Foydalanishni boshqarishning DAC usuli
Foydalanishni boshqarishning mazkur usuli tizimdagi shaxsiy aktivlarni himoyalash uchun qo’llaniladi. Bunga ko’ra obyekt egasining o’zi undan foydalanish huquqi va foydalanish turini belgilaydi.
DAC da subyektlar tomonidan obyektlarni boshqarish subyektlarning identifikasiya axborotiga asoslanadi. Masalan, UNIX operasion tizimida fayllarni himoyalashda, fayl egasi qolganlarga o’qish (read, r), yozish (write, w) va bajarish (execute, x) amallaridan bir yoki bir nechtasini berishi mumkin. Umumiy holda DAC usuli aksariyat operasion tizimlarda foydalanishlarni boshqarish uchun foydalaniladi. Masalan, quyidagi 46-rasmda DAC usulini Windows NT/2k/XP OTlarida foydalanish holati keltirilgan.
46-rasm. Windows XP da DACdan foydalanish
Biroq, DACning jiddiy xavfsizlik muammosi bu - ma’lumotlardan foydalanish huquqiga ega bo’lmagan subyektlar tomonidan foydalanilmasligi to’liq kafolatlanmaganidir. Bu holat ma’lumotdan foydalanish huquqiga ega bo’lgan biror bir foydalanuvchini ma’lumot egasining ruxsatisiz foydalanish huquqiga ega bo’lmagan foydalanuvchilarga yuborish imkoniyati mavjudligida namayon bo’ladi. Bundan tashqari, DACga tegishli yana bir kamchilik sifatida tizimdagi barcha obyektlar ulardan foydalanishni belgilaydigan suyektlarga tegishli. Amalda esa, tizimdagi barcha ma’lumotlar shaxslarga tegishli bo’lmay, balki butun tizimga tegishli bo’ladi. Bularga yaqqol misol sifatida axborot tizimini keltirish mumkin.
DACning klassik tizimi dastlab obyekt hyech kimga biriktirilmagan holatda “yopiq” deb ataladi. Agar obyekt foydalanuvchiga biriktirilsa va ulardan foydalanish bo’yicha cheklovlar o’rnatilgan bo’lsa, unda “ochiq” obyekt deb ataladi.
Foydalanishni boshqarishning MAC usuli
Foydalanishning mazkur usulida foydalanish ruxsati obyektning egasi tomonidan berilmaydi. Masalan, Alisa TOP SECRET ruxsatnomasiga ega bo’lgan subyektlarga ushbu bosqichdagi hujjatlarni to’liq nazorat qilish imkoniyati bo’lmaganligi sababli ruxsat bera olmaydi. MAC usuli bilan foydalanishni boshqarish xavfsizlik markazlashgan holatda xavfsizlik siyosati ma’muri tomonidan amalga oshirish imkoniyatini beradi. Bunda foydalanuvchi xavfsizlik siyosatini o’zgartira olmaydi. DAC usulida esa obyektning egasi xavfsizlik siyosatini quradi va kimga foydalanish uchun ruxsat berilishini belgilaydi.
Foydalanishni boshqarishning MAS usuli o’rnatilgan tizimlar xavfsizlik siyosati ma’muriga tashkilot bo’ylab xavfsizlik siyosatini amalga oshirish imkoniyatini beradi. MAS usulida foydalanuvchilar tasodifan yoki qasddan ushbu siyosatni bekor qila olmaydilar. Bu esa xavfsizlik ma’muriga barcha foydalanuvchilar uchun bajarilishi kafolatlangan markazlashgan siyosatni belgilashga imkon beradi.
MAC usulida foydalanishni boshqarish subyektlar va obyektlarni klassifikasiyalashga asoslanadi. Tizimning har bir subyekti va obyekti bir nechta xavfsizlik darajasiga ega bo’ladi. Obyektning xavfsizlik darajasi tashkilotda obyektning muhimlik darajasi bilan yoki yo’qolgan taqdirda keltiradigan zarar miqdori bilan xarakterlanadi. Subyektning xavfsizlik darajasi esa unga ishonish darajasi bilan belgilanadi. Oddiy holda xavfsizlik darajasini: O’TA MAXFIY (O’M), MAXFIY (M), KONFIDENSIAL (K) va OChIQ (O) shaklida yoki: O’M>M>K>O.
