3- amaliy ish Mavzu: Ma’lumotlarga nisbatan ruxsatlarni mantiqiy boshqarish
Download 0.74 Mb. Pdf ko'rish
|
3- AMALIY ISH TOPSHIRIGI
- Bu sahifa navigatsiya:
- Ma’lumotlarga nisbatan ruxsatlarni boshqarishni “Galstuk – babochka” tahlili usuli orqali tahlil qilish
- Foydalanishni boshqarish modellari
- Foydalanishni nazorat tizimlari
- MAC asosida axborot maxfiyligini ta’minlash
- Sub’yektlar Ob’yektlar
- 713-19 AXu № Gurux Mavzu
- 716-19 AXu № Gurux Mavzu
- 510-19 TTu № Gurux Mavzu
- 512-19 AVu № Gurux Mavzu
|
3- amaliy ish Mavzu: Ma’lumotlarga nisbatan ruxsatlarni mantiqiy boshqarish Foydalanuvchilar muvaffaqiyatli autentifikatsiyadan o‘tgandan keyingi avtorizatsiya jarayoni juda muhim hisoblanadi, chunki ma’lumotlarga nisbatan ruxsatlarni boshqarish tizimdagi axborotni va tizimning o‘zini himoyalashning muhim elementi hisoblanadi. Himoyalangan ma’lumotlarga nisbatan ruxsatlar cheklangan bo‘lishi hamda faqat va faqat ruxsati mavjud foydalanuvchilarning undan foydalanishga ruxsati bo‘lishi lozim.
Ushbu tahlil usuli orqali foydalanuvchilarning autentifikatsiyadan o‘tgandan keyin ma’lumotlarga nisbatan ruxsatlarni boshqarishda mavjud salbiy ta’sirlarning sabablari hamda uning ortidan kelib chiqadigan salbiy oqibatlarni o‘ganish hamda tizining mukkamal ishlashi uchun salbiy ta’sirlarni bartaraf qilishdan iborat.
3.1- rasm. “Galstuk-babochka” diagrammasiga misol Ushbu ishni bajarishda quyidagi amallarni bajarishi mumkin: 1. Ko‘zda tutilgan tizimdagi ma’lumotlarga nisbatan ruxsatlarni boshqarish hodisasi uchun salbiy ta’sirlarning sabablari ro‘yhatini tuzish. 2. O‘rganilayotgan hodisada keltirilgan sabablarni rivojlantirishga yordam beradigan faktorlarni inobatga olish hamda ushbu faktorlarga to‘sqinlik qiluvchi nazorat to‘siqlarni keltirish. 3. Hodisaga olib keluvchi sabablarga to‘sqinlik qiluvchi ya’ni profilaktika choralarini keltirish. 4. Ko‘zda tutilgan hodisaning ro‘y bergandan keyin ro‘y berishi mumkin bo‘lgan oqibatlarni keltirish. 5. Hodisaning oqibatlarini rivojlanishiga to‘lqinlik qiuluvchi to‘siqlarni namoyish qilish.
Hozirda tizimlarda obyektlarni boshqarish uchun turlicha usullar mavjud bo‘lib, ularga quyidigalarni misol keltirish mumkin: • diskretsion foydalanishni boshqarish usuli (Discretionary access control, DAC); • mandatli foydalanishni boshqarish usuli (Mandatory access control, MAC); • rolga asoslangan foydalanishni boshqarish usuli (Role-based access control, RBAC); • attributlarga asoslangan foydalanishni boshqarish usuli (Attribute- based access control, ABAC). Tizimda
ushbu foydalanish usullari bir-biridan alohida-alohida foydalanilishi talab etilmaydi va ularning kombinatsiyasidan ham foydalanish mumkin (3.2- rasm).
