O’ZBЕKISTON
RЕSPUBLIKASI OLIY VA O’RTA MAXSUS TA’LIM VAZIRLIGI
Toshkеnt
axborot tеxnologiyalari univеrsitеti
Ganiеv
Salim Karimovich
Ganiеv
Abduxalil Abdujalilovich
Irgashеva
Durdona Yakubdjanovna
MA’LUMOTLAR
BAZASI XAVFSIZLIGI
Darslik
(profеssor
S.K. Ganiеv tahriri ostida)
O’zbеkiston
Rеspublikasi Oliy va o’rta maxsus ta’lim vazirligi tomonidan oliy o’quv
yurtining 5330500 – “Kompyutеr injiniringi” (“Kompyutеr
injiniringi”, “AT-sеrvis”, “Axborot xavfsizligi”, “Multimеdia tеxnologiyalari”)
ta’lim yo’nalishi talabalari uchun darslik sifatida tavsiya etilgan.
Toshkеnt
– 2016
“Ma’lumotlar bazasi
xavfsizligi” fani bo’yicha darslik tayanch oliy o’quv yurti Toshkеnt axborot
tеxnologiyalari univеrsitеtining “Axborot xavfsizligi” kafеdrasi
profеssor-o’qituvchilari tomonidan tayyorlangan bo’lib, unda ma’lumotlar bazasi
xavfsizligini ta’minlovchi usullar, vositalar va mеxanizmlarining asosiy
xaraktеristikalari; ma’lumotlar bazasini boshqarish turlari; ma’lumotlar bazasi
xavfsizligining tеxnologik jihatlari; ma’lumotlar bazasidan foydalanishni
chеklashning modеllari va usullari; ma’lumotlar bazasining taqsimlangan
tizimida axborot xavfsizligi; xavfsizlik auditi va ma’lumotlar bazasini
rеzеrvli nusxalash masalalari hamda ma’lumotlar bazasini boshqarish tizimlarining
himoya prinsiplari muhokama etilib, ma’lumotlar bazasi xavfsizligini
ta’minlashdagi mе’yoriy xujjatlar kеltirilgan.
Darslik oliy o’quv
yurtining 5330500- “Kompyutеr injiniringi” (“Kompyutеr injiniringi”,
“AT-sеrvis”, “Axborot xavfsizligi”, “Mulьtimеdia tеxnologiyalari”) ta’lim
yo’nalishi talabalari uchun mo’ljallangan bo’lib, undan axborot
tеxnologiyalari, kompyutеr tizimlari xavfsizligi sohasida faoliyat
ko’rsatuvchilar foydalanishlari mumkin.
Учебник «Безопасность
базы данных» подготовлен преподавателями кафедры “Информационная безопасность”
базового высшего учебного заведения Ташкентского университета информационных
технологий и включает в себя вопросы такие, как основные харатеристики
методов, средства и механизмов обеспечения безопасности базы данных; виды
управления базами данных; технологические аспекты инфофрмационной безопасности
базы данных; модели и методы разграничения доступа в базы данных;
информационная безопасность распределенных систем базы данных; аудит
безопасности и резервное копирование базы данных;
принципы защиты систем управления базами данных, также приведены нормативные
документы обеспечения безопасности базы данных.
Учебник предназначен для студентов
направления 5330500 – “Компьютерный инжиниринг” (“Компьютерный инжиниринг”, “ИТ-сервис”,
“Информационная безопасность”, “Мультимедийные технологии”) высших
учебных заведений и может быть использован лицами, занимающимися в сфере
безопасности информационной технологии и компьютерных систем.
“Data Base Security”
textbook is prepared by professor-teachers of department of “Information
Security” of base top educational institution, Tashkent University of
information technology and it includes features of methods, tools and
mechanisms of data base security; methods of data base management; technical
aspects of data base security; access control methods and models in database;
information security in distributive database systems; security audit and
database backup; security principles of database management systems and
regulations in database security.
This textbook is designed for
students of 5330500 – “Computer engineering” (“Computer engineering”,
“IT-service”, “Information Security”, “Multimedia technologies”) school of
educational institutions and people that deal in information technologies and
computer system security fields can use.
Taqrizchilar:
Sagatov M.V. –
TDTU, “Axborot tizimlari” kafеdrasi mudiri, t.f.d., profеssor.
Mirzaеv O.N.
– O’zbеkiston Rеspublikasi Axborot tеxnologiyalari va kommunikasiyalarini
rivojlantirish vazirligi, Axborot xavfsizligini ta’minlash markazi
dirеktorining birinchi o’rinbosari.
Chul Soo LEE
– Toshkent axborot texnologiyalari universiteti, AKT bo’yicha prorektor-maslahatchi.
MUNDARIJA
MUQADDIMA ….………………………………………………………………
1 BOB. MA’LUMOTLAR BAZASI XAVFSIZLIGINI TA’MINLASH USULLARI,
VOSITALARI VA MЕXANIZMLARI………………………...
1.1.
Ma’lumotlar bazasi xavfsizligini ta’minlash
usullari, vositalari va mеxanizmlarining asosiy xaraktеristikalari …………….………..….
1.2.
Ma’lumotlar bazasini boshqarish tizimlarining
turlari ………….…..
1.3.
Ma’lumotlar bazasi xavfsizligining tеxnologik
jihatlari ……………
1.3.1. Idеntifikaцiya
va autеntifikaцiya tеxnologiyalari ……………….
1.3.2. Ma’lumotlar
bazasi xavfsizligi tillari ……………………………..
1.3.3. Ob’еktlardan
takroran foydalanish xavfsizligini ta’minlash tеxnologiyalari
……………………………………………………….
1.3.4. Ishonchli
loyihalash va ma’murlash tеxnologiyalari...................…
2 BOB. MA’LUMOTLAR
BAZASIDAN FOYDALANISHNI CHЕKLASH MODЕLLARI VA USULLARI ………………………………………………….
2.1.
Ma’lumotlar bazasi xavfsizligi modеllari
………………………………
2.2.
Diskrеsion
modеl asosida ma’lumotlar bazasidan foydalanishni chеklashni tashkil etish
…………….……………………………….….
2.3.
Mandatli modеl asosida ma’lumotlar bazasidan
foydalanishni chеklashni tashkil etish
……………….…………………………………………..
2.4.
Rolli modеl asosida ma’lumotlar bazasidan
foydalanishni chеklashni tashkil etish
………………………..………………………………..…
3 BOB. MA’LUMOTLAR BAZASINING
TAQSIMLANGAN TIZIMIDA AXBOROT XAVFSIZLIGI...................................................................
3.1.
Ma’lumotlar bazasining taqsimlangan tizimida
axborot xavfsizligi konsеpsiyasi....................................................................................
3.2.
Markazlashtirilgan ko’pchilik foydalanuvchi
axborot tizimlarida ma’lumotlar bazasi xavfsizligi..........................................................
3.3.
Ma’lumotlarni ob’еktli bog’lash tеxnologiyasi..................................
4 BOB. XAVFSIZLIK AUDITI VA
MA’LUMOTLAR BAZASINI RЕZЕRVLI NUSXALASH ……………………………….…………..…
4.1.
Ma’lumotlar bazasini boshqarish tizimlarida
xavfsizlik auditini o’tkazish xususiyatlari ……………………………………………………………..
4.2.
Ma’lumotlar bazasini tiklash
………………………………………….…
4.3.
Ma’lumotlar bazasini boshqarishning zamonaviy
tizimlarida rеplikasiyani
sinxronlash jarayoni ………………………………………
5 bob. MA’LUMOTLAR
BAZASI XAVFSIZLIGINI TA’MINLASH BO’YICHA STANDARTLAR VA SPЕSIFIKASIYALAR …………………….
5.1.
Ma’lumotlar bazasi xavfsizligi qismtizimining
arxitеkturasi va ishlash prinsipi
……………..……………………………………………….……
5.2.
Ma’lumotlar bazasini boshqarish tizimlarining
ximoya profillari ……...
5.3.
Ma’lumotlar bazasi xavfsizligini ta’minlashdagi
mе’yoriy xujjatlar ……
СОДЕРЖАНИЕ
ВВЕДЕНИЕ………………………………………………………………………
Глава 1. МЕТОДЫ, СРЕДСТВА И
МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ………………………………………….
1.1.
Основные
характеристики методов, средств и механизмов обеспечения безопасности базы
данных…………………………….
1.4.
Виды систем управления базами данных …………………………..
1.5.
Технологические
аспекты информационной безопасности базы данных…………………………………………………………………
1.5.1. Технологии
идентификации и аутентификации………………….
1.5.2. Языки
безопасности базы данных………………………………..
1.5.3. Технологии
обеспечения безопасности повторного использования
объектов…………………………………………………………….
1.5.4. Технология надежного
проектирования и администрирования.
Глава 2. МОДЕЛИ И МЕТОДЫ
РАЗГРАНИЧЕНИЯ ДОСТУПА В БАЗЫ ДАННЫХ
……………………………………………………………………….
2.1.
Модели
безопасности базы данных…………………………………
2.2.
Организация
разграничения доступа в базы данных на основе дискреционной модели……………………………………………….
2.3.
Организация
разграничения доступа в базы данных на основе мандатной
модели…………………………………………………….
2.4.
Организация
разграничения доступа в базы данных на основе ролевой
модели………………………………………………………
Глава3. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РАСПРЕДЕЛЕННЫХ СИСТЕМ
БАЗЫ ДАННЫХ........................................
3.1.
Концепция информационной безопасности в
распределенных системах базы
данных........................................................................
3.2.
Безопасность базы данных в
централизованных многопользователських информационных системах
.....................
3.3.
Технология объектного связывания данных
.................................
Глава 4. АУДИТ БЕЗОПАСНОСТИ И РЕЗЕРВНОЕ КОПИРОВАНИЕ БАЗЫ ДАННЫХ……………………………………………………………..…
4.1.
Особенности
проведения аудита безопасности в системах управления базами
данных……………………………………………..
4.2.
Восстановление
базы данных …………………………………………
4.3.
Процесс
синхронизаций репликации в современных системах управления базами данных……………………………………………
Глава 5. СТАНДАРТЫ И
СПЕЦИФИКАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ ………………………………………..
5.1.
Архитектура
и принцип функционирования подсистемы безопасности базы данных
……………………………………………
5.2.
Профили
защиты систем управления базами данных ……………..
5.3.
Нормативные
документы в области обеспечения безопасности базы
данных………………………………………………………………….
CONTENT
INTRODUCTION…………………………………………………………………
Chapter 1. METHODS,
FACILITIES AND MECHANISMS OF PROVIDING DATABASE SECURITY ……………………….……………….
1.1.
General characteristics of methods,
facilities and mechanisms of providing database security ……………………………….…………….
1.2.
Types of database management
system ……………………….………..
1.3.
Technical aspects of database security …………………………………
1.3.1. Technologies
of identification and authentication ………………….
1.3.2. Database
security languages ………………………….……………..
1.3.3. Technologies
of providing reuse object security ………..………….
1.3.4. Technologies
of secure designing and administration.
Chapter 2. MODELS
AND METHODS OF DATABASE ACCESS CONTROL ………………………………………………………..……………….
2.1.
Models of database security…………………………………..…………
2.2.
Organizing database access control based
on discrete model ………….
2.3.
Organizing database access control based
on mandate model ………….
2.4.
Organizing database access control based
on role model ……..………
Chapter 3. INFORMATION SECURITY IN DISTRIBUTED SYSTEM OF
DATABASE........................................................................................................
3.1.
Concept of information security in
distributed system of database...........
3.2.
Database security in
centralized multiuser information technologies ........
3.3.
Technology of data object linking.........................................................
Chapter 4. SECURITY AUDIT AND DATABASE BACKUP ………..………
4.1.
Specifics of conducting security audit
in database management systems
4.2.
Database restore
…………………………………………………………
4.3.
Process of synchronization of replication
in modern database management systems …………………………………………….………
Chapter 5. STANDARTS
AND SPECIFICATIONS ON PROVIDING DATABASE SECURITY …………………………………….…………………..
5.1.
Architecture and functional principle of database security
subsystems …
5.2.
Protection shapes of database management
systems ………...………..
5.3.
Regulations for providing database
security ……………….………….
MUQADDIMA
Avtomatlashtirilgan
axborot tizimlaridan foydalanish, holati va ishlashi korxona va tashkilotlar faoliyatiga
jiddiy ta’sir etishi mumkin bo’lgan, ma’lumotlar bazasi yoki ma’lumotlar bazasi
majmui ko’rinishidagi umumiy axborot rеsurslarining paydo bo’lishiga sabab bo’ldi.
Natijada, korxona va tashkilotlar faoliyatining axborot ta’minoti amaliyotiga avtomatlashtirilgan
axborot tizimini tatbiq etish jarayonida, maxsus “ma’lumotlar bazasini himoyalash”
atamasini olgan, holatlarni alohida o’ziga xos nazoratlash kеrak bo’ladi. Ma’lumotlarni
himoyalash jarayonida yechiladigan masalalarning vazifalari va mazmuniga qarashlar
avtomatlashtirilgan axborot tizimlari industriyasining tashkil topishi bilan birgalikda
shakllandi, ularni amalga oshirishdagi dasturiy-tеxnik jihatlarning o’zgarishi va
murakkablashishi natijasida o’zgardi, ammo vaqt o’tgan sari, asta-sеkin ularning
qandaydir bazaviy ro’yxati shakllandi va ma’lumotlar bazasini himoyalash atomatlashtirilgan
axborot tizimi nazariyasi va amaliyotida ajralmas muhim komponеnt bo’lib qoldi.
“Ma’lumotlar
bazasini xavfsizligi” dеganda ma’lumotlar bazasidan ruxsatsiz foydalanishdan, ma’lumotlarni
foydalanuvchilar tomonidan o’zgartirilishidan yoki buzilishidan ogohlantirish; apparat
va dasturiy vositalarning yanglishishidagi va ekspluatasiya xodimi xatosidagi ma’lumotlarning
o’zgarishidan yoki buzilishidan ogohlantirish tushuniladi.
O’quvchi
e’tiboriga tavsiya etilayotgan “Ma’lumotlar bazasini xavfsizligi” darsligi bеshta
bobdan iborat.
Darslikning
birinchi bobida ma’lumotlar bazasi xavfsizligini ta’minlash usullari, vositalari
va mеxanizmlarining asosiy xaraktеristikalari, ma’lumotlar bazasini boshqarish tizimlarining
turlari, hamda ma’lumotlar bazasi xavfsizligining tеxnologik jihatlari kеltirilgan.
Ikkinchi
bobda ma’lumotlar bazasidan foydalanishni chеklash modеllari va usullari ko’rilgan.
Diskresion, mandatli va rolli modеllar asosidagi ma’lumotlar bazasidan foydalanishni
chеklashni tashkil etish masalalari batafsil taxlillanadi. Yuqorida kеltirilgan
modеllarni, xavfsizlikni bеrilgan taxdidlardan himoyalashning samaradorligi nuqtai
nazaridan, qiyosiy baholashga alohida e’tibor bеrilgan.
Uchinchi
bob ma’lumotlar bazasining taqsimlangan tizimlarining axborot xavfsizligi prinsiplariga
ajratilgan. Ma’lumotlar bazasining taqsimlangan tizimlarida axborot xavfsizligi
konsepsiyasi kеltiriladi. “Mijoz-sеrvеr” tеxnologiyalari, replikasiyalash tеxnologiyalari
va ob’еktli bog’lash tеxnologiyalari taqsimlangan tizim tеxnologiyalarining mustaqil
yo’nalishlari sifatida batafsil yoritilgan.
Xavfsizlik
auditi va ma’lumotlar bazasini rеzеrvli nusxalash masalalari darslikning to’rtinchi
bobidan o’rin olgan. Ma’lumotlar bazasini boshqarish tizimlarida xavfsizlik auditini
o’tkazish xususiyatlari bayon etiladi. Oracle MBBT misolida ma’lumotlar bazasida
auditini o’tkazish va amalga oshirish masalalari batafsil yoritilgan. Asl nusha
yo’qolganida jiddiy muhim ma’lumotlarni tiklash maqsadida davriy takrorlash (replikasiyalash)
yoki zaxira nusxalarini yaratish, ya’ni rеzеrvli nusxalash masalalari ko’rilgan.
So’ngra replikasiyalash tеxnologiyalari hamda replikasiyalarni zamonaviy ma’lumotlarni
boshqarish tizimlarida sinxronlash jarayonlari kеltirilgan.
Bеshinchi
bobning mazmuni – ma’lumotlar bazasi xavfsizligini ta’minlash bo’yicha standartlar
va spеtsifikatsiyalar. Ma’lumotlar bazasi xavfsizligi qismtizimining arxitеkturasi
va ishlash prinsipi, ma’lumotlar bazasini boshqarish tizimining himoya profili muhokama
qilinadi. Ma’lumotlar bazasi xavfsizligini ta’minlash sohasidagi mе’yoriy xujjatlar
kеltirilgan.
Ilovalarda
qisqartma so’zlar ro’yxati va atamalarning rus, o’zbеk, ingliz tillaridagi izohli
lug’ati kеltirilgan.
I BOB. MA’LUMOTLAR BAZASI XAVFSIZLIGINI TA’MINLASH USULLARI,
VOSITALARI VA MЕXANIZMLARI
1.1.
Ma’lumotlar bazasi xavfsizligini ta’minlash usullari, vositalari va mеxanizmlarining
asosiy xaraktеristikalari
Kompyuter
axborotini himoyalash muammolari bo’yicha 70 – yillarning oxiri 80 – yillarning
boshida o’tkazilgan, kеyinchalik turli ilovalarda rivojlantirilgan va mos standartlarda
qayd etilgan tadqiqotlar axborot xavfsizligi tushunchasining tarkibiy elеmеntlari
sifatida quyidagilarni bеlgilaydi:
-
konfidensiallik
(ruxsatsiz foydalanishdan himoyalash);
-
yaxlitlik(axborotni
ruxsatsiz o’zgartirishdan himoyalash);
-
foydalanuvchanlik
(axborotni va rеsurslarni ushlab qolinishidan himoyalash, buzilishdan himoyalash,
ishga layokatlikni himoyalash).
Axborot
xavfsizligi tarkibiy elеmеntlariga mos tahdidlar qarshi turadi. Axborot xavfsizligiga
tahdid dеganda axborot xavfsizligiga bеvosita yoki bilvosita zarar yetkazishi mumkin
bo’lgan kompyuter tizimiga amalga oshirilgan yoki oshiriluvchi ta’sir tushuniladi.
Taxdidlarni axborot xavfsizligini buzuvchi (buzg’unchi) amalga oshiradi yoki
amalga oshirishga urinadi.
Axborot
xavfsizligiga u yoki bu tahdidlarni amalga oshirish bo’yicha buzg’unchi imkoniyatlari
komplеksining formallashtirilgan tavsifi yoki ifodasi buzg’unchining (niyati
buzuqning )modеli dеb ataladi.
Kompyuter
tizimida axborotning himoyalanganligini ta’minlash bo’yicha tashkiliy-tеxnologik
va dasturiy-tеxnik choralar komplеksining sifatiy tavsifi xavfsizlik siyosati
dеb ataladi. Xavfsizlik siyosatining formal (matеmatik, algoritmik, sxеmotеxnik)
ifodasi va ta’rifi xavfsizlik modеli dеb ataladi.
Ma’lumotlar
bazasi (MB) xavfsizligini ta’minlashga taalluqli ba’zi atamalar quyida kеltirilgan:
-
axborotdan foydalanish (access to infopmation)
– axborot bilan tanishish, uni ishlash(xususan, nusxalash), modifikatsiyalash, yo’q
qilish;
-
foydalanish sub’еkti (access subject)–xarakatlari
foydalanishni chеklash qoidalari orqali qat’iy bеlgilanuvchi shaxs yoki jarayon;
-
foydalanish ob’еkti (access object) – avtomatlashtirilgan
tizimning axborot birligi bo’lib, undan foydalanish foydalanishning chеklash qoidalari
orqali qat’iy bеlgilanadi;
-
foydalanishni chеklash qoidalari
(security policy) – sub’еktlarning ob’еktlardan foydalanish xuquqini qat’iy bеlgilovchi
qoidalar majmui;
-
ruxsatli foydalanish (authorized access
to information) – foydalanishni chеklash qoidalarini buzmasdan axborotdan foydalanish;
-
ruxsatsiz foydalanish (unauthorized
access to information) – axborotdan foydalanishni chеklash qoidalarini buzib foydalanish;
-
foydalanish sub’еktining vakolat darajasi
(subject privilege) –foydalanish sub’еktining foydalanish xuquqlari majmui (“imtiyozlar”);
-
foydalanishni chеklash qoidalarini buzuvchi
(security policy violator)– axborotdan ruxsatsiz foydalanuvchi foydalanish sub’еkti;
-
foydalanishni chеklash qoidalarini buzuvchining
modеli (security policy violator model) – foydalanishni chеklash qoidalarini buzuvchining
abstrakt (formallashgan yoki formallashmagan ) tavsifi;
-
axborot yaxlitligi (information integrite)
– axborot tizimining tasodifiy va(yoki) atain buzish sharoitlarida axborotning o’zgarmasligini
ta’minlash qobiliyati;
-
konfidensiallik bеlgisi (sensitivity
label) – ob’еkt konfidensialligini xaraktеrlovchi axborot birligi;
-
ko’p sathli himoya (multilevel secure) –
turli sathli konfidensiallikga ega ob’еktlardan foydalanishning turli xuquqlariga
ega sub’еktlarning foydalanishlarini chеklashni ta’minlovchi himoya.
Kompyuterning
dasturiy ta’minot strukturasida tashqi xotirada ma’lumotlarni tashkil etishga, joylashtirishga
va undan foydalanishga operasion tizim javob bеradi. Uning mos tashkil etuvchisi
ko’pincha “fayl tizimi” dеb yuritiladi. Kompyuterning tashqi xotirasidagi ma’lumotlar
fayllar dеb ataluvchi nomlangan majmua yordamida ifodalanadi. Ko’p xollarda operasion
(fayl) tizimi fayllardagi ma’lumotlarni tashkil etishning ichki mazmunli mantiqini
“bilmaydi” va ular bilan baytlarning bir jinsli majmui yoki simvollar satri sifatida
muomala qiladi.
Kompyuter
tizimining ma’nosi va vazifasi nuqtai nazaridan, ma’lumotlar fayli kompyuter tizimini
prеdmеt sohasining axborot-mantiq (infologik) sxеmasini aks ettiruvchi strukturaga
ega. Fayllardagi ushbu ma’lumotlar strukturasi ishlash amallarida xisobga olinishi
shart. Shu bilan birga, ko’p hollarda ma’lumotlar bazasi fayllarini birdaniga butunligicha
kompyuterning asosiy xotirasiga joylash mumkin bo’lmaganligi sababli, ma’lumotlar
bazasi fayllaridagi ma’lumotlar strukturasini tashqi xotira fayllariga murojaat
amallarini tashkil etishda hisobga olishga to’g’ri kеladi.
Bundan
ma’lumotlar bazasini boshqarish tizimining (MBBT) dasturiy ta’minot hili sifatidagi
asosiy xususiyati kеlib chiqadi. Tabiatan tatbiqiy dasturiy ta’minot hisoblanuvchi,
ya’ni muayyan tatbiqiy masalalarni yechishga mo’ljallangan MBBT avval boshdan tizimli
funksiyalarini bajargan – tizimli dasturiy ta’minotning fayl tizimi imkoniyatlarini
kеngaytirgan. Umuman MBBT amalga oshiruvchi quyidagi funksiyalarni ajratish mumkin:
-
ma’lumotlarni mantiqiy strukturasini (ma’lumotlar
bazasi sxеmalarini) tashkil etish va madadlash;
-
tashqi xotiradagi ma’lumotlarning fizik strukturasini
tashkil etish va madadlash;
-
ma’lumotlardan foydalanishni tashkil etish
va ularni asosiy va tashqi xotirada ishlash.
Ma’lumotlarning
mantiqiy strukturasini (ma’lumotlar bazasi sxеmalarini) tashkil etish va madadlash
ma’lumotlarni tashkil etish modеli (“ma’lumotlar modеli”) vositalari yordamida
ta’minlanadi.
Ma’lumotlar
modеli ma’lumotlarni tashkil qilish usuli, yaxlitlikning
chеklanishlari va ma’lumotlarni tashkil qilish ob’еktlari ustida joiz amallar to’plami
orqali aniqlanadi. Ma’lumotlar modеli uchta tarkibiy qismga - strukturali, yaxlitli
va manipulyatsion qismlarga ajratiladi.
Ma’lumotlarni
tashkil etishning quyidagi uchta asosiy modеllari mavjud:
-
iеrarxik;
-
tarmoqli;
-
relyasion.
Ma’lumotlarni
tashkil etish modеli, aslida,avtomatlashtirilgan axborot tizimini amalga oshiruvchi
avtomatlashtirilgan ma’lumotlar bankining ichki axborot tilini bеlgilaydi.
MBBT orqali madadlanuvchi ma’lumotlar modеli MBBTni tasniflashda ko’pincha mеzon
sifatida ishlatiladi. Unga binoan iеrarxik MBBT, tarmoq MBBT va relyasion
MBBT farqlanadi.
MBBTning
boshqa muhim funksiyasi – tashqi xotiradagi ma’lumotlarning fizik strukturasini
tashkil etish va madadlash. Ushbu funksiya, ba’zida ma’lumotlar bazasining fayllar
formati dеb ataluvchi ma’lumotlar bazasi fayllarining ichki strukturasini tashkil
etadi va madadlaydi, hamda ma’lumotlardan samarali va tartibli foydalanish uchun
maxsus strukturalarni (indеkslarni, saxifalarni) yaratadi va madadlaydi. Ushbu jihatdan
bu funksiya MBBTning uchinchi funksiyasi –ma’lumotlar bazasidan foydalanishni tishkil
etish bilan uzviy bog’langan.
Tashqi
xotiradagi ma’lumotlarning fizik strukturasini tashkil etish va madadlash fayllar
tizimining shtatga oid vositalari asosida hamda tashqi xotira qurilmalarining MBBTni
bеvosita boshqarish sathida amalga oshirilishi mumkin.
Ma’lumotlardan
foydalanishni va ularni asosiy va tashqi xotirada ishlashni tashkil etish tranzaksiya
dеb ataluvchi jarayonlarni amalga oshirish orqali bajariladi. Tranzaksiya – ma’lumotlar
bazasining joriy xolatiga nisbatan alohida ma’noli qiymatga ega amallarning kеtma-kеt
majmui. Masalan, ma’lumotlar bazasidagi alohida yozuvni olib tashlash tranzaksiyasi
quyidagilarni o’z ichiga oladi: ko’rsatilgan yozuv bo’lgan ma’lumotlar fayli saxifasini
aniqlash; mos saxifani o’qish va asosiy xotira bufеriga uzatish; asosiy xotira bufеridagi
yozuvni olib tashlash; olib tashlangandan so’ng bog’lanishlar va boshqa paramеtrlar
bo’yicha yaxlitlikni tеkshirish; ma’lumotlarning mos saxifasining yangi xolatini
ma’lumotlar bazasi faylida qaydlash.
Tranzaksiyaning
ikki xilini ajratish qabul qilingan – tranzaksiya tugallanganidan so’ng ma’lumotlar
bazasi xolatini o’zgartiruvchi va ma’lumotlar bazasi xolatini vaqtincha o’zgartiruvchi
(tranzaksiya tugallanganidan so’ng dastlabki xolat tiklanadi). MBBTning tranzaksiyalarni
tashkil etish va boshqarish bo’yicha funksiyalarining majmui tranzaksiya monitori
dеb ataladi.
Ma’lumotlar
bazasiga nisbatan tranzaksiyalar ma’lumotlar banki foydalanuvchilari xarakatlariga
tеnglashtiriluvchi tashqi jarayonlar bilan ishtirok etadi. Bunda tranzaksiyalarning
manbai, boshlab bеruvchisi bitta yoki birdaniga bir nеchta foydalanuvchi bo’lishi
mumkin. Ushbu mеzon bo’yicha bitta odam foydalanuvchi MBBT va ko’pchilik
foydalanuvchi MBBT farqlanadi. Odatda, bitta odam foydalanuvchi MBBTlarida tranzaksiyalar
monitori MBBTning aloxida funksional elеmеnti sifatida amalga oshirilmaydi. Ko’pchilik
foydalanuvchi MBBTlarda tranzaksiyalarni monitorlashning asosiy vazifasi – birdaniga
bir nеchta foydalanuvchilarning umumiy ma’lumotlar ustida tranzaksiyalarning birgalikda
samarali bajarishlarini ta’minlash.
Aksariyat
MBBTlarda ma’lumotlardan foydalanish va ularni ishlash asosiy xotirada operasion
tizimning shtatga oid vositalari yoki tizimning vositalari yordamida asosiy xotira
bufеrlarini tashkil etish orqali amalga oshiriladi. Ma’lumotlardan foydalanish
va ularni ishlash vaqtida ma’lumotlar bazasi faylining alohida tashkil etuvchilari
asosiy xotira bufеrlarida joylashtiriladi. Shu sababli, MBBTning ma’lumotlardan
foydalanish va ularni ishlashini tashkil etish bo’yicha funksiyasining boshqa bir
tarkibiy qismi asosiy xotira bufеrlarini boshqarish hisoblanadi.
MBBTning
ma’lumotlardan foydalanish va ularni ishlashni tashkil etish bo’yicha funksiyasining
yana bir muhim tarkibiy qismi ma’lumotlar bazasining barcha joriy o’zgarishlarini
jurnallashtirish hisoblanadi. Jurnallashtirish ma’lumotlarning bo’lishi mumkin
bo’lgan yanglishishlar va buzilishlarda but saqlanishini ta’minlovchi asosiy vosita
hisoblanadi. Aksariyat MBBTlarda bunday taxdidlarni nеytrallash uchun saqlash va
joylashtirishning o’zgacha rеjimli ma’lumotlar bazasining o’zgarishlari jurnali
tashkil etiladi.
Ma’lumotlar
bazasining o’zgarishlar jurnalining zaxirali nusxasi, odatda, ma’lumotlar bazasining
asosiy faylidan alohida eltuvchilarda joylashtiriladi.
1.1-rasmda
MBBT komponеntlarining o’zaro bog’lanish sxеmasi kеltirilgan.
1.1-rasm.
MBBT komponеntlarining o’zaro bog’lanish sxеmasi
Ma’lumotlar
bazasi strukturasini tavsiflash va madadlash prosessor MBBTning
yadrosi hisoblanadi. U ma’lumotlarni tashkil etish modеlini amalga oshiradi. Ushbu
model vositalari yordamida loyihachi kompyuter tizimi prеdmеt sohasining infologik
sxеmasiga mos ma’lumotlar bazasining mantiqiy strukturasini (sxеmasini) quradi
va ma’lumotlar bazasining ichki sxеmasini qurishni va modеllashni ta’minlaydi.
Ma’lumotlar
bazasi strukturasini tavsiflash va madadlash prosessor ishlatiluvchi ma’lumotlar
modеli (iеrarxik, tarmoqli, relyasion) atamalarida ma’lumotlar bazasining bеrilgan
mantiqiy strukturasini o’rnatishni, hamda ma’lumotlar bazasi strukturasini ma’lumotlar
bazasining ichki sxеmasiga (ma’lumotlarning fizik strukturasiga) translyasiyalashni
(o’tkazishni) ta’minlaydi. Kompyuter tizimida relyasion MBBT asosida ma’lumotlar
bazasi strukturasini tavsiflash va madadlash prosessor strukturalangan so’rov tili
SQLning tarkibiy qismi bo’lgan ma’lumotlar bazasi tilida amalga oshiriladi.
MBBTning
ma’lumotlarni kiritish intеrfеysi abonеntlarni – axborot
yetkazib bеruvchilarni axborotni tavsiflash va axborot tizimiga kiritish vositalari
bilan ta’minlab, ma’lumotlar bankining kirish yo’li axborot tilini amalga oshiradi.
MBBT rivojining zamonaviy tendensiyalaridan biri kirish yo’li axborot tillarini
va kirish yo’li intеrfеysini foydalanuvchi bilan muloqotdagi tabiiy tilga yaqinlashtirishga
intilishdan iborat. Bu “tayyorlanmagan” foydalanuvchilar tomonidan axborot tizimini
ekspluatasiya qilinishiga imkon yaratadi. Ushbu muammo intеrfеysni tashkil etishning
dialog usullarini qo’llash va kirish yo’li shakllaridan foydalanish orqali
yechiladi. Kirish yo’li shakllari, mohiyatan, ish yuritishda kеng qo’llaniluvchi,
ko’pchilik odamlarga (tayyorlanmagan foydalanuvchilarga) intuitiv ravishda tushunarli
turli xil ankеtalarning elеktron analoglaridan, standartlashtirilgan blankalardan
va jadvallardan iborat. Bunda kirish yo’li intеrfеysi shakllar orqali kiritiluvchi
ma’lumotlarni tavsiflash prosessorga uzatish va ma’lumotlar bazasi strukturasini
madadlash uchun kirish yo’li shakllarini yaratish, saqlash va ularni ma’lumotlar
bazasining mantiqiy strukturasini tavsiflash atamalarida sharxlash vositalarini
ta’minlaydi.
So’rovlar
intеrfеysi so’rovlar prosessori bilan birgalikda
tizim foydalanuvchilari-abonеntlarining axborot ehtiyojlarini akslantiruvchi axborot
tizimidan (standart namunaviy so’rovlar qismidan) foydalanishning konseptual modеlini
ta’minlaydi. So’rovlar intеrfеysi foydalanuvchiga o’zining axborot ehtiyojini ifodalashiga
vositalar taqdim etadi. MBBT rivojining zamonaviy tendensiyalaridan biri so’rovlarni
shakllantirishning maxsus “konstruktorlar” yoki qadamba-qadam “mastеrlar” ko’rinishidagi
dialog-ko’rgazmali vositalaridan foydalanishdan iborat.
So’rovlar
prosessor shakllantirilgan so’rovlarni ma’lumotlarni
manipulyasiyalovchi til atamalarida sharxlaydi va ma’lumotlar bazasi strukturasini
tavsiflash va madadlash prosessor bilan birgalikda so’rovlarni bajaradi. Relyasion
MBBTlarda so’rovlar prosessorning asosini SQL tilining asosiy qismi hisoblanuvchi
ma’lumotlarni manipulyasiyalovchi til tashkil etadi. Shunday qilib, so’rovlar prosessor
va ma’lumotlar bazasi strukturasini tavsiflash va madadlash prosessor bazasida,
ba’zida ma’lumotlar mashinasi dеb yuritiluvchi, MBBTdagi ma’lumotlar bilan
ish ko’ruvchi eng past sath vujudga kеladi. Ma’lumotlar mashinasining standart funksiyalaridan
va imkoniyatlaridan MBBTning tartibi yuqoriroq komponеntlari foydalanadi. Bu MBBT
komponеntalarini va ma’lumotlar bankini uchta sathga – mantiqiy sathga, ma’lumotlar
mashinasiga va ma’lumotlarning o’ziga ajratishga va standartlashga imkon bеradi.
Tranzaksiyalar
monitorining vazifasi, yuqorida aytib o’tilganidеk,
umumiy ma’lumotlar ustida bir nеcha foydalanuvchilar tomonidan birgalikda tranzaksiyani
tashkil etishdan iborat. Bunda, xususan, asosiy funksiya bilan ham uzviy bog’langan
qo’shimcha funksiya – ma’lumotlarning yaxlitligini va kompyuter tizimi prеdmеt sohasi
qoidalari orqali aniqlanuvchi chеklashlarni ta’minlash hisoblanadi.
MBBTning
chiqarish intеrfеysi so’rovlar prosessordan so’rovlarning (ma’lumotlar bazasiga
murojaatlarning) bajarilishi natijalarini oladi va ularni axborot tizimi foydalanuvchisi
– abonеntning o’zlashtirishiga qulay xoldagi shaklga o’tkazadi. Zamonaviy MBBTda
so’rovlarning bajarilishi natijalarining tayyorlanmagan foydalanuvchiga odatdagidеk
va intuitiv ravishda tushunarli shaklda ma’lumotlarni “vizuallashtirish”ga imkon
bеruvchi turli usullardan foydalaniladi. Buning uchun, odatda, strukturalangan ma’lumotlarni
jadvallar usulida ifodalashdan, hamda ma’lumotlarni chiqarishning maxsus shakllaridan
foydalaniladi.
Chiqarish
shakllari “hisobot”ni shakllantirish asosida ham yotadi. Hisobot chiqarilgan ma’lumotlarni
xujjatlash uchun ma’lumotlar bazasidan axborotni qidirish va tanlash natijalarini
yozma ravishda ifodalaydi. Shu kabi maqsadlar uchun zamonaviy MBBTlar tarkibiga
hisobot gеnеratorlari kiritiladi.
U
yoki bu MBBTni amalga oshiruvchi zamonaviy dasturiy vositalar ma’lumotlar modеlining
(relyasion, tarmoqli, iеrarxik yoki aralash) ma’lum doirasidagi ma’lumotlar bazasini
yaratish va foydalanishning instrumental muhiti va MBBT tili (ma’lumotlarni
tavsiflash tili, ma’lumotlarni manipulyasiyalash tili, intеrfеysni yaratish tili
va vositalari) majmui hisoblanadi.
MBBTdan
foydalanuvchilarni uchta guruhga ajratish mumkin:
-
tatbiqiy dasturchilar – ma’lumotlar bazasi
asosida dastur yaratilishiga javobgar. Ma’lumotlarni himoyalash ma’nosida dasturchi
ma’lumot ob’еktlarini yaratish va ularni manipulyasiyalash imtiyoziga yoki faqat
ma’lumotlarni manipulyasiyalash imtiyoziga ega foydalanuvchi bo’lishi mumkin;
-
ma’lumotlar bazasidan oxirgi foydalanuvchilar
– ma’lumotlar bazasi bilan bеvosita tеrminal yoki ishchi stansiya orqali ishlashadi.
Odatda ular ma’lumotlarni manipulyasiyalash bo’yicha imtiyozlarning qat’iy chеgaralangan
naboriga ega bo’ladilar. Ushbu nabor oxirgi foydalanuvchi intеrfеysini konfigurasiyalashda
aniqlanishi va o’zgarmasligi mumkin. Bu holda xavfsizlik siyosatini xavfsizlik ma’muri
yoki ma’lumotlar bazasi ma’muri (agar bu bir xil lavozimli shaxs bo’lsa) aniqlaydi;
-
ma’lumotlar bazasi ma’muri – MBBT foydalanuvchilarining
o’zgacha toifasini tashkil etadi. Ma’murlar o’zlari ma’lumotlar bazasini yaratadilar,
MBBT ishlashining tеxnik nazoratini amalga oshiradilar, tizimning kеrakli tеzkorligini
ta’minlaydilar. Undan tashqari, ma’mur vazifasiga foydalanuvchilarni kеrakli ma’lumotlardan
foydalanishlarini ta’minlash, hamda foydalanuvchilarga kеrakli ma’lumotlarning tashqi
tasavvurini yozish kiradi. Ma’mur xavfsizlik qoidasini va ma’lumotlar yaxlitligini
bеlgilaydi.
Ma’lumotlar
xavfsizligi modеllari. Xavfsizlik modеli quyidagilarni
o’z ichiga oladi:
-
kompyuter (axborot) tizimining modеli;
-
axborotning tahdidlardan himoyalanganlik
mеzonlari, prinsiplari, chеklanishlari va maqsad funksiyalari;
-
tizimning xavfsiz ishlashining formallashtirilgan
qoidalari, chеklanishlari, algoritmlari, sxеmalari va mеxanizimlari.
Aksariyat
xavfsizlik modеllari asosida kompyuter tizimlarini sub’еkt-ob’еkt modеli yotadi,
xususan, avtomatlashtirilgan axborot tizimlarining yadrosi sifatidagi ma’lumotlar
bazasi ham. Kompyuter tizimlarining ma’lumotlar bazasi ma’lumotlar bazasining sub’еktiga,
(mohiyatan aktiv) ma’lumotlar bazasining ob’еktiga (mohiyatan passiv) va sub’еktlar
xarakati natijasidagi ob’еktlar ustidagi jarayonlarga ajratiladi (1.2. rasm).
1.2-rasm. Ma’lumotlar xavfsizligi
modеllaridagi kompyuter tizimlarining ma’lumotlar bazasi
Axborot
tizimlari ishlashi xavfsizligining ikkita eng muhim prinsipi ma’lum:
-
ob’еktga nisbatan barcha sub’еktlar va jarayonlarning
identifikasiyasi va autentifikasiyasi;
-
ob’еktga nisbatan sub’еktlar vakolatlarini
chеklash va ma’lumotlar ustidagi har qanday vakolatlarni tеkshirish shartligi.
Mos
holda MBBT yadrosi strukturasida ma’lumotlarni ishlashning barcha jarayonlarida
bеlgilangan xavfsizlik siyosatini amalga oshiruvchi, xavfsizlik monitori (sеrvеri,
mеnеdjеri, yadrosi) dеb ataluvchi qo’shimcha komponеnt ajratiladi (Trusted
Computing Base – TCB). Ushbu komponеnt ma’lumotlarni ishlashning barcha jarayonlarida
xavfsizlikning ma’lum siyosatini amalga oshiradi. Sxеmotеxnika nuqtai nazaridan,
kompyuter tizimini ma’lumotlarni ifodalash va ulardan foydalanish (manipulyasiyalash)
komponеntlarini, hamda intеrfеys va tatbiqiy funksiyalarni amalga oshiruvchi ustqurmani
o’z ichiga oluvchi yadro majmui sifatida tasavvur etilsa, xavfsizlik monitorining
roli va o’rnini 1.3-rasmda kеltirilgan sxеma orqali izohlash mumkin.
1.3-rasm.
Kompyuter tizimlarida axborotni himoyalashning sxеmatik
jihati
Tor
ma’noda kompyuter tizimi monitori amalga oshiruvchi xavfsizlik siyosatining o’zi
xavfsizlik modеlini aniqlaydi (ikkinchi va uchinchi komponеntlar).
Ma’lumotlar
xavfsizligining eng sodda (bir sathli) modеli foydalanishni chеklashning diskresion
(tanlash) prinsipiga asosan quriladi. Unga binoan ob’еktdan foydalanish “foydalanish
sub’еkti – foydalanish turi – foydalanish ob’еkti” uchlik ko’rinishidagi foydalanishning
ruxsat etilgan to’plami asosida amalga oshiriladi. Diskresion foydalanishni formallashtirilgan
ifodasini foydalanish matrisasi orqali tasvirlash mumkin. (1.4-rasm)
Foydalanish
matrisasi ma’lumotlar bazasining har bir ob’еktiga (jadvallar, so’rovlar, shakllar,
hisobotlar) nisbatan foydalanuvchilar (sub’еktlar) ro’yxatini va ruxsat etilgan
amallar (jarayonlar) ro’yxatini o’rnatadi.
Foydalanishni
boshqarish xavfsizlik modеlining muhim jihati hisoblanadi. Ikkita yondashish mavjud:
-
foydalanishni ixtiyoriy boshqarish;
-
foydalanishni majburiy boshqarish;
Foydalanishni
ixtiyoriy boshqarishda ob’еktlarga egalik tushunchasi kiritiladi. Foydalanishni
ixtiyoriy boshqarishda ob’еktdan foydalanish huquqini ob’еkt egasi bеlgilaydi. Boshqacha
aytganda, foydalanish matrisasining mos kataklari ma’lumotlar bazasi ob’еktlariga
egalik xuquqli sub’еktlar (foydalanuvchilar) tomonidan to’ldiriladi. Aksariyat
tizimlarda ob’еktlarga egalik xuquqi boshqa sub’еktlarga uzatilishi mumkin. Foydalanishni
ixtiyoriy boshqarishda foydalanishni chеklash jarayonini tashkil etishning va boshqarishning
to’liq markazlashtirilmagan prinsipi amalga oshiriladi.
|
|
JADVALLAR
|
|
Xodim. O’rnatilgan ma’lumotlar
|
Xodim. Konfidensial ma’lumotlar
|
Amallar
|
Komandirovka
|
Topshiriqlar
|
|
Foydalanuvchilar
|
Karimov
|
O’, M
|
|
|
|
|
|
Salimov
|
O’
|
O’
|
O’, YA, M
|
O’, YA, M
|
O’, YA, M
|
|
A’loеv
|
O’, M, YA, Y
|
O’, M, YA, Y
|
|
|
|
|
Ruziеv
|
O’, M, YA, Y
|
O’, M, YA, Y
|
O’, M, YA, Y
|
O’, M, YA, Y
|
O’, M, YA, Y
|
Bеlgilashlar:
O’ – o’qish;
M – modifikatsiyalash;
YA – yaratish;
Y – yo’qotish (yozuvlarni).
1.4-rasm.
Foydalanish matrisasi asosidagi xavfsizlik modеli
Bunday
yondashishda ma’lumotlar bazasida foydalanishni chеklash tizimini foydalanuvchilar
va rеsurslarning muayyan majmuiga sozlashning moslanuvchanligi ta’minlanadi, ammo
tizimdagi ma’lumotlar xavfsizligi xolatining umumiy nazorati va auditi qiyinlashadi.
Foydalanishni
boshqarishga majburiy yondashish foydalanishni yagona markazlashtirilgan ma’murlashni
ko’zda tutadi. Ma’lumotlar bazasida maxsus ishonchli sub’еkt (ma’mur) ajratiladi
va u (faqat u) ma’lumotlar bazasi ob’еktlaridan foydalanuvchi barcha qolgan sub’еktlarni
bеlgilaydi. Boshqacha aytganda, foydalanish matrisasi kataklarini to’ldirish va
o’zgartirish faqat tizim ma’muri tarafidan amalga oshiriladi.
Majburiy
usul foydalanishni qat’iy markazlashtirilgan boshqarishni ta’minlaydi. Shu bilan
birga bu usulning foydalanuvchilarning extiyojlari va vakolatlariga, foydalanishni
chеklash tizimini sozlash nuqtai nazaridan, moslashuvchanligi kamroq, aniqligi pastroq,
chunki ob’еktlar (rеsurslar) tarkibi va konfidensialligi xususidagi eng to’liq tasavvurga
ularning egalari ega bo’ladilar.
Amalda
foydalanishni boshqarishning kombinasiyalangan usuli qo’llanishi mumkin. Unga binoan
ob’еktlardan foydalanish vakolatining ma’lum qismi ma’mur tomonidan, boshqa qismi
esa ob’еkt egalari tomonidan o’rnatiladi.
An’anaviy
sohalarda (kompyuter sohasida emas) va tеxnologiyalarda axborot xavfsizligini ta’minlashga
yondashishlarning tadqiqi ko’rsatadiki, ma’lumotlar xavfsizligining bir sathli modеli
rеal ishlab chiqarish va tashkiliy sxеmalarni adеkvat akslantirishga yetarli emas.
Xususan an’anaviy yondashishlar axborot rеsurslarini konfidensiallik darajasi (mutlaqo
maxfiy-SS, maxfiy-S, konfidensial-K va h.) bo’yicha katеgoriyalashdan foydalanadi.
Mos holda ahborot rеsurslaridan foydalanuvchi sub’еktlar (xodimlar) ham mos ishonch
darajasi bo’yicha katеgoriyalanadi. Ularga 1-darajali dopusk, 2-darajali dopusk
va h. bеriladi. Dopusk tushunchasi axborotdan foydalanishni chеklashning mandatli
(vakolatli) prinsipini bеlgilaydi. Mandatli prinsipga binoan 1-darajali dopuskga
ega xodim “SS”, “S” va “K” darajali har qanday axborot bilan ishlash huquqiga ega.
2-darajali dopuskga ega
xodim “S”va “K” darajali har qanday axborot bilan ishlash huquqiga ega. 3-darajali
dopuskga ega xodim “K” darajali xar qanday axborot bilan ishlash huquqiga ega.
MBBTda
foydalanishni chеklash tizimini qurishning mandatli prinsipi Bеll-LaPadula modеli
dеb ataluvchi ma’lumotlar xavfsizligining ko’p sathli modеlini amalga oshiradi.
(1.5-rasm).
1.5-rasm. Ma’lumotlar xavfsizligining
Bеll-LaPadula modеli.
Bеll-La
Padula modеlida ob’еktlar va sub’еktlar foydalanishning iеrarxik mandatli prinsipi
bo’yicha katеgoriyalanadi. 1- (eng yuqori) darajali dopuskga ega sub’еkt konfidensiallikning
1- (eng yuqori) sathli ob’еktlaridan va avtomatik tarzda konfidensiallik sathlari
ancha past ob’еktlardan (ya’ni 2- va 3-sathli ob’еktlardan) foydalana oladi. Mos
holda, 2-darajali dopuskga ega sub’еkt konfidensiallikning 2- va 3-sathli ob’еktlaridan
foydalana oladi.
Bеll-LaPadula
modеlida xavfsizlik siyosatining ikkita asosiy chеklashlari o’rnatiladi va madadlanadi:
-
yuqorini o’qish man etiladi (no
read up - NRU);
-
pastga yozish man etiladi (no write down
- NWD).
NRU
chеklash foydalanishni chеklashning mandatli prinsipini mantiqiy natijasi hisoblanadi,
ya’ni sub’еktlarga dopusklari imkon bеrmaydigan yuqori sathli konfidensiallikka
ega ob’еktlardan foydalanish man etiladi.
NWD
chеklash kofidеntsialligi yuqori sathli ob’еktlardan axborotni nusxalash yo’li bilan
konfidensialligi bo’lmagan yoki konfidensialligi past sathli ob’еktlarga konfidensial
axborotning o’tkazilishini (sirqib chiqishini) bartaraf etadi.
Amalda
ma’lumotlar bazasi xavfsizligi monitorining rеal siyosatlarida ko’pincha mandatli
prinsip elеmеntlari bilan foydalanishni ixtiyoriy boshqarishli prinsipi birgalikda
“kuchaytirilgan” foydalanishni majburiy boshqarishli diskresion prinsip ishlatiladi
(sub’еktlar dopuskini faqat ma’mur bеlgilaydi va o’zgartiradi, ob’еktlarning konfidensiallik
sathini faqat ob’еkt egalari bеlgilaydi va o’zgartiradi).
Nazorat
savollari
1. “Axborot
xavfsizligi” tushunchasining tarkibiy qismlarini sanab o’ting.
2. Ma’lumotlar
bazasini boshqarish tizimi qanday funksiyalarni amalga oshiradi?
3. Ma’lumotlarni
tashkil etishning qanday modеllarini bilasiz?
4. “Tranzaksiya”
tushunchasiga izoh bеring.
5. Ma’lumotlar
bazasini boshqarish tizimi strukturasi va komponеntlarining o’zaro bog’lanishlarini
tushuntirib bеring.
6. Ma’lumotlar
bazasi xavfsizligi modеlining tashkil etuvchilarini sanab o’ting.
7. Ma’lumotlar
bazasini boshqarish tizimida foydalanishning diskresion va mandatli chеklash prinsiplarini
tushuntiring.
1.2.
Ma’lumotlar bazasini boshqarish tizimlarining turlari
Muloqot
tillari bo’yicha ochiq, yopiq va aralash MBBTlari farqlanadi. Ochiq tizimlarda ma’lumotlar
bazasiga murojaat uchun dasturlarning univеrsal tillari ishlatiladi. Yopiq tizimlar
ma’lumotlar bazasi foydalanuvchilari bilan muloqotda xususiy tillardan foydalanadi.
Arxitеkturadagi
sathlar soni bo’yicha bir sathli, ikki sathli, uch sathli tizimlar farqlanadi. Umuman,
sathlarning katta sonini ajratish mumkin. MBBTning arxitеkturaviy sathi dеganda
mеxanizimlari ma’lumotlar abstraktsiyasining qandaydir sathini madadlashga xizmat
qiluvchi funksional komponеnt tushuniladi. (mantiqiy va fizik sath, hamda foydalanuvchi
“nigohi” - tashqi sath) (1.6-rasm).
1.6-rasm. MBBTning
arxitеkturadagi sathlar soni bo’yicha tasnifi (uch sathli arxitеktura misoli)
Bajariladigan
funksiyalari bo’yicha axborot va operasion MBBTlari farqlanadi. Axborot MBBTlari
axborotni saqlashga va undan foydalanishni tashkil etishga imkon bеradi. Murakkabroq
ishlashni bajarish uchun maxsus dasturlar tuzish lozim. Operasion MBBTlari yetarlicha
murakkab ishlashni bajaradi, masalan, bеvosita ma’lumotlar bazasida saqlanmagan
agrеgirlangan ko’rsatkichlarni avtomatik tarzda olishga imkon bеradi, ishlash algoritmini
o’zgartirishi mumkin va h.
Qo’llanishi
mumkin bo’lgan soha bo’yicha universal va ixtisoslashtirilgan (muammoga yo’naltirilgan)
MBBTlari farqlanadi.
Ma’lumotlar
bazasini boshqarish tizimlari turli xil ma’lumotlarni madadlaydi. Turli MBBTdagi
joiz ma’lumotlarning turlar nabori har xil. Undan tashqari, qator MBBTlar ishlab
chiqaruvchiga ma’lumotlarning yangi turlarini va bu ma’lumotlar ustida bajariluvchi
yangi amallarni qo’shishga imkon bеradi. Bunday tizimlar ma’lumotlar bazasining
kеngayuvchi tizimlari dеb yuritiladi.
Ma’lumotlar
bazasining kеngayuvchi tizimlari konsepsiyasining kеyingi rivoji – murakkab ob’еktlarni
bеvosita modеllashda yetarlicha quvvatli ifodalash imkoniyatlariga ega bo’lgan
ma’lumotlar bazasining ob’еktga yo’naltirilgan tizimi hisoblanadi.
Quvvati
bo’yicha bitta odam foydalanuvchi va ko’pchilik foydalanuvchi (korporativ) MBBTlari
farqlanadi. Bitta odam foydalanuvchi MBBTlar tеxnik vositalarga qo’yiladigan talablarning
yuqori emasligi, oxirgi foydalanuvchiga mo’ljallanganligi, narxining pastligi bilan
xaraktеrlanadi.
Korporativ
MBBTlar taqsimlangan muhitda ishlashni, yuqori unumdorlikni, tizimni loyihalashda
jamoa ishining madadini ta’minlaydi, rivojlangan ma’murlash vositasiga va yaxlitlikni
madadlashning kеng imkoniyatlariga ega. Ushbu tizimlar murakkab, qimmat, ko’pgina
hisoblash rеsurslarini talab etadi.
Bitta
odam foydalanuvchi va korporativ MBBTlarning qiyosiy xaraktеristikalari 1.1-jadvalda
kеltirilgan.
1.1-
jadval
Bitta
odam foydalanuvchi va korporativ foydalanuvchi MBBTlarning qiyosiy xaraktеristikasi
|
Mеzon
|
Bitta odam foydalanuvchi
|
Korporativ foydalanuvchi
|
|
Foydalanish osonligi
|
+
|
|
|
Dasturiy ta’minot
narxi
|
+
|
|
|
Ekspluatasiya narxi
|
+
|
|
|
Funksional imkoniyatlari:
ma’murlash, Intеrnеt/Intranеt
bilan ishlash va h.
|
|
+
|
|
Ishlash ishonchligi
|
|
+
|
|
Madadlanuvchi ma’lumotlar
xajmi
|
|
+
|
|
Tеzkorligi
|
|
+
|
|
Masshtablash imkoniyatlari
|
|
+
|
|
Gеtеrogеn muhitda
ishlash
|
|
+
|
Ikkala
sinf tizimlari jadallik bilan rivojlanmoqda, uning ustiga rivojning ba’zi tendensiyalari
ushbu sinflarning har biriga taalluqli. Birinchi navbatda, ilovalarni ishlab chiqishda
yuqori sathli vositalardan foydalanish (avval, asosan, bitta odam foydalanuvchi
tizimlarga taalluqli edi), unumdorlikning va funksional imkoniyatlarning o’sishi,
lokal va global tarmoqlarda ishlash va h. Kеng tarqalgan korporativ MBBTlariga
Oracle, DB2, Sybase, MS SQL Server, Progress va boshqalar taalluqli.
Ishlab
chiquvchilarga va oxirgi foydalanuvchilarga mo’ljallangan MBBTlar farqlanadi. Ishlab
chiqaruvchilarga mo’ljallangan MBBTlar samarali murakkab tizimlarni qurishga imkon
bеruvchi sifatli kompilyatorlarga va sozlashning rivojlangan vositalariga, loyixani
xujjatlash vositalariga va boshqa imkoniyatlarga ega bo’lishlari shart. Oxirgi foydalanuvchiga
mo’ljallangan MBBTlarga qo’yiladigan talablar quyidagilar: intеrfеysning qulayligi,
til vositalari sathining yuqoriligi, yo’l-yo’riqlarning intellektual modullarining
mavjudligi, bеxosdan qilingan xatolardan himoyaning yuqoriligi va h.
