В компьютерной безопасности общий контроль доступа включает в себя идентификацию , авторизацию , аутентификацию , одобрение доступа и аудит . Более узкое определение контроля доступа будет охватывать только утверждение доступа, при котором система принимает решение предоставить или отклонить запрос на доступ от уже аутентифицированного субъекта на основе того, к чему субъекту разрешен доступ. Аутентификация и контроль доступа часто объединяются в одну операцию, поэтому доступ утверждается на основе успешной аутентификации или на основе анонимного токена доступа. Методы и токены аутентификации включают пароли , биометрическое сканирование, физические ключи , электронные ключи и устройства, скрытые пути, социальные барьеры, а также мониторинг со стороны людей и автоматизированных систем. [ нужна цитата ]
В любой модели управления доступом сущности, которые могут выполнять действия в системе, называются субъектами , а сущности, представляющие ресурсы, доступ к которым может потребоваться контролировать, называются объектами (см. также Матрицу управления доступом ). Субъекты и объекты следует рассматривать как программные объекты, а не как пользователи-люди: любые пользователи-люди могут влиять на систему только через программные объекты, которые они контролируют. [ нужна цитата ]
Хотя в некоторых системах субъекты приравниваются к идентификаторам пользователей , так что все процессы, запускаемые пользователем, по умолчанию имеют одинаковые полномочия, этот уровень контроля недостаточно детализирован, чтобы удовлетворить принципу наименьших привилегий , и, возможно, является причиной преобладания вредоносное ПО в таких системах (см. компьютерная безопасность ). [ нужна цитата ]
В некоторых моделях, например в модели объектно-возможностей , любой программный объект потенциально может выступать как субъектом, так и объектом. [ нужна цитата ]
По состоянию на 2014 год [обновлять]модели контроля доступа, как правило, делятся на два класса: модели, основанные на возможностях , и модели, основанные на списках управления доступом (ACL).
Модели, основанные на возможностях и ACL, имеют механизмы, позволяющие предоставлять права доступа всем членам группы субъектов (часто сама группа моделируется как субъект). [ нужна цитата ]
Системы контроля доступа предоставляют основные услуги авторизации , идентификации и аутентификации ( I&A ), утверждения доступа и подотчетности, где: [ нужна ссылка ]
Авторизация включает в себя определение прав доступа для субъектов. Политика авторизации определяет операции, которые субъектам разрешено выполнять в системе. [ нужна цитата ]
Большинство современных операционных систем реализуют политики авторизации в виде формальных наборов разрешений , которые являются вариациями или расширениями трех основных типов доступа:
Эти права и разрешения реализуются по-разному в системах, основанных на дискреционном управлении доступом ( DAC ) и обязательном управлении доступом ( MAC ).
Идентификация и аутентификация (I&A) — это процесс проверки связи идентичности с объектом, который утверждает или утверждает идентичность. Процесс I&A предполагает, что была проведена первоначальная проверка личности, обычно называемая проверкой личности. Доступны различные методы подтверждения личности: от личной проверки с использованием удостоверения личности, выданного правительством, до анонимных методов, которые позволяют заявителю оставаться анонимным, но известны системе, если он вернется. Метод, используемый для проверки и проверки идентичности, должен обеспечивать уровень доверия, соразмерный предполагаемому использованию идентичности в системе. Впоследствии объект утверждает идентичность вместе с аутентификатором в качестве средства проверки. Единственным требованием к идентификатору является то, что он должен быть уникальным в пределах своего домена безопасности. [ нужна цитата ]
Аутентификаторы обычно основаны как минимум на одном из следующих четырех факторов :
Утверждение доступа — это функция, которая фактически предоставляет или отклоняет доступ во время операций. [1]
Во время утверждения доступа система сравнивает формальное представление политики авторизации с запросом на доступ, чтобы определить, следует ли удовлетворить или отклонить запрос. Более того, оценка доступа может осуществляться онлайн/на постоянной основе. [2]
Accountability использует такие системные компоненты, как журналы аудита (записи) и журналы, чтобы связать субъекта с его действиями. Записанной информации должно быть достаточно, чтобы сопоставить субъект с контролирующим пользователем. Журналы аудита и журналы важны для [ нужна ссылка ]
Если никто регулярно не просматривает ваши журналы и они не поддерживаются безопасным и последовательным образом, они не могут быть приняты в качестве доказательства. [ нужна цитата ]
Многие системы могут генерировать автоматические отчеты на основе определенных заранее определенных критериев или пороговых значений, известных как уровни отсечения . Например, уровень отсечения может быть установлен для создания отчета для следующего :
Эти отчеты помогают системному администратору или администратору безопасности легче выявить возможные попытки взлома. – Определение уровня ограничения: [3] способность диска сохранять свои магнитные свойства и удерживать содержимое. Диапазон качественного уровня – 65–70%; низкое качество ниже 55%.
