Toshkent axborot texnologiyalari universiteti kiberxavfsizlik asoslari Mustaqil ish Bajardi: Rasuljonov Nurali Tekshirdi
Yüklə 13,4 Kb.
|
- Bu səhifədəki naviqasiya:
- Kiberxavfsizlik asoslari Mustaqil ish Bajardi: Rasuljonov Nurali Tekshirdi
|
Kiberxavfsizlik asoslari Mustaqil ish Bajardi: Rasuljonov Nurali Tekshirdi O‘ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI Kiberxavfsizlik asoslari Mustaqil ish Bajardi: Rasuljonov Nurali Tekshirdi: Shakarov Muhiddin Toshkent 2022
Foydalanishni boshqarish usullari: Reja:
DAC); 2. mandatli foydalanishni boshqarish usuli (Mandatory access control, MAC);
control, RBAC); 4. attributlarga asoslangan foydalanishni boshqarish usuli (Attribute- based access control, ABAC). Foydalanishni boshqarish- ob'ektdan ob'ektga ishlash qobiliyatini aniqlashdan iborat. Hozirda tizimlarda obyektlarni boshqarish uchun turlicha usullar mavjud bo‘lib, ularga quyidigalarni misol keltirish mumkin: DAC usuli Foydalanishni boshqarishning mazkur usuli tizimdagi shaxsiy obyektlarni himoyalash uchun qo‘llaniladi. Bunga ko‘ra obyekt egasining o‘zi undan foydalanish huquqini va kirish turini o‘zi belgilaydi. DAC da subyektlar tomonidan obyektlarni boshqarish subyektlarning identifikatsiya axborotiga asoslanadi. Masalan, UNIX operasion tizimida fayllarni himoyalashda, fayl egasi qolganlarga o‘qish (r), yozish (w) va bajarish (x) amallaridan bir yoki bir nechtasini berishi mumkin. Umumiy holda DAC usuli aksariyat operatsion tizimlarda foydalanishlarni boshqarish uchun foydalaniladi. DAC modelidagi faylga kirish quyidagi tarzda ishlaydi: 1-foydalanuvchi fayl yaratadi va uning egasiga aylanadi yoki mavjud faylga kirish huquqini oladi. 2-foydalanuvchi ushbu faylga kirishni soʻraydi. Ular o'zlarining hisob ma'lumotlarini taqdim etadilar: foydalanuvchi nomi, parol yoki boshqa narsa. 1-foydalanuvchi o'z xohishiga ko'ra kirish huquqini beradi. Biroq, 1-foydalanuvchi o'zinikidan ortiq bo'lgan kirish huquqlarini bera olmaydi. Misol uchun, agar foydalanuvchi 1 faqat hujjatni o'qiy olsa, ular 2-foydalanuvchiga uni tahrirlashiga ruxsat bera olmaydi. Agar administrator tomonidan yaratilgan ACL va foydalanuvchi 1 tomonidan qabul qilingan qaror o'rtasida ziddiyat bo'lmasa, kirishga ruxsat beriladi. DAC-dan qachon foydalanish kerak DAC bir necha sabablarga ko'ra o'ta nozik ma'lumotlar (tibbiy, moliyaviy, harbiy va boshqalar) bilan ishlaydigan tashkilotlar tomonidan ishlatilmasligi kerak: Agar 1-foydalanuvchi kirish huquqlarini 2-foydalanuvchi bilan baham ko'rsa, 2-foydalanuvchiga ishlash uchun ushbu ruxsat kerak, ma'lumotlarni o'g'irlamaydi yoki buzmaydi va zararli foydalanuvchiga ruxsat bermasligiga kafolat yo'q. Tarmoq ichidagi axborot oqimini boshqarish mumkin emas. Eng kam imtiyoz, bilish kerak va vazifalarni ajratish tamoyillarini amalga oshirish mumkin emas. Shu bilan birga, DAC IT xodimlari va kiberxavfsizlik byudjetlari cheklangan kichik korxonalar uchun yaxshi tanlovdir. Bu ma'lumot almashish imkonini beradi va biznesning uzluksiz ishlashini ta'minlaydi. Ushbu yondashuv, 10 dan 20 gacha xodimlarga ega bo'lgan tashkilotda qo'llanilganda, yuzlab yoki minglab xodimlarga ega bo'lgan tashkilotlarda DACdan foydalanish bilan bog'liq murakkablik va nazorat muammolari mavjud emas. MAC usuli Foydalanishning mazkur usulida foydalanish ruxsati obyektning egasi tomonidan amalga oshirilmaydi. Masalan, Alisa TOP SECRET ruxsatnomasiga ega bo‘lgan subyektlarga ruxsat bera olmaydi. Sababi u ushbu bosqichdagi hujjatlarni to‘liq nazorat qila olmaydi. MAC usuli bilan foydalanishni boshqarishda xavfsizlik markazlashgan holatda xavfsizlik siyosati ma’muri tomonidan amalga oshiriladi. Bunda foydalanuvchi