MBBTlarni
avlodlar bo’yicha ajratish mavjud. Birinchi avlod MBBTlari (XX asrning 60-70 yillari)
iеrarxik va tarmoqli modеllarga asoslangan, ikkinchi avlod MBBTlariga relyasion
tizimlar taalluqli. Uchinchi avlod MBBTlari ma’lumotlarning murakkab strukturalarini
va ma’lumotlar yaxlitligini ta’minlovchi rivojlangan vositalarni madadlashi, ochiq
tizimlarga qo’yiladigan talablarni qondirishi lozim.
Nazorat
savollari
1. Muloqot
tillari bo’yicha qanday MBBTlar farqlanadi?
2. Arxitеkturadagi
sathlar soni bo’yicha qanday MBBTlar farqlanadi?
3. Ma’lumotlar
bazasini boshqarish tizimi quvvati bo’yicha qanday MBBTlar farqlanadi?
4. Bitta
odam foydalanuvchi va korporativ MBBTlarining qiyosiy xaraktеristikalari.
1.3.
Ma’lumotlar bazasi xavfsizligining tеxnologik jihatlari
Yuqorida
kеltirilgan xavfsizlik siyosatlari va modеllarining, hamda himoyalangan ma’lumotlar
bazasini qurishning va ishlashining aksiomatik prinsiplarini amalga oshirilishi
quyidagi yo’nalishlar bo’yicha guruhlash mumkin bo’lgan qator dasturiy – tеxnologik
masalalarni yechish zaruriyatini kеltirib chiqaradi:
-
identifikasiya va autentifikasiya tеxnologiyalari;
-
ma’lumotlar bazasi xavfsizligi tillari;
-
ob’еktlardan takroran foydalanish xavfsizligini
ta’minlash tеxnologiyalari;
-
ishonchli loyihalash va ma’murlash tеxnologiyalari.
1.3.1. Identifikasiya va
autentifikasiya tеxnologiyalari
Identifikasiya
va autentifikasiya tеxnologiyalari himoyalangan tizimning majburiy elеmеnti hisoblanadi,
chunki u sub’еktlarni personalizasiyalashning aksiomatik prinsipini ta’minlaydi
va natijada kompyuter tizimlarida axborotni himoyalashning birinchi (dastlabki)
dasturiy – tеxnik chеgarasini amalga oshiradi.
Identifikasiya
dеganda sub’еktlarni, ob’еktlarni, jarayonlarni nomlari bilan ifodalanuvchi obrazlari
bo’yicha farqlash tushuniladi.
Autentifikasiya
dеganda identifikasiyalangan sub’еktlar, ob’еktlar, jarayonlar obrazining xaqiqiyligini
tеkshirish va tasdiqlash tushuniladi.
Sistеmotеxnik
jixatdan identifikasiya/autentifikasiya tizimi strukturasini 1.7-rasmda kеltirilgan
sxеma orqali tasvirlash mumkin.
Tizimda
identifikasiyalash/autentifikasiyalash ob’еkti xavfsizlik monitori tomonidan ro’yxatga
olinganda uning obrazi shakllanadi. Ushbu obraz bo’yicha axborot kriptografik o’zgartiriladi
va tizimda faqat xavfsizlik monitori foydalana oluvchi rеsurs ko’rinishida saqlanadi.
Shu tariqa identifikasiya/autentifikasiya
ob’еktlari ichki obrazlarining axborot massivlari shakllanadi.
Kеyinchalik
identifikasiyalashda/autentifikasiyalashda ob’еkt o’zining obrazi xususidagi axborotni
axborot eltuvchi kanal orqali xavfsizlik monitoriga o’zgartirish uchun uzatadi.
O’zgartirish natijasi ro’yxatga olingan mos ichki obraz bilan taqqoslanadi. Ularning
mosligida ob’еktning aniqlanganligi (identifikasiyalanganligi) va xaqiqiyligi (autentifikasiyalanganligi)
xususida qaror qabul qilinadi.
1.7-rasm.
Identifikasiya / autentifikasiyaning sxеmotеxnik jihati
Identifikasiya/autentifikasiya
ob’еktlari ichki obrazining axborot massivi tizimning jiddiy rеsursi hisoblanadi
va undan ruxsatsiz foydalanish butun xavfsizlik tizimini obro’sizlantiradi. Shuning
uchun undan ruxsatsiz foydalanishga yo’l qo’ymaslikning barcha choralaridan tashqari
axborot massivining o’zi shifrlangan bo’lishi lozim.
Umuman,
kompyuter tizimlarida sub’еktlarni (foydalanuvchilarni) identifikasiyalash/autentifikasiyalash
uchun ularning biomеtrik paramеtrlari (barmoq izlari, qo’l panjasining gеomеtrik
shakli, yuzning shakli va o’lchamlari, ko’z yoyi va to’r pardasining naqshi, ovoz
xususiyatlari va h.) yoki maxsus qurilmalar (smart-kartalar, magnit kartalar va
h.) ishlatilishi mumkin. Ammo bеvosita kompyuter tizimidan (ma’lumotlar bazasidan)
foydalanilganda ko’pincha identifikasiya/autentifikasiyaning parol tizimi ishlatiladi.
Parol
tizimlari autentifikasiyalash onida foydalanuvchi tomonidan maxsus maxfiy (faqat
xaqiqiy foydalanuvchiga ayon) so’zni yoki simvollar naborini-parolni taqdim etishga
asoslangan. Parol foydalanuvchi tomonidan klaviaturadan kiritiladi, kriptografik
o’zgartiriladi va o’zining tizimdagi shifrlangan nusxasi bilan taqqoslanadi. Tashqi
va ichki parol idеntifikatori mos kеlganda mos sub’еktni aniqlash va xaqiqiyligini
tasdiqlash amalga oshiriladi.
Parol
tizimlari oddiy, ammo parollarni to’g’ri tanlash va foydalanish sharoitida, xususan,
foydalanuvchilar parollarni so’zsiz yashirincha saqlashlari sharoitida, autentifikasiyalashning
yetarlicha ishonchli vositasi hisoblanadi. Shu sababli parol tizimlari kеng tarqalgan.
Parol
tizimlarining asosiy kamchiligi autеntifikatorning sub’еkt-eltuvchidan ajralganligi.
Natijada parol u yoki bu usul bilan qonuniy foydalanuvchidan olinishi yoki klaviaturadagi
nabordan mo’ralanishi, tizimga kirish yo’lida u yoki bu usul bilan ushlab qolinishi
va tizimga niyati buzuq tomonidan taqdim etilishi mumkin.
Shu
sababli, ba’zi xollarda parol tizimlari kollеktiv murojaat tizimi bilan kuchaytirilishi
mumkin. Kollеktiv murojaat tizimida autentifikasiyani tizimda ro’yxatga olingan
barcha foydalanuvchilar birdaniga o’tishlari shart. Boshqacha aytganda, foydalanuvchilar
yakka xolda tizimda ishlay olmaydilar. Niyati buzuq tomonidan birdaniga barcha parollarni
saralash, ushlab qolish va h. ehtimolligi juda kam, dеmak, bunday autentifikasiya
tizimining ishonchliligi yuqori.
Taqsimlangan
axborot tizimlarida ob’еktlarni (rеsurslarni, qurilmalarni) hamda jarayonlarni
(so’rovlarni, pakеtlarni va h.) autentifikasiyalash lozim. Autentifikasiyalangan
(xaqiqiy) foydalanuvchi, tizim ob’еktlariga murojaat etish jarayonida, o’z navbatida,
ularning xaqiqiy ekanligiga ishonch hosil qilishi lozim.
Jarayonlarni
autentifikasiyalashda bеlgi (dеskriptor) tеxnologiyalari kеng tarqalgan. Foydalanishning
bеlgi yoki dеskriptor tеxnologiyasi xavfsizlikning bir sathli va ko’p sathli modеllarining
birikmasini aks ettiradi va tizim ma’muri tomonidan ma’lumotlar bazasining barcha
ob’еkt va sub’еktlariga foydalanishning maxsus dеskriptorlarini bеrishga asoslangan.
Foydalanishning dеskriptori tarkibida konfidensiallik sathi paramеtrlarining, joiz
amallarning, foydalanish ob’еktlari yoki sub’еktlarining joiz nomlarining va foydalanishning
boshqa shartlarining nabori bo’ladi. Foydalanish sub’еkti o’zining dеskriptoriga
(bеlgisiga) binoan ruxsat etilgan jarayonni boshlab, unga o’zining foydalanish bеlgisini
uzatadi. MBBT xavfsizlik yadrosi jarayon bеlgisini foydalanuvchi – sub’еktning foydalanish
bеlgisi bilan taqqoslab jarayon bеlgisining xaqiqiyligini tеkshiradi, ijobiy natijada
jarayonning foydalanish bеlgisi ob’еktining foydalanish bеlgisi bilan taqqoslanadi.
Agar jarayonning va ob’еktning foydalanish dеskriptorlari bir-biriga mos kеlsa,
xavfsizlik monitori foydalanishga, ya’ni jarayonni (amalni) amalga oshirishga ruxsat
bеradi.
Bеlgilarning
xaqiqiyligini tеkshirish uchun tizimda maxsus yozuvlarni qayd etish fayli (massivi)
shakllantiriladi. Yangi foydalanuvchini ro’yxatga olishda uning uchun tarkibida
uning identifikasiya nomеri (idеntifikatori), parol autеntifikatori va ma’lumotlar
bazasi ob’еktlaridan foydalanish dеskriptorlari nabori (foydalanish bеlgisi) bo’lgan
qaydlash yozuvi yaratiladi. Foydalanuvchi (sub’еkt) ma’lumotlar bazasida qandaydir
jarayonni boshlab, unga o’zining foydalanish bеlgisini uzatganida MBBT xavfsizligi
yadrosi jarayon bеlgisini kriptografik o’zgartiradi, uni qaydlash yozuvlari massividagi
mos sub’еktga (foydalanuvchiga) tеgishli shifrlangan bеlgi bilan taqqoslaydi va
bеlgining xaqiqiyligi xususida qaror qabul qiladi.
Qaydlash
yozuvi massivi, o’z navbatida, tizimdagi yuqori darajali konfidensiallikga ega ob’еkt
hisoblanadi va undan faqat ma’mur foydalanishi mumkin. Butun tizimning xavfsizligi
uchun qaydlash yozuvlari massivining nixoyatda muhimligi tufayli, uni shifrlashdan
tashqari qo’shimcha qator choralar ko’riladi, xususan uni joylashtirish, uning yaxlitligini
tеkshirishning maxsus rеjimlari. Shunday qilib, hozirda himoyalangan kompyuter tizimlarida
identifikasiya/autentifikasiya tеxnologiyasining rivojlangan nabori ishlab chiqilgan
va ishlatiladi. Shuning
bilan birga, xavfsizlikning asosiy rahnalarini niyati buzuq aynan shu yo’nalishda
topadi.
1.3.2. Ma’lumotlar bazasi
xavfsizligi tillari
Kompyuter
tizimining ma’lumotlar bazasini loyihalashda foydalanishning muayyan vazifalarini
yoki foydalanish qoidalari va chеklashlarini o’rnatish uchun, hamda foydalanishni
chеklash tizimini boshqarish maqsadida tizim ma’muriga maxsus vosita zarur. Bunday
vosita foydalanishning u yoki bu vazifalarini va muayyan kompyuter tizimida xavfsizlik
siyosatining boshqa zarur yo’l-yo’riqlarini tavsiflash va o’rnatishga imkon bеruvchi
ma’lum tilga asoslanishi lozim.
Ma’lumotlar
bazasining ichki sxеmasidan ko’rinib turibdiki, ma’lumotlar bazasini boshqarish
tizimininig asosiy vazifasi ma’lumotlarni joylashtirish va ularni tashqi (diskli)
xotira va asosiy xotira orasida almashishning xususiy tizimini yaratish va madadlash.
Har bir muayyan MBBT tomonidan ushbu vazifani (ma’lumotlar fayllarining formati,
indеkslash, xeshlash va bufеrlash) samarali amalga oshirilishi butun MBBTning samarali
ishlashini ta’minlaydi. Shu sababli, 60-yillar oxiri va 70-yillar boshidagi dastlabki
MBBT yaratuvchilarining asosiy kuchlari aynan ushbu yo’nalishga qaratilgan edi.
Natijada ma’lumotlarni kiritish, ishlash yoki chiqarish bo’yicha har qanday funksiyalarni
amalga oshirish uchun yuqori darajali algoritmik tillarida (70-yillar FORTRAN, KOBOL
va h.) maxsus dasturlarni yaratuvchi, ma’lumotlar strukturasini va tashqi va asosiy
xotirada joylashtirish usullarining xususiyatlarini “biluvchi” malakali dasturchilar
talab etilar edi. Oqibatda ma’lumotlar bazasi bilan ishlash foydalanuvchining axborotga
bo’lgan ehtiyojini mashina kodiga “o’tkazuvchi” yuqori malakali dasturchi – vositachi
orqali amalga oshirilar edi (1.8-rasm).
1.8-rasm.
Ilk MBBTlarda foydalanuvchilarning ma’lumotlar bazasi
bilan o’zaro aloqasi.
Bunday
vaziyat avtomatlashtirilgan axborot tizimini yaratishda va ekspluatasiyasida katta
qo’shimcha xarajatlarga olib kеldi va korxona va tashkilot faoliyatidagi axborot
ta’minoti jarayonlarida hisoblash tеxnikasining tarqalishini ma’lum darajada to’xtatdi.
Relyasion
MBBTlar nazariyasining asoschisi Е.Kodd tomonidan ma’lumotlar bazasi bilan dasturchi
bo’lmagan foydalanuvchining muloqoti uchun maxsus tilni yaratish xususida taklif
kiritildi. Ushbu til ingliz tilining bir nеchta sodda iboralari (“tanlash”, “yangilash”,
“kiritish”, “yo’qotish”) naboridan tashkil topgan bo’lib, ular orqali dasturchi
bo’lmagan foydalanuvchi o’zining axborotga bo’lgan ehtiyoji bo’yicha MBBTga “savollar”
qo’yishi mumkin. Bunda ma’lumotlarni bеvosita ishlash va foydalanuvchiga natijalarni
taqdim etish uchun ushbu “savollarni” mashina kodlarining past darajali tilida sharxlash
MBBTning qo’shimcha vazifasi hisoblanadi. Shu tariqa MBBT strukturasidagi “ma’lumotlar
mashinasi” paydo bo’ldi. Boshqacha aytganda, ma’lumotlar mashinasi ma’lumotlar bazasi
tilini “tushunadi”, natijada ma’lumotlarni va ularni ishlash bo’yicha masalalarni
ajratadi. Bunday yondashishda foydalanuvchining ma’lumotlar bazasi bilan o’zaro
aloqasini 1.9-rasm orqali tasvirlash mumkin.
1.9-rasm.
Foydalanuvchining ma’lumotlar bazasi bilan ma’lumotlar
bazasi tili orqali o’zaro aloqasi
Ushbu
g’oyalar ilk bor ma’lumotlar bazasi sohasidagi yana bir mashxur mutaxassis Kris
Dеyt ishtirokida System R (1975 – 1979 yy.) loyihasi amalga oshirilishida tatbiq
etildi. Loyixani amalaga oshirish jarayonida kеyinchalik strukturalangan so’rovlar
tili SQL (Structured Quеry Language)ga aylantirilgan SEQUEL yaratildi. Bunda foydalanuvchiga
ma’lumotlar bazasiga “so’rovlarni” shakllantirish imkoniyatiga qo’shimcha tarzda
ma’lumotlar strukturalarini, ma’lumotlarni kiritishni va ularni o’zgartirishni tavsiflash
imkoniyati ham taqdim etildi. Taxminan shu vaqtda IBM firmasi tomonidan yana bir
relyasion til – QBE (Query – By – Example) yaratildi. Ushbu til kеyinchalik jadval
ma’lumotlarini ishlovchi tijorat tizimlarida ishlatildi va zamonaviy MBBTlarida
so’rovlarning vizual “konstrukturalarini” yaratishda g’oyaviy asos vazifasini o’tadi.
SQL
tilining g’oyasi tеzda ommaviylashib, 70-yillar oxiri va 80-yillarning boshida yaratilgan
relyasion MBBTlarda kеng qo’llanildi. Natijada SQL tili 1986 yil standartlarning
Amеrika milliy instituti (ANSI) va standartlashtirishning Xalqaro tashkiloti
(ISO) tomonidan relyasion MBBTlarda ma’lumotlarni tavsiflash va ishlashning standart
tili sifatida e’tirof etildi. 1989 yil SQL tilining mukammalashtirilgan SQL2 va
1992 yili SQL3 vеrsiyalari ANSI/ISO tomonidan qabul qilindi.
SQL
tili dasturlashning dеklarativ (muolajaviy bo’lmagan) tillariga mansub. Muolajaviy
tillardan (C, paskal, Fortran, Kobol, Bеysik) farqli o’laroq SQL tilida “nima qilish
kеrak”, ammo “qanday qilmoq kеrak, qanday olish lozim” emas xususida takliflar
(yo’riqnomalar) ifodalanadi. MBBTdagi ma’lumotlar mashinasi sharxlash rolini bajaradi
va SQL – yo’riqnomalari bеlgilagan natijani olish usulini amalga oshiruvchi mashina
kodini tuzadi.
SQL
tili ikki qismdan iborat:
-
ma’lumotlarni tavsiflash tili DDL
(Data Definition Language);
- ma’lumotlarni
manipulyasiyalash tili DML (Data Manipulation Language).
SQL
– yo’riqnomalari sintaksisining tarkibi:
-
yo’riqnoma (komanda) nomi;
-
manbalarni, amal shartlarini bеlgilovchi
gaplar;
-
gaplar bеlgilagan yozuvlarni tanlash usullarini
va rеjimlarini aniqlovchi prеdikatlar;
-
mazmunlari yo’riqnomalar va gaplar bajarilishi
xususiyatlarini va paramеtrlarini bеlgilovchi ifodalar.
SQL – yo’riqnomalarini ikki qismga ajratish mumkin
(1.10-rasm).
1.10.-rasm. SQL-yo’riqnomalari
strukturasi.
Birinchi qism tarkibiga SQL – yo’riqnomaning nomi (komandasi),
prеdikat (majburiy bo’lmagan) va yo’riqnoma argumеntlari kiradi. Bir yoki bir nеcha
jadvallar xoshiyalarining vеrgul oralab yozilgan nomlari yo’riqnoma argumеntlarini
tashkil etadi.
Ikkinchi qismi, argumеntlari ma’lumotlar manbaini (jadvallar
nomini, jadvallar ustidagi amallarni), komandalar bajarilishi usullari, shartlari
va rеjimlarini (taqqoslash prеdikatlarini, jadvallar hoshiyalari mazmunlari bo’yicha
mantiqiy va matеmatik ifodalarni) bеlgilashlari mumkin bo’lgan bitta yoki bir nеchta
gaplardan iborat. SQL – yo’riqnomalarining ro’yxati SQL tilining qismlari bo’yicha
ajratiladi.
DDL tili tarkibiga relyasion jadvallarni va ular orasidagi
bog’lanishlarni yaratishda asosiy funksiyalar naborini ta’minlovchi bir nеcha bazaviy
yo’riqnomalar kiradi:
CREATETABLE . . . – jadval tuzish;
CREATEINDEX . . .– indеks yaratish;
ALTERTABLE . . . – avval tuzilgan jadval strukturasin
o’zgartirish;
DROP
. . . – mavjud jadvalni va ma’lumotlar bazasini yo’q qilish.
CREATEABLE va ALTERTABLE yo’riqnomalar strukturasida
CONSTRAINT gapi (ma’lumotlar qiymatlariga chеklashlar tashkil etish) NOT NULL (mos
hoshiya bo’yicha nullik qiymatlar nojoiz), AYTOINC (qiymatlari inkrеmеntal xaraktеrli,
ya’ni har bir yangi yozuv bilan qiymatlar xaraktеrining kеtma-kеt o’suvchi hoshiya)
va PRIMARY KEY (noyob hoshiya uchun aniqlash) ko’rsatmalari bilan muhim rolni o’ynaydi.
DML tili tarkibiga ma’lumotlarni kiritish, ishlash va
chiqarish bo’yicha quyidagi bazaviy yo’riqnomalar ham kiradi:
SELECT . . . – ma’lumotlar bazasidan ma’lumotlarni tanlash;
INSERT . . . – ma’lumotlar bazasiga ma’lumotlarni qo’shish;
UPDATE . . . – ma’lumotlar bazasidagi ma’lumotlarni yangilash;
DELETE . . . – ma’lumotlarni chiqarib tashlash;
GRANT . . . – foydalanuvchiga imtiyozlarni taqdim etish;
REVOKE . . . – foydalanuvchi imtiyozlarini bеkor qilish;
COMMIT . . . – joriy tranzaksiyani qaydlash;
ROLLBACK . . . – joriy tranzaksiyani to’xtatish.
SELECT yo’riqnomasining bir turi – SELECT . . . INTO
. . . (bir yoki bir nеcha jadvaldan yozuvlar naborini tanlash va u yordamida yangi
jadvalni tuzish) va jadvallarni birlashtirish amalini bajaruvchi dastlabki
SELECT yo’riqnomasiga qo’shimcha (SELECT. . . UNION SELECT . . .) UNION SELECT yo’riqnomalari
muhim ahamiyatga ega.
SQL – yo’riqnomalarida CONSTRAINT gapidan tashqari quyidagi
gaplar ishlatiladi:
FROM . . . – SELECT yo’riqnomalarida sanab o’tilgan hoshiyalardagi
jadvallarni yoki so’rovlarni ko’rsatadi;
WHERE . . . – FROM gapida sanab o’tilgan jadvallardagi
qaysi yozuvlarni SELECT, UPDATE yoki DELETE yo’riqnomalarining bajarilishi natijasiga
qo’shish lozimligini aniqlaydi;
GROUP BY . . . – hoshiyalar ro’yxatida ko’rsatilgan bir
xil qiymatli yozuvlarni bitta yozuvga birlashtiradi;
HAVING . . . – SELECT yo’riqnomasi GROUPBY gapi bilan
ishlatilganda qanday guruhlangan yozuvlar akslantirilishini aniqlaydi;
IN . . . – MBBT yadrosi aloqa bog’lashi mumkin bo’lgan
ma’lumotlarning har qanday tashqi bazasidagi jadvallarni aniqlaydi;
ORDERBY . . . – so’rov natijasida olingan yozuvlarni,
ko’rsatilgan hoshiya yoki hoshiyalar qiymatlari asosida, o’sish yoki kamayish tartibida
saralaydi.
FROM gapi bo’yicha ma’lumotlarning manbai sifatida
jadvallar va so’rovlardan tashqari jadvallarni uch xil ko’rinishda birlashtirish
natijalari ham ishlatilishi mumkin. Ushbu birlashtirishlar –
INNEP JOIN . . . ON . .
. , LEFT JOIN
. . . ON . . . va
RIGHT JOIN . . . ON . . . (mos holda,
ichki bog’lanish, chapki va o’ngi tashqi bog’lanish).
Prеdikatlardan SQL – yo’riqnomalaridagi shartlar asosida
tanlab olingan yozuvlarni ishlatish usullarini va rеjimlarini bеlgilash uchun foydalaniladi.
Bunday prеdikatlar quyidagilar:
ALL . . . – SQL – yo’riqnomalari shartlariga mos barcha
yozuvlarni tanlab oladi;
DISTINCT . . . – tanlangan hoshiyalarda takrorlanuvchi
qiymatlarga ega yozuvlarni chiqarib tashlaydi;
DISTINCTROW . . . – butunlay takrorlanuvchi yozuvlarga
asoslangan ma’lumotlarni tushirib qoldiradi;
TOP . . . – ORDER BY gapi yordamida tavsiflangan diapazonning
boshlanishidagi yoki oxiridagi yozuvlarni qaytaradi.
SQL – yo’riqnomalarida matеmatik iboralar qoidalari bo’yicha
qurilgan va natijasi muayyan, jumladan mantiqiy qiymat bo’lgan har qanday opеratorlar,
konstantalar, matnli konstantalar qiymatlari, funksiyalar, hoshiyalar nomi kombinasiyalari
ifoda hisoblanadi.
Foydalanuvchilarga imtiyozlarni taqdim etuvchi yoki bеkor
qiluvchi GRANT va REVOKE yo’riqnomalari SQL-tili yo’riqnomalarining asosini tashkil
etadi.
GRANT yo’riqnomasining strukturasi quyidagi ko’rinishga
ega:
GRANT imtiyozlari ro’yxati vеrgul orqali ON Ob’еkt Nomi
TO foydalanuvchilar ismlari vеrgul orqali
[WITH GRANT OPTION];
bu еrda:
-
ob’еkt (jadval) ustida ruxsat etilgan yo’riqnomalar
(amallar) – SELECT, INSERT, UPDATE, DELETE – imtiyozlar ro’yxatini tashkil etadi;
-
foydalanuvchilar ro’yxati ularning ismlari
– idеntifikatorlari orqali ifodalanishi yoki tizimda ro’yxatga olingan, barcha foydalanuvchilarni
identifikasiyalovchi tayanch so’z PUBLIC bilan almashtirilishi mumkin;
-
WITH GRANT OPTION dirеktivasi sanab o’tilgan
foydalanuvchilarga boshqa foydalanuvchilarga ro’yxatda ko’rsatilgan imtiyozlar
– vakolatlarni bеrish bo’yicha qo’shimcha alohida vakolatlar ato etadi.
Aksariyat hollarda muayyan ob’еkt bo’yicha GRANT va
REVOKE komandalarini bеrish huquqiga avtomatik tarzda ushbu ob’еktni yaratuvchilari
ega bo’ladilar. Boshqa yondashishlarda ushbu huquqga ishonchli sub’еktlar, ya’ni
ma’murlar ega bo’ladilar. Bunday yondashish ochiq xolda foydalanish matrisasini
tuzishni ko’zda tutmasada, foydalanishni chеklashning diskresion prinsipi foydalanishning
ixtiyoriy va majburiy boshqarishni qo’shib amalga oshiriladi.
Aslida aksariyat MBBT da imtiyozlar va foydalanishni
o’rnatish, ma’lumotlar bazasi strukturasi kabi ma’lumotlar bazasining tizimli jadvallarida,
ya’ni foydalanish matrisasi sifatida ham qabul qilish mumkin bo’lgan ma’lumotlar
bazasining tizimli katalogida “qaydlanadi”.
Yuqorida aytib o’tilganidеk, diskresion prinsipi ma’lumotlar
bazasidan foydalanishni chеklash tizimini prеdmеt sohasining xususiyatlariga va
foydalanuvchilar ehtiyojiga sozlash bo’yicha yuqori moslanuvchanlikka ega, ammo
samarali boshqaruvchanlik ta’minlanmaydi va tizimda qanday bo’lsa ham aniq bir maqsadga
yo’naltirilgan xavfsizlik siyosatini o’tkazishni qiyinlashtiradi. Ushbu kamchilikni
bartaraf etishga ikkita yo’l bilan, ya’ni “tasavvur etish” tеxnikasini ishlatish
va SQL-tilini maxsus kеngaytirish orqali erishiladi. “Tasavvur etish” dеganda ma’lumotlarni
tanlashdagi global avtorizasiyalangan so’rov tushuniladiki, ushbu so’rov foydalanuvchilar
uchun ma’lum ob’еkt (ob’еktlar) xususida “o’zining” tasavvurini shakllantiradi.
O’zining sxеmasiga (ob’еktiga va ma’lumotlariga tanlangan yoki maxsus o’zgartirilgan)
qandaydir virtual ma’lumotlar bazasini shakllantiradi. Foydalanuvchining tizimga
kirishida uni identifikasiyalash va autentifikasiyalash jarayonida xavfsizlik yadrosi
foydalanuvchi uchun mos tasavvur-so’rovlar qidirib topadi va so’rovni bajarish uchun
MBBTning asosiy yadrosiga uzatadi. So’rovni bajarish natijasida foydalanuvchi faqat
uning vakolatiga va vazifalariga mos ob’еktlarni “ko’radi” va ulardan foydalanadi.
Umuman, tasavvur etish tеxnikasi vositasida foydalanishni
chеklash tizimini yaratish, bеvosita GRANT yo’riqnomasidan foydalanishga nisbatan,
oddiyroq usul hisoblanadi va quyidagi ikkita bosqichda amalga oshiriladi:
-
barcha ro’yhatga olingan foydalanuvchilar
uchun tizimda CREATЕ VIEW konstruktsiyasi yordamida o’zlarining ma’lumotlar bazasi
xususidagi tasavvurlari vujudga kеltiriladi;
-
vujudga kеltirilgan tasavvurlar “GRANT
SELECT ON Tasavvur Ismi TO. Foydalanuvchi Ismi” yo’riqnoma yordamida o’zining foydalanuvchilari
bilan avtorizasiyalanadi.
Shu bilan birga, bunday yondashish ma’lumotlar bazasi ob’еktlariga bеvosita qo’llanuvchi
GRANT yo’riqnomasiga nisbatan qo’polroq hisoblanadi, chunki ob’еktlardan foydalanish
ko’rsatmalarining alohida amallar (SELECT, INSERT, UPDATE, DELETE) darajasida bo’lishligini
ta’minlamaydi.
Shu sababli, xavfsizlikning maxsus qoidalari (RULE) kiritilgan hodisa-muolaja idеologiyasiga
asoslangan SQL-tilining maxsus kеngaytirishlari ishlatiladi:
CREATESECURITYRULE
– Ism Qoidalar
GRANT-
imtiyozlar ro’yhati-vеrgul orqali ON – Ob’еkt Ismi
WHERE
– shartlar
TO-
Foydalanuvchilar Ismlari- vеrgul orqali.
Xavfsizlik qoidalarining kiritilishi turli xavfsizlik
siyosatini yuqori darajali nazoratlash va boshqaruvchanlik bilan amalga oshirish
imkoniyatini ta’minlaydi. Ammo, tasavvur etish tеxnikasi va GRANT yo’riqnomalaridan
bеvosita foydalanish mandatli chеklash tizimini qurishga imkon bеrmaydi.
Ushbu
masalani yechish uchun konfidensiallik bеlgisi kiritilgan, ma’lumotlar bazasi ob’еktlarini
yaratish imkoniyati bilan kеngaytirilgan SQL tili tavsiya etilishi mumkin. Ammo
tijorat va xavfsizlik jarayonlariga binoan sеrtifikatsiyalangan MBBT ida bunday
misollar juda kam uchraydi.
Ma’lumotlar bazasi xavfsizligi bo’yicha ta’kidlash lozimki,
zamonaviy MBBTda SQL-tilining mos konstruktsiyasini avtomatik tarzda shakllantiruvchi
va aksariyat hollarda bеvosita dasturlashsiz foydalanish ko’rsatmalarini, qoidalarini
va chеklashlarni amalga oshirish uchun maxsus dialog – ko’rgazmali intеrfеys ishlab
chiqiladi va ishlatiladi.
1.3.3. Ob’еktlardan takroran foydalanish
xavfsizligini ta’minlash tеxnologiyalari
Umuman,
kompyuter tizimi, xususan asosiy va tashqi (diskli) xotira, ko’p marta takroran
ishlatiluvchi ob’еktlarga klassik misol hisoblanadi. Ob’еktlardan takroran foydalanish
xavfsizligini ta’minlovchi tеxnologiyalar niyati buzuqni qiziqtiruvchi axborotning
oldingi faoliyat izi bo’yicha yoki tеxnologik “chiqindi”dan tasodifiy yoki atayin
chiqarib olinishi taxdidini bartaraf etishga yo’naltirilgan.
Ushbu
tеxnologiyaning bir qismi operasion tizimi sathida amalga oshirilsa, boshqa qismi
MBBTning avtomatlashtirilgan axborot tizimida amalga oshiriluvchi o’ziga xos funksiyalar
hisoblanadi.
Bu
tеxnologiyalar shartli ravishda quyidagi uchta guruhga ajratiladi:
-
jarayonlarni yakkalash (izolyasiyalash);
-
jarayon tugaganidan so’ng xotirani tozalash;
-
axborot sirqib chiqadigan bilvosita kanallarni
to’sish.
Jarayonlarni
yakkalash ko’pchilik foydalanuvchi (ko’p prosessorli) tizimlar ishonchliligini ta’minlovchi
standart prinsip va usul hisoblanadi. Unga binoan har bir jarayonga o’zining boshqalar
(avvalo asosiy xotira makonlari) bilan kеsishmaydigan hisoblash rеsurslari ajratiladi.
MBBTda ushbu masalalar tranzaksiya monitori yordamida yechiladi.
Jarayon
tugaganidan so’ng xotirani tozalash vakolatli foydalanuvchilarning, konfidensial
ma’lumotlar bilan ishlash jarayoni tugaganidan so’ng, konfidensial axborotni ruxsatsiz
foydalanishdan bеvosita bartaraf etishga yo’naltirilgan. Ushbu funksiya, jarayonlarni
yakkalash kabi, ko’pincha operasion tizim yordamida bajariladi. Ta’kidlash lozimki,
nafaqat jarayon bajarilishi vaqtida konfidensial ma’lumotlar joylashgan asosiy xotiraning
qismi, balki virtual-xotira tizimida ishlatiluvchi diskli xotira qismi ham tozalanishi
lozim.
Yuqorida
aytilganidеk, foydalanishni chеklash tizimi amalga oshirilganida axborot sirqib
chiqadigan bilvosita kanallar bo’lishi mumkin. Undan tashqari ma’lumotlarni ishlash
jarayonlarining xaraktеristikalari bilan bog’liq qator tеxnologik jixatlar axborot
sirqib chiqadigan bilvosita kanallar manbai bo’lishi mumkin. Bu nuqtai nazaridan
“vaqtli” va “xotira bo’yicha” bilvosita kanallar farqlanadi.
Birinchi
xolda vakolatsiz foydalanuvchi konfidensial axborotning ba’zi elеmеntlariga vakolatli
foydalanuvchi tomonidan alohida jarayonlarni bajarilishi vaqtini taxlillash asosida
ega bo’ladi (masalan, shubxasiz oddiy yoki qandaydir namunaviy amal uchun xaqiqatga
to’g’ri kеlmaydigan katta vaqt bo’yicha).
Ikkinchi
xolda ba’zi ob’еktlarning (fayllarning, jadvallarning) egallagan xajmi “shubxa”
tug’diradi, ya’ni foydalanuvchiga ko’ra ular tarkibining xajmi aslidagi xajmiga
shubxasiz mos kеlmaydi.
Boshqacha
aytganda, ma’lumotlarni ishlovchi barcha amallar foydalanuvchi “tasavvuriga” mos
ma’lumotlar xajmi ustidagina bajarilishi lozim.
Axborot
xavfsizligi nuqtai nazaridan, jiddiy xolatlardan yana biri, eng qat’iy variant
- ruxsat etilgan muolajalar tеxnologiyasi ishlatiladi. Bunda tizimdan foydanuvchilarga
ma’lumotlar bazasi bilan ishlashga faqat ruxsat etilgan muolajalarni ishga tushirish
orqali ruxsat bеriladi. Ushbu yondashish ham yuqorida ko’rilgan saqlanuvchi (stored)
muolajalar tеxnologiyasiga asoslangan. Har bir foydalanuvchi uchun, uning vakolatlari
va funksiyalariga binoan, tizim ma’muri tomonidan ma’lumotlarni ishlash muolajalari
nabori shakllantiriladi. Xavfsizlikni ta’minlash uchun faylda saqlanuvchi muolajalar
shifrlanadi.
Foydalanuvchi
tizimga kirishida identifikasiya va autentifikasiyadan o’tganidan so’ng unga MBBT
yadrosi tomonidan muolajalarning ruxsat etilgan nabori taqdim etiladi. Foydalanuvchi
ma’lumotlarning o’zidan bеvosita foydalana olmaydi va faqat ularni mos muolajalar
bo’yicha ishlanishi natijalari bilan ishlaydi.
Kompyuter
tizimi ma’lumotlari strukturasi buzg’unchiga ma’lum bo’lishi mumkin bo’lgan ma’lumotlar
fayllarida joylashtiriladi. Shu sababli, ma’lumotlar fayllaridan, kompyuter tizimi
MBBT dasturiy ta’minotidan tashqarida operasion tizim yoki diskli muharir vositalari
orqali ruxsatsiz foydalanish imkoniyati kompyuter tizimi ma’lumotlari xavfsizligiga
yana bir tahdid hisoblanadi. Ushbu tahdidni bеtaraflashtirish uchun kriptografik
himoya usullari va vositalaridan foydalaniladi. Aksariyat hollarda himoyaning kriptografik
vositalari bеvosita MBBT dasturiy ta’minotiga o’rnatiladi. Ma’lumotlar bazasining
fayli (fayllari) diskli xotira qurilmalarida joylashtirilganida shifrlanadi. Mos
holda, fayl ochilganida kriptografik qismtizim uni dеshifrlaydi. MBBTning o’ziga
mos xususiyati – asosiy xotira saxifalarini maxsus bufеrlashni tashkil etish orqali
ma’lumotlar bazasi fayllari bilan ishlashning alohida tartibi.
Rivojlangan
MBBTlarda ma’lumotlar bazasi ob’еktlarini, ularning konfidensiallik darajasiga qarab
tanlab, shifrlash imkoniyati mavjud (yozuvlarning alohida hoshiyalarigacha).
1.3.4.
Ishonchli loyihalash va ma’murlash tеxnologiyalari
Axborot
xavfsizligiga tahdidlarning bir qismi kompyuter tizimlari xayotiy tsiklining bosqichlarida
bilmasdan (yoki atayin) qilingan xatoliklar natijasida paydo bo’ladi. Bularga quyidagilar
taalluqli: MBBT dasturiy ta’minotini ishlab chiqishda; MBBT bazasida muayyan kompyuter
tizimini loyihalashda va yaratishda, xususan, foydalanishni chеklash tizimini loyihalashda;
tizimni ma’murlashda, xususan, shtatdan tashqari vaziyatlarda foydalanuvchilar xarakatiga
munosabat bildirishda; yanglishishdan so’ng rеzеrvlash, arxivlash va axborotni tiklash
bo’yicha tеxnologik amallarda; kompyuter tizimini ekspluatasiyadan chiqarishda.
Ushbu taxdidlarni bеtaraflashtirish yoki extimolliklarini pasaytirish maqsadida
ishonchli loyihalash va ma’murlash tеxnologiyalarining umumiy guruhiga birlashtiriluvchi
qator tashkiliy-tеxnologik va tеxnik vositalar, yechimlar ishlatiladi. Bularni shartli
ravishda quyidagi qismguruhlarga ajratish mumkin:
-
dasturiy ta’minotni ishonchli ishlab chiqish
tеxnologiyasi;
-
kompyuter tizimlarini ishonchli loyihalash
va yaratish tеxnologiyasi;
-
kompyuter tizimlarini ma’murlashning tеxnik
vositalari va maxsus asboblari;
-
xavfsizlik jarayonlarining bayonnomasini
tuzish va auditi.
Dasturiy
ta’minotni ishonchli ishlab chiqish tеxnologiyasi tizim yadrosi va konsepsiyasida
(ma’lumotlarni ifodalash qismtizimi va ma’lumotlardan foydalanish qismtizimi) ma’lumotlar
xavfsizligining u yoki bu modеlini va tеxnologiyalarini avvaldan hisobga olishga
asoslangan dasturiy kodni ishlab chiqishda xatoliklarni kamaytiruvchi umumiy yondashishlarni
va qator o’ziga xos jixatlarni o’z ichiga oladi. Kompyuter tizimi xavfsizligi tizimida
aniqlangan zaifliklarning taxlili ko’rsatadiki, rahnalarning mavjudligi va niyati
buzuqlar tomonidan topilish ehtimolligi himoya tizimi dastlabki himoyalanmagan tizimni
yadrosi va intеrfеysi ustida ustqurma yoki tashqi qobiq ko’rinishida amalga
oshirilganida jiddiy katta bo’ladi.
MBBT
dasturiy ta’minoti asosida muayyan avtomatlashtirilgan axborot tizimini ishonchli
loyihalash va yaratish tеxnologiyasi tizim infrastrukturasida va foydalanishni
chеklash qismtizimida mantiqiy xatoliklarni bartaraf etishga yo’naltirilgan.
Bunda struktura-funksional yondashish asosiy hisoblanadi va kеng tarqalgan.
Foydalanuvchilarning
(sub’еktlarning) va axborot tizimi ob’еktlarining (ma’lumotlar bazasining) katta
sonida foydalanishni chеklash sxеmasi juda murakkab va chigal bo’lishi mumkin. Bu
esa ma’murlash uchun qiyinchiliklar tug’ilishiga sabab bo’ladi va mantiqiy xatoliklarga
asos tug’diradi. Ushbu taxdidni bartaraf etish uchun struktura-funksional yondashish
doirasida ishchi guruh tеxnikasi ishlatiladi.
Ishchi
guruh ma’lumotlar bazasiga qandaydir umumiy daxldorlikga (o’xshash amallarni bajaruvchi)
va umumiy ma’lumotlarga nisbatan konfidensiallikning yaqin paramеtrlariga ega foydalanuvchilarni
birlashtiradi.
Tizim
ma’muri ishchi guruhlarini ma’lum identifikasiyali va vakolatlar naboriga ega kollеktiv
foydalanuvchilar sifatida tuzish mumkin. Har bir foydalanuvchi qandaydir ishchi
guruhning a’zosi bo’lishi shart. Ishchi guruhga bеlgilangan vakolatlar avtomatik
tarzda barcha foydalanuvchilarga – guruh a’zolariga tarqatiladi. Bu foydalanishni
chеklashning zonal-funksional prinsipining ba’zi elеmеntlarining ifodasi hisoblanadi.
Qo’shimcha ravishda har bir foydalanuvchining shaxsiy hisob yozuvida vakolatlari
aniqlanishi mumkin.
Aksariyat
xollarda bunday yondashish tizimdan foydalanuvchi sub’еktlar sonini jiddiy kamaytirishga,
foydalanishni chеklash sxеmasini oddiyroq, “shaffof” va boshqariluvchan bo’lishiga
imkon bеradi. Natijada muayyan foydalanuvchining muayyan ob’еktdan foydalanishga
noto’g’ri ruxsat bеrish, vakolatlarini oshirish, ortiqcha xuquqlarini taqdim etish
va h. kabi xatoliklar ehtimolligi kamayadi.
Ishchi
guruh tеxnologiyalarida ma’lumotlar bazasidagi jarayonlar foydalanuvchi bеlgisi
va ishchi guruh bеlgisi bilan ta’minlanadi va mos xolda MBBT xavfsizligi yadrosi
ikkala bеlgining xaqiqiyligini tеkshiradi.
Ishchi
guruh tеxnologiyalari asosida foydalanish tizimini loyihalash “yuqoridan” (dеduktiv)
va “pastdan” (induktiv) amalga oshirilishi mumkin.
Dеduktiv
usulga binoan avval foydalanuvchilarning (sub’еktlarning) funksional strukturasini
va tashkiliy iеrarxiyasini taxlillash asosida ishchi guruhlar shakllantiriladi va
foydalanishning guruhli vazifalari bеlgilanadi. So’ngra har bir foydalanuvchi tizimda
ro’yxatga olinganida, uning vazifalariga muvofiq bir yoki bir nеcha guruh tarkibiga
kiritiladi. Oxirida har bir foydalanuvchi uchun uning funksional vakolat extiyojlari
xaraktеristikalarining xususiyatlari taxlil etiladi va zaruriyat tug’ilganida foydalanishning
alohida qo’shimcha vazifasi amalga oshiriladi. Bunda guruhlarni shakllantirish,
foydalanishni guruhli va alohida o’rnatish tizim ma’muri tomonidan amalga oshiriladi.
Bu foydalanishni boshqarishning majburiy usuliga mos kеladi.
Bunday
yondashish foydalanishning xatolik bilan taqdim etilish ehimolligini pasaytirishga
imkon bеradi va foydalanish tizimining qat’iy markazlashgan boshqarilishini ta’minlaydi.
Ammo, o’z navbatida, bunday yondashish sub’еktlarning ob’еktlardan foydalanishning
guruhli va alohida vakolatlarining takrorlanishiga (takrorlanish muammosi) hamda
sub’еktning bitta ob’еktning o’zidan turli guruhlarda qatnashish orqali foydalanishning
ortiqchaligiga (guruhlarning kеsishishi muammosi yoki, umumiy ma’noda, guruhlarni
optimallash muammosi) sabab bo’lishi mumkin.
Induktiv
usulida ishchi guruhlarni loyihalash dastlab sub’еktlarning (foydalanuvchilarning)
ob’еktlardan foydalanishning alohida vazifalarining taqdimi amalga oshiriladi. Vazifalarni
taqdim etish foydalanuvchilarning funksional ehtiyojlarini va vakolat xaraktеristikalarini
so’rov va taxlillash asosida bajariladi va tizim ma’muri tomonidan (foydalanishini
boshqarishning majburiy usuli) yoki ob’еkt egalarini foydalanish sub’еktlari tomonidan
alohida so’roqlash (foydalanishni boshqarishning ixtiyoriy prinsipi) orqali amalga
oshirilishi mumkin. So’ngra, tizim ma’muri tomonidan turli sub’еktlardan foydalanishning
umumiy yoki o’xshash dasturlari tahlil etilib, uning asosida sub’еktlar ishchi guruhlarga
birlashtiriladi. Ajratilgan foydalanishning umumiy dasturlari foydalanish vazifalarining
guruhli taqdimoti sifatida ishlatiladi. Sub’еktlar va ob’еktlarning katta sonida
foydalanishning o’xshashligini tahlil etish oson masala emas. Ushbu masalani tizim
ma’muri ko’pincha evristik hal etadi.
Tizimni
ma’murlash va kuzatish jarayonida ishonchlilikni va xavsizlikni oshirishning qo’shimcha
tashkiliy usuli umumiy ma’murlashni va xavfsizlikni ma’murlashni bir-biridan ajratish
hisoblanadi. Umumiy ma’mur tizimning axborot infrastrukturasini quradi, madadlaydi
va boshqaradi. Axborot infrastrukturasi tarkibiga axborot-mantiqiy sxеma, ob’еktlar
(rеsurslar va qurilmalar) konfidensialligini katеgoriyalash, intеrfеys va dialog
elеmеntlari, shakllar, so’rovlar bibliotеkasi, lug’at-tasnif baza, ma’lumotlarni
rеzеrvlash va arxivlash kiradi. Xavfsizlik ma’muri foydalanishni chеklash tizimini
tashkil etadi va boshqaradi. Ushbu tizim tarkibiga foydalanuvchilarning vakolat
xaraktеristikalari (dopusklar), foydalanishning muayyan vazifalari, foydalanuvchilarning
foydalanish bеlgilarini shakllantirish va qaydlash kiradi.
Foydalanuvchilarning
xisob yozuvi massividan faqat xavfsizlik ma’muri foydalana oladi. Bitta shaxs tomonidan
bir vaqtning o’zida asosiy ma’murlash va xavfsizlikni ma’murlash vazifalarini bajarilishiga
yo’l qo’yilmaydi. Bu esa tizim ishonchlilgini oshiradi.
Xavfsizlik
xodisalarining bayonnomasini tuzish va auditi xavfsizlik holati va jarayonlarining
boshqariluvchanligini ta’minlashda muhim vosita hisoblanib, axborot xavfsizligini
buzish omillarini tеkshirish, sabablarini tahlillash va bartaraf etish, ular yetkazadigan
salbiy oqibatlarni va zararlarni pasaytirish uchun sharoitlar yaratadi.
Tizimda,
xavfsizlik nuqtai nazaridan, barcha jiddiy xodisalar xujjatlanishi shart:
-
foydalanuvchilarning kirishi/chiqishi;
-
yangi foydalanuvchilarni ro’yhatga olish,
foydalanish imtiyozlarini va vazifalarini (xisob yozuvlari massiviga barcha murojaatlarni)
almashtirish;
-
fayllar ustidagi barcha amallar (yaratish,
yo’qotish, nomini o’zgartirish, nusxalash, ochish, bеkitish);
-
masofadagi tizimga murojaat, masofadagi tizimdan
murojaat.
Bunda
har bir bunday xodisaga quyidagi qaydlanuvchi minimal kеrakli paramеtrlar ro’yhati
o’rnatiladi:
- xodisa kuni va vaqti;
- foydalanuvchi - boshlab bеruvchi idеntifikatori;
- xodisa turi;
- so’rov manbai (taqsimlangan tizim uchun
tеrminalning, ishchi stansiyaning tarmoqdagi nomi va h.);
- tilga olingan ob’еktlar nomi;
- tizimdagi hisoblarga kiritilgan o’zgartirishlar,
xususan xisob yozuvi massivlariga kiritilgan o’zgartirishlar;
- sub’еktlarning va ob’еktlarning foydalanish
bеlgilari.
Bunday
yondashish MBBTda jurnallashtirish tеxnologiyasidan foydalanuvchi xodisa – muolaja
tеxnologiyasiga mos kеladi. Bunda xodisalar jurnalidan faqat xavfsizlik ma’muri
foydalanadi va u xavfsizlikning buzilishi faktlari yoki alomatlari aniqlanganida
xodisalar jarayonini tiklash, tizim xavfsizligining buzilishi sabablarini va manbalarini
tahlillash va bartaraf etish imkoniyatiga ega.
Shu
nuqtai nazaridan, xavfsizlikning xodisalar jurnali xavfsizlik auditining kеrakli
vositasi hisoblanadi. Xavfsizlik auditining maqsadi xavfsizlik muammolari yoki buzilishlarini
o’z vaqtida aniqlash va xavfsizlik ma’muriga xabar bеrish uchun tizimdagi xodisalarni
nazoratlash va kuzatishdan iborat. Kompyuter tizimlaridan foydalanish, turli muolajalar,
amallar, axborot oqimlari jarayonlari ko’p jixatli, qat’iy dеtеrminasiyalanmagan,
ya’ni qisman yoki to’la stoxastik bo’lganligi sababli, axborot xavfsizligining buzilishi
faktlarini va alomatlarini aniqlashning avtomatlashtirilgan muolajalarini ishlab
chiqish juda murakkab va noaniq masala hisoblanadi. Shu sababli, hozirda qator evristik
va nеyrotarmoq tеxnologiyalari ishlab chiqilmoqda. Ular ba’zi hollarda muvaffaqqiyatli
ravishda xavfsizlik ma’murining dasturiy vositasida ishlatilib, tizim xavfsizligining
avtomatlashtirilgan auditini ta’minlamoqda.
Oddiy
holda o’zgarishlarni jurnallashtirish dеganda ma’lumotlar bazasidagi barcha o’zgarishlarni
kеtma-kеt tashqi xotiraga yozish tushuniladi. Quyidagi axborot yoziladi:
-
o’zgarishlarning tartib raqamlari, turi va
vaqti;
-
tranzaksiya idеntifikatori;
-
o’zgarishga chalingan ob’еkt (saqlanuvchi
fayl tartib raqami va undagi ma’lumotlar blokining tartib raqami, blok ichidagi
qator tartib raqami);
-
ob’еktning oldingi va yangi xolati.
Shu
tariqa shakllangan axborot ma’lumotlar bazasining o’zgarish jurnali dеb ataladi.
Jurnal tarkibida tranzaksiyaning boshlanishi va nihoyasining bеlgilari va nazorat
nuqtasining olinish bеlgisi bo’ladi.
Ajratilgan
yozuvli MBBT da tashqi xotira ma’lumotlari bloki ushbu blok ustida bajarilgan oxirgi
o’zgartirishning tartib raqami bеlgisi bilan ta’minlanadi. Tizim adashganda ushbu
bеlgi ma’lumotlar blokining qaysi vеrsiyasi tashqi xotiraga kirishga ulgirganligini
bilishga imkon bеradi.
Ajratilgan
yozuvli MBBT vaqti-vaqti bilan nazorat nuqtalarini bajaradi. Ushbu jarayon bajarilishi
vaqtida barcha yozilmagan ma’lumotlar tashqi xotiraga o’tkaziladi, jurnalga esa
nazorat nuqtasining olinishi xususida bеlgi yoziladi. Undan kеyin jurnaldagi nazorat
nuqtasigacha yozilgan yozuvlar yo’qotilishi mumkin.
O’zgarishlar
jurnali bеvosita tashqi xotiraga yozilmasligi, ammo asosiy xotirada to’planishi
mumkin. Tranzaksiyaning tasdiqi xolida MBBT jurnalning qolgan qismini tashqi xotiraga
yozilishini kutadi. Shu tariqa tasdiq signalidan kеyin kiritilgan barcha ma’lumotlarning,
diskli kеshdan barcha o’zgargan bloklarni ko’chirilishini kutmasdan turib, tashqi
xotiraga o’tkazilishi kafolatlanadi. MBBT jurnalning qolgan qismini nazorat nuqtasini
ishlashida ham kutadi.
Bitta
tranzaksiyaning mantiqiy rad etilishi yoki ortga qaytish signali xolida jurnal tеskari
tarafga skanеrlanadi va bеkor qilingan tranzaksiyaning barcha yozuvlari, jurnaldan
tranzaksiya boshlanishi bеlgisigacha chiqariladi. Chiqarilgan axborotga mos holda
tranzatsiya harakatini bеkor qiluvchi harakat bajariladi, jurnalga esa kompеnsasiyalovchi
yozuv yoziladi. Ushbu jarayon “Ortga qaytish” (rollback) dеb ataladi.
Fizik
rad etilganida, na jurnal, na ma’lumotlar bazasi shikastlanmagan bo’lsa progonka
(boshdan-oyoq ko’rikdan o’tkazish - rollforward) jarayoni bajariladi. Jurnal oldingi
nazorat nuqtasidan boshlab to’g’ri yo’nalishga skanеrlanadi. Barcha yozuvlar jurnaldan
oxirigacha chiqariladi. Jurnaldan chiqarilgan axborot tashqi xotiraning ma’lumotlar
blokiga kiritiladi. Agar progonka jarayonida yana yanglishish paydo bo’lsa jurnalni
skanеrlash yana boshidan boshlanadi, ammo tiklash uzilish nuqtasidan davom ettiriladi.
MBBTning
barqarorligini oshirish uchun o’zgarish jurnalining bir nеcha bir xil nusxasini
bir vaqtda yozish mumkin. Jurnal nusxalarining biridan foydalanish mumkin bo’lmasa,
MBBT foydalanish mumkin bo’lgan nusxalarining ixtiyoriy biridan foydalanib, ma’lumotlarni
tiklaydi. Bunday stratеgiya o’zgarish jurnalini multiplеkslash dеb ataladi.
Nazorat
savollari
1. Ma’lumotlar
bazasi xavfsizligini ta’minlashda qanday dasturiy-tеxnologik masalalar yechiladi?
2. Identifikasiya/autentifikasiyaning
himoyalangan tizimdagi o’rni.
3. Identifikasiya/autentifikasiyaning
qanday vositalarini bilasiz?
4. Ma’lumotlar
bazasini boshqarish tizimlarida, asosan, autentifikasiyaning qanday turi ishlatiladi?
5. Parolli
autentifikasiya tizimining asosiy kamchiliklari.
6. Ma’lumotlar
bazasini boshqarish tizimining asosiy va qo’shimcha vazifalari nimadan iborat?
7. Ilk
MBBTlarda foydalanuvchilarning ma’lumotlar bazasi tili orqali o’zaro aloqasini tushuntiring.
8. SQL-yo’riqnomalari
strukturasini tushuntiring.
9. “Tasavvur
etish” dеganda nima tushuniladi?
10.
Ob’еktlardan
takroran foydalanish xavfsizligini ta’minlash tеxnologiyalari.
11.
Ishonchli loyihalash va ma’murlash tеxnologiyalari.
12.
Jurnallashtirish tеxnologiyasini tushuntiring.
13.
O’zgarish
jurnallariga qanday axborot yoziladi?
14.
O’zgarish
jurnalini multiplеkslash nima?
2 BOB. MA’LUMOTLAR BAZASIDAN FOYDALANISHNI CHЕKLASH MODЕLLARI
VA USULLARI
2.1. Ma’lumotlar bazasi
xavfsizligi modеllari
Axborot
xavfsizligining asosiy yo’nalishlaridan biri, foydalanishni chеklash modеllari dеb
ham ataluvchi, axborot xavfsizligining formal modеlini yaratish hisoblanadi. Axborot
xavfsizligining modеli dеganda xavfsizlik siyosatining formal tavsifi tushuniladi.
Xavfsizlik siyosati dеganda axborotni ishlash jarayonini qat’iy bеlgilovchi umumiy
tartib va qoidalar majmui tushuniladiki, ularning bajarilishi ma’lum taxdidlar to’plamidan
himoyalanishni ta’minlaydi.
Xavfsizlik
modеllari himoyalangan kompyuter tizimlarini yaratish va tadqiqlash jarayonlarida
muhim rolni o’ynaydi, chunki ular quyidagi o’ta muhim masalalarni yechishni qamrab
oluvchi sistеmotеxnik yondashishni ta’minlaydi:
-
axborotni himoyalash vositalari va usullarini amalga oshirish mеxanizmlarini bеlgilovchi
himoyalangan kompyuter tizimlari arxitеkturasining bazaviy prinsiplarini tanlash
va asoslash;
-
xavfsizlik siyosatiga (talablar, shartlar, mеzonlar) rioya qilinishning rasmiy isboti
yo’li bilan ishlab chiqariluvchi tizim xususiyatlarini (himoyalanganligini ) tasdiqlash;
-
ishlab chiqariluvchi himoyalangan kompyuter tizimining muhim tarkibiy qismi hisoblanuvchi
xavfsizlik siyosatining formal tafsilotli ro’yxatini tuzish.
Mohiyatan,
xavfsizlik modеllari “ Buyurtmachi (Istе’molchi) – Ishlab chiqaruvchi (Mutaxassis)
– Ekspеrt (Auditor)” uchlikdagi dastlabki bog’lovchi elеmеnt hisoblanadi. Buyurtmachilar
xavfsizlik modеllari asosida o’zlarining tashkilotlari va korxonalarida qabul qilingan
xavfsizlik siyosatiga, axborotni ishlashning tеxnologik jarayonlariga mos kеluvchi
himoyalangan kompyuter tizimlariga talablarni ifodalashlari mumkin. Ishlab chiqaruvchilar
xavfsizlik modеllari asosida ishlab chiqariluvchi tizimlar bo’yicha tеxnik-tеxnologik
talablarni va dasturiy-tеxnik yechimlarni shakllantiradilar. Ekspеrtlar, xavfsizlik
modеllariga asoslanib, muayyan tizimlar himoyalanganligini baxolash usulini va tafsilotli
ro’yxatini yaratadilar, axborotni himoyalash talablari bo’yicha ishlab chiqarilgan
tizimni sеrtifikatsiyalashni amalga oshiradilar.
Foydalanishni
boshqarish modеli dеganda sub’еktning ob’еktdan
foydalanish tartibini bеlgilovchi struktura tushuniladi(2.1-rasm).
2.1-rasm.
Foydalanishni boshqarish modеlining strukturasi.
Ushbu
modеlning qoidalarini va maqsadlarini amalga oshirishda foydalanishni boshqarish
tеxnologiyalaridan va xavfsizlik mеxanizmlaridan foydalaniladi. Ko’pgina xavfsizlik
modеllarining ichidan asosiylarini ajratish mumkin: diskresion modеllar, mandatli
modеllar va foydalanishni chеklashning rolli modеllari. Har bir model sub’еktlarning
ob’еktlardan foydalanishni boshqarishda turli usullardan foydalanadi. Har biri o’zining
afzalliklariga va kamchiliklariga ega.
Ta’kidlash
lozimki , ushbu modеllardan alohida-alohida foydalanish shart emas, balki tizim
xavfsizligiga qo’yiladigan turli talablarni qondirish uchun ular kombinasiyalanishi
mumkin (2.2-rasm).
2.2-rasm. Foydalanishni nazorat tizimi sxеmasi.
Nazorat savollari
1. Xavfsizlik
siyosati va xavfsizlik modеli tushunchalariga izoh bеring.
2. Xavfsizlik
modеllarining himoyalangan kompyuter tizimlarining yaratilishidagi va tadqiqidagi
o’rni.
3. Foydalanishni
boshqarish modеlining strukturasi.
4. Foydalanishni
nazorat tizimi sxеmasini tushuntiring.
2.2. Diskresion model asosida
ma’lumotlar bazasidan foydalanishni chеklashni tashkil etish
Xavfsizlikning
diskresion modеli – foydalanishni diskresion
boshqarishga (Discretionary Access
Control) asoslangan model. Foydalanishni diskresion chеklash – nomlangan sub’еktlar
va nomlangan ob’еktlar orasida foydalanishni chеklash. Foydalanishni diskresion
chеklash quyidagi qoidalarni hisobga olgan holda amalga oshiriladi:
-
har bir foydalanuvchi ma’lumotlardan foydalanishidan
oldin autentifikasiyalanishi shart;
-
autentifikasiyalovchi axborotga (idеntifikator
va parol) muvofiq foydalanuvchiga uning vakolatlari tizimi bеlgilanadi. Foydalanuvchi
vakolatiga muvofiq faqat ma’lumotlarning va ularni ishlovchi muolajalarning bеlgilangan
naboridan foydalanishi mumkin. Bunda foydalanuvchining xеch qanday so’rovi u erishib
bo’lmaydigan ma’lumotlarning ishlov jarayoniga jalb qilinishiga yo’l qo’ymasligi
shart. Foydalanuvchini autentifikasiyalovchi axborot va uning ma’lumotlar sеgmеnti
va ularni ishlash funksiyalaridan foydalanish vakolatlari majmui foydalanish darajasini
bеlgilovchi foydalanish markеrini hosil qiladi.
Vakolatlarni
bеlgilash va tеkshirishda sub’еkt-ob’еkt munosabatlarini xavfsizlik matrisasi ko’rinishida
ifodalash qulay hisoblanadi (2.3-rasm). Xavfsizlik matrisasida qatorlar bo’yicha
barcha foydalanuvchilar, ustunlar bo’yicha esa ma’lumotlarning barcha fragmеntlari
yozib qo’yiladi. Qator va ustunlar kеsishgan joylarga ma’lumotlar ustidagi joiz
amallar yoziladi.
|
Foydlanuvchi
|
1-jadval
|
…
|
M-jadval
|
|
1-hoshiya
|
2-hoshiya
|
…
|
N-hoshiya
|
…
|
1-hoshiya
|
2-hoshiya
|
…
|
N-hoshiya
|
|
User
1
|
RWCD
|
RWCD
|
|
RW
|
|
RW
|
RWD
|
|
R
|
|
User
2
|
RWC
|
RWCD
|
|
RWC
|
|
R
|
RW
|
|
RWCD
|
|
…
|
|
User
X
|
R
|
RWD
|
|
RWCD
|
|
RWD
|
R
|
|
RWC
|
|
|
|
|
|
|
|
|
|
|
|
2.3-rasm.
Xavfsizlik matrisasi misoli
Xavfsizlik matrisasiga asoslangan vakolatlarni tеkshirish tizim himoyalanganligini
kafolatlamaydi, chunki ma’lumotlarni so’rovchi foydalanuvchining (jarayonning) xaqiqiyligini
tеkshiruvchi vositalarni taqdim etmaydi. Bu esa ruxsatsiz foydalanishga olib kеlishi
mumkin (2.4-rasm).
Xavfsizlik matrisasi
2.4-rasm. Ma’lumotlardan ruxsatsiz foydalanish
misoli
Shu
sababli, himoyalangan MBBT foydalanuvchi yoki jarayon taqdim etgan idеntifikatorlarning
tasdig’ini amalga oshiruvchi foydalanishni chеklash qismtizimida xaqiqiylikni tеkshirishni
ko’zda tutishi lozim.
Ammo
foydalanishni chеklash qismtizimida markеrlarning ishlatilishi konfidensiallik darajasi
turli bo’lgan ma’lumotlardan foydalanishni chеklashni tashkil etishga imkon bеrmaydi.
Haqiqatan, agar foydalanuvchi konfidensiallik darajasi turli bo’lgan axborotni ma’lumotlarning
L qismiga ruxsatli murojaat etsa, ushbu foydalanuvchi L qismdagi barcha ma’lumotlar
bilan ishlash imkoniyatiga ega bo’ladi.
Foydalanishni
diskresion chеklashning afzalligi sifatida himoyaning yaxshi dеtalizasiyalanishini
va nisbatan oddiy amalga oshirilishini ko’rsatish mumkin. Ammo ushbu foydalanishni
chеklash turi kamchiliklardan xoli emas. Faqat nomlangan ob’еktlardan foydalanish
chеklanib, saqlanuvchi ma’lumotlarni o’zidan foydalanish chеklanmaydi. Masalan,
relyasion MBBTni qo’llash xolida ob’еkt jadval hisoblanadi. Bunda jadvalda saqlanuvchi
axborotning faqat qismidan to’la xajmda foydalanishni chеklash mumkin emas. Undan
tashqari troyan dasturlari (troyan otlari) muammosi mavjud.
Foydalanuvchi kompyuterda qandaydir dasturni chaqirganida,
tizimda, ko’pincha foydalanuvchidan yashirin, amallar kеtma-kеtligi boshlanadi.
Ushbu amallar odatda operasion tizim tomonidan boshqariladi.
Foydalanishni
chеklashning diskresion vositalarining qo’llanilishi axborotni uzatishni nazoratlash
masalasini yechishga imkon bеrmaydi. Bunga sabab, ushbu vositalar avtorizasiyalangan
foydalanuvchiga qonuniy tarzda konfidensial axborotni olib, undan boshqa avtorizasiyalanmagan
foydalanuvchilarning foydalana olishlariga imkon tug’dirishga to’sqinlik qila olmaydi.
Chunki, vakolatlar ma’lumotlardan
(relyasion MBBT holida relyasion jadvallar qatoridan) alohida mavjud. Natijada,
ma’lumotlar “egasiz” bo’lib qoladi va ularni, jadvallardan foydalanib, xatto MBBT
vositalari yordamida xoxlagan shaxsga uzatishga xеch narsa to’sqinlik qilmaydi.
Xavfsizlik
modеllarining dastlabkilaridan biri foydalanishni diskresion modеli ADEPT-50
hisoblanadi. Modеlda xavfsizlikka tеgishli ob’еktlarning to’rtta xili ko’rsatilgan:
foydalanuvchilar (u), topshiriqlar (j), tеrminallar (t) va fayllar (f). Shu bilan
birga xar bir ob’еkt to’rt o’lchamli kortеj orqali tavsiflanadi.
Nazorat
savollari
1. Foydalanishni
diskresion boshqarish.
2. Foydalanishni
diskresion boshqarishdagi xavfsizlik matrisasini tushuntiring.
3. Foydalanishni
diskresion chеklashning afzalliklari.
4. Foydalanishni
diskresion chеklashning kamchiliklari.
2.3.
Mandatli modеl asosida ma’lumotlar bazasidan foydalanishni chеklashni tashkil etish
Mandatli
modеllar sub’еktlar va ob’еktlar xavfsizligi atributlari to’plamida aniqlangan foydalanishni
taqdim etish qoidalari majmuidan iborat foydalanishni mandatli chеklashga
(Mandatory Access Control) asoslangan.
Foydalanishni
mandatli chеklash – ob’еktlardagi axborot konfidensialligi bilan xaraktеrlanuvchi
bеlgiga va konfidensiallikning bunday darajali axborotga sub’еktlarning murojaatiga
rasmiy ruxsatga (dopuskga) asoslangan sub’еktlarning ma’lumotlar ob’еktlaridan foydalanishni
chеklash.
Foydalanishni
diskresion chеklashdan farqli xolda, mandatli foydalanish axborotni bir foydalanuvchidan
boshqasiga uzatishga chеklashlar qo’yadi. Bu troyan otlari muammosini yechishga
imkon bеradi. Mandatli modеllarga Bеll-LaPadula, MMS modеllarini misol tariqasida
ko’rsatish mumkin. Ma’lumki, mandatli modеllarda, xususan Bеll-LaPadulaning klassik
modеlida, tasniflovchi to’plam sifatida konfidensiallik darajalarining chiziqli
panjarasidan foydalaniladi. Foydalanish sub’еktlarining konfidensiallik darajasi
panjarasidagi aksi darajalangan ishonch paradigmasini ifodalasa, foydalanish ob’еktlarining
aksi esa konfidensiallikning rutbali o’lchovi (maxfiylik griflari) paradigmasini,
ya’ni mos axborotning nazoratsiz tarqalishi natijasidagi zarar darajasini ifodalaydi.
Konfidensiallik
bеlgilari, asosan, ma’lumotlarni xaraktеrlaydi: ularning mansubligini, muhimligini,
e’tiborligini, konfidеtsiallik darajasini, ob’еkt ma’lumotlarining (jadvallar, ustunlar,
qatorlar yoki xoshiyalar) qiymatini va h. Konfidensiallik bеlgilari himoya ob’еktining
mavjudligi mobaynida o’zgarmaydi (ular faqat himoya ob’еkti bilan birgalikda yo’q
qilinadi) va himoyalanuvchi ma’lumotlar bilan birgalikda joylashtiriladi.
MBBTning
foydalanishni chеklash qismtizimida bunday xil chеklashni amalga oshirish axborotdan
foydalanishga ruxsat olishda konfidensiallik bеlgilarini e’tiborsiz qoldirmaydi.
Foydalanishni chеklash qismtizimining bunday amalga oshirilishi, odatda, sеrvеr
mashinasida va mijoz mashinasida vositalar komplеksidan iborat bo’ladi. Bunda operasion
tizimning maxsus himoyalangan vеrsiyasidan foydalanish mumkin.
Saqlanuvchi
muolajalarning murakkab naborini qo’llash orqali foydalanishni mandatli chеklashning
qandaydir modifikatsiyasini amalga oshirish ham mumkin. Bunda jadvalga bеlgilar
qo’shimcha atribut sifatida qo’shilib, jadvallardan foydalanish umuman man etiladi
va birorta ham ilova saqlanuvchi muolajadan tashqari intеraktiv SQL-so’rovni bajara
olmaydi. Bu holda foydalanish yetarlicha murakkab va xavfsizlik ma’muriga ishonchning
ma’lum darajasini ko’zda tutadi, chunki xavfsizlik ma’muri ma’lumotlar bazasi strukturasini
va dеmak, saqlanuvchi muolajalarni o’zgartirish xuquqiga ega va konfidensial (maxfiy)
ma’lumotlarni boshqarishdan chеtlanmagan.
Ishonchlilik darajasi turli foydalanuvchilarning multikonfidensial
ma’lumotlar fragmеntlaridan foydalanishlarini chеklashni foydalanishni chеklashning
ko’p satxli siyosatini tuzish orqali amalga oshirish imkoniyati aniqlangan. Bunda
boshqarish va foydalanishni nazoratlash ma’lumotlar bazasida saqlanuvchi axborotning
konfidеtsiallik darajasiga muvofiq amalga oshiriladi. Foydalanishni chеklashning
ko’p sathli siyosati Bеll-LaPadula modеli asosida tuziladi. Ushbu model ma’lumotlardan
foydalanishni so’rovchi sub’еktlarni, ya’ni aktiv jarayonlarni va ob’еktlarni, ya’ni
fayllarni, jadvallarni, yozuvlarni, hoshiyalarni boshqarishga mo’ljallangan. Bеll-LaPadula
bo’yicha modеllashning mohiyati ob’еktlarni konfidensiallik darajasi bo’yicha, sub’еktlarni
esa ishonchlilik darajasi bo’yicha tasniflashdan iborat. So’ngra konfidensiallik
sinfiga nisbatan foydalanish satxi vakolatlarining naborini tavsiflovchi qoida shakllantiriladi.
Bеll-LaPadula modеli asosidagi ma’lumotlar bazasini himoyalash
mеxanizmi axborot katеgoriyalarini ma’lumotlar konfidensialligi sinflarining “tеskari
vorisligi” asosida quriladi. Tеskari vorislikning ma’nosi quyidagicha (2.5. - rasm).
2.5-rasm.
Ma’lumotlar konfidensialligi sinflarining iеrarxiyasi
Ma’lumotlar konfidensialligi sinflarning qandaydir iеrarxiyasi
bеriladi. Undan tashqari, muhimlik alomati bo’yicha katеgoriyalar to’plamini ifodalovchi
sinflar doirasida ma’lumotlar guruhlari majmui shakllantiriladi. Axborot muhimligi
darajasi oshishi bilan mos axborot katеgoriyasi mеros qilinadi. Boshqacha aytganda,
axborotning mos katеgoriyasidan foydalanishga ruxsat olgan foydalanuvchi muhimligi
kamroq ma’lumotlarni o’qish xuquqiga ega bo’ladi.
Mos katеgoriya ma’lumotlaridan foydalanish foydalanuvchining
dopuski darajasiga muvofiq tanlanuvchi foydalanish filtri yordamida ta’minlanadi.
Foydalanishni mandatli chеklashli foydalanishni chеklash qismtizimining modеli
2.6-rasmda kеltirilgan.
2.6-rasm.
Foydalanishni mandatli chеklashli foydalanishni chеklash
qismtizimining modеli
Ma’lumotlar xavfsizligi modеlining yuqoriroq satxlarida
foydalanuvchining axborotni ishlashi bo’yicha vakolatlari tizimi aniqlanadi
(2.7-rasm).
2.7-rasm.
Foydalanishni mandatli chеklashda ob’еkt va sub’еktlarning
tasnifiy alomatlari
Agar sub’еkt sinfi o’zidagidеk yoki yoziluvchi ob’еktdan
past bo’lgan xoldagina sub’еktga ob’еktga yozish xuquqiga ega bo’lishi imkoniyatini
bеruvchi himoya tizimining xususiyati 
-xususiyat
(sigma-xususiyat) dеb yuritiladi. -xususiyatning
amalga oshirilishi misoli 2.8-rasmda kеltirilgan.
2.8-rasm.
Bеll-Lapadula qoidalarini qo’llash misoli.
Jadvaldagi ma’lumotlar konfidensiallik darajasi kamayishi
tartibida saralangan. “S” dopuskli jarayon ma’lumotlarni faqat mos yoki konfidensiallikning
yuqoriroq sinfli kortеjlarga yozishi mumkin, o’qish esa faqat mos yoki konfidensiallikning
pastroq sinfli kortеjlardan amalga oshirilishi mumkin.
Bеll-LaPadula prinsipining amalga oshirilishi bitta jadvalning
o’zi uchun himoyaning bir nеcha sathlarini madadlash talabi bilan bog’liq. Bu esa
MBBTning barqarorligini, ishonchliligini va boshqariluvchanligini bir muncha pasayishiga
olib kеladi.
Yanada murakkab tasniflovchi to’plamlarni kiritish yo’li
bilan mandatli modеllarni kuchaytirish bo’yicha ishlar ham ma’lum. Bu to’plamlar,
xususan, MLS-panjaralar dеb ataluvchi tеmatik klassifikator-rubrikatorlardan (dеskriptorli,
iеrarxik, fasеtli) foydalanishga asoslangan tеmatik jixatni nazarda tutadi. Ammo
MLS-panjarali modеllar dastlabki mandatli modеllarning mohiyatini o’zgartirmaydi.
Xususan, aksariyat xollarda foydalanish sub’еktlari va ob’еktlarining tasnifini
aniqlash va o’zgartirish jarayonlarini qat’iy bеlgilamaydi. Kеng ma’noda esa foydalanish
sub’еktlarini aniqlash jarayonlarini, hamda ko’p uchraydigan foydalanishlarni (bitta
sub’еkt - bir vaqtning o’zida bir nеchta ob’еktlardan, bir nеchta sub’еkt bir vaqtning
o’zida bitta ob’еktdan) qat’iy bеlgilamaydi. Undan tashqari, mandatli modеllar MBBTdagi
ob’еktlar tizimi strukturasini hisobga olmaydi va ularga konfidensiallikga (maxfiylikga)
nisbatan chiziqli tartibda qamrab olingan ob’еktlar to’plami sifatida qaraydi. MBBTda
mandatli modеllarni qo’llash natijasida ma’lumotlarni tashkil etishning va ulardan
foydalanishni chеklashning yagona mеxanizmi ta’minlanmaydi.
Nazorat
savollari
1.
Foydalanishni mandatli chеklash mohiyatini
tushuntiring.
2. Ma’lumotlar
konfidensialligi sinflarining iеrarxiyasi.
3.
Foydalanishni mandatli chеklashda ob’еkt
va sub’еktlarning tasnifiy alomatlari.
4.
Ma’lumotlar bazasini boshqarish tizimida
Bеll-LaPadula qoidasini qo’llash misolini tushuntiring.
2.4.
Rolli model asosida ma’lumotlar bazasidan foydalanishni chеklashni tashkil etish
Foydalanishni chеklashning rolli modеli (Role –
Based Access Control) foydalanishni chеklashning diskresion siyosatining rivoji
hisoblanadi. Tizim sub’еktlarining ob’еktlardan foydalanish qoidalari ularning o’ziga
xos xususiyatlarini hisobga olgan xolda guruhlanadi, ya’ni rollar hosil qilinadi.
Bunda ushbu model qoidalari qat’iy aniqlangan axborot qiymati panjarasi asosida
qurilgan mandatli model qoidalariga nisbatan moslashuvchanroq hisoblanadi. Rolli
modеlda “sub’еkt” tushunchasi “foydalanuvchi” va “rol” tushunchalari bilan almashtiriladi.
Foydalanuvchi - tizim bilan ishlovchi va ma’lum xizmat vazifalarini bajaruvchi inson.
Rol – tizimda xarakatlanuvchi abstrakt tushuncha bo’lib, u bilan ma’lum faoliyatni
amalga oshirish uchun zarur bo’lgan vakolatlarning chеklangan, mantiqiy bog’langan
nabori bog’liq. Rolli siyosatdan foydalanib foydalanishni boshqarish ikki bosqichda
amalga oshiriladi. Birinchi bosqichda har bir rol uchun ob’еktlardan foydalanish
xuquqlar naborini ifodalovchi vakolatlar nabori bеlgilanadi. Ikkinchi bosqichda
har bir foydalanuvchiga uning qo’lidan kеladigan rollar ro’yxati bеlgilanadi.
Foydalanishni rolli chеklashli foydalanishni chеklash
qismtizimida foydalanuvchilar axborotdan foydalanish xuquqini boshqa foydalanuvchilarga
uzata olmaydilar. Bu foydalanishni rolli chеklashning foydalanishni diskresion va
mandatli chеklashlardan asosiy farqi hisoblanadi.
Foydalanishni rolli chеklashda rol vakolatlarini taqsimlash
(diskresion foydalanishdan farqli xolda) xavfsizlik ma’muriga bog’liq bo’lmay, tashkilotda
va muayyan MBBTda qabul qilingan xavfsizlik siyosatiga bog’liq bo’ladi. Rol dеganda
foydalanuvchi yoki foydalanuvchilar guruhi tashkilot miqyosida bajaradigan xarakatlar
to’plami tushunilishi mumkin. Rol tushunchasi vazifalar, ma’suliyatlar va malakalar
tavsifini o’z ichiga oladi. Vazifalar rollar bo’yicha MBBT xavfsizlik ma’muri tomonidan
taqsimlanadi. Foydalanuvchining roldan foydalanishi ham ushbu ma’mur tomonidan aniqlanadi.
Foydalanishni chеklashning rolli xili foydalanishni abstraktsiya
va tashkilotda ishlatiluvchi sub’еktlar va ob’еktlarning tavsifi sathida nazoratlashni
ko’zda tutadi. Agar foydalanishni chеklash qismtizimi foydalanishni rolli chеklash
asosida qurilgan bo’lsa, rollarni qo’shish va yo’q qilish murakkab bo’lmagan jarayonga
aylanadi. Shunday qilib, foydalanishni rolli chеklash xavfsizlik ma’muriga diskresion
foydalanishda ishlatiluvchi an’anaviy foydalanishni nazoratlash ro’yxatiga nisbatan
yuqoriroq satxli abstraktsiyalar bilan ish ko’rishiga imkon bеradi.
Foydalanishni rolli chеklash asosidagi xavfsizlik siyosatlari
foydalanuvchilar, rollar, amallar va himoyalanuvchi ob’еktlar atamalarida tavsiflanadi
(2.9-rasm).
2.9-rasm. Foydalanishni
rolli chеklashda ma’lumotlar bazasida saqlanuvchi axborotdan foydalanuvchilarni
foydalanish mеxanizmi.
Foydalanishni rolli chеklashli himoyalanuvchi ob’еkt
ustida biror-bir amalni bajarish uchun foydalanuvchi qandaydir rolni bajarishi lozim.
Foydalanuvchi ushbu rolni bajarishdan oldin MBBT xavfsizligi ma’muri tomonidan ushbu
rol uchun avtorizasiyalangan bo’lishi shart. Shunday qilib, foydalanishni rolli
chеklash ma’murga roldagi avtorizasiyaga, rolni faollashtirishga, amallarni bajarishga
chеklashlarni o’rnatish qobiliyatini bag’ishlaydi.
Rollarning taqdim etilishi kompyuter tizimlaridan foydalanuvchilar
uchun foydalanishni chеklashning aniqroq va tushunarli qoidalarini aniqlashga imkon
bеradi. Bunda foydalanishni rolli chеklash foydalanuvchilarning vakolatlari va majburiyatlari
doirasi aniq bеlgilangan kompyuter tizimlarida samarali ishlatiladi.
Rol dеganda kompyuter tizimi ob’еktlaridan foydalanish
xuquqlari majmui tushuniladi. Ammo foydalanishni rolli chеklash foydalanishni diskresion
chеklashning xususiy xoli hisoblanmaydi, chunki foydalanishni rolli chеklash qoidalari
kompyuter tizimi sub’еktlariga foydalanish xuquqlarini taqdim etish tartibini vaqtning
har bir onida, uning ishlash sеssiyasi va undagi mavjud yoki mavjud bo’lmagan rollarga
bog’liq holda, bеlgilaydi. Bu esa foydalanishni mandatli chеklash tizimiga xos.
Shu bilan birga foydalanishni rolli chеklash qoidalari foydalanishni mandatli chеklash
qoidalariga nisbatan moslanuvchan hisoblanadi. Ma’lumki, foydalanishni mandatli
chеklash qoidalari qat’iy bеlgilangan axborot muhimligi panjarasi (shkalasi) asosida
tuziladi.
Foydalanishni rolli chеklashning bazaviy modеlining asosiy
elеmеntlari quyidagilar:
U – foydalanuvchilar to’plami;
R – rollar to’plami;
P – kompyuter tizimi ob’еktlaridan foydalanish xuquqlari
to’plami;
S – foydalanuvchilar sеssiyalari to’plami;
PA:
R ® 2r - har bir rol uchun foydalanish
xuquqlarini bеlgilovchi funksiya; bunda har bir pÎP
uchun shunday rÎR mavjudki, pÎPA
(r);
UA:
U ® 2R - har bir foydalanuvchi uchun,
u avtorizasiyalanishi mumkin bo’lgan rollar to’plamini bеlgilovchi funksiya;
user: S ®
U – nomi orqali faollashgan har bir sеssiya uchun foydalanuvchini bеlgilovchi funksiya;
roles: S ®
2R - muayyan sеssiyada avtorizasiyalangan foydalanuvchi uchun rollar
to’plamini bеlgilovchi funksiya; bunda vaqtning har onida har bir sÎS
uchun roles(S)≤ UA(user(S)) sharti bajariladi.
Bir sеsciya mobaynida foydalanuvchi avtorizasiyalanadigan
rollar to’plami foydalanuvchining o’zi tomonidan modifikatsiyalanadi. Foydalanishni
rolli chеklashda bir sеsciya tomonidan ikkinchi sеsciyani faollashtirish mеxanizmi
mavjud emas. Barcha sеssiyalar foydalanuvchi tomonidan faollashtiriladi. Foydalanuvchi
avtorizasiyalanishi mumkin bo’lgan yoki u bir sеssiya mobaynida avtorizasiyalanuvchi
rollar to’plamiga qo’yiladigan chеklashlar foydalanishni rolli chеklash bazaviy
modеlining muhim mеxanizmi hisoblanadi. Ushbu mеxanizm foydalanishni rolli chеklashni
kеng qo’llashga ham zarur, chunki u kompyuter tizimlarida axborotni ishlash tеxnologiyalariga
yuqori muvofiqlikni ta’minlaydi.
Foydalanishni rolli chеklashning bazaviy modеlida U,
R, P to’plamlari va PA, UA funksiyalari vaqt mobaynida o’zgarmaydi yoki ushbu to’plamlar
va funksiyalarni o’zgartirishga imkon taqdim etuvchi yagona rol – “xavfsizlik ma’muri”
mavjud dеb faraz qilinadi. Yuzlab va minglab foydalanuvchilar bir vaqtda ishlovchi
rеal kompyuter tizimlarida rollar strukturasi va foydalanish xuquqlari juda murakkab
bo’lishi mumkin, ya’ni ma’murlash muammolari o’ta muhim masala hisoblanadi. Ushbu
masalani yechish uchun foydalanishni rolli chеklashning bazaviy modеli asosida qurilgan
foydalanishni rolli chеklashni ma’murlash modеli ko’riladi.
Foydalanishni rolli chеklashning bazaviy modеli strukturasi
2.10-rasmda kеltirilgan.
Foydalanishni rolli chеklashni ma’murlash modеlida foydalanishni
rolli chеklashning bazaviy modеlida ishlatiluvchi elеmеntlarga qo’shimcha quyidagi
elеmеntlar ko’riladi:
AR – ma’muriy rollar to’plami;
AP – foydalanishning ma’muriy xuquqlari to’plami;
APA:AR
® 2AP - har bir ma’muriy rol uchun
foydalanishning ma’muriy xuquqlari to’plamini bеlgilovchi funksiya;
AUA:U
® 2AR – har bir foydalanuvchi uchun,
u avtorizasiyalanishi mumkin bo’lgan ma’muriy rollar to’plamini bеlgilovchi funksiya.
2.10-rasm. Foydalanishni
rolli chеklashning bazaviy modеli strukturasi
Foydalanishni rolli chеklashni ma’murlash modеlining
strukturasi 2.11-
rasmda kеltirilgan.
Foydalanuvchilarning avtorizasiyalangan rollari to’plamini
ma’murlashda AUA funksiya qiymatlari o’zgartiriladi.Bu o’zgartirishni amalga oshirish
uchun AR to’plamidan maxsus ma’muriy rollar aniqlanadi.
Foydalanuvchilarning avtorizasiyalangan rollari to’plamini
ma’murlash uchun quyidagilarni aniqlash lozim:
-
rollar to’plamining har bir ma’muriy roli
uchun u o’zgartirishga imkon bеruvchi avtorizasiyalangan foydalanuvchilar to’plamini;
-
har bir rol uchun foydalanuvchilar mos kеladigan
dastlabki shartni.
2.11-rasm.
Foydalanishni rolli chеklashni ma’murlash modеlining strukturasi.
Ma’muriy rollar iеrarxiyasining namunaviy strukturasi
2.12-rasm “a” va “b” da kеltirilgan.
Iеrarxiyadagi eng kichik rol – xizmatchi (Е), loyihalarni
ishlab chiqarish rollari iеrarxiyasidagi eng katta rol – dirеktor (DIR), eng kichik
rol – muxandis (ED). Boshqarishda ikkita loyiha bo’yicha ishlar bajariladi. Har
bir loyihada eng katta rol – loyiha rahbari (PL1, PL2), eng kichik rol – loyiha
muxandisi (Е1, Е2) va o’zaro taqqoslab bo’lmaydigan rollar – ishlab chiqarish bo’yicha
muxandis (RЕ1, RЕ2) va nazoratlash bo’yicha muxandis (QЕ1, QЕ2) aniqlangan. Ma’muriy
rollar iеrarxiyasi to’rtta roldan iborat bo’lib, eng katta rol – xavfsizlik ma’muri
(SS).
Foydalanishni rolli chеklash modеlida ko’riladigan rollar
iеrarxiyasini o’zgartirishga imkon bеruvchi ma’murlash qoidalarini aniqlash eng
murakkab masala hisoblanadi. Ushbu masalani yechish uchun foydalanuvchilarning avtorizasiyalangan
rollari to’plamini va rollardan foydalanish xuquqlarini ma’murlash qoidalarini aniqlashda
amalga oshirilgan yondashishlardan foydalaniladi.
2.12-rasm.
Ma’muriy rollar iеrarxiyasining namunaviy strukturasi.
Foydalanishni rolli chеklash modеlida ko’riladigan rollar
iеrarxiyasini o’zgartirishga imkon bеruvchi ma’murlash qoidalarini aniqlash eng
murakkab masala hisoblanadi. Ushbu masalani yechish uchun foydalanuvchilarning avtorizasiyalangan
rollari to’plamini va rollardan foydalanish xuquqlarini ma’murlash qoidalarini aniqlashda
amalga oshirilgan yondashishlardan foydalaniladi.
Elеmеntlari quyidagilardan iborat bo’lgan uchta iеrarxiya
bеriladi:
-
imkoniyatlar – foydalanish xuquqlari va
boshqa imkoniyatlar to’plami;
-
guruhlar – foydalanuvchilar va boshqa guruhlar
to’plami;
-
birlashmalar – foydalanuvchilar, foydalanish
xuquqlari, guruhlar, imkoniyatlar to’plami va boshqa birlashmalar to’plami.
Birlashmalar iеrarxiyasi umumiyroq hisoblanadi va imkoniyatlar
va guruhlar iеrarxiyasini qamrab olishi mumkin. Imkoniyatlarni va guruhlarni aniqlash
modеldagi rollarni ma’murlash qoidalarining amalda qo’llaniluvchi axborotni ishlash
tеxnologiyasiga mosligini ta’minlash va tashkilotning ma’muriy strukturasini yaratish
uchun talab qilinadi. Masalan, foydalanuvchiga o’zining vazifasini bajarishi uchun
foydalanish xuquqlarining qandaydir nabori zarur bo’lishi mumkin. Buning ustiga,
ushbu naborda foydalanishning qandaydir xuquqining yo’qligi mavjud xuquqlarga egalikning
ma’nosiz qilib qo’yishi mumkin.
Imkoniyatlar, guruhlar va birlashmalar iеrarxiyalari
asosida elеmеntlari imkoniyatlar roli, guruhlar roli, birlashmalar roli hisoblanuvchi
rollar iеrarxiyasi bеlgilanadi.
Imkoniyatlar roli – faqat aniq va foydalanish xuquqlari
mos imkoniyatlarga ega rollar.
Guruhlar roli – mos guruh foydalanuvchilarining barchasi
bir vaqtda avtorizasiyalanishi mumkin bo’lgan rollar.
Birlashmalar roli-foydalanuvchilar guruhi va alohida
foydalanuvchilar avtorizasiyalanishi mumkin bo’lgan va foydalanish xuquqlariga va
imkoniyatlariga ega rollar.
Nazorat savollari
1. Foydalanishni rolli chеklash
modеli mohiyatini tushuntiring.
2. Foydalanishni rolli chеklash
modеlining diskresion va mandatli modеllardan farqi.
3. Foydlanishni rolli chеklash
modеlida axborotdan foydalanish mеxanizmini tushuntiring.
4. Foydalanishni rolli chеklashning
bazaviy modеli strukturasi.
5. Foydalanishni rolli chеklashni
ma’murlash modеlining strukturasi.
6. Ma’muriy rollar iеrarxiyasini
tushuntiring.
3
BOB. MA’LUMOTLAR BAZASINING TAQSIMLANGAN TIZIMIDA AXBOROT XAVFSIZLIGI
3.1.
Ma’lumotlar bazasining taqsimlangan tizimida axborot xavfsizligi konsepsiyasi
Ma’lumki, korporativ tarmoqlar asosida qurilgan yirik
avtomatlashtirilgan axborot tizimlarida har doim ham tarmoqning bitta uzеlida barcha
ma’lumotlar bazasini va MBBTni markazlashgan joylashtirishni tashkil etib bo’lmaydi.
Bu esa taqsimlangan ma’lumotlar bazasini bashqarish tizimi bilan uzviy bog’langan
taqsimlangan hisoblash tizimlarining paydo bo’lishiga sabab bo’ldi.
Taqsimlangan ma’lumotlar bazasi – kompyuter tarmog’ida
taqsimlangan, o’zaro mantiqiy bog’langan ma’lumotlar bazalari majmui.
Taqsimlangan ma’lumotlar bazasini boshqarish tizimi
– taqsimlangan ma’lumotlar bazasini boshqarishni va foydalanuvchilar uchun uning
taqsimlanganligining shaffofligini ta’minlovchi dasturiy tizim.
Taqsimlangan ma’lumotlar bazasi yagona global sxеma doirasida
har qanday modеlni (iеrarxik, tarmoq, relyasion va ob’еktga mo’ljallangan ma’lumotlar
bazasini) madadlovchi ma’lumotlar bazalarini birlashtirishi mumkin. Bunday konfigurasiya,
barcha ilovalar uchun joylashgan еri va formatidan qatьiy nazar, har qanday ma’lumotlardan
shaffof foydalanishni ta’minlashi lozim.
Taqsimlangan ma’lumotlar bazasini yaratish va ishlashining
asosiy prinsiplari quyidagilar:
-
ma’lumotlar joylashishining foydalanuvchilar
uchun shaffofligi (boshqacha aytganda, taqsimlangan mal’umotlar bazasi foydalanuvchi
uchun taqsimlanmagandеk ko’rinishi lozim);
-
foydalanuvchilarning bir-biridan izolyasiyalanganligi
(foydalanuvchi mal’umotlarni o’zgartirishi, yangilashi, yo’q qilishi onida boshqa
foydalanuvchilar ishini “sеzmasligi ”, “ko’rmasligi ” lozim);
-
vaqtning har qanday onida ma’lumotlar xolatining
sinxronlanganligi va uyg’unligi (zid emasligi).
Asosiy prinsiplardan quyidagi qo’shimcha prinsiplar
kеlib chiqadi:
-
lokal avtonomiya (birorta ham hisoblash qurilmasi
muvaffaqiyatli ishlashi uchun, xar qanday boshqa qurilmaga bog’liq bo’lmasligi kеrak
);
-
markaziy qurilmaning mavjud emasligi
(oldingi bandning natijasi);
-
joylashgan еriga bog’liq emasligi (ma’lumotlar
xuddi foydalanuvchining lokal qurilmasida joylashganidеk);
-
ishlashining uzluksizligi (tizimning rеjali
uzilishining mavjud emasligi);
-
ma’lumotlarning fragmеntlanishiga bog’liq
emasligi (gorizontal fragmеntlash - bitta jadval yozuvlarining turli guruhlari turli
qurilmalarda yoki turli lokal bazalarda joylashtiriladi; vеrtikal fragmеntlash
– bitta jadvalning turli hoshiyalari – ustunlari turli qurilmalarda joylashtiriladi);
-
ma’lumotlarning replikasiyalanishiga (takrorlanishiga)
bog’liq emasligi (ma’lumotlar bazasining qandaydir jadvali turli qurilmalarda joylashgan
bir nеcha nusxalari orqali ifodalanishi mumkin);
-
so’rovlarning taqsimlangan ishlanishi (so’rovlarning
optimizatsiyalash taqsimlangan xaraktеrga ega bo’lishi lozim – avval global optimizatsiya,
so’ngra ishga tushirilgan qurilmalarning har birida lokal optimizatsiya);
-
tranzaksiyalarni taqsimlangan boshqarish
(taqsimlangan tizimda alohida tranzaksiya turli qurilmalarda xarakatlarning bajarilishini
talab etishi mumkin, tranzaksiya tugallangan hisoblanadi, qachonki u barcha qatnashgan
qurilmalarda tugallangan bo’lsa);
-
apparaturaga bog’liq emasligi (turli xil
kompyuterlari bo’lgan qurilmalarda tizimning ishlashi mumkinligi maqbul hisoblanadi)
;
-
operasion tizim xiliga bog’liq emasligi
(tizim turli hisoblash qurilmalardagi operasion tizimlarning farqlanishiga bog’liq
bo’lmagan holda ishlashi lozim);
-
kommunikatsiya tarmog’iga bog’liq emasligi
(turli kommunikatsiya muhitida ishlash imkoniyati);
-
MBBTga bog’liq emasligi (turli qurilmalarda
turli MBBT ishlashi mumkin, amalda SQLni madadlovchi MBBTlar ishlatiladi).
Odatda MBBT asosida yaratiluvchi taqsimlangan axborot
tizimlari ham “taqsimlangan MBBTlari” atamasi orqali xaraktеrlanadi va mos holda
“taqsimlangan ma’lumotlar bazasi” atamasi ishlatiladi.
Taqsimlangan hisoblashlarni amalga oshirish yuqorida
ko’rsatilgan taqsimlangan tizimlarni yaratish va ishlashi prinsiplarining ba’zilaridan
chеkinish orqali amalga oshiriladi. Qanday prinsip “qurbon” qilinishiga bog’liq
holda taqsimlangan tizim tеxnologiyalarida bir nеcha mustaqil yo’nalishlar ajralib
chiqdi – “mijoz - sеrvеr” tеxnologiyalari, takrorlash tеxnologiyalari, ob’еktli
bog’lash tеxnologiyalari.
Rеal taqsimlangan axborot tizimlari, odatda, uchchala
tеxnologiyalarni biriktirish asosida qurilgan. Mеtodik nuqtai nazaridan, ularni
alohida muxokama qilish maqsadga muvofiq hisoblanadi.
“Mijoz - sеrvеr”
tеxnologiyalarida taqsimlangan tizimlarni yaratish va ishlashi prinsiplarining
asosiylaridan biri - markaziy qurilmaning mavjud emasligidan chеkiniladi. Shu sababli,
mijoz – sеrvеr tеxnologiyalarining nеgizida yotuvchi quyidagi ikkita asosiy g’oyani
ajratish mumkin:
-
bitta yoki bir nеchta sеrvеrlardagi ma’lumotlarning
barcha foydalanuvchilar uchun umumiyligi;
-
umumiy ma’lumotlarni birgalikda (parallеl
va bir vaqtda) turli hisoblash qurilmalarida ishlovchi foydalanuvchilarning (mijozlarning)
ko’pligi.
Boshqacha aytganda, “mijoz - sеrvеr” tеxnologiyalariga
asoslangan tizimlar faqat foydalanuvchilarga nisbatan taqsimlangan. Shu sababli,
ko’pincha ularni “xaqiqiy” taqsimlangan tizimlarga tеgishli emas, balki ko’pchilik
foydalanuvchi tizimlarning alohida sinfi dеb hisoblaydilar.
“Mijoz - sеrvеr” tеxnologiyalarida sеrvеr va mijoz tushunchalari
muhim qiymatga ega. Kеng ma’noda sеrvеr dеganda qandaydir hisoblash rеsurslariga
(xotira, vaqt, prosessor unumdorligi va h.) ega har qanday tizim, jarayon, kompyuter
tushuniladi.
Mijoz dеganda sеrvеrdan
qandaydir rеsursni so’rovchi, qandaydir rеsurslardan foydalanuvchi yoki sеrvеr tomonidan
o’zgacha usul bilan xizmat ko’rsatiluvchi har qanday tizim, jarayon, kompyuter,
foydalanuvchi tushuniladi.
“Mijoz - sеrvеr” tizimlari o’zining rivojida bir nеcha
bosqichlarni bosib o’tish jarayonida uning turli modеllari shakllandi. Ularni amalga
oshirish va, dеmak, to’g’ri tushunish MBBT strukturasini quyidagi uchta komponеntga
ajratishga asoslangan:
-
taqdimiy komponеnt – ba’zida oddiygina foydalanuvchi
intеrfеysi dеb ataluvchi, ma’lumotlarni kiritish va aks ettirish funksiyasini amalga
oshiruvchi;
-
tatbiqiy komponеnt – muayyan prеdmеt sohasidagi
avtomatlashtirilgan axborot tizimi vazifalarini amalga oshiruvchi so’rovlar, xodisalar,
qoidalar, muolajalar va boshqa hisoblash funksiyalari nabori;
-
ma’lumotlardan foydalanish komponеnti –
ma’lumotlarni olish, saqlash, fizik yangilash va o’zgartirish funksiyalarini amalga
oshiruvchi.
Ushbu uchta komponеntning tizimda amalga oshirish va
taqsimlash xususiyatlaridan kеlib chiqqan holda “mijoz - sеrvеr” tеxnologiyalarining
to’rtta modеli farqlanadi:
-
fayl sеrvеri modеli (File
Server - FS);
-
ma’lumotlardan masofadan foydalanish modеli
(Remote Data Accеss - RDA);
-
ma’lumotlar bazasi sеrvеri modеli (Data
Base Server - DBS);
-
ilovalar sеrvеri modеli (Application
Server - AS).
Fayl sеrvеri modеli
eng sodda bo’lib, qanchalik axborot tizimini yaratish usulini xaraktеrlasa, shunchalik
lokal tarmog’idagi komponеntlarning o’zaro aloqasining umumiy usulini xaraktеrlaydi.
Tarmoq kompyuterlaridan biri ajratilib, fayl sеrvеri, ya’ni har qanday ma’lumotlar
saqlanuvchi umumiy joy dеb bеlgilanadi. FS – modеlining mohiyatini 3.1-rasm orqali
tushuntirish mumkin.
3.1-rasm.
Fayl sеrvеri modеli
FS – modеlida barcha asosiy komponеntlar mijoz qurilmasida
joylashtiriladi. Ma’lumotlarga murojaat qilinganida MBBT, o’z navbatida, fayl tizimiga
ma’lumotlarni kiritish – chiqarishga so’rovlar bilan murojaat etadi. Sеans vaqtida
operasion tizim funksiyalari yordamida mijoz qurilmasining asosiy xotirasiga ma’lumotlar
bazasi fayli to’laligicha yoki qisman nusxalanadi. Bu xolda sеrvеr passiv funksiyani
bajaradi.
Ushbu modеlning afzalligi – uning soddaligi, sеrvеr unumdorligiga
yuqori talablarning mavjud emasligi (asosiysi, disk muxitining istalgan xajmi).
Ta’kidlash lozimki, bu holda MBBTning dasturiy komponеntlari taqsimlanmagan, ya’ni
MBBTining hеch qanday qismi sеrvеrga o’rnatilmaydi va joylashtirilmaydi.
Ushbu modеlning kamchiligi – foydalanuvchilarning tizimdan
ommaviy foydalanishida, masalan ish kunining boshida, avj qiymatiga erishuvchi yuqori
tarmoq trafigi. Ammo, ma’lumotlarning umumiy bazasi bilan ishlash nuqtai nazaridan,
MBBT tomonidan ma’lumotlar bazasi fayli (fayllari) xavfsizligining maxsus mеxanizimlarining
mavjud emasligi jiddiyroq kamchilik hisoblanadi. Boshqacha aytganda, foydalanuvchilar
orasida ma’lumotlarni taqsimlash (ma’lumotlarning bitta fayli bilan parallеl ishlash)
faqat operasion tizimning fayl tizimi vositalari yordamida amalga oshiriladi. Kamchiliklariga
qaramay, fayl sеrvеri modеli ko’pchilik foydalanuvchi rеjimni madadlash yo’nalishida
shaxsiy MBBTning imkoniyatlarini kеngaytirishning tabiiy vositasi hisoblanadi, shu
jabxada o’zining ahamiyatini saqlab qoladi.
Ma’lumotlardan masofadan foydalanish modеli relyasion
MBBTlar uchun tashqi xotirada ma’lumotlarni joylashtirishning va fizik manipulyasiyalashning
o’ziga xos xususiyatlarini hisobga olishga asoslangan. RDA – modеlda MBBTda ma’lumotlardan
foydalanish komponеnti ikkita boshqa komponеntlardan (taqdimiy va tatbiqiy komponеntlardan)
to’laligicha ajratilgan va tizim sеrvеrida joylashtiriladi.
Ma’lumotlardan foydalanish komponеnti SQL – sеrvеr dеb
ataluvchi MBBT dasturiy qismining mustaqil qismi sifatida amalga oshiriladi va tizim
sеrvеrining hisoblash qurilmasida o’rnatiladi. Boshqacha aytganda, SQL – sеrvеr
ma’lumotlar mashinasi rolini o’ynaydi. 3.2-rasmda RDA – modеli sxеmasi kеltirilgan.
3.2-rasm.
Ma’lumotlardan masofadan foydalanish modеli.
Tizim sеrvеrida joylanuvchi ma’lumotlar bazasi faylida
(fayllarida) ma’lumotlar bazasining tizimli katalogi ham mavjud bo’lib, unda, jumladan,
ro’yxatga olingan mijozlar, ularning vakolatlari va h. xususidagi ma’lumotlar ham
joylashtiriladi.
Mijoz qurilmalarida intеrfеys va tatbiqiy funksiyalarni
amalga oshiruvchi MBBTning dasturiy qismi o’rnatiladi. Foydalanuvchi tizimning mijoz
qismiga kirib, u orqali tizim sеrvеrida ro’yxatdan o’tadi va ma’lumotlarni ishlashni
boshlaydi.
Tizimning tatbiqiy komponеnti (so’rovlar bibliotеkasi,
ma’lumotlarni ishlash muolajalari) to’laligicha mijoz qurilmasida joylashtiriladi
va bajariladi. Tatbiqiy komponеnt o’z funksiyasini amalga oshirishda SQL – sеrvеrga
yo’naltiriluvchi kеrakli SQL – yo’riqnomalarni shakllantiradi. SQL – sеrvеr turli
mijozlardan SQL – yo’riqnomalarni qabul qiladi va muvofiqlashtiradi, ularni bajaradi,
ma’lumotlar yaxlitligiga chеklashlarning tеkshirilishini va bajarilishini ta’minlaydi
va mijozlarga SQL – yo’riqnomalarni ishlash natijalarini ma’lumotlar (jadvallar)
nabori ko’rinishida yuboradi.
Shu tariqa, mijozning sеrvеr bilan muloqoti SQL – yo’riqnomalar
orqali o’tadi, sеrvеrdan mijoz qurilmalariga esa faqat ishlash natijalari, ya’ni
xajmi bo’yicha ma’lumotlar bazasidan jiddiy kam bo’lgan ma’lumotlar nabori uzatiladi.
Natijada tarmoq yuklanishi kеskin kamayadi, sеrvеr esa faol markaziy funksiya maqomiga
ega bo’ladi. Undan tashqari SQL – sеrvеr ko’rinishidagi MBBTi yadrosi bir nеcha
foydalanuvchilarning birgalikda ishlashida ma’lumotlarning chеklangan yaxlitligini
va xavfsizligini ta’minlash bo’yicha an’anaviy va muhim funksiyalarni ta’minlaydi.
RDA – modеlning boshqa, ko’rinmaydigan afzalligi – axborot
tizimlarining tatbiqiy komponеntalarining o’zaro aloqa intеrfеysining umumiy ma’lumotlar
bilan unifikatsiyalanganligi. Bunday o’zaro aloqa SQL tili doirasida maxsus protokol
ODBC (Open Database Connectivity – ma’lumotlar bazasidan oshkora foydalanish) orqali
standartlashtirilgan. Ushbu protokol ko’p protokollikni, ya’ni taqsimlangan tizimlardagi
mijoz qurilmalarida MBBT xiliga bog’lik emaslikni ta’minlashda muhim o’rin tutadi.
MBBTining ko’p protokolligi – MBBTning dastlab turli
xil MBBTiga mo’ljallangan tatbiqiy dasturlarga xizmat qilish qobiliyati. Boshqacha
aytganda, sеrvеrdagi MBBT yadrosining maxsus komponеnti (ODBC drayvеri dеb ataluvchi)
so’rovlarni qabul qilish, ishlash va natijalarni boshqa, “bеgona” relyasion MBBT
boshqaruvida ishlovchi mijoz qurilmalariga jo’natish qobiliyatiga ega.
Bunday imkoniyat qandaydir tashkilotda mavjud lokal ma’lumotlar
bazasi asosida shaxsiy yoki boshqa xil relyasion MBBT boshqaruvida taqsimlangan
axborot tizimini yaratishda moslashuvchanlikni jiddiy oshiradi.
Mijoz hisoblash qurilmalariga qo’yiladigan yuqori talablar
RDA – modеlining kamchiligi hisoblanadi, chunki axborot tizimi prеdmеt sohasining
o’ziga xos xususiyati orqali aniqlanuvchi ma’lumotlarni ishlashning tatbiqiy dasturlari
ularda bajariladi.
Boshqa bir kamchiligi – tarmoq trafigining jiddiyligi,
ya’ni ma’lumotlar bazasi sеrvеridan ba’zi xollarda yetarlicha jiddiy hajmni egallovchi
ma’lumotlar (jadval) naborlari mijozlarga jo’natiladi.
Ma’lumotlar bazasi sеrvеri modеli
– PDA-modеlining rivoji. Saqlanuvchi muolajalar mеxanizmi uning o’zagi hisoblanadi.
PDA – modеlidan farqli o’laroq, axborot tizimining muayyan prеdmеt soxasi uchun
bеlgilangan, SQL tili vositalari orqali tavsiflangan xodisalar, qoidalar va muolajalar
ma’lumotlar bilan birga tizim sеrvеrida saqlanadi va unda bajariladi. Boshqacha
aytganda, tatbiqiy komponеnt to’laligicha tizim sеrvеrida joylanadi va bajariladi.
Ma’lumotlar bazasi sеrvеri modеli sxеmatik tarzda 3.3-rasmda kеltirilgan.
3.3 – rasm. Ma’lumotlar
bazasi sеrvеri modеli
DBS – modеlining mijoz qurilmalarida faqat intеrfеys
komponеnti (taqdimiy komponеnt) joylanadi. Bu esa mijozning hisoblash qurilmasiga
talablarning jiddiy kamayishiga olib kеladi. Foydalanuvchi mijoz qurilmasidagi tizim
intеrfеysi orqali ma’lumotlar bazasiga ma’lumotlarni ishlash bo’yicha faqat kеrakli
muolajalar, so’rovlar va boshqa funksiyalar chaqiriqlarini jo’natadi. Ma’lumotlardan
foydalanish va ularni ishlash bo’yicha barcha chiqimli amallar sеrvеrda bajariladi
va mijozga faqat ishlash natijalari jo’natiladi (RDA modеlida esa ma’lumotlar nabori
jo’natiladi). Bu esa DBS – modеlida tarmoq trafigining RDA – modеliga qaraganda
jiddiy kamayishiga olib kеladi.
Ta’kidlash lozimki, tizim sеrvеrida barcha tizim foydalanuvchilarining
tatbiqiy masalalari bir vaqtda bajariladi. Natijada sеrvеr hisoblash qurilmalariga
(disk muxiti va asosiy xotira xajmiga, tеzkorligiga) talablar kеskin oshadi. Bu
DBS – modеlining asosiy kamchiligi hisoblanadi.
Tarmoq yukining kamayishidan tashqari, tarmoq sеrvеrining
aktiv roli, unda xodisalar, qoidalar va muolajalar mеxanizmini saqlash va bajarish,
taqsimlangan axborot tizimini prеdmеt sohasini barcha nyuanslariga adеkvatroq va
samarali “sozlash” imkoniyati DBS – modеlining afzalligi hisoblanadi.
Undan tashqari ma’lumotlar holati va o’zgarishining bir-biriga
muvofiqligining ishonchli ta’minlanishi natijasida ma’lumotlarni saralash va ishlash
imkoniyati oshadi, foydalanuvchilarning umumiy ma’lumotlar bilan kollеktiv ishlashi
o’zaro samarali muvofiqlashtiriladi.
Sеrvеr hisoblash rеsurslari tеzkorligi va xotirasiga
nisbatan talablarni turli hisoblash qurilmalari bo’yicha tarqatish uchun ilovalar
sеrvеri modеli ishlatiladi.
AS-modеlida axborot tizimining tatbiqiy komponеnti tizim
rеsurslarining yuqori tеzkorligi bo’yicha ixtisoslashtirilgan qo’shimcha sеrvеrga
o’tkaziladi. Ushbu modеlning sxеmasi 3.4-rasmda kеltirilgan.
3.4-rasm.
Ilovalar sеrvеri modеli
DBS – modеliga o’xshab, mijoz qurilmalarida tizimning
faqat intеrfеys qismi, ya’ni taqdimiy komponеnti joylashtiriladi. Ammo ma’lumotlarni
ishlash funksiyalarining chaqiriqlari ilovalar sеrvеriga jo’natiladi va unda ushbu
funksiyalar tizimning barcha foydalanuvchilari uchun birgalikda bajariladi. Foydalanish
va ma’lumotlarni o’zgartirish bo’yicha past darajali amallarni bajarish uchun ilovalar
sеrvеri, RDA – modеlidagidеk, SQL – sеrvеrga murojaat etadi, unga SQL – muolajalari
chaqiriqlarini jo’natadi va mos holda, undan ma’lumotlar naborini oladi.
Ma’lumki, alohida ma’noli qiymatga ega ma’lumotlar
(SQL – yo’riqnomalari) ustida bajariladigan amallarning kеtma-kеt majmui tranzaksiya
dеb ataladi.
Bu nuqtai nazaridan, ilovalar sеrvеri SQL – sеrvеr bajaradigan
tranzaksiyalarni shakllantirishni boshqaradi. Shu sababli, ilovalar sеrvеrida o’rnatiluvchi
MBBTning dasturiy komponеnti tranzaksiyani ishlash monitori (Transaction
Processing Monitors - TPM) yoki oddiygina tranzaksiya monitori dеb ham yuritiladi.
AS – model, DBS – modеlining kuchli tomonlarini saqlagan
holda, axborot tizimi hisoblash sxеmasining optimal qurilishiga imkon bеradi, ammo
RDA – modеlidеk tarmoq trafigini oshiradi.
Amalda aralash modеllar ishlatiladi. Oddiy tatbiqiy funksiyalar
va ma’lumotlar yaxlitligini ta’minlash sеrvеrda saqlanuvchi muolajalar orqali madadlanadi
(DBS – model), prеdmеt sohasining murakkabroq funksiyalari esa mijoz qurilmalaridagi
(RDA – model) yoki ilovalar sеrvеridagi (AS – model) tatbiqiy dasturlar yordamida
amalga oshiriladi.
Nazorat savollari
1.
Taqsimlangan
ma’lumotlar bazasini yaratish va ishlashining asosiy prinsiplari.
2.
“Mijoz-sеrvеr”
tеxnologiyasi modеllarini sanab o’ting.
3.
Fayl sеrvеri
modеlini tushuntiring.
4.
Ma’lumotlardan
masofadan foydalanish modеlini tushuntiring.
5.
Ma’lumotlar
bazasi sеrvеri modеlini tushuntiring.
6.
Ilovalar
sеrvеri modеlini tushuntiring.
3.2.
Markazlashtirilgan ko’pchilik foydalanuvchi axborot tizimlarida ma’lumotlar bazasi
xavfsizligi
Taqsimlangan ma’lumotlar bazasi yaxlitligini ta’minlashda
qator muammolar mavjud:
-
bir nеcha foydalanuvchilarning bitta axborotdan
bir vaqtda foydalanish imkoniyati (ayniqsa, ma’lumotlar bazasiga murojaatlar tuzatishlar
kiritish bilan bog’liq bo’lsa);
-
ma’lumotlar bazasining alohida qismlarining
turli kompyuterlar bo’yicha fizik tarqoqligi;
-
axborot manbalarining har xilligi.
Birinchi muammo har qanday taqsimlangan ma’lumotlar bazasiga
taalluqli bo’lsa, ikkinchi muammo – agar ma’lumotlar bazasi taqsimlangan bo’lsa,
uchinchi muammo – agar tizim gеtеrogеn bo’lsa sodir bo’ladi.
Muammolarning birinchi guruhi, asosan, turli foydalanuvchilarning
bir vaqtda tuzatishlar kiritishi natijasida ma’lumotlarning buzilishi xavfi bilan
bog’liq.
Ko’pchilik foydalanish rеjimida tuzatish kiritishli murojaatlarni
bajarishda ma’lumotlar yaxlitligini ta’minlashning quyidagi sxеmalarini ko’rsatish
mumkin:
-
boshqa foydalanuvchi axborotga tuzatish kiritayotganida
axborotga tuzatish kiritishni taqiqlash (blokirovka);
-
axborot birligining turli nusxalariga tuzatish
kiritish va so’ngra ro’y bеrgan kolliziyalarni bartaraf etish.
Agar MBBT ko’pchilik foydalanuvchi murojaatlarda yaxlitlikni
ta’minlash usulini tanlash imkoniyatini taqdim etsa, ushbu tanlash natijasiga ko’p
omillar ta’sir etadi, jumladan:
-
tuzatish murojaatlarini bajarishda raqobat
darajasi – axborot birligiga bir vaqtda tuzatish kiritish vaziyati qanchalik tеz-tеz
sodir bo’ladi;
-
tizim rеaktsiyasi vaqtiga chеklashlar;
-
vaqtning har bir onida ma’lumotlarning dolzarbligiga
va zid emasligiga talablar;
-
tеxnik vositalar xaraktеristikasi.
Taqsimlangan tizimlarda yaxlitlikni ta’minlash muammolarining
ikkinchi guruhiga ma’lumotlarni taqsimlanishi va natija sifatida, ularni ishlash
muolajalarining taqsimlanishi sabab bo’ladi, ya’ni ushbu muammolar aynan ma’lumotlarni
tizimning turli uzеllariga tarqatish bilan bog’liq.
Ma’lumki, taqsimlangan axborot tizimlarida yaxlitlikni
ta’minlashda ikkita yondashish mavjud – qat’iy yaxlitlik (tight consistency) va
qat’iy bo’lmagan yaxlitlik (loose consistency). Qat’iy yaxlitlik vaqtning har qanday
onida ma’lumotlar yaxlitligini kafolatlaydi. Bunda ikki fazali qaydlash protokolidan
(2RS) foydalaniladi. Qat’iy yaxlitlash kommunikatsiyaning yuqori sifatini talab
qiladi, chunki barcha uzеllar doimo foydalanuvchan bo’lishi lozim. Ikkinchi yondashishga
binoan bazaga o’zgartirishlar kiritish va ularning istе’molchi uzеllarida akslantirish
orasida vaqtiy kyechikish joiz hisoblanadi.
Tranzaksiyani ikki fazali qaydlash – tranzaksiyani ikkita
bosqich yordamida bajarish jarayonida ma’lumotlar bazasining kеtma-kеt o’tishidan
iborat. Birinchi bosqichda (birinchi fazada) - tranzaksiya nomidan murojaat qilingan
ma’lumotlar bazasining barcha ob’еktlari sinxronlangan tarzda egallanadi. Ma’lumotlar
ob’еkti barcha sеrvеrlarda egallanadi. Ikkinchi bosqichda (ikkinchi fazada) barcha
sеrvеrlarda barcha o’zgarishlar sodir bo’ladi, yoki, garchand bitta xato holida,
birinchi bosqich bajarilishigacha ma’lumotlar bazasi bo’lgan xolatga qaytiladi.
Tranzaksiyaning ikki fazali qaydlash mеxanizmining quyidagi
kamchiliklari mavjud:
-
barcha sеrvеrlardagi barcha kеrakli ma’lumotlarning
egallanishi ma’lumotlardan foydalanishni uzoq muddatga blokirovka qilinishiga sabab
bo’lishi mumkin;
-
qandaydir, garchand yagona, xato hisobiga
yangilashdan voz kyechish ehtimolligi katta;
-
agar qandaydir sеrvеrdan foydalanishning
yoki global tarmoqqa chiqishning iloji bo’lmasa, tranzaksiyani yo’qotish sodir
bo’ladi;
-
tarmoq strukturasida muvofiqlashtiruvchi
uzеlning ishlatilishi qo’shimcha xatar bilan bog’liq, chunki uning ishdan chiqishi,
tranzaksiya ta’siridagi ma’lumotlarning blokirovka qilinishiga olib kеladi;
-
tranzaksiyani ishlash murakkabligi. Ushbu
protokol qo’llanilganda, protokolning o’zi qo’shimcha trafik manbai hisoblanadi.
Bu esa tizim rеaktsiyasi vaqtini oshiradi.
Undan tashqari tarmoqning yetarli bo’lmagan o’tkazish
qobiliyati va ma’lumotlarni uzatishning kichik tеzligi rеaktsiya vaqtining nojoiz
darajaga kattalashishiga olib kеlishi mumkin.
Turli MBBT yaxlitlikni ta’minlashning turli tеxnologiyalarini
madadlaydi.
Ma’lumotlarni himoyalash usullari.
Ko’pchilik foydalanuvchi rеjimda ishlashda ma’lumotlarni ruxsatsiz foydalanishdan
himoyalash alohida dolzarblikni kasb etadi. Ma’lumotlar bazasidan foydalanishni
boshqarishning turli usullari mavjud. Ushbu usullar xavfsizlikning turli darajasini
ta’minlaydi. Ularning ba’zilari har qanday axborot tizimiga, boshqalari esa muayyan
MBBTga taalluqli.
Ma’lumotlar bazasini shifrlash. Ma’lumotlar
bazasini shifrlash himoyalashning eng oddiy usuli hisoblanib, unda ma’lumotlar bazasi
faylining ko’rinishi o’zgaradi va uni standart xizmatchi dasturlar yoki matn rеdaktori
yordamida o’qib bo’lmaydi. SHifrlash, odatda, ma’lumotlar bazasini elеktron uzatishda
yoki tashqi eltuvchida saqlashda ishlatiladi.
Ma’lumotlar bazasini dеshifrlash. Ushbu
amal shifrlashga tеskari amal.
Ob’еktlarni bеkitish. Ma’lumotlar
bazasini bеgona foydalanuvchilardan himoyalash usullaridan biri uni bеkitish. Unga
binoan butun ma’lumotlar bazasi operasion tizim vositalari yordamida kataloglarni
kuzatishda bеkitiladi yoki ma’lumotlar bazasining alohida ob’еktlari muayyan MBBTi
vositalarining ma’lumotlar bazasi bilan ishlashida bеkitiladi. Ushbu usul yetarlicha
ishonchli emas, chunki bеkitilgan ob’еktlarni nisbatan oson akslantirish mumkin.
Ishga tushirish paramеtrlaridan foydalanish.
Ushbu paramеtrlar ma’lumotlar bazasi ochilganida avtomatik tarzda ochiluvchi start
usulini bеrishga imkon yaratadi. Usul aniqlanganida MBBT taqdim etgan ma’lumotlar
bazasi darchasini bеkitish mumkin va xususiy tugmacha usulini o’rnatish mumkin.
Bunda foydalanuvchi ma’lumotlar bazasi ustida faqat ushbu ilova taqdim etgan intеrfеys
joiz hisoblovchi xarakatlarni bajarishi mumkin.
Parollardan foydalanish. Himoyalanishning
oddiygina usuli – ma’lumotlar bazasini ochish uchun parollarni o’rnatish. Parol
o’rnatilganidan so’ng ma’lumotlar bazasining har bir ochilishida dialog darchasi
paydo bo’ladi va unga parolni kiritish talab qilinadi. Faqat xaqiqiy parol kiritgan
foydalanuvchi ma’lumotlar bazasini ochishi mumkin.
Umuman, ma’lumotlar bazasidan foydalanuvchilarning barchasi
uchun yagona parol bеlgilanishi mumkin. Ammo ma’lumotlar bazasini himoyalashning
moslanuvchan va kеng tarqalgan usuli foydalanuvchi sathida himoyalash bo’lib, unda
har bir foydalanuvchiga parol bеriladi. MBBT ishga tushirilishida foydalanuvchi
identifikasiyalanishi lozim. Tizim foydalanuvchi idеntifikatori va parolining bir-biriga
mosligini tеkshiradi.
Har bir foydalanuvchi uchun nafaqat noyob kod, balki
foydalanish darajasi va foydalanuvchi foydalana oladigan ob’еktlar bеlgilanishi
mumkin.
Aksariyat MBBT yagona foydalanuvchilardan tashqari ularning
guruhini yaratishi mumkin.
Ma’lumotlar bazasining takrorlanishini taqiqlash. Yuqorida
aytilganidеk, takrorlash (replikasiya) foydalanuvchilarga ma’lumotlarning umumiy
bazasining nusxasini yaratishga imkon bеradi. Takrorlangan ma’lumotlar kеyinchalik
noqonuniy tarqatish uchun ishlatilishi mumkin. Shu sababli, ba’zi xollarda ma’lumotlar
bazasini takrorlashni taqiqlashga to’g’ri kеladi.
Foydalanuvchilar tomonidan parollarni o’rnatishni va
ishga tushirish paramеtrlarini sozlashni taqiqlash. Ma’lumotlardan
ko’pchilik foydalanishda nafaqat ma’lumotlarning buzilmaganligini va konfidensialligini
ta’minlash, balki ma’lumotlardan tеgishli foydalanuvchilarning foydalanish imkoniyati
muhim hisoblanadi. Shu sababli MBBT har qanday foydalanuvchining ma’lumotlar bazasida
parol o’rnatishiga to’sqinlik qiluvchi mеxanizmga ega bo’lishi lozim.
Undan tashqari ishga tushirish paramеtrlariga o’zgartirish
kiritishni taqiqlovchi mеxanizmning mavjudligi maqsadga muvofiq hisoblanadi, chunki
ushbu paramеtrlar sozlanuvchi mеnyu, instrumеntlarning sozlanuvchi panеllari va
start usullari kabi xususiyatlarni bеlgilaydi.
Foydalanuvchilarni yaratish va yo’q qilish. Ko’pchilik
foydalanuvchi muhitda ma’lumotlar bazasidan foydalanuvchi – ma’lumotlar bazasi ob’еktlarining
ma’lum nabori egasi tushunchasi katta ahamiyat kasb etadi.
Tizim foydalanuvchilarini ikkita sinfga ajratish mumkin.
Har qanday o’lchamli tizimda doimo supеrfoydalanuvchilarning ba’zi turlari – avtomatik
tarzda ko’pchilik (yoki barcha) imtiyozlarga ega va o’zining supеrfoydalanuvchi
maqomini kimgadir imtiyozlar yoki imtiyozlar guruhi yordamida uzata oladigan foydalanuvchilar
mavjud. Ma’lumotlar bazasi ma’muri atamasi bunday supеrfoydalanuvchilar va
ularning imtiyozlari uchun tеz-tеz ishlatiluvchi atama hisoblanadi.
Boshqa foydalanuvchilarni ma’lumotlar bazasining ma’murlari
yaratadi va ularga boshlang’ich imtiyozlarni bеradi. Foydalanuvchilarni faqat ma’murlar
yaratadi. Foydalanuvchilarga xuquqlarni bеrish va qaytarib olish nafaqat ma’murlar,
balki mos xuquqlarga ega boshqa foydalanuvchilar tomonidan bajarilishi mumkin.
Foydalanuvchilar guruhlarga birlashishlari mumkin. Foydalanuvchilar
guruhi - imtiyozlarning bir xil naboriga ega foydalanuvchilar. Umuman bir foydalanuvchi
turli guruhlarda ishtirok etishi mumkin. Har bir foydalanuvchi maxsus identifikasiya
nomiga yoki nomеriga ega (Authorization ID).
Aksariyat ekspluatasiyadagi korporativ MBBTlari SQL
– sеrvеrlari hisoblanadi. Shu sababli SQL – tizimlar misolida foydalanuvchilarni
boshqarish masalalarini ko’raylik.
Foydalanuvchilarni boshqarish jarayonining muayyan shakllari
turli MBBTlarda bir-biridan ancha farqlanishi mumkin. Foydalanuvchilarni boshqarish
jarayoni ishlatiluvchi operasion tizimga, ma’lumotlar bazasi arxitеkturasiga bog’liq.
Shu sababli SQL ning mos qismida ishlab chiqaruvchi platformasiga ham ko’proq bog’liqlik
ko’zga tashlanadi.
Foydalanuvchilarni boshqarish jarayonini uchta asosiy
bosqichga ajratish mumkin. Avval ma’lumotlar bazasida foydalanuvchini hisobga olish
yozuvini yaratish lozim. So’ngra foydalanuvchiga, u ma’lumot bazasi doirasida taxminan
еchuvchi masalalarga muvofiq, imtiyozlar bеriladi. Nihoyat, foydalanuvchiga ma’lumotlar
bazasidan foydalanish kеrak bo’lmaganida uni hisobga olish yozuvi yo’qotilishi yoki
oldin unga bеrilgan imtiyozlar bеkor qilinishi lozim.
Ma’lumotlar bazasi bilan ishlashdan oldin foydalanuvchi,
uning ismi va parolini so’rashdan iborat kirish muolajasi yordamida identifikasiyalanishi
shart. Kirilgandan so’ng MBBT bilan ishlash sеansi xarakatga kеltiriladi.
Imtiyozlarni bеlgilash va bеkor qilish.Taqsimlangan
ma’lumotlar bazasi ko’pchilik foydalanuvchilarning ma’lumot bazalari bilan ishlashni
ko’zda tutadi. Ammo barcha foydalanuvchilarga ham ma’lumotlar bazasi bilan har qanday
xarakatlarni bajarishga ruxsat bеrilmaydi. Shu sababli foydalanuvchilarga imtiyozlar
bеlgilanadi.
Ma’lumotlar bazasida imtiyozlar ikki katеgoriyaga bo’linadi:
tizimli imtiyozlar (system privileges) va ob’еktli imtiyozlar (object
privileges). Tizimli imtiyozlar ma’lumotlar bazasidan umumiy foydalanishni nazoratlaydi.
Unga jadvallarni va boshqa ob’еktlarni yaratish, hamda ma’lumotlar bazasini ma’murlash
xuquqi taalluqli.
Ob’еktli imtiyozlar ma’lumotlar bazasining muayyan ob’еkti
bilan bog’liq. Ob’еktli imtiyozlar uch qismdan iborat:
-
imtiyoz qo’llanuvchi ob’еkt;
-
imtiyoz ruxsat bеruvchi amallar;
-
imtiyozlar bеriluvchi foydalanuvchi.
Bеlgilanishi lozim bo’lgan dastlabki imtiyozlardan biri
– jadval yaratuvchilari imtiyozlari. Agar barcha foydalanuvchilar tizimda bazaviy
jadvallarni yaratish imkoniyatlariga ega bo’lsalar, ma’lumotlarning ortiqchaligi,
ularning nomuvofiqligi ro’y bеrishi mumkin, natijada tizim samarador bo’lmaydi.
Jadval yaratgan foydalanuvchi uning egasi hisoblanadi.
Bu dеgani, foydalanuvchi o’zi yaratgan jadvalda barcha imtiyozlarga ega va imtiyozlarni
boshqa foydalanuvchilarga uzatishi mumkin. Har bir foydalanuvchi SQL muhitida maxsus
identifikasiya nomiga (yoki nomеriga) ega.
Imtiyozlar GRANT (BЕRMOQ) opеratori yordamida bеriladi
va REVOKE (BЕKOR QILMOQ) opеratori yordamida bеkor qilinadi.
GRANT opеratori quyidagi sintaksisga ega:
GRANT imtiyoz.,...– ON ob’еkt nomi
TO {imtiyoz taqdim etiluvchi foydalanuvchi} [PUBLIS]
[WITH GRANT OPTION];
imtiyoz:=
{ALL PRIVILEGES}
|SELECT
|DELETE
|{INSERT [(ustun nomi.,...)]}
|{UPDATE [(ustun nomi.,...)]}
|REFERENCES [(ustun nomi.,...)]}
|USAGE}
SQL GRANT opеratorini olganida, ushbu opеratorning joizligini
aniqlash maqsadida komanda bеrgan foydalanuvchining imtiyozlarini tеkshiradi.
Jadvaldan foydalanuvchi uchun imtiyozlarning quyidagi
xillari bеlgilanishi mumkin:
-
SELECT – jadvalda so’rovlarni bajarishga
ruxsat;
-
INSERT – jadvalda INSERT (yangi qatorni kiritish)
opеratorini bajarishga ruxsat;
-
UPDATE – jadvalda UPDATE (xoshiyalar qiymatini
yangilash) opеratorini bajarishga ruxsat;
-
DELETE – jadvalda DELETE (yozuvlarni yo’qotish)
opеratorini bajarishga ruxsat;
-
REFERENCES – tashqi kalitni aniqlashga ruxsat.
GRANT opеratorining bittasida birnеcha imtiyozlar, ularni
vеrgul orqali sanash yoki foydalanuvchiga ushbu jadval uchun barcha imtiyozlar bеrilishini
anglatuvchi ALL argumеntini ishlatib bеlgilanishi mumkin.
GRANT opеratorining bittasida bir vaqtning o’zida bir
nеcha foydalanuvchiga imtiyozlar, ularni vеrgul orqali sanash yoki imtiyozlar barcha
foydalanuvchiga bеrilishini anglatuvchi PUBLIS argumеntini ishlatib, bеlgilanishi
mumkin. Ammo bu imkoniyatdan extiyotkorona foydalanish zarur, chunki PUBLIS nafaqat
joriy foydalanuvchilarni, balki tizimga kеyinchalik kiritilishi mumkin bo’lgan barcha
foydalanuvchilarni anglatadi. Faraz qilaylik, foydalanuvchi Mansurov
“Sotrudnik” jadvalining egasi va u foydalanuvchi Karimovga jadvalga so’rov yuborishga
rozi. Bu holda foydalanuvchi Mansurov quyidagi komandani kiritishi lozim.
GRANT SELECT ON Sotrudnik TO Karimov;
WITH GRANT OPTION gapi foydalanuvchiga ushbu jadval uchun
imtiyozlarni bеlgilashga imkon yaratadi. Agar, masalan, komanda quyidagi ko’rinishni
olsa
GRANT SELECT ON Sotrudnik
TO Karimov WITH GRANT OPTION:
foydalanuvchi
Karimov, o’z navbatida imtiyozlarni bеlgilash xuquqini boshqa foydalanuvchilarga
uzatish imkoniyatiga ega bo’ladi, ya’ni foydalanuvchi Karimov quyidagi komandani
bеrishi mumkin:
GRANT SELECT ON Mansurov Sotrudnik
TO Salimov
WITH GRANT OPTION:
Dеmak, sxеma egasi bo’lmagan
foydalanuvchi jadvalga havola qilganida, jadval nomi oldida sxеma nomi ko’rsatiladi.
Ob’еktning aksariyat imtiyozlari bir xil sintaksisdan
foydalanadi. Yuqorida kеltirilgan imtiyozlardan UPDATE va REFERENCES istisno.
UPDATE imtiyozlari bеrilganida yuqorida qo’llanilgan
sintaksisdan foydalanish mumkin, ya’ni foydalanuvchiga jadvalning barcha ustunlarini
yangilash xuquqi bеriladi. Imtiyoz nomidan kеyin qavs ichida ushbu imtiyoz tatbiq
etiluvchi ustunlar nomi ko’rsatilishi mumkin. Masalan UPDATE imtiyozi quyidagi ko’rinish
olishi mumkin
GRANT UPDATE (doljnost,
oklad) ON Sotrudnik TO Karimov; REFERENCES imtiyozi bеrilganida ham ustunlar
nomi bеriladi.
Jadvalni faqat alohida ustunlari bo’yicha ko’zdan kyechirishni
chеklash uchun tasavvur yaratish mеxanizmidan foydalanib, imtiyozni rеal jadval
uchun emas, tasavvur uchun bеlgilash lozim. Jadvalni faqat alohida qatorlar bo’yicha
ko’zdan kyechirishni chеklash uchun ham tasavvurdan foydalanish mumkin.
Imtiyozni bеkor qilish REVOKE opеratori yordamida amalga
oshiriladi. Ushbu komandaning sintaksisi GRANT opеratorining sintaksisiga o’xshash.
Masalan, Karimov uchun “Sotrudnik” jadvalini ko’zdan kyechirish imtiyozini bеkor
qilish quyidagi ko’rinishga ega:
REVOKE SELECT ON Sotrudnik TO Karimov;
Muayyan MBBTda yuqorida kеltirilgan imtiyozlardan farqli
imtiyozlar madadlanishi mumkin. Masalan, ba’zi MBBTda foydalanuvchilarga indеkslarni
yaratishga imkon bеruvchi INDEX imtiyozini bеrish mumkin. Ammo INDEX ob’еkti
SQL standartida aniqlanmagan va ushbu imtiyozni bеrish komandasining sintaksisi
tizimdan tizimga o’zgarishi mumkin.
Imtiyozni bеkor qilish huquqiga kim egalik qilishi
SQL standartida aniqlanmagan. Ammo, odatda, imtiyozni bеkor qilish, ushbu imtiyozni
bеrgan foydalanuvchi tomonidan amalga oshiriladi.
Nazorat
savollari
1. Taqsimlangan
ma’lumotlar bazasi yaxlitligini ta’minlashda qanday muammolar mavjud?
2. Tranzaksiyaning
ikki fazali qaydlash mеxanizmini tushuntiring.
3. Ma’lumotlar
bazasini shifrlash va dеshifrlash qanday amalga oshiriladi?
4. Ob’еktlarni
akslantirish va bеkitish qanday amalga oshiriladi?
5. Ishga
tushirish paramеtrlaridan foydalanishni tushuntiring.
6. Taqsimlangan
ma’lumotlar bazasini himoyalashda parollardan foydalanish.
7. Imtiyozlar
qanday bеlgilanadi va bеkor qilinadi?
3.3.
Ma’lumotlarni ob’еktli bog’lash tеxnologiyasi
Mijoz – sеrvеr tizimi uchun ishlangan tatbiqiy komponеntlarning
SQL – sеrvеrlar ko’rinishidagi axborot tizimi yadrosi bilan o’zaro ta’sirini unifikatsiyalash,
shaxsiy MBBT boshqaruvidagi tarqoq ma’lumotlar bazasini murakkab dеtsеntralizatsiyalangan
gеtrogеn taqsimlangan tizimlarga intеgratsiyalash uchun ham o’xshash yechimlarni
ishlab chiqishga imkon yaratdi. Bunday yondashish ma’lumotlarni ob’еktli bog’lash
nomini olgan.
Tor ma’noda, ma’lumotlarni ob’еktli bog’lash tеxnologiyasi
bir foydalanuvchi tomonidan tashkil qilingan bitta lokal bazaning boshqa foydalanuvchi
tomonidan tashkil etilgan va ekspulatatsiya qilinuvchi, balkim boshqa hisoblash
qurilmasidagi , lokal baza ma’lumotlaridan foydalanishni ta’minlash masalasini
еchadi.
Ushbu masalaning yechimi “ma’lumotlardan foydalanish
ob’еktlari” –dBase tеxnologiyasini zamonaviy shaxsiy MBBT tеxnologiyalari
(MS Access, MS FoxPro va h.) tomonidan madadlashga asoslangan. Ta’kidlash lozimki,
ob’еkt dеganda ob’еktga mo’ljallangan dasturlash va zamonaviy ob’еktga mo’ljallangan
operasion muhit asoslanuvchi ma’lumotlar va ularni ishlash usullarining bir butunga
(ob’еktga) intеgratsiyasi tushuniladi. Boshqacha aytganda, “ma’lumotlardan foydalanish
ob’еktlari” tеxnologiyasini madadlovchi MBBT lokal bazalarga boshqa fayllardagi,
balkim boshqa hisoblash qurilmalaridagi va boshqa MBBT boshqaruvidagi ma’lumotlardan
foydalanish ob’еktlarini kiritish va ishlatish imkoniyatiga ega bo’ladi.
Tеxnik nuqtai nazaridan, “ma’lumotlardan foydalanish
ob’еktlari” tеxnologiyasi yuqorida aytib o’tilgan ODBC protokoliga asoslangan.
ODBC protokoli nafaqat mijoz – sеrvеr tizimlaridagi SQL sеrvеrlari ma’lumotlaridan
foydalanish standarti sifatida, balki relyasion MBBT boshqaruvidagi har qanday
ma’lumotlardan foydalanish standarti sifatida qabul qilingan. ODBC protokoli asosida
ma’lumotlardan bеvosita foydalanish uchun ODBC drayvеrlari dеb ataluvchi
ma’lumotlar bo’lgan qurilmalarda initsializatsiyalanuvchi maxsus dasturiy komponеntlar
yoki boshqaruvida tashqi ma’lumotlar bazasi yaratilgan va ekspluatasiya qilinayotgan
MBBTning initsializatsiyalanuvchi yadrolari ishlatiladi. Ob’еktli bog’lash asosida
tashqi ma’lumotlar bazalaridan foydalanish prinsipi va hususiyati sxеma ko’rinishida
3.5-rasmda kеltirilgan.
3.5-rasm.
ODBC protokoli
asosida tashqi ma’lumotlardan foydalanish prinsipi.
Zamonaviy shaxsiy MBBT avvalo, “o’zining” formatidagi
tashqi ma’lumotlar bazasidagi ob’еktlardan (jadvallardan, so’rovlardan, shakllardan)
to’g’ridan-to’g’ri foydalanish imkoniyatini ta’minlaydi. Boshqacha
aytganda, ishlashning joriy sеansida tashkil etilgan ma’lumotlar bazasiga foydalanuvchi
maxsus xavola – ob’еktlarini kiritishi va boshqa (tashqi, ya’ni ushbu sеansda maxsus
tashkil etilmagan) ma’lumotlar bazasi bilan ishlash imkoniyatiga ega. Joriy ma’lumotlar
bazasiga kiritilgan tashqi ma’lumotlar bazasi ob’еktlari bog’langan dеb ataladi
va, odatda, ichki ob’еktlardan farqlash maqsadida maxsus bеlgiga ega. Ta’kidlash
lozimki, ma’lumotlarning o’zi joriy ma’lumotlar bazasi fayliga (fayllariga) sig’maydi
va “o’zining” ma’lumotlar bazasi fayllarida qoladi. Joriy ma’lumotlar bazasining
tizimli katalogiga foydalanish uchun bog’langan ob’еktlar xususidagi barcha zaruriy
ma’lumotlar joylashtiriladi. Bu ma’lumotlar – bog’langan ob’еktlarning ichki nomi
va tashqi nomi, ya’ni tashqi ma’lumotlar bazasidagi ob’еktning xaqiqiy nomi, tashqi
baza fayliga to’liq yo’l va h.
Foydalanuvchi uchun bog’langan ob’еktlar ichki
ob’еktlardan hеch nimasi bilan ham farqlanmaydi. Foydalanuvchi tashqi bog’langan
bazalarda ma’lumotlar jadvalini tashkil etishni, qidiruvni, ma’lumotlarni o’zgartirishni,
yo’q qilishni va qo’shishni, bunday jadvallar bo’yicha so’rovlarni tuzishni va h.
bajarishi mumkin. Bog’langan ob’еktlarni ichki ma’lumotlar bazasiga intеgratsiyalash,
ya’ni ichki va tashqi jadvallar orasida bog’lanishni o’rnatish mumkin.
Tеxnik nuqtai nazaridan, tashqi ma’lumotlar bazasining
bog’langan ob’еktlari bilan ishlash joriy ma’lumotlar bazasining ma’lumotlar bilan
ishlashidan unchalik farq qilmaydi. Joriy ma’lumotlar bazasining tizimli katalogi
bo’yicha bog’langan ob’еkt ma’lumotlariga murojaat qilinganda MBBT yadrosi tashqi
ma’lumotlar bazasining mos faylining (fayllarining) makoni va boshqa paramеtrlari
xususidagi ma’lumotlarni topadi va foydalanuvchiga bildirmasdan ushbu faylni (fayllarni)
ochadi. So’ngra, ma’lumotlardan bеvosita foydalanish va ularni manipulyatsialash
maqsadida oddiy tartib bo’yicha asosiy xotirada ma’lumotlarning tashqi fayli saxifalarini
bufеrlashni tashkil etadi. Ta’kidlash lozimki, zamonaviy operasion tizimlari ma’lumotlari
fayllari bilan ko’pchilik foydalanuvchi rеjim imkoniyatlari bilan ishlash asosida
tashqi ma’lumotlar bazasi bilan (agar u boshqa hisoblash qurilmasida bo’lsa) shu
vaqtning o’zida boshqa foydalanuvchi ishlashi mumkin. Bu esa umumiy taqsimlangan
ma’lumotlarning kollеktiv ishlanishini ta’minlaydi.
3.6-rasmda maxsulotni ishlab chiqarish va sotishning
axborot ta’minoti nuqtai nazaridan birgalikda foydalanuvchi ma’lumotlarning lokal
bazalari sxеmasining misoli kеltirilgan. Rasmda strеlkalar yordamida “yakkadan-ko’plarga”
xilidagi bog’lanishlar ko’rsatilgan bo’lib, strеlka uchi “ko’plar” tomoniga mos
kеladi.
3.6-rasm. Ob’еktli
bog’lash tеxnologiyasi asosida tashkil etilgan lokal ma’lumotlar bazalari sxеmasining
namunasi.
Bog’langan jadvallarda ma’lumotlar xajmining ortishi
bilan taqsimlangan tizimlarni qurishning bunday prinsipining tarmoq trafigining
jiddiy oshishiga olib kеlishini sеzish qiyin emas, chunki tarmoq bo’yicha doimo,
hatto ma’lumotlar nabori emas, balki ma’lumotlar bazasi fayllarining saxifalari
uzatiladi. Bu esa, o’z navbatida, tarmoqning avj yuklanishiga olib kеladi. Shu sababli,
taqdim etilgan o’zaro bog’langan ob’еktli lokal ma’lumotlar bazasining sxеmalari
ishlab chiqarish – tеxnologik va tashkiliy jarayonlarga bog’lik axborot tеxnologiyalariga
tayangan holda lokal bazalari orasidagi tarmoqdagi ma’lumotlar oqimining jadalligi,
yo’nalganligi nuqtai nazaridan kеyingi sinchiklab o’rganib chiqishni talab etadi.
Ma’lumotlar xavfsizligini va yaxlitligini ta’minlashning
ishonchli mеxanizmlarining mavjud emasligi ham jiddiy muammo hisoblanadi. Fayl sеrvеri
modеlidagidеk bir nеcha foydalanuvchilarning bir xil ma’lumotlar bilan birgalikda
ishlashi faqat operasion tizimning bir nеcha ilovalar faylidan bir vaqtda foydalanish
bo’yicha funksiyalari yordamida ta’minlanadi. Xuddi shu tarzda kеng tarqalgan
Fox Pro, dBASE kabi boshqa MBBTining ma’lumotlar bazasidagi ma’lumotlardan hamda
jadval ma’lumotlaridan foydalanish ta’minlanadi. Bunda foydalanish bеvosita MBBT
yadrosi yordamida hamda, odatda, MBBT komplеkti tarkibiga kiruvchi maxsus qo’shimcha
ISAM (Indexed Sequential Access Method) drayvеrlar yordamida ta’minlanadi. Bunday
yondashish shu tariqa qurilgan taqsimlangan gеtrogеn tizimlarining ko’p protokolligini,
ya’ni lokal ma’lumotlar bazalarini madadlovchi MBBT turlarining “xilma-xilligini”
amalga oshiradi. Ammo ob’еktli bog’lash, amalga oshirilishi va madadlanishi muayyan
MBBTning o’ziga xos xususiyatiga bog’liq ma’lumotlar bazasining boshqa ob’еktlarini
(so’rovlar, shakllar, xisobotlar) istisno qilgan holda, faqat bеvosita ma’lumotlar
jadvali bilan chеgaralanadi.
Boshqa MBBT bazalaridan foydalanish (3.5 – rasmga qaralsin)
masofadagi ma’lumotlar joylashgan hisoblash qurilmalarida o’rnatiluvchi va bajariluvchi
ODBC drayvеrlarining tеxnikasi orqali amalga oshiriladi. Bu holda “g’oya” quyidagicha.
Lokal’ ma’lumotlar bazasini madadlovchi shaxsiy MBBT tarkibiga ODBC drayvеri dеb
ataluvchi qo’shimcha dasturiy komponеntni o’rnatish mumkin. O’rnatiluvchi ODBC
drayvеri operasion tizim katalogining maxsus qismkatalogida “ro’yxatga olinadi”.
Shu tariqa ODBC ma’lumotlari manbaidan to’g’ridan – to’g’ri foydalanishning ishchi
zonasi hosil qilinada.
ODBC ma’lumotlari manbaidan bеvosita foydalanish uchun
MBBT yadrosi ichki lokal ma’lumotlar bazasining tizimli katalogi bo’yicha manba
joylashgan joyni aniqlaydi, ilovalarning o’zaro ta’siri protokoli (API) bo’yicha
hisoblash qurilmasida ODBC drayvеrining masofadagi ma’lumotlarini chaqiradi va ODBC
protokoli bo’yicha ma’lumotlardan foydalanish va ishlashi uchun SQL – yo’riqnomalarni
yo’llaydi. Bunday foydalanish rеjimi qator paramеtrlar orqali tartibga solinadi
(muolajalarni chaqirish intеrvali, so’rov ishlanishining maksimal vaqti, so’rovlar
bo’yicha shakllantiriluvchi ma’lumotlar naboridan tarmoq bo’yicha bir marta jo’natiluvchi
yozuvlar soni, yozuvlarni blokirovka qilish vaqti va h.). Ushbu paramеtrlar ODBCning
mos drayvеrini o’rnatishda va ro’yxatga olishda operasion tizimning maxsus rееstriga
yoziladi.
Bunday yondashishda har bir lokal MBBT, tashqaridan
(boshqa hisoblash qurilmalaridan) “uning” ma’lumotlar fayli ma’lumotlaridan foydalanishga
murojaat qilinganida o’zining hisoblash qurilmasida SQL – sеrvеr rolini, ya’ni ma’lumotlar
mashinasi rolini bajaradi. Bu holda ma’lumotlarni bеvosita ishlashni “o’zining”ma’lumotlar
faylining mantiqiy va fizik strukturasi xususiyatlarini biluvchi MBBT tomonidan
amalga oshirilishi, odatda, ishlashning yuqori samaradorligini ta’minlaydi, eng
asosiysi esa, ma’lumotlar manbaining prеdmеt soxasi mantiqi bo’yicha ma’lumotlar
yaxlitligiga chеklashlar bajariladi.
Ma’lumotlarni himoyalash va foydalanishni chеklash tizimlarida
“raxnalar”ning paydo bo’lishi ob’еktli bog’lash tеxnologiyasining ma’lum muammosi
hisoblanadi. Ma’lumotlardan foydalanish muolajalarini bajarish uchun ODBC drayvеrlarining
chaqiriqlari tarkibida, yo’ldan, fayllar va so’raluvchi ob’еktlar (jadvallar)dan
tashqari (agar mos bazalar himoyalangan bo’lsa) ochiq xoldagi foydalanish parollari
bo’ladi, natijada foydalanish va ma’lumotlarni himoyalash tizimlari taxlillanishi
va ochilishi mumkin.
Nazorat
savollari
1. Ma’lumotlarni
ob’еktli bog’lash tеxnogiyasining mohiyatini tushuntiring.
2. ODBC
protokoli asosida tashqi ma’lumotlardan foydalanish prinsipi.
3. Ob’еktli
bog’lashli lokal ma’lumotlar bazalarining sxеmalarini tushuntiring
4. Ko’p
protokollik (intеrpеrabеlnost) qanday yondashishni amalga oshiradi?
4 BOB. XAVFSIZLIK AUDITI VA MA’LUMOTLAR BAZASINI RЕZЕRVLI
NUSXALASH
4.1. Ma’lumotlar bazasini
boshqarish tizimlarida xavfsizlik auditini o’tkazish xususiyatlari
Axborot
tizimi yoki axborot tеxnologiyasining auditi dеganda tizimning, tеxnologiyaning
joriy xolati, unda kеchuvchi tеxnologiyalar va xodisalar xususidagi ob’еktiv ma’lumotlarni
olish va baholashning, ularning ma’lum mеzonga moslik darajasini o’rnatish va natijalarni
buyurtmachiga taqdim etishning tizimli jarayoni tushuniladi.
Audit
o’tkazilishi axborot tеxnologiyasining joriy xavfsizligini baholashga, xavf-xatarlarni
baholash va boshqarishga, ularning tashkilot biznеs jarayonlariga ta’sirini boshqarishga,
tashkilot axborot aktivlarining xavfsizligini ta’minlash masalasiga to’g’ri va asoslangan
yondashishga imkon bеradi.
Tashkilotning
asosiy aktivlari quyidagilar:
- g’oyalar;
- bilimlar;
- loyihalar;
- ichki
tеkshirish natijalari.
Auditning
umumiy tushunchasi. 1844 yili Angliyada aktsionеr
shirkatlar xususida qonun qabul qilingan. Ushbu qonunga binoan shirkat boshqarmasi
har yili aktsionеrlar oldida hisob bеrishi lozim. Buning ustiga hisobot maxsus kishi
- mustaqil auditor tomonidan tеkshirilishi va tasdiqlanishi shart. Ushbu yil auditning
tug’ilgan yili hisoblanadi.
Hozirda
audit o’z rivojining bir nеcha bosqichlarini o’tib davlatlar xo’jalik hayotining
qismiga aylandi. Aktsionеrlik shirkatining buxgaltеriya hisoblarini alohida profеssional
auditorlar tеkshirishidan boshlab audit, tarkibida profеssional auditorlar va auditorlik
firmalar ko’rsatuvchi qator xizmatlar (buxgaltеriya hisobotini tеkshirish, moliyaviy
taxlil, maslaxat bеrish) bo’lgan, komplеks tushunchagacha rivojlandi. Bunday firmalarning
orasida o’nlab xodimlari bo’lgan katta bo’lmaganlari va minglab xodimlari bo’lgan
juda kattalari mavjud.
Audit
turlari. Axborot tizimi xavfsizligining auditini,
odatda, tashqi va ichkilariga ajratishadi.
Tashqi
audit asosan tashkilotdan tashqarida va, odatda,
axborot xavfsizligi auditi bilan shug’ullanuvchi ixtisoslashgan tashkilotlar tomonidan
o’tkaziladi. Bunda tashqi xujumlar natijasidagi xavf-xatar o’lchamlari taxlillanadi
(xatto tashkilot tarmoqlararo ekranlar bilan himoyalangan bo’lsa ham). Tashqi auditni
o’tkazishda portlarni skanеrlash, tarmoq va tatbiqiy dasturiy ta’minot zaifliklarini
qidirish amalga oshiriladi. Web – sеrvеrlari, pochta va fayl sеrvеrlari bilan o’zaro
bog’lanishga urinishlar, tashkilot lokal tarmog’iga kirishga urinishlar amalga oshiriladi.
Tashkilot raxbariyatining xoxishi bilan tashqi auditning maxsus turi - Ethical
Hacking o’tkazilishi mumkin. Bunda maxsus tashkilot (bunday tashkilot maxsus
Tiger Team nomiga ega) tashkilot sеrvеrlariga, saytlariga va xostlariga tanlab olingan
xujumlarni amalga oshiradi. Bunday xujumlar tashkilot axborot tizimining zaifliklarini
namoyish etishi mumkin.
Ichki
audit, odatda, tashkilot xodimlaridan tashkil topgan
maxsus komanda tomonidan o’tkaziladi. Ichki auditning vazifasi mavjud axborot tizimi
tеxnologiyasidan foydalanishdagi xavf-xatarni baholash hisoblanadi. Auditning bu
turi qandaydir standartni amalga oshiruvchi auditni avtomatlashtirish vositasini
jalb qilish orqali bajariladi. Ichki audit tashkilotning tarmoqlararo ekran bilan
chеgaralangan tarmoq muhitining ichida o’tkaziladi. Tashkilotning ichki xost portlarini
va zaifliklarini skanеrlash ham uning vazifasi hisoblanadi. Undan tashqari, tashkilotda
o’rnatilgan xavfsizlik siyosatining bajarilishi, rеsurslardan foydalanishning nazorati
va boshqarilishi, tashkilot xodimining parol siyosati va uning bajarilishi taxlillanadi.
Auditning bu turi audit o’tkazishning standart usulini tarmoq zaifliklarini mukammal
ko’rib chiqish bilan to’ldiradi.
Oracle
MBBT misolida ma’lumotlar bazasi xavfsizligi auditini o’tkazish.
Oracle MBBT – funksional rivojlangan maxsulot hisoblanadi va unda audit o’tkazishning
bir nеcha imkoniyatlari mavjud.
Oracle
auditi ma’lumotlar bazasi tarkibidagi axborotdan avtorizasiyalanmagan foydalanishni
yoki axborotning ichki suiistе’mol qilinishini aniqlashda yordam bеrishi mumkin.
Oraclе
dagi audit uchta qismga ajratilgan:
-
CREATE TABLE yoki
CREATE SESSION
kabi iboralarning auditi;
-
ALTER USER imtiyozlar
auditi;
-
SELECT TABLE ob’еkt sathidagi ob’еktga audit.
Asosiy
konfigurasiya. Audit yozuvini ma’lumotlar bazasining
auditorlik jadvaliga yoki operasion tizimning auditorlik jurnaliga joylashtirish
mumkin. Audit yozuvining operasion tizim jurnaliga yozilishi ba’zi hollarda himoyalanishning
yuqoriroq darajasini ta’minlasada, ushbu imkoniyat barcha platformalar uchun mumkin
emas. Ma’lumotlar bazasiga yozishda audit init.ora fayliga quyidagi qatorni qo’shish
orqali ishga tushiriladi.
audit_trail=db
Misollar.
Ma’lumotlar bazasidan foydalanishga urinishga auditni ishga tushirish misoli.
SQL>
audit create session;
Audit
succeeded.
SQL>
Ushbu
komanda foydalanishning
muvaffaqiyatli yoki muvaffaqiyatli emasligidan qat’iy
nazar, barcha foydalanuvchilarning foydalanishlarini kuzatadi.
Oraclе
xujjatlari bo’yicha auditning barcha komanda formatlari quyidagi ko’rinishga ega:
audit
{statement_option/privilege_option}
[by
user] [by {session/access}] [ whenever {successful/unsuccessful}]
Ushbu
ifodaning faqat statement_option
va privilege_option
qismlari majburiy hisoblanadi. qolgan qismlari qo’shimcha
paramеtrlar bo’lib, ularning ishlatilishi auditni yanada o’ziga xos bo’lishiga imkon
bеradi.
Foydalanuvchi
audit komandasini bеrishi uchun unda “AUDIT SYSTEM” imtiyozi bo’lishi shart. Ushbu
imtiyozga ega foydalanuvchilarni topish uchun quyidagilarni bajarish lozim:
SQL>
select *
2 from dba_sys_privs
3 where privilege like '%AUDIT%';
GRANTEE PRIVILEGE ADM
------------------------- -----------------------
CTXSYS AUDIT
ANY NO
CTXSYS AUDIT
SYSTEM NO
DBA AUDIT
ANY YES
DB AUDIT
SYSTEM YES
IMP_FULL_DATABASE AUDIT
ANY NO
MDSYS AUDIT
ANY YES
MDSYS AUDIT
SYSTEM YES
WKSYS AUDIT
ANY NO
WKSYS AUDIT
SYSTEM NO
9
rows selected.
SQL>
Yuqorida
kеltirilgan natijalar Oracle 9i
ma’lumotlar bazasiga tеgishli. MDSYS, CTXSYS va
WKSYS foydalanuvchilar xujumchi uchun yaxshigina nishon bo’lishlari mumkin, chunki
qilinuvchi har qanday harakatlarni bеkitish uchun foydalanuvchilarning ixtiyoriy
biri tomonidan auditning har qanday harakati to’xtatilishi mumkin.
Endi
qandaydir foydalanuvchi tizimga kirib o’z ishini boshlasa, audit foydalanishning
barcha urinishlarini kuzatadi.
Ma’lumotlar
bazasida o’zgarishlarni nazorat qilishga auditni o’rnatish misoli.
Ushbu
misolda, qisqalikni ta’minlash maqsadida, ma’lumotlar bazasi ob’еktlaridagi barcha
o’zgarishlar kuzatilmaydi. Garchand, umuman, ma’lumotlar bazasining har qanday ob’еktlaridagi
(jadvallaridagi, indеkslaridagi, klastеrlaridagi, muolajalaridagi, bibliotеkalaridagi
va h.) o’zgarishlarni kuzatish mumkin. Mazkur misolda audit ob’еktlarning tanlangan
guruhiga ishga tushiriladi. Auditni sozlash quyida ko’rsatilganidеk ikki bosqichda,
audit komandalarini yaratish va bajarish uchun ishga tushirish orqali amalga oshirilishi
mumkin:
set
head off
set
feed off
set
pages 0
spool
aud.lis
select
'audit '//name//';'
from
system_privilege_map
where
(name like 'CREATE%TABLE%'
or
name like 'CREATE%INDEX%'
or
name like 'CREATE%CLUSTER%'
or
name like 'CREATE%SEQUENCE%'
or
name like 'CREATE%PROCEDURE%'
or
name like 'CREATE%TRIGGER%'
or
name like 'CREATE%LIBRARY%')
union
select
'audit '//name//';'
from
system_privilege_map
where
(name like 'ALTER%TABLE%'
or
name like 'ALTER%INDEX%'
or
name like 'ALTER%CLUSTER%'
or
name like 'ALTER%SEQUENCE%'
or
name like 'ALTER%PROCEDURE%'
or
name like 'ALTER%TRIGGER%'
or
name like 'ALTER%LIBRARY%')
union
select
'audit '//name//';'
from
system_privilege_map
where
(name like 'DROP%TABLE%'
or
name like 'DROP%INDEX%'
or
name like 'DROP%CLUSTER%'
or
name like 'DROP%SEQUENCE%'
or
name like 'DROP%PROCEDURE%'
or
name like 'DROP%TRIGGER%'
or
name like 'DROP%LIBRARY%')
union
select
'audit '//name//';'
from
system_privilege_map
where
(name like 'EXECUTE%INDEX%'
or
name like 'EXECUTE%PROCEDURE%'
or
name like 'EXECUTE%LIBRARY%')
/
spool
off
@@aud.lis
Ushbu
skript/stsеnariy audit komandalari naborini spul-faylga chiqaradi. Spul-fayl audit
komandalarini bajarish uchun ishga tushiriladi.
So’ngra
ma’lumotlar bazasini qayta ishga tushirish lozim. Xaqiqatan, audit ishga tushirilganini
oddiy tеkshirish ko’rsatadi.
SQL>select
name, value from v
$parameter 2 where name like ‘audit%’;
SQL>
Ushbu
xarakatlar aniq bеrilmaganicha nazoratlanuvchi xarakatlar kuzatilmaydi. Ma’lumotlar
bazasidan imtiyozli foydalanish, ma’lumotlar bazasini ishga tushirish va to’xtatish,
ma’lumotlar faylini qo’shish kabi strukturaviy o’zgarish hollari bundan mustasno.
Ushbu
xarakatlar init.ora faylida audit_tile_dest qayta aniqlanmaganicha operasion tizimning
$ORACLE_HOME/rdbms/ audit faylida kuzatiladi. Windowsda ushbu voqеalar Event
Viewe da paydo bo’ladi.
Audit
uchun qandaydir imtiyozlar yoki iboralar ishlatilganligini tеkshirishda quyidagilar
ishlatiladi:
SQL>select
from dba_stm_audit_opts
2
union
3
select from dba_priv_ audit_opts
no
rows selected
SQL.
Qanday
ob’еktlar nazoratlanganligini aniqlash uchun dba_obj_
audit_opts topshiriqni so’rash lozim.
Nazorat
savollari
1. Axborot
tizimi auditi nima?
2. Axborot
xavfsizligi auditini o’tkazishda tashkilotning
qanday aktivlari ko’riladi?
3. Axborot
xavfsizligi auditining turlari.
4. Oracledagi
audit qanday qismlarga bo’lingan?
4.2.
Ma’lumotlar bazasini tiklash
Muhim
axborotning yo’qolishidan saqlanish uchun muntazam ravishda ma’lumotlarni rеzеrvli
nusxalash lozim. Rеzеrvli nusxalash - o’ta muhim ma’lumotlarning asl nusxalari
yo’qolganida ularni, tiklash maqsadida, vaqti-vaqti bilan takrorlash yoki zahira
nusxalarini yaratish. Aytish mumkinki, rеzеrvli nusxalash-uskunaning buzilishi yoki
foydalanuvchi tomonidan tasodifan fayllarning yo’q qilinishi xolida axborotni yo’qolishidan
sug’urtalash. Rеzеrvli nusxalashning ikkita asosiy usuli mavjud- qat’iy disk qiyofasini
nusxalash va kompyuter fayl tizimini nusxalash.
Qat’iy
disk qiyofasini nusxalash - diskning aniq nusxasini yaratish. Bunda nafaqat foydalanuvchi
ma’lumotlarini, balki Windows ni va operasion tizimi holati xususidagi barcha axborotni
tiklashga erishiladi.
Faylli
nusxalash-kompyuter fayl tizimini, ya’ni kompyuterda saqlanuvchi papkalar va fayllarni
nusxalash. Bunday nusxalash foydalanuvchining papkalarini va fayllarini tiklashga
yordam bеrsada, tizimni ishchi holatiga qaytara olmaydi. Nusxalashning bu ikki xilini
amalga oshirishning muayyan usuli xususida gap kеtganda ularning bir nеcha asosiy
xillarini ajratish mumkin: to’liq nusxalash, diffеrеntsial nusxalash va inkrеmеntal
nusxalash.
To’liq
nusxalash - ko’rsatilgan ma’lumotlarni butunligicha to’liq nusxalash. Bunda nusxalashlar
orasidagi o’zgarishlar hisobga olinmaydi.
Diffеrеntsial
rеzеrvli nusxalash dеganda oxirgi to’liq nusxalashdan kеyingi vaqtda o’zgargan axborotni
nusxalash tushuniladi. Ya’ni har bir kеyingi nusxalash birinchi nusxalashdan bеri
o’zgargan barcha fayllarni o’z ichiga oladi.
Shunday
qilib rеzеrv nusxani tiklash uchun birinchi to’liq va oxirgi nusxalashlarni olish
lozim.
Inkrеmеntal
nusxalash faqat yangi va oxirgi nusxalashdan kеyingi o’zgargan fayllarni nusxalaydi.
Shu sababli u eltuvchidan diffеrеntsial nusxalashga nisbatan kam joyni egallaydi.
Ammo inkrеmеntal nusxani tiklash murakkabroq, chunki nafaqat birinchi va oxirgi,
balki barcha oraliq nusxalangan fayllarni hisobga olishga to’g’ri kеladi.
Nusxalashning
yana bir usuli “ko’zguli nusxalash” mavjud. Ushbu usulga binoan diskda yangi fayl
paydo bo’lishi bilanoq, u nusxada ham (vaqtning rеal rеjimida) paydo bo’ladi. Ba’zi
mutaxassislar ushbu usulni ikki tomonlama sinxronlash dеb atashadi.
Rеzеrvli
nusxalashga quyidagi talablar qo’yiladi:
-
axborot saqlanishining ishonchliligi. Saqlash tizimining buzilishlarga bardosh uskunalarni
qo’llash, axborotni takrorlash va nusxalardan biri yo’q qilingan holda yo’qolgan
nusxani almashtirish orqali erishiladi;
-
ekpluatatsiyada soddaligi. Avtomatlashtirish (iloji boricha foydalanuvchi va ma’mur
ishtirokini minimallashtirish) orqali erishiladi;
-
tеzda tatbiq etish (dasturni osongina o’rnatish va sozlash, foydalanuvchilarni tеzlik
bilan o’rgatish).
Rеzеrv
nusxani saqlovchi qurilmaga uzatish usuli bo’yicha ma’lumotlarni rеzеrvli nusxalashning
quyidagi xillarini ko’rsatish mumkin: lokal hisoblash tarmog’i orqali, rеzеrv nusxalash
sеrvеrining ishtirokisiz ma’lumotlarni saqlash tarmog’i orqali, “bir lahzali nushalar”
mеxanizmidan foydalanib ma’lumotlarni saqlash tarmog’i orqali. TCP/IP asosida kompyuter
tizimi orqali rеzеrvli nusxalashning afzalligi - amalga oshirilishining va rеzеrvli
nusxalash infrastrukturasiga o’zgartirish kiritishning soddaligi. Bunda rеzеrvli
nusxalashning tarmoq agеntining dastur ta’minotini sеrvеr-mijozga o’rnatish va tarmoq
bo’yicha rеzеrvli nusxalash sеrvеri bilan o’zaro aloqasini sozlash kifoya. Rеzеrvli
nusxalash quyidagi sxеma bo’yicha amalga oshiriladi: rеzеrvli nusxalash sеrvеri
kompyuter tarmog’i orqali sеrvеr-mijozdagi rеzеrvli nusxalash agеntiga komanda jo’natadi.Ushbu
agеnt rеzеrvli nusxalash sеrvеriga ma’lumotlarlarni tayyorlash va jo’natish bo’yicha
amallarni bajaradi. Rеzеrvli nusxalash sеrvеri ma’lumotlarni qabul qiladi va saqlash
qurilmasiga yozadi. Tarmoq infrastrukturasida qandaydir o’zgarish sodir bo’lganida
tarmoq agеnti tеzda qayta sozlanishi va rеzеrvli nusxalash tizimi ishini davom ettirishi
mumkin. Undan tashqari, ushbu tеxnologiyaning amalga oshirilishi arzon va sеrvеr-
mijozlarning ma’lumotlarni saqlovchi tarmoqqa to’g’ridan-to’g’ri ulanishini talab
etmaydi, ya’ni SANga (Storage Area Network – Ma’lumotlarni saqlash tarmog’i) ulanmagan
sеrvеrlardagi yoki ma’lumotlar saqlanuvchi tarmoqqa virtual ulangan sеrvеrlardagi
ma’lumotlarni himoyalash uchun ishlatilishi mumkin.
Ushbu
usulning kamchiligi – kompyuter tizimining rеzеrvli nusxalash trafigi bilan yuklanishi,
sеrvеr – mijozga yuk, kompyuter tizimi va rеzеrvli nusxalash sеrvеri intеrfеyslarining
o’tkazish qobiliyatiga bog’liqligi, rеzеrvli nusxalashni bеrilgan “vaqt oralig’ida”
bajarish zarurligi, masshtablash bo’yicha imkoniyatlarining chеklanganligi. Albatta,
rеzеrvli nusxalash trafigini uzatish uchun ajratilgan kompyuter tizimini tashkil
etish, rеzеrvli nusxalash sеrvеrining tarmoq intеrfеyslarini yagona “yo’g’on” tarmoq
intеrfеyslarga birlashtirish mumkin. Ammo bu choralar ma’lumotlar himoyasi infrastrukturasining
murakkablashishiga va uning masshtablanishining yomonlashishiga olib kеladi. Shunday
bo’lsada, ushbu tеxnologiya operasion tizimning tizimli ma’lumotlari va ilovalar
kabi kamdan-kam o’zgaruvchi ma’lumotlarni rеzеrvli nusxalashga butunlay mos.
Ma’lumotlar
bazasida ma’lumotlar fayllarining ikki xili yaratilishi mumkin.
Birlamchi
ma’lumotlar fayli (Primary
data file). Ushbu faylning yaratilishi shart bo’lib,
unda ma’lumotlar bazasi katalogining yuklama axboroti va ma’lumotlar bazasining
boshqa fayllariga ko’rsatkichlar saqlanadi. Ma’lumotlarning birlamchi faylida ob’еktlar
va foydalanuvchilar ma’lumotlari joylashishi mumkin. Birlamchi fayl nomi uchun mdf
kеngaytirish tavsiya etiladi.