Модели контроля доступа иногда подразделяют на дискреционные и недискреционные. Тремя наиболее широко признанными моделями являются дискреционный контроль доступа (DAC), обязательный контроль доступа (MAC) и контроль доступа на основе ролей (RBAC). MAC не является дискреционным. [ нужна цитата ]
Дискреционный контроль доступа (DAC) — это политика, определяемая владельцем объекта. Владелец решает, кому разрешен доступ к объекту и какие привилегии он имеет.
Две важные концепции в DAC :
Управление доступом может быть произвольным в системах управления доступом на основе ACL или на основе возможностей . (В системах, основанных на возможностях, обычно нет явного понятия «владелец», но создатель объекта имеет аналогичную степень контроля над его политикой доступа.)
Обязательный контроль доступа означает разрешение доступа к ресурсу тогда и только тогда, когда существуют правила, которые разрешают данному пользователю доступ к ресурсу. Им сложно управлять, но его использование обычно оправдано при использовании для защиты особо конфиденциальной информации. Примеры включают определенную правительственную и военную информацию. Управление часто упрощается (по сравнению с тем, что требуется), если информацию можно защитить с помощью иерархического контроля доступа или путем внедрения меток конфиденциальности. «Обязательным» метод делает использование либо правил, либо меток конфиденциальности. [ нужна цитата ]
Для применения обязательного контроля доступа обычно используются два метода :
Лишь немногие системы реализуют MAC; XTS-400 и SELinux являются примерами таких систем.
Управление доступом на основе ролей (RBAC) — это политика доступа, определяемая системой, а не владельцем. RBAC используется в коммерческих приложениях, а также в военных системах, где также могут существовать многоуровневые требования безопасности. RBAC отличается от DAC тем, что DAC позволяет пользователям контролировать доступ к своим ресурсам, тогда как в RBAC доступ контролируется на уровне системы, вне контроля пользователя. Хотя RBAC не является дискреционным, его можно отличить от MAC главным образом по способу обработки разрешений. MAC контролирует разрешения на чтение и запись на основе уровня доступа пользователя и дополнительных меток. RBAC управляет наборами разрешений, которые могут включать в себя сложные операции, такие как транзакции электронной коммерции, или могут быть такими простыми, как чтение или запись. Роль в RBAC можно рассматривать как набор разрешений.
Для RBAC определены три основных правила:
Также могут быть применены дополнительные ограничения, а роли могут быть объединены в иерархию, где роли более высокого уровня включают в себя разрешения, принадлежащие подролям более низкого уровня.
Большинство ИТ-поставщиков предлагают RBAC в одном или нескольких продуктах.
В управлении доступом на основе атрибутов (ABAC) [4] [5] доступ предоставляется не на основе прав субъекта, связанного с пользователем после аутентификации, а на основе атрибутов субъекта, объекта, запрошенных операций и среды. условия в отношении политики, правил или отношений, которые описывают допустимые операции для данного набора атрибутