va hak.) foydalanish mumkin. Ushbu model so’rovni, resursni va harakatni kim bajarayotgani to’g’risidagi holatlar “AGAR, U HOLDA” dan tashkil topgan qoidalarga asoslanadi. Masalan, AGAR talabgor boshqaruvchi bo’lsa, U HOLDA maxfiy ma’lumotni o’qish/ yozish huquqi berilsin.
Atributga asoslangan siyosat normativ talablar murakkabligini kamaytirish orqali foydalanishni boshqarishni yanada samarali amalga oshiradi. Xuddi shu atributlarga asoslangan siyosat turli tizimlarda ishlatilishi bir tashkilotda yoki hamkorlikdagi tashkilotlarda resurslardan foydalanishda muvofiqlikni boshqarishga yordam berishi mumkin. Bunday markazlashgan foydalanishni boshqarish yagona vakolatli manbani o’z ichiga olgani bois, har bir aniq tizim talablariga o’z siyosati bilan moslikni tekshirishni talab etmaydi.
Atributlarga asoslangan foydalanishni boshqarishdagi asosiy standartlardan biri bu - XACML (eXtensibleAccessControlMarkupLanguage) bo’lib, 2001 yilda OASIS (OrganizationfortheAdvancementofStructuredInformationStandards)
tomonidan ishlab chiqilgan.
XACML standartida asosiy tushunchalar sifatida: qoida (rules), siyosat (policy), qoida va siyosatni mujassamlashtirgan algoritmlar (rule-combing algorithms), atributlar (attributes) (subyekt, obyekt, harakat va muhit shartlari), majburiyatlar (obligations) va maslahatlar (advices). Qoida markaziy element bo’lib, o’zida maqsad, ta’sir, shart, majburiyat va maslahatlarni o’z ichiga oladi. Maqsad – bu subyekt obyekt ustida nima harakatlarni amalga oshirishidir (o’qish, yozish, o’chirish va hak.). Ta’sir mantiqiy ifodalarga asoslangan bo’ladi va tizim foydalanish uchun ruxsat, taqiq, mumkin emas, aniqlanmagan holatlaridan biriga teng bo’lgan ruxsatni berishi mumkin. Mumkin emas buyrug’i mantiqiy shart noto’g’ri bo’lganda qaytarilsa, ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun aniqlanmagan ta’sirini ko’rsatadi. Quyida ABAC usuliga misol keltirilgan.
Tibbiy yozuvini ko’rish sanasini (muhit.vaqt) ro’yxatga
olish jurnalida ko’rsatish.
Foydalanishni boshqarishning mazkur usulidan Cisco Enterprise Policy Manager mahsulotlarida, Amazon Web Service, OpenStack kabilarda foydalanib kelinmoqda.