5=Ju{f)
&'[*„*„] = tf[.v,,.t,]tercJke [C*],».*») e SxOvchun
M [5, xsJ - 6 bcrcha a, e O' itchuv.
M [j,.rJ = 0 barcha v, c 5 uckun destroy subjects (bu erda & e £))
О1' = 00}
5* =?{s}
M\xr,xeY = Ml(t};,x,)barchQ [0]5,.r,) e 5' xC‘ create object "o' фи erda ctG )
a =0u{o] s'= s
M [x,.vj = 3f[xr..v?Jiarcfca !(>];,-s) € 5x0 M [a., c] = 0 barcha xt e S'иски» dsston' object о (bu yerda c°6 °V5)
0” = 0(o)
5=5
Д/ = М[[л]г..т£]&сгсла [<*],.,r«) €5’ xO'
oeQtesuojscf Va dest-ory subject amallari monoton va monoton bo‘Imagan amallarning o‘xshash juftlarini ifodalaydi.
Ta’kidlash lozimki, har bir amal uchun uni bajarishga yana oldindan qo‘yiladigan shart mavjud: enter y0ki delete amallari yordamida foydalanish matritsasining yacheykasini o‘zgartirish uchun ushbu yacheyka mavjud bo‘lishi, ya’ni mos subyekt va
subject
obyektning mavjud bo‘lishi shart Shunga o'xshash ‘ object yaratish amallari uchun yaratiluvchi subyekt/obyektning mavjud
^ subject
bo‘lmasligi, * ' object yo‘q qilish amali uchun yo‘qotiluvchi sub
yekt/obyektning mavjudligi shart. Ixtiyoriy amalga oldindan qo‘yi- ladigan shart bajarilmasa, u amalning bajarilishi natija bermaydi. y&.R.cj
Rasman tizim tavsifi quyidagi elementlardan tashkil
topgan:
- foydalanish huquqlarining chekli to‘plami R = ti, ,r>};
dastlabki subyektlar = {Sl ?,,} va obyektlar !Л = fc>i
ning chekli to‘plamlari, bu yerda 5e=
tarkibida subyektlarning obyektlardan foydalanish huquq- lari bo‘lgan dastlabki foydalanish matritsasi -
har biri yuqorida sanab o‘tilgan elementar amallar ter- minallarida bajarish va sharxlash shartlaridan tashkil topgan - buyruqlaming chekli to‘plami - c = К Оч.
Tizimning vaqt bo‘yicha ahvoli holatlar {;} ketma-ketligi yor- damida modellashtiriladi. Har bir keyingi holat c to'plamdagi qan- daydir komandaning oldingi holatga qo‘llash natijasi hisoblanadi - Qr.-i =c..coj. Shunday qilib, tizimning u yoki bu holatga tushishi yoki tushmasligi c dagi komandalar va ular tarkibidagi amallarga bog‘liq. Har bir holat subyektlar, obyektlar to‘plamlari va huquqlar matritsasi orasidagi mavjud foydalanish munosabatlarini belgilaydi. Xavfsizlikni ta’minlash uchun ba’zi foydalanish munosabatlarini taqiqlabqo'yish lozimligi sababli, tizimning berilgan dastlabki hola- ti uchun u tushishi mumkin bo‘lmagan holatlar to‘plamini aniqlash imkoniyati mavjud boMishi shart. Bu shunday dastlabki shartlami (c komandalar oB obyektlar to‘plamining, ^ subyektlar to‘plamining и. foydalanish matritsaning shartini) berishga imkon beradiki, bu shart- larda tizim xavfsizlik nuqtayi nazaridan nomaqbul holatga tusha olmaydi. Demak, ahvoli oldindan bashorat qilinuvchi tizimni qurish uchun quyidagi savolga javob berish lozim: qandaydir subyekt * qachondir qandaydir obyekt °dan foydalanish huquqiga ega bo‘lishi mumkinmi?
Shu sababli Xarrison-Ruzzo-Ulman modelining xavfsizlik mezoni quyidagichata’riflanadi:
Berilgan tizim uchun dastlabki holat Qa = tsB.oB.Ma)r huquqqa nisbatati xayfsiz hisoblanadi, agar qo ‘llanilishi natijasida r huquq M matritsa yacheykasiga kiritiladigan « komandalar ketma-ketligi mavjud boImasa (Q* holafda M matritsada tishbu xuquq bo% magan).
