OʻZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI
MUHAMMAD AL-XOZAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI
AXBOROT XAVFSIZLIGI KAFEDRASI
Mustaqil ish
MAVZU: MAC,ABAC,RBAC xavfsizlik modellari
Bajardi: 111-20 guruh talabasi
Xasanboyev Jasurbek
Tekshirdi: Sherzod G’ulomov
TOSHKENT 2021
Mundarija:
Kirish……………………………………………………………………………………...3 1. MAC……………………………………………………………………………………4
2. ABAC…………………………………………………………………………………..7
3. RBAC…………………………………………………………………………………10
Xulosa……………………………………………………………………………………14
Adabiyotlar………………………………………………………………………………15
Kirish
Yangi XXI - asrda axborot texnologiyalari hayotimizning turli jabhalariga kirib borishi axborotlashgan jamiyatning shakllantirishga zamin yaratib bermoqda. "Internet", "Elektron pochta", "Elektron ta'lim", "Elektron boshqaruv", "Elektron hukumat", "Masofaviy ta'lim", "Ochiq ta'lim", "Axborotlashgan iqtisod" kabi tushunchalar hayotimizga kirib kelishi jamiyatimizning axborotlashishiga intensiv ta'sir ko`rsatmoqda. Axborot – kommunikatsiyalari orqali mamlakatlarning milliy iqtisodi globallashib, axborotlashgan iqtisod shakliga o'tmoqda, ya'ni milliy iqtisoddagi axborot va bilimlarning yaratilgan 90 % so'nggi 30 yil mobaynida yaratilgan bo'lib, ular hajmining ko'payib borishi axborot-kommunikatsiyalaridan samarali foydalanishni talab etmoqda. Ko'plab mamlakatlar o'zlarining istiqboldagi rivojlanishini axborot-kommunikatsiyalari asosida yo'lga qo'yishni anglab yetishgan. Mustaqil O'zbekiston Respublikamizda ham jamiyatni axborotlashtirish, kompyuter ilmini o‘qitishni rivojlantirish bo'yicha qonunlar qabul qilinib, ular asosida bir qator dastur va tadbirlar amalga oshirib kelinmoqda. Jumladan, O'zbekiston Respublikasi Prezidentining «Axborotlashtirishni yanada rivojlantirish to'g'risida» 2002 - yil 30 - maydagi PF-3080-son farmoni asosida 2010- yilgacha Axborot-kommunikatsiyalarini rivojlantirish bo'yicha milliy dastur ishlab chiqilgan bo'lib, u hozirda butun respublikamiz milliy iqtisodiyotning turli tarmoqlari va sohalarida tatbiq qilinmoqda. Jamiyat hayotiga axborotlarni kеng darajada kirib kеlishi fuqarolarga axborot olishga bo’lgan imkoniyatlar eshigini ochib bеrdi. Mazkur o’zgarishlar birinchi navbatda, yangi axborot kommunikatsiyalarini ta'siri ostida yuz bеrib, inson faoliyatining har bir sohasida axborotga bo’lgan ehtiyojning ortishi bilan tavsiflanadi. Bugungi kunda mutaxassislar axborotni asosiy bеlgisi sifatida ma'lumotni qayta ishlash jarayonining muayyan bosqichlarga bo’linishini e'tirof etadilar. Bu esa, o’z navbatida, ushbu jarayonning batamom tartibga solinishi va uni avtomatlashtirilgan holga o’tkazilishi uchun yangi imkoniyat yaratib bеrdi.
MAC
Majburiy kirishni boshqarish (MAC) operatsion tizim yoki ma'lumotlar bazasi sub'ekt yoki tashabbuskorning ob'ekt yoki nishonga kirish yoki umuman qandaydir operatsiyalarni bajarish qobiliyatini cheklab qo'yadigan kirishni boshqarish turiga ishora qiladi.[1] Operatsion tizimlar uchun mavzu odatda jarayon yoki oqimdir; obyektlar fayllar, kataloglar, TCP/UDP portlari, umumiy xotira segmentlari, IO qurilmalari va boshqalar kabi konstruksiyalardir. Mavzular va ob'ektlarning har biri xavfsizlik atributlari to'plamiga ega. Har safar sub'ekt ob'ektga kirishga harakat qilganda, operatsion tizim yadrosi tomonidan qo'llaniladigan avtorizatsiya qoidasi ushbu xavfsizlik atributlarini tekshiradi va kirishning amalga oshirilishi mumkinligi haqida qaror qabul qiladi. Har qanday sub'ektning har qanday ob'ektdagi har qanday operatsiyasi operatsiyaga ruxsat etilganligini aniqlash uchun avtorizatsiya qoidalari (aka siyosat) bilan sinovdan o'tkaziladi. Ma'lumotlar bazasini boshqarish tizimi o'zining kirishni boshqarish mexanizmida foydalanishni majburiy boshqarishni ham qo'llashi mumkin; bu holda ob'ektlar jadvallar, ko'rinishlar, protseduralar va boshqalar. Majburiy kirish nazorati bilan ushbu xavfsizlik siyosati xavfsizlik siyosati ma'muri tomonidan markazlashtirilgan tarzda nazorat qilinadi; foydalanuvchilar siyosatni bekor qilish va, masalan, aks holda cheklanishi mumkin bo'lgan fayllarga kirish huquqiga ega emaslar. Aksincha, sub'ektlarning ob'ektlarga kirish qobiliyatini boshqaradigan ixtiyoriy kirishni boshqarish (DAC) foydalanuvchilarga siyosat qarorlarini qabul qilish va/yoki xavfsizlik atributlarini belgilash imkoniyatini beradi. (Foydalanuvchilar, guruhlar va o'qish-yozish-bajarish ruxsatlarining an'anaviy Unix tizimi DAC-ga misoldir.) MAC-ni qo'llab-quvvatlaydigan tizimlar siyosat ma'murlariga tashkilot bo'ylab xavfsizlik siyosatlarini amalga oshirish imkonini beradi. MAC ostida (va DAC-dan farqli o'laroq), foydalanuvchilar bu siyosatni tasodifan yoki qasddan bekor qila olmaydi yoki o'zgartira olmaydi. Bu xavfsizlik ma'murlariga barcha foydalanuvchilar uchun bajarilishi kafolatlangan (printsipial jihatdan) markaziy siyosatni belgilash imkonini beradi. Tarixiy va an'anaviy ravishda MAC ko'p darajali xavfsizlik (MLS) va ixtisoslashgan harbiy tizimlar bilan chambarchas bog'langan. Shu nuqtai nazardan, MAC MLS tizimlarining cheklovlarini qondirish uchun yuqori darajadagi qat'iylikni nazarda tutadi. Biroq yaqinda MAC MLS tarmog'idan chetga chiqdi va ko'proq asosiy oqimga aylana boshladi. Linux uchun SELinux va AppArmor va Windows uchun majburiy yaxlitlikni boshqarish kabi so'nggi MAC ilovalari ma'murlarga MLS qattiqligi yoki cheklovlarisiz tarmoq hujumlari va zararli dasturlar kabi masalalarga e'tibor qaratish imkonini beradi. Tarixiy jihatdan, MAC AQSh maxfiy ma'lumotlarini himoya qilish vositasi sifatida ko'p darajali xavfsizlik (MLS) bilan kuchli bog'langan. Ishonchli kompyuter tizimini baholash mezonlari (TCSEC), ushbu mavzu bo'yicha muhim ish, MACning asl ta'rifini "ob'ektlardagi ma'lumotlarning sezgirligi (yorliq bilan ko'rsatilgan) asosida ob'ektlarga kirishni cheklash vositasi" sifatida taqdim etdi. va sub'ektlarga bunday sezgirlikdagi ma'lumotlarga kirish uchun rasmiy ruxsatnoma (ya'ni, ruxsat berish)".