Контроль доступа к компьютеру

В компьютерной безопасности общий контроль доступа включает идентификацию , авторизацию , аутентификацию , одобрение доступа и аудит . Более узкое определение контроля доступа будет охватывать только одобрение доступа, при котором система принимает решение предоставить или отклонить запрос на доступ от уже аутентифицированного субъекта на основе того, к чему субъект имеет право доступа. Аутентификация и контроль доступа часто объединяются в одну операцию, так что доступ утверждается на основе успешной аутентификации или на основе анонимного токена доступа. Методы и токены аутентификации включают пароли , биометрическое сканирование, физические ключи , электронные ключи и устройства, скрытые пути, социальные барьеры и мониторинг со стороны людей и автоматизированных систем. ^{[ необходима цитата ]}

Программные сущности

В любой модели контроля доступа сущности, которые могут выполнять действия в системе, называются субъектами , а сущности, представляющие ресурсы, доступ к которым может потребоваться контролировать, называются объектами (см. также Матрица контроля доступа ). Субъекты и объекты следует рассматривать как программные сущности, а не как пользователей-людей: любые пользователи-люди могут оказывать влияние на систему только через программные сущности, которые они контролируют. ^{[ необходима цитата ]}

Хотя некоторые системы приравнивают субъекты к идентификаторам пользователей , так что все процессы, запущенные пользователем по умолчанию, имеют одинаковые полномочия, этот уровень контроля недостаточно детализирован, чтобы удовлетворить принципу наименьших привилегий , и, возможно, является причиной распространенности вредоносных программ в таких системах (см. компьютерная незащищенность ). ^{[ необходима цитата ]}

В некоторых моделях, например, в модели «объект-возможности» , любая программная сущность может потенциально выступать как субъект, так и объект. ^{[ необходима цитата ]}

По состоянию на 2014 год ^{[обновлять]}модели контроля доступа, как правило, делятся на два класса: основанные на возможностях и основанные на списках контроля доступа (ACL).

• В модели, основанной на возможностях, наличие неподдельной ссылки или возможности для объекта, которая обеспечивает доступ к объекту (примерно аналогично тому, как обладание ключом от дома дает человеку доступ к дому); доступ передается другой стороне путем передачи такой возможности по защищенному каналу.
• В модели на основе ACL доступ субъекта к объекту зависит от того, присутствует ли его личность в списке, связанном с объектом (примерно аналогично тому, как вышибала на частной вечеринке проверяет идентификатор, чтобы увидеть, есть ли имя в списке гостей); доступ передается путем редактирования списка. (Различные системы ACL имеют множество различных соглашений относительно того, кто или что отвечает за редактирование списка и как он редактируется.) ^{[ необходима цитата ]}

Как модели, основанные на возможностях, так и модели, основанные на списках контроля доступа, имеют механизмы, позволяющие предоставлять права доступа всем членам группы субъектов (часто группа сама моделируется как субъект). ^{[ необходима цитата ]}

Услуги

Системы контроля доступа предоставляют основные услуги авторизации , идентификации и аутентификации ( I&A ), утверждения доступа и подотчетности, где: ^{[ необходима ссылка ]}

• авторизация определяет, что субъект может делать
• идентификация и аутентификация гарантируют, что только законные субъекты смогут войти в систему
• Разрешение на доступ предоставляет доступ во время операций путем связывания пользователей с ресурсами, к которым им разрешен доступ, на основе политики авторизации.
• подотчетность определяет, что сделал субъект (или все субъекты, связанные с пользователем)

Авторизация

Авторизация включает в себя действие определения прав доступа для субъектов. Политика авторизации определяет операции, которые субъектам разрешено выполнять в системе. ^{[ необходима цитата ]}

Большинство современных операционных систем реализуют политики авторизации как формальные наборы разрешений, которые являются вариациями или расширениями трех основных типов доступа: ^{[ необходима цитата ]}

• Читать (R): Субъект может:
  • Прочитать содержимое файла
  • Список содержимого каталога
• Запись (W): Субъект может изменять содержимое файла или каталога с помощью следующих задач:
  • Добавлять
  • Обновлять
  • Удалить
  • Переименовать
• Выполнить (X): Если файл является программой, субъект может вызвать запуск программы. (В системах типа Unix разрешение «выполнить» дублируется как разрешение «обход каталога», если предоставляется для каталога.)