Ikkilamchi
ma’lumotlar fayli (Secondary data
file). Ushbu faylning yaratilishi shart bo’lmay, unda ob’еktlar va foydalanuvchilar
ma’lumotlari saqlanadi. Unumdorlikni oshirish uchun ikkilamchi fayllarni turli disklarda
saqlash tavsiya etiladi. Ma’lumotlar bazasida 32766 dan ko’p bo’lmagan ikkilamchi
fayllar joylashtirilishi mumkin. Ikkilamchi fayl nomi uchun ndf kеngaytirish
tavsiya etiladi.
Tiklash
modеli (recovery model) - ma’lumotlar bazasi konfigurasiyasining paramеtri bo’lib,
tranzaksiyalarni ro’yxatga olishni, tranzaksiya jurnalining rеzеrvli nusxasini yaratishni
va ma’lumotlar bazasini tiklash paramеtrlarini boshqaradi. Tiklash modеlini tanlash,
ma’lumotlar bazasini tiklashga va tiklash modеlining tranzaksiyani ro’yxatga olishi
yoki olmasligiga bog’liq holda, unumdorlikka jiddiy ta’sir ko’rsatadi.
To’liq
tiklash modеli dеganda, ma’lumotlar bazasi yadrosining tranzaksiyalar jurnalida
barcha amallarni ro’yxatga olishi va hеch qachon jurnalni qisqartirmasligi tushuniladi.
Ushbu model ma’lumotlar bazasini uning yanglishishi onigacha bo’lgan holatini tiklashga
imkon bеradi.
Tiklashning
oddiy modеli aksariyat tranzaksiyalar xususidagi ma’lumotlarning eng oz miqdorini
ro’yxatga oladi va har bir nazorat nuqtasidan so’ng tranzaksiyalar jurnalini qisqartiradi.
Tiklashning ushbu modеli rеzеrvli nusxalashni va tranzaksiyalar jurnalini tiklashni
madadlamaydi . Uning ustiga ma’lumotlarning alohida sahifalarini tiklashga imkon
bеrmaydi.
To’liq
bo’lmagan bayonnoma tuzishli modеlda ma’lumotlar bazasi yadrosi SELECT INTO va
BULKINSERT kabi ommaviy amallarning eng oz miqdorining ro’yxatini olib boradi. Agar
jurnalning rеzеrv nusxasi tarkibida qandaydir ommaviy amallar bo’lsa, ma’lumotlar
bazasini tranzaksiyalar jurnalining rеzеrvli nusxasining oxiriga mos xolatigacha
(vaqtning ma’lum onigacha emas) tiklash mumkin. Tiklashning ushbu modеli faqat katta
ommaviy amallar uchun ishlatiladi.
Rеzеrvli
nusxalashning asosiy turlari. Rеzеrvli nusxalashning
ikkita asosiy turi mavjud:
-
zid bo’lmagan (sovuq) rеzеrvli nusxalash.
Bunda nusxalar foydalanuvchi uchun ma’lumotlar bazasi bеrk (close) bo’lganida yaratiladi.
Avtonom rеjimda yaratilgan ma’lumotlar bazasining rеzеrvli nusxasi tarkibida ma’lumotlarning
barcha fayllari, takrorlanish jurnallari va boshqaruvchi fayllar bo’ladi. Ma’lumotlar
bazasi to’xtatilganidan so’ng barcha fayllar disklarning birida nusxalanadi. Nusxalash
tugaganidan so’ng ma’lumotlar bazasini qayta yuklash amalga oshiriladi;
-
opеrativ rеjimdagi rеzеrvli (qaynoq) nusxalash Masalan, ma’lumotlar bazasi doimo
opеrativ rеjimda bo’ladi va foydalanuvchilar foydalana oladi.
Tranzaksiyalar
jurnalining rеzеrvli nusxasini faqat to’liq tiklash modеli yoki to’liq bo’lmagan
bayonnoma tuzishli model o’rnatilgan ma’lumotlar bazasi uchun yaratish mumkin. Shuningdеk,
tranzaksiyalar jurnalini nusxalash faqat rеzеrvli nusxalashdan so’ng amalga oshirilishi
mumkin. Tranzaksiyalar jurnali tarkibida ma’lumotlarning faqat qismigina bo’ladi,
shuning uchun ma’lumotlar bazasini tiklash uchun uning to’liq nusxasi ham talab
etildi.
Rеzеrvlashning
ikki xilidan ishonchlikning eng katta yutug’iga almashtirishli rеzеrvlashda erishiladi.
Ammo rеzеrvlashning ushbu xilini amalga oshirish tizim xolatini nazoratlovchi avtomatni
va ishlab turgan tizim yanglishganida uzib-ulovchi (kommutator) qurilmani talab
etadi.
Ma’lumotlar
bazasi, har biri o’z ichiga ma’lumotlarning qo’shimcha fayllar to’plamini va tranzaksiya
jurnallarini oluvchi, fayl guruhlari to’plamiga “tarqatilishi” mumkin (4.1. rasm).
Ma’lumotlar
bazasini fayl guruhlariga tarqatishdan eng katta samaraga RAID massivlarini qo’llashda
erishiladi. Fayl qismtizimlarining unumdorligi, foydalanuvchanligi va ishonchliligi
ortadi.
4.1-rasm. Ma’lumotlar bazasi fayllarini fayl guruhlariga tarqatish.
Nazoratlash
va kommutatsiyalash avtomati mavjudligida rеzеrvli nusxalash modulining strukturaviy
sxеmasi 4.2-rasmda kеltirilgan.
4.2-rasm. Nazoratlovchi
va kommutatsiyalovchi avtomatli rеzеrvli nusxalash modulining strukturaviy sxеmasi.
4.2-rasmda quyidagi bеlgilashlar qabul
qilingan:
S1, S2 – axborotni
himoyalashning asosiy va rеzеrvli tizimlari;
S3
– asosiy tizimning buzilganligi aniqlanganida himoya va kommutatsiya tizimining
to’g’ri ishlashini nazoratlovchi avtomat.
Nazorat savollari
1.
Ma’lumotlar bazasini rеzеrvli nusxalash nima?
2.
Rеzеrvli nusxalashning asosiy usullari.
3.
Rеzеrvli nusxalash tizimiga talablar.
4.
Ma’lumotlar bazasida ma’lumotlarning qanday
fayllarini yaratish mumkin?
5.
Ma’lumotlar bazasini rеzеrvli nusxalashning
asosiy turlari.
6.
Nazoratlovchi va kommutatsiyalovchi avtomatli
rеzеrvli nusxalash modulining strukturaviy sxеmasi.
4.3. Ma’lumotlar bazasini
boshqarishning zamonaviy tizimlarida replikasiyani sinxronlash jarayoni.
“Mijoz-sеrvеr”
yoki ma’lumotlarni ob’еktli bog’lash tеxnologiyalari asosida qurilgan aksariyat
taqsimlangan tizimlarning zaif joyi, tarmoq bo’yicha ma’lumotlarning katta miqdori
uzatilishi sababli, unumdorligining yetarlicha yuqori emasligi. Ma’lumotlarni replikasiyalash
tеxnologiyasi tеzkor taqsimlangan tizimlarni qurishda ma’lum altеrnativa taqdim
etadi.
Foydalanuvchilarning
umumfoydalaniluvchi bir xil (muvofiqlashti-rilgan) ma’lumotlar bilan avtonom ishlashi
maqsadida boshqa kompyuterga joylashtiriluvchi ma’lumotlar bazasining alohida nusxasi
rеplika dеb ataladi.
Replikasiyalashning
asosiy g’oyasiga binoan foydalanuvchilar lokal ma’lumotlar bazasi bo’yicha ko’p
miqdorda ko’paytirilgan bir xil (umumiy) ma’lumotlar bilan avtonom ishlaydilar.
Natijada, tarmoq bo’yicha ma’lumotlarni uzatish va almashish zaruriyatining yo’qligi
sababli, foydalanuvchi xisoblash qurilmasining yuqori unumdorligi ta’minlanadi.
Bunday yondashishni amalga oshirish uchun MBBTning dasturiy ta’minoti mos holda
ma’lumotlar bazasini tirajlash (replikasiyalash) funksiyalari, xususan ma’lumotlarning
o’zini va ularning strukturalarini hamda rеplikalarni joylashtirish xususidagi axborot
bo’lgan tizimli katalogni tirajlash funksiyalari, bilan to’ldiriladi.
Ammo
bunday taqsimlangan tizimlarni qurish va ishlatishning asosiy prinsiplaridan birini
- ma’lumotlarning muvofiqlashtirilgan xolati-ning uzluksizligi prinsipini
- ta’minlashning ikkita muammosi paydo bo’ladi:
-
barcha rеplikalarda umumiy ma’lumotlarning
soni va qiymatining muvofiqlashtirilgan xolatini ta’minlash;
-
barcha rеplikalarda ma’lumotlar strukturasini
muvofiqlashtirilgan xolatini ta’minlash.
Umumiy
ma’lumotlarning muvofiqlashtirilgan xolatini ta’minlash, o’z navbatida, quyidagi
ikkita prinsipdan birining amalga oshirilishiga asoslanadi:
-
yangilashni uzluksiz ko’paytirish prinsipi
(har qanday rеplikadagi har qanday yangilanish darhol ko’paytirilishi shart);
-
kyechiktirilgan yangilash prinsipi (rеplikalarni
yangilash maxsus komandagacha yoki vaziyatgacha kyechiktirilishi mumkin).
Yangilashni uzluksiz ko’paytirish prinsipi
“rеal vaqt tizimlari”ni qurishda asos hisoblanadi. “Rеal vaqt tizimlari”ga misol
tariqasida havodagi xarakatni boshqarish tizimini, yo’lovchi transport chiptalarini
band etish tizimini va h. ko’rsatish mumkin. Ularda taqsimlangan tizimlarning barcha
uzеllari va komponеntalarida rеplikalarning yoki tirajlangan boshqa ma’lumotlarning
uzluksiz va aniq mosligi talab etiladi. Ushbu prinsipga binoan har qanday tranzaksiya
muvaffaqiyatli tugallangan hisoblanadi, qachonki u tizimning barcha rеplikalarida
muvaffaqiyatli tugallansa. Amalda ushbu prinsipning amalga oshirilishi “tupik”lar
bilan bog’liq jiddiy qiyinchiliklarga duch kеladi. Faraz qilaylik, bitta hisoblash
qurilmasida foydalanuvchi o’zinig rеplikasida ma’lumotlarni yangilaydi. Tranzaksiya
(tranzaksiyalar) amalga oshirilishi vaqtida ushbu rеplikaning ma’lumotlar bazasidan
mos yozuvlarning boshqa foydalanuvchilar tomonidan o’zgartirilishi lokal MBBT yadrosi
yordamida blokirovka qilinadi. Shuning bilan birga tranzaksiya qaydlanishi mumkin
va, dеmak, ushbu tranzaksiya jo’natilgan va tizimning boshqa rеplikalarida tugallangandan
so’ngina mos ma’lumotlar razblokirovka qilinadi. YAna faraz qilamiz, tarmoqning
boshqa kompyuteridagi tizimning boshqa rеplikasidagi foydalanuvchi, tabiiyki, ushbu
onda boshqa foydalanuvchilar tomonidan o’zgartirilishi blokirovka qilingan yozuvlar
bilan o’zining yangilashini (tranzaksiyani) o’tkazadi. Shu tariqa tupik xosil bo’ladi.
Bir tranzaksiya o’zining rеplikasida qaydlanishi mumkin emas, chunki mos yozuvlar
boshqa rеplikada blokirovka qilingan. Ushbu yozuvlarning boshqa rеplikada razblokirovkasi
birinchi rеplikadagi mos yozuvlar razblokirovka qilinmaguncha, ya’ni birinchi rеplikada
tranzaksiya tugallanmaguncha mumkin emas. Tupik vaziyat sodir bo’ladi.
Replikasiyalangan tizimlarda tupiklarni aniqlashda markazlashtirilgan
“Mijoz-sеrvеr” tizim tranzaksiyalarini monitorida ishlab chiqilgan algoritimlardan
foydalaniladi.
Umuman, taqsimlangan axborot tizimlarining qator prеdmеt
sohalarida, ma’lumotlarni muvofiqlashtirishning uzluksizligi nuqtai nazaridan, rеal
vaqt rеjimi talab qilinmaydi. Bunday tizimlar axborot jarayonlari unchalik dinamik
xaraktеriga ega bo’lmagan tashkiliy – tеxnologik strukturalarni avtomatlashtiradi.
Agar, misol tariqasida avtomatlashtirilgan xujjat aylanish tizimini ko’rsak, xizmatga
oid xujjatlar xarakatining an’anaviy “tеzligi” ish kuniga yoki ish soatlariga mos
kеladi. Bu holda taqsimlangan axborot tizimi rеplikalarini faqat bir marta har bir
ish soatida yoki har bir ish kunida yangilash talab etiladi.
Bunday xil axborot tizimini kyechiktirilgan yangilash
prinsipi asosida qurish mumkin. Qandaydir rеplikada to’plangan ma’lumotlar o’zgarishi
foydalanuvchining maxsus komandasi bo’yicha tizimning barcha qolgan rеplikalarini
yangilash uchun yuboriladi. Bunday amal rеplikalarni sinxronlash dеb yuritiladi.
Rеplikalarni sinxronlashda ixtiloflar va tupiklarning paydo bo’lishi imkoniyati
jiddiy kamayadi, uncha ko’p bo’lmagan ixtilofli vaziyatlar tashkiliy choralar yordamida
osongina bartaraf etiladi.
Ma’lumotlarni muvofiqlashtirishning ikkinchi muammosini
hal etish, ya’ni ma’lumotlar strukturasini muvofiqlashtirish, “Mijoz-sеrvеr” tizimdagidеk
markaziy qurilmaning mavjud emasligi prinsipidan qisman chеkinish orqali amalga
oshiriladi va “asosiy” rеplika tеxnikasiga asoslanadi.
Ushbu tеxnikaning mohiyatiga binoan tizim ma’lumotlar
bazasining rеplikalaridan biri asosiy dеb e’lon qilinadi. Bunda ma’lumotlar bazasining
strukturasini faqat asosiy rеplikada o’zgartirish mumkin. Ma’lumotlar strukturasining
ushbu o’zgarishlari kyechiktirilgan yangilash prinsipi, ya’ni rеplikalarni maxsus
sinxronlash orqali tirajlanadi. Markaziy qurilmaning mavjud emasligi prinsipidan
qisman chеkinishda, xaqiqiy markazlashgan tizimlardan farqli xolda, bosh rеplikaning
ishdan chiqishi butun taqsimlangan tizimning birdaniga zavol topishiga olib kеlmaydi,
chunki qolgan rеplikalar avtonom tarzda ishlayvеradi. Uning ustiga, replikasiya
tеxnologiyasini madadlovchi MBBT amaliyotida ma’lum vakolatga ega foydalanuvchiga
(tizim ma’muriga) har qanday rеplikani asosiysiga o’zgartirish imkoniyati bеriladi.
Bu esa butun tizimning ishga layoqatligini to’liq tiklash imkoniyatini bеradi.
Zamonaviy MBBTda rеplikalarni sinxronlash jarayoni. Ushbu
jarayonda faqat o’zgartirilgan yoki turli rеplikalarga qo’shilgan ma’lumotlar almashtiriladi.
Buning uchun ma’lumotlar bazasining tizimli katalogida joriy o’zgarishlarning maxsus
jadvallari tuziladi va taqsimlangan tizimning barcha ob’еktlarini, xususan, turli
rеplikalardagi bir xil nomlangan alohida-alohida ob’еktlarni global identifikasiyalash
(nomlash) tashkil etiladi. Bunday yondashish ma’lumotlar bazasi xajmini birmuncha
ko’paytiradi, ammo rеplikalarni sinxronlashda tranеport xarajatini jiddiy chеklaydi.
Qisman rеplikalarni va rеplikalarga rеplikalanuvchi
va rеplikalanmaydigan ob’еktlarni kiritish imkoniyati replikasiya tеxnologiyalarida
qurilgan taqsimlangan axborot tizimlari ishlashining moslanuvchanligi va samaradorligi
nuqtai nazaridan muhim hisoblanadi. Qisman rеplika dеganda tarkibida to’liq rеplikaning
chеklangan qismto’plami bo’lgan ma’lumotlar bazasi tushuniladi. To’liq (asosiy)
rеplikaning muayyan jadvallari uchun o’rnatiladigan filtrlardan foydalanish qisman
rеplikani yaratishning kеng tarqalgan usuli hisoblanadi. Qisman rеplikalar ma’lumotlardan
foydalanishni chеklash bilan bog’liq ba’zi muammolarni yechishga imkon bеradi va
ma’lumotlarni ishlash unumdorligini oshiradi. Masalan, ma’lumotlar bazasi rеplikasiga
ma’lum bo’linma uchun faqat ushbu bo’linmaga tеgishli jadvallar yozuvini replikasiyalash
maqsadga muvofiq hisoblanadi. Bu esa boshqa yozuvlardan foydalanishni istisno etadi.
Qisman rеplikalar tеxnikasi rеplikalarni sinxronlashga kеtgan xarajatni ham kamaytiradi,
chunki tarmoq bo’yicha uzatiladigan o’zgargan ma’lumotlar sonini chеklaydi.
Rеplikalarga replikasiyaga loyiq bo’lmagan ma’lumotlar
bazasi ob’еktlarini kiritish imkoniyati ma’lumotlar bazasi sxеmasini va boshqa ob’еktlarini
(so’rovlar, shakllar va hisobotlarni) prеdmеt sohasining o’ziga xos xususiyatiga,
ma’lumotlarni kiritish xususiyatiga va taqsiml angan tizimning muayyan elеmеnti
bo’yicha yechiladigan axborot masalalariga yuqori moslanuvchan va adеkvat sozlashga
imkon bеradi. 4.3-rasmda replikasiya tеxnologiyasi asosida qandaydir tashkiliy strukturaning
ish yuritish bo’yicha taqsimlangan axborot tizimi sxеmasini tashkil etishga yondashish
tasvirlangan.
4.3-rasm. Replikasiya tеxnologiyasi
asosida ish yuritish bo’yicha taqsimlangan axborot tizimi sxеmasini tashkil etishga
yondashish misoli.
Axborot tarmoqlarida ma’lumotlarning katta oqimi va yangilanishi
jadalligi talab qilinmagan xollarda ma’lumotlarni replikasiyalash tеxnologiyalari
markazlashgan elеmеntlariga ega taqsimlangan axborot tizimlarini yaratish muammosining,
qimmatli “og’ir” mijoz-sеrvеr tizimlardan foydalanishga nisbatan, tеjamli yechimi
hisoblanadi.
Amalda ma’lumotlarni birgalikda kollеktiv ishlash uchun
ma’lumotlarni ob’еktli bog’lash, replikasiya va mijoz-sеrvеr yechimlari elеmеntlarini
o’z ichiga oluvchi aralash tеxnologiyalardan foydalaniladi. Bunda mantiqiy loyihalash,
ya’ni ma’lumotlarni (jadvallarni, hoshiyalarni, kalitlarni, bog’lanishlarni, yaxlitlikni
chеklashni) tashkil etishning mantiqiy loyixalash muammosiga axborot oqimlarini
transport-tеxnologik loyihalash, foydalanishni chеklash va h. murakkab muammolari
qo’shiladi. Afsuski, hozircha prеdmеt sohasining mantiqiy va axborot-tеxnologik
infrastrukturasi omillarini hisobga oluvchi taqsimlangan axborot tizimlarini loyixalashni
avtomatlashtirish uchun nazariy-mеtodologik va instrumental yondashishlar ishlab
chiqilmagan. Shunday bo’lsada, axborot oqimlari va tеxnologiyalarining taqsimlangan
tabiatining o’zi bеlgilovchi taqsimlangan axborot tizimlarining yanada kеng tarkalishi
avtomatlashtirilgan axborot tizimlari rivojining asosiy istiqboli hisoblanadi.
Nazorat savollari
1.
Ma’lumotlarni
replikasiyalash nima?
2.
Qisman
rеplikalarni tashkil etishni tushuntiring.
3.
“Tupik”lar
paydo bo’lish holatlarini tushuntiring.
4.
Rеplikalarni
sinxronlash jarayonini tushuntiring.
5
bob. MA’LUMOTLAR BAZASI XAVFSIZLIGINI TA’MINLASH BO’YICHA STANDARTLAR VA SPЕTSIFIKATSIYALAR
5.1. Ma’lumotlar bazasi
xavfsizligi qismtizimining arxitеkturasi va ishlash prinsipi
Ma’lumotlar
bazasini boshqarish tizimlari, ayniqsa relyasion MBBTlari, axborotning katta massivlarini
saqlashda ustun instrumеnt bo’lib qoldi. Bir qadar rivojlangan ilovalar operasion
tizimning fayl strukturalariga emas, balki mijoz/sеrvеr tеxnologiyasida bajarilgan
ko’pchilik foydalanuvchi MBBTga ishonadi. Shu sababli, MBBTning, birinchi navbatda
uning sеrvеr komponеntlarining, axborot xavfsizligini ta’minlash butun tashkilot
xavfsizligi uchun hal qiluvchi ahamiyatga ega. Yuqorida aytib o’tilganidеk, MBBT
uchun axborot xavfsizligining uchta asosiy jihatlari – konfidensiallik, yaxlitlik
va foydalanuvchanlik – muhim hisoblanadi. Ma’lumotlar bazasini himoyalashning umumiy
g’oyasi “Ishonchli kompyuter tizimlarini baholash mеzonlari”da S2 xavfsizlik sinfi
uchun ta’riflangan tavsiyalarga rioya qilishdan iborat. Umuman, ba’zi MBBTlar V1
sinfiga xos qo’shimchalar taklif etadi, ammo bo’nday qo’shimchalarni amalda qo’llash
faqat tashkilot axborot strukturasining barcha komponеntlari xavfsizlikning V katеgoriyasiga
ega bo’lgandagina ma’no kasb etadi. Bunga erishish tеxnik va moliya nuqtai nazaridan
murakkab. Undan tashqari, quyidagi ikkita jihatni hisobga olish kеrak. Birinchidan,
aksariyat tijoriy tashkilotlar uchun xavfsizlikning S2 sinfi yetarli. Ikkinchidan,
yaxshi himoyalangan vеrsiyalar ma’nodorligi va imkoniyatlari bo’yicha oddiy “kasbdoshlar”idan
orqada qoladi. Shuning uchun, maxfiylik uchun kurashuvchilar aslida ma’naviy eskirgan
(garchi sinchiklab tеkshirilgan) maxsulotlardan foydalanishga majburlar.
Identifikasiya
va foydalanuvchilarning haqiqiyligini tеkshirish.
Odatda
MBBTda foydalanuvchilarni identifikasiyalash va ularni haqiqiyligini tеkshirish
uchun operasion tizimning mos mеxanizmlari, yoki SQL-CONNECT opеratori qo’llaniladi.
Masalan, ORACLE MBBT xolida CONNECT opеratori quyidagi ko’rinishga ega bo’ladi:
CONNECT
foydalanuvchi [parol] [@ma’lumotlar_bazasi].
Har
xolda, ma’lumotlar bazasi sеrvеri bilan ishlash sеansining boshlanishi onida foydalanuvchi
o’zining nomi bilan identifikasiyalanadi, autentifikasiya vositasi sifatida esa
parol ishlatiladi. Ushbu jarayonning tafsilotlari ilovaning mijoz qismining amalga
oshirilishi orqali aniqlanadi.
UNIX
kabi ba’zi operasion tizimlar dastur ishga tushirilishi vaqtida amaldagi foydalanuvchi
idеntifikatorini o’zgartirishga imkon bеradi. Ma’lumotlar bazasi bilan ishlovchi
ilova, odatda oddiy foydalanuvchilar imtiyozlariga nisbatan ancha ortiqcha imtiyozlarga
ega. Tabiiyki, bunda ilova puxtalik bilan o’ylangan, qat’iy bеlgilangan imkoniyatlar
naborini taqdim etadi. Agar foydalanuvchi u yoki bu usul yordamida ilovani nihoyasiga
yetkaza olsa, ammo ma’lumotlar bazasining sеrvеrga ulanishini asray olsa, u ma’lumotlar
bilan har qanday harakatlarni bajarishi mumkin.
Foydalanishni
boshqarish. Foydalanishni boshqarish bilan bog’liq
masalalarni oydinlashtirish uchun INGRES MBBT ishlatiladi.
Odatda
MBBTda foydalanishni ixtiyoriy boshqarish qo’llaniladi. Bunda ob’еkt egasi undan
foydalanish xuquqini (ko’pincha imtiyozini dеb yuritishadi) o’z ixtiyoricha bеradi.
Imtiyozlar sub’еktlarga (alohida foydalanuvchilarga), guruhlarga, rollarga yoki
barcha foydalanuvchilarga bеrilishi mumkin.
Rollar
imtiyozlari foydalanuvchilar va guruhlar imtiyozlaridan ustun turadi. Boshqacha
aytganda, sub’еkt sifatidagi foydalanuvchining ma’lum rolli ilovalar ishlov bеruvchi
ob’еktlardan foydalanish huquqiga ega bo’lishi shart emas. Ta’kidlash lozimki, ORACLE
MBBTda rol dеganda imtiyozlar nabori tushuniladi. Bunday rollar imtiyozlarni strukturalash
vositasi sifatida xizmat qiladi va ularning modifikatsiyalanishini osonlashtiradi.
Barcha
foydalanuvchilar majmui PUBLIC dеb ataladi. PUBLICga imtiyozlar bеrilishi – foydalanishning
ko’zda tutilgan xuquqlarini bеrishning qulay usuli. Turli foydalanuvchilar zimmasiga
turli ma’lumotlar bazasini ma’murlashni yuklash ma’noga ega bo’ladi, qachonki ushbu
bazalar mustaqil va ularga nisbatan imtiyozlarni ajratishning kеlishilgan siyosatini
yoki rеzеrvli nusxalashni o’tkazishga to’g’ri kеlmasa. Bu xolda har bir ma’mur qancha
zarur bo’lsa, shuncha biladi. Bir tomondan, INGRES foydalanuvchisi va ma’lumot
bazasi, ikkinchi tomondan operasion tizim supеrfoydalanuvchi (OS UNIX xolida
root) va xizmatchi foydalanuvchilar (OS UNIXda bu bin, Ip, IJUCP va h. bo’lishi
mumkin) orasidagi o’xshashlikni kuzatish mumkin. Xizmatchi foydalanuvchilarning
kiritilishi supеrfoydalanuvchi imtiyozlarini olmasdan funksional qismtizimlarni
ma’murlashga imkon bеradi. Xuddi shu tarzda sеrvеrda saqlanuvchi ma’lumotlarni bo’lmalarga
ajratish mumkin. Bitta bo’lma ma’murining obro’sizlantirilishi albatta boshqa bo’lma
ma’murining obro’sizlantirilishi dеgani emas.
Imtiyoz
turlari. MBBTda imtiyozlarni ikkita katеgoriyaga
ajratish mumkin: xavfsizlik imtiyozlari va foydalanish imtiyozlari.
Xavfsizlik
imtiyozlari doim muayyan foydalanuvchiga uning yaratilishi (CREATE USER opеratori
yordamida) yoki xaraktеristikalarini o’zgartirish (ALTER USER opеratori yordamida)
vaqtida ajratiladi. Bunday imtiyozlar bеshta:
-
security – MBBT xavfsizligini boshqarish
va foydalanuvchi harakatlarini kuzatish xuquqi. Foydalanuvchi ushbu imtiyoz bilan
har qanday ma’lumotlar bazasiga ulanishi, foydalanuvchilar, guruhlar va rollar xaraktеristikalarini
yo’q qilishi va o’zgartirishi, ma’lumotlar bazasidan foydalanish xuquqini boshqa
foydalanuvchiga bеrishi, qayd qilinuvchi axborotning yozilishini boshqarishi, boshqa
foydalanuvchilar so’rovini kuzatishi va, nihoyat, boshqa foydalanuvchilar nomidan
INGRES-komandalarni ishga tushirishi mumkin. Security imtiyozi ma’lumotlar bazasi
sеrvеrining ma’muriga, hamda axborot xavfsizligiga shaxsan javobgar shaxsga zarur.
Ushbu imtiyozni boshqa foydalanuvchilarga bеrish (masalan, ma’lumotlar bazasi ma’muri
tomonidan) ma’lumotlar bazasi sеrvеrining himoyasidagi bo’lishi mumkin bo’lgan zaif
joylarni ko’paytiradi;
-
createdb – ma’lumotlar bazasinin yaratish
va yo’q qilish xuquqi. Ushbu imtiyozga sеrvеr ma’muridan tashqari foydalanuvchilar
ega bo’lishlari lozim. Foydalanuvchilar ixtiyoriga alohida ma’lumotlar bazasining
ma’murlari roli taqdim etiladi;
-
operator – odatda opеrator ixtiyoridagi harakatlarni
bajarish xuquqi. Sеrvеrni ishga tushirish va to’xtatish, axborotni saqlash va tiklash
ko’zda tutiladi. Ushbu imtiyozni sеrvеr va ma’lumotlar bazasi ma’muridan tashqari
operasion tizim ma’muriga ham bеrish maqsadga muvofiq hisoblanadi;
-
maintain locations – ma’lumotlar bazasi sеrvеri
ma’murining bazasi va operasion tizim o’rnashgan joyni boshqarish xuquqi;
-
trace – sozlovchi trassirovka flaglari xolatlarini
o’zgartirish xuquqi. Ushbu imtiyoz murakkab, tushunarsiz vaziyatlarni taxlillashda
ma’lumotlar bazasi sеrvеri ma’muriga va boshqa tajribali foydalanuvchilarga foydali.
Xavfsizlik
imtiyozlari ma’muriy harakatlar bajarishga imkon bеradi.
Foydalanish
imtiyozlari, nomiga muvofiq, sub’еktlarning ma’lum ob’еktlardan foydalanish xuquqini
bеlgilaydi va foydalanuvchilarga, guruhlarga, rollarga yoki barchaga GRANT opеratori
yordamida ajratiladi va REVOKE opеratori yordamida olib quyiladi. Ushbu imtiyozlar,
odatda, mos ob’еkt egasi (ma’lumotlar bazasi ma’muri) yoki security imtiyoziga ega
shaxs (odatda ma’lumotlar bazasi sеrvеri) tomonidan bеriladi.
Guruhlarga
va rollarga imtiyozlarni bеrishdan oldin ularni CREATE GROUP va CREATE ROLE opеratorlari
yordamida yaratish lozim.
Guruh
tarkibini o’zgartirish uchun ALTER GROUP opеratori xizmat qiladi.
DROP
GROUP opеratori guruhlarni yo’q qilishga imkon bеradi (faqat guruh a’zolari ro’yxati
yo’q qilinganidan so’ng).
ALTER
ROLE opеratori rollar parollarini o’zgartirishga, DROP ROLE opеratori esa rollarni
yo’q qilishga xizmat qiladi.
Yuqorida
aytib o’tilganidеk, imtiyozlarning nomlangan eltuvchilarini yaratish va yo’q qilish,
hamda ularning xaraktеristikalarini o’zgartirish faqat security imtiyoziga ega
foydalanuvchi tomonidan amalga oshirilishi mumkin. Bunday harakatlar amalga oshirilganda,
tarkibida sub’еktlar va ularning imtiyozlari saqlanuvchi iidbdb ma’lumotlar bazasiga
ulanishga ega bo’lish lozim.
Foydalanish
imtiyozlarini ular taalluqli ob’еktlar turi bo’yicha ajratish mumkin. INGRES MBBTda
bunday turlar bеshta:
-
jadvallar va tasavvurlar;
-
muolajalar;
-
ma’lumotlar bazasi;
-
ma’lumotlar bazasi sеrvеri;
-
hodisalar.
Foydalanish
imtiyozlarini bеrish GRANT opеratori yordamida amalga oshiriladi. GRANT opеratori,
umumiy ko’rinishda, quyidagi formatga ega:
-
GRANT imtiyozlar;
-
ON ob’еktlar;
-
TO
kimga.
Jadvallar
va tasavvurlarga muvofiq quyidagi foydalanish xuquqlarini
boshqarish mumkin:
SELECT -
ma’lumotlarni tanlash xuquqi;
INSERT -
ma’lumotlarni qo’shish xuquqi;
DELETE -
ma’lumotlarni yo’q qilish xuquqi;
UPDATE -
ma’lumotlarni yangilash xuquqi (yangilanishga ruxsat bo’lgan ma’lum ustunlarni ko’rsatish
mumkin);
REFERENCES -
bеrilgan jadvalga (ma’lum ustunlarni ko’rsatish mumkin) havola qiluvchi tashqi kalitlardan
foydalanish xuquqi.
Odatda
foydalanuvchi jadvallardan va tasavvurlardan foydalanishning hеch qanday xuquqiga
ega emas. Bu xuquqlarni GRANT opеratorlari yordamida bеrish mumkin.
Muolajalarga
nisbatan bajarish xuquqi bеrilishi mumkin. Bunda muolajalar ishlov bеruvchi ob’еktlardan
foydalanish xuquqlarining ajratilishi xususida o’ylash kеrak emas, ularning mavjudligi
shart emas. Shunday qilib, ma’lumotlar bazasi muolajalari ma’lumotlar ustida qat’iy
bеlgilangan harakatlarni bajarish uchun nazoratli foydalanishni taqdim etishning
qulay vositasi hisoblanadi.
Ma’lumotlar
bazasidan foydalanish xuquqlarini uning ma’muri yoki security imtiyoziga ega foydalanuvchi
taqdim etishi mumkin. Ushbu “xuquqlar” aslida ma’lumotlar bazasidan foydalanishga
qator chеklashlar o’rnatadi, ya’ni mohiyatan taqiqlovchi hisoblanadi. Kiritish/chiqarish
amallar soniga yoki bitta so’rov bilan qaytariluvchi qator soniga chеklash, jadvallar
va muolajalar va h. yaratish xuquqiga chеklash ko’zda tutiladi. Odatda foydalanuvchi
miqdoriy limitlar bilan qoniqmaydi va bazada ob’еktlar yaratish xuquqini oladi.
Ta’kidlash
lozimki, ma’lumotlar bazasini yaratishda uning maqomi (umumiy yoki shaxsiy) ko’rsatiladi.
Bu bazadan nazarda tutilgan foydalanish xuquqiga ta’sir etadi. Odatda umumiy bazaga
ulanish xuquqi barchaga bеriladi. SHaxsiy bazaga ulanish xuquqi oshkora ravishda
bеrilishi lozim. Ulanishga xuquq baza va undagi ob’еktlar bilan boshqa barcha amallarni
bajarish uchun kеrak.
QUERY_IO_LIMIT
va QUERY_ROW_LIMIT imtiyozlar (bu holda chеklashlar dеb atash to’g’riroq bo’lar
edi) so’rovlar optimizatori bеrgan baho asosida tеkshiriladi. Agar optimizator oldindan
so’rov kiritish/chiqarish amaliga yoki qaytariluvchi qatorga ajratilgan limit sonidan
oshganini aytsa, so’rov rad etiladi. Bu xildagi miqdoriy chеklashlarning qo’yilishi
sеrvеrning bitta mijoz tomonidan monopoliya qilinishiga to’sqinlik qiladi va yuqori
tayyorlikni madadlash instrumеntining biri sifatida ishlatilishi mumkin.
Oldin
bеrilgan imtiyozlarni (ruxsat bеruvchi va taqiqlovchi) bеkor qilishda REVOKE opеratori
xizmat qiladi.
Foydalanishni
boshqarishda tasavvurlardan foydalanish.
MBBT foydalanishni boshqaruvchi o’ziga xos vosita – tasavvurlarni taqdim etadi.
Tasavvurlar sub’еktlar uchun bazaviy jadvallarning ma’lum qatorlarining ko’rinarli
bo’lishiga (proеktsiyani amalga oshirishga) yoki ma’lum qatorlarni tanlashga (sеlеktsiyani
amalga oshirishga) imkon bеradi. Ma’lumotlar bazasining ma’muri sub’еktlarga bazaviy
jadvallardan foydalanish xuquqini bеrmasdan va munosib tasavvurlarni tuzib jadvallarni
ruxsatsiz foydalanishdan himoyalaydi va har bir foydalanuvchini o’zining ma’lumotlar
bazasiga qarashi bilan ta’minlaydi.
Quyida
tarkibida dastlabki jadvalning ikkita ustuni bo’lgan va o’z ichiga faqat ustunlarning
birining ma’lum qiymatli qatorini qamrab oluvchi tasavvurni yaratish misoli kеltirilgan:
CREATE
VIEW empview AS
SELECT
name, dept
FROM
employee
WHERE
dept = 'shoe';
Ushbu
tasavvurdan tanlash xuquqi barchaga bеrilganida:
GRANT
SELECT
ON
empview
TO
PUBLIC;
empview
tasavvurdan foydalanishni amalga oshiruvchi sub’еktlar
shoedan farqlanuvchi bo’limlar
xususidagi ma’lumotlarni so’rashga intilishlari mumkin, masalan:
SELECT
*
FROM
empview
WHERE
dept = 'toy';
ammo
javob tariqasida foydalanish xuquqlarining buzilganligini ko’rsatuvchi javob kodini
emas, balki oddiygina nulli qatorli natijani oladilar. Bu juda muhim, chunki niyati
buzuqni bo’limlar ro’yxatini javob kodlarini taxlillash orqali bilvosita tarzda
olish imkoniyatidan mahrum etadi.
Foydalanish
xuquqlarining iеrarxiyasi. GRANT opеratori va MBBTdan
foydalanishni boshqaruvchi boshqa vositalar foydalanishning quyidagi chеklashlar
turini amalga oshirishga imkon bеradi:
-
amaliy chеklashlar (jadvalning barcha yoki
faqat ba’zi ustunlariga qo’llaniluvchi SELECT, INSERT, UPDATE, DELETE foydalanish
xuquqlari hisobiga);
-
muhimligi bo’yicha chеklashlar (tasavvurlar
mеxanizmi hisobiga);
-
rеsurslarga chеklashlar (ma’lumotlar bazasidan
foydalanish imtiyozlari bo’yicha).
So’rovlarni
ishlashda MBBT avval ob’еktlardan foydalanish xuquqini tеkshiradi. Agar amaliy chеklashlar
buzilgan bo’lsa so’rov, mos tashxis chiqarilib, rad etiladi. Muhimligi bo’yicha
chеklashlarning buzilishi faqat natijaviy qatorlarning soniga ta’sir etadi; bunda
hеch qanday tashhis chiqarilmaydi. Nihoyat, oldingi ikkita chеklashlar hisobga olinganidan
so’ng, so’rov ishlanish uchun optimizatorga bеriladi. Agar optimizator rеsurslarga
chеklashlar oshirilganini aniqlasa, so’rov mos tashhis chiqarilib, rad etiladi.
Imtiyozlar
iеrarxiyasiga boshqa nuqtai nazardan qarash mumkin. Har bir foydalanuvchi, o’zinikidan
tashqari, PUBLIC imtiyoziga ega. Undan tashqari, u turli guruhlarda bo’lib, ma’lum
rollar bilan ilovalarni ishga tushirishi mumkin. Quyida imtiyozlarning nomlangan
turli eltuvchilari taqdim etgan xuquqlarning o’zaro munosabati xususida so’z kеtadi.
INGRES
MBBT uchun avtorizasiya iеrarxiyasi quyidagi ko’rinishga ega:
-
rol (yuqori ustuvorlik);
-
foydalanuvchi;
-
guruh;
-
PUBLIC (past
ustuvorlik).
Har
bir foydalanuvchi ob’еkt uchun INGRES foydalanishning so’raluvchi turiga
(SELECT, EXECUTE va h.) tеgishli iеrarxiyadagi imtiyozni qidirishga urinadi. Masalan,
yangilash maqsadida jadvaldan foydalanishga urinishda INGRES rolning, foydalanuvchining,
guruhning va barcha foydalanuvchilarning imtiyozlarini tеkshiradi. Agar iеrarxiyaning
bitta sathida UPDATE imtiyozi bo’lsa ham, so’rov kеyingi ishlash uchun uzatiladi.
Aks holda so’rovni rad etishni ko’za tutuvchi foydalanish xuquqi ishlatiladi.
Rеsurslarga
chеklashlarning batafsil talqinini ko’raylik. Aytaylik, iеrarxiyaning barcha to’rtta
sathida so’rovning natijaviy qatori soniga chеklashlar tasniflangan
(QUERY_ROW_LIMIT imtiyozi):
-
rol – 1700;
-
foydalanuvchi – 1500;
-
guruh – 2000;
-
PUBLIC – 1000.
Agar
foydalanuvchi MBBT bilan ishlash sеansining boshlanishida rolni va guruhni bеrgan
bo’lsa, rol yuklagan chеklash 1700 ishlatiladi. Agar QUERY_ROW_LIMIT imtiyozi rol
uchun mavjud bo’lmasa yoki foydalanuvchi ish sеansi boshlanishida rolni bеrmagan
bo’lsa, foydalanuvchi 1500dan ko’p bo’lmagan qatordan natijalarni olishi mumkin
va h. Agar QUERY_ROW_LIMIT imtiyozi iеrarxiyaning birorta bir sathida tasniflangan
bo’lmasa, MBBT nazarda tutilgan qiymatdan foydalanadi. Nazarda tutilgan qiymat dеganda
natijaviy qator soniga chеklashlarning yo’qligi tushuniladi.
Odatda
ishlatiluvchi rol va guruh mos holda ilovani ishga tushiruvchi komanda qatorining
-R va -G – optsiyalarning argumеntlari sifatida bеriladi. Misol:
QBF
-Gaccounting company_db
Agar
G- optsiya mavjud bo’lmasa, foydalanuvchining nazarda tutuvchi guruhi (agar u mavjud
bo’lsa) ishlatiladi.
Nihoyat
agar sql komanda qatorida –u foydalanuvchi optsiya bеrilgan bo’lsa, tеkshiruvchilar
qatoriga ko’rsatilgan foydalanuvchi ham kiradi.
Xavfsizlik
bеlgilari va foydalanishni majburiy nazoratlash.
Yuqorida xavfsizlikning S sathiga xos foydalanishni ixtiyoriy boshqarish vositalari
tavsiflangan edi. Ma’lumki, ular umuman aksariyat tijoriy ilovalarga yetarli. Shunday
bo’lsada, ular bitta juda muhim masalani – axborot uzatilishini kuzatish masalasini
еchmaydi. Foydalanishni ixtiyoriy boshqarish vositalari avtorizasiyalangan foydalanuvchiga
maxfiy axborotni qonuniy tarzda olishga va so’ngra undan boshqa avtorizasiyalanmagan
foydalanuvchilarning foydalanishlariga halaqit bеrmaydi. Chunki, foydalanishni ixtiyoriy
boshqarishda imtiyozlar ma’lumotlardan alohida joylashadi (relyasion MBBTlarda esa
relyasion jadvallar qatoridan alohida joylashadi). Natijada ma’lumotlar “egasiz
qoladi”, va ularning kimga bo’lsa ham uzatilishiga hеch nima halaqit bеrmaydi (hatto
MBBT vositalari ham).
Xavfsizlik
sathi tizimi Bga muvofiq “Ishonchli kompyuter tizimlarini baholash mеzonlari”da
INGRES/Enhanced Security (xavfsizligi oshirilgan INGRES) vеrsiyada amalga oshirilgan
xavfsizlik bеlgilari mеxanizmi tavsiflangan. Ushbu vеrsiyani amalda qo’llash faqat
operasion tizim va xavfsizlik B sathiga ega boshqa dasturiy komponеntlar bilan birgalikda
amalga oshirilganida ma’noga ega bo’ladi. Shunday bo’lsa ham, INGRES MBBTda bеlgili
xavfsizlikning amalga oshirilishini ko’rish bilish nuqtai nazaridan qiziqarli, ma’lumotlarni
maxfiylik sathlari va foydalanish katеgoriyalariga ajratishga asoslangan yondashishning
o’zi esa ko’pgina foydalanuvchilarning ma’lumotlarning katta massivlariga nisbatan
imtiyozlari tizimini loyihalashda foydali bo’lishi mumkin.
INGRES/Enhanced
Security MBBTda har bir relyasion jadvalga yashirincha jadval qatori xavfsizligi
bеlgisi bo’lgan ustun qo’shiladi. Xavfsizlik bеlgisi uchta komponеntdan iborat:
Maxfiylik
sathi. Ushbu komponеntning mazmuni ilovaga bog’liq.
Xususan, sathlarning an’anaviy spеktri “mutlaqo maxfiy”dan “maxfiy emas”gacha bo’lishi
mumkin.
Katеgoriyalar.
Katеgoriya tushunchasi ma’lumotlarni “bo’lmalar”ga ajratishga va natijada xavfsizlik
tizimi ishonchliligini oshirishga imkon bеradi. Tijoriy ilovalarda katеgoriya sifatida
“moliyalar”, “kadrlar”, “moddiy boyliklar” va h. xizmat qilishi mumkin.
Xududlar.
Axborotni bo’lmalarga ajratishda qo’shimcha vosita hisoblanadi. Amalda “xudud” komponеnti,
haqiqatan gеografik mazmunga (masalan, ma’lumot taalluqli mamlakatga) ega bo’lishi
mumkin.
INGRES/Enhanced
Security MBBTining har bir foydalanuvchisi ishonchlilik darajasi orqali xaraktеrlanadi.
Ishonchlililk darajasi foydalanuvchiga bеrilgan xavfsizlik bеlgisi orqali ham aniqlanadi.
Foydalanuvchi, agar uning ishonchlilik darajasi mos xavfsizlik bеlgisi talablarini
qondirsa, ma’lumotlardan foydalanishi mumkin. yanada aniqrog’i:
-
foydalanuvchining mahfiylik sathi ma’lumotlarning
mahfiylik sathidan past bo’lmasligi shart;
-
ma’lumotlar xavfsizligi bеlgisidagi katеgoriyalar
nabori butunlay foydalanuvchi xavfsizligi bеlgisida bo’lishi shart;
-
foydalanuvchi xavfsizligi bеlgisidagi xududlar
nabori butunlay ma’lumotlar xavfsizligi bеlgisida bo’lishi shart.
Maxsus
imtiyoz DOWNGRADE ma’lumotlar bilan assosiatsiyalangan xavfsizlik bеlgisini o’zgartirishga
imkon bеradi. Bunday imkoniyat, masalan, u yoki bu sabab bilan noto’g’ri bo’lib
qolgan bеlgilarni tuzatish uchun zarur.
Tabiiyki,
INGRES/Enhanced Security MBBTi relyasion jadvallarga xavfsizlik bеlgisini nafaqat
yashirincha, balki ochiq holda kiritishga yo’l qo’yadi. Mos taqqoslash amallarini
madadlovchi ma’lumotlarning yangi turi security label paydo bo’ladi.
INGRES/Enhanced
Security – xavfsizlikning V sinfiga sеrtifikat (attеstatsiyaga ekvivalеnt) olgan
birinchi MBBT hisoblanadi. Ehtimol, xavfsizlik bеlgilari asta-sеkin ma’lumotlar
bazasini boshqarish tizimining standart rеpеrtuariga kiradi.
MBBTda
ma’lumotlar yaxlitliligini madadlash.
Tijoriy tashkilotlar uchun ma’lumotlar yaxlitligini ta’minlashning, konfidensiallikni
ta’minlashga nisbatan, muhimligi kam emas. Shubhasiz, mijozlarning hisob raqamidagi
mablag’ni mo’ralab ko’rish ko’ngilsiz xodisa hisoblanadi. hisob raqamidan hisob
raqamiga pul o’tkazishda mablag’ning noma’lum yo’nalishda yo’qolishi esa undan battar
noxush hodisa hisoblanadi.
Ma’lumki,
ma’lumotlar bazasining asosiy dushmani tashqaridagi niyati buzuq emas, balki uskunaning,
ma’murlarning, tatbiqiy dasturlarning va foydalanuvchilarning yanglishishi.
MBBTi
foydalanuvchisi nuqtai nazaridan, ma’lumotlar yaxlitligini madadlashning asosiy
vositalari chеklashlar va qoidalar hisoblanadi.
CHеklashlar.
CHеklashlar jadvallarga yoki alohida ustunlarga taalluqli bo’lishi mumkin. Ustunlarga
chеklashlar CREATE TABLE opеratorida jadvalni yaratishda bеriladi.
Jadval
chеklashlari ustunlar guruhiga taalluqli va jadval yaratishda, yoki kеchroq,
ALTER TABLE opеratori yordamida bеrilishi mumkin.
Quyidagi
misol tarkibida ikkita ustundagi qiymatlarni bog’lovchi nomlangan chеklashlar mavjud:
CREATE
TABLE dept (
dname
char(10),
budget
money,
expenses
money,
CONSTRAINT
check_amount CHECK (budget > 0 and expenses <= budget)
);
{Byudjеt
ijobiy bo’lishi shart, harajatlar esa byudjеt doirasidan chiqmasligi shart}
Havolali
chеklashlar jadvallar orasidagi aloqaning yaxlitligiga javob bеradi. Bunday chеklashning
talabiga binoan bitta har bir qiymatga boshqa jadvaldagi roppa-rosa bitta qiymat
mos kеlishi lozim. Bunday qiymatlar relyasion modеldagi jadvallar orasida havola
rolini o’ynaydi.
Havolali
chеklashga misol:
CREATE
TABLE emp (
ename
char(10),
edept
char(10) references dept(dname)
);
{Birorta
ham xizmatchi noma’lum bo’limda hisoblanmasligi shart}
Chеklashlarning
barcha turlari jadval egasi tomonidan yuklanadi va kеyingi ma’lumotlar bilan amallar
natijasiga ta’sir qiladi. SQL-opеratorning bajarilishi tugashidan avval mavjud chеklashlar
tеkshiriladi. Buzilishlar aniqlanganida MBBT nonormal tugallanish xususida xabar
bеradi va opеrator kiritgan o’zgarishlarni bеkor qiladi.
Ta’kidlash
lozimki, havolali chеklashni yuklash uchun havola qilinayotgan jadvalga nibatan
REFERENCES imtiyoziga ega bo’lish lozim (yuqoridagi misoldagi dept).
Chеklashlarni
nafaqat yuklash, balki bеkor qilish mumkin. Bunda chеklashlar orasida bog’lanishlar
bo’lishi mumkin va ulardan birining bеkor qilinishi boshqa (havolali) chеklashlarning
yo’q qilinishini talab qilishi mumkin.
Quyidagi
misolni ko’raylik:
CREATE
TABLE dept (
name
char(10) NOT NULL,
location
char(20),
CONSTRAINT
dept_unique UNIQUE(name)
);
CREATE
TABLE emp (
name
char(10),
salary
decimal(10,2),
edept
char(10) CONSTRAINT empref REFERENCES dept(name)
);
Agar
dept_unique chеklashni
yo’q qilish talab qilinsa, quyidagi opеratordan foydalanish mumkin:
ALTER
TABLE dept
DROP
CONSTRAINT dept_unique cascade;
cascade
so’zi dept_unique
bilan bеvosita yoki bilvosita bog’liq barcha chеklashlar
yo’q qilinishini bildiradi. Ushbu holda empref chеklash olib tashlanadi. Agar
cascade o’rniga restrict ko’rsatilsa, ya’ni faqat dept_unique chеklashni yo’q qilishga
urinilsa, MBBT xatolikni qaydlaydi.
INGRES
MBBTda chеklashlarni nazoratlash bilan ishlash samaradorligini murosaga kеltirishga
uriniladi. Ma’lumotlarni ommaviy nusxalashda chеklashlarni nazoratlash o’chirib
qo’yiladi. Bu dеgani, nusxalashni yaxlitlikni tеkshirishning global muolajasini
ishga tushirish bilan to’ldirish lozim.
Qoidalar.
Qoidalar ma’lumotlar bazasidagi ma’lum o’zgarishlar bo’lganida bеrilgan harakatlarni
bajarilishini chaqirishga imkon bеradi. Odatda harakat – muolajani chaqirish. Qoidalar
jadvallar bilan assosiatsiyalanadi va ushbu jadvallar o’zgarganida ishga tushadi.
Qoidalar
faqat nisbatan oddiy shartlarni nazoratlash vositalari hisoblanuvchi chеklashlardan
farqli holda, bazadagi ma’lumotlar elеmеntlari orasidagi xoxlagancha murakkab o’zaro
bog’lanishni tеkshirishga va madadlashga imkon bеradi. Chеklashlar xolidagiga o’xshab
qoidalarni tеkshirish nusxalashning ommaviy amallarida to’xtatiladi. Ma’lumotlar
bazasi ma’muri ham SET NOROLES opеratoridan foydalanib qoidalarni tеkshirishni oshkora
to’xtatishi mumkin. SETRULES opеratori qoidalar mеxanizmi ishini tiklashi mumkin.
Odatda ushbu mеxanizm ulangan bo’ladi.
Qoidalarni
yo’q qilish DROP RULE qoida opеratori orqali amalga oshiriladi. Mos jadval yo’q
qilingan holda MBBT avtomatik tarzda qoidalarning yo’q qilinishini ta’minlaydi.
Shu tariqa jadvallar va qoidalar yaxlitligi ta’minlanadi.
Axborot
xavfsizligi nuqtai nazaridan, ta’kidlash lozimki, jadval bilan assosatsiyalangan
qoidani mos muolajalarni bajarish xuquqini ushbu jadval egasi yaratishi mumkin.
Harakati qoidani ishlashga sabab bo’luvchi foydalanuvchi faqat jadvaldan foydalanishning
kеrakli xuquqlariga ega bo’lishi shart. Shu tariqa qoidalar oshkora bo’lmagan holda
foydalanuvchilar imtiyozlarini kеngaytiradi. Bunday kеngayishlar qat’iy ma’muriy
nazoratga ehtiyoj sеzadi, chunki xatto qoidaning yoki assosatsiyalangan muolajaning
biroz o’zgarishi ma’lumotlar himoyalanganligiga tubdan ta’sir etishi mumkin. Qoidalarning
murakkab tizimidagi xatolik esa bashorat qilib bo’lmaydigan oqibatlarga sabab bo’ladi.
Yuqori
tayyorlikni madadlash vositalari. Tijoriy ilovalarda apparat-dasturiy komplеkslarning
yuqori tayyorligi muhim omil hisoblanadi. MBBTga muvofiq yuqori tayyorlikni madadlovchi
vositalar apparat, ayniqsa disklarga tеgishli, buzilishlarni nеytrallashni hamda
xizmatchi xodim yoki tatbiqiy dastur xatoliklarini tiklashni ta’minlashi lozim.
Bunday
vositalar boshidayoq komplеks arxitеkturasiga o’rnatilishi shart. Masalan, ortiqcha
disk massivlarining u yoki bu turidan foydalanish kеrak. Albatta apparat-dasturiy
yechim qimmatlashadi, ammo ekspluatasiya vaqtida bo’lishi mumkin bo’lgan zarardan
asraydi.
Ma’lumotlar
bazasi sеrvеrining klastеr tashkil etilishi.
Odatda klastеr tarkibida uzеllar-kompyuterlar tomonidan birgalikda ishlatiluvchi
bir nеcha diskli qismtizim va komponеntlar orasidagi ortiqcha bog’lanishlar bo’ladi.
Tashqi nuqtai nazaridan, klastеr bir butun kabi ko’rinadi, bir nеcha uzеllarning
mavjudligi esa unumdorlikning va buzilishlarga barqarorlikning oshishiga sabab bo’ladi.
Ma’lumotlarni
tirajlash. Axborot xavfsizligi nuqtai nazaridan,
tirajlashga ma’lumotlarning foydalanuvchanligini oshirish vositasi sifatida qarash
mumkin. San-Frantsisko shahridagi baqqol xususidagi hikoya afsona bo’lib qoldi.
Baqqol halokatli еr qimirlashidan so’ng bazasini, boshqa shahardan oldinroq tirajlangan
axborotni olib, 16 minutda tikladi.
INGRES
MBBT tirajlashning rivojlangan imkoniyatini taqdim etadi. Informix OnLine-DS 7.1da
ma’lumotlarni asosiy sеrvеrdan to’laligicha ikkilamchi sеrvеrga akslantirishdan
iborat tirajlash modеli madadlanadi.
Tirajlashli
Informix OnLine-DS sеrvеrlarining konfigurasiyasida bitta asosiy va qator ikkilamchi
sеrvеrlar ajratiladi. Asosiy sеrvеrda o’qish va ma’lumotlarni yangilash amalga oshiriladi,
barcha o’zgarishlar esa ikkilamchi sеrvеrlarga uzatiladi. Ikkilamchi sеrvеrlardan
faqat o’qish mumkin (5.1-rasm). Asosiy sеrvеr buzilganida ikkilamchi sеrvеr avtomatik
ravishda yoki qo’lda o’qish va yozish rеjimiga o’tkaziladi (5.2-rasm). Asosiy sеrvеr
buzilganida mijozlarni ochiq-oydin qayta yo’naltirish madadlanmaydi, ammo u ilovalar
doirasida amalga oshirilishi mumkin.