Foydalanishni nazorat tizimlari Diskretsion Mondatli Rolga asoslangan Foydalanishni nazorat tizimlari
3.2- rasm. Foydalanishni boshqarish tizimlari DAC usuli Foydalanishni boshqarishning mazkur usuli tizimdagi shaxsiy obyektlarni himoyalash uchun qo‘llaniladi. Bunga ko‘ra obyekt egasining o‘zi undan foydalanish huquqini va kirish turini o‘zi belgilaydi. DAC da subyektlar tomonidan obyektlarni boshqarish subyektlarning identifikatsiya axborotiga asoslanadi. Masalan, UNIX operasion tizimida fayllarni himoyalashda, fayl egasi qolganlarga o‘qish (r), yozish (w) va bajarish (x) amallaridan bir yoki bir nechtasini berishi mumkin. Umumiy holda DAC usuli aksariyat operatsion tizimlarda foydalanishlarni boshqarish uchun foydalaniladi. MAC usuli Foydalanishning mazkur usulida foydalanish ruxsati obyektning egasi tomonidan amalga
oshirilmaydi. Masalan, Alisa TOP
SECRET ruxsatnomasiga ega bo‘lgan subyektlarga ruxsat bera olmaydi. Sababi u ushbu bosqichdagi hujjatlarni to‘liq nazorat qila olmaydi. MAC usuli bilan foydalanishni boshqarishda xavfsizlik markazlashgan holatda xavfsizlik siyosati ma’muri tomonidan amalga oshiriladi. Bunda foydalanuvchi xavfsizlik siyosatini o‘zgartira olmaydi. DAC usulida esa obyektning egasi xavfsizlik siyosatini quradi va kimga foydalanish uchun ruxsat berilishini
aniqlaydi. MAC
usulida foydalanishlar subyektlar va
obyektlar klassifikatsiyalashga asosan boshqariladi. Tizimning har bir subyekti va obyekti bir nechta xavfsizlik darajasiga ega bo‘ladi. Obyektning xavfsizlik darajasi tashkilotda obyektning muhimlik darajasi bilan yoki
yo‘qolgantaqdirda keltiradigan zarar miqdori
bilanxarakterlanadi. Subyektning xavfsizlik darajasi esa unga ishonish darajasi bilan belgilanadi. Oddiy holda xavfsizlik darajasini: O‘TA MAXFIY (O‘M), MAXFIY (M), KONFIDENSIAL (K) va OChIQ (O) shaklida yoki: O‘M > M > 𝐾𝐾 > 𝑂𝑂.
Agar ob’yekt va sub’yekning xavfsizlik darajalari orasidagi bir qancha bog‘liqliklar shartlari bajarilsa u holda sub’yekt ob’yektdan foydalanish huqiqiga ega bo‘ladi. Xususan, quyidagi shartlar bajarilish kerak: • agar sub’yektning xavfsizlik darajasida ob’yektning xavfsizlik darajasi mavjud bo‘lsa, u holda o‘qish uchun ruxsat beriladi. • agar sub’yektning xavfsizlik darajasi ob’yektning xavfsizlik darajasida bo‘lsa, u holda yozishga ruxsat beriladi (3.3- rasm). • O‘М
М К О 4 3 2 1 O ‘q ish O ‘q ish O ‘q ish O ‘q ish Y oz ish Y oz ish Y oz ish Y oz ish Sub’yektlar Ob’yektlar А х bo ro t о qim i
3.3- rasm. Axborot xavfsizligini ta’minlash uchun axborot oqimini boshqarish
Axborotni konfidensiyalligini ta’minlashdan tashqari, gohida axborot ishonchligini ta’minlash ham talab etiladi. Ya’ni, obyektning ishonchlik darajasi qanchalik yuqori bo‘lsa, uning ishonchligi shunchalik yuqori va sub’yektning xavfsizlik darajasi qanchalik yuqori bo‘lsa, u tizimga yanada ishonchli ma’lumotni kiritishi mumkin. Mazkur model uchun yuqorida keltirilgan qoidalarni quyidagicha o‘zgartirish kerak: • agar sub’yektning xavfsizlik darajasida ob’yektning xavfsizlik darajasi mavjud bo‘lsa, u holda yozish uchun ruxsat beriladi. • agar sub’yektning xavfsizlik darajasi o’byektning xavfsizlik darajasida bo‘lsa, u holda o‘qishga ruxsat beriladi. Ko‘rinib turgani kabi ularning o‘rni almashgan (3.4- rasm). O‘М
М К О 4 3 2 1 Y oz is h Y oz is h Y oz is h Y oz is h O ‘qis h O ‘qis h O ‘qis h O ‘qis h
Ob’yektlar А х bo ro t о qim i
3.4- rasm. Ma’lumot ishonchligini ta’minlash uchun axborot oqimini boshqarish Foydalanishni boshqarishning rolli modeli (RBAC) RBAC usulida foydalanishni boshqarishning asosiy g‘oyasi tizimning ishlash logikasini tashkilotda kadrlar vazifasini haqiqiy ajratilishiga maksimal darajada yaqinlashtirilgan. RBAC usuli foydalanuvchini axborotga ruxsatini boshqarishda uning tizimdagi harakat xiliga asoslanadi.