xavfsizlik siyosatini o‘zgartira olmaydi. DAC usulida esa obyektning egasi xavfsizlik siyosatini quradi va kimga foydalanish uchun ruxsat berilishini aniqlaydi. MAC usulida foydalanishlar subyektlar va obyektlar klassifikatsiyalashga asosan boshqariladi. Tizimning har bir subyekti va obyekti bir nechta xavfsizlik darajasiga ega bo‘ladi. Obyektning xavfsizlik darajasi tashkilotda obyektning muhimlik darajasi bilan yoki yo‘qolgantaqdirda keltiradigan zarar miqdori bilanxarakterlanadi. Subyektning xavfsizlik darajasi esa unga ishonish darajasi bilan belgilanadi. Oddiy holda xavfsizlik darajasini: O‘TA MAXFIY (O‘M), MAXFIY (M), KONFIDENSIAL (K) va OChIQ (O) shaklida yoki: O‘M > M > 𝐾𝐾 > 𝑂𝑂. Majburiy kirish nazorati nima? Majburiy kirishni boshqarish (MAC) - bu kirishni boshqarish modeli bo'lib, operatsion tizim foydalanuvchilarga ma'lumotlarning maxfiyligi va foydalanuvchi ruxsati darajasiga asoslangan kirishni ta'minlaydi. Ushbu modelda kirish bilish zarurati asosida beriladi: foydalanuvchilar kirishdan oldin ma'lumotlarga ehtiyoj borligini isbotlashlari kerak. MAC ixtiyoriy bo'lmagan boshqaruv modeli deb ham ataladi, ya'ni boshqaruv foydalanuvchi yoki fayl egasining ixtiyoriga ko'ra qo'lga kiritilmaydi. MAC boshqaruv mexanizmlari bilan nol ishonch tamoyillarini amalga oshiradi. MAC barcha kirishni boshqarish modellari ichida eng xavfsiz hisoblanadi. Ushbu modeldagi kirish qoidalari tizim ma'murlari tomonidan qo'lda belgilanadi va operatsion tizim yoki xavfsizlik yadrosi tomonidan qat'iy ravishda amalga oshiriladi. Oddiy foydalanuvchilar hatto o'zlari yaratgan ma'lumotlar uchun ham xavfsizlik atributlarini o'zgartira olmaydi. MAC ning asosiy tamoyillari qanday? 1. Tashkilot resurslarining maksimal maxfiyligi va maxfiyligi eng muhim hisoblanadi. Hech kim birovning ma'lumotlariga kirish yoki tahrirlash uchun standart imtiyozlarga ega emas. 2. Kirishni ta'minlash markazlashtirilgan tarzda boshqariladi. 3. Tizimdagi har bir shaxs va resursda ularning tasnifi va toifasi ko'rsatilgan xavfsizlik belgilari mavjud. Foydalanishni boshqarishning rolli modeli (RBAC) RBAC usulida foydalanishni boshqarishning asosiy g‘oyasi tizimning ishlash logikasini tashkilotda kadrlar vazifasini haqiqiy ajratilishiga maksimal darajada yaqinlashtirilgan. RBAC usuli foydalanuvchini axborotga ruxsatini boshqarishda uning tizimdagi harakat xiliga asoslanadi. Ushbu usuldan foydalanish tizimdagi rollarni aniqlashni nazarda tutadi. Ro‘l tushunchasini muayyan faoliyat turi bilan bog‘liq harakatlar va majburiyatlar to‘plami sifatida belgilanishi mumkin. Shunday qilib, har bir ob’yekt uchun har bir foydalanuvchini foydalanish ruxsatini belgilash o‘rniga, rol uchun ob’yektlardan foydalanish ruxsatini ko‘rsatish yetarli. Bunda foydalanuvchilar o‘z navbatida o‘zlarining rollarini ko‘rsatishadi. Biror rolni bajaruvchi foydalanuvchi rol uchun belgilangan foydalanish huquqiga ega bo‘ladi. RBAC ning afzalliklari Rolga asoslangan kirishni boshqarish tizimiga ega bo'lishning ko'plab afzalliklari mavjud. Mana bir nechtasi: Kamroq ma'muriy vazifalar. RBACni amalga oshirish orqali xavfsizlik tadqiqotchilari va tarmoq ma'murlari mutlaq nazoratga ega bo'ladilar va operatsion tizim, platforma va ilovalarga ruxsatlarni ko'rish imkoniyatini oshiradilar. Bundan tashqari, u yangi xodimlar ishga qabul qilinganda yoki mavjud bo'lganlar rol almashishga muhtoj bo'lganda, hujjatlarni rasmiylashtirish, parollarni o'zgartirish yoki rol va mas'uliyatni o'zgartirish zaruratini kamaytiradi. Uchinchi tomon xavflarining kamayishi. RBAC tashkilotlarga sotuvchilar va etkazib beruvchilar kabi uchinchi tomon foydalanuvchilarini oldindan belgilangan rollarni berish