Аксиома 3.1. Ҳимояланган КТ-да исталган вақтда ҳар қандай субъект ва объект шахсийлаштирилиши (идентификацияланиши) ва аутентификацияланиши керак.
Ушбу аксиома фойдаланувчиларнинг КТ ресурсларидан жамоавий фойдаланиш жараёнларининг моҳияти ва мазмуни билан белгиланади. Агар бирон бир субъект (фойдаланувчи) КТда ўзини бошқа субъектлар (фойдаланувчилар) сингари ҳаракатланиш қобилиятига эга бўлса ёки баъзи кириш объектларини бошқаларга алмаштириш (ўчириш) қобилиятига эга бўлса, унда ҳеч қандай хавфсизлик ёки ҳимоялаш тўғрисида гап бўлиши мумкин эмас. Шундай қилиб, Аксиома 3.1 КТ-даги маълумотларнинг хавфсизлиги (ҳимояси) учун зарур шартни ифодалайди ва фойдаланувчиларни, уларнинг субъектлари ва кириш объектларини идентификацияловчи ва аутентификацияловчи процедуралар, механизмлар ва тизимлар маълумотларнинг дастлабки ва КТ-да ҳимоялашнинг энг муҳим дастурий таъминоти ва техник чегараси ҳисобланади.
Аксиома 3.2. Ҳимояланган КТ таркибига мос манба объекти (лари)га фаол компонент (субъект, жараён ва ҳ.к.) билан кириши керак, бу эса объектлардан фойдаланадиган субъектларни фойдаланишини назоратлаш ва бошқаришни амалга оширади.
Адабиётларда ушбу фаол компонент учун "хавфсизлик монитори" атамаси тасдиқланган. Хавфсизлик мониторининг концепцияси КТ-да ахборотни муҳофаза қилишнинг схематик томонини диаграмма шаклида кўринишини ифодалашга имкон беради. 3.1. Ахборот тизимлари (ОТ, МББТ) қурилган дастурий таъминотнинг аксарият турлари таркибида ядрони ажратиш мумкин (ОТ ядроси, МББТ маълумотлар машинаси). Ядро ўз навбатида маълумотни тақдим этиш компонентига (ОТ файл тизими, МББТ маълумотлар модели) ва маълумотлардан фойдаланиш компонентига (ОТ киритиш/чиқариш тизими, МББТ сўров жараёни), шунингдек қўшимчалар (утилиталар, хизматлар, интерфейс компаненталар) га бўлинади. Ўрнатилган субъектлар кириш жараёнларини амалга оширишда, хизматларни, функцияларни бажариш учун тизим ядросига мурожаат қилади (3.1, а - расмга қаранг).
3.1 а -расм. Ҳимояланмаган КТнинг схематехник омиллари.
Ахборотни ҳимоя қилиш жараёнларини, биринчи навбатда идентификациялаш / аутентификациялаш тартиб-қоидаларини, шунингдек, маълум бир хавфсизлик сиёсати асосида фойдаланишни бошқариш (киришни бошқариш)ни таъминлайдиган ҳимояланган тизимда қўшимча компонент пайдо бўлади (3.1 б-расмга қаранг).
3.1 б -расм. Ҳимояланган КТнинг схематехник омиллари.
Ахборотни ҳимоялаш жараёнлари, биринчи навбатда идентификациялаш / аутентификациялаш процедураларини, шунингдек, маълум бир хавфсизлик сиёсати асосида фойдаланишни бошқариш (киришни бошқариш)ни таъминлайдиган ҳимояланган тизимда қўшимча компонент ҳосил бўлади (3.1.б-расмга қаранг). Ҳам КТ ядроси (тақдим этиш компоненти ва кириш компоненти), ҳам фойдаланишни чеклаш жараёнлари ахборотни тақдим этиш ва у билан манипуляциялаш узвий боғлиқлигини ҳисобга олиб, хавфсизлик монитори тўғридан-тўғри тизимнинг ядросига бирлаштирилиши керак. Баъзида хавфсизлик монитори тизимнинг нолинчи даражасида (ядро даражасида) амалга оширилиши кераклиги айтилади. Шу муносабат билан шуни таъкидлаш кераки, дастлаб киришнинг маълум бир хавфсизлик модели (чеклаш модели) асосида қуриладиган КТ ядросининг таркибий қисмларини ишлаб чиқиш керак.