[2] Honeywell's SCOMP, USAF SACDIN, NSA Blacker va Boeing's MLS LAN kabi MACning dastlabki tatbiqlari harbiy yo'naltirilgan xavfsizlik tasnifi darajalarini mustahkam tatbiq etish bilan himoya qilish uchun MLSga qaratilgan. MACda majburiy atama harbiy tizimlarda qo'llanilishidan kelib chiqqan holda alohida ma'noga ega bo'ldi. Shu nuqtai nazardan, MAC juda yuqori darajadagi mustahkamlikni nazarda tutadi, bu boshqaruv mexanizmlari har qanday turdagi buzg'unchilikka qarshi turishini ta'minlaydi va shu bilan ularga AQShning maxfiy ma'lumotlari uchun 12958-sonli Ijroiya farmoni kabi hukumat buyrug'i bilan ruxsat etilgan kirishni boshqarish vositalarini qo'llash imkonini beradi. . Amalga oshirish tijorat ilovalariga qaraganda ko'proq majburiy bo'lishi kerak. Bu eng yaxshi harakat mexanizmlari bilan amalga oshirishni istisno qiladi; MAC uchun faqat mandatning mutlaq yoki deyarli mutlaq bajarilishini ta'minlay oladigan mexanizmlar qabul qilinadi. Bu baland tartib va ba'zan yuqori kafolat strategiyalarini bilmaganlar tomonidan haqiqiy emas deb qabul qilinadi va bo'lganlar uchun juda qiyin.
ABAC
Atributga asoslangan kirishni boshqarish (ABAC), shuningdek, IAM uchun siyosatga asoslangan kirishni boshqarish sifatida ham tanilgan, kirishni boshqarish paradigmasini belgilaydi, bunda atributlarni birlashtirgan siyosatlardan foydalanish orqali foydalanuvchilarga kirish huquqlari beriladi.[1] Siyosat har qanday turdagi atributlardan foydalanishi mumkin (foydalanuvchi atributlari, manba atributlari, ob'ekt, atrof-muhit atributlari va boshqalar). Ushbu model mantiqiy mantiqni qo'llab-quvvatlaydi, unda qoidalarda so'rovni, resurs va harakatni kim amalga oshirayotgani haqida "AGAR, KENG" iboralari mavjud. Misol uchun: AGAR so'rovchi menejer bo'lsa, keyin maxfiy ma'lumotlarni o'qish/yozish uchun ruxsat bering. NIST tizimi ABACning asosiy tushunchalarini uning sub'ektlari sifatida taqdim etadi, ya'ni PAP (Siyosatni boshqarish nuqtasi), PEP (Policy Enforcement Point), PDP (Policy Decision Point) va PIP (Policy Information Point) Rolga asoslangan kirishni boshqarish (RBAC) dan farqli o'laroq, ular bilan bog'liq muayyan imtiyozlar to'plamiga ega bo'lgan va sub'ektlar tayinlangan oldindan belgilangan rollardan foydalanadi, ABAC bilan asosiy farq murakkab mantiqiy qoidalar to'plamini ifodalovchi siyosat tushunchasidir. ko'p turli atributlarni baholashi mumkin. Atribut qiymatlari o'rnatilgan yoki atom qiymatli bo'lishi mumkin. Belgilangan qiymatli atributlar bir nechta atom qiymatlarini o'z ichiga oladi. Masalan, rol va loyiha. Atom qiymatli atributlar faqat bitta atom qiymatini o'z ichiga oladi. Masalan, klirens va sezgirlik. Atributlarni statik qiymatlar yoki bir-biri bilan solishtirish mumkin, bu esa aloqaga asoslangan kirishni boshqarish imkonini beradi. Garchi kontseptsiyaning o'zi ko'p yillar davomida mavjud bo'lsa-da, ABAC "keyingi avlod" avtorizatsiya modeli hisoblanadi, chunki u turli xil axborot tizimlarining o'ziga xos atributlarini o'z ichiga olgan kirishni boshqarish siyosatini amalga oshirishga imkon beruvchi resurslarga dinamik, kontekstdan xabardor va xavf-xatarni hisobga olgan holda kirishni boshqarishni ta'minlaydi. avtorizatsiyani hal qilish va korxonalarga mavjud infratuzilmalari asosida ularni amalga oshirishda moslashuvchanlikni ta'minlovchi samarali tartibga solishga erishish uchun belgilangan.