Ushbu mezonning mohiyati quyidagicha: agar subyekt oldindan obyektdan foydalanish xuquqi rga ega bo‘lmasa, tizimning xavfsiz konfiguratsiyasi uchun u hech qachon obyektdan foydalanish huquqi' ga ega bo‘lmaydi. Birinchi qarashda bunday ta’rif juda g‘ayrioddiy tuyuladi, chunkir huquqiga ega bo‘la olmaslik, tarkibi-
61
da enter “r” into amali bo‘lgan komandalardan foydalanishdan voz kechishga olib keladigandek, aslida esa bundav emas. Masala shundaki, subyekt yoki obyektning yo‘q qilinishi matritsaning mos qator yoki ustunidagi barcha huquqlaming yo‘q qilinishiga olib keladi, ammo qator yoki ustunning o‘zini yo‘q qilinishiga va mat- ritsa o‘lchamlarining qisqarishiga olib kelmaydi. Demak, dastlabki holatda qandaydir yacheykada ‘V’ huquq mavjud boigan bo‘lsa, bu huquqqa taalluqli bo‘lgan subyekt yoki obyekt yo‘q qilinganidan so‘ng yacheyka tozalanadi, ammo subyekt yoki obyekt yaratilishi natijasida mos enter komandasi yordamida ushbu yacheykaga yana ‘V’ huquq kiritiladi. Bu xavfsizlikning buzilishini anglatmaydi.
Xavfsizlik mezonidan kelib chiqadiki, ushbu model uchun foydalanish huquqlar qiymatini tanlash va ulardan komandalar shartida foydalanish muhim ahamiyatga ega Model huquqlar ma’nosiga hech qanday cheklashlar qo‘ymay va ularni teng qiymatli hisoblasa-da. komandalar bajarilishi shartida qatnashuvchi huquqlar aslida obyektlardan foydalanish huquqlari (masalan, o'qish va yozish) emas, balki foydalanishni boshqarish huquqlari, yoki foydalanish matritsasi yacheykalarini modifikatsiyalash huquqlari hisob- lanadi. Shunday qilib, ushbu model mohiyatan nafaqat subyekt- laming obyektlardan foydalanishni, balki subyektdan obyektga foydalanish huquqlarini tarqalishini tavsiflaydi. Chunki, aynan foydalanish matritsasi yacheykalari mazmunining o'zgarishi, komandalar, jumladan, xavfsizlik mezonining buzilishiga olib keluvchi, foydalanish matritsasining o‘zini modifikatsiyalovchi komandalar bajarilishi imkonini belgilaydi.
Ta’kidlash lozimki, muhofazalangan tizirmi qurish amaliyoti nuqtayi nazaridan Xanison-Ruzzo-Ulman modeli amalga oshirishda eng oddiy va boshqarishda samarali hisoblanadi, chunki hech qanday murakkab algoritmlami talab qilmaydi, shuningdek, foydala- nuvchilar vakolatlarini obyektlar ustida amal bajarilishigacha aniq- likda boshqarishga imkon beradi. Shu sababli, ushbu model zamo- naviy tizimlar orasida keng tarqalgan. Undan tashqari ushbu model- da taklif etilgan xavfsizlik mezoni amaliy jihatdan juda kuchli hisoblanadi, chunki oldindan tegishli vakolatlar berilmagan foyda- lannvchilammg ba’zi axborotdan foydalana olmasliklarini kafo- latlaydi.
Barcha diskretsion modellar “troyan oti” yordamidagi hujumga nisbatan zaif, chunki ularda faqat subyektlarning obyektlardan foydalanish amallari nazoratlanadi (ular orasidagi axborot oqimi emas). Shu sababli, buzg‘unchi qandaydir foydalanuvchiga unga bildirmay “troyan” dasturini qistirsa, bu dastur ushbu foydalanuvchi foydalana oladigan obvektdan buzg‘unchi foydalana oladigan obyektga axborotni o'tkazadi. Natijada xavfsizlikning diskretsion siyosatining hech qanday qoidasi buzilmaydi, ammo axborotning sirqib chiqishi sodir bo‘ladi
Shunday qilib, Xarrison-Ruzzo-Ulmanning diskretsion modeli umumiy qo‘yilishida tizim xavfsizligini kafolatlamaydi, ammo aynan ushbu model xavfsizlik siyosati modellarining butun bir sinfiga asos bo‘lib xizmat qiladi va ular foydalanishni boshqarishda va huquqlarni tarqalishini nazoratlashda barcha zamonaviy tizim- larda ishlatiladi.
Nazorat savollari:
Xavfsizlik modellari va ulardan foydalanish holatlarini tavsiflab bering.