Амалий жиҳатдан, шу жумладан хавфсиз тизимларни сертификатлаш бўйича маҳаллий ва халқаро меъёрий талабларни ҳисобга олган ҳолда хавфсизлик мониторини амалга оширишда қуйидаги мажбурий талаблар қўйилади:
1. Тўлиқлик. Ҳар қандай субъект ҳар қандай объектга киришни талаб қилганида хавфсизлик монитори ишга тушурилиши (фаоллаштириш) керак ва уни четлаб ўтишнинг имкони бўлмаслиги керак.
2. Изоляция. Хавфсизлик монитори унинг ишини кузатиб бориш ва ушлаб қолишдан ҳимояланган бўлиши керак.
3. Ишончлилиги. Хавфсизлик монитори ўз функцияларини бажариш учун текширилиши мумкин (ўзини синаб кўриши мумкин ёки ташқи томондан текширилиши мумкин).
4. Давомийлик. Хавфсизлик монитори ҳар қандай нормал ва ғайритабиий, шу жумладан фавқулодда ҳолатларда ҳам ишлаши керак.
Шундай қилиб, айнан ҳимояланган тизимдаги хавфсизлик монитори қабул қилинган хавфсизлик сиёсатини амалга оширишнинг предмети бўлиб, тегишли хавфсизлик моделлари ўз ишини алгоритмлари орқали амалга оширади. Шу муносабат билан қуйидаги аксиоматик таклиф катта аҳамиятга эга.
Аксиома 3.3. Қабул қилинган хавфсизлик сиёсатини амалга ошириш учун субъектларнинг объектлардан, маълумотлардан ва уни ўз ичига олган нарсалардан (фойдаланувчиларнинг идентификациялаш ва аутентификациялаш маълумотларидан қўшимча равишда) фойдаланишини бошқариш ва назоратлаш (мавжуд бўлиши керак) зарур.
Аксиома 3.3 шуни англатадики, хавфсизлик монитори, КТдаги ҳар қандай фаол муносабат манба объекти ва ассоцацияланган объектларга мос келадиган субъект ҳисобланади. Бундан қуйидаги муҳим оқибатлар келиб чиқади.
Хулоса 3.3.1 (3.3 аксиомасидан). Ҳимояланган КТ-да, бошланғич бошланмайдиган ва тизим фойдаланувчилари томонидан бошқарилмайдиган субъектларнинг (фаол субъектларнинг) махсус тоифаси мавжуд. дастлаб тизимда мавжуд бўлган (ишлайдиган) тизим жараёнлари (субъектлари).
Бундай тизим субъектларига асосий фойдаланувчи субъектларини ишга туширадиган асл тизим жараёни киради, шунингдек, фойдаланувчи субъектларининг тизим объектларига киришини бошқарадиган хавфсизлик мониторидир. Шунга кўра, КТ-да хавфсизликни таъминлаш учун тизим субъектларининг хусусиятлари ўзгаришсиз бўлиши керак, бунга хавфсизлик кафолатлари бевосита боғлиқдир.
Хулоса 3.3.2 (Аксиома 3.3 дан). Хавфсизлик монитори билан боғланган, киришни бошқариш тизимидаги маълумотларни ўз ичига олган объект, хавфсизлик нуқтаи назаридан ҳимояланган КТ-даги энг муҳим ахборот манбаи ҳисобланади.
Дарҳақиқат, ушбу объектни рухсатсиз ўзгартириш, йўқ қилиш қобилияти КТнинг бутун хавфсизлик тизимини бутунлай йўқ қилиши ёки обрўсизлантириши мумкин. Шунинг учун, ушбу объектни амалга ошириш усуллари ва хусусиятлари КТ-даги маълумотларнинг хавфсизлиги учун ҳал қилувчи аҳамиятга эга.
