97
4.2. Ma’lumotlardan foydalanishni mantiqiy boshqarish
Foydalanishni boshqarish.
Avtorizatsiya foydalanishlarni
nazoratlashning autentifikatsiyadan o‘tgan foydalanuvchilar
harakatlarini cheklash qismi bo‘lib, aksariyat hollarda foydalanishni
boshqarish modellari yordamida amalga oshiriladi.
Foydalanishni boshqarish subyektning obyektga yo‘naltirilgan
faollik manbai imkoniyatini aniqlashdir. Umumiy holda foydalanishni
boshqarish quyidagi sxema orqali tavsiflanadi (4.3-rasm):
Subyekt
Obyekt
Ruxsat
Natija
4.3-rasm. Foydalanishni boshqarish sxemasi
Hozirda tizimlarda obyektlardan foydalanishni boshqarishning
quyidagi usullari keng tarqalgan:
-
foydalanishni diskretsion boshqarish usuli (Discretionary
access
control, DAC);
-
foydalanishni mandatli boshqarish usuli (Mandatory access
control, MAC);
-
foydalanishni rollarga asoslangan boshqarish usuli (Role-based
access control, RBAC);
-
foydalanishni atributlarga asoslangan boshqarish usuli
(Attribute-based access control, ABAC).
Tizimda ushbu usullarning bir-biridan alohida-alohida
foydalanilishi talab etilmaydi, ya’ni ularning kombinatsiyasidan ham
foydalanish mumkin.
Foydalanishni boshqarishning DAC usuli.
Foydalanishni
boshqarishning mazkur usuli tizimdagi shaxsiy aktivlarni himoyalash
uchun qo‘llaniladi. Bunga ko‘ra obyekt egasining o‘zi undan
foydalanish huquqi va foydalanish turini belgilaydi.
DAC
da subyektlar tomonidan
obyektlarni boshqarish
subyektlarning identifikatsiya axborotiga asoslanadi. Masalan, UNIX
operatsion tizimda fayllarni himoyalashda, fayl egasi qolganlarga
o‘qish
(read, r), yozish (write, w)
va
bajarish (execute, x)
amallaridan bir yoki
bir nechtasini berishi mumkin. Umumiy holda DAC usuli aksariyat
98
operatsion tizimlarda foydalanishlarni boshqarishda ishlatiladi. Masalan,
4.4-rasmda DAC usulini Windows NT/2k/XP
OTlarida foydalanish
holati keltirilgan.
4.4-rasm. Windows XP da DACdan foydalanish
Biroq, DACning jiddiy xavfsizlik muammosi - ma’lumotlardan
foydalanish huquqiga ega bo‘lmagan subyektlar tomonidan
foydalanilmasligi to‘liq kafolatlanmaganligi. Bu holat ma’lumotlardan
foydalanish huquqiga ega bo‘lgan biror bir foydalanuvchining ma’lumot
egasining ruxsatisiz foydalanish huquqiga ega bo‘lmagan
foydalanuvchilarga yuborish imkoniyati mavjudligida namoyon bo‘ladi.
Bundan tashqari, DACning yana bir kamchiligi tizimdagi barcha
obyektlar ulardan foydalanishni belgilaydigan suyektlarga
tegishli
ekanligi. Amalda esa, tizimdagi barcha ma’lumotlar shaxslarga tegishli
bo‘lmay, balki butun tizimga tegishli bo‘ladi. Bularga yaqqol misol
sifatida axborot tizimini keltirish mumkin.
DACning klassik tizimida, dastlab obyekt hech kimga
biriktirilmagan bo‘lsa, “yopiq” obyekt deb ataladi. Agar obyekt
foydalanuvchiga biriktirilgan va ulardan foydalanish bo‘yicha
cheklovlar o‘rnatilgan bo‘lsa, “ochiq” obyekt deb ataladi.
Foydalanishni boshqarishning MAC usuli.
MAC usuli bo‘yicha
foydalanishni boshqarish xavfsizlik siyosati ma’muriga markazlashgan
99
holda boshqarishni amalga oshirish imkoniyatini beradi. Bunda
foydalanuvchi xavfsizlik siyosatini o‘zgartira olmaydi. DAC usulida esa
obyektning egasi xavfsizlik siyosatini quradi va kimga foydalanish
uchun ruxsat berilishini belgilaydi.
Foydalanishni boshqarishning MAC usuli xavfsizlik siyosati
ma’muriga tashkilot bo‘ylab xavfsizlik siyosatini amalga
oshirish
imkoniyatini beradi. MAC usulida foydalanuvchilar tasodifan yoki
atayin ushbu siyosatni bekor qila olmaydilar. Bu esa xavfsizlik
ma’muriga barcha foydalanuvchilar uchun bajarilishi kafolatlangan
markazlashgan siyosatni belgilashga imkon beradi.
MAC usulida foydalanishni boshqarish subyektlar va obyektlarni
tasniflashga asoslanadi. Tizimning har bir subyekti
va obyekti bir nechta
xavfsizlik darajasiga ega bo‘ladi. Obyektning xavfsizlik darajasi
tashkilotda obyektning muhimlik darajasi bilan yoki yo‘qolgan taqdirda
keltiradigan zarar miqdori bilan xarakterlanadi. Subyektning xavfsizlik
darajasi esa unga ishonish darajasi bilan belgilanadi. Oddiy holda
xavfsizlik darajasi uchun: “
mutlaqo maxfiy” (MM), “maxfiy” (M),
“konfidensial” (K)
va “
ochiq” (O)
belgilar tayinlanadi. Bu yerda,
MM>M>K>O.
MAC asosida axborot maxfiyligini ta’minlash.
Agar obyekt va
subyektning xavfsizlik darajalari orasidagi bir qancha bog‘liqlik shartlari
bajarilsa, u holda subyekt obyektdan foydalanish huquqiga ega bo‘ladi.
Xususan, quyidagi shartlar bajarilish kerak (4.5-rasm):
-
agar subyektning xavfsizlik darajasida obyektning xavfsizlik
darajasi mavjud bo‘lsa, o‘qish uchun ruxsat beriladi;
-
agar subyektning xavfsizlik darajasi obyektning xavfsizlik
darajasida mavjud bo‘lsa, yozishga ruxsat beriladi.
Ushbu modelda foydalanuvchi va subyekt tushunchalari bir –
biridan farqlanadi. Xususan, xavfsizlik darajasi
subyektga berilsa,
foydalanuvchi esa u yoki bu vaqtda subyekt nomidan ish qilishi mumkin
bo‘ladi. Shuning uchun, turli hollarda bir foydalanuvchi turli subyekt
nomidan ish ko‘rishi mumkin bo‘ladi. Biroq, biror aniq vaqtda
foydalanuvchi faqat bitta subyekt
nomidan ish qilishi muhim
hisoblanadi. Bu axborotni yuqori sathdan quyi sathga uzatilmasligini
ta’minlaydi.