ABAC kontseptsiyasi texnologiya to'plamining har qanday darajasida va korxona infratuzilmasida qo'llanilishi mumkin. Masalan, ABAC-dan xavfsizlik devori, server, dastur, ma'lumotlar bazasi va ma'lumotlar sathida foydalanish mumkin. Atributlardan foydalanish kirish uchun har qanday so'rovning qonuniyligini baholash uchun qo'shimcha kontekstni keltirib chiqaradi va kirishni berish yoki rad etish to'g'risidagi qarorni xabardor qiladi. Ma'lumotlar xavfsizligi odatda ma'lumotlar bazasi xavfsizligidan bir qadam oldinga boradi va boshqaruvni bevosita ma'lumotlar elementiga qo'llaydi. Bu ko'pincha ma'lumotlarga asoslangan xavfsizlik deb ataladi. An'anaviy relyatsion ma'lumotlar bazalarida ABAC qoidalari jadval, ustun, maydon, katak va pastki kataklardagi ma'lumotlarga kirishni filtrlash shartlari va atributlarga asoslangan maskalash bilan mantiqiy boshqaruv vositalaridan foydalangan holda boshqarishi mumkin. Atributlar ma'lumotlar, foydalanuvchi, sessiya yoki muayyan ma'lumotlar elementiga kirishni dinamik ravishda berish rad etishda eng yuqori darajadagi moslashuvchanlikni ta'minlashga asoslangan vositalar bo'lishi mumkin. Katta ma'lumotlar va taqsimlangan fayl tizimlarida, masalan, Hadoop, ABAC ma'lumotlar qatlamida qo'llaniladigan papkaga, pastki papkaga, faylga, pastki faylga va boshqa donadorlarga kirishni nazorat qiladi.
RBAC
Rolga asoslangan kirishni boshqarish (RBAC) - bu rollar va imtiyozlar atrofida aniqlangan siyosatga asoslangan neytral kirishni boshqarish mexanizmi. Rol-ruxsatlari, foydalanuvchi-rol va rol-rol munosabatlari kabi RBAC komponentlari foydalanuvchi topshiriqlarini bajarishni osonlashtiradi. NIST tomonidan o'tkazilgan tadqiqot shuni ko'rsatdiki, RBAC tijorat va davlat tashkilotlarining ko'plab ehtiyojlarini qondiradi.[4] RBAC yuzlab foydalanuvchilar va minglab ruxsatlarga ega yirik tashkilotlarda xavfsizlikni boshqarishni osonlashtirish uchun ishlatilishi mumkin. RBAC MAC va DAC kirishni boshqarish tizimlaridan farq qilsa-da, u ushbu siyosatlarni hech qanday murakkabliksiz amalga oshirishi mumkin. Tashkilot ichida turli xil ish funktsiyalari uchun rollar yaratiladi. Muayyan operatsiyalarni bajarish uchun ruxsatlar muayyan rollarga beriladi. A'zolar yoki xodimlarga (yoki boshqa tizim foydalanuvchilariga) muayyan rollar tayinlanadi va bu rollarni belgilash orqali muayyan tizim funktsiyalarini bajarish uchun zarur bo'lgan ruxsatnomalarni oladi. Foydalanuvchilarga ruxsatnomalar toʻgʻridan-toʻgʻri berilmay, ularni faqat oʻz roli (yoki rollari) orqali qoʻlga kiritganligi sababli, foydalanuvchining individual huquqlarini boshqarish oddiygina foydalanuvchi hisobiga tegishli rollarni belgilash masalasiga aylanadi; bu foydalanuvchi qo'shish yoki foydalanuvchi bo'limini o'zgartirish kabi umumiy operatsiyalarni soddalashtiradi. Rolga asoslangan