2-маъруза. Маълумотлар базасида ахборот хавфсизлигини таъминлаш усуллари ва механизмлари

Маълумотлар хавфсизлиги моделлари

Download 200,92 Kb.

bet	4/8
Sana	18.07.2022
Hajmi	200,92 Kb.
	#823082

1 2 3 4 5 6 7 8

Bog'liq
2-маъруза

2. Маълумотлар хавфсизлиги моделлари. Хавфсизлик модели қуйидагиларни ўз ичига олади:

компьютер (ахборот) тизимининг модели;
ахборотнинг таҳдидлардан ҳимояланганлик мезонлари, принциплари, чекланишлари ва мақсад функциялари;
тизимнинг хавфсиз ишлашининг формаллаштирилган қоидалари, чекланишлари, алгоритмлари, схемалари ва механизимлари.

Аксарият хавфсизлик моделлари асосида компьютер тизимларини субъект-объект модели ётади, хусусан, автоматлаштирилган ахборот тизимларининг ядроси сифатидаги маълумотлар базаси ҳам. Компьютер тизимларининг маълумотлар базаси маълумотлар базасининг субъектига, (моҳиятан актив) маълумотлар базасининг объектига (моҳиятан пассив) ва субъектлар харакати натижасидаги объектлар устидаги жараёнларга ажратилади (2.2. расм).

2.2. расм. Маълумотлар хавфсизлиги моделларидаги компьютер тизимларининг маълумотлар базаси

Ахборот тизимлари ишлаши хавфсизлигининг иккита энг муҳим принципи маълум:

объектга нисбатан барча субъектлар ва жараёнларнинг идентификацияси ва аутентификацияси;
объектга нисбатан субъектлар ваколатларини чеклаш ва маълумотлар устидаги ҳар қандай ваколатларни текшириш шартлиги.

Мос ҳолда МББТ ядроси структурасида маълумотларни ишлашнинг барча жараёнларида белгиланган хавфсизлик сиёсатини амалга оширувчи, хавфсизлик монитори (сервери,менеджери, ядроси) деб аталувчи қўшимча компонент ажратилади (Trusted Computing Base – TCB). Ушбу компонент маълумотларни ишлашнинг барча жараёнларида хавфсизликнинг маълум сиёсатини амалга оширади. Схемотехника нуқтаи назаридан, компьютер тизимини маълумотларни ифодалаш ва улардан фойдаланиш (манипуляциялаш) компонентларини, ҳамда интерфейс ва татбиқий функцияларни амалга оширувчи устқурмани ўз ичига олувчи ядро мажмуи сифатида тасаввур этилса, хавфсизлик мониторининг роли ва ўрнини 2.3-расмда келтирилган схема орқали изоҳлаш мумкин.
Тор маънода компьютер тизими монитори амалга оширувчи хавфсизлик сиёсатининг ўзи хавфсизлик моделини аниқлайди (иккинчи ва учинчи компонентлар).
Маълумотлар хавфсизлигининг энг содда (бир сатҳли) модели фойдаланишни чеклашнинг дискрецион (танлаш) принципига асосан қурилади. Унга биноан объектдан фойдаланиш “фойдаланиш субъекти – фойдаланиш тури – фойдаланиш объекти” учлик кўринишидаги фойдаланишнинг рухсат этилган тўплами асосида амалга оширилади. Дискрецион фойдаланишни формаллаштирилган ифодасини фойдаланиш матрицаси орқали тасвирлаш мумкин. (2.4-расм).

			ЖАДВАЛЛАР
			Ходим. Ўрнатилган маълумотлар		Ходим. Конфиденциаль маълумотлар		Амаллар		Командировка		Топшириқлар
Фойдаланувчилар	Каримов	Ў, М
	Салимов	Ў		Ў		Ў, Я, М		Ў, Я, М		Ў, Я, М
	Аълоев	Ў, М, Я, Й		Ў, М, Я, Й
	Рузиев	Ў, М, Я, Й		Ў, М, Я, Й		Ў, М, Я, Й		Ў, М, Я, Й		Ў, М, Я, Й

Белгилашлар:
Ў – ўқиш;
М – модификациялаш;
Я – яратиш;
Й – йўқотиш (ёзувларни).
Фойдаланиш матрицаси маълумотлар базасининг ҳар бир объектига (жадваллар, сўровлар, шакллар, ҳисоботлар) нисбатан фойдаланувчилар (субъектлар) рўйхатини ва рухсат этилган амаллар (жараёнлар) рўйхатини ўрнатади.

2.3-расм. Компьютер тизимларида ахборотни ҳимоялашнинг схематик жиҳати
Фойдаланишни бошқариш хавфсизлик моделининг муҳим жиҳати ҳисобланади. Иккита ёндашиш мавжуд:

фойдаланишни ихтиёрий бошқариш;
фойдаланишни мажбурий бошқариш;