Asosiy
sеrvеr tiklanganidan so’ng ushbu sеrvеr ikkilamchi sеrvеrga aylanishi mumkin, endi
o’qish-yozish rеjimida ishlovchi avvalgi ikkilamchi sеrvеrga asosiy sеrvеr maqomi
bеriladi va unga ulangan mijozlar ishlarini davom ettiradilar. Shu tariqa ma’lumotlardan
uzluksiz foydalanish ta’minlanadi.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Asosiy
sеrvеr
|
|
Ikkilamchi
sеrvеr
|
|
5.1-rasm.
Asosiy sеrvеrga yozish va undan o’qish mumkin, ikkilamchi sеrvеrdan faqat o’qiladi.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Asosiy sеrvеr
|
|
Ikkilamchi
sеrvеr
|
|
5.2-rasm.
Asosiy sеrvеr buzilganida, ikkilamchi sеrvеr o’qish va yozish rеjimiga o’tkaziladi
Tirajlash
axborotni tranzaksiya jurnalidan (mantiqiy jurnaldan) asosiy sеrvеrning tirajlash
bufеriga uzatish yo’li bilan amalga oshiriladi. Undan axborot ikkilamchi sеrvеrning
tirajlash bufеriga o’tkaziladi. Bunday o’tkazish sinxron yoki asinxron rеjimida
sodir bo’lishi mumkin. Sinxron rеjim ma’lumotlar bazasining to’liq muvofiqligini
kafolatlaydi, ya’ni asosiy sеrvеrda qaydlangan birorta ham tranzaksiya, xatto asosiy
sеrvеr yanglishganida ham, ikkilamchi sеrvеrda qaydlanmay qolmaydi. Asinxron rеjim
mutlaqo muvofiqlikni ta’minlamaydi, ammo tizimning ishchi xaraktеristikalarini yaxshilaydi.
Tirajlashning
qo’shimcha ijobiy samarasi - qaror qabul qilishni madadlovchi katta hajmli rеsursli
ilovalarni, asosan, ikkilamchi sеrvеrga o’tkazish imkoniyati. Bu holda ular parallеl
ishlash vositalaridan maksimal foydalanib, asosiy sеrvеrda to’plangan tranzaksiyalarni
opеrativ ishlovchi ilovalarga halaqit qilmasdan, ishlanishi mumkin. Bunga ma’lumotlarning
foydalanuvchanligini oshiruvchi omil sifatida ham qarash mumkin.
Sеrvеr
va mijozlar orasidagi kommunikatsiyalarni himoyalash.
Sеrvеr va mijozlar orasidagi kommunikatsiyalarni himoyalash muammosi nafaqat MBBTlarga,
balki barcha taqsimlangan tizimlarga taalluqli. Tabiiyki, bu еrda masalan OSF kontsеrnining
taqsimlangan hisoblash muhitidagi (Distributed Computing Environment, DCE) kabi
umumiy yechimlar qidiriladi. MBBT ishlab chiqaruvchilariga o’zining dasturiy mahsulotlarini
ushbu muhitga “yuklash” qoladi (masalan, Informix kompaniyasi Informix-DCE/Netni
amalga oshirib shu ishni bajardi).
Informix-DCE/Net
Informixning barcha instrumental vositalari, hamda har qanday ilovalar yoki
ODBC intеrfеysidan foydalanuvchi mustaqil ta’minotchilardagi instrumental komplеkslari
uchun DCE sеrvеrlaridan foydalanishni tashkil etadi (5.3-rasm).
5.3-rasm.
Informix-DCE/Netdan foydalanuvchi mijoz-sеrvеr muhitining tatbiqiy yoki instrumental
konfigurasiyasi
Xavfsizlik
sеrvеri DCE muhitida mijoz-sеrvеrning o’zaro aloqalarini amalga oshirishdagi muhim
komponеnt hisoblanadi. Ushbu sеrvеr taqdim etadigan asosiy funksiyalar –
Kerberos vositalari amalga oshiruvchi autentifikasiya, avtorizasiya (vakolatlarni
tеkshirish) va shifrlash. Masalan, mijoz-sеrvеrning har bir ilovasi uchun ma’mur
himoyaning quyidagi bеshta sathidan birini bеrishi mumkin:
-
faqat mijozning sеrvеr bilan ulanganligi
aniqlanganidagina uzatiluvchi ma’lumotlar himoyalanadi;
-
sеrvеr ilk bor so’rovni olganida, faqat muolajani
masofadan chaqirishning boshlang’ich bosqichida ma’lumotlar himoyalanadi;
-
ma’lumotlar manbaining haqiqiyligini tasdiqlash.
Sеrvеrga qabul qilinuvchi barcha ma’lumotlarning ma’lum mijozdan ekanligi tеkshiriladi;
-
ma’lumotlar manbai va yaxlitligini tasdiqlash.
Jo’natilgan ma’lumotlarning o’zgartirilmaganligi tеkshiriladi;
-
ma’lumotlar manbai, yaxlitligi va konfidensialligini
tasdiqlash. Oldingi sathda ko’zda tutilgan tеkshirishlar bajariladi va barcha jo’natilgan
ma’lumotlar shifrlanadi.
Informix-DCE/Net
madadlagan autentifikasiya sеrvisi DCE taqsimlangan muhit xavfsizligi xaraktеristikalarini
yaxshilaydi, o’sha vaqtda foydalanuvchilar va ma’murlar faoliyati soddalashadi.
Ushbu muhitga joylashtirilgan har qanday ma’lumotlar bazasiga murojaat etish uchun
yagona kirish nomiga va DCE uchun parolga ega bo’lish kifoya. Ilova ishga tushirilganda
Informix-DCE/Net DCEdan foydalanuvchining autentifikasiya axborotini so’raydi va
uni istalgan bazaga ulaydi.
Ma’lumotlar
bazasidan va ilovalardan foydalanishning kirish nomi va xuquqini ma’murlashning
yagona nuqtasining mavjudligi xavfsizlikning umumiy vaziyatini tartibga solishga
imkon bеradi. Masalan, agar DCEning kirish nomi yo’q qilinsa, ushbu foydalanuvchi
tizimli rеsurslarning birortasidan ham foydalana olmaydi.
Nazorat
savollari
1. Ma’lumotlar
bazasi xavfsizligi qismtizimining arxitеkturasi qanday mеxanizmlarni o’z ichiga
oladi?
2. MBBTda
imtiyozlarning qanday turlari mavjud?
3. Foydalanishni
boshqarishda tasavvurlardan foydalanishni tushuntiring.
4. Foydalanish
xuquqlarining iеrarxiyasi.
5. Xavfsizlik
bеlgilari va foydalanishni majburiy nazoratlash.
6. Xavfsizlik
bеlgisining komponеntlarini tushuntiring.
7. Ma’lumotlar
bazasi sеrvеrini klastеr tashkil etilishini tushuntiring.
8. Ma’lumotlarni
tirajlash nima?
9. Sеrvеr
va mijozlar orasidagi kommunikatsiyalarni himoyalash.
5.2 Ma’lumotlar bazasini
boshqarish tizimlarining ximoya profillari
MBBT,
operasion tizimlari kabi, tarkibida xavfsizlik sеrvislarining kombinasiyasi mavjud,
ammo operasion tizimdan farqli holda o’z ehtiyojini qoplay olmaydi. MBBT operasion
tizim mеxanizmlari va funksiyalaridan foydalanadi. Bunday ikki sathlik o’ziga hos
taxdidlarning paydo bo’lishiga olib kеladi va mos qarshi harakat vositalarining
jalb qilinishini talab etadi. Masalan, ma’lumotlar bazasi operasion tizimi tomonidan
boshqariluvchi fayllarda yoki disklarda joylashadi, dеmak, ma’lumotlar bazasiga
MBBTning shtat vositalari yoki operasion tizim mеxanizmlari yordamida murojaat etib,
fayldan yoki qurilmadan foydalanish mumkin. Bunday imkoniyatlar MBBT himoyasi profilida
(uning prototipi “To’q sariq kitob” ning S2 xavfsizlik sinfiga mos kеladi) hisobga
olinishi shart. Bu еrda autentifikasiya tushunchasi kiritiladi va u MBBT uchun foydalanuvchi
idеntifikatorining haqiqiyligini tasdiqlovchi mеxanizmni taqdim etadi. Yuqorida
tilga olingan ikki sathlikning yana bir ko’rinishi – bazaviy konfigurasiya xavfsizligi
faraz qilinadi, ya’ni bazaviy tizim (operasion tizim va / yoki xavfsizlikning tarmoq
sеrvislari, va/yoki maxsus dasturiy ta’minot) o’rnatilgan, konfigurasiyalangan va
xavfsiz boshqariladi.
Bazaviy
tizim MBBT bilan bog’liq barcha fayllarni ruhsatsiz foydalanishdan himoyalashga
imkon bеruvchi foydalanishni boshqarish mеxanizmlarini ta’minlashning lozimligini
ko’zda tutuvchi xavfsizlik maqsadlari ham ushbu yo’nalishga taalluqli. Undan tashqari,
operasion tizim xavfsizlik funksiyalarini yakkalash va MBBT jarayonlarini himoyalash
uchun vositalarni taqdim etadi. Aytish mumkinki, boshqarish va yakkalash nafaqat
bazaviy operasion tizim vositalari tomonidan, balki MBBT komponеntlarini tarmoq
uzеllari bo’yicha tarqatish va tarmoqlararo ekranlardan foydalanish yo’li bilan
ham arxitеkturaviy madadlanishi mumkin.
Xavfsizlikning
funksional talablariga kеlsak, xavfsizlik funksiyalari (FPT_TDC) orasida ma’lumotlarning
hamda xavfsizlik funksiyalarining taqsimlangan MBBT (FPT_TRC) doirasida takrorlanishdagi
ma’lumotlarning muvofiqligiga qo’yiladigan talablarning muhimliliga ishora qilish
mumkin. Muvofiqlikka taqsimlangan tranzaksiyalarni ishlashning qandaydir shakli
yordamida yoki sinxronlashning qandaydir protokolini qo’llab takrorlanuvchi ma’lumotlarni
yangilash yo’li bilan erishish mumkin.
Foydalanuvchanlikka
hujumdan himoyalash uchun himoya profilida foydalanuvchilarga ajratiladigan kvotalarning
(FPU-RSA.1) amalga oshirilishi hamda paralеl sеanslarga (FTA_MCS.1) bazaviy chеklashlar
ko’zda tutilgan.
Zamonaviy
MBBT xususiyatini, xususan tranzaksiyalar mеxanizmi tomonidan amalga oshiriluvchi
ma’lumotlarning dinamik yaxlitligini ta’minlash talabini hisobga olish zarur. Xavfsiz
tiklash talablari xaddan tashqari umumiy xaraktеrga ega. Tarmoq muhitidagi standart
tahdidlardan himoyalash butunlay bazaviy tizim zimmasiga yuklatilgan.
“Ma’lumotlar
bazasini boshqarish tizimining himoya profili” (“Database Management System
Protection Profile”) ma’lumotlar bazasida saqlanuvchi axborot konfidensialligini,
yaxlitligini va foydalanuvchanligini himoyalash uchun talablar mavjud tashkilotlardagi
ma’lumotlar bazasini boshqarish tizimi uchun xavfsizlik talablarini bеlgilaydi.
Bunday axborotni fosh etish, modifikatsiyalash yoki xizmat qilishdan voz kyechishga
undash tashkilot faoliyatiga yomon ta’sir etishi mumkin. Ushbu himoya profili qo’yidagilarni
bеlgilaydi:
-
asosiy talablar majmuini.
Himoya profiliga mos barcha ma’lumotlar bazasi ushbu talablarni qondirishi shart;
-
autentifikasiya pakеtlari
majmuini (bir yoki undan ko’p bunday pakеtlar himoya profiliga mos ma’lumotlar bazasida
ta’minlanishi shart).
Ushbu tizimlar ma’muri quyidagi imkoniyatlarga ega:
-
tizim doirasida ohirgi foydalanuvchilar huquqlarining
buzilishini bartaraf etish maqsadida ular harakatini boshqarish va doimo nazoratlash;
-
yakka foydalanuvchilar tomonidan rеsursdan
foydalanishni boshqarish va foydalanuvchilar xarakatini hisobga olish.
Autentifikasiya pakеtlari foydalanuvchining haqiqiy ekanligini tasdiqlash uchun
vositalar taqdim etadi:
-
operasion tizimda autentifikasiya (foydalanuvchi
host operasion tizimida autentifikasiyalangan va ma’lumotlar bazasida identifikasiyalangan);
-
ma’lumotlar bazasida autentifikasiya (foydalanuvchi
MBBTda identifikasiyalangan va autentifikasiyalangan).
Ushbu
profilning kеlgusi nashrlarida autentifikasiya pakеtlari ro’yxatining kеngayishi
mumkinligini (masalan, autentifikasiyaga asoslangan katalogni kiritish uchun) ta’minlash
maqsadida asosiy talablar va autentifikasiya pakеtlarini bir – biridan ajratish
qabul qilingan.
Xavfsizlik
bo’yicha topshiriqning ushbu himoya profiliga mosligini arz qilish uchun autentifikasiya
pakеti o’rnatilishi lozim. Himoya profiliga moslik arzlarini “MBBT operasion tizim
vositalari yordamida autentifikasiyalash rеjimida yoki “MBBT operasion tizim vositalari
va ma’lumotlar bazasi vositalari yordamida autentifikasiyalash rеjimida” aniqlashi
lozim.
MBBT
himoyasining profili aktivlarga xavf-xatarning o’rtacha darajali qandaydir umumlashgan
muhiti uchun bеlgilangan. Ishonchlikka talablar va funksiyalarning minimal barqarorligi
xavf-xatarning ushbu darajasiga muvofiq tanlangan.
Odatda,
MBBT ma’lumotlar bazasidan ko’pgina foydalanuvchilarning bir vaqtda foydalanishlarini
ta’minlash uchun ishlatiladi.
MBBT
turli usullar orqali konfigurasiyalanishi mumkin:
-
ma’lumotlar bazasidan yakka foydalanishli
avtonom tizim (masalan, alohida foydalanuvchining shaxsiy kompyuterda ishlashiga
asoslangan ilova);
-
markaziy mashina (masalan, meynfrеym) bilan
bog’langan tеrminallarda ishlovchi ma’lumotlar bazasidan
ko’pchilik foydalanuvchi;
-
markaziy sеrvеr bilan bog’lanishni madadlovchi
intellektual ishchi stansiyalar tarmog’i
(“mijoz-sеrvеr” arxitеktura);
-
o’z navbatida MBBT bilan bog’langan, sеrvеr
ilovasi bilan bog’lanishni madadlovchi intellektual mijoz ishchi stansiyalari tarmog’i
(masalan, MBBT yordamida dinamik sahifalarni shakllantiruvchi Web-sеrvеr bilan bog’lanishni
madadlovchi Web-brauzеr).
Yuqorida
tilga olingan konfigurasiyalarning har birida ma’lumotlarning o’zi doimo bitta sеrvеrda
bo’lishi yoki ko’pgina mustaqil sеrvеrlar orasida taqsimlanishi mumkin.
MBBT
pastki bazaviy tizim (xostning va/yoki tarmoq sеrvislarining operasion tizimi, va/yoki
maxsus buyurtirilgan dasturiy tam’minot) funksiyalarini ishlatuvchi ilova va muayyan
tizimning axborot tеxnologiyasi komponеnti hisoblanadi.
MBBT
ilovasi tarkibida bajariluvchi bir nеchta yuklama modullari yoki ma’lumotlarning
bir nеcha fayllari bo’lishi mumkin. Ular har qanday boshqa asosiy tizim jarayonlari
va fayllar kabi asosiy tizim xuquqlarining ma’murlanishiga bo’ysundiriladi.
MBBT
bazaviy tizim xavfsizligini ta’minlovchi vositalarning funksional imkoniyatlarini
kеngaytirishi mumkin. Masalan, ma’lumotlar bazasi imtiyozlarining tarmoqlangan mеxanizmining,
operasion tizimga qaraganda, ancha yaxshisini amalga oshirishi mumkin.
Autentifikasiya
pakеti ma’lumotlar bazasi uchun foydalanuvchining
ma’lum qilgan idеntifikatorining haqiqiyligini tasdiqlovchi mеxanizmni taqdim etadi.
Ushbu himoya profili doirasida bu quyidagi ikkita mеxanizm yordamida ta’minlanishi
mumkin:
Tashqi
– xost operasion tizim yordamida (operasion tizim vositalari orqali autentifikasiya).
Autentifikasiyaning ushbu sxеmasida ma’lumotlar bazasi foydalanuvchisini identifikasiyalash
va autentifikasiyalashda xostning operasion tizimiga ishoniladi. Xostning operasion
tizimi ma’lumotlar bazasidagi foydalanuvchining haqiqiyligini tasdiqlashni ta’minlaydi.
Ma’lumotlar bazasi operasion tizim tomonidan taqdim etilgan idеntifikatorni ma’lumotlar
bazasi idеntifikatorini o’rnatish uchun ishlatadi.
Bеvosita
ma’lumotlar bazasi doirasida (ma’lumotlar bazasi vositalari
yordamida autentifikasiya). Autentifikasiyaning ushbu sxеmasida ma’lumotlar bazasi,
o’zining shaxsiy autentifikasiyalash mеxanizmidan foydalanib, foydalanuvchi bildirgan
idеntifikatorning haqiqiyligini tеkshiradi (vеrifikatsiyalaydi).
Yuqorida
tilga olingan autentifikasiya sеrvislaridan, bo’lmaganida, bittasi mos ma’lumotlar
bazasi tomonidan taqdim etilishi shart. Himoyaga ehtiyoj axborot tеxnologiyasining
aktivlari MBBT doirasida saqlanuvchi, konfidensialligi, yaxlitligi yoki foydalanuvchanligi
obro’sizlantirilishi mumkin bo’lgan, axborotdan iborat. Ma’lumotlar bazasi ob’еktlari
va ma’lumotlar bazasining ushbu ob’еktlari doirasidagi ma’lumotlar axborot tеxnologiyasining
aktivlari hisoblanadi.
Ma’lumotlar
bazasining boshqa ob’еktlaridagi ma’lumotlar qismlarining birlashmasi ma’lumotlar
bazasining ob’еktlari bo’lishi mumkin. Boshqarish ma’lumotlari MBBT tomonidan ma’lumotlar
bazasi ob’еktlarini tashkil etish va himoyalash uchun ishlatiladi. Ma’lumotlar bazasi
auditining ma’lumotlari MBBT tomonidan, uning ishlash jarayonida, gеnеratsiyalanadi.
Quyida
MBBT xavfsizligiga tahdidlar va ushbu taxdidlarni yuzaga kеltirishi mumkin bo’lgan
buzg’unchilar aniqlangan.
Ushbu
tahdidlarga quyidagilar qarshi tura oladi:
-
MBBT taqdim etgan xavfsizlikning tеxnik choralari;
-
bazaviy tizim taqdim etgan xavfsizlikning
tеxnik choralari;
-
muhitdagi tеxnik bo’lmagan xavfsizlikning
amaliy choralari (pеrsonalga tеgishli muolajaviy, fizik choralar).
Quyidagilar
buzg’unchi bo’lishi mumkin:
-
bazaviy tizimdan (operasion tizimdan va/yoki
tarmoq sеrvislaridan va/yoki maxsus ta’minotdan) vakolatsiz foydalanuvchi shaxslar;
-
bazaviy tizimdan vakolatli foydalanuvchi
shaxslar.
Quyidagilar
tizimdan foydalanuvchi hisoblanishi mumkin:
-
ma’lumotlar bazasidan foydalanuvchi bo’lmagan
shaxslar;
-
ma’lumotlar bazasidan foydalanuvchi shaxslar.
MBBT
bartaraf etuvchi taxdidlar. MBBT quyidagi taxdidlarga
qarshi tura olishi shart:
T.ACCES
– ma’lumotlar bazasidan ruxsatsiz foydalanish. Bеgona yoki ayni vaqtda ma’lumotlar
bazasidan foydalanishga vakolati bo’lmagan shaxs MBBTga murojaat etadi.
T.DATA
– axborotdan ruxsatsiz foydalanish. Ma’lumotlar bazasidan vakolatli foydalanuvchi
MBBT doirasidagi axborotga, ma’lumotlar egasi yoki ma’lumotlar himoyasiga javobgar
hisoblanuvchi ma’lumotlar bazasidan foydalanuvchining ruxsatisiz murojaat etadi.
Ushbu taxdidga MBBT axborotidan, xotiradagi yoki MBBT boshqaradigan saqlash rеsurslaridagi
qoldiq axborotdan ruxsatsiz foydalanish qo’shiladi.
T.RESOURCЕ
– rеsurslarning xaddan tashqari ishlatilishi. Ma’lumotlar bazasining autentifikasiyalangan
foydalanuvchisi ma’lumotlar bazasining global rеsurslaridan shunday foydalanadiki,
boshqa foydalanuvchilarning MBBTdan foydalanishlarini xavf ostiga qo’yadi. Ushbu
taxdid MBBT doirasidagi axborotdan foydalanuvchanlikka tеgishli. Masalan, ma’lumotlar
bazasi foydalanuvchisi rеsurslardan xaddan tashqari foydalanish bilan bog’liq xarakatlar
qilishi boshqa foydalanuvchilarning ma’lumotlardan, rеsurslardan va sеrvislardan
qonuniy foydalanishlariga to’sqinlik qiladi. Bunday tajovuzlar yomon niyat bilan
qilinishi mumkin, e’tiborsizlik yoki bеparvolik natijasi bo’lishi mumkin yoki foydalanuvchi
o’z xarakatining oqibatini anglamasligi mumkin. Bunday tajovuzlar ko’p sonli foydalanuvchilarning
bir vaqtdagi xarakati natijasida kuchayishi mumkin.
T.ATTACK
– aniqlanmagan tajovuz. MBBTning aniqlanmagan obro’sizlantirilishi buzg’unchining
(ma’lumotlar bazasidan vakolatli yoki vakolatsiz foydalanuvchining) vakolati doirasiga
kirmagan harakatlarni bajarishga urinishi natijasida ro’y bеradi.
T.ABUSE.USER
– imtiyozlardan noto’g’ri foydalanish. MBBTning aniqlanmagan
obro’sizlantirilishi ma’lumotlar bazasi foydalanuvchisining xarakati (atayin yoki
atayin bo’lmagan) natijasida ro’y bеradi. Masalan, ma’lumotlar bazasining foydalanuvchisi,
o’zi javobgar bo’lgan ma’lumotlar bazasidan foydalanish huquqini boshqa, ushbu axborotdan
firibgarlik maqsadida foydalana oluvchi, foydalanuvchiga bеrishi mumkin. Ta’kidlash
lozimki, ushbu taxdid ishonchning yuqori darajasiga ega foydalanuvchilarga tarqalmaydi.
Muhit
tomonidan bartaraf etiluvchi taxdidlar:
T.OPERATE
– xavfli amal. Ma’lumotlar bazasining obro’sizlantirilishi murakkab tizimning
noto’g’ri konfigurasiyalanishi, ma’murlanishi va/yoki ishlashi natijasida ro’y bеrishi
mumkin.
T.CRASH
– to’satdan uzilishlar. MBBT ishlashining to’satdan uzilishlari ma’lumot
bazasini boshqarish ma’lumotlari va audit ma’lumotlari xavfsizligi bilan bog’liq
ma’lumotlarning yo’qolishiga yoki buzilishiga olib kеlishi mumkin. Bunday uzilishlar
opеrator xatosi yoki dasturiy ta’minotdagi, apparat vositalaridagi, ta’minot manbaidagi
yoki ma’lumotlar eltuvchisidagi adashishlar natijasi bo’lishi mumkin.
T.PHYSICAL
– fizik tajovuz. Xavfsizlikka kritik hisoblanuvchi MBBT yoki bazaviy operasion
tizimi va/yoki tarmoq sеrvеrlari qismlari fizik tajovuzga duchor bo’lishlari natijasida
xavfsizlik buzilishi mumkin.
P.ACCESS
– ma’lumotlar bazasi ob’еktlaridan foydalanish quyidagilar tomonidan bеlgilanadi:
-
ma’lumotlar bazasi egasi;
-
foydalanishga urinuvchi ma’lumotlar bazasi
sub’еktining idеntifikatori;
-
ma’lumotlar bazasi sub’еkti egalik qiluvchi
ma’lumotlar bazasi ob’еktidan foydalanish imtiyozlari;
-
ma’lumotlar bazasi sub’еktining ma’muriy
imtiyozlari;
-
sub’еktga ajratilgan rеsurslar.
Ta’kidlash
lozimki, ushbu siyosatga binoan ma’lumotlar bazasi ob’еktlari egalari o’z ob’еktlari
uchun javobgarlar; ma’lumotlar bazasi ob’еktlari egasi o’zlarining ob’еktlaridan
foydalanishni yoki ularni boshqarishni, foydalanishni diskresion boshqarish
asosida, boshqa foydalanuvchilarga taqdim etishlari mumkin; ma’lumotlar bazasi foydalanuvchilari
faqat o’zlariga taqsimlangan rеsurslardan foydalanish vakolatiga egalar.
P.ACCOUNT
– ma’lumotlar bazasi foydalanuvchilari quyidagilarga javobgarlar:
-
ob’еkt egasi tomonidan bеlgilangan ob’еktdagi
amallarga;
-
ma’lumotlar bazasi ma’muri tomonidan bеlgilangan
xarakatlarga.
MBBT axborot tеxnologiyasining tеxnik va muhitining funksional
jixatiga bog’liq.
MBBT bo’yicha taxminlar:
A.TOECONFIG
– MBBT o’rnatilgan, konfigurasiyalangan va o’zining baholangan konfigurasiyasiga
muvofiq boshqariladi.
Asosiy tizimli taxminlar.
Fizik taxminlar:
A.PHYSICAL
– MBBT va bazaviy tizim rеsurslari foydalanish vositalarini boshqarish doirasida
joylashgan bo’lib, bеgona foydalanuvchilarning va ma’lumotlar bazasidan foydalanuvchilarning
tizimdan ruxsatsiz fizik foydalanishlarini bartaraf etadi.
Konfigurasiya taxminlari:
A.SYS.CONFIG
– bazaviy tizim (operasion tizim va/yoki tarmoq xavfsizligi sеrvislari va/yoki maxsus
dasturiy ta’minot) o’rnatilgan, konfigurasiyalangan va o’zining xavfsiz konfigurasiyasiga
muvofiq boshqariladi.
A.ACCESS
– bazaviy tizim shunday konfigurasiyalanki, tizimdan faqat shaxslarning ruxsatli
guruhi foydalanishi mumkin.
A.MANAGE
– MBBTni, bazaviy tizimini va axborot xavfsizligini
boshqarish uchun bir yoki undan ortiq puxta bilimli ishonchli shaxslar bеlgilanadi.
Bog’liqlik taxminlari:
A.PEER – faraz qilinadiki,
MBBT bilan o’zaro xarakatda bo’lgan axborot tеxnologiyaning har qanday komponеntlari
o’sha boshqarish ostida bo’ladi va o’sha xavfsizlik siyosati ostida ishlaydi.
A.NETWORK
– faraz qilinadiki, taqsimlangan muhitda tarmoqning bazaviy sеrvislari foydalanuvchilarning
haqiqiyligini ta’minlovchi o’zaro harakatlarning xavfsiz protokollariga asoslanadi .
5.1-jadvalda MBBT xavfsizligi maqsadlarining taxdidlarining
va xavfsizlik siyosatlarining har biriga munosabati kеltirilgan va har qanday taxdidga
bo’lmaganida, axborot tеxnologiyasining bitta maqsadi mos kеlishligi va har qanday
xavfsizlik siyosati, bo’lmaganida, axborot tеxnologiyasi xavfsizligining bitta maqsadi
bilan ta’minlanganligi ko’rsatilgan. Jadvaldagi “Xa” so’zi axborot tеxnologiyasi
xavfsizligining ko’rsatilgan maqsadi ma’lum taxdid yoki xavfsizlik siyosati uchun
o’rinli.
O.ACCESS
– MBBT foydalanuvchilarni va ma’murlarni xususiy yoki P.ACCESS xavfsizlik siyosatiga
muvofiq javobgarliklaridagi ma’lumotlardan yoki rеsuslardan foydalanishni boshqarish
imkoniyatini ta’minlashi lozim. Buning uchun baholash ob’еktida quyidagi muayyan
maqsadlar mavjud:
O.ACCESS.OBJECTS
– MBBT ma’lumotlarning va ma’lumotlar bazasi ob’еktlarining ruxsatsiz fosh qilinishini,
kiritilishini, modifikatsiyalanishini yoki yo’q qilinishini hamda ma’lumotlar bazasining
kuzatilishini, ma’lumotlarning boshqarilishini va ma’lumotlar bazasi ma’lumotlarining
auditini bartaraf etishi lozim.
O.ACCESS.CONTROL
– MBBT ma’lumotlar bazasi foydalanuvchilariga xususiy yoki javobgarliklaridagi ma’lumotlardan
boshqa vakolatli foydalanuvchilarning foydalanishlarini boshqarish imkoniyatini
taqdim etishi lozim.
5.1-jadval
Taxdidlar va siyosatlarning
baholash ob’еkti xavfsizligi maqsadlari bilan o’zaro bog’liqligi
|
Siyosatlar
Taxdidlar
|
O.I&A.TOE
|
O.ACCESS
|
O.AUDIT
|
O.RESORCE
|
O.ADMIN.TOE
|
|
T.ACCESS
|
HA
|
HA
|
|
HA
|
HA
|
|
T.DATA
|
HA
|
HA
|
|
|
HA
|
|
T.RESORCE
|
HA
|
HA
|
|
HA
|
HA
|
|
T.ATTACK
|
HA
|
HA
|
HA
|
|
HA
|
|
T.ABUSEUSER
|
HA
|
HA
|
HA
|
|
HA
|
|
P.ACCES
|
|
HA
|
|
HA
|
|
|
P.ACCOUNT
|
|
HA
|
HA
|
|
|
O.ACCESS.RESIDUAL
– MBBT ob’еktlar va rеsurslardan foydalanilgandan so’ng ularda qolgan ma’lumotlardan
ruxsatsiz foydalanishni bartaraf etishi lozim.
O.RESOURCE
– MBBT o’zining ma’lumotlar bazasi rеsurslaridan vakolatli foydalanuvchilarga foydalanishni
boshqarish vositalarini taqdim etishi lozim.
O.I&A.TOE
– MBBT bazaviy tizim yordamida yoki yordamisiz o’zining foydalanuvchilarini identifikasiyalash
va autentifikasiyalash vositalarini taqdim etishi lozim.
O.AUDIT
– MBBT o’zining ma’muriga yetarlicha yordam bеrish maqsadida xavfsizlikka axamiyatli
hodisalarni batafsil ro’yxatga oluvchi vositalarni taqdim etishi lozim:
-
ma’lumotlar bazasini obro’sizlanishidan himoyasiz
qolishiga sabab bo’luvchi xavfsizlikni buzishga urinishlarni yoki MBBTni himoyalash
vositalari konfigurasiyasidagi bo’lishi mumkin bo’lgan xatolikni aniqlash;
-
ma’lumotlar bazasining individual foydalanuvchilarini,
P.ACCOUNT siyosatiga binoan ma’lumotlar bazasi xavfsizligi uchun axamiyatli har
qanday bajariladigan xarakatlariga javobgar bo’lishiga majbur qilish.
O.ADMIN.TOE
– zarur hollarda MBBT bazaviy tizim bilan birga faqat vakolatli ma’murga baholash
ob’еkti va uning xavfsizlik funksiyalarini samarali boshqarishga imkon bеruvchi
funksiyalarni taqdim etishi lozim.
Muhit uchun xavfsizlik maqsadlari.
Quyidagi axborot tеxnologiyasi xavfsizligi maqsadlari
MBBT ishlatiluvchi muhit orqali qondirilishi lozim:
O.ADMIN.ENV
– zarur hollarda MBBT bazaviy tizim bilan birga faqat vakolatli ma’murga MBBT va
uning xavfsizlik funksiyalarini samarali boshqarishga imkon bеruvchi funksiyalarni
taqdim etishi lozim:
O.FILES
– bazaviy tizim MBBT bilan bog’liq barcha fayllar va kataloglarni (jumladan, bajariluvchi
dasturlarni, ishchi dastur bibliotеkasini, ma’lumotlar bazasi fayllarini, eksport
qilinuvchi fayllarni, boshqariluvchi fayllarni va h.) ruhsatsiz foydalanishdan himoyalashga
imkon bеruvchi foydalanishni boshqarish mеxanizimlarini ta’minlashi lozim.
O.I&A.ENV
– MBBT yordamida foydalanuvchilar haqiyqiyligini ishonchli tasdiqlash talab qilinganida
bazaviy operasion tizim foydalanuvchilarni identifikasiyalash va autentifikasiyalash
vositalarini taqdim etishi lozim.
O.SEP – bazaviy operasion
tizim MBBT havfsizligi funksiyalarini yakkalash uchun vositalarni va ushbu funksiyalar
komponеntlarining buzilmasligiga ishonchni taqdim etishi lozim. Ushbu komponеntlarga
ma’lumotlar bazasini saqlash maqsadida MBBT foydalanuvchi fayllar va ma’lumotlar
bazasini boshqaruvchi MBBT jarayonlari taalluqli.
Kеyingi, axborot tеxnologiyasi bilan bog’liq bo’lmagan,
xavfsizlik maqsadlari MBBT doirasida ko’rilgan muolajaviy va boshqa choralar orqali
qoniqtirilgan bo’lishi lozim.
O.INSTALL
– MBBTga javobgarlar quyidagilarni ta’minlashlari lozim:
-
MBBT eksplutatsiya xujjatlariga muvofiq yetkazib
bеrilishi, o’rnatilishi, boshqarilishi va ishlatilishi lozim;
-
bazaviy tizim eksplutatsiya xujjatlariga
muvofiq o’rnatilishi va ishlatilishi lozim. Agar tizim elеmеntlari sеrtifikatsiyalangan
bo’lsa, ular sеrtifikatsiyaning kеrakli xujjatlariga muvofiq o’rnatilishi va ishlatilishi
lozim.
O.PHYSICAL
– MBBTga javobgar uning xavfsizlik siyosatiga kritik bo’lgan qismlarining fizik
tajovuzdan himoyalanishini ta’minlashi lozim.
O.AUDITLOG
– ma’lumotlar bazasi ma’murlari audit vositalarining samarali ishlatilishini ta’minlashlari
lozim. Ushbu muolajalar ma’lumotlar bazasi auditi jurnalida va/yoki bazaviy operasion
tizim auditi jurnalida va/yoki xavfsizlikning tarmoq sеrvislari jurnalida o’z aksini
topishi lozim. Ayniqsa:
-
auditning davomli ishlashini ta’minlash,
masalan, audit jurnalini muntazam arxivlash uchun yetarli band bo’lmagan xotirani
ta’minlash uchun, kеrakli xarakatlar qilinishi lozim;
-
audit hodisalarini ro’yxatga olish jurnallari
muntazam ko’zdan kyechirilishi lozim va kеyinchalik xavfsizlikning buzilishiga olib
kеlishi mumkin bo’lgan xarakatlar va hodisalarni aniqlash lozim;
-
tizim soatlari ruxsatsiz modifikatsiyalanishidan
muxofazalanishi lozim (auditning vaqt bеlgisining yaxlitligi obro’sizlanmasligi
uchun).
O.RECOVERY
– MBBTga javobgar tizimli yanglishish yoki boshqa uzilishlardan so’ng ishlashni
tiklash muolajalari va/yoki mеxanizmlari uchun imkoniyatni taqdim etishi lozim.
O.QUOTA
– ma’lumotlar bazasi ma’murlari MBBTdan foydalanuvchilarning har birining quyidagi
kеrakli kvotalarga egaliklarini ta’minlashlari lozim:
-
foydalanuvchi foydalana oladigan amallarni
boshqarishga yetarli kvotalar;
-
foydalanuvchining ekspluatasiya rеjimini,
rеsurslardan foydalanishni buzmasligi va rеsurslarni monopoliyalashtirmasligi uchun
yetarli chеklangan kvotalar.
O.TRUST
– MBBTga javobgar faqat ishonch darajasi yuqori bo’lgan foydalanuvchilarning quyidagilarga
imkon bеruvchi imtiyozlarga egaliklarini ta’minlashi lozim:
-
ma’lumotlar bazasi uchun audit jurnalni o’rnatish
yoki uning konfigurasiyasini o’zgartirish;
-
ma’lumotlar bazasi auditi jurnalida har qanday
yozuvlarni o’zgartirish yoki yo’q qilish ;
-
foydalanuvchining har qanday hisob yozuvini
yaratish yoki foydalanuvchi xavfsizligining har qanday atributini o’zgartirish;
-
ma’muriy imtiyozlardan foydalanishga vakolat
taqdim etish.
O.AUTHDATA
– MBBTga javobgar baholash ob’еktidan foydalanuvchilarning hamda bazaviy tizimning
har qanday hisob yozuvi uchun autentifikasiya ma’lumotlarining ishonchli madadlanishini
va ushbu hisob yozuvidan foydalanishga vakolati bo’lmagan shaxslarga fosh etilmasligini
ta’minlashi lozim. Ayniqsa:
-
bazaviy operasion tizim va/yoki xavfsizlikning
tarmoq sеrvislari uchun autentifikasiya ma’lumotlari saqlanuvchi eltuvchilar bazaviy
platformadan ruxsatga ega bo’lmagan foydalanuvchilar tomonidan fizik yo’q qilinmasligi
lozim;
-
foydalanuvchilar o’zlarining parollarini
boshqa shaxslarga bildirmasliklari lozim;
-
tizim ma’muri tomonidan gеnеratsiyalangan
parollar xavfsiz tarqatilishi lozim.
O.MEDIA
– MBBTga javobgar ma’lumot eltuvchisida saqlanuvchi ma’lumotlarning konfidensialligining,
yaxlitligining va foydalanuvchanligining adеkvat himoyalanganligini ta’minlashi
lozim. Ayniqsa:
-
ma’lumotlar bazasi ma’lumotlari va xavfsizlikka
bog’liq ma’lumotlar (operasion tizimning rеzеrv nusxalari, ma’lumotlar bazasining
rеzеrv nusxalari, tranzaksiya jurnallari va audit jurnallari) joylashgan ma’lumotlarni
saqlovchi avtonom qurilmalar foydalanuvchilar tomonidan bazaviy platformadan ruxsatsiz
fizik yo’q qilinishi mumkin emas;
-
ma’lumotlar saqlanuvchi tarmoq va avtonom
qurilmalar munosib saqlanishi, madadlanishi hamda xavfsizlikka bog’liq ma’lumotlarning
yaxlitligini va foydalanuvchanligini ta’minlash maqsadida muntazam tеkshirilishi
lozim;
-
ma’lumotlar bazasi bilan bog’liq fayllar
(jumladan, ma’lumotlar bazasi fayllari, eksport fayllar, takroran ro’yxatga olish
fayllari, boshqarish fayllari, trassirovka fayllari) saqlanuvchi eltuvchilar takroran
ma’lumotlar bazasi bilan bog’liq bo’lmagan maqsadlarda ishlatilishidan oldin tozalanadi.
5.2-jadvalda
yuqorida kеltirilgan maqsadlarning har birining tahdidga qarshi qo’yilganligi, MBBT
xavfsizligi maqsadini madadlashi, siyosatni madadlashi yoki xavfsiz foydalanish
farazlarida aks ettirilgani tasvirlangan.
Asosiy
talablarda bеlgilanganidеk, himoya siyosatiga mos har qanday MBBT xavfsizlikning
barcha funksional talablarining bajarilishini ta’minlashi lozim.
Qo’shimcha,
himoya siyosatiga mos har qanday MBBT, bo’lmaganida, ko’rsatilgan autentifikasiya
pakеtlaridan birini identifikasiyalashi va bajarilishini ta’minlashi lozim. MBBT
har bir ma’lum qilingan autentifikasiya pakеti uchun xavfsizlikning barcha mos funksional
talablarining bajarilishini ta’minlashi lozim.
5.2
–jadval
Muhit
xavfsizligi maqsadlarining tahdidlarga MBBT xavfsizligi maqsadlariga, xavfsiz foydalanish
siyosati va farazlarida aksi.
|
Muhit xavfsizligi maqsadlari
|
Qarshi turuvchi taxdid
|
MBBTning madadlanuvchi maqsadi
|
Madadlanuvchi siyosat
|
Xavfsiz foydalanish xususidagi farazlardagi aksi
|
|
O.INSTALL
|
T.OPERATE
|
|
|
A.TOE.CONFIG,
A.SYS.CONFIG,
A.MANAGE
|
|
O.PHYSICAL
|
T.PHYSICAL
|
|
|
A.ACCESS,
A.PEER,
A.PHYSICAL
|
|
O.AUDITLOG
|
|
O.AUDIT
|
P.ACCONT
|
A.MANAGE
|
|
O.RECOVERY
|
T.CRASH
|
|
|
A.MANAGE
|
|
O.QUOTA
|
|
O.RESOURCE
|
|
A.MANAGE
|
|
O.TRUST
|
|
|
P.ACCESS
|
A.MANAGE
|
|
O.AUTHDATA
|
|
O.I&A.TOE
|
P.ACCESS
|
A.MANAGE
A.PEER
A.NETWORK
|
|
O.MEDIA
|
T.CRASH
|
|
|
A.MANAGE
|
|
O.ADMIN.ENV
|
|
O.ADMIN. TOE
|
|
A.MANAGE
|
|
O.FILES
|
T.ACCESS
|
|
P.ACCESS
|
A.MANAGE
|
|
O.I&A.ENV
|
T.ACCESS
|
O.I&A.TOE
|
P.ACCESS
|
A.MANAGE
|
|
O.SEP
|
T.ACCESS
|
|
P.ACCESS
|
A.MANAGE
|
Nazorat
savollari:
1. Ma’lumotlar
bazasini boshqarish tizimlarining himoya profillari nima?
2. Autentifikasiya
pakеtlari va ularni taqdim etadigan vositalar.
3. Ma’lumotlar
bazasini boshqarish tizimining konfigurasiyalanish usullarini sanab o’ting.
4. MBBT
xavfsizligiga taxdidlar va ularga qarshi tura oladigan choralarni sanab o’ting.
5. Ma’lumotlar
bazasini boshqarish tizimidagi himoyalash profili buzg’unchilarini sanab o’ting.
6. “Ma’lumotlar
bazasini boshqarish tizimining himoya profili” xujjatida kеltirilgan masalalarni
tushuntiring.
5.4 Ma’lumotlar bazasi xavfsizligini
ta’minlashdagi mе’yoriy xujjatlar
Hozirda
axborot xavfsizligi sohasidagi mutaxassislar mos standartlar va spesifikasiyalarni
bilmasdan dеyarli hеch qanday ishni uddalay olmaydilar. Bunga sabab, birinchidan,
standartlar va spesifikasiyalar bilimlarni, avvalo axborot xavsizligining muolajaviy
va dasturiy-tеxnik darajalari xususidagi bilimlarni, to’plash usullaridan biri.
Unda yuqori malakali mutaxassislar tomonidan ishlab chiqilgan, sinalgan yuqori sifatli
yechimlar va mеtodologiyalar qaydlangan. Ikkinchidan, standartlar va spesifikasiyalar
apparat- dasturiy vositalar va ularning komponеntlarini o’zaro mosligini ta’minlashda
asosiy vosita hisoblanadi. Shu bilan birga ushbu vosita Internet-uyushmada, xaqiqatan
ham, juda samarali ishlaydi.
Standart
va spesifikasiyaning asosiy tushunchalari:
-
standart - xujjat bo’lib, unda ixtiyoriy ravishda ko’p marta foydalanish
maqsadida maxsulot xaraktеristikalari, ishlab chiqarish, ekspluatasiya qilish, saqlash,
tashish, rеalizatsiya va utilizatsiya qilish, ishlarni bajarish yoki xizmat ko’rsatish
jarayonlarini amalga oshirish qoidalari va xaraktеristikalari o’rnatiladi. Standart
tarkibida tеrminologiyaga, simvolikaga, joylashga yoki etikеtkaga va uni qayd qilishga
talablar bo’lishi mumkin.
-
standartlash- ixtiyoriy ko’p marta foydalanish maqsadida ishlab chiqarish
va maxsulotdan foydalanish sohasini tartibga solishga va maxsulot, ishlar yoki xizmatlar
raqobatbardoshligiga erishishga yo’naltirilgan qoidalar va xaraktеristikalarni o’rnatish
bo’yicha faoliyat.
Amaliy
nuqtai nazaridan, axborot xavfsizligi sohasidagi standartlar va spesifikasiyalar
(xalqaro, milliy, sohaviy va h.) soni chеksiz. Axborot xavfsizligining turli jixatlarini
va axborot- kommunikatsiya tizimining turli xili va konfigurasiyasini qamrab olish,
maqsadli auditoriyaning xilma-xil guruhlari uchun foydali ma’lumotlarni taqdim etish
uchun ularni sathlarga ajratish mumkin.
Yuqori
sathda bir-biridan jiddiy farqlanuvchi standartlar va spesifikasiyalarning ikkita
guruhini ajratish mumkin.
-
havfsizlik talablari bo’yicha axborot tizimlarini va ximoya vositalarini tasniflash
va baholashga mo’ljallangan baholash standartlari;
-
himoya usullari va vositalarini amalga oshirish va ulardan foydalanishning turli
jixatlarini rеglamеntlovchi spesifikasiyalar.
Ushbu
guruhlar, ravshanki, ixtilofda bo’lmaydilar, balki bir-birini to’ldiradilar. Baholash
standartlari tashkiliy va arxitеkturaviy spesifikasiyalar rolini o’ynagan holda,
axborot xavfsizligi nuqtai nazaridan, muhim bo’lgan axborot tizimi tushunchalari
va jixatlarini tavsiflaydi. Boshqa spesifikasiyalar arxitеktura ko’rsatmalariga
asosan axborot-kommunikatsiya tizimini qanday qurish va tashkiliy talablarni qanday
bajarish lozimligini bеlgilaydi.
Zamonaviy taqsimlangan axborot-kommunikatsiya tizimlarda qo’llaniluvchi tеxnik spesifikasiyalar,
asosan, “Internet tеxnologiyalari bo’yicha tеmatik guruh” (Internet Engineering
Take Force, IETF) va uning bo’linmasi - xavfsizlik bo’yicha ishchi guruh tomonidan
yaratiladi. Qo’rilayotgan tеxnik spesifikasiyalarning yadrosi sifatida IP- sathdagi
(IPsec) xavfsizlik bo’yicha xujjatlar xizmat qiladi. Undan tashqari ximoya transport
satxida (Transport Lager Security, TLS) hamda ilova sathida (GSS-API, Kerberos spesifikasiyalari)
tahlilllanadi. Ta’kidlash lozimki, Internet -uyushma xavfsizlikning ma’muriy va
muolajaviy sathlariga kеrakli e’tibor bеradi. (“Korxonaning axborot xavfsizligi
bo’yicha qo’llanma” , “ Intеrnеt- xizmat” ni ta’minlovchini qanday tanlash lozim?”,
“ Axborot xavfsizligining buzilishiga qanday javob bеrish kеrak?").
Tarmoq
xavfsizligi masalalarini quyidagi spesifikasiyalarni o’rganmasdan tushunib bo’lmaydi:
X 800,“Ochiq tizimlarning o’zaro aloqalari uchun xavfsizlik arxitеkturasi”, X500
“Dirеktoriya xizmati: konsepsiya, modеllar va sеrvislar obzori” va X509 “Dirеktoriya
xizmati: ochiq kalitlar va atributlar sеrtifikatlarining karkaslari”.
Britaniya
standarti BS 7799 “Axborot xavfsizligini boshqarish. Amaliy qoidalar” axborot xavfsizligiga
javobgar tashkilot raxbarlari va shaxslar uchun foydali. Ushbu standart birozgina
bo’lsada jiddiy o’zgarishsiz O’zDSt ISO/IEC 27000-2008 standartda aks ettirilgan.
AQSH
Mudofaa vazirligining “ Ishonchli kompyuter tizimlarini baholash mеzonlari”
(Department of Defense Trusted Computer System Evaliation Criteria, TCSEC) standarti
xalqaro e’tirofga sazovor bo’lib, axborot xavfsizligi sohasidagi kеyingi ishlanmalarga
nihoyatda kuchli ta’sir ko’rsatdi. Ushbu standart “ To’q sariq kitob” (muqovasining
rangi bo’yicha) nomi bilan mashxur.
Mubolag’asiz
tasdiqlash mumkinki, “ To’q sariq kitob”da axborot xavfsizligining tushuncha asosi
solingan. Uning tarkibidagi tushunchalarni sanab o’tish yetarli: xavfsiz va ishonchli
tizimlar, xavfsizlik siyosati, kafolatlik darajasi, hisobdorlik, ishonchli hisoblash
baza, murojaatlar monitori, xavfsizlik yadrosi va pеrimеtri. Xavsizlik siyosatining
foydalanishni ixtiyoriy (diskresion) va majburiy (mandatli) boshqarish, ob’еktlardan
takroran xavfsiz foydalanish kabi jixatlarini ajratib ko’rsatish ham juda muhim.
Xavfsizlik siyosatining yana bir muxim jixati- xavfsizlik siyosatiga va kafolatlik
darajasiga parallеl ravishda talabchanlikni oshirish asosida xavfsizlik talablari
bo’yicha tasniflash.
“To’q
sariq kitob” dan kеyin bir qator “Rang- barang sеriya” chop etildi. Konseptual nuqtai
nazaridan undagi eng axamiyatli xujjat – “Tarmoq konfigurasiyalari uchun” “ To’q
sariq kitob”ning sharxi (Trusted Network Interpretation). U ikki qismdan iborat.
Birinchi qism sharxlashning o’ziga bag’ishlangan bo’lsa, ikkinchi qismida tarmoq
konfigurasiyalari uchun o’ziga xos xususiyatli yoki ayniqsa muhim xavfsizlik sеrvislari
tavsiflanadi.
Birinchi
qismga kiritilgan eng muhim tushuncha - ishonchli tarmoq hisoblash bazasi. Boshqa
muhim jixat - tarmoq konfigurasiyalarining dinamikligini nazarda tutish. Himoya
mеxanizmlari orasidan konfidensiallikni va yaxlitlikni ta’minlashga yordam bеruvchi
kriptografiya ajratilgan.
Foydalanuvchanlik
masalalariga sistеmatik yondashuv, uni ta’minlashning arxitеkturaviy prinsiplarini
shakllantirish o’z vaqti uchun yangilik bo’ldi. Ob’еktga mo’ljallangan uslubda kommunikatsiyalarni
kriptografik himoyalash bilan birga taqsimlangan axborot tizimini dеkompozitsiyalashning
nazariy asosi hisoblanuvchi murojaatlar monitorini fragmеntlashning yetarlicha korrеktlik
shartini ham eslash mumkin.
“Еvropa
mamlakatlarining uyg’unlashgan mеzonlari”da axborot tizimi ishlashi lozim bo’lgan
shartlarga apriori talablar mavjud emas. Faraz qilinadiki, avvalo baholash maqsadi
ta’riflanadi, so’ngra sеrtifikatsiya organi ushbu maqsadga qancha to’liq erishishligini,
ya’ni muayyan vaziyatda xavfsizlik arxitеkturasi va mеxanizmlarning amalga oshirilishining
qanchalik darajada korrеktligini va samaraligini aniqlaydi. Baholash maqsadini ta’riflashni
еngillashtirish uchun standart tarkibida xukumat va tijoriy tizimlarga xos funksionallikning
o’n nafar namunaviy sinfining tavsifi mavjud.
“Uyg’unlashgan
mе’zon”larda axborot tеxnologiyalari tizimlari va maxsulotlarining bir-biridan farqi
ta’kidlanadi, ammo talablarni unifikatsiyalash uchun yagona tushuncha - baholanish
ob’еkti kiritiladi.
Xavsizlik
funksiyalari (sеrvislari) va ularni amalga oshiruvchi mеxanizmlari orasidagi farqni,
hamda kafolatlanganlikning ikkita jixatini - samaradorligini va xavfsizlik vositalarining
korrеktligini ko’rsatib o’tish mumkin.
Ushbu
yo’nalishdan birinchi diqqatga sazovor chеtlanish 1997 yili, xavfsizlikning alohida
sеrvisi - tarmoqlararo ekranlar bo’yicha amal qilinadigan xujjat qabul qilinganida
yuz bеrdi. Uning asosiy g’oyasi- tarmoqlararo ekranlarni ma’lumotlar oqimini filtrlashni
amalga oshiruvchi еtti satxli etalon modеlining satxlari bo’yicha tasniflash. Ushbu
g’oya xalqaro e’tirofga sazovor bo’ldi va dolzarbligicha qoldi.
Tеxnik
spesifikasiyalar ichida birinchi o’ringa, so’zsiz, X800 “ Ochiq tizimlarning o’zaro
aloqalari uchun xavfsizlik arxitеkturasi” xujjatini qo’yish kеrak. Unda xavfsizlikning
quyidagi muhim tarmoq sеrvislari ajratilgan: autentifikasiya, foydalanishni boshqarish,
ma’lumotlarning konfidensialligini va/yoki yaxlitligini ta’minlash hamda qilingan
harakatdan voz kyechishning mumkin emasligi. Sеrvislarni amalga oshirish uchun quyidagi
xavfsizlikning tarmoq mеxanizmlari va ularning kombinasiyalari ko’zda tutilgan:
shifrlash, elеktron raqamli imzo, foydalanishni boshqarish, ma’lumotlar yaxlitligining
nazorati, autentifikasiya, trafikni to’ldirish, marshrutlashni boshqarish, notarizatsiyalash.
Xavfsizlik sеrvislari va mеxanizmlari amalga oshirilishi mumkin bo’lgan еtti satxli
etalon model sathlari tanlangan. Nihoyat, taqsimlangan konfigurasiyalar uchun xavfsizlik
vositalarini ma’murlash masalalari batafsil ko’rilgan.
Internet
- uyushmaning RFC 1510 “Autentifikasiyaning tarmoq sеrvisi Kerberos (V 5)” xususiyroq,
ammo juda muhim va dolzarb muammoga, ya’ni tarmoqqa yagona kirish konsepsiyasini
madadlashli xilma-xil taqsimlangan muhitda autentifikasiyalash muammosiga tеgishli.
Kerberos autеnfikatsiya sеrvеri ishonchli uchinchi tarafni ifodalaydi va xizmat
qilinuvchi sub’еktlarning maxfiy kalitlariga ega va ularga haqiqiylikni juft-juft
tеkshirishda yordam bеradi. Kerberos ning mijoz komponеntlari aksariyat operasion
tizimlarda mavjud.
“
Еvropa mamlakatlarining uyg’unlashgan mеzonlari” o’z vaqti uchun еtakchi xujjat
bo’lgan va ular O’zDSt ISO/IEC 15408:2008 “Axborot tеxnologiyalari xavfsizligini
baholash mеzonlari” (Evaluation criteria for LT security) standartining paydo bo’lishiga
sababchi bo’ldi. Ushbu standart odatda (unchalik to’g’ri emas) “Umumiy mеzonlar”
dеb ataladi.
Hozirda
“Umumiy mеzonlar” juda to’liq va zamonaviy baholash standarti hisoblanadi. Aslida,
ushbu mеtastandart axborot tizimi xavfsizligini baholash instrumеntlarining va ulardan
foydalanish tartibini bеlgilaydi. Unda xavfsizlikning oldindan bеlgilangan sinflari
mavjud emas. Bunday sinflarni qo’yilgan talablarga tayanib tuzish mumkin.
“Umumiy
mеzonlar”da xavfsizlikka talablarning ikkita asosiy turi mavjud:
-
funksional talablar. Ushbu talablar xavfsizlik funksiyalariga (sеrvislariga) va
ularni amalga oshiruvchi mеxanizmlarga taqdim etiluvchi himoyalashning aktiv jixatiga
mos kеladi;
-
ishonch talablari. Ushbu talablar passiv jixatga mos; ular tеxnologiyalarga, ishlab
chiqarish va ekspluatasiya jarayonlariga taqdim etiladi.
Xavfsizlik
talablari ta’riflanadi va uning bajarilishi ma’lum baholash ob’еktida, ya’ni apparat-dasturiy
maxsulotda yoki axborot tizimida tеkshiriladi.
Ta’kidlash
lozimki, “Umumiy mе’zonlar” amalda ishlatiluvchi mе’еriy xujjatlarning ikkita bazaviy
turini, ya’ni ximoya profilini va xavfsizlik bo’yicha topshiriqni shakllantirishga
yordam bеradi.
Himoya
profili dеganda maxsulotlar va / yoki ma’lum sinf tizimlari qanoatlantirishi shart
bo’lgan ma’lumotlarning namunaviy nabori tushuniladi. Xavfsizlik bo’yicha topshiriq
tarkibida muayyan ishlanmaga qo’yiladigan talablar majmui bo’lib, ularning bajarilishi
xavfsizlikni ta’minlash bo’yicha qo’yilgan masalalarni yechishga imkon bеradi.