kirishni boshqarish aralashuvi xavfsizlik ilovalaridagi nisbatan yangi muammo bo'lib, dinamik kirish darajalariga ega bo'lgan bir nechta foydalanuvchi hisoblari shifrlash kalitining beqarorligiga olib kelishi mumkin, bu esa tashqi foydalanuvchiga ruxsatsiz kirish uchun zaiflikdan foydalanishga imkon beradi. Dinamik virtuallashtirilgan muhitda kalit almashish ilovalari ushbu muammoni hal qilishda muvaffaqiyat qozondi RBAC ishlab chiqilishidan oldin Bell-LaPadula (BLP) modeli MAC bilan sinonim edi va fayl tizimi ruxsatlari DAC bilan sinonim edi. Bular kirishni boshqarishning yagona ma'lum modellari deb hisoblangan: agar model BLP bo'lmasa, u DAC modeli hisoblanadi va aksincha. 1990-yillar oxiridagi tadqiqotlar shuni ko'rsatdiki, RBAC hech bir toifaga kirmaydi. Kontekstga asoslangan kirishni boshqarishdan (CBAC) farqli o'laroq, RBAC xabar kontekstiga (masalan, ulanish manbai) qaramaydi. RBAC, shuningdek, rollar portlashiga olib kelgani uchun ham tanqid qilindi [13], bu katta korporativ tizimlardagi muammo RBAC taqdim eta oladiganidan ko'ra nozikroq kirish nazoratini talab qiladi, chunki rollar tabiatan operatsiyalar va ma'lumotlar turlariga tayinlanadi. CBAC-ga o'xshab, ob'ekt munosabatlariga asoslangan kirishni boshqarish (ERBAC, garchi bir xil qisqartma o'zgartirilgan RBAC tizimlari uchun ham qo'llaniladi,[14], masalan, kengaytirilgan rolga asoslangan kirishni boshqarish[15]) tizimi ma'lumotlar nusxalarini himoyalashga qodir. ularning ijro etuvchi sub'ektga aloqadorligini hisobga olgan holda amalga oshiriladi. Kirish nazorati ro'yxatlari (ACL) past darajadagi ma'lumotlar ob'ektlariga ta'sir qilish uchun an'anaviy ixtiyoriy kirishni boshqarish tizimlarida qo'llaniladi. RBAC bir nechta ob'ektlar o'rtasidagi to'g'ridan-to'g'ri aloqalarni o'zgartiradigan operatsiyalarga ruxsat berishda ACLdan farq qiladi (quyida ACLg ga qarang). Misol uchun, ACL ma'lum bir tizim fayliga yozish huquqini berish yoki rad etish uchun ishlatilishi mumkin, ammo bu faylni qanday o'zgartirish mumkinligini ko'rsatmaydi. RBAC-ga asoslangan tizimda operatsiya moliyaviy dasturda "kredit hisobini yaratish" yoki tibbiy ilovada "qon shakar darajasi testini to'ldirish" bo'lishi mumkin. Shunday qilib, rol kattaroq faoliyat doirasidagi operatsiyalar ketma-ketligidir. RBAC, ayniqsa, muhim operatsiyalarga ruxsat berishda ikki yoki undan ortiq odam ishtirok etishini ta'minlaydigan vazifalarni ajratish (SoD) talablariga juda mos kelishi ko'rsatilgan. RBACda SoD xavfsizligi uchun zarur va etarli shartlar tahlil qilindi. SoD ning asosiy printsipi shundaki, hech bir shaxs ikki tomonlama imtiyozlar orqali xavfsizlikni buzishga qodir emas. Shu bilan birga, hech kim bir vaqtning o'zida boshqa bir rolga nisbatan audit, nazorat yoki tekshirish vakolatini amalga oshiradigan rolni egallashi mumkin emas.