Xarrison-Ruzzo-Ulmanning diskretsion modelida bajari- ladigan amallami tushuntirib bering.
Xarrison-Ruzzo-Ulmanning diskretsion modelida xavfsizlik mezomni ta’riflab bering.
Xarrison-Ruzzo-Ulmanning diskretsion modelining afzallik- lari va kamchiliklarini tushuntirib bering.
Bella-LaPadulaning mandatli modeli
Foydalanishni boshqarishning mandatli modeli ko‘pgina mam- davlat va hukumat
fiy hujjat almashish qoidalariga asoslangan. Bella-LaPadula siyosatining asosiy mazmuni amaliy hayotdan olingan bo‘lib, himoyala- nuvchi axborotni ishlashda qatnashuvchilarga va bu axborot mavjud bo‘lgan liujjatlarga xavfsizlik sathi nomini olgan maxsus belgi, masalan, “maxfiy", “mutlaqo maxfiy” va h. kabilarni tayinlashdan iborat. Xavfsizlikning barcha sathlari o‘rnatilgan ustunlik
63
munosabati asosida tartiblanadi, masalan, “mutlaqo maxfiy” sathi “maxfiy” sathidan yuqori yoki undan ustun turadi Foydalanishni nazoratlash o‘zaro harakatdagi tomonlaming xavfsizlik sathlariga bogiiq holda quyidagi ikkita oddiy qoida asosida amalga oshiriladi:
Vakolatli shaxs (subyekt) faqat xavfsizlik sathi o‘zining xavfsizlik sathidan yuqori bo‘lmagan hujjatlardan axborotni o‘qishga haqli.
Vakolatli shaxs (subyekt) xavfsizlik sathi o‘zining xavfsizlik sathidan past bo‘lmagan hujjatlarga axborot kiritishga haqli.
Birinchi qoida yuqori sath shaxslari tomonidan ishlanadigan axborotdan past sath shaxslari tomonidan foydalanishdan himoya- lashni ta’minlaydi. Ikkinchi qoida (juda muhim qoida) axborotni ishlash jarayonida yuqori sath ishtirokchilariga axborotning sirqib chiqishini (bilib yoki bilmasdan) bartaraf etadi.
Shunday qilib, diskretsion modellarda foydalanishni boshqa- rish foydalanuvchilarga ma’lum obyektlar ustida ma’lum amallarni bajarish vakolatini berish yo'li bilan amalga oshirilsa, mandatli modellar foydalanishni xufiya holda - tizimning barcha subyekt va obyektlariga xavfsizlik sathlarini belgilash yordamida boshqaradi. Ushbu xavfsizlik sathlari subyektlar va obyektlar orasidagi joiz o‘zaro harakatlarni aniqlaydi. Demak, foydalanishni mandatli bosh- qarish bir xil xavfsizlik sathi berilgan subyektlar va obyektlami farqlamaydi va ularning o‘zaro harakatiga cheklashlar mavjud emas. Shu sababli, foydalanishni boshqarish moslanuvchanlikni talab qil- ganida, mandatli model qandaydir diskretsion model bilan birga- likda qo'llaniladi. Bunda diskretsion model bir sathdagi subyekt va obyektlar orasidagi o‘zaro harakatni nazoratlashda va mandatli modelni kuchaytiruvchi qo‘shimcha cheklashlarni o‘matishda ishlatiladi.
Xavfsizlikning Bella-LaPadula modelida tizim Xarrison-Ruz- zo-Ulman modeliga o‘xshash subyektlar -?• obyektlar о va foydala- nish huquqlari to‘plami ko‘rinishida ifodalanadi. Obyektlar to‘plami subyektlar to‘plamini o‘z ichiga oladi sco vafoydalanishning faqat ikkita xili read (o‘qish), write (yozish) ko‘riladi. Ammo ushbu model qo‘shimcha huquqlarni (masalan, axborotni qo'shish, dasturni bajarish va h.) kiritish bilan kengaytirilishi mumkin bo‘lsa-da, ular bazaviy (o‘qish va yozish) huquqlar orqali akslantiriladi. Foydala-
S4
nishni moslanuvchan boshqarishni ta’minlashga imkon bermay- digan bunday qat’iy yondashishning ishlatilishi mandatli modelda subyektning obyekt ustida bajariladigan amal nazoratlanmasligi, balki axborot oqimi nazoratlanishi bilan izohlanadi. Axborot oqimi faqat ikki xil bo’lishi mumkin: subyektdan obyektga (yozish) va obyektdan subyektga (o‘qish).
