MAC usuli Foydalanishning mazkur usulida foydalanish ruxsati obyektning egasi tomonidan amalga oshirilmaydi.
Masalan, Alisa TOP SECRET ruxsatnomasiga ega bo‘lgan subyektlarga ruxsat bera olmaydi. Sababi u ushbu bosqichdagi hujjatlarni to‘liq nazorat qila olmaydi. MAC usuli bilan foydalanishni boshqarishda xavfsizlik markazlashgan holatda xavfsizlik siyosati ma’muri tomonidan amalga oshiriladi. Bunda foydalanuvchi xavfsizlik siyosatini o‘zgartira olmaydi. DAC usulida esa obyektning egasi xavfsizlik siyosatini quradi va kimga foydalanish uchun ruxsat berilishini aniqlaydi.
MAC usulida foydalanishlar subyektlar va obyektlar klassifikatsiyalashga asosan boshqariladi. Tizimning har bir subyekti va obyekti bir nechta xavfsizlik darajasiga ega bo‘ladi. Obyektning xavfsizlik darajasi tashkilotda obyektning muhimlik darajasi bilan yoki yo‘qolgantaqdirda keltiradigan zarar miqdori bilanxarakterlanadi.
Subyektning xavfsizlik darajasi esa unga ishonish darajasi bilan belgilanadi.
Oddiy holda xavfsizlik darajasini: O‘ta maxfiy (O‘M), Maxfiy (M), Konfidensial (K) va Ochiq (O) shaklida yoki: O‘M > M > 𝐾𝐾 > 𝑂𝑂.
MAC asosida axborot maxfiyligini ta’minlash
Agar ob’yekt va sub’yekning xavfsizlik darajalari orasidagi bir qancha bog‘liqliklar shartlari bajarilsa u holda sub’yekt ob’yektdan foydalanish huqiqiga ega bo‘ladi. Xususan, quyidagi shartlar bajarilish kerak:
agar sub’yektning xavfsizlik darajasida ob’yektning xavfsizlik darajasi mavjud bo‘lsa, u holda o‘qish uchun ruxsat beriladi.
agar sub’yektning xavfsizlik darajasi ob’yektning xavfsizlik darajasida bo‘lsa, u holda yozishga ruxsat beriladi.
Sub’yektlar, Ob’yektlar, Ахborot оqimi. Axborot xavfsizligini ta’minlash uchun axborot oqimini boshqarish.
Axborot ishonchligini ta’minlash Axborotni konfidensiyalligini ta’minlashdan tashqari, gohida axborot ishonchligini ta’minlash ham talab etiladi. Ya’ni, obyektning ishonchlik darajasi qanchalik yuqori bo‘lsa, uning ishonchligi shunchalik yuqori va sub’yektning xavfsizlik darajasi qanchalik yuqori bo‘lsa, u tizimga yanada ishonchli ma’lumotni kiritishi mumkin. Mazkur model uchun yuqorida keltirilgan qoidalarni quyidagicha o‘zgartirish kerak:
agar sub’yektning xavfsizlik darajasida ob’yektning xavfsizlik darajasi mavjud bo‘lsa, u holda yozish uchun ruxsat beriladi.
agar sub’yektning xavfsizlik darajasi o’byektning xavfsizlik darajasida bo‘lsa, u holda o‘qishga ruxsat beriladi.
Foydalanishni boshqarishning rolli modeli (RBAC) RBAC usulida foydalanishni boshqarishning asosiy g‘oyasi tizimning ishlash logikasini tashkilotda kadrlar vazifasini haqiqiy ajratilishiga maksimal darajada yaqinlashtirilgan. RBAC usuli foydalanuvchini axborotga ruxsatini boshqarishda uning tizimdagi harakat xiliga asoslanadi.
Ushbu usuldan foydalanish tizimdagi rollarni aniqlashni nazarda tutadi. Ro‘l tushunchasini muayyan faoliyat turi bilan bog‘liq harakatlar va majburiyatlar to‘plami sifatida belgilanishi mumkin. Shunday qilib, har bir ob’yekt uchun har bir foydalanuvchini foydalanish ruxsatini belgilash o‘rniga, rol uchun ob’yektlardan foydalanish ruxsatini ko‘rsatish yetarli. Bunda foydalanuvchilar o‘z navbatida o‘zlarining rollarini ko‘rsatishadi. Biror rolni bajaruvchi foydalanuvchi rol uchun belgilangan foydalanish huquqiga ega bo‘ladi.