MAS asosida axborot maxfiyligini ta’minlash. Agar obyekt va subyekning xavfsizlik darajalari orasidagi bir qancha bog’liqlik shartlari bajarilsa, u holda subyekt obyektdan foydalanish huquqiga ega bo’ladi. Xususan, quyidagi shartlar bajarilish kerak (47-rasm):
agar subyektning xavfsizlik darajasida obyektning xavfsizlik darajasi mavjud bo’lsa, u holda o’qish uchun ruxsat beriladi;
agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasida bo’lsa, u holda yozishga ruxsat beriladi.
Ushbu modelda foydalanuvchi va subyekt tushunchalari bir – biridan farq qiladi. Xususan, xavfsizlik darajasi subyektga berilsa, foydalanuvchi esa u yoki bu vaqtda subyekt nomidan ish qilishi mumkin bo’ladi. Shuning uchun, turli holatlarda bir foydalanuvchi turli subyekt nomidan ish ko’rishi mumkin bo’ladi. Biroq, biror aniq vaqtda foydalanuvchi faqat bitta subyekt nomidan ish qilishi muhim hisoblanadi. Bu axborotni yuqori sathdan quyi sathga uzatilmasligini ta’minlaydi.
Yuqorida keltirilgan modelni muvofiqligini shubha ostiga qo’yyadigan ikkita noaniq fikr mavjud:
Quyi sathli foydalanuvchi barcha yuqori sathli obyektlarga yozishi mumkin. Bu holda u o’zining mavjud obyektini ham qayta yozishi mumkin va bu o’chirishga teng bo’ladi. Ushbu kamchilikni yuqori darajadagi yozishni taqiqlash orqali bartaraf etish mumkin. Ushbu sxema uchun qoidalar quyidagicha bo’ladi:
agar subyektning xavfsizlik darajasi o’zida obyektning xavfsizlik darajasini qamragan bo’lsa, u holda o’qish uchun ruxsat beriladi;
agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasiga teng bo’lsa, u holda yozishga ruxsat beriladi.
Diagrammadan ko’rinib turgani kabi yuqori darajali ishonchga ega foydalanuvchilar xavfsizlik darajasi past bo’lgan obyektlarni o’zgartira olmaydi. Ushbu muammoni bartaraf etishda foydalanuvchi turli hujjatlardan foydalanish uchun turli darajadagi ishonchga ega bo’lgan subyektlar nomidan ish ko’rishi mumkin. Ya’ni, “M” darajasiga ega foydalanuvchi “M”, “K” va “O” ishonch darajasidagi subyektlar nomidan ish ko’rishi mumkin.
Axborot ishonchligini ta’minlash. Axborot konfidensiyalligini ta’minlashdan tashqari, ba’zida axborot ishonchligini ta’minlash ham talab etiladi. Ya’ni, obyektning ishonchlik darajasi qanchalik yuqori bo’lsa, subyektning ishonchligi ham shunchalik yuqori va subyektning xavfsizlik darajasi qanchalik yuqori bo’lsa, u tizimga shuncha ishonchli ma’lumotni kiritishi mumkin. Mazkur model uchun yuqorida keltirilgan qoidalarni quyidagicha o’zgartirish mumkin:
agar subyektning xavfsizlik darajasida obyektning xavfsizlik darajasi mavjud bo’lsa, u holda yozish uchun ruxsat beriladi;
agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasida bo’lsa, u holda o’qishga ruxsat beriladi.
Ko’rinib turgani kabi yuqorida keltirilgan holatning o’rni almashgan (48- rasm). MAC usulida xavfsizlik darajalaridan foydalanish bilan bir qatorda obyekt va subyektlarning kategoriyalaridan ham foydalanish mumkin. Bu holda xavfsizlik darajasidan tashqari har bir obyekt va subyektga tegishli bo’lgan toifalar ro’yxati berilishi mumkin. Obyektning kategoriyalari ushbu obyekt ishlatiladigan joylarni tavsiflash uchun ishlatilsa, subyektning kategoriyasi esa uning qaysi sohada ishlashini tavsiflaydi. Bunday tizim foydalanishlarni yanada batafsil boshqarish imkoniyatini beradi.
Dostları ilə paylaş: |