Bog'liq c2cd6025c00ac082f3681c05a05fd0b0 Kiberxavfsizlik asoslari
FoydalanishniboshqarishningRBACusuli.RBAC usulida foydalanishni boshqarishning asosiy g‘oyasi tizimning ishlash prinsipini tashkilotdagi kadrlar vazifasini haqiqiy ajratilishiga maksimal darajada yaqinlashtirishdir.
RBAC usulida foydalanuvchini axborotdan foydalanilishini boshqarish uning tizimdagi harakat xiliga asoslanadi. Ushbu usuldan
foydalanish tizimdagi rollarni aniqlashni nazarda tutadi. Rol tushunchasini muayyan faoliyat turi bilan bog‘liq harakatlar va majburiyatlar to‘plami sifatida qarash mumkin. Shunday qilib, har bir obyekt uchun har bir foydalanuvchining foydalanish ruxsatini belgilash o‘rniga, rol uchun obyektlardan foydalanish ruxsatini ko‘rsatish yetarli. Bunda, foydalanuvchilar o‘z navbatida o‘zlarining rollarini ko‘rsatishadi. Biror rolni bajaruvchi foydalanuvchi rol uchun belgilangan foydalanish huquqiga ega bo‘ladi.
Umuman olganda, foydalanuvchi turli vaziyatlarda turli rollarni bajarishi mumkin. Xuddi shu rolni ba’zida bir nechta foydalanuvchilar bir vaqtning o‘zida ishlatishlari mumkin. Ba’zi tizimlarda foydalanuvchiga bir vaqtning o‘zida bir nechta rollarni bajarishga ruxsat berilsa, boshqalarida har qanday vaqtda bir-biriga zid bo‘lmagan bir yoki bir nechta rollarga cheklov mavjud bo‘lishi mumkin.
RBAC usulining asosiy afzalliklari quyidagilar:
Ma’murlashningosonligi.Foydalanishlarni boshqarishning klassik modellarida obyekt bo‘yicha muayyan amallarni bajarish huquqlari har bir foydalanuvchi yoki foydalanuvchilar guruhi uchun ro‘yxatga olingan bo‘ladi. Rolli modelda rol va foydalanuvchi tushunchalarini ajratish vazifasini ikki qismga ajratish imkonini beradi: foydalanuvchi rolini aniqlash va rol uchun obyektga bo‘lgan ruxsatni aniqlash. Ushbu yondashuv, foydalanuvchi javobgarlik sohasini o‘zgartirganida undan eski rolni olib tashlash va yangi vazifasiga mos keladigan rolni berishning o‘zi boshqaruv jarayonini sezilarli darajada soddalashtiradi. Agar foydalanish huquqi bevosita foydalanuvchi va obyektlar o‘rtasida aniqlansa, foydalanuvchining yangi huquqlarini qayta tayinlash muolajasi ko‘p harakatlarni talab etar edi.
Rollar iyerarxiyasi. Rollarning haqiqiy iyerarxiyasini yaratish orqali real biznes jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin. Har bir rol o‘z imtiyozlari bilan bir qatorda boshqa rollarning imtiyozlariga ega bo‘lishi mumkin. Ushbu yondashuv tizimni boshqarishni sezilarli darajada osonlashtiradi.
Eng kam imtiyoz prinsipi. Rolli model foydalanuvchiga tizimda kerakli vazifalarni bajarishga imkon beruvchi eng kichik rol bilan ro‘yxatdan o‘tish imkonini beradi. Ko‘plab rollarga ega foydalanuvchilar aniq bir vazifani bajarishi uchun o‘zining barcha imtiyozlaridan foydalanishi har doim ham talab etilmaydi.
Eng kam imtiyoz prinsipi tizimdagi ma’lumotlarning ishonchligini ta’minlash uchun juda muhimdir. Bu foydalanuvchiga imkoniyatlari
orasidan faqat muayyan vazifani bajarishi uchun kerak bo‘lganini berilishini talab etadi. Buning uchun rol maqsadini aniqlash, uni bajarish uchun zarur bo‘lgan imtiyozlarni to‘plash va bu asosida foydalanuvchi imtiyozlarini cheklash talab etiladi. Joriy vazifani bajarish uchun talab qilinmaydigan foydalanuvchi imtiyozlarini rad etish tizimni xavfsizlik siyosatini buzilishidan saqlaydi.