IVazorat savollari:
Bella-LaPadulaning mandatli modelini tushuntirib bering.
Xarrison-Ruzzo-Ulmanning diskretsion modeli va Bella- LaPadulaning mandatli modellarining o‘zaro farqi.
Mandatli model asosida foydalanishni nazoratlashda qo‘lla- niladigan asosiy qoidalami tushuntirib bering.
Xavfsizlikning rolli modeli
Rolli model xavfsizlik siyosatining mutlaqo o‘zgacha xili hi- soblanidiki, bu siyosat diskretsion modelga xos foydalanishni bosh- qarishdagi moslanuvchanlik bilan mandatli modelga xos foydalanishni nazoratlash qoidalarining qat’iyligi orasidagi murosaga asoslangan.
Rolli modelda “subyekf ’ tushunchasi “foydalanuvchi” va “rol” tushunchalari bilan almashtiriladi. Foydalanuvchi - tizim bilan ishlovchi va ma’lum xizmat vazifalarini bajaruvchi odam. Rol — tizimda faol ishtirok etuvchi abstrakt tushuncha bo‘lib, u bilan ma’lum faoliyatni amalga oshirish uchun zarur vakolatlarining chegaralangan, mantiqiy bog‘liq to‘plami bog‘langan.
Rol siyosati keng tarqalgan, chunki bu siyosat boshqa qat’iy va rasmiy siyosatlardan farqli o'laroq real hayotga juda yaqin. Haqi- qatan, tizimda ishlovchi f oydalanuvchi lar shaxsiy ismidan harakat qilmay, ma’lum xizmat vazifalarini amalga oshiradi, ya’ni o‘zla- rining shaxsi bilan bog‘liq bo‘lmagan qandaydir rollami bajaradi.
Shu sababli foydalanishni boshqarish va vakolatlarni berish real foydalanuvchilarga emas, balki axborot ishlashning ma’lum jarayonlari qatnashchilarini ifodalovchi abstrakt rollarga berish mantiqqa to‘g‘ri keladi. Xavfsizlik siyosatiga bunday yondashish
65
tatbiqiy axborot jarayon qatnashchilari orasida vazifa va vakolatla- rining bo‘linishini hisobga olishga imkon beradi, chunki rolli siyosat nuqtayi nazaridan axborotdan foydalanishni amalga oshiruvchi foy- dalanuvchining shaxsi emas, balki unga xizmat vazifasini o‘tashga qanday vakolatlar zarurligi ahamiyatlidir. Masalan, axborotni ish- lovchi real tizimda tizim ma’muri, ma’lumotlar bazasi menedjeri va oddiy foydalanuvchilar ishlashi mumkin.
Bunday vaziyatda rolli siyosat vakolatlami ulaming xizmat vazifalarga mos hoi da taqsimlashga imkon beradi: ma’mur roliga unga tizim ishini nazoratlashga va tizim konfiguratsiyasini boshqa- rishga imkon beruvchi maxsus vakolatlar beriladi, ma’lumotlar ba- zasining menedjeri ma’lumotlar bazasi serverini boshqarishni amalga oshirishga imkon beradi, oddiy foydalanuvchilarning huquqi esa tatbiqiy dasturlarni ishga tushirish imkonini beruvchi minimum or- qali chegaralanadi. Undan tashqari, tizimda rollar soni real foydalanuvchilar soniga mos kelmasligi mumkin - bitta foydaianuvchi, agar unga turli vakolatlami talab qiluvchi turli vazifalar yuklangan bo‘lsa. bir nechta rolni (ketma-ket yoki parallel) bajarishi mumkin, bir nechta foydalanuvchilar bir xil ishni bajarsa, ular bir xil roldan foydalanishlari mumkin.
Rolli siyosat ishlatilganida foydalanishni boshqarish ikki bos- qichda amalga oshiriladi: birinchi bosqichda har bir rol uchun obyektdan foydalanish huquqlari to‘plamidan iborat vakolatlar to‘p- lami ko‘rsatiladi, ikkinchi bosqichda har bir foydalanuvchiga uning qoiidan keladigan rollar ro‘yxati tayinlanadi. Rollarga vakolatlar eng kichik imtiyoz prinsipida tayinlanadi, ya’ni har bir foydaianuvchi o‘zining ishini bajarish uchun faqat minimal zarur vakolatlar to‘plamiga ega bo‘lishi shart.
Rolli model tizimni quyidagi to'plamlar ko‘rinishida tavsif- laydi (4.1 -rasmga qaralsin):
и
Do'stlaringiz bilan baham: |