Ushbu usuldan foydalanish tizimdagi rollarni aniqlashni nazarda tutadi. Ro‘l tushunchasini muayyan faoliyat turi bilan bog‘liq harakatlar va majburiyatlar to‘plami sifatida belgilanishi mumkin. Shunday qilib, har bir ob’yekt uchun har bir foydalanuvchini foydalanish ruxsatini belgilash o‘rniga, rol uchun ob’yektlardan foydalanish ruxsatini ko‘rsatish yetarli. Bunda
foydalanuvchilar o‘z navbatida o‘zlarining rollarini ko‘rsatishadi. Biror rolni bajaruvchi foydalanuvchi rol uchun belgilangan foydalanish huquqiga ega bo‘ladi. RBAC usulining asosiy afzalliklari quyidagilar: 1. Ma’murlashning osonligi. Foydalanishlarni boshqarishning klassik modellarida ob’yekt bo‘yicha muayyan amallarni bajarish huquqlari har bir foydalanuvchi yoki foydalanuvchilar guruhi uchun ro‘yxatga olingan bo‘ladi. Rolli modelda rol va foydalanuvchi tushunchalarini ajratish vazifani ikki qismga ajratish imkonini beradi: foydalanuvchi rolini aniqlash va rol uchun ob’yektga ruxsatini aniqlash. Ushbu yondashuv boshqaruv jarayonini sezilarli darajada osonlashtiradi. Chunki, foydalanuvchini javobgarlik sohasini o‘zgartirganda undan eski rolni olib tashlash va unga yangi vazifasiga mos kelidagan rolni berishning o‘zi kifoya qiladi. Agar foydalanish huquqi bevosita foydalanuvchi va ob’yektlar o‘rtasida aniqlansa, shu prosedura yangi foydalanuvchi huquqlarini qayta tayinlash uchun ko‘p harakatlarni talab qiladi. 2. Rollar iyerarxiyasi. Rollarning haqiqiy iyerarxiyasini yaratish orqali haqiqiy biznes jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin. Har bir rol o‘z imtiyozlari bilan bir qatorda boshqa rollarning imtiyozlariga ega bo‘lishi mumkin. Ushbu yondashuv tizimni boshqarishni sezilarli darajada osonlashtiradi.
Eng kam imtiyoz prinsipi tizimdagi ma’lumotlarning ishonchligini ta’minlash uchun juda muhimdir. Bu foydalanuvchiga imkoniyatlari orasidan faqat muayan vazifani bajarishi uchun kerak bo‘lganini berilishini talab etadi. Buning uchun vazifa maqsadini aniqlash, uni bajarish uchun zarur bo‘lgan imtiyozlarni to‘plash va bu asosida foydalanuvchini imtiyozlari cheklash talab etiladi. Joriy vazifani bajarish uchun talab qilinmaydigan foydalanuvchi imtiyozlarini rad etish tizimning xavfsizlik siyosatini buzilishidan saqlaydi. 4. Majburiyatlarni ajratish. Tizimda
foydalanishlarni boshqarishning yana bir
muhim prinsiplaridan biri bu vazifalarni taqsimlashdir. Firibgarlikni oldini olish uchun bir shaxs tomonidan ko‘plab vazifalarni bajarib bo‘lmaydigan holatlar amalda yetarli mavjud. To‘lovni yaratish va uni tasdiqlash bunga misoldir. Shubhasiz bu amallarni bir shaxs bajara olmaydi. Rollarga asoslangan usul esa ushbu muammoni maksimal darajada osonlik bilan hal qilishga yordam beradi.