Majburiyatlarniajratish.Tizimda foydalanishlarni boshqarishning yana bir muhim prinsiplaridan biri – vazifalarni taqsimlashdir. Firibgarlikni oldini olish uchun bir shaxs tomonidan ko‘plab vazifalarni bajarish talab etilmaydigan holatlar amalda yetarlicha mavjud. Bunga misol sifatida bir kishi tomonidan to‘lov ma’lumotini yaratish va uni tasdiqlashni keltirish mumkin. Shubhasiz, bu amallarni bir shaxs bajara olmaydi. Rollarga asoslangan usul esa ushbu muammoni maksimal darajada osonlik bilan hal qilishga yordam beradi.
Rasman RBAC modelini quyidagicha tasvirlash mumkin (4.7-rasm):
Rollar iyerarxiyasi
4.7-rasm.RBACmodeliningtasviri Model quyidagi tarkibga ega: foydalanuvchilar, rollar va imtiyozlar. Foydalanuvchi inson yoki uning nomidan ish ko‘ruvchi dastur bo‘lishi mumkin. Rol foydalanuvchining tashkilotdagi faoliyati turi bo‘lsa, imtiyoz tizimning bir yoki bir nechta obyektlaridan foydalanishi uchun aniqlangan ruxsat. Tasvirdagi “rollarni foydalanuvchilarga tayinlash” va “imtiyozlarni tayinlash” munosabati ko‘pgina turga tegishli. Ya’ni, foydalanuvchi bir nechta rollarga ega bo‘lishi va bir nechta foydalanuvchi bir rolda bo‘lishi mumkin. Shunga o‘xshash, bir qancha imtiyozlar bitta rolga tegishli yoki bir nechta rollar bitta imtiyozga ega bo‘lishi mumkin. Foydalanishni boshqarishning ABAC usuli. Atributlarga asoslangan foydalanishlarni boshqarish usuli (ABAC) - obyektlar va subyektlarning atributlari, ular bilan mumkin bo‘lgan amallar va so‘rovlarga mos keladigan muhit uchun qoidalarni tahlil qilish asosida foydalanishlarni boshqaradi. Undagi qoidada har qanday turdagi attributlardan (foydalanuvchi atributlari, resurs atributlari, obyekt va muhit atributlari va h.) foydalanish mumkin. Ushbu model so‘rovni, resursni va harakatni kim bajarayotgani to‘g‘risidagi holatlar “AGAR, U HOLDA” dan tashkil topgan qoidalarga asoslanadi. Masalan, AGAR talabgor boshqaruvchi
bo‘lsa, U HOLDA maxfiy ma’lumotni o‘qish/ yozish huquqi berilsin.
Atributga asoslangan siyosat normativ talablar murakkabligini kamaytirish orqali foydalanishni boshqarishni yanada samarali amalga oshiradi. Xuddi shu atributlarga asoslangan siyosat turli tizimlarda ishlatilishi bir tashkilotda yoki hamkorlikdagi tashkilotlarda resurslardan foydalanishda muvofiqlikni boshqarishga yordam berishi mumkin. Bunday markazlashgan foydalanishni boshqarish yagona vakolatli manbani o‘z ichiga olgani bois, har bir aniq tizim talablariga o‘z siyosati bilan moslikni tekshirishni talab etmaydi.
Atributlarga asoslangan foydalanishni boshqarishdagi asosiy standartlardan biri bu - XACML (eXtensible Access Control MarkupLanguage) bo‘lib, 2001 yilda OASIS (OrganizationfortheAdvancementofStructured InformationStandards) tomonidan ishlab chiqilgan.
XACML standartida quyidagi asosiy tushunchalar mavjud: qoidalar (rules), siyosat (policy), qoidalar va siyosatni mujassamlashtirgan algoritmlar (rule-combing algorithms), atributlar (attributes) (subyekt, obyekt, harakat va muhit shartlari), majburiyatlar (obligations) va maslahatlar (advices). Qoida markaziy element bo‘lib, maqsad, ta’sir, shart, majburiyat va maslahatlarni o‘z ichiga oladi. Maqsad – subyektning obyekt ustida qanday harakatlarni amalga oshirishi (o‘qish, yozish, o‘chirish va h.). Ta’sir mantiqiy ifodalarga asoslangan va tizimdan
foydalanish uchun ruxsat,taqiq,mumkinemas,aniqlanmaganholatlaridan biriga asoslangan ruxsatni berishi mumkin. Mumkin emasbuyrug‘ining mantiqiy shart noto‘g‘ri bo‘lganida qaytarilishi, ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun aniqlanmaganta’sirning mavjudligini ko‘rsatadi. Quyida ABAC usuliga misol keltirilgan.