Эти права и разрешения реализованы по-разному в системах, основанных на дискреционном контроле доступа ( DAC ) и обязательном контроле доступа ( MAC ).

Идентификация и аутентификация

Идентификация и аутентификация (I&A) — это процесс проверки того, что личность связана с субъектом, который делает утверждение или претензию на личность. Процесс I&A предполагает, что была первоначальная проверка личности, обычно называемая проверкой личности. Доступны различные методы проверки личности, начиная от личной проверки с использованием выданного правительством удостоверения личности и заканчивая анонимными методами, которые позволяют заявителю оставаться анонимным, но известным системе, если он вернется. Метод, используемый для проверки и подтверждения личности, должен обеспечивать уровень гарантии, соизмеримый с предполагаемым использованием личности в системе. Впоследствии субъект утверждает личность вместе с аутентификатором в качестве средства проверки. Единственное требование к идентификатору — он должен быть уникальным в пределах своего домена безопасности. ^{[ необходима цитата ]}

Аутентификаторы обычно основываются по крайней мере на одном из следующих четырех факторов: ^{[ необходима ссылка ]}

• Что-то, что вы знаете , например, пароль или персональный идентификационный номер (ПИН-код). Это предполагает, что только владелец учетной записи знает пароль или ПИН-код, необходимые для доступа к учетной записи.
• Что-то у вас есть , например смарт-карта или токен безопасности . Это предполагает, что только владелец учетной записи имеет необходимую смарт-карту или токен, необходимые для разблокировки учетной записи.
• Что-то, чем вы являетесь , например, отпечатки пальцев, голос, сетчатка или характеристики радужной оболочки глаза.
• Где вы находитесь , например, внутри или за пределами корпоративного брандмауэра, или близость места входа к персональному GPS-устройству.

Одобрение доступа

Утверждение доступа — это функция, которая фактически предоставляет или отклоняет доступ во время операций. ^[1]

Во время одобрения доступа система сравнивает формальное представление политики авторизации с запросом на доступ, чтобы определить, следует ли предоставить или отклонить запрос. Более того, оценка доступа может быть выполнена онлайн/постоянно. ^[2]

Подотчетность

Подотчетность использует такие системные компоненты, как аудиторские следы (записи) и журналы, чтобы связать субъекта с его действиями. Записанная информация должна быть достаточной для сопоставления субъекта с контролирующим пользователем. Аудиторские следы и журналы важны для ^{[ необходима цитата ]}

• Обнаружение нарушений безопасности
• Воссоздание инцидентов безопасности

Если никто не просматривает ваши журналы регулярно и они не поддерживаются в безопасном и последовательном порядке, они могут быть недопустимы в качестве доказательства. ^{[ необходима ссылка ]}

Многие системы могут генерировать автоматизированные отчеты на основе определенных предопределенных критериев или пороговых значений, известных как уровни отсечения . Например, уровень отсечения может быть установлен для генерации отчета для следующего: ^{[ необходима цитата ]}

• Более трех неудачных попыток входа в систему за определенный период
• Любая попытка использовать отключенную учетную запись пользователя

Эти отчеты помогают системному администратору или администратору безопасности легче идентифицировать возможные попытки взлома. – Определение уровня отсечения: ^[3] способность диска сохранять свои магнитные свойства и удерживать свое содержимое. Диапазон уровня высокого качества составляет 65–70%; низкое качество — ниже 55%.

Контроль доступа

Модели контроля доступа иногда классифицируются как дискреционные и недискреционные. Три наиболее широко признанные модели — это дискреционный контроль доступа (DAC), обязательный контроль доступа (MAC) и контроль доступа на основе ролей (RBAC). MAC — недискреционный. ^{[ необходима цитата ]}

Дискреционный контроль доступа

Дискреционный контроль доступа (DAC) — это политика, определяемая владельцем объекта. Владелец решает, кому разрешен доступ к объекту и какие привилегии у них есть.

Две важные концепции в DAC: ^{[ требуется ссылка ]}

• Владение файлами и данными: Каждый объект в системе имеет владельца . В большинстве систем DAC первоначальным владельцем каждого объекта является субъект, который стал причиной его создания. Политика доступа к объекту определяется его владельцем.
• Права доступа и разрешения: это элементы управления, которые владелец может назначить другим субъектам для определенных ресурсов.

Контроль доступа может быть дискреционным в системах контроля доступа на основе ACL или полномочий . (В системах на основе полномочий обычно нет явного понятия «владелец», но создатель объекта имеет аналогичную степень контроля над его политикой доступа.)

