14-Mavzu: Kirish ro‘yxatlarini tayinlash. Kirish
Kirishni boshqarish ro'yxatlari
Download 91.35 Kb.
|
14mavzu
- Bu sahifa navigatsiya:
- Afzalliklari
- Kamchiliklari
- Ixtiyoriy boshqaruvning kamchiliklari
|
Kirishni boshqarish ro'yxatlari
Kirish matritsasi, siyrakligi sababli (hujayralarning aksariyati bo'sh), ikki o'lchovli massiv sifatida saqlash oqilona emas. Odatda u ustunlarda saqlanadi, ya'ni har bir ob'ekt uchun "ruxsat berilgan" sub'ektlar ro'yxati va ularning huquqlari qo'llab - quvvatlanadi, ular kirishni boshqarish ro'yxatlari (ACL access control list) deb nomlanadi. Ko'pincha DAC modeli egalari tomonidan belgilanadigan kirishni boshqarish ro'yxatlari (ACL) orqali amalga oshiriladi. Ro'yxat elementlari guruh nomlari va mavzu shablonlari bo'lishi mumkin. Kirishni boshqarish ro'yxatlari juda moslashuvchan vositadir. Ro'yxatlar orqali huquqlarni qo'shish yoki kirishni aniq taqiqlash oson. Ro'yxatlar tasodifiy kirishni boshqarishning eng yaxshi vositasidir. Operatsion tizimlar va ma'lumotlar bazasini boshqarish tizimlarining aksariyati o'zboshimchalik bilan kirishni boshqarishni amalga oshiradilar. Ushbu turdagi matritsa vazifasi, masalan, Windows NT-da (NTFS-da) amalga oshiriladi. Afzalliklari: * xotirani tejash, chunki kirish matritsasi odatda juda kam uchraydi; * berilgan ob'ektga kirishning har qanday turiga ega bo'lgan sub'ektlar to'g'risida ma'lumot olish qulayligi; Ixtiyoriy boshqaruvning asosiy afzalligi moslashuvchanlikdir, chunki har bir sub'ekt-ob'ekt juftligi uchun kirish huquqlari mustaqil ravishda o'rnatilishi mumkin. Kamchiliklari: * sub'ektlarning vakolatlarini meros qilib olishda cheklovlar va bog'liqliklarni kuzatishda noqulaylik; * ushbu mavzu kirish huquqiga ega bo'lgan ob'ektlar to'g'risida ma'lumot olishning noqulayligi; * kirishni boshqarish ro'yxatlari ob'ekt bilan bog'liq bo'lganligi sababli, mavzuni o'chirishda ob'ekt mavjud bo'lmagan mavzu uchun mavjud bo'lishi mumkin bo'lgan vaziyat yuzaga kelishi mumkin. Ixtiyoriy boshqaruvning kamchiliklari: 1) kirishni boshqarishning tarqalishi nafaqat tizim operatorlari yoki administratorlari, balki ko'plab foydalanuvchilar ishonchli bo'lishi kerakligiga olib keladi. Maxfiy ma'lumotlarga ega bo'lgan xodimning beparvoligi yoki qobiliyatsizligi sababli, boshqa barcha foydalanuvchilar ushbu ma'lumotni bilib olishlari mumkin. Shuning uchun boshqaruvning o'zboshimchaliklari tanlangan xavfsizlik siyosatini amalga oshirish ustidan qattiq nazorat bilan to'ldirilishi kerak. 2) kirish huquqlari ma'lumotlardan alohida mavjud. Maxfiy ma'lumotlarga kirish huquqiga ega bo'lgan foydalanuvchini uni hamma uchun mavjud bo'lgan faylga yozishga yoki foydali yordam dasturini "troyan" hamkasbi bilan almashtirishga hech narsa to'sqinlik qilmaydi. Huquqlar va ma'lumotlarning bunday "bo'linishi" bir nechta tizimlarning kelishilgan xavfsizlik siyosatini olib borishini sezilarli darajada murakkablashtiradi va eng muhimi, izchillikni samarali nazorat qilishni deyarli imkonsiz qiladi. Kirish matritsasini ifodalash usulini hisobga olgan holda, siz matritsa aniq saqlanmaydigan usuldan foydalanishingiz mumkin, lekin har safar tegishli hujayralar tarkibini hisoblang. Masalan, kirishni majburiy boshqarishda mavzu va ob'ektning xavfsizlik belgilarini taqqoslash qo'llaniladi. Mantiqiy kirishni boshqarish vositalari ustidagi qulay qo'shimcha-bu foydalanuvchi ruxsatsiz harakatlarni amalga oshirishga urinish imkoniyatidan mahrum bo'lganda, unga faqat kirish huquqiga ega bo'lgan ob'ektlarni o'z ichiga olgan cheklangan interfeys. Shunga o'xshash yondashuv odatda menyu tizimida (foydalanuvchiga faqat ruxsat etilgan tanlovlar ko'rsatiladi) yoki Unix OS-dagi cheklangan qobiq kabi cheklovchi qobiqlar orqali amalga oshiriladi. Ob'ektni identifikatsiyalash asosida kirishni boshqarishni amalga oshirishda DAC tizimlari sub'ektni identifikatsiyalash asosida kirishni ta'minlaydi yoki rad etadi. Identifikatsiya foydalanuvchi darajasida ham, guruhga a'zolik darajasida ham amalga oshirilishi mumkin. Masalan, ma'lumotlar egasi o'z fayliga (foydalanuvchi identifikatori) va buxgalteriya guruhiga (guruh identifikatori) kirish huquqini berishi mumkin. Bunday holda, sub'ektlarning vakolatlari ro'yxatlari tuziladi Download 91.35 Kb. Do'stlaringiz bilan baham: 
|