Attributlarga asoslangan foydalanishlarni boshqarish usuli (ABAC) – ob’yektlar va sub’yektlarning atributlari, ular bilan mumkin bo‘lgan amallar va so‘rovlarga mos keladigan muhit uchun qoidalarni tahlil qilish asosida foydalanishlarni boshqaradi. Qoidada har qanday turdagi attributlardan (foydalanuvchi attributlari, resurs attributlari, obyekt va muhit attributlari va hak.) foydalanish mumkin. Ushbu model so‘rovni, resursni va harakatni kim bajarayotgani to‘g‘risidagi holatlar “AGAR, U HOLDA” dan tashkil topgan qoidalarga asoslanadi. Masalan, AGAR talabgor boshqaruvchi bo‘lsa, U HOLDA maxfiy ma’lumotni o‘qish/ yozish huquqi berilsin. Attributlarga asoslangan foydalanishni boshqarishdagi asosiy standartlardan biri bu XACML (eXtensible Access Control Markup Language) bo‘lib, 2001 yilda ishlab OASIS (Organization for the Advancement of Structured Information Standards) chiqilgan. XACML standartida asosiy tushunchalar bular: qoida (rules), siyosat (policy), qoida va siyosatni mujassamlashtirgan algoritmlar (rule-combing algorithms), attributlar (attributes) (subyekt, obyekt, harakat va muhit shartlari), majburiyatlar (obligations) va maslahatlar (advices). Qoida markaziy element bo‘lib, o‘zida maqsad, ta’sir, shart, majburiyat va maslahatlarni o‘z ichiga oladi. Maqsad – bu sub’yekt ob’yekt ustida nima harakat qilishidir (o‘qish, yozish, o‘chirish va hak.). Ta’sir mantiqiy ifodalarga asoslangan bo‘ladi va tizim foydalanish uchun ruxsat, taqiq, mumkin emas, aniqlanmagan holatlaridan biri bo‘lgan ruxsatni berishi mumkin. Mumkin emas buyrug‘i mantiqiy shart noto‘g‘ri bo‘lganda qaytarilsa, ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun aniqlanmagan ta’sirini ko‘rsatadi. Qoidaga misol: Maqsad Bemorni tibbiy kartasidan qon guruhini bilish Harakat Ruxsat
Ruxsat Sub’yekt.Lavozimi=Vrach & muhit.vaqt >= 8:00 & muhit.vaqt <=18:00 Majburiyat Tibbiy yozuvini ko‘rish sanasini (muhit.vaqt) ro‘yxatga olish jurnalida ko‘rsatish. Topshiriqlar: 1. Har bir talaba tomonidani ma’lumotlarga nisbatan ruxsatlarni boshqarishni “Galstuk-babochka” tahlili usuli orqali ixtiyoriy mavjud tizimni yoki ko‘zda tutilgan tizmini tahlili amalga oshirilsin. 2. Har bir talaba tomonidan ixtiyoriy mavjud tizimni ma’lumotlarga nisbatan ruxsatlarni boshqarishda, qaysi foydalanishni boshqarish modeli asosida amalga oshirilganini tahlili tasniflansin yoki foydalanishni boshqarish modellari asosida ma’lumotlarga nisbatan ruxsatlarni boshqarish tizimi ishlab chiqilsin. 3. Har bir talaba tomonidan ko‘zda tutilgan tizim uchun ma’lumotlarga nisbatan ruxsatlarni boshqarish siyosatini ishlab chiqilsin. 4. Har bir talaba tomonidan o‘qituvchi tomonidan berilgan nazorat savollarga yozma javob berilsin.