orqali o'z tizimlariga osongina integratsiya qilish imkonini beradi. Yaxshiroq muvofiqlik. Barcha kompaniyalar mahalliy, shtat va federal qoidalarga rioya qilishlari kerak. Bu erda RBAC tashkilotlarga maxfiylik, maxfiylik va qonuniy talablar, shu jumladan ma'lumotlarga kirishni boshqarish qobiliyati kabi qonuniy talablarga javob berishda yordam beradi. Bu, ayniqsa, bank muassasalari va sog'liqni saqlash tashkilotlari uchun juda muhimdir, chunki ular maxfiy ma'lumotlarni qayta ishlaydilar. RBAC usulining asosiy afzalliklari quyidagilar: 1. Ma’murlashning osonligi. Foydalanishlarni boshqarishning klassik modellarida ob’yekt bo‘yicha muayyan amallarni bajarish huquqlari har bir foydalanuvchi yoki foydalanuvchilar guruhi uchun ro‘yxatga olingan bo‘ladi. Rolli modelda rol va foydalanuvchi tushunchalarini ajratish vazifani ikki qismga ajratish imkonini beradi: foydalanuvchi rolini aniqlash va rol uchun ob’yektga ruxsatini aniqlash. Ushbu yondashuv boshqaruv jarayonini sezilarli darajada osonlashtiradi. Chunki, foydalanuvchini javobgarlik sohasini o‘zgartirganda undan eski rolni olib tashlash va unga yangi vazifasiga mos kelidagan rolni berishning o‘zi kifoya qiladi. Agar foydalanish huquqi bevosita foydalanuvchi va ob’yektlar o‘rtasida aniqlansa, shu prosedura yangi foydalanuvchi huquqlarini qayta tayinlash uchun ko‘p harakatlarni talab qiladi. 2. Rollar iyerarxiyasi. Rollarning haqiqiy iyerarxiyasini yaratish orqali haqiqiy biznes jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin. Har bir rol o‘z imtiyozlari bilan bir qatorda boshqa rollarning imtiyozlariga ega bo‘lishi mumkin. Ushbu yondashuv tizimni boshqarishni sezilarli darajada osonlashtiradi. ABAC modeli Attributlarga asoslangan foydalanishlarni boshqarish usuli (ABAC) – ob’yektlar va sub’yektlarning atributlari, ular bilan mumkin bo‘lgan amallar va so‘rovlarga mos keladigan muhit uchun qoidalarni tahlil qilish asosida foydalanishlarni boshqaradi. Qoidada har qanday turdagi attributlardan (foydalanuvchi attributlari, resurs attributlari, obyekt va muhit attributlari va hak.) foydalanish mumkin. Ushbu model so‘rovni, resursni va harakatni kim bajarayotgani to‘g‘risidagi holatlar “AGAR, U HOLDA” dan tashkil topgan qoidalarga asoslanadi. Masalan, AGAR talabgor boshqaruvchi bo‘lsa, U HOLDA maxfiy ma’lumotni o‘qish/ yozish huquqi berilsin. Attributlarga asoslangan foydalanishni boshqarishdagi asosiy standartlardan biri bu XACML (eXtensible Access Control Markup Language) bo‘lib, 2001 yilda ishlab OASIS (Organization for the Advancement of Structured Information Standards) chiqilgan. XACML standartida asosiy tushunchalar bular: qoida (rules), siyosat (policy), qoida va siyosatni mujassamlashtirgan algoritmlar (rule-combing algorithms), attributlar (attributes) (subyekt, obyekt, harakat va muhit shartlari), majburiyatlar (obligations) va maslahatlar (advices). Qoida markaziy element bo‘lib, o‘zida maqsad, ta’sir, shart, majburiyat va maslahatlarni o‘z ichiga oladi. Maqsad – bu sub’yekt ob’yekt ustida nima harakat qilishidir (o‘qish, yozish, o‘chirish va hak.). Ta’sir mantiqiy ifodalarga asoslangan bo‘ladi va tizim foydalanish uchun ruxsat, taqiq, mumkin emas, aniqlanmagan holatlaridan biri bo‘lgan ruxsatni berishi mumkin. Mumkin emas buyrug‘i mantiqiy shart noto‘g‘ri bo‘lganda qaytarilsa, ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun aniqlanmagan ta’sirini ko‘rsatadi. FOYDALANILGAN ADABIYOTLAR VA TARMOQLAR: 1. S.G‘ANIYEV, M.KARIMOV, K.TASHEV Axborot xavfsizligi (Axborot kommunikatsion tizimlar xavfsizligi) 2. Texnika fanlari doktori, professor S.S. Qosimov umumiy tahriri ostida http://fayllar.org Yüklə 13,4 Kb. Dostları ilə paylaş:
|