Xulosa:
Xulosa qilib aytganda mavzular va ob'ektlarning har biri xavfsizlik atributlari to'plamiga ega. Har safar sub'ekt ob'ektga kirishga harakat qilganda, operatsion tizim yadrosi tomonidan qo'llaniladigan avtorizatsiya qoidasi ushbu xavfsizlik atributlarini tekshiradi va kirishning amalga oshirilishi mumkinligi haqida qaror qabul qiladi. Har qanday sub'ektning har qanday ob'ektdagi har qanday operatsiyasi operatsiyaga ruxsat etilganligini aniqlash uchun avtorizatsiya qoidalari (aka siyosat) bilan sinovdan o'tkaziladi. Majburiy kirish nazorati bilan ushbu xavfsizlik siyosati xavfsizlik siyosati ma'muri tomonidan markazlashtirilgan tarzda nazorat qilinadi; foydalanuvchilar siyosatni bekor qilish va, masalan, aks holda cheklanishi mumkin bo'lgan fayllarga kirish huquqiga ega emaslar. RBAC an'anaviy ixtiyoriy kirishni boshqarish tizimlarida qo'llaniladigan kirishni boshqarish ro'yxatlaridan (ACL) farq qiladi, chunki u past darajadagi ma'lumotlar ob'ektlariga emas, balki tashkilotda ma'noga ega bo'lgan muayyan operatsiyalarga ruxsat beradi. Masalan, kirishni boshqarish ro'yxati ma'lum bir tizim fayliga yozish huquqini berish yoki rad etish uchun ishlatilishi mumkin, ammo bu faylni qanday o'zgartirish mumkinligini ko'rsatmaydi. RBAC-ga asoslangan tizimda operatsiya moliyaviy dasturda "kredit hisobini yaratish" yoki tibbiy ilovada "qon shakar darajasi testini to'ldirish" bo'lishi mumkin. Rolga asoslangan kirishni boshqarish (RBAC) dan farqli o'laroq, ular bilan bog'liq muayyan imtiyozlar to'plamiga ega bo'lgan va sub'ektlar tayinlangan oldindan belgilangan rollardan foydalanadi, ABAC bilan asosiy farq murakkab mantiqiy qoidalar to'plamini ifodalovchi siyosat tushunchasidir. ko'p turli atributlarni baholashi mumkin.
Foydalanilgan adabiyotlar ro`yxati
1. R.Madaliyev ”Axborot xavfsizligini ta‘minlash” 2016-yil.
2. S.Y.Yusupov,A.X.Xakimov “Axborot xavfsizligi maruza toplami” 2018-yil.
3. 4.S.K.G‘aniyev,M.M.Karimov “Axborot xavfsizligi” kitobi. 2017-yil.
4. Kavin Mitnick “The Art of Invisibility” 4-february,2017-year
5. Simon Singh “The code book” 20-august,2020-year.
6. Jon Erickson “Hacking,The Art of Exploitation” 4-june,2019-year
7. Mary Aiken “ The Cyber Effect” 27-june,2017-year.
8. S.Y.Yusupov, A.X.Xakimov “ Axborot xavfsizligi ma‘ruza to‘plami” 2017-yil
Elektron ta`lim resurslari
1.Ziyonet.uz
2.Akademiya.uz sayt kutubxonasi.
3.Refer.uz sayt kutubxonasi.
Do'stlaringiz bilan baham: |