Хавфсизлик монитори билан боғлиқ бўлган объектдаги маълумотлар маълум рўйхатдан ўтган фойдаланувчилар ва тизимнинг аниқ объектлари билан боғлиқ бўлиши керак. Бинобарин, КТ-нинг маълум бир гуруҳ фойдаланувчилари учун киришни бошқариш тизимини режалаштириш ва бошқариш учун ушбу объектга ташқи омилдан, яъни фойдаланувчи субъектлари (ларидан) кириш учун процедура таъминланиши керак. Бундан яна бир хулоса келиб чиқади.
Хулоса 3.3.3 (Аксиома 3.3 дан). Ишончли фойдаланувчи (тизим маъмури) ҳимояланган тизимда мавжуд бўлиши мумкин, унинг субъектлари кириш мониторинги сиёсатини бошқариш учун хавфсизлик монитори билан боғлиқ маълумотлар объектига кириш ҳуқуқига эга.
Шуни ҳам айтиб ўтиш керакки, тизим маъмури томонидан ўрнатилган субъектлар хавфсизлик мониторининг элементлари ёки жараёнлари эмас, хавфсизлик монитори фақат тизим объектларига субъектларни кириш ҳуқуқини бошқариш ва назоратлаш учун махсус маълумот беради.
Хавфсизлик монитори билан боғлиқ бўлган объектларни тақдим этиш ва амалга ошириш тамойиллари, усуллари хавфсизлик сиёсати турига ва маълум бир КТнинг ўзига хос хусусиятларига қараб белгиланади.
Бугунги кунга келиб, КТ учун жуда кўп турли хил хавфсизлик моделлари ишлаб чиқилган ва амалий татбиқ этишда синовдан ўтганига қарамай, уларнинг барчаси бир нечта хавфсизлик сиёсатини ифода этадилар. Соддалаштирилган талқинда хавфсизлик сиёсати умумий ахборот ресурсларига эга бўлган фойдаланувчилар гуруҳининг хавфсиз ишлаши (кириш) нинг умумий принципи (методологияси, қоидаси, схемаси) сифатида тушунилади.
Шу билан бирга, субъектларнинг объектларга киришини фарқлаш қоидалари PL-га тегишли расмий равишда тавсифланган оқимлар эканлиги таърифига кўра, субъектларнинг объектларга кириш хавфсизлиги мезонлари энг муҳим аҳамиятга эга, яъни субъектларнинг объектларга хавфли ва хавфсиз кириши натижасида ҳосил бўлган ахборот оқимлари.
Ҳимояланган компютер тизимларида хавфсизлик сиёсатини шакллантиришнинг методологик асослари компьютергача бўлган соҳаларда ахборот хавфсизлигини таъминлашнинг ҳақиқий ташкилий ва технологик схемалари билан таъминланди. Компьютер маълумотларини ҳимоя қилишнинг кўплаб ёндашувлари, хусусан, "қоғоз" махфий ҳужжатлар билан ишлаш, бошқача айтганда, иш юритиш соҳасида "жосуслик" қилинган.
Икки асосий хавфсизлик сиёсати мавжуд - дискрецион ва мандатли. Компьютер маълумотларини ҳимоя қилиш соҳасининг белгиланган терминологиясида биринчиси танланган кириш сиёсати, иккинчиси эса рухсат берилган кириш сиёсати деб номланади.
Шуни таъкидлаш керакки, ролларга асосланган фойдаланишни чеклаш моделлари махсус "ролга асосланган хавфсизлик сиёсати" гуруҳига бўлинади. Бундан ташқари, ҳужжатли ахборот қидириш тизимларида тематик фойдаланишни чеклаш сиёсати, шунингдек, компютердан ташқари (кутубхона ва архив) соҳада "кўзга ташланган" бошқа сиёсатлар қўлланилади.
Дискрецион фойдаланиш сиёсати. Хавфсиз (рухсат берилган) киришлар тўплами номланган фойдаланувчилар (субъектлар) ва объектлар учун "фойдаланувчи (субъект)-оқим (операция) -объект" учликларининг дискрет тўплами шаклида аниқ кўрсатилган.
Фойдаланишни чеклаш бўйича дискрецион сиёсатининг принципи "ҳар бири - ҳар бирига" схемаси билан тавсифланиши мумкин, яъни "фойдаланувчи (субъект) ресурси (объекти)" нинг ҳар қандай комбинацияси учун аниқ белгиланиши керак. ("ёзма") рухсат / тақиқ ва тегишли рухсат берилган / тақиқланган операция тури (Read, Write ва ҳ.к). Шундай қилиб, дискрецион сиёсат билан фойдаланишни чеклаш усулда - битта субъект, битта кириш объекти ва битта операция даражасида амалга оширилади.