Обязательный контроль доступа

Обязательный контроль доступа означает разрешение доступа к ресурсу, если и только если существуют правила, которые позволяют данному пользователю получить доступ к ресурсу. Им трудно управлять, но его использование обычно оправдано, когда оно используется для защиты высокочувствительной информации. Примерами служат определенная правительственная и военная информация. Управление часто упрощается (по сравнению с тем, что требуется), если информацию можно защитить с помощью иерархического контроля доступа или путем внедрения меток чувствительности. То, что делает метод «обязательным», — это использование либо правил, либо меток чувствительности. ^{[ необходима цитата ]}

• Метки чувствительности: В такой системе субъектам и объектам должны быть назначены метки. Метка чувствительности субъекта определяет его уровень доверия. Метка чувствительности объекта определяет уровень доверия, необходимый для доступа. Чтобы получить доступ к данному объекту, субъект должен иметь уровень чувствительности, равный или превышающий запрошенный объект.
• Импорт и экспорт данных: контроль импорта информации из других систем и экспорта в другие системы (включая принтеры) является важнейшей функцией этих систем, которая должна гарантировать, что метки конфиденциальности поддерживаются и внедряются надлежащим образом, чтобы конфиденциальная информация всегда была надлежащим образом защищена.

Для применения обязательного контроля доступа обычно используются два метода: ^{[ необходима ссылка ]}

• Контроль доступа на основе правил (или меток): Этот тип контроля дополнительно определяет конкретные условия доступа к запрошенному объекту. Система обязательного контроля доступа реализует простую форму контроля доступа на основе правил, чтобы определить, следует ли предоставить или запретить доступ, путем сопоставления:
  • Метка чувствительности объекта
  • Метка чувствительности субъекта
• Решетчатый контроль доступа : их можно использовать для сложных решений по контролю доступа, включающих несколько объектов и/или субъектов. Решетчатая модель — это математическая структура, которая определяет наибольшие нижние и наименьшие верхние значения для пары элементов, таких как субъект и объект.

Немногие системы реализуют MAC; примерами таких систем являются XTS-400 и SELinux .

Контроль доступа на основе ролей

Управление доступом на основе ролей (RBAC) — это политика доступа, определяемая системой, а не владельцем. RBAC используется в коммерческих приложениях, а также в военных системах, где также могут существовать многоуровневые требования безопасности. RBAC отличается от DAC тем, что DAC позволяет пользователям контролировать доступ к своим ресурсам, в то время как в RBAC доступ контролируется на системном уровне, вне контроля пользователя. Хотя RBAC не является дискреционным, его можно отличить от MAC в первую очередь по способу обработки разрешений. MAC контролирует разрешения на чтение и запись на основе уровня допуска пользователя и дополнительных меток. RBAC контролирует наборы разрешений, которые могут включать сложные операции, такие как транзакция электронной коммерции, или могут быть такими простыми, как чтение или запись. Роль в RBAC можно рассматривать как набор разрешений.

Для RBAC определены три основных правила:

1. Назначение ролей: субъект может выполнить транзакцию только в том случае, если он выбрал или ему была назначена подходящая роль.
2. Авторизация ролей: активная роль субъекта должна быть авторизована для субъекта. С правилом 1 выше, это правило гарантирует, что пользователи могут брать только те роли, на которые они авторизованы.
3. Авторизация транзакции: субъект может выполнить транзакцию, только если транзакция авторизована для активной роли субъекта. С правилами 1 и 2 это правило гарантирует, что пользователи могут выполнять только те транзакции, на которые они авторизованы.

Могут также применяться дополнительные ограничения, а роли могут быть объединены в иерархию, где роли более высокого уровня включают в себя разрешения, принадлежащие подролям более низкого уровня.

Большинство поставщиков ИТ-услуг предлагают RBAC в одном или нескольких продуктах.