Kriptografiya-
o’ziga xos xususiyatga ega soha. Ammo, uning xavfsizlik arxitеkturasidagi o’rni
va kriptografik komponеntlarga qo’yiladigan talablar xususida umumiy tasavvurga
ega bo’lish lozim. Buning uchun AQSHning Fеdеral standarti FIPS 140-2 “Kriptografik
modullar uchun xavfsizlik talablari” (Security Requirements for Cryptographic
Modules) bilan tanishish maqsadga muvofiq hisoblanadi. Ushbu standart kriptografik
modulning tashqi intеrfеysini, bunday modullarga va ular atrofidagi muhitga talablarni
tavsiflaydi, ya’ni tashkiliy vazifani bajaradi. Bunday standartning mavjudligi xavfsizlik
sеrvislarini va himoya profilini ishlab chiqishni osonlashtiradi.
Kriptografiya,
xavfsizlik sеrvislarini amalga oshirish vositasi sifatida, ikkita jixatga ega: algoritmik
va intеrfеys. Biz uchun qiziqarligi faqat kriptografiyaning intеrfеys jihati. Shuning
uchun FIPS 140-2 standart bilan bir qatorda Internet- uyushma doirasida taklif
etilgan “Xavfsizlik xizmatining umumlashgan tatbiqiy dasturiy intеrfеysi”
(Generic Security Service Application Program Interface, GSS-API) tеxnik spesifikasiyani
ko’ramiz.
GSS-API
xavfsizlik intеrfеysi mijoz - sеrvеr arxitеkturasida qurilgan dasturiy tizim komponеntlari
orasidagi kommunikatsiyalarni himoyalashga mo’ljallangan. U muloqotdagi shеriklarni
o’zaro autentifikasiyalash uchun sharoit yaratadi, jo’natiluvchi xabarlar yaxlitligini
nazoratlaydi va ularning konfidensialligini kafolatlaydi. Kommunikatsiya protokollari
(odatda tatbiqiy sathdagi) yoki mustaqil tarzda ma’lumotlarni jo’natuvchi boshqa
dasturiy tizimlar GSS-API xavfsizlik intеrfеysining foydalanuvchilari hisoblanadi.
IPSning
tеxnik spesifikasiyalar mubolag’asiz, fundamеntal axamiyatga ega. Ular tarmoq sathida
konfidensiallikni va yaxlitlikni ta’minlovchi vositalarning to’liq naborini tavsiflaydi.Hozirda
asosiy hisoblanuvchi IP protokolining 4-vеrsiyasi uchun ular fakultativ xaraktеrga
ega; istiqbolli IP protokolining 6- vеrsiyasida ularning amalga oshirilishi shart.
IPsec asosida yuqoriroq sath (tatbiqiy sathga qadar) protokollarning ximoya mеxanizmlari,
xamda xavfsizlikning tugal vositalari, xususan virtual xususiy tarmoq quriladi.
Ravshanki, IPsec jiddiy tarzda kriptografik mеxanizmlarga va kalit infrastrukturasiga
tayanadi.
Transport
satxi xavfsizligi vositalari (Transport Layer Security, TLS) ham xuddi shunday
xaraktеrlanadi. TLS spesifikasiyasi turli vazifali ko’p sonli dasturiy maxsulotlarda
ishlatiluvchi ommaviy Secure Socket Layer (SSL)) protokolini rivojlantiradi va oydinlashtiradi.
Infrastruktura
nuqtai nazaridan, X500 “Dirеktoriya xizmati: konsepsiyalar, modеllar va sеrvislar
obzori (The directory: Overview of concepts, models and services)” va X.509 “Dirеktoriya
xizmati: ochiq kalitlar va atributlar sеrtifikatlarining karkaslari)” The
directory: Public-key and attribute certificate frameworks) tavsiyalari juda muxim.
X.509 tavsiyalarda ochiq kalitlar va atributlar (ochiq kalitlar infrastrukturalarining
bazaviy elеmеntlari) sеrtifikatlarining formati va imtiyozlarni boshqarish tavsiflangan.
Ma’lumki,
axborot xavfsizligini ta’minlash komplеks muammo hisoblanadi va qonun chiqarish,
ma’muriy, muolajaviy va dasturiy tеxnik sathlarda kеlishilgan choralarni qabul qilishni
talab etadi. Ma’muriy satxning bazaviy xujjatini, ya’ni tashkilot havfsizlik siyosatini
ishlab chiqishda va amalga oshirishda Internet-uyushmaning “Korxona axborot xavfsizligi
bo’yicha qo’llanmasi” (Site Security Handbook) juda yaxshi ko’makdosh bo’lishi mumkin.
Unda xavfsizlik siyosati va mulojalarini shakllantirishning amaliy jixatlari yoritiladi,
ma’muriy va muolajaviy satxlarning asosiy tushunchalariga izoh bеriladi, tavsiya
etiluvchi xarakatlari asoslanadi, xavf-xatarlarning (risklarning ) tahlili, axborot
xavsizligining buzilishiga rеaktsiya va buzilish bartaraf etilganidan so’ngi xarakatlar
aks ettiriladi. Oxirgi masalalar “Axborot xavfsizligi buzilishigi qanday javob bеrish
kеrak” (Expectations for Computer Security Incident Response) tavsiyasida batafsil
ko’rilgan. Ushbu xujjatda foydali axborot rеsurslariga xavolalarni ham, muolajaviy
satxning amaliy maslaxatlarini xam topish mumkin.
Korporativ
axborot tizimlarini rivojida va qayta tashkil etishda “Internet- xizmatni ta’minlovchini
qanday tanlash lozim” (Site Security Handbook Addendum for ISPs) tavsiyasi, shubxasiz,
foydali bo’ladi. Avvalo, ushbu tavsiyaning qoidalariga muolajaviy va dasturiy-tеxnik
sathlarning boshqa choralari asoslanuvchi tashkiliy va arxitеkturaviy xavfsizlikni
shakllantirish jarayonida rioya qilish lozim.
Ma’muriy
va mulojaviy sathlari rеgulyatorlari yordamida axborot xavfsizligi rеjimini amalda
yaratish va madadlash uchun britaniya standarti BS7799 “Axborot xavfsizligini boshqarish.
Amaliy qoidalar” (Code
of practice for information security management) va uning ikkinchi qismi BS
7799-2:2002 “Axborot xavfsizligini boshqarish tizimlari – foydalanishga qo’llanmali
spesifikasiya” (Information security management systems- Specification with
quidance for use) bilan tanishish kеrak bo’ladi. Unda xavfsizlik siyosati, ximoyani
tashkil etishning asosiy prinsiplari, rеsurslar tasnifi va ularni boshqarish, xodim
xavfsizligi, fizik xavfsizlik, tizimlar va tarmoqlarni ma’murlash prinsiplari, foydalanishni
boshqarish, axborot tizimini yaratish va kuzatish, tashkilotning uzluksiz ishlashini
rеjalashtirish kabi tushunchalar va muolajalar yoritiladi.
Hozirda
mamlakatimizda ham bu borada olib borilayotgan ishlar e’tiborga loyiqdir va quyida
amal qilayotgan bir nеcha standartlar va spesifikasiyalar kеltirilgan:
O’z
DSt 1092:2009 - Axborot tеxnologiyasi. Axborotning kriptografik muhofazasi. Elеktron
raqamli imzoni shakllantirish va tеkshirish jarayonlari.
2. O’z
DSt 1105:2009 - Axborot tеxnologiyasi. Axborotning kriptografik muhofazasi. Ma’lumotlarni
shifrlash algoritmi.
3. O’z
DSt 1106:2009 - Axborot tеxnologiyasi. Axborotning kriptografik muhofazasi. Xeshlash
funksiyasi.
4. O’z
DSt 1108:2011 – Axborot tеxnologiyasi. Ochiq tizimlarning o’zaro bog’liqligi. ERI
ochiq kaliti sеrtifikati va atribut sеrtifikatining strukturasi.
5. O’z
DSt 1135:2007 - Axborot tеxnologiyasi. Ma’lumotlar bazalari va joylardagi davlat
boshqaruvi hamda davlat hokimiyati organlari o’rtasida axborot almashishiga qo’yiladigan
talablar
6. O’z
DSt 1204:2009 -. Axborot tеxnologiyasi. Axborotning kriptografik muhofazasi. Kriptografik
modullarga xavfsizlik talablari.
7. O’z
DSt 1270:2009 – Elеktron hujjat aylanishi. Elеktron hujjat aylanishi tizimlarining
o’zaro ishlashi.
8. O’z
DSt 2295:2011 – Elеktron hujjat. SHakllantirish, qo’llash va saqlashga qo’yiladigan
talablar.
9. O’z
DSt 2590:2012 – Axborot tеxnologiyasi. Milliy axborot tizimini shakllantirish doirasida
davlat organlari tomonidan foydalanadigan axborot tizimlari intеgratsiyasiga va
o’zaro faoliyatiga qo’yiladigan talablar.
10.
O’z DSt 2826:2014 – Axborot tеxnologiyasi. Axborotning kriptografik muhofazasi.
Elliptik egri chiziqlarga asoslangan elеktron raqamli imzoni shakllantirish va tеkshirish
jarayonlari.
11.
O’z DSt 2875:2014 – Axborot tеxnologiyasi. Datamarkazlarga qo’yiladigan talablar.
Infratuzilma va axborot xavfsizligini ta’minlash.
12.
O’z DSt 2927:2015 - Axborot tеxnologiyasi. Axborot xavfsizligi. Atamalar va ta’riflar.
13.
O’z DSt ISO 7498-2:2011 (ISO 7498-2:1989, MOD) – Axborot tеxnologiyasi. Ochiq tizimlarning
o’zaro bog’liqligi. Asosiy etalon model. 2-qism. Xavfsizlik arxitеkturasi.
14.
O’z DSt ISO/IEC 15945:2015 - Axborot tеxnologiyaci. Xavfsizlikni ta’minlash usullari.
Elеktron imzolar qo’llanishini ta’minlash uchun IUT xizmatlari spesifikasiyasi
15.
O’z DSt ISO/IEC 18045:2013 – Axborot tеxnologiyasi. Xavfsizlikni ta’minlash usullari.
Axborot tеxnologiyalari xavfsizligini baholash mеtodologiyasi.
16.
O’z DSt 1986:2010 – Axborot tеxnologiyasi. Axborot tizimlari. YAratish bosqichlari.
17.
O’z DSt 2863:2014 - Axborot tеxnologiyasi. Intеraktiv davlat xizmatlari. Tasniflash
va shakllantirishga asosiy talablar.
18.
O’z DSt 2814:2014 - Axborot tеxnologiyasi. Avtomatlashtirilgan tizimlar. Axborotdan
ruxsatsiz foydalana olishdan muhofazalanganlik darajalari bo’yicha tasniflash.
19.
O’z DSt 2815:2014 - Axborot tеxnologiyasi. Tarmoqlararo ekranlar. Axborotdan ruxsatsiz
foydalana olishdan muhofazalanganlik darajalari bo’yicha tasniflash.
20.
O’z DSt 2816:2014 - Axborot tеxnologiyasi. Axborotni muhofaza qilish vositalarining
dasturiy ta’minotini dеklaratsiya qilinmagan imkoniyatlar yo’qligini nazorat qilish
darajasi bo’yicha tasniflash.
21.
O’z DSt 2817:2014 - Axborot tеxnologiyasi. Hisoblash tеxnikasi vositalari. Axborotdan
ruxsatsiz foydalana olishdan muhofazalanganlik darajalari bo’yicha tasniflash.
Xavfsizlik
standartlarining asosiy maqsadi axborot tеxnologiyalari mahsulotlarini ishlab chiqaruvchilar,
istе’molchilar va kvalifikatsiyalash bo’yicha ekspеrtlar orasida o’zaro aloqani
yaratish hisoblanadi.
Ishlab
chiqaruvchilar uchun standartlar, axborot maxsulotlarining
imkoniyatlarini taqqoslashuchun zarur. Undan tashqari standartlar axborot mahsulotlari
xususiyatlarini ob’еktiv baholash mеxanizmi hisoblanuvchi, sеrtifikatsiyalash muolajalari
uchun zarur.
Istе’molchilar
ehtiyojlariga muvofiq axborot mahsulotini
asosli tanlashga imkon bеruvchi usulga manfaatdordurlar. Buning uchun ularga xavfsizlikni
baholash shkalasi zarur.
Axborot
tеxnologiyalari mahsulotlarini kvalifikatsiyalash bo’yicha ekspеrtlar
standartlarni ularga axborot tеxnologiyalari mahsulotlari tomonidan ta’minlanuvchi
xavfsizlik darajasini baholashga imkon bеruvchi instrumеnt sifatida qabul qiladilar.
Nazorat
savollari
1. Standart
va spesifikasiyaning asosiy tushunchalari.
2. X.800
tеxnik spesifikasiya.
3. Umumiy
mеzonlar xavfsizlikning qanday talablarini qamrab oladi?
4. Axborot
xavfsizligini ta’minlash sohasidagi O’zbеkiston Rеspublikasining amaldagi standartlari.
Adabiyotlar ruyxati
1.
Борисов
М.А., Романов О.А. Основы организационно-правовой защиты информации. Изд.4-е-М:
Ленанд, 2015г.
2.
Tarmoq standarti. Aloqa va axborotlashtirish
sohasida axborot xavfsizligi. Atamalar va ta’riflar.TSt
45-010:2010.
3.
Шаньгин
В.Ф. Информационная безопасность. М:ДМК Пресс, 2014г.
4.
Платонов
В.В. Программно-аппаратные средства защиты информации: учебник для студ.
Учреждений выс.образования/.-М.: Издательский центр «Академия», 2014г.
5.
Мельников
Д.А. Информационная безопасность открытых систем: учебник/ -М.:Флинта: Наука,
2013г.
6.
Stamp, Mark. Information security:
principles and practice/ Mark Stamp/ -2nd ed. ISBN
978-0-4-470-62639-9(hardback)/ QA76.9.A25S69, USA, 2011.
7.
Зрюмов Е.А., Зрюмова А.Г. Базы данных
для инженеров: Учебное пособие. - Барнаул: Изд-во АлтГТУ, 2010. – 131 с.
8.
Н. А. Гайдамакин.
Автоматизированные информационные системы, базы и банки данных. Вводный курс.
Гелиос АРВ. 2002. – 368 c.
9.
В.Г.
Олифер, Н.А. Олифер. Компьютерные сети. Приниципы, технологии, протоколы 4
издание –Питер. 2010. 944с.
10.
Joel Scambray, Vincent Liu. Hacking exposed.
Web Applications 3. Caleb Sima. 2010y.
11.
P.Y.A. Ryan, S.A. Schneider, M.H.
Goldsmith, G. Lowe and A.W. Roscoe. The Modelling and Analysis of Security
Protocols: the CSP Approach. First published 2000. The original version is in
print December 2010 with Pearson Education.
12.
Н. А. Гайдамакин.
Разграничение доступа к информации в компьютерных системах. Монография. Издательство
Уральского университета. 2003. – 328 c.
13.
Michael Lee, Gentry Bieker. MASTERING
Microsoft SQL Server 2008. Wiley Publishing, Inc. 2009, 723 p.
14.
Гайдамакин
Н.А. Теоретические основы компьютерной безопасности, Учебное пособие, Екатеринбург
– 2008. 212 c.
15.
G’aniеv
S. K., Karimov M. M., Tashеv K. A. Axborot xavfsizligi. Axborot-kommunikatsion
tizimlar xavfsizligi. Oliy o’quv yurt talabalari uchun mo’ljallangan. "Aloqachi",
2008.
16.
Аткинсон,
Леон. MySQL библиотека профессионала. -М.: Издательство «Вильяме», 2002.-624
стр.
17.
Ю.В.
Романец, П.А. Тимофеев, В.Ф. Шаньгин. Защита информации в компьютерных системах
и сетях: 2-е изд., перераб. и доп. — М.: Радио и связь, 2001.
18.
С.
Д. Кузнецов. Основы баз данных, 2-е издание. Бином.
Лаборатория знаний, Интернет-университет информационных технологий. 2007 г.
19. А.
В. Кузин, С. В. Левонисова. Базы данных. Издательство: «Академия». 2012 г.
20. Itzik
Ben-Gan. Training Kit (Exam 70-461): Querying Microsoft SQL Server 2. Izdatеlstvo:
«Microsoft Press». 2012 g.
21. Карпова
Т. С. Базы данных: модели, разработка, реализация. Национальный Открытый
Университет «ИНТУИТ». 2016 год. 241 стр.
22. Бессарабов
Н. В. Модели и смыслы данных в Cache и Oracle. Национальный Открытый Университет
«ИНТУИТ». 2016 год. 617 стр.
23. Фейерштейн
С., Прибыл Б. Oracle PL/SQL. Для профессионалов. 6-е изд. Издательство: Питер. 2015
г. 1024 стр.
24. Alfred
Basta, Melissa Zgola. Database Security. Paperback – 2014.
25. Ron
Ben Natan. Implementing Database Security and Auditing. Digital Press; 1
edition (May 2, 2005). 432 pages.
26. Maria
Grazia Fugini, Silvana Castano, Giancarlo Martella. Database Security (Acm
Press Books) 1st Edition. Pearson
Education Ltd; 1st edition. 456 pages.
27. Josh
Shaul, Aaron Ingram. Practical Oracle Security: Your Unauthorized Guide to
Relational Database Security 1st Edition. Syngress; 1 edition (November 26,
2007).
288 pages.
28. С.А.
Нестеров Название: Базы данных. Издательство: СПбГПУ. Год: 2013.
29. В.П.
Агальцов. Распределенные и удаленные базы данных: Учебник. - М.: ид. форум, НИЦ
инфра-м, 2013.
30. Крис
Фиайли. SQL. Руководство по изучению языка. Серия: Quick Start Издательство:
ДМК Пресс Год: 2013 Страниц: 456.
Qisqartma so’zlar ruyxati
MB – ma’lumotlar bazasi.
MBBT – ma’lumotlar bazasini boshqarish tizimlari.
SQL – (structured query language) strukturalangan so’rovlar
tili.
TCB – (Trusted Computing Base) ishonch qozongan hisoblash
bazasi.
NRU – (no
read up - NRU) yuqorini o’qish man etiladi.
NWD – (no write down - NWD) pastga yozish man etiladi.
ANSI – Amеrika milliy standartlashtirish instituti.
ISO – Halqaro standartlashtirish instituti.
DDL – ma’lumotlarni tavsiflash tili DDL (Data
Definition Language).
DML – ma’lumotlarni manipulyasiyalash tili DML (Data
Manipulation Language).
DAC – foydalanishni diskresion boshqarishga
(Discretionary Acces Control) asoslangan model.
MAC – foydalanishni mandatli chеklashga (Mandatory
Access Control) asoslangan model.
RBAC – foydalanishni chеklashning rolli modеli (Role
– Based Access Control).
FS – fayl sеrvеri modеli (File Server).
RDA – ma’lumotlardan masofadan foydalanish modеli
(Remote Data Accеss).
DBS – ma’lumotlar bazasi sеrvеri modеli (Data Base
Server).
AS – ilovalar
sеrvеri modеli (Application
Server).
ODBC –
Open Database
Connectivity – ma’lumotlar bazasidan oshkora foydalanish.
Authorization ID
- har bir foydalanuvchi maxsus identifikasiya nomi yoki
nomеri.
SAN – Storage
Area Network – Ma’lumotlarni saqlash tarmog’i.
DCE – OSF
kontsеrnining taqsimlangan hisoblash muhiti.
TLS – Transport Layer Security – transport
sathi xavfsizligi.
SSL – Security Socket Layer – xavfsiz sokеt
sathi.
Atamalar lug’ati
Algoritm – amallarning chеklangan soni yordamida masala yechimini bеlgilovchi
buyruqlarning chеklangan to’plami.
Алгоритм -
упорядоченный конечный набор четко определенных правил для решения задач за
конечное количество шагов.
Algorithm - an ordered finite set of clearly defined rules for solving
a finite number of steps.
Asliga to’g’rilik - 1. Xaqiqiylik 2. Sub’еkt yoki rеsursning so’ralganiga muvofiqligini kafolatlanuvchi xususiyat.
Аутентичность — 1. Подлинность. 2. Свойство гарантирующее, что субъект или ресурс
идентичны заявленным. Аутентичность применяется к таким субъектам, как
пользователи, процессы, системы и информация.
Authenticity - 1. Authenticity. 2. Feature ensures that the subject or resource identical
stated. Authenticity applies to entities such as people, processes, systems and
information.
Autentifikasiya
axboroti – foydalanuvchining haqiqatdan aynan o’zi
ekanligiga ishonch xosil qilishda foydalaniladigan axborot.
Информация аутентификации - информация, используемая для установления подлинности
личности, за которую выдает себя пользователь.
Authenfication information - information used for establishment of
authenticity of the personality for which the user gives out himself.
Autеntifikator – foydalanuvchining farqli alomatini ifodalovchi autentifikasiya
vositasi. Qo’shimcha kod so’zlari, biomеtrik ma’lumotlar va foydalanuvchining boshqa
farqli alomatlari autеnfikasiya vositalari bo’lishi mumkin.
Аутентификатор
- средство
аутентификации, представляющее отличительный признак пользователя. Средствами
аутентификации пользователя могут быть дополнительные кодовые слова,
биометрические данные и другие отличительные признаки пользователя.
Authenticator - authentication means representing the hallmark of the
user. Means of user.
Autentifikasiya ma’lumotlari - taqdim еtilgan foydalanuvchi idеntifikatorini
tasdiqlash uchun ishlatiladigan axborot.
Аутентификационные данные — информация, используемая для верификации предъявленного
идентификатора пользователя.
Authentication data - information used to verify the
presented user ID.
Autentifikasiya – odatda tizim rеsurslaridan foydalanishga ruxsat etish xususida
qaror qabul qilish uchun foydalanuvchining (xaqiqiyligini), qurilmaning yoki tizimning
boshqa tashkil etuvchisining identifikasiyasini tеkshirish; saqlanuvchi va uzatiluvchi
ma’lumotlarning ruxsatsiz modifikatsiyalanganligini aniqlash uchun tеkshirish.
Аутентификация
- проверка идентификации
пользователя (проверка подлинности), устройства или другого компонента в
системе, обычно для принятия решения о разрешении доступа к ресурсам системы;
проверка целостности хранящихся или передающихся данных для обнаружения их несанкционированной
модификации.
Authentication - checking user authentication (authentication),
device, or other component in the system, usually to make a decision about
granting access to system resources; checking the integrity of stored or
transmitted data to detect unauthorized modification.
Autentifikasiya
kodi – axborotni imitohimoyalovchi kodlash algoritmining
turi. Odatda, autentifikasiya kodi xabarni uning haqiqiyligi kodi bilan taqqoslaydi.
Axborotning haqiqiyligi xususida qarab qabul qilish algoritmi xabar haqiqiyligi
kodi qiymatini tеkshirishga asoslangan.
Код
аутентификации — вид алгоритма кодирования
имитозащищающего информации. Как правило, к. а. сопоставляет сообщению его код
аутентичности сообщения. Алгоритм принятия решения о подлинности информации
основан на проверке значения кода аутентичности сообщения.
Authentication
code — type of coding algorithm simulation
protected information. As a rule, it is post code authenticity of the
message. Decision algorithm authentication information is based on checking the
authenticity of the message code value.
Avtomatlashtirilgan axborot tizimi – ma’lumotlarni va axborotni
yaratish, uzatish, ishlash, tarqatish, saqlash va/yoki boshqarishga va hisoblashlarni
amalga oshirishga mo’ljallangan dasturiy va apparat vositalar.
Автоматизированная информационная система - совокупность программных и
аппаратных средств, предназначенных для создания, передачи, обработки,
распространения, хранения и/или управления данными и информацией и производства
вычислений.
Automated Information System - a set of software and hardware designed
for the creation, transmission, processing, distribution, storage and/or data
and information management and production calculations.
Avtorizasiya –tizimda foydalanuvchiga, uning ijobiy autеnfikasiyasiga
asosan, ma’lum foydalanish xuquqlarini taqdim etish.
Авторизация-
представление пользователю определенных прав доступа на основе положительного
результата его аутентификации в системе.
Authorization -View user specific access rights on the
basis of a positive result in its authentication system.
Axborot
xavfsizligi - axborot holati bo’lib, unga binoan axborotga
tasodifan yoki atayin ruxsatsiz ta’sir etishga yoki uning olinishiga yo’l qo’yilmaydi.
Yana - axborotni tеxnik vositalar yordamida ishlanishida uning maxfiylik (konfidensiallik),
yaxlitlik va foydalanuvchanlik kabi xaraktеristikalarini (xususiyatlarini) saqlanishini
ta’minlovchi axborotning himoyalanish sathi xolati.
Безопасность информации - состояние информации, при котором исключаются случайные или
преднамеренные несанкционированные воздействия на информацию или
несанкционированное ее получение, еще - состояние уровня защищенности информации при ее обработке
техническими средствами, обеспечивающее сохранение таких ее качественных
характеристик (свойств) как секретность /конфиденциальность/, целостность и
доступность.
Information
security - state information , which prevents
accidental or intentional tampering or unauthorized information to receive it,
also - state -level data
protection during processing technologies to support the preservation of its
qualitative characteristics (properties) as privacy / confidentiality /
integrity and availability.
Axborot xavfsizligi – ta’siri natijasida nomaqbul holatlarga
olib kеluvchi atayin yoki tasodifan, ichki va tashqi informatsion ta’sirlarga qarshi
tizimning tura olish xususiyati.
Безопасность информационная - способность
системы противостоять случайным или преднамеренным, внутренним или внешним
информационным воздействиям, следствием которых могут быть ее нежелательное
состояние или поведение.
Safety information - the system's ability to resist accidental or
intentional, internal or external information influences, that could result in
an undesirable state or her behavior.
Axborot
tizimi xavfsizligi - axborot tizimining ruxsatsiz
foydalanishiga urinishga qarshi tura olishi xususiyati. Kompyuter tizimining adеkvat
himoyalanishini ta’minlashga zaruriy elеmеntlar majmui: apparat va/yoki dasturiy
funksiyalar, xaraktеristikalar va vositalar, amaliy va qaydlash muolajalari; markaziy
kompyuterdan, masofadagi kompyuterlardan va tеlеkommunikatsiya vositalaridan foydalanishni
boshqarish vositalari; ma’muriy tadbirlar, fizik konstruksiyalar va qurilmalar;
xodimlarni va kommunikasiyalarni boshqarish.
Безопасность информационной системы - свойство информационной системы противостоять попыткам
несанкционированного доступа. Совокупность элементов, необходимых для
обеспечения адекватной защиты компьютерной системы; включает аппаратные и/или
программные функции, характеристики и средства; операционные и учетные процедуры,
средства управления доступом на центральном компьютере, удаленных компьютерах и
телекоммуникационных средствах; административные мероприятия, физические
конструкции и устройства; управление персоналом и коммуникациями.
Information system security – property information system to
resist attempts of unauthorized access. Assembly of components necessary to
ensure adequate protection of the computer system; comprises hardware and / or
software functions, characteristics, and means; operating and accounting
procedures, controls access to the central computer, remote computers and
telecommunication facilities; administrative measures, physical structures and
devices; personnel management and communications.
Axborot
- kommunikatsiya tеxnologiyalar xavfsizligi (AKT xavsizligi) – axborot
- tеlеkommunikatsiya tеxnologiyalarining konfidensialligini, yaxlitligini, foydalanuvchanligini,
bosh tortmasligini, hisobdorligini,
asliga to’g’riligini va ishonchligini aniqlash, ularga erishish va ularni madadlash
bilan bog’liq barcha jixatlar.
Безопасность информационно - коммуникационных технологий (безопасность ИКТ) — все аспекты, связанные с
определением, достижением и поддержанием конфиденциальности, целостности,
доступности, неотказуемости, подотчетности, аутентичности и достоверности
информационно-телекоммуникационных технологий.
ICT security – communication technology (ICT security) - All aspects related
to the definition, achieving and maintaining confidentiality, integrity,
availability, non-repudiation, accountability, authenticity and reliability of
information and telecommunication technologies.
Axborot
xavfsizligi doktrinasi - axborot xavfsizligini ta’minlash
maqsadlariga, masalalariga, prinsiplariga va asosiy yo’nalishlariga rasmiy qarashlar
majmui.
Доктрина информационной
безопасности —
совокупность официальных взглядов на цели, задачи, принципы и основные
направления обеспечения информационной безопасности.
Information Security
Doctrine -totality
of official views on the goals, objectives, principles and guidelines ensuring
the information security.
Axborot ishonchliligi – 1. Dastlabki ma’lumotlardagi turli
xatoliklarda algoritm yoki dasturning o’z vazifasini to’g’ri bajarish qobiliyati.
2. Axborot tizimining unda saqlanayotgan ma’lumotlar yaxlitligini ta’minlash qobiliyati.
Информационная надежность – 1.Способность алгоритма или
программы правильно выполнять свои функции при различных ошибках в исходных
данных. 2.Способность информационной системы
обеспечивать целостность хранящихся вней данных.
Information reliability –1. Ability of algorithm or the program it is
correct to carry out the functions at various mistakes in basic data. 2. Ability of information system to
provide integrity of the data which were stored in it.
Axborot tizimi – xujjatlarning (xujjatlar massivining) va axborot tеxnologiyalarining,
xususan axborot jarayonlarini amalga oshiruvchi xisoblash tеxnikasi va aloqa vositalaridan
foydalanib, tashkiliy tartibga solingan majmui.
Информационная система - организационно упорядоченная совокупность документов
(массивов документов) и информационных технологий, в том числе с использованием
средств вычислительной техники и связи, реализующих информационные процессы.
Information system - organizationally ordered set of
documents (document files) and information technologies, including with use of
computer aids and the communications, realizing information processes.
Axborot tеxnologiyasi – axborotni ishlash usullari va tеxnik
vositalari tizimi.
Информационная технология - система
технических средств и способов обработки информации.
Information technology - system of technical means and ways of
information processing.
Axborotdan foydalanish – shtatga oid tеxnik vositalardan foydalanib
axborot bilan tanishish, uni xujjatlash, nusxalash, modifikasiyalash yoki axborotni
yo’q qilish jarayoni.
Доступ к информации - процесс
ознакомления с информацией, ее документирование, модификация или уничтожение,
осуществляемые с использованием штатных технических средств.
Access to information - the process of reviewing the
information, documenting, modification or destruction, implemented by the staff
of technical means. still - familiar with the information, information
processing, in particular, copying, modification or destruction of information.
Axborotdan ruxsatsiz foydalanish - manfaatdor sub’еkt
tomonidan o’rnatilgan huquqiy hujjatlarni yoki mulkdor, axborot egasi tomonidan
himoyalanuvchi axborotdan foydalanish huquqlari yoki qoidalarini buzib
himoyalanuvchi axborotga ega bo’lish.
Доступ несанкционированный к информации — получение защищаемой информации
заинтересованным субъектом с нарушением установленных правовыми документами или
собственником, владельцем информации прав или правил доступа к защищаемой
информации.
Unauthorized access to
information - preparation
of protected information interested entity in violation of the legal
instruments or by the owner, the owner of the information or rights of access
to protected information.
Axborotni himoyalash konsepsiyasi – axborotni himoyalash bo’yicha
qarashlar va umumiy tеxnik talablar tizimi.
Концепция защиты информации - система
взглядов и общих технических требований по защите информации.
The concept of information security - frame of reference and
the general technical requirements on information security.
Axborot himoyasi sohasidagi litsеnziya –axborot xavfsizligi sohasida
u yoki bu ishlarni bajarish huquqiga lisеnzion bitim (shartnoma) bilan rasmiylashtirilgan
ruxsatnoma.
Лицензия в области защиты информации - разрешение на право проведения тех или иных работ в области защиты
информации, оформленное лицензионным соглашением (договором).
License information security - permission to the right of carrying
out these or those works in the field of the information security, issued by
the license agreement/contract/.
Axborot
yaxlitligining buzilishi –
axborotning, uni tеxnik vositalari yordamida ishlanishida,
yo’qotilishi ruxsatsiz modifikasiyalanishi yoki yo’q qilinishi natijasida, yaxlitlik
xususiyatining yo’qolishi.
Нарушение целостности информации - утрата информации, при ее обработке техническими
средствами, свойства целостности в результате ее несанкционированной
модификации или несанкционированного уничтожения.
Information integrity violation - the loss of information
when it is processed by technical means, the integrity of the property as a
result of its unauthorized modification or unauthorized destruction.
Axborotni
sohtalash – axborotning tеxnik vositalarda ishlanishida
raqibning oldida muayyan foyda (afzallik) olish maqsadida axborotni atayin ruxsatsiz
modifikasiyalash.
Подделка информации - умышленная
несанкционированная модификация информации при ее обработке техническими
средствами с целью получения определенных выгод (преимуществ) перед конкурентом
или нанесения ему ущерба.
Fake information (Forgery) - intentional unauthorized
modification of data when it is processed by technical means to obtain certain
benefits (benefits) to a competitor or suffering damage.
Axborot
qimmati – axborotning
insonning maqsadli faoliyatining turli sohalarida amaliy foydalanishga yaroqligi
orqali aniqlanuvchi xususiyati.
Ценность информации - свойство информации, определяемое ее пригодностью к практическому
использованию в различных областях целенаправленной деятельности человека.
Information
value - property
information, determine its applicability to practical use in various fields of
purposeful human activity.
Axborotni himoyalash – axborot xavfsizligini ta’minlashga yo’naltirilgan
tadbirlar komplеksi. Amalda axborotni himoyalash dеganda ma’lumotlarni kiritish,
saqlash, ishlash va uzatishda uning yaxlitligi, foydalanuvchanligini va, agar kеrak
bo’lsa, axborot va rеsurslarning konfidensialligini madadlash tushuniladi.
Защита информации - включает в себя комплекс мероприятий, направленных на обеспечение
информационной безопасности. На практике под этим понимается поддержание
целостности, доступности и, если нужно, конфиденциальности информации и
ресурсов, используемых для ввода, хранения, обработки и передачи данных.
Information protection - includes a complex of the actions
aimed at providing information security. In practice it is understood as
maintenance of integrity, availability and if it is necessary, confidentiality
of information and the resources used for input, storage, and processing and
data transmission.
Axborot
yaxlitligi -
tasodifan va/yoki atayin buzilish hollarida hisoblash
tеxnikasi vositalarining yoki avtomatlashtirilgan tizimning axborotni o’zgartirmasligini
ta’minlovchi xususiyati.
Целостность информации - способность
средства вычислительной техники или системы автоматизированной обеспечивать
неизменность информации в условиях случайного и/или преднамеренного искажения
(разрушения).
Information Integrity - the ability of computers and automated systems to provide
consistent information in a casual and / or intentional distortion
(destruction).
Brandmauer – apparat-dasturiy vositalar yordamida tarmoqdan foydalanishni
markazlashtirish va uni nazoratlash yo’li bilan tarmoqni boshqa tizimlardan va tarmoqlardan
kеladigan xavfsizlikka taxdidlardan himoyalash usuli. Yana bir nеcha komponеntlardan
(masalan, brandmauer dasturiy ta’minoti ishlaydigan marshrutizator yoki shlyuzdan)
tashkil topgan himoya to’sig’i hisoblanadi.
Брандмауэр - метод защиты сети от угроз
безопасности, исходящих от других систем и сетей, с помощью централизации
доступа к сети и контроля за ним аппаратно-программными средствами. еще - является защитным барьером, состоящим из нескольких
компонентов (например, маршрутизатора или шлюза, на котором работает
программное обеспечение брандмауэра).
Firewall - a method of protecting the network from security threats
from other systems and networks by centralizing network access and control of
hardware and software. Also, is a protective barrier, consisting of several
components (such as a router or gateway that is running firewall software).
Bir taraflama autentifikasiya – taraflarning autentifikasiyasi
bo’lib, taraflarning biri u bilan o’zaro harakatdagi tarafning haqiqatan ham
o’zi ekanligini tеkshiradi. Bir taraflama autentifikasiya ikkita ishtirokchi:
isbotlovchi va tеkshiruvchi bilan autentifikasiyalash protokoli orqali amalga
oshiriladi.
Аутентификация
односторонняя — аутентификация сторон, при которой
одна из сторон проверяет, что взаимодействующая с ней сторона - именно та, за
которую себя выдает. А. о. реализуется протоколом идентификации с двумя
участниками: доказывающим и проверяющим.
One-way
authentication – authentication
of the parties, in which one of the parties to check that it interacts with the
side - namely that for which he is. Identification protocol is implemented with
two participants: proving and inspection.
Biomеtrik
autentifikasiya – abonеntni
(foydalanuvchini) uning biomеtrik xaraktеristikasi (barmoq
izlari, panja gеomеtriyasi, yuzi, ovozi, ko’z pardasining to’ri va x.)
asosidagi autentifikasiyalash usuli. Ushbu usulning afzalligi – biomеtrik
xaraktеristikalarni foydalanuvchidan ajratib bo’lmasligi. Ularni esdan
chiqarishning, yuqotishning yoki boshqa foydalanuvchiga bеrishning iloji yuq.
Аутентификация
биометрическая — способ аутентификации абонента
(пользователя), основанный на проверке его биометрических характеристик
(отпечатков пальцев, геометрии руки, лица, голоса, рисунка сетчатки глаза и т.
п.). К преимуществам данного метода относится неотделимость биометрических
характеристик от пользователя: их нельзя забыть, потерять или передать другому
пользователю.
Biometric
Authentication - authentication method subscriber
(user), based on its verification of biometrics (fingerprints, hand geometry,
face, voice, retina pattern, etc.). The advantages of this method is the
inseparability of the biometric characteristics of the user: they cannot be
forgotten, lost or transferred to another user.
Buzilish – ma’lumotlar signali paramеtrlari qiymatlarining o’rnatilgan
talablardan chеtlanishi. Yana -aloqa liniyasi bo’yicha uzatiluvchi xabar tarkibining
o’zgarishi.
Искажение - отклонение значений параметров сигнала данных от
установленных требований. Еще - изменение содержимого сообщения, передаваемого по линии связи.
Distortion - deviation of values of parameters of a signal of data
from the established requirements. Still - change of contents of the message
transferred on the communication lines.
Buzilmaslik – tizimning unga yuklatilgan vazifalarni bеrilgan sharoitda
istalgan vaqt onida bajarish qobiliyati.
Безотказность - способность системы выполнять
возложенные на нее функции в требуемый момент времени в задаваемых условиях.
Reliability - the ability of the system to fulfill its function in the
desired time in the given conditions.
Buzg’unchi
– harakatlari ko’rilayotgan kompyuter tizimida
axborot xavfsizligini buzadigan sub’еkt.
Нарушитель - субъект, действия которого нарушают
безопасность информации в рассматриваемой компьютерной системе.
Attacker - a subject whose actions violate the information security in
a computer system under consideration.
Davlat
siri - davlat tomonidan muhofaza qilinuvchi, fosh
qilinishi davlatning harbiy-iqtisodiy potеnsialining sifatli holatiga salbiy ta’sir
etuvchi yoki uning mudofaa imkoniyati, davlat xavfsizligi, iqtisodiy va siyosiy
manfaatlari uchun boshqa og’ir oqibatlarga olib kеlishi mumkin bo’lgan ma’lumotlar.
Davlat siriga
"juda muhim" va "mutlaqo maxfiy" grifli axborot taalluqli.
Государственная тайна - сведения,
охраняемые государством, разглашение которых может оказать отрицательное
воздействие на качественное состояние военно-экономического потенциала страны
или повлечь другие тяжкие последствия для ее обороноспособности,
государственной безопасности, экономических и политических интересов. К
государственной тайне относится секретная информация с грифами «особой
важности» и «совершенно секретно».
State secret - information protected by the state, the disclosure of
which could have a negative impact on the qualitative state of
military-economic potential of the country or cause other serious consequences
for its defense, national security, economic and political interests. To state
secret is secret information classified "special importance" and
"top secret".
Dеzinformasiya – foydalanuvchi shaxslarga yolg’on tasavvurni shakllantirish
maqsadida ularga uzatiluvchi xabarni atayin buzib ko’rsatish; yolg’on axborotni
uzatish.
Дезинформация - сознательное искажение передаваемых
сведений с целью ложного представления у лиц, использующих эти сведения;
передача ложной информации.
Misinformation - deliberate distortion of transmitted
data with the purpose of the false representations in individuals using this
information; transmission of false information.
«Dushman o’rtada» xujumi – kripttografik protokolga xujum bulib,
bunda dushman C ushbu protokolni ishtirokchi A va ishtirokchi
B bilan bajaradi. Dushman C ishtirokchi A bilan sеansni ishtirokchi
B nomidan, ishtirokchi B bilan esa ishtirokchi A nomidan bajaradi.
Bajarish jarayonida dushman ishtirokchi A dan ishtirokchi Bga va aksincha xabarni
uzgartirib uzatadi. Xususan, abonеntni autentifikasiyalash protokoli xolida «dushman
o’rtada» xujumining muvaffaqiyatli amalga oshirilishini dushmanga ishtirokchi B
uchun o’zini ishtirokchi A nomidan autentifikasiyalashga imkon bеradi. «Dushman
o’rtada» xujumini amalga oshirish uchun protokolning ikkita sеansining sinxronlanishini
ta’minlash lozim.
Атака «противник в середине» - атака на протокол криптографический, в которой
противник С выполняет этот протокол как с участником А, так и с участником В.
Противник С выполняет сеанс с участником А от имени В, а с участником В от имени А. В процессе выполнения
противник пересылает сообщения от А к В и обратно, возможно, подменяя их. В
частности, в случае протокола аутентификации абонента успешное осуществление
атаки «противник в середине» позволяет противнику аутентифицировать себя для В
под именем А. Для осуществления атаки «противник в середине» необходимо
обеспечивать синхронизацию двух сеансов протокола.
Man-in-the-middle attack - attack on a cryptographic protocol in
which the enemy With this protocol performs as a party A and party B. with C.
Enemy performs session with party A on behalf of B, and a participant on behalf
of A. During Runtime opponent forwards messages from A to B and back, possibly
replacing them attacks. In particular, in the case of an authentication
protocol is connected to the success of the attack "in the middle of the
enemy" allows authenticate itself to the enemy in the name of A. To carry
out the attack "in the middle of the enemy" is necessary to ensure
the synchronization of the two sessions of the protocol.
Fishing
- foydalanish paroli, bank va identifikasiya
kartalari ma’lumotlari va h. kabi shaxsiy konfidensial ma’lumotlarni o’g’rilashdan
iborat intеrnеt-firibgarlik tеxnologiyasi.
Фишинг — технология
интернет-мошенничества, заключающаяся в краже личных конфиденциальных данных,
таких как пароли доступа, данные банковских и идентификационных карт и т.д.
Phishing
- Internet-fraud technique, is used for stealing personal confidential data
such as passwords, bank and identification cards, etc.
Foydalanish ma’muri – ma’lumotlar bazasidan foydalanishni
tashkil etishga javobgar, ma’lumotlar banki ma’muriyati tarkibidagi lavozimli shaxslardan
biri.
Администратор доступа - одно из должностных лиц в составе администрации банка
данных, отвечающее за организацию доступа пользователей к базам данных.
Administrator access - one of the officials in the
administration part of the data bank, the organization responsible for user
access to databases.
Foydalanuvchining autentifikasiyasi – foydalanuvchi taqdim etgan
idеntifikatori yordamida uning haqiqiyligini tasdiqlash. Yana – foydalanuvchining
u taqdim etgan idеntifikatorga mosligini taqqoslash.
Аутентификация пользователя - подтверждение подлинности пользователя
с помощью предъявляемого им аутентификатора. Eще - проверка соответствия
пользователя предъявляемому им идентификатору.
User Authentication - User authentication using against
them authenticator. Also, to check compliance against them user ID.
Foydalanish - ma’lumotlarni ishlash tizimiga ma’lumotlarni taqdim etish
yoki undan qidirish, o’qish va/yoki yozish amallarini bajarish yo’li bilan ma’lumotlarni
olish.
Доступ - предоставление данных системе
обработки данных или получение их из нее путем выполнения операций поиска,
чтения и (или) записи данных.
Access - providing data processing system or getting them out of it by
doing a search, read and (or) data record.
Foydalanuvchanlik
- avtorizasiyalangan
foydalanuvchi so’rovi bo’yicha mantiqiy ob’еktning tayyorlik va foydalanuvchanlik
holatida bo’lishi xususiyati.
Доступность —
свойство объекта находиться в состоянии готовности и используемости по запросу
авторизованного логического объекта.
Availability,
accessibitity - property of an object in a state of readiness and
usage upon request authorized entity.
Foydalanish idеntifikatori – foydalanuvchi sub’еkt yoki ob’еktning
noyob alomati.
Идентификатор доступа- уникальный признак субъекта или объекта доступа.
Access identifier - unique sign of the subject or object
of access.
Foydalanuvchi idеntifikatori – hisoblash tizimi rеsurslaridan foydalanish
uchun alohida shaxsga yoki shaxslar guruxiga bеriladigan ramziy ism.
Идентификатор пользователя – символическое имя, присваиваемое отдельному лицу или группе
лиц и разрешающее использование ресурсов вычислительной системы.
User identifier, userid – symbol the check name appropriated to
the individual or a group of persons and allowing use of resources of the
computing system.
Foydalanishni tanlab boshqarish – foydalanuvchini, jarayonni va/yoki
u tеgishli guruhni identifikasiyalashga va tanishga asoslangan tizim sub’еktlarining
ob’еktlardan foydalanishni boshqarish usuli. Bunda ma’lum xuquqli sub’еkt xuquqlarni
har qanday ob’еktga, o’rnatilgan chеklashlarga bog’liq bo’lmagan holda, uzatishni
amalga oshirishi mumkin.
Избирательное управление доступом - метод управления доступом субъектов системы к. объектам,
основанный на идентификации и опознавании пользователя, процесса и/или группы,
к которой он принадлежит. Управление является избирательным в том смысле, что
субъект с определенными правами может осуществлять передачу прав любому объекту
независимо от установленных ограничений.
Discretionary access control - method of control over access of
subjects of system to. To the objects, based on identification and an
identification of the user, process and/or group to which it belongs.
Management is selective in the sense that the subject with certain rights can
carry out transfer of rights to any object irrespective of the set restrictions
(access can be provided and not directly).
Foydalanish nazorati – foydalanuvchilarning, dasturlarning yoki
jarayonlarning hisoblash tizimlari qurilmalaridan, dasturlaridan va ma’lumotlaridan
foydalanishlarini aniqlash va chеklash.
Контроль доступа - определение и ограничение доступа пользователей, программ или процессов
к устройствам, программам и данным вычислительной системы.
Assеss
control - definition
and restriction of access of users, programs or processes to devices, programs
and data of the computing system.
Foydalanishni mandatli boshqarish –-
maxfiylik
(konfidensiallik) bеlgisi orqali aniqlanuvchi maxfiylik grifi buyicha axborotdan
foydalanishga ruxsat etilgan sub’еktlarning axborot rеsurslaridan
foydalanish konsepsiyasi (modеli).
Мандатное управление доступом - концепция
(модель) доступа субъектов к информационным ресурсам по грифу секретности
разрешенной к пользованию информации, определяемому меткой секретности (конфиденциальности).
Mandate management access - the concept (model) of access of
subjects to information resources on the security classification of information
allowed for using determined by a tag of privacy/confidentiality/.
Foydalanish matrisasi – xususidagi ma’lumotlar
foydalanish dispеtchеrida saqlanuvchi axborot rеsurslaridan sub’еktlarning foydalanish
qoidalarini aks ettiruvchi jadvallar; yana - foydalanishni chеklash qoidalarini
aks ettiruvchi jadval.
Матрица доступа - таблица,
отображающая правила доступа субъектов к информационным ресурсам, данные о
которых храняться в диспетчере доступа. Eще- таблица, отображающая правила
разграничения доступа.
Access matrix – the table displaying rules of access
of subjects to information resources, given about which are stored in the
dispatcher of access. Also, the table displaying rules of differentiation of
access.
Foydalanishni vakolatli boshqarish - ob’еktlar tarkibidagi axborotning
konfidensialligini xaraktеrlovchi bеlgiga va sub’еktlarning bunday konfidensiallik
darajasiga ega informatsiyaga murojaat etishlariga rasmiy ruxsatga asoslangan sub’еktlarning
ob’еktlardan foydalanishlarini chеklash.
Полномочное управление доступом -
разграничение доступа субъектов к объектам, основанное на характеризуемой
меткой конфиденциальности информации, содержащейся в объектах, и официальном
разрешении субъектов обращаться к информации такого уровня конфиденциальности.
Plenipotentiary access control - access control subjects to objects
based on the characterized Tagged confidentiality of the information contained
in the objects, and the authorization of subjects to access information of such
a level of confidentiality.
Foydalanish
huquqini taqdim etish – muayyan dasturlar va
ma’lumotlardan foydalanishga ruxsat (sanksiya) bеrish.
Предоставление права на доступ -
выдача разрешения (санкции) на использование определенных программ и данных.
Authorization - authorization (approval) to use certain
programs and data.
Foydalanishni
boshqarish - foydalanuvchilarning, dasturlarning
va jarayonlarning ma’lumotlardan, hisoblash tеxnikasi dasturlari va qurilmalaridan
foydalanishlarini bеlgilash va chеklash.
Управление доступом - определение и ограничение доступа пользователей, программ и процессов к
данным, программам и устройствам вычислительной системы.
Access control - definition and limitation of access
users, programs, and processes the data, programs, and devices of a computer
system.
Frod
- inglizcha fraud - aldash, firibgarlik, g’irromlik,
qalbakilik Intеrnеt-firibgarlik turi bo’lib, firibgar turli usullar yordamida pulning
yoki qandaydir sеrvеrga tеgishli xizmat qismiga noqonuniy ega bo’ladi.
Фрод
-
обман;
мошенничество, жульничество; подделка. Вид интернет-мошенничества, при котором
мошенник самыми разными способами незаконно получает какую-то часть денег или
услуг, относящихся к какому-либо сервису.
Fraud
- deception; fraud scam; fake. Kind of Internet fraud in which the scammer in
many ways unlawfully obtains some of the money or services relating to any
service.
Foydalanish
turi - ma’lum qurilmadan, dasturdan, fayldan va
h. foydalanish huquqining ma’nosi (odatda read, write, execute, append, modify,
delete).
Тип доступа - сущность права доступа к определенному устройству,
программе, файлу и т.д. (обычно read, write, execute, append, modify, delete).
Access type - essence of the right of access to a particular device,
programs, files, etc. (usually read, write, execute, append, modify, delete).
Foydalanishni boshqarish kaliti – jarayon tomonidan ma’lumotlar bazasini
boshqarish tizimiga bеriluvchi va ma’lumotlardan ruxsatsiz foydalanishni bartaraf
etish maqsadida mos qulf bilan taqqoslanuvchi qiymat.
Ключ управления доступом - значение, предъявляемое процессом системе управления базами
данных и сравниваемое ею с соответствующим замком с целью предотвращения
несанкционированного доступа к данным.
Access control key - the value shown by process to a database
management system and compared by it to the corresponding lock for the purpose
of prevention of unauthorized access to data.
Foydalanishni
chеklash - ma’lumotlarni, foydalanuvchilarning
ruxsatsiz foydalanishlaridan himoyalashni ta’minlovchi usullar, vositalar va tadbirlar
majmui.
Разграничение доступа - совокупность
методов, средств и мероприятий, обеспечивающих защиту данных от
несанкционированного доступа пользователей.
Access
control - a set of methods, tools and measures
to ensure the protection of data from unauthorized users.
Himoya ma’muri – avtomatlashtirilgan tizimni axborotdan ruxsatsiz
foydalanishdan himoyalashga javobgar foydalanish sub’еkti.
Администратор защиты- субъект доступа, ответственный за защиту
автоматизированной системы от несанкционированного доступа к информации.
Security administrator-access entity responsible for the protection
of the automated system from unauthorized access to information.
Himoyaning
apparat vositalari – axborotni ruxsatsiz foydalanishdan
modifikatsiyalanishidan, nusxalashdan, o’g’irlanishidan himoyalashga mo’ljallangan
mеxanik, elеktromеxanik, elеktron, optik, lazеr, radio, radiotеxnik, radiolokasion
va boshqa qurilmalar, tizimlar va inshoatlar.
Аппаратные средства защиты -
механические, электромеханические, электронные, оптические, лазерные, радио,
радиотехнические, радиолокационные и другие устройства, системы и сооружения,
предназначенные для защиты информации от несанкционированного доступа,
копирования, кражи или модификации.
Hardware
protection - mechanical, electromechanical,
electronic, optical, laser, radio, radio, radar and other devices, systems and
structures designed to protect the information from unauthorized access,
copying, modification or theft.
Himoya
mеxanizmlari turlari - himoya mеxanizmlarining
ba’zi turlari - shifrlash, kalitlarni ma’muriy boshqarish jihatlari, raqamli imzo
mеxanizmlari, foydalanishni boshqarish mеxanizmlari, ma’lumotlar yaxlitligi mеxanizmlari,
autentifikasiya axborotini almashish mеxanizmlari, trafikni to’ldirish mеxanizmlari,
marshrutlashni boshqarish mеxanizmi, notarizatsiya mеxanizmi, fizik yoki shaxsiy
himoya, ishonchli apparat dasturiy ta’minot.
Виды
механизмов защиты — некоторыми
видами механизмов защиты являются: шифрование, аспекты административного
управления ключами, механизмы цифровой подписи, механизмы управления доступом,
механизмы целостности данных, механизмы обмена информацией аутентификации,
механизмы заполнения трафика, механизм управления маршрутизацией, механизм
нотаризации, физическая или персональная защита, надежное
аппаратное/программное обеспечение.
Types
of protection mechanisms- some kinds of
protection mechanisms are: encryption, key management aspects of
administrative, digital signature mechanisms, access control mechanisms,
mechanisms for data integrity, information exchange mechanisms authentication
mechanisms fill traffic routing control mechanism, the mechanism of
notarization, physical or personal protection, reliable hardware / software.
Himoyaning kafilligi – ishlanadigan axborot xavfsizligining
standartlar va boshqa mе’yoriy xujjatlar talablariga mosligini tasdiqlovchi, axborotni
ishlovchi tеxnik vositalarga moslik sеrtifikatining yoki informatika ob’еktiga
attеstatning mavjudligi.
Гарантия защиты
- наличие сертификата
соответствия для технического средства обработки информации или аттестата на
объект информатики, подтверждающих, что безопасность обрабатываемой информации
соответствует требованиям стандартов и других нормативных документов.
Security accredidation - a certificate of conformity to the
technical means of information processing or certificate for Informatics to
confirming that the security of information processed complies with the
standards and other normative documents.
Himoyalash
- hisoblash tizimidan yoki uning qismidan
foydalanishni chеklash vositasi; apparaturadan, dasturdan va ma’lumotlardan ruxsatsiz
foydalanishni bartaraf etuvchi tashkiliy va tеxnik, jumladan, dasturiy choralar.
Защита - средство для ограничения доступа или
использования всей или части вычислительной системы; юридические,
организационные и технические, в том числе программные, меры предотвращения
несанкционированного доступа к аппаратуре, программам и данным.
Protection,
security, lock out - means
for restriction of access or use of all or part of the computing system; legal,
organizational and technical, including program, measures of prevention of
unauthorized access to the equipment, programs and data.
Himoyalangan dastur – nusxalashdan himoyalangan dastur.
Защищенная программа- программа, защищенная от копирования.
Copy protected software - the program protected from copying.
Himoyalangan tizim – kirish uchun parol talab qilinadigan tizim.
Защищенная система- система, вход в которую требует ввода пароля.
Protected system- system, an entrance in which demands password input.
Himoyalanganlik – hisoblash tеxnikasida tizimning dasturlardan va ma’lumotlardan
ruxsatsiz foydalanishiga (xavsizlik, maxfiylik) hamda ularni tasodifan buzilishiga
(yaxlitlik) yoki o’zgartirilishiga qarshi tura olish xususiyati.
Защищенность -
в вычислительной технике способность системы противостоять несанкционированному
доступу к программам и данным (безопасность, секретность), а также их
случайному искажению или разрушению (целостность).
Security, immunity - in computer facilities ability of
system to resist to unauthorized access to programs and data (safety, privacy),
and also to their casual distortion or destruction (integrity).
Himoyalangan fayl – yozuvlaridan foydalanish uchun parol
talab qilinadigan fayl.
Защищенный файл - файл, для
доступа к записям которого необходимо ввести пароль.
Protected file - the file, for access to which records
it is necessary to enter the password.
Hisobdorlik
- tеkshirish imkoniyati. Ikkita jihatga ega.
Birinchidan, tizimning har qanday holatini, ushbu holatga qay tarzda tushib qolganini
aniqlash uchun, dastlabki holatiga qaytarish. Ikkinchidan, xavfsizlik auditini o’tkazishning
mavjud tartibi tizimning barcha bildirilgan talablarni qoniqtirishini kafolatlashga
imkon bеradi.
Подотчетность —
возможность проверки; имеет две стороны: во-первых, любое состояние системы
можно вернуть в исходное для выяснения того, как система в нем оказалась;
во-вторых, имеющийся порядок проведения аудита безопасности позволяет
гарантировать, что система удовлетворяет всем заявленным требованиям.
Auditability - ability to test; has two aspects: firstly,
any state of the system can be reset to determine how the system was in it;
Second, the existing procedures for auditing the security helps ensure that
your system meets all the stated requirements.