Мандатли(ваколатли) фойдаланиш сиёсати. Хавфсиз (рухсат берилган) киришлар тўплами фойдаланувчилар учун субъектлар учун ишончнинг маълум бир дискрет характеристикасини (кириш даражаси) ва махфийликнинг маълум бир дискрет характеристикаси объектларини (махфийлик ёрлиғи) жорий этиш орқали бевосита ўрнатилади ва шу асосда, фойдаланувчи-субъектларга "қабул қилиш даражаси-оқим (операция) - махфийлик даражаси" муносабатларига қараб маълум оқимларни яратиш учун маълум ваколатлар берилади.
Шундай қилиб, дискрецион сиёсатдан фарқли ўлароқ, мандатли сиёсат билан фойдаланишни чеклаш батафсил бўлмаган ҳолда - маълум бир кириш даражасига эга фойдаланувчилар гуруҳи ва маълум бир махфийлик даражасига эга бўлган объектлар гуруҳи даражасида амалга оширилади. Шуни ҳам айтиш керакки, фойдаланишни назоратлаш ва бошқаришда субъектлар сонининг сезиларли даражада қисқариши туфайли фойдаланишни чеклашни соддалаштириш ва такомиллаштириш учун шароит яратади.
Ролларга асосланган фойдаланиш сиёсати. -нинг хавфсиз (рухсат берилган) кириш тизимлари тўплами тизимга қўшимча мавҳум шахсларни киритиш орқали аниқ фойдаланувчилар билан боғланган баъзи "типик" (ролли) кириш субъектлари ролларини бажарадиган роллар орқали (улар кириш ҳуқуқини бажарадиган ролларда) белгиланади. ) ва тизим объектларига кириш ҳуқуқига эга бўлган дискрецион ёки мандатли принцип асосида ролга кириш субъектларини бериш.
Шуни ҳам таъкидлаш керакки, ҳимояланган компютер тизимларининг ишлаш амалиётида вақт ва маршрут (тарқатилган КТ) бўйича фойдаланишни чеклаш кенг қўлланилади, бу принципиал равишда вақт ва маршрут бўйича хавфсизлиги сиёсати ҳақида гапириш имконини беради, бу белгиланган асосий хавфсизлик сиёсатларини тўлдиради.
Ҳар бир хавфсизлик сиёсати хавфсизлик монитори билан боғлиқ объектда локализация қилинган маълум бир тизимга киришни фарқлаш учун маълум маълумотларни талаб қилади. дискрецион фойдаланиш моделлари учун ушбу маълумотлар рухсат берилган субъект (фойдаланувчи) - операция-объект учликларининг рўйхатини акс эттиради. Мандатли фойдаланиш ҳуқуқига эга тизимларда фойдаланишни назорратлаш субъектларнинг кириш даражалари ва объектнинг махфийлиги ёрлиқлари тўғрисида маълумот талаб қилади. Ролларга асосланган кириш тизимларида, ролларнинг объектларга киришини тартибга солувчи маълумотлардан ташқари (дискрецион ёки мандатли принцип асосида), фойдаланувчи субъектларини роллар билан бирлашиши тўғрисида маълумот зарур. Тематик кириш имконияти билан фойдаланувчи субъектлари ва объектларининг тематик сарлавҳалари ҳақида маълумот зарур.
Хавфсизликнинг ўзига хос модели кўриб чиқилган сиёсат, баъзида эса уларнинг бирлашмаларига асосланиб фойдаланишни назоратлашнинг умумий принципини (аналитик муносабатлар, алгоритмлар ва бошқалар кўринишида) батафсил расмийлаштиради. КТ-да муайян хавфсизлик моделларини ишлаб чиқувчилар, шу жумладан хавфсизлик мониторининг тузилишини, функцияларини, дастурий таъминотини ўзида мужассам этган асл дастурий таъминот ва аппарат ечимларини яратадилар ва амалга оширадилар.
Do'stlaringiz bilan baham: |