Фойдаланишни ихтиёрий бошқаришда объектларга эгалик тушунчаси киритилади. Фойдаланишни ихтиёрий бошқаришда объектдан фойдаланиш ҳуқуқини объект эгаси белгилайди. Бошқача айтганда, фойдаланиш матрицасининг мос катаклари маълумотлар базаси объектларига эгалик хуқуқли субъектлар (фойдаланувчилар) томонидан тўлдирилади. Аксарият тизимларда объектларга эгалик хуқуқи бошқа субъектларга узатилиши мумкин. Фойдаланишни ихтиёрий бошқаришда фойдаланишни чеклаш жараёнини ташкил этишнинг ва бошқаришнинг тўлиқ марказлаштирилмаган принципи амалга оширилади.
Бундай ёндашишда маълумотлар базасида фойдаланишни чеклаш тизимини фойдаланувчилар ва ресурсларнинг муайян мажмуига созлашнинг мосланувчанлиги таъминланади, аммо тизимдаги маълумотлар хавфсизлиги холатининг умумий назорати ва аудити қийинлашади.
Фойдаланишни бошқаришга мажбурий ёндашиш фойдаланишни ягона марказлаштирилган маъмурлашни кўзда тутади. Маълумотлар базасида махсус ишончли субъект (маъмур) ажратилади ва у (фақат у) маълумотлар базаси объектларидан фойдаланувчи барча қолган субъектларни белгилайди. Бошқача айтганда, фойдаланиш матрицаси катакларини тўлдириш ва ўзгартириш фақат тизим маъмури тарафидан амалга оширилади.
Мажбурий усул фойдаланишни қатъий марказлаштирилган бошқаришни таъминлайди. Шу билан бирга бу усулнинг фойдаланувчиларнинг эхтиёжлари ва ваколатларига, фойдаланишни чеклаш тизимини созлаш нуқтаи назаридан, мослашувчанлиги камроқ, аниқлиги пастроқ, чунки объектлар (ресурслар) таркиби ва конфиденциаллиги хусусидаги энг тўлиқ тасаввурга уларнинг эгалари эга бўладилар.
Амалда фойдаланишни бошқаришнинг комбинацияланган усули қўлланиши мумкин. Унга биноан объектлардан фойдаланиш ваколатининг маълум қисми маъмур томонидан, бошқа қисми эса объект эгалари томонидан ўрнатилади.
Анъанавий соҳаларда (компьютер соҳасида эмас) ва технологияларда ахборот хавфсизлигини таъминлашга ёндашишларнинг тадқиқи кўрсатадики, маълумотлар хавфсизлигининг бир сатҳли модели реал ишлаб чиқариш ва ташкилий схемаларни адекват акслантиришга етарли эмас. Хусусан анъанавий ёндашишлар ахборот ресурсларини конфиденциаллик даражаси (мутлақо махфий-СС, махфий-С, конфиденциаль-К ва ҳ.) бўйича категориялашдан фойдаланади. Мос ҳолда аҳборот ресурсларидан фойдаланувчи субьектлар (ходимлар)ҳам мос ишонч даражаси бўйича категорияланади. Уларга 1-даражали допуск, 2-даражали допуск ва ҳ. берилади. Допуск тушунчаси ахборотдан фойдаланишни чеклашнинг мандатли (ваколатли) принципини белгилайди. Мандатли принципга биноан 1-даражали допускга эга ходим “СС”, “С” ва “К” даражали ҳар қандай ахборот билан ишлаш ҳуқуқига эга. 2-даражали допускга эга ходим “С”ва “К” даражали ҳар қандай ахборот билан ишлаш ҳуқуқига эга. 3-даражали допускга эга ходим “К” даражали хар қандай ахборот билан ишлаш ҳуқуқига эга.
МББТда фойдаланишни чеклаш тизимини қуришнинг мандатли принципи Белл-ЛаПадула модели деб аталувчи маълумотлар хавфсизлигининг кўп сатҳли моделини амалга оширади. (2.4-расм).

2.4-расм. Маълумотлар хавфсизлигининг Белл-ЛаПадула модели.
Белл-Ла Падула моделида объектлар ва субъектлар фойдаланишнинг иерархик мандатли принципи бўйича категорияланади. 1- (энг юқори) даражали допускга эга субъект конфиденциалликнинг 1- (энг юқори) сатҳли объектларидан ва автоматик тарзда конфиденциаллик сатҳлари анча паст объектлардан (яъни 2- ва 3-сатҳли объектлардан) фойдалана олади. Мос ҳолда, 2-даражали допускга эга субъект конфиденциалликнинг 2- ва 3-сатҳли объектларидан фойдалана олади.
Белл-ЛаПадула моделида хавфсизлик сиёсатининг иккита асосий чеклашлари ўрнатилади ва мададланади:

юқорини ўқиш ман этилади (no read up - NRU);
пастга ёзиш ман этилади (no write down - NWD).

NRU чеклаш фойдаланишни чеклашнинг мандатли принципини мантиқий натижаси ҳисобланади, яъни субъектларга допусклари имкон бермайдиган юқори сатҳли конфиденциалликка эга объектлардан фойдаланиш ман этилади.
NWD чеклаш кофиденциаллиги юқори сатҳли объектлардан ахборотни нусхалаш йўли билан конфиденциаллиги бўлмаган ёки конфиденциаллиги паст сатҳли объектларга конфиденциаль ахборотнинг ўтказилишини (сирқиб чиқишини) бартараф этади.
Амалда маълумотлар базаси хавфсизлиги мониторининг реал сиёсатларида кўпинча мандатли принцип элементлари билан фойдаланишни ихтиёрий бошқаришли принципи биргаликда “кучайтирилган” фойдаланишни мажбурий бошқаришли дискрецион принцип ишлатилади (субъектлар допускини фақат маъмур белгилайди ва ўзгартиради, объектларнинг конфиденциаллик сатҳини фақат объект эгалари белгилайди ва ўзгартиради).
3. Ихтиёрий универсал компьютер тизимининг дастурий таъминоти учта асосий ташкил этувчидан иборат булади: операцион тизим (ОТ), тармок дастурий таъминоти (ТДТ) ва маълумотлар базасини бошқариш тизими (МББТ). Шунинг учун компьютер тизимларини бузишга бўлган барча уринишларни уч гурухга ажратиш мумкин:

операцион тизим даражасидаги хужум;
тармок дастурий таъминоти даражасидаги хужум;
маълумотлар базасини бошқариш тизими даражасидаги хужум.

Download 200,92 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8