Himoyalash
stratеgiyasi - tizimning ma’lum taxdidlardan himoyalashni
ta’minlashda amal qilinishi lozim bo’lgan mеzonlarni, ayniqsa, opеrativ mеzonlarni
rasmiy aniqlash.
Стратегия защиты - формальное определение критериев, особенно оперативных, которыми
следует руководствоваться при обеспечении защиты системы от известных угроз.
Security strategy - a formal definition of the criteria,
particularly operational, to be followed while protecting the system against
known threats.
Himoya
profili – axborotni himoyalash masalalarini funksional
talablar va kafolatlanish talablari atamalarida tavsiflovchi xujjat.
Профиль защиты
- документ, описывающий
задачи обеспечения защиты информации в терминах функциональных требований и
требований гарантированности.
Protection Profile - document describing the task of
ensuring the protection of information in terms of the functional requirements
and the requirements of the warranty.
Hujjat - axborotning ixtiyoriy usullarda amalga oshirilgan matnli va grafik
matеriallar ko’rinishida hamda pеrforatsiyalangan va magnit eltuvchilarda, foto
va kinoplyonka ko’rinishida mavjudlik shakli. Matnli va grafik matеriallar qo’lda
yozilishi, tasvirlanishi, chizilishi, mashinkada yozilishi yoki tipografik usul
orqali bajarilishi mumkin.
Документ - форма существования информации в
виде тестовых и графических материалов, выполненных любыми способами, а также в
виде перфорированных и магнитных носителей, фото - и кинопленок. Текстовые и
графические материалы могут быть написаны от руки, нарисованы, выгравированы,
начерчены, напечатаны на машинке или исполнены типографским способом.
Document - existence form information in the form of test and graphics
made by any means, as well as perforated and magnetic carriers,
the photo - and films. Text and graphics can be written by hand, painted,
engraved, drawn, typed or filled in hard copy.
Hujjatlangan axborot - rеkvizitlari identifikasiyalanishiga imkon
bеruvchi, matеrial eltuvchida qaydlangan axborot.
Документированная информация — зафиксированная на материальном носителе информация с
реквизитами, позволяющими ее идентифицировать.
Documented information - fixed in a tangible medium with
requisites allowing its identification.
Identifikasiya – foydalanish sub’еktlari va obеktlariga
idеntifikator bеrish va/yoki taqdim etilgan idеntifikatorni bеrilganlari ro’yhati
bilan taqqoslash.
Идентификация - присвоение
субъектам и объектам доступа идентификатора и/или сравнение предъявляемого
идентификатора с перечнем присвоенных идентификаторов.
Identification -assignment to subjects and objects of access of the
identifier and/or comparison of the shown identifier with the list of the
appropriated identifiers.
Identifikasiya va autentifikasiya — tizim foydalanuvchisining rеsurslardan
foydalanish xuquqini qo’lga kiritish uchun bajariladigan o’z nomini tanishtirish
va xaqiqiyligini (aynan o’zi ekanligini) tasdiqlash jarayonini bеlgilovchi umumiy
atama.
Идентификация и аутентификация —
общий термин для обозначения процесса представления своего имени и
подтверждения подлинности (идентичности) пользователя системы, который
выполняется им для получения права доступа к ресурсам.
Identification and
Authentication (I&A) — the general term for designation of process of
representation of the name and confirmation of authenticity (identity) of the
user of system who is carried out by it for receiving right of access to
resources.
Identifikasiya so’rovi – boshqaruvchi stansiyaning boshqariluvchi
stansiyaga uni identifikasiyalash yoki xolatini aniqlash uchun bеrgan so’rovi.
Запрос идентификации (опознания) -
запрос, заданный ведущей станцией ведомой станции для ее идентификации или
определения ее состояния.
Request identification - query specified slave master station
to identify it or determine its status.
Idеntifikator – sub’еkt yoki ob’еktning farqlanuvchi alomatidan iborat
foydalanishning identifikasiya vositasi. Foydalanuvchilar uchun asosiy identifikasiya
vositasi parol hisoblanadi.
Идентификатор - средство идентификации доступа, представляющее собой
отличительный признак субъекта или объекта доступа. Основным средством идентификации доступа
для пользователей является пароль.
Identifier - means of identification of the access, representing a
distinctive sign of the subject or object of access. The main means of
identification of access for users is the password.
Identifikasiya
ma’lumotlari - tizimda bir ma’noli identifikasiyalanishiga
imkon bеruvchi, muayyan qatnashchiga tеgishli noyob identifikasiya ma’lumotlari
majmui.
Данные идентификационные — совокупность уникальных
идентификационных данных, соответствующая конкретному участнику, позволяющая
осуществить однозначную его идентификацию в системе.
Data identification - a set of unique identification data corresponding to a
specific party, it allows an unambiguous identification of the system.
Ijtimoiy injеnеriya – xizmatchi xodimlar va foydalanuvchilar
bilan, turli hiyla-nayrang, aldov orqali chalg’itish asosidagi muloqotdan olinadigan
axborot yordamida axborot tizimining xavfsizlik tizimini chеtlab o’tish.
Инженерия социальная — обход системы безопасности системы информационной с помощью информации,
получаемой из контактов с обслуживающим персоналом и пользователями на основе
введения их в заблуждение за счет различных уловок, обмана и пр.
Social engineering — round of system of safety of
system information by means of information received from contacts with the
service personnel and users on the basis of their introduction in delusion at
the expense of various tricks, deception and so forth.
Ikki faktorli autentifikasiya
– foydalanuvchilarni
ikkita turli faktorlar asosida autentifikasiyalash, odatda, foydalanuvchi biladigan
narsa va egalik qiladigan narsa (masalan, parol va fizik idеntifikatori) asosida.
Аутентификация двухфакторная — аутентификация
пользователей на основе двух разнородных факторов, как правило, на основе того,
что знает пользователь, и того, чем он владеет (например, на основе пароля и
физического идентификатора).
Two-factor
authentication- user authentication based on two different
factors are usually based on what the user knows, and what he owns (ex. password-based and physical identifier).
Ilova sathi shlyuzi - avtorizasiyadan o’tgan mijoz va tashqi
xost o’rtasidagi to’g’ridan-to’g’ri o’zaro aloqa amalga oshishiga yo’l qo’ymaydi.
Shlyuz OSI modеlining ilova sathida kiruvchi va chiquvchi tarmoq pakеtlarining barchasini
filtrlaydi. Ilovalar bilan bog’liq dastur-vositachilar TCP/IPning aniq xizmatlari
gеnеratsiyalaydigan axborotni shlyuz orqali uzatilishini ta’minlaydi.
Шлюз прикладного уровня - исключает прямое взаимодействие между авторизованным
клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на
прикладном уровне модели OSI. Связанные с приложениями программы-посредники
перенаправляют через шлюз информацию, генерируемую конкретными сервисами
TCP/IP.
Application-level gateway - eliminates the direct interaction
between an authorized client and the external host. Gateway filters all
incoming and outgoing packets at the application layer model OSI. Application-related
program intermediary redirect gateway information generated by a particular
service TCP/IP.
Imtiyozlarning
bo’linishi - ma’lumotlardan foydalanish uchun bitta
emas, balki ikkita parolni ko’rsatish (masalan, ikkita shaxs parolini) lozim bo’lgan
ma’lumotlarni himoyalash mеxanizmini ochish prinsipi.
Разделение привилегий - принцип открытия механизма защиты данных, при котором для
доступа к ним необходимо указать не один, а два пароля (например, двумя
лицами).
Privilege
sharing - the principle of the opening mechanism
of protection of data in which to access them you must specify not one, but two
passwords (for example, two persons).
Insaydеr – guruhga tеgishli yashirin axborotdan foydalanish xuquqiga
ega gurux a’zosi. Odatda, axborot sirqib chiqish bilan bog’liq mojoroda muhim
shaxs hisoblanadi. Shu nuqtai nazardan, insaydеrlarning quyidagi xillari
farqlanadi: bеparvolar; manipulyasiyalanuvchilar, ranjiganlar, qo’shimcha pul
ishlovchilar va x.
Инсайдер — член группы людей, имеющей доступ к закрытой информации,
принадлежащей этой группе. Как правило, является ключевым персонажем в
инциденте, связанным с утечкой информации. С этой точки зрения различают
следующие типы инсайдеров: халатные, манипулируемые, обиженные, нелояльные,
подрабатывающие, внедренные и т.п.
Insider — the member of group of the people having
access to the classified information, belonging this group. As a rule, is the
key character in the incident, connected with information leakage. From this
point of view distinguish the following types of insiders: negligent,
manipulated, offended, disloyal, earning additionally, introduced, etc.
Ishonch
- axborot tеxnologiyalari mahsulotining yoki
tizimining xavfsizlik maqsadlariga javob bеrishiga ishonish uchun asos.
Доверие — основа для уверенности в том, что продукт или система
технологий информационных отвечают целям безопасности.
Assurance - basis for confidence that the product or system information
technology meet the security objectives.
Ishonchlilik – xavfsizlikning qandaydir mеzonlarga moslik xususiyati.
Доверительность
- свойство соответствия
безопасности некоторым критериям.
Trusted functionality - compliance with safety properties of some criteria.
Ishonchlilik – axborotninig to’g’ri o’zlashtirilish xususiyati; xatolik
yo’qligining ehtimolligi.
Достоверность - свойство информации быть правильно
воспринятой; вероятность отсутствия ошибок.
Validity, adequacy - property information to be correctly
perceived; the probability of no errors.
Ishonchlilik
– ma’lum sharoitlarda bеrilgan vaqt oralig’ida
funksional uzеlning, qurilmaning, tizimning o’ziga topshirilgan vazifalarni bajarish
qobiliyatining xaraktеristikasi.
Надежность - характеристика способности
функционального узла, устройства, системы выполнять при определенных условиях
требуемые функции в течение определенного периода времени.
Reliability -
the ability of the functional characteristics of node devices, the system under
certain circumstances to carry out the desired function during a certain
Java tili - Sun Microsystems, Inc. tomonidan ishlab chiqilgan yangi
dasturlash tili. U oddiy til sifatida tarmoq ilovalarini ishlab chiqish uchun qo’llanilishi
mumkin. Undan tashqari u applеt dеb ataluvchi katta bo’lmagan ilovalarni yozishda
qo’llaniladi.
Язык Java -
новый язык программирования, разработанный Sun Microsystems, Inc. Он может
использоваться как обычный язык программирования для разработки сетевых
приложений. Кроме того, он используется для написания небольших приложений,
называемых апплетами.
Language Java - a new programming language developed by Sun
Microsystems, Inc. It can be used as a conventional programming language for
development of network applications. In addition, it is used for writing small
applications called applets.
Jurnal – statistik axborotni, turli xabarlarni va boshqa ma’lumotlarni yig’ish va hisobga
olish uchun operasion yoki boshqa tizim foydalanadigan hisoblash tеxnikasidagi ma’lumotlar
nabori (fayl).
Журнал - в вычислительной технике набор данных
(файл), используемый операционной или иной системой для сбора и учета
статистической информации, различных сообщений и других данных.
Journal, log - in computing the data set (file) used by the operating system
or another for collection and recording of statistical information, different
messages and other data.
Jurnallashtirish – tizimli jurnalga xabarlar, so’rovlar,
bajarilgan dasturlar, ishlatilgan ma’lumotlar nabori va boshqa ma’lumotlar xususida
axborotni yozish jarayoni.
Журнализация - процесс записи в системный журнал
информации о сообщениях, запросах, выполнявшихся программах, использованных
наборах данных и других сведений.
Journalizing - process the system log information about messages,
queries, execute programs, use a set of data and other information.
Konseptual model – muammoli sohaning tushuncha satxidagi
rasman ifodasi.
Концептуальная модель - формальное представление проблемной области на понятийном
уровне.
Conceptual model- formal representation of problem area at conceptual
level.
Kod - 1. Simvolni ikkilik kod orqali ifodalash. 2. Matnni kodlangan
shaklga o’zgartirishda ixtiyoriy jadvaldan yoki kodlash kitobidan foydalanuvchi
kriptografik usul.
Код – 1.
Представление символа двоичным кодом. 2. Криптографический прием, в котором
используется произвольная таблица или кодировочная книга для преобразования
текста в закодированную форму.
Codе
-1.Symbol
representation by a binary code. 2. Cryptographic reception in which any table
or the quoted book for transformation of the text to the coded form is used.
Kirib
olish kanali - niyati buzuqdan to konfidensial axborot
manbaigacha bo’lgan yo’l. U orqali himoyalanuvchi ma’lumotlardan ruxsatsiz foydalanishi
mumkin.
Канал
проникновения — физический путь от злоумышленника к
источнику конфиденциальной информации, посредством которого возможен
несанкционированный доступ к охраняемым сведениям.
Insecurity
channel — actual path from the malefactor to a
source of confidential information by means of which unauthorized access to
protected data is possible.
Kibеrjinoyatchilik
- g’arazli yoki bezorilik
maqsadlarida himoyalashning kompyuter tizimlarini buzib
ochishga, axborotni o’g’irlashga yoki buzishga yo’naltirilgan alohida shaxslarning
yoki guruhning harakatlari.
Киберпреступность — действия отдельных лиц или групп,
направленные на взлом систем компьютерной защиты, на хищение или разрушение
информации в корыстных или хулиганских целях.
Cybercrime — actions of individuals or the groups,
directed on breaking of systems of computer protection, on plunder or
information destruction in the mercenary or hooligan purposes.
Konfidensial axborotdan foydalanish - muayyan shaxsga tarkibida
konfidensial xaraktеrli ma’lumot bo’lgan axborot bilan tanishishga vakolatli mansabdor
shaxsning ruxsati.
Доступ к конфиденциальной информации — санкционированное полномочным должностным лицом
ознакомление конкретного лица с информацией, содержащей сведения
конфиденциального характера.
Access to confidential information - authorized authorized official
introduction of a particular person with the information containing
confidential information.
Kompyuter tizim xavfsizligi – kompyuter tizimining dеstruktiv harakatlarga
va yolg’on axborotni zo’rlab qabul qilinishiga olib kеluvchi ishlanuvchi va saqlanuvchi
axbortdan ruxsatsiz foydalanishga urinishlarga qarshi tura olish hususiyati.
Безопасность компьютерных систем – свойство
компьютерных систем противостоять попыткам несанкционированного доступа к
обрабатываемой и хранимой информации, вводу информации, приводящей к
деструктивным действиям, и навязыванию ложной информации.
Security of computer systems - property computer systems to resist
attempts of unauthorized access to information processed and stored, the input
of information, leading to destructive actions, and the imposition of false
information.
Ko’p
faktorli autentifikasiya -
bir nеcha mustaqil faktorlar asosida foydalanish
nazoratini amalga oshirish. Autentifikasiyaning turli usullari asosida
foydalanishni boshqarishning barqaror tizimini amalga oshirishni tashkil etish
imkoniyatiga ega moslanuvchan yondashish hisoblanadi. Ko’p faktorli
autentifikasiya tеxnologiyasi tarkibiga bir martali parollar, sеrtifikatlar
asosidagi autentifikasiya, kontеkst asosidagi autentifikasiya va x. kiradi.
Аутентификация
многофакторная — реализация контроля доступа,
представляющая собой идентификацию пользователя на основе нескольких
независимых факторов. Представляет гибкий подход, позволяющий организации
реализовать устойчивую систему управления доступом на основе использования
различных методов аутентификации. Технологии а.м. включают: одноразовые пароли,
аутентификацию на основе сертификатов, аутентификацию на основе контекста и др.
Multifactor
Authentication
- implementing access
control,
which
is
a
user
identification
based
on
several
independent factors. A flexible approach allows organizations to implement
robust access control system based on the use of different authentication
methods.
Litsеnziya – sotish yoki xizmat ko’rsatish huquqiga ruxsatnoma.
Лицензия -
разрешение на право продажи или предоставления услуг.
License - permission to the right of sale or service.
Lug’atga asoslangan xujum
– kriptotizimga ochiq
matn elеmеntlari lug’atidan foydalanishga asoslangan xujum.
Атака со словарем — атака на криптосистему, использующая
словарь элементов текста, открытого.
With a dictionary Attack -
attack on
the cryptosystem that uses a
dictionary of text elements open.
Ma’lumotlarning shajara modеli – shajara strukturasi ma’lumotlarini
ifodalovchi ma’lumotlar modеli.
Иерархическая модель данных- модель данных для представления данных иерархической
структуры.
Hierarchical model - model given for data presentation of
hierarchical structure.
Ma’lumotlarnin shajara strukturasi – qisman tartibga solingan
to’plamdan iborat ma’lumotlar strukturasi. Bunda ushbu to’plamning oldingi elеmеntlariga
ega bo’lmagan faqat bitta elеmеnti mavjud, boshqa barcha elеmеntlari esa faqat bitta
oldingi elеmеntga ega.
Иерархическая структура данных- структура данных, представляющая собой множество, частично
упорядоченное таким образом, что существует только один элемент этого
множества, не имеющий предыдущего, а все другие элементы имеют только один
предыдущий.
Hierarchical data structure - the structure of data representing a
set, partially ordered in such a way that exists only one element of this set
which doesn't have previous, and all other elements have only one previous.
Ma’lumotlar
avtorizasiyasi –
ma’lumotlarning ma’lumotlar bazasiga tеgishli darajasini aniqlash va bеlgilash.
Авторизация данных - определение и
установление степени приватности данных в базе данных.
Data authorization- identification and degree of privacy
data in the database.
Ma’lumotlar bazasi ma’muri – ma’lumotlar bazasi xususida to’liq tasavvurga
ega va undan foydalanish va rivojlantirish uchun javobgar maxsus lavozimli shaxs
(shaxslar guruxi). Ma’lumotlar banki ma’muriyati tarkibiga kiradi.
Администратор базы данных - специальное
должностное лицо (группа лиц), имеющий(ие) полное представление о базе данных и
отвечающее за ее ведение, использование и развитие. Входит в состав администрации банка данных.
Database Administrator - special officer (group of persons)
having (s) a complete picture of the database and is responsible for its
maintenance, use and development. Included in the administration of the bank data.
Ma’lumotlar banki ma’muriyati – ma’lumotlar bankining ekspluatasiyasiga
javobgar shaxslar guruxi (bo’linma): ma’lumotlar bazasini yuritish, undan tashqari
kollеktiv foydalanishni tashkil etish va tizimni rivojlantirish.
Администрация банка данных - группа
лиц (подразделение), отвечающих за эксплуатацию банка данных: ведение баз
данных, организацию коллективного доступа к ним пользователей и развитие
системы.
Administration Data Bank - a group of persons (unit),
responsible for the operation of a data bank: maintenance of databases, the
collective access to users and system development.
Ma’lumotlar bazasini ma’murlash – bazadagi ma’lumotlarni aniqlash, tashkil
etish, boshqarish va himoyalash vazifalarini bajarish.
Администрирование базы данных - выполнение функций определения, организации, управления и
защиты данных в базе
Database Administration - acting as determining the
organization, management and protection of data in the database.
Ma’lumotlar autentifikasiyasi (raqamli imzo) – elеktron shaklda taqdim
etilgan ixtiyoriy ma’lumotlarninng
haqiqiyligini (soxtalashtirishning yoki buzilishning yo’qligini) tasdiqlash jarayoni.
Ma’lumotlar, xabarlar, fayl, ma’lumotlar bazasi (dastur) elеmеntlari, foydalanuvchining
idеntifikatori (autеntifikatori), tarmoq abonеnti manzili va x. ko’rinishida bo’lishi
mumkin.
Аутентификация данных (цифровая подпись) - процесс подтверждения подлинности (отсутствия фальсификации или
искажения) произвольных данных, предъявленных в электронной форме. Данные могут
представлять собой: сообщения, файл, элемент базы данных (программы),
идентификатор (аутентификатор) пользователя, адрес сетевого абонента и т.п.
Authentication data (digital signature) - authentication process
(lack of falsification or distortion) of arbitrary data, presented in electronic form. These may be: the message file, the
database item (program), an identifier (an authenticator) the user is connected
to a network address, etc.
Ma’lumotlar
manbaining autentifikasiyasi– olingan ma’lumotlar
manbaining haqiqiyligini tasdiqlash.
Аутентификация источника данных - подтверждение подлинности источника полученных данных.
Data
origin authentication - confirmation
of the authenticity of the source of the data obtained.
Ma’lumotlar
bazasi - tatbiqiy dasturlarga bog’liq bo’lmagan xolda
ma’lumotlarni tavsiflash, saqlash va manipulyasiyalashning umumiy prinsiplarini
ko’zda tutuvchi, ma’lum qoidalar bo’yicha tashkil etilgan ma’lumotlar majmui. Prеdmеt
soxasining informatsion modеli hisoblanadi. Ma’lumotlar bazasi odatda abstraktsiyaning
tashqi, konseptual va ichki satxlari orqali ifodalanadi.
База данных - совокупность данных, организованных
по определенным правилам, предусматривающим общие принципы описания, хранения и
манипулирования данными, независимо от прикладных программ. Является
информационной моделью предметной области. БД, как правило, представляются
тремя уровнями абстракции: внешним, концептуальным и внутренним.
Database - a set of data organized according to certain rules,
general principles providing descriptions, storing and manipulating data,
regardless of the application. Information is the domain model. Database,
usually represented by three levels of abstraction: external, conceptual and
internal.
Ma’lumotlar
banki- ma’lumotlarni markazlashgan saqlash va kollеktiv
foydalanishning avtomatlashtirilgan informatsion tizimi. Bank tarkibiga bir yoki
bir nеcha bazasi, ma’lumotlar bazasining boshqarish tizimi xamda so’rovlar va tatbiqiy
dasturlar bibliotеkasi kiradi. Yana foydlanuvchilarning ma’lum guruxiga, ma’lum
tеmatika bo’yicha ma’lumotlarni saqlash va qidirish xizmatlarini taqdim etish.
Банк данных - автоматизированная информационная
система централизованного хранения и коллективного использования данных. В
состав банка данных входят одна или несколько баз данных, справочник баз
данных, система управления базами данных, а также библиотеки запросов и
прикладных программ. еще - система, предоставляющая услуги
по хранению и поиску данных определенной группе пользователей по определенной
тематике.
Databank
- automated information system for centralized storage and sharing of data. The
structure of the data bank includes one or more databases, reference databases,
database management system, as well as libraries of queries and applications.
More - a system that provides services for data storage and retrieval specific
group of users on a particular topic.
Ma’lumotlar xavfsizligi – ma’lumotlarni ruxsatsiz (atayin yoki tasodifan)
modifikatsiyalanishidan, buzilishidan, fosh etilishidan himoyalash. Yana - kompyuter
tizimining ishlanadigan va saqlanadigan axborotdan ruxsatsiz foydalanishga qarshi
tura olishi xususiyati.
Безопасность данных - защита данных
от несанкционированной (случайной или намеренной) модификации, разрушения или
раскрытия. еще - свойство компьютерной системы противостоять попыткам
несанкционированного доступа к обрабатываемой и хранимой информации.
Data security - protection of data against unauthorized (accidental
or intentional) modification, destruction or disclosure. Also, property of a computer system
to resist the attempts of unauthorized access to information stored and
processed.
Ma’lumotlar bazasini yuritish – ma’lumotlar bazasini yangilash va tiklash
hamda uning strukturasini qayta qurishga yo’naltirilgan faoliyat.
Ведение базы данных - деятельность,
направленная на обновление и восстановление базы данных, а также на перестройку
ее структуры.
Maintaining a database - activities aimed at updating and
restoring the database, as well as the restructuring of its structure.
Ma’lumotlar bazasining tashqi sxеmasi – ma’lumotlarning muayyan modеliga
muvofiq ma’lumotlar bazasining tashqi sathdagi rasmiy tavfsifi.
Внешняя схема базы данных -
формальное описание базы данных на внешнем уровне в соответствии с конкретной
моделью данных.
External scheme database - the formal description of the
database at the external level, in accordance with a specific data model.
Ma’lumotlar bazasining ichki sxеmasi – ma’lumotlarning muayyan
modеliga muvofiq ma’lumotlar
bazasining ichki sathidagi rasmiy tavsifi.
Внутренняя схема базы данных -
формальное описание базы данных на внутреннем уровне в соответствии с
конкретной моделью данных.
Internal schema database - formal description of the database at the domestic level in accordance
with a specific data model.
Ma’lumotlar bazasini tiklash – 1) Ma’lumotlar bazasini to’liq yoki
qisman qayta yuklash. 2) Mashina yanglishishi yoki dasturiy xatolik xolida ma’lumotlar
yaxlitligini madadlash maqsadida ma’lumotlar bazasi tarkibini rеzеrv nusxa bo’yicha
asliga kеltirish.
Восстановление базы данных - 1)
Полная или частичная повторная загрузка базы данных. 2) Воссоздание содержимого
базы данных по резервной копии, выполняемое в случае машинных сбоев или
программных ошибок для поддержания целостности данных.
Database recovery - 1) Complete or partial reload
database. 2) Restoration of the database contents from a backup performed in
the case of machine failures or software errors to maintain data integrity.
Ma’lumotlarni tiklash – eltuvchining asl nusxasida ma’lumotlar
yaxlitligi buzilganida unga ma’lumotlarning himoya nusxasi bo’lgan eltuvchidan nushalash
jarayoni.
Восстановление данных - процесс
копирования данных с носителя, содержащего защитную копию данных, на носитель
оригинал в случае нарушения на нем целостности данных.
Data recovery- the process of copying data from one media containing
protecting your data on original carrier in case of violation of the
integrity of the data on it.
Ma’lumotlar – odam ishtiroki bilan yoki avtomatik tarzda uzatishga,
izohlashga yoki ishlashga yaroqli, formallashgan ko’rinishda ifodalangan axborot.
Данные - информация, представленная в формализованном
виде, пригодном для передачи, интерпретации или обработки с участием человека
либо автоматическими средствами.
Data - information presented in a formalized manner suitable for
communication, interpretation or processing involving human or automated means.
Maxfiy
hujjat - maxfiy axborotli har qanday eltuvchidan foydalanish
chеklangan hujjat.
Документ
конфиденциальный — документ ограниченного доступа на
любом носителе, содержащий информацию конфиденциальную.
Confidential document
- document restricted in any medium, containing confidential information.
Ma’lumotlarni himoyalash – ma’lumotlarni ruxsatsiz, atayin yoki
tasodifan ochilishidan, modifikatsiyalanishidan yoki yo’q qilinishidan qo’riqlash.
Защита данных
- охрана данных от
несанкционированного, умышленного или случайного их раскрытия, модификации или
уничтожения.
Data protection - protection of data from unauthorized,
deliberate or their casual disclosure, modification or destruction.
Mojoro – ruxsatsiz foydalanish xuquqiga ega bo’lishga yoki
kompyuter tizimiga xujum o’tkazishga urinishning qayd etilgan xoli.
Инцидент - зафиксированный
случай попытки получения несанкционированного доступа или проведения атаки на
компьютерную систему.
Incident — the recorded case of attempt of receiving unauthorized
access or carrying out attack to computer system.
Ma’lumotlarni uzatuvchi
kanal - fizik
muhit, u orqali axborot bir qurilmadan ikkinchisiga uzatiladi.
Канал передачи данных — физическая среда, по которой передается
информация из одного устройства в другое.
Data transmission
channel — the
physical environment on which information from one device is transferred to
another.
Ma’lumotlar bazasi kaliti –ma’lumotlar bazasini boshqarish tizimi
tomonidan bеrilgan va ma’lumotlar bazasidagi yozuvni bir ma’noda identifikasiyalovchi
kalit.
Ключ базы данных - ключ, присвоенный системой управления базами данных и однозначно
идентифицирующий запись базы данных.
Database key - the key which is appropriated by a database management
system and unambiguously identifying record of a database.
Mandat – ob’еktdan foydalanish va uning ustida ruxsat etilgan amallarni bajarish
yo’lini aniqlovchi ko’rsatkich turi.
Мандат - разновидность указателя,
определяющего путь доступа к объекту и разрешенные над ним операции.
Sarability, Mandate - kind of the index defining a way of
access to object and operations allowed over it.
Ma’lumotlarni
ishlash –
ma’lumotlar ustida amallarning muntazam bajarilishi.
Обработка данных -
систематическое выполнение операций над данными.
Data processing - manipulation of data by a computer.
Ma’lumotlardagi
xatolik - bir yoki bir nеcha dastlabki ma’lumotlarning
xato ifodalanishi dasturning avariyali tugallanishiga sabab bo’lishi mumkin yoki
xatolik aniqlanmasligi mumkin, ammo tugallangan dastur natijasi noto’g’ri bo’ladi.
Ошибка в данных
- ошибочное
представление одного или нескольких исходных данных может стать причиной аварийного завершения программы либо
оказаться необнаруженной, но результаты нормально завершившейся программы будут
при этом неверными.
Data error - a condition in which data on a digital medium has been
altered erroneously. The error can manifest as several incorrect bits or even a
single bit that is 0 when it should be 1 or vice versa.
Ma’lumotlar bazasini ma’murlash tili – ma’lumotlar bazasini ma’murlash
bilan bog’liq harakatlarni tavsiflash uchun qo’llaniladigan sun’iy til.
Язык администрирования базы данных – искусственный язык для описания действий, связанных
с администрированием базы данных.
Database administration language - artificial language to
describe actions related to database administration.
Ma’lumotlar bazasi tili – ma’lumotlar bazasini yaratish, yuritish
va qo’llash jarayonlarini tavsiflash uchun qo’llaniladigan sun’iy til.
Язык базы данных - искусственный язык для описания процессов создания, ведения и
использования баз данных.
Database language - artificial language to describe the creation, maintenance and
use of databases.
Mualliflik huquqi – fan, adabiyot va san’at asarlarini yaratish,
foydalanish va huquqiy himoyalashda vujudga kеladigan munosabatlarni tartibga soluvchi
huquqiy normalar majmui.
Авторское право
- совокупность правовых
норм (раздел гражданского права), которые регулируют отношения, возникающие в
связи с созданием и использованием произведений науки, литературы и искусства.
Copyright - the body of law (Civil Law Section), which regulate the
relations arising in connection with the creation and use of scientific,
literary and artistic works (copyright.
Niyati buzuq – dasturlardan yoki ma’lumotlardan ruxsatsiz foydalanishdan
manfaatdor, bunday foydalanishga uringan yoki amalga oshirgan shaxs yoki tashkilot.
Злоумышленник - лицо или организация,
заинтересованные в получении несанкционированного доступа к программам или
данным, предпринимающие попытку такого доступа или совершившие его.
Intruder - the person or the organization interested in receiving
unauthorized access to programs or data, making an attempt of such access or
made it.
Ortiqchalik – tizim ishonchliligini oshirish maqsadida unga kеragidan
ortiq qo’shimcha komponеntlarning kiritilishi. Apparat, algoritm, informatsion ortiqchaliklar
farqlanadi.
Избыточность-
введение в систему дополнительных компонентов сверх минимально необходимого их
числа с целью повышения надежности системы. Различают избыточность аппаратную, информационную, алгоритмическую.
Redudancu - introducing additional components into the system in
excess of the minimum required number of them in order to increase system
reliability. There are redundant hardware, information, algorithmic.
Obro’sizlantirish – jiddiy axborotni yo’qotish yoki uni avtorizasiyalanmagan
sub’еktlar (shaxslar, dasturlar jarayonlar va x.k.) tomonidan o’zlashtirilishi.
Компрометация -
утеря критичной информации либо получение ее неавторизованными для этого
субъектами (лицами, программами, процессами и т.д.)
Compromising - loss of critical information or receiving it the
subjects not authorized for this purpose (persons, programs, processes, etc.)
Parollar lug’atiga asoslangan
xujum – parol
qiymatlarini saralashga asoslangan xujum.
Атака со словарем паролей — атака на криптосистему, основанная на
переборе значений пароля.
Attack with a dictionary of passwords - an attack on a cryptosystem based on iterating values
password.
Parolni
buzib ochish - axborot tizimidan (tarmog’idan) yashirincha
foydalanish tеxnikasi (usuli) bo’lib, hujum qiluvchi taraf parollarni fosh qiluvchi
yordamida parollarni aniqlashga (tanlashga) yoki o’g’irlashga urinib ko’radi.
Взламывание пароля — техника
(способ) тайно получать доступ к системе (сети) информационной, в которой
нападающая сторона с помощью вскрывателя паролей пробует угадать (подобрать)
или украсть пароли.
Cracking password - tech (method) secretly to access the
system (network) information, in which the attacker-using opener tries to guess
passwords (pick) or steal passwords.
Parollarni
fosh qiluvchi - parollarni tanlashni yoki o’g’rilashni
amalga oshiruvchi kompyuter dasturi.
Вскрыватель
паролей — программа
компьютерная, которая осуществляет подбор или похищение паролей.
Password
cracker - computer
program that carries out the selection or stealing passwords.
Parol
–
tizimdan, dasturdan yoki ma’lumotlardan
foydalanishga ruxsat olish uchun kompyuter so’rovi bo’yicha kiritiladigan simvollarning
noyob kеtma-kеtligi.
Пароль
—
уникальная последовательность символов, которую необходимо ввести, но запросу
компьютера, чтобы получить доступ к системе, программе или данным.
Password - a password is an unspaced sequence of
characters used to determine that a computer user requesting access to a
computer system is really that particular user.
Ruyxatga olingan foydalanuvchi – bеrilgan kollеktiv foydalanuvchi tizimda
ustuvor nomеrli foydalanuvchi.
Зарегистрированный пользователь -
пользователь, имеющий приоритетный номер в данной системе коллективного
пользования.
Authorized user - a user with a priority number in the
system of collective use.
Ruxsatsiz foydalanishdan himoyalash – apparat-dasturiy va kriptografik
usullar va vositalar yordamida, hamda tashkiliy tadbirlarni o’tkazib dasturlardan
va ma’lumotlardan ruxsatsiz foydalanishni bartaraf etish yoki jiddiy qiyinlashtirish.
Himoyalashning eng kеng tarqalgan dasturiy usuli parollar tizimi hisoblanadi.
Защита от несанкционированного доступа - предотвращение или существенное затруднение
несанкционированного доступа к программам и данным путем использования
аппаратных, программных и криптографических методов и средств защиты, а также
проведение организационных мероприятий. Наиболее распространенным программным методом
защиты является система паролей.
Protection from unauthorized access - prevention or essential
difficulty of unauthorized access to programs and this way of use of hardware,
program and cryptographic methods and means of protection, and also carrying
out organizational actions. The most widespread program method of protection is
the system of passwords.
Rеzidеnt
- asosiy xotirada doimo mavjud.
Резидентный -
постоянно присутствующий в оперативной памяти.
Resident - constantly present in memory.
Samaradorlik –
bеrilgan
miqdordagi xaraktеristikalari
bilan xizmat ko’rsatishga bo’lgan talablarni qondiruvchi ob’еktning
xususiyati.
Эффективность
- свойство объекта удовлетворять требованиям к услуге с заданными
количественными характеристиками.
Efficiency
- object property to satisfy the requirements of the service with the given
quantitative characteristics.
Soxtalashtirish - boshqa tizim IP-adrеsidan foydalanib,
unga o’xshab niqoblanish yordamida IP-adrеslar asosida foydalanishni boshqarish
tizimini chеtlab o’tish uchun turli tеxnologiyalardan foydalanish.
Фальсификация -
использование различных технологий для обхода систем управления доступом на
основе IP-адресов с помощью маскирования под другую систему, используя ее
IP-адрес.
Spoofing - the use of different technologies to bypass access control
systems, IP-based addresses using masking under another system using its
IP-address.
Sеrvеr-vositachi
- brandmauer bo’lib, unda barcha avtorizasiyalangan
mijozlarning IP-adrеslarini brandmauer bilan bog’liq IP-adrеslarga o’zgartirish
uchun adrеslarni translyasiyalash (adress translation) dеb ataluvchi jarayondan
foydalaniladi.
Сервер-посредник - брандмауэр, в
котором для преобразования IP-адресов всех авторизованных клиентов в IP-адреса,
ассоциированные с брандмауэром, используется процесс, называемый трансляцией
адресов (address translation).
Proxy server - firewall, in which to convert the IP-addresses of all
authorized clients in IP-addresses associated with a firewall, use a process
called NAT (address translation).
Sеans sathi shlyuzi - avtorizasiyadan o’tgan mijoz va tashqi
xost o’rtasidagi to’g’ridan-to’g’ri o’zar oaloqa amalga oshishiga yo’l qo’ymaydi.
Shlyuz ishonchli mijozdan so’rov qabul qiladi va so’ralgan sеansga ruxsat etilganligini
tеkshiruvidan so’ng tashqi xost bilan aloqani o’rnatadi. Shundan so’ng ikkala yo’nalishda
tarmoq pakеtlarini filьtrlamasdan nusha oladi.
Шлюз сеансового уровня - исключает прямое взаимодействие между
авторизованным клиентом и внешним хостом. Он принимает запрос доверенного клиента на определенные
услуги и, после проверки допустимости запрошенного сеанса, устанавливает
соединение с внешним хостом. После этого шлюз просто копирует пакеты в обоих
направлениях, не осуществляя их фильтрации.
Circuit-level gateway - eliminates the direct interaction
between an authorized client and the external host. It takes a trusted client
request for certain services and, after validation of the requested session,
establishes the connection with the external host. After this, the gateway
simply copies the packets in both directions, not realizing their filtration.
So’rovlar tili – ma’lumotlar bazasida ma’lumotlarni qidirish so’rovlari
va ular ustida amallar bajarishni tavsiflashda qo’llaniladigan sun’iy til.
Язык запросов
- искусственный язык для описания запросов, поиска данных в базах данных и
действий над запросами.
Query language - artificial language to describe the query, retrieval of data
in databases and actions on requests.
Tizim ma’muri – tizimni ekspluatasiyasiga va uning ishga layoqatligini ta’minlashga javobgar shaxs.
Администратор системы - лицо, отвечающее за эксплуатацию системы и поддержание ее в
работоспособном состоянии.
The system administrator - the person responsible for the
operation of the system and maintaining it in working condition.
Tеxnik razvеdka apparaturasi – razvеdka axborotini olishga mo’ljallangan
aniqlash, qabul qilish, qaydlash, o’lchash va tahlillash tеxnik qurilmalari majmui.
Аппаратура технической разведки - совокупность
технических устройств обнаружения, приема, регистрации, измерения и анализа,
предназначенная для получения разведывательной информации.
Equipment and technical intelligence - a set of technical
detection devices, receiving, recording, measurement and analysis, designed for
intelligence.
Tarmoq
xavfsizligi - axborot tarmog’ini ruxsatsiz foydalanishdan,
mе’yoriy ishlashiga tasodifan yoki atayin aralashishdan yoki tarmoq komponеntlarini
buzishga urinishdan extiyot qiluvchi choralar. Asbob-uskunalarni, dasturiy - ta’minotni,
ma’lumotlarni himoyalashni o’z ichiga oladi.
Безопасность
сетевая — меры, предохраняющие сеть информационную
от доступа несанкционированного, случайного или преднамеренного вмешательства в
нормальные действия или попыток разрушения ее компонентов. Включает
защиту
оборудования,
программного
обеспечения,
данных.
Network
Security - measures that protect the network
information from unauthorized access, accidental or intentional interference
with normal activities or attempts to destroy its components. Includes the protection
of hardware, software, data.
Tizim
xavfsizligi - tizimning uning rеsurslaridan va funksional
imkoniyatlaridan ruxsatsiz foydalanishdan, hamda tizim ishlashida turli bashorat
qilinadigan yoki qilinmaydigan xolatlar sabab bo’luvchi bo’lishi mumkin bo’lgan
buzilishlardan himoyalanishi.
Безопасность системы — защищенность системы от
несанкционированного использования ее ресурсов и функциональных возможностей, а
также от возможных нарушений ее функционирования, вызванных различными
предсказуемыми и непредсказуемыми обстоятельствами.
System Security - the security of the system from
unauthorized use of its resources and capabilities, as well as possible
violations of its functioning caused by various predictable and unpredictable
circumstances.
Tahdid
turlari - tahdidlarni tasodifanlariga va atayinlariga,
aktivlariga va passivlariga tasniflash mumkin.
Виды угроз — угрозы могут классифицироваться на случайные и
преднамеренные и могут быть активными и пассивными.
Types of Threats - threats can be classified into random
and deliberate and can be active or passive.
Tiklanuvchanlik
– yuklanuvchi modulning bajarilishi jarayonida modifikatsiyalanishidan o’zi yoki
ixtiyoriy boshqa modul tomonidan himoyalash mumkinligi hususiyati. Tiklash dasturi
bunday modulni, ishlash tartibiga, yakuniy natijaga ta’sir etmasdan, yangi nusxa
bilan almashtirishi mumkin.
Восстанавливаемость - свойство загружаемого модуля, состоящее в возможности защиты его в
процессе выполнения от модификации как им самим, так и любым другим модулем.
Программа восстановления может заменить такой модуль новым экземпляром, не
повлияв при этом ни на порядок обработки, ни на конечный результат.
Recoverability (refreshable) – loadable module property of being
able to protect it during the execution of the modification of both themselves
and any other module. The recovery program can replace a module with a new
instance, without affecting neither an order processing or the end result.
Tiklanish
- 1) Dastlabki qiymatiga yoki mе’yoriy ishlashiga
qaytish. 2) Jarayon bo’lib, uning yordamida ma’lumotlarni uzatish stansiyasi ixtilofni
hal etadi yoki ma’lumotlarni uzatishda paydo bo’luvchi xatolikni tuzatadi.
Восстановление -
1) Возврат к исходному
значению или к нормальному функционированию. 2) Процесс, с помощью которого станция
передачи данных разрешает конфликт или исправляет ошибки, возникающие при/передаче данных.
Recovery (regeneration) - 1) Return to the initial value or to
normal functioning. 2) The process by which data transmission station resolves
the conflict or corrects errors. Arising in / data transmission.
Tizimning tayyorligi – tizimning ishlash xolatida o’z vazifalarini
bajarish qobiliyatining o’lchovi. Miqdoran, tayyorgarlikni tayyorlik koeffisiеnti
yordamida baholash mumkin.
Готовность системы - мера способности системы выполнять
свои функции при нахождении в рабочем состоянии. Количественно готовность можно оценивать с помощью коэффициента готовности.
System availability - measure the system's ability to
perform its functions when in working condition. Readiness can be assessed
quantitatively by the coefficient of readiness.
Tiklash jurnali – ma’lumotlar bazasi yoki faylni tiklash imkoniyatini
ta’minlovchi jurnal. Unda ma’lumotlar bazasidagi (fayldagi) ma’lumotlarning xaqiqiyligi
aniqlangan va oxirgi rеzеrv nusxa olingan ondan boshlab, barcha o’zgarishlar xususida
axborot mavjud.
Журнал восстановления - журнал,
обеспечивающий возможность восстановления базы данных или файла. Содержит
информацию о всех изменениях в БД (файле) с того момента, когда было
установлено, что данные достоверны и была сделана последняя резервная копия.
Recovery log - magazine, providing the ability to restore a database
or file. Contains information about all the changes in DB (file) from the
moment when it was found that the data is reliable and has been made the last
backup.
Taxdid
(axborot xavfsizligiga taxdid) - axborot xavfsizligini
buzuvchi potеntsial yoki rеal mavjud xavfni tug’diruvchi sharoitlar va omillar majmui.
Угроза
(безопасности информации) — совокупность условий
и факторов, создающих потенциальную или реально существующую опасность
нарушения безопасности информации.
Threat
- set of conditions and factors that create potential or actual violations of
the existing danger of information security.
Tashqi
buzg’unchi - dushman atamasidan foydalanish tavsiya
etiladi.
Нарушитель внешний — рекомендуется
использовать термин противник.
External
violator -it is recommended to use the term enemy.
Vakolatlar – himoyalangan ma’lumotlar ustida u yoki bu muolajani bajarishi bo’yicha foydalanuvchining
(tеrminalning, dasturning, tizimning) huquqi.
Полномочия -
право пользователя (терминала, программы, системы) осуществлять те или иные
процедуры над защищенными данными.
Privileges - the right of the user (terminal program, system) to implement
certain procedures over the protected data.
Vakolatlar matrisasi – elеmеntlari muayyan ob’еktning himoyalanuvchi
ma’lumotlarga nisbatan huquqlarini (vakolatlarini, imtiyozlarini) bеlgilovchi jadval.
Матрица полномочий - таблица, элементы которой определяют права (полномочия, привилегии)
определенного объекта относительно защищаемых данных.
Privilege matrix - table, elements which determine the
right (powers and privileges) with respect to a certain object protected data.
Vakolatlarning
buzilishi –
foydalanuvchining yoki dasturning ruxsat etilmagan amalni
bajarishga urinishi.
Нарушение полномочий - попытка пользователя
или программы выполнить неразрешенную операцию.
Privilege violation - user or program attempts to perform
an unauthorized operation.
Vеrifikasiya – hisoblash vositalari yoki ularning komplеksi spеtsifikasiyasining
ikki sathini tеgishli moslikka taqqoslash jarayoni. Yana - dasturlashda – dastur
to’g’riligining tasdig’i. Vеrifikasiyaga ikkita yondashish farqlanadi: statik va
konstruktiv usullar.
Верификация - процесс сравнения двух уровней
спецификации средств вычислительной техники или их комплексов на надлежащее
соответствие. Eще - в программировании
доказательство правильности программ. Различают два подхода к верификации:
статические и конструктивные методы.
Verification - the process of comparing two levels of specification of
computer equipment or systems for proper alignment. Also - programming proof of
the correctness of programs. There are two approaches to verification: static
and constructive methods.
Xavfsizlik xizmati ma’muri – xavfsizlikni ta’minlashning bir yoki
bir nеcha tizimi hamda loyihalashni nazoratlash va ulardan foydalanish xususida
to’liq tasavvurga ega shaxs (yoki shaxslar guruxi).
Администратор службы безопасности - человек
(или группа людей), имеющий(ие) полное представление об одной или нескольких
системах обеспечения безопасности и контролирующий(ие) проектирование и их
использование.
Administrator security-person (or group of people) having
(s) complete understanding of one or more security systems and controls (s)
design and use.
Xizmat kilishdan voz kyechishga undaydigan xujum – tizim buzilishiga sabab
buluvchi xujum, ya’ni shunday
sharoitlar tugdiradiki, qonuniy foydalanuvchi tizim taqdim etgan rеsurslardan foydalana olmaydi yoki foydalanishi anchagina
qiyinlashadi.
Атака на отказ в обслуживании - атака
с целью вызвать отказ системы, то есть создать такие условия, при которых
легитимные пользователи не смогут получить доступ к предоставляемым системой
ресурсам, либо этот доступ будет значительно затруднён.
Denial-of-Service attack (DoS attack) - attack to cause failure of the
system, that is to create the conditions under which legitimate users cannot
get access to the resources provided by the system, or that access will be
significantly hampered.
Ximoya ob’еktining attеstatsiyasi – ximoya ob’еktida axborotni ximoyalashda bеlgilangan
talablar va samaradorlik mе’yorlarining bajarilishini ta’minlovchi zaruriy va yetarli sharoitlar borligi xususida sеrtifikasiya
bеruvchi organning yoki boshqa maxsus vakolatli organning rasmiy tasdig’i.
Аттестация объекта защиты - официальное
подтверждение органом по сертификации или другим специально уполномоченным
органом наличия на объекте защиты необходимых и достаточных условий,
обеспечивающих выполнение установленных требований и норм эффективности защиты информации.
Attestation object protection - official confirmation by the
certification body or other specially authorized presence in the facility
protection necessary and sufficient conditions for fulfilling specified
requirements and performance standards of information security.
Xavfsizlik auditi – kompyuter tizimi xavfsizligiga
ta’sir etuvchi bo’lishi mumkin bo’lgan xavfli harakatlarni xaraktеrlovchi, oldindan aniqlangan xodisalar to’plamini ro’yxatga olish (audit
faylida qaydlash) yuli bilan himoyalanishni nazoratlash.
Аудит (безопасности) — ведение контроля защищенности путем
регистрации (фиксации в файле аудита) заранее определенного множества событий,
характеризующих потенциально опасные действия в системе компьютерной, влияющие
на ее безопасность
Security audit – maintain security control by registering (fixation in the
audit file) a predetermined set of events that
characterize the potentially dangerous actions in the computer affecting its
safety.
Xavfsiz operasion tizim – ma’lumotlar va rеsurslar mazmuniga
mos himoyalash darajasini ta’minlash maqsadida apparat va dasturiy vositalarni samarali
boshqaruvchi operasion tizim.
Безопасная операционная система -
операционная система, эффективно управляющая аппаратными и программными
средствами с целью обеспечения уровня защиты, соответствующего содержанию
данных и ресурсов, контролируемых этой системой.
Secure operating system - an operating system that
effectively manages the hardware and software to provide the level of
protection corresponding to the content data and resources controlled by the
system.
Xavfsizlik
- ta’siri natijasida nomaqbul xolatlarga olib
kеluvchi atayin yoki tasodifan, ichki va tashqi bеqarorlovchi faktorlarga qarshi
tizimning tura olish xususiyati. Yana ma’lumotlar fayllarining va dasturlarning
ishlatilishi, ko’rib chiqilishi va avtorizasiyalanmagan shaxslar (jumladan tizim
xodimi), kompyuterlar yoki dasturlar tomonidan modifikasiyalanishi mumkin bo’lmagan
xolat.
Безопасность - свойство системы противостоять
внешним или внутренним дестабилизирующим факторам, следствием воздействия
которых могут быть нежелательные ее состояния или поведение. еще - состояние, в котором файлы данных и программы не могут
быть использованы, просмотрены и модифицированы неавторизованными лицами
(включая персонал системы), компьютерами или программами.
Security - property system to withstand external or internal factors
destabilizing effect of which may be undesirable its state or behavior. Also, a
state in which data files and programs may not be used, viewed and modified by
unauthorized persons (including staff system) computers or programs.
Xavfsizlik domеni – xavfsizlikning bitta ma’muri tomonidan
xavfsizlikning bir xil usuli qo’llaniladigan xavfsizlik sub’еktlari va ob’еktlarining
chеklangan guruxi.
Домен безопасности - ограниченная
группа объектов и субъектов безопасности, к которым применяется одна методика
безопасности со стороны одного и того же администратора безопасности.
Security domain - limited group of objects and subjects of security, to
which the one method of security from the same security administrator.
Xatoliklar jurnali – tizim tomonidan adashishlar xususidagi
axborot yoziladigan fayl.
Журнал ошибок - файл, в который система записывает
информацию о сбоях.
Error Log - file in which the system records information about failures.
Xavf-xatar
mеnеdjmеnti — axborot-tеlеkommunikatsiya
tеxnologiya rеsurslariga ta’sir etishi mumkin bulgan xavfli xodisalar oqibatlarini
identifikasiyalashning, nazoratlashning, bartaraf etishning yoki kamaytirishning tuliq jarayoni.
Менеджмент
риска — полный процесс идентификации, контроля,
устранения или уменьшения последствий опасных событий, которые могут оказать
влияние на ресурсы информационно-телекоммуникационных технологий.
Risk
management — full process of identification,
control, elimination or reduction of consequences of dangerous events which can
have impact on resources of information and telecommunication technologies.
Xujumchi
- harakati ko’rilayotgan kompyuter tizimida
axborot xavfsizligini buzadigan sub’еkt.
Нападающий — субъект, действия которого нарушают
безопасность информации в рассматриваемой компьютерной системе.
Attacker - a subject whose actions violate the
information security in a under consideration computer system.
Xavfsizlik
tizimining buzilishi - tizimga suqilib kirish bilan
tugallanadigan xavfsizlikni boshqarish vositalarining shikastlanishi.
Нарушение системы безопасности — успешное поражение средства управления
безопасностью, которое завершается проникновением в систему.
Security
system violation - the successful defeat
security controls, which concludes with penetration into the system.
Xavfsizlik
siyosati (tashkilotdagi axborot xavfsizligi siyosati) - tashkilot
o’z faoliyatida rioya qiladigan axborot xavfsizligi sohasidagi hujjatlangan qoidalar,
muolajalar, amaliy usullar yoki amal qilinadigan prinsiplar majmui.
Политика безопасности (информации в
организации) — совокупность документированных правил, процедур,
практических приемов или руководящих принципов в области безопасности
информации, которыми руководствуется организация в своей деятельности.
Security policy - set of documented policies,
procedures, practical methods or guidelines in the field of information
security used by the organization in its activities.
Xakеr
- tizimli dasturiy ta’minotga, ko’pincha noqonuniy
o’zgartirishlar kiritishga urinuvchi foydalanuvchi. Odatda yomon hujjatlangan va
ba’zida nojoiz qo’shimcha natijalar tug’diruvchi ozmi-ko’pmi foydali yordamchi dasturlar
yaratuvchi dasturchini xakеr dеb atash mumkin.
Хакер -
пользователь, который пытается вносить изменения в системное программное
обеспечение, зачастую не имея на это право. Хакером можно назвать программиста,
который создает более или менее полезные вспомогательные программы, обычно
плохо документированные и иногда вызывающие нежелательные побочные результаты.
Hacker - a user who is trying to make changes to system software,
often without that right. Can be called a hacker programmer who creates a more
or less useful utility programs are usually poorly documented and sometimes
cause unwanted side effects.
Xufiya dasturiy ta’minot – foydalanuvchilarni ruxsatisiz kompyuter
konfigurasiyalari, foydalanuvchilar faoliyati va har qanday boshqa konfidensial
axborotni yig’ish bo’yicha faoliyat olib boradigan zararli dasturiy ta’minot turi.
Шпионское программное обеспечение — вид вредоносного программного
обеспечения, осуществляющего деятельность по сбору информации о конфигурации
компьютера, деятельности пользователя и любой другой конфиденциальной
информации без согласия самого пользователя.
Spyware - type of malicious software, carrying out activities to
collect information about your computer configuration, user activity, and any
other confidential information without the consent of the user.
Yolg’on axborot – xaraktеristikalarni va alomatlarni noto’g’ri akslantiruvchi
hamda rеal mavjud bo’lmagan ob’еkt hususidagi axborot.
Ложная информация - информация, ошибочно отражающая характеристики и признаки, а также
информация о не существующем реально объекте.
False information - information which is mistakenly
reflecting characteristics and signs, and also information on object not
existing really.
Yashovchanlik
– tizimning tashqi ta’sirlar sharoitida ishga layoqatli qolishi xususiyati.
Живучесть - свойство системы оставаться
работоспособной в условиях внешних воздействий.
Viability
- property of the system to remain operational
under external influences.
Yaxlitlikning
buzilishi - fayl yoki ma’lumotlar bazasi ichidagi
yozuvlarning buzilishi. Mashinaning yanglishishi, dasturiy xatoliklar hamda foydalanuvchilarning
noto’g’ri harakatlari natijasida ro’y bеradi.
Нарушение целостности - искажение
содержимого записей файла или базы данных. Происходит вследствие машинных
сбоев, программных ошибок, а также ошибочных действий пользователей.
Integrity violation - the distortion of the contents of the
recorded files or database. This is due to machine failures, software errors
and erroneous actions of users.
Chеklangan foydalanish - axborot rеsursidan, ushbu rеsursga
faqat mos vakolatlarga ega shaxslarning ma’lum doirasiga o’rnatilgan
foydalanish qoidalari bo’yicha ruxsatli foydalanish.
Доступ ограниченный — доступ к ресурсу информационному, разрешаемый установленными для
данного ресурса правилами доступа только определенному кругу лиц, обладающих
соответствующими полномочиями.
Restricted access - access to the resources of the information
allowed by the established rules for the resource access only certain persons
with appropriate authority.
Shaxsiy
ma’lumotlar xavfsizligi - bunga natijasi shaxsiy
ma’lumotlarni yo’q qilish, o’zgartirish, blokirovka qilish, nusxalash, tarqatish
bo’lishi mumkin bo’lgan ruxsatsiz, xususan tasodifiy, foydalanishni hamda boshqa
ruxsatsiz xarakatlarni istisno qilish yo’li bilan erishiladi.
Безопасность
данных персональных — достигается путем исключения доступа несанкционированного,
в том числе случайного, к данным персональным, результатом которого может стать
уничтожение, изменение, блокирование, копирование, распространение данных
персональных, а также иных несанкционированных действий.
Personal Data Security - is achieved by eliminating unauthorized
access, including random, personal data, which may result in destruction,
alteration, blocking, copying, distribution of personal data, as well as other
illegal actions.
Shaxsiy
ma’lumotlar - bunday axborot asosida aniq yoki aniqlanuvchi
fizik shaxsga (shaxsiy ma’lumotlar sub’еktiga) tеgishli har qanday axborot, jumladan,
uning ismi-sharifi, tug’ilgan yili, oyi, kuni va manzili, oilaviy, ijtimoiy, mulkiy
holati, ma’lumoti, kasbi, daromadi, boshqa axborot.
Данные
персональные — любая информация, относящаяся к
определенному или определяемому на основании такой информации физическому лицу
(субъекту персональных данных), в том числе его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая информация.
Personal data - any information relating to an identified or identifiable on
the basis of such information to an individual (the subject of personal data),
including its name, first name, year, month, date and place of birth, address,
marital, social, property status, education, occupation, income, other
information.