Контроль доступа на основе атрибутов

В управлении доступом на основе атрибутов (ABAC) ^{[4] [5]} доступ предоставляется не на основе прав субъекта, связанного с пользователем после аутентификации, а на основе атрибутов субъекта, объекта, запрошенных операций и условий среды в отношении политики, правил или отношений, которые описывают допустимые операции для данного набора атрибутов. ^[6] Пользователь должен доказать так называемые утверждения о своих атрибутах механизму управления доступом. Политика управления доступом на основе атрибутов определяет, какие утверждения должны быть удовлетворены для предоставления доступа к объекту. Например, утверждение может быть «старше 18 лет». Любому пользователю, который может доказать это утверждение, предоставляется доступ. Пользователи могут быть анонимными, когда аутентификация и идентификация не являются строго обязательными. Однако требуются средства для доказательства утверждений анонимно. Этого можно достичь, например, с помощью анонимных учетных данных . ^{[ требуется ссылка ]} XACML (расширяемый язык разметки управления доступом) — это стандарт для управления доступом на основе атрибутов. XACML 3.0 был стандартизирован в январе 2013 года. ^[7]

Модели контроля доступа с разбиванием стекла

Традиционно доступ имеет целью ограничение доступа, поэтому большинство моделей контроля доступа следуют «принципу отказа по умолчанию», т. е. если конкретный запрос на доступ явно не разрешен, он будет отклонен. Такое поведение может противоречить обычным операциям системы. В определенных ситуациях люди готовы пойти на риск, который может быть связан с нарушением политики контроля доступа, если потенциальная выгода, которая может быть достигнута, перевешивает этот риск. Эта потребность особенно заметна в сфере здравоохранения, где отказ в доступе к записям пациентов может привести к смерти пациента. Break-Glass (также называемый break-the-glass) пытается смягчить это, позволяя пользователям переопределять решение о контроле доступа. Break-Glass может быть реализован либо в специфической для контроля доступа манере (например, в RBAC), ^[8] либо в общем виде (т. е. независимо от базовой модели контроля доступа). ^[9]

Управление доступом на основе хоста (HBAC)

Аббревиатура HBAC означает «управление доступом на основе хоста». ^[10]

Смотрите также

• Средство контроля доступа к ресурсам

Ссылки

1. Дитер Голлманн. Компьютерная безопасность , 3-е изд. Wiley Publishing, 2011, стр. 387, внизу
2. Маркон, АЛ; Оливо Сантин, А.; Штилер, М.; Бахтольд, Дж., «Оценка гибкой авторизации UCONabc для облачных вычислений», Параллельные и распределенные системы, IEEE Transactions on , т. 25, № 2, стр. 457–467, февраль 2014 г. doi :10.1109/TPDS.2013.113, внизу
3. "Определение: уровень отсечения". PC Magazine . Архивировано из оригинала 2010-04-16 . Получено 2017-08-26 .
4. Джин, Синь, Рам Кришнан и Рави Сандху. «Унифицированная модель управления доступом на основе атрибутов, охватывающая dac, mac и rbac». Безопасность и конфиденциальность данных и приложений XXVI. Springer Berlin Heidelberg, 2012. 41–55.
5. Ху, Винсент С.; Феррайоло, Дэвид; Кун, Рик; Шнитцер, Адам; Сэндлин, Кеннет; Миллер, Роберт; Скарфон, Карен. «Руководство по определению и рассмотрению контроля доступа на основе атрибутов (ABAC)» (PDF) . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
6. Ху, Винсент С. (2013). «Руководство по определению и рассмотрению контроля доступа на основе атрибутов (ABAC) (черновик)». Национальный институт стандартов и технологий . 800 (162): 54.
7. Расширяемый язык разметки контроля доступа ( XACML ) V3.0 утвержден в качестве стандарта OASIS, расширяемый язык разметки контроля доступа (XACML) V3.0 утвержден в качестве стандарта OASIS.
8. Феррейра, Ана; Чедвик, Дэвид; Фаринья, Педро; Коррейя, Рикардо; Зао, Гансен; Чиро, Руи; Антунес, Луис (2009). «Как безопасно взломать RBAC: модель BTG-RBAC». Конференция по приложениям компьютерной безопасности (ACSAC) . IEEE. стр. 23–31. дои : 10.1109/ACSAC.2009.12. hdl : 10216/21676 .
9. Брукер, Ахим Д.; Петрич, Хельмут (2009). «Расширение моделей контроля доступа с помощью разбивания стекла». Симпозиум ACM по моделям и технологиям контроля доступа (SACMAT) . ACM Press. стр. 197–206. doi :10.1145/1542207.1542239.
10. Баллард, Элла Деон (2013). «Руководство по управлению идентификацией: управление политиками идентификации и авторизации для инфраструктур на базе Linux». Red Hat . Получено 06.01.2014 . Любая служба PAM может быть идентифицирована в системе управления доступом на основе хоста (HBAC) в IdM.