Контроль доступу — функція відкритої системи, що
забезпечує технологію безпеки, яка дозволяє або забороняє доступ до
певних типів даних, засновану на ідентифікації суб'єкта, якому потрібен доступ,
і об'єкта даних, що є метою доступу.
Контроль доступу є одним з найважливіших елементів
захисту комп'ютера й інформації на ньому. Доступ до захищеної інформації
повинен бути обмежений, щоб тільки люди, які мають право доступу, могли
отримувати цю інформацію. Комп'ютерні програми і в багатьох випадках чужорідні
комп'ютери за допомогою локальної мережі, Інтернету, бездротової мережі можуть
отримати секретну інформацію, яка не призначена їм. Це може завдати як
фінансових, так і інформаційних втрат.
У зв'язку з цим необхідний механізм контролю доступу
до захищеної інформації. Складність механізмів контролю доступу повинна бути у
паритеті з цінністю інформації, тобто що важливішою або ціннішою є інформація,
то складнішими повинні бути механізми контролю доступу.
Основними механізмами контролю доступу є ідентифікація
й аутентифікація.
Ідентифікація
Ідентифікація — надання суб'єктам і об'єктам
ідентифікаторів і (або) порівняння ідентифікатора з переліком наданих
ідентифікаторів. Якщо людина робить заяву «Доброго дня, мене звуть ...», вона
заявляє про те, хто вона є. Проте, її заява може й не бути правдою.
Щоб визначити людину за ім'ям, необхідно перевірити чи
це саме ця людина. Тут починається автентифікація.
Автентифікація
Автентифікація є актом перевірки
заяви особи.
Коли, наприклад, людина йде до банку і хоче зняти зі
свого рахунку грошову суму, працівник банку запитує паспорт, щоб перевірити
справжність. Банківський працівник дивиться на людину і звіряє з фотографією в
паспорті. Переконавшись у достовірності заяви — виконує операцію.
Існує два різних типи інформації, яка може бути
використана для перевірки дійсності: те, що знаєте тільки ви, або те, що є
тільки у вас. Прикладом того, що ви знаєте, можуть бути такі речі, як ПІН-код,
пароль, або дівоче прізвище вашої матері. Прикладами того, що
у вас є, можуть бути водійські права або магнітні картки. Також це можуть бути біометричні прилади. Прикладами біометрії може бути
відбиток пальця, голос і сітківка ока. Сувора автентифікація вимагає надання
інформації від двох з трьох різних типів автентифікації інформації. Наприклад,
те, що ви знаєте, а також хто ви. Це називається двофакторною автентифікацією.
У комп'ютерних системах, що використовуються сьогодні,
ім'я користувача і пароль є найбільш поширеною формою автентифікації. Імена
користувачів і паролі досягли своєї мети, але в сучасному світі вони не дають
нам повної впевненості. Імена користувачів і паролі поступово замінюються більш
складними механізмами автентифікації.
Після успішної ідентифікації й автентифікації, людина
або програма отримує в своє розпорядження саме ті ресурси, до яких
програма чи людина має право доступу, а також до допустимих до виконання дій
(запуск, перегляд, створення, видалення або зміна). Це називається дозволами.
Адміністративна політика і процедури
Дозвіл на доступ до інформації та інших послуг
починається з адміністративної політики і процедур. Політика визначає кому і за яких умов можуть бути
доступні інформаційно-обчислювальні послуги. Механізми контролю доступу
налаштовані на реалізацію цих стратегій.
Обчислювальні системи оснащуються різними механізмами
контролю доступу, деякі пропонують на вибір кілька механізмів контролю доступу.
Система пропонує кілька підходів до керування доступом або комбінацію з них.
Дискреційний підхід об'єднує весь контроль доступу під
централізованим керуванням. Дискреційний підхід дає творцям або власникам
інформаційного ресурсу можливість контролювати доступ до цих ресурсів.
За імперативного підходу до контролю доступу дозвіл
або заборона доступу ґрунтується на безпеці класифікацій, покладених на
інформаційний ресурс.
Також використовується контроль доступу на основі
ролей.
Приклади загальних механізмів контролю доступу, що
використовуються сьогодні, можна зустріти в багатьох системах управління базами даних.
Просте дозвіл до файлу використовується в ОС UNIX і Windows, правила доступу груп передбачені у Windows Network Systems, Kerberos, RADIUS, TACACS, прості
списки доступу використовуються у багатьох брандмауерах і маршрутизаторах.
Щоб бути ефективними, політики та інші заходи контролю
безпеки повинні використовуватися, підтримуватися і, по можливості,
модернізуватися.
Всі невдалі і успішні спроби аутентифікації входу в
систему, а також дані про те, ким і коли відбувалися зміни інформації, повинні
записуватися.
На сьогодні існують цілі системи управління доступом. Основним завданням
систем управління доступом до інформаційних ресурсів є запобігання
несанкціонованому доступу до конфіденційної інформації або дії з інформацією,
що порушують встановлені правила доступу до інформаційної системи.
Така
система включає комплекс технічних заходів і сприяє досягненню наступних цілей
захисту інформації:
- конфіденційності інформаційних ресурсів;
- цілісності процесів і інформаційних ресурсів;
- доступності інформаційної системи.
У
загальному випадку системи управління доступом до інформаційних ресурсів
вирішують наступні завдання:
- Ідентифікацію і авторизацію користувачів при доступі в інформаційну систему.
- Контроль доступу користувачів до інформаційних ресурсів.
- Забезпечення цілісності інформаційних ресурсів.
Компанія
«АВТОР» розробила ряд програмного забезпечення, для організації систем
управління доступом до інформаційних ресурсів:
- Систему однократної авторизації користувачів CryptoSSO, яка виконує автоматичне введення даних авторизації для доступу до різних застосувань.
- Систему адміністрування Сrypto Control Center, призначену для віддаленого адміністрування системи CryptoSSO.
- Систему шифрування дисків СryptoGuard, призначену для забезпечення захищеного зберігання даних на жорсткому диску, а також імітації Floppy-дисків, де сховищем виступає носій ключової інформації: смарт-карта CryptoCard-337 або електронний USB-ключ SecureToken-337.
Настроювання
параметрів групової політики безпеки в ОС було розглянуто на минулому уроці:
Комментариев нет:
Отправить комментарий