RBAC usulining asosiy afzalliklari quyidagilar:
1. Ma’murlashning osonligi.
Foydalanishlarni boshqarishning klassik modellarida ob’yekt bo‘yicha muayyan amallarni bajarish huquqlari har bir foydalanuvchi yoki foydalanuvchilar guruhi uchun ro‘yxatga olingan bo‘ladi. Rolli modelda rol va foydalanuvchi tushunchalarini ajratish vazifani ikki qismga ajratish imkonini beradi: foydalanuvchi rolini aniqlash va rol uchun ob’yektga ruxsatini aniqlash. Ushbu yondashuv boshqaruv jarayonini sezilarli darajada osonlashtiradi. Chunki, foydalanuvchini javobgarlik sohasini o‘zgartirganda undan eski rolni olib tashlash va unga yangi vazifasiga mos kelidagan rolni berishning o‘zi kifoya qiladi. Agar foydalanish huquqi bevosita foydalanuvchi va ob’yektlar o‘rtasida aniqlansa, shu prosedura yangi foydalanuvchi huquqlarini qayta tayinlash uchun ko‘p harakatlarni talab qiladi.
2. Rollar iyerarxiyasi.
Rollarning haqiqiy iyerarxiyasini yaratish orqali haqiqiy biznes jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin. Har bir rol o‘z imtiyozlari bilan bir qatorda boshqa rollarning imtiyozlariga ega bo‘lishi mumkin. Ushbu yondashuv tizimni boshqarishni sezilarli darajada osonlashtiradi.
3. Eng kam imtiyoz prinsipi.
Eng kam imtiyoz prinsipi tizimdagi ma’lumotlarning ishonchligini ta’minlash uchun juda muhimdir. Bu foydalanuvchiga imkoniyatlari orasidan faqat muayan vazifani bajarishi uchun kerak bo‘lganini berilishini talab etadi. Buning uchun vazifa maqsadini aniqlash, uni bajarish uchun zarur bo‘lgan imtiyozlarni to‘plash va bu asosida foydalanuvchini imtiyozlari cheklash talab etiladi. Joriy vazifani bajarish uchun talab qilinmaydigan foydalanuvchi imtiyozlarini rad etish tizimning xavfsizlik siyosatini buzilishidan saqlaydi.
4. Majburiyatlarni ajratish.
Tizimda foydalanishlarni boshqarishning yana bir muhim prinsiplaridan biri bu vazifalarni taqsimlashdir. Firibgarlikni oldini olish uchun bir shaxs tomonidan ko‘plab vazifalarni bajarib bo‘lmaydigan holatlar amalda yetarli mavjud. To‘lovni yaratish va uni tasdiqlash bunga misoldir.
Shubhasiz bu amallarni bir shaxs bajara olmaydi. Rollarga asoslangan usul esa ushbu muammoni maksimal darajada osonlik bilan hal qilishga yordam beradi. ABAC modeli Attributlarga asoslangan foydalanishlarni boshqarish usuli (ABAC) ob’yektlar va sub’yektlarning atributlari, ular bilan mumkin bo‘lgan amallar va so‘rovlarga mos keladigan muhit uchun qoidalarni tahlil qilish asosida foydalanishlarni boshqaradi. Qoidada har qanday turdagi attributlardan (foydalanuvchi attributlari, resurs attributlari, obyekt va muhit attributlari va hak.) foydalanish mumkin. Ushbu model so‘rovni, resursni va harakatni kim bajarayotgani to‘g‘risidagi holatlar “AGAR, U HOLDA” dan tashkil topgan qoidalarga asoslanadi. Masalan, AGAR talabgor boshqaruvchi bo‘lsa, U HOLDA maxfiy ma’lumotni o‘qish/ yozish huquqi berilsin.
Attributlarga asoslangan foydalanishni boshqarishdagi asosiy standartlardan biri bu XACML (eXtensible Access Control Markup Language) bo‘lib, 2001 yilda ishlab OASIS (Organization for the Advancement of Structured Information Standards) chiqilgan.
XACML standartida asosiy tushunchalar bular: qoida (rules), siyosat (policy), qoida va siyosatni mujassamlashtirgan algoritmlar (rule-combing algorithms), attributlar (attributes) (subyekt, obyekt, harakat va muhit shartlari), majburiyatlar (obligations) va maslahatlar (advices). Qoida markaziy element bo‘lib, o‘zida maqsad, ta’sir, shart, majburiyat va maslahatlarni o‘z ichiga oladi. Maqsad – bu sub’yekt ob’yekt ustida nima harakat qilishidir (o‘qish, yozish, o‘chirish va hak.). Ta’sir mantiqiy ifodalarga asoslangan bo‘ladi va tizim foydalanish uchun ruxsat, taqiq, mumkin emas, aniqlanmagan holatlaridan biri bo‘lgan ruxsatni berishi mumkin. Mumkin emas buyrug‘i mantiqiy shart noto‘g‘ri bo‘lganda qaytarilsa, ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun aniqlanmagan ta’sirini ko‘rsatadi.
Qoidaga misol:
Maqsad Bemorni tibbiy kartasidan qon guruhini bilish Harakat Ruxsat Ruxsat.