TOPSHIRIQLAR 710-19 AXu № Gurux Mavzu 1. Abdulatibov Javlonbek
O‘zbekiston havo yo‘llari axborot himoyasini ta’minlash 2.
Abduolimov Muhammadshukur 3. Anvarov Shohmurod 4. Davronov Shaxzod
O‘zbekiston temir yo‘llari axborot tizimini himoyalash 5. Eshmurodov Sultonbek 6. Malikov Asliddin 7. Miraxmetova Sabina TATU axborot himoyasini ta’minlash 8. Mirzayev Ozod 9. Mustafoyeva Mohlaroyim 10. Nurimov Xumoyun Mobil aloqa kompaniyasi axborot himoyasini ta’minlansin 11. Rabbimov Xumoyun 12. Ravshanov Diyorbek 13. Reymboyev Sirojiddin Markaziy bank uchun ma’lumotlar himoyasi ta’minlansin 14. Risboyev Yorqinjon 15. Shorustamov Husan 16. Sotiboldiyev Jamshid Aloqa vazirligi axborot himoyasi ta’minlansin 17. Temirboyev Shohruh 18. Topilov Javohir 19. Torayev Javohir Uzcard to’lov tizimi axborot himoyasi ta’minlansin 20. Tulaganov Jamshidjon 21. Xolmurodov Dilmurod 22. Yaqubov Qamariddin 23. Yarasheva Matluba 713-19 AXu № Gurux Mavzu 1.
Beshimov Javoxir
O‘zbekiston havo yo‘llari axborot himoyasini ta’minlash 2.
Djalolov Muxriddin 3.
Husanov Alimardon 4.
Ismoilov Xurshid
O‘zbekiston temir yo‘llari axborot tizimini himoyalash 5.
Jamoldinov Xojiakbar 6.
Kamolitidinov Ulugbek 7.
Mahmanazarova Zebo TATU axborot himoyasini ta’minlash 8. Mamanazarov Behruz 9. Mirfayozov Xikmatilla 10. Mirzayev Erali Mobil aloqa kompaniyasi axborot himoyasini ta’minlansin 11. Muxtorov Sharof 12. Obloyev Komronbek 13. Ochilov Ogabek Markaziy bank uchun ma’lumotlar himoyasi ta’minlansin 14. Rajabov Murodullo 15. Rustamov Nurillo 16. Shorahimov Asadbek Aloqa vazirligi axborot himoyasi ta’minlansin
17. Sultonov Jaxongir 18.
Toshpolatov Abdulaziz 19.
Toxtasinov Ixtiyorjon 20.
Toychiyev Xondamir Uzcard to’lov tizimi axborot himoyasi ta’minlansin 21.
Turakulov Shaxzod 22.
Usmonov Hofizullo 23.
Zahritdinov Sardor 716-19 AXu № Gurux Mavzu 1.
Adizov Shaxboz
O‘zbekiston havo yo‘llari axborot himoyasini ta’minlash 2.
Aktamov Farrux 3.
Avganov Shaxbozjon 4.
Haydarov Akbar
O‘zbekiston temir yo‘llari axborot tizimini himoyalash 5.
Homidov Qudratillo 6.
Karimov Alisher 7.
Sulaymonov Javlonbek TATU axborot himoyasini ta’minlash 8. Topvoldiyev Faxriddin 9. Umirzoqov Ahror 10. Valiyev Davronbek Mobil aloqa kompaniyasi axborot himoyasini ta’minlansin 11. Atabekov Asadbek 12. Erkinov Ibroxim
13.
Qochqorov Isfandiyor Markaziy bank uchun ma’lumotlar himoyasi ta’minlansin
14. Rahimqulov Muhammadjon 15.
Dehqonov Dilshod 16.
Rustamov Javohir 17.
Ubaydullayev Abduvaxob Aloqa vazirligi axborot himoyasi ta’minlansin
18.
Xatamov Ravshan 19.
Sharibjonov Ziyodulla 20.
Alisherov Muhammadali 21.
Bahodirov Behruz Uzcard to’lov tizimi axborot himoyasi ta’minlansin 22.
Xasanov Sherzod 23.
Sapayev Tohirjon 24.
Mustafayev Farrux
510-19 TTu № Gurux Mavzu 1.
Alimbayev Arslonbek Mobil aloqa kompaniyasi axborot himoyasini ta’minlansin 2.
Qoxorjonov Akbarjon 3.
Yetovqoziyev Otabek 4.
Abirqulov Sulton 5.
Hasanov Behzod 6.
Urozboyev Dilshod Aloqa vazirligi axborot himoyasi ta’minlansin
7.
Yo'ldoshev Jahongir 8.
Kamolov Murtazo 9.
Sultonov Quvonchbek 10.
Hamroyev Doston 11.
Ergashev Farruh TATU axborot himoyasini ta’minlash 12. Eshmurodov Jahongir 13. Ilyosov Izzatbek 14. Boltaboyev Ravshanbek 15. Shukurulloyev Shahobjon Markaziy bank uchun ma’lumotlar himoyasi ta’minlansin
16.
To'xtasinov Faryozbek 17.
Baxtiyorov Abbos 18.
Gulomov Jaloliddin 19.
Erkinov Azizbek 512-19 AVu № Gurux Mavzu 1.
Abduqodirov Sardor TATU axborot himoyasini ta’minlash
2.
Abutolibov Asadbek 3.
Amirov Shohzod 4.
Axmadjonov Abdulaziz 5.
Erkinov Ulug'bek
Mobil aloqa kompaniyasi axborot himoyasini ta’minlansin 6.
Ikromov Shaxzod 7.
Jovliyev Ulugbek 8.
Mirodilov Asror 9.
Mirsharipov Mirfazl
O‘zbekiston havo yo‘llari axborot himoyasini ta’minlash
10. Mirzoyarov Davron 11. Norov Azizbek 12. Pardaboyev Temurbek 13. Qobulov Nurbek Markaziy bank uchun ma’lumotlar himoyasi ta’minlansin
14.
Qosimov Faxriyor 15.
Raimov Xushnudbek 16.
Ramazonov Axtam 17.
Raxmonov Abdulaziz
Uzcard to’lov tizimi axborot himoyasi ta’minlansin 18.
Raxmonov Xusniddin 19.
Rixsiboyev Otabek 20.
Satimov Jamoliddin 21.
Sotvoldiyev Javohirbek
Aloqa vazirligi axborot himoyasi ta’minlansin
22. Tursunboyev Sherzod 23.
Xikmatullayev Lazizbek 24.
Xolboyev Anvarjon 25.
Xoliqulov Alisher O‘zbekiston temir yo‘llari axborot tizimini himoyalash
26. Xotamaliyev Elyorbek 27.
Yuldoshev Sohibjon 28.
Yunusov Javlonbek Nazorat savollari: 1. Qaysi model asosida foydalanuvilarning shaxsiy ma’lumotlarini himoyasi ta’minlanadi. 2. MAC modeli asosida ma’lumotlar qanday hususiyatlari ta’minlanadi. 3. MAC asosida ma’lumotlar maxfiyligi qanday shartta bajariladi. 4. MAC asosida ma’lumotlar ishonchliligi qanday shartta bajariladi. 5. MAC modelida xavfsizlik darajalari qanday ifodalanadi. 6. Qaysi modelda foydalanishni boqarish markazlashgan holda amalga oshiriladi. 7. Rolli modelda ruxsatlarni boshqarish qanday amalga oshiriladi. 8. Rolli modelning asosiy qanday afzalliklari mavjud. 9. Rolli modelda imtiyozlar merosi nimani anglatadi. 10. Attributlarga asoslangan foydalanishni boqarish qanday amalga oshiriladi. 11. Attributlarga asoslangan foydalanishni boqarishda foydalanish uchun qanday ruxsatlar beriladi. Download 0.74 Mb. Do'stlaringiz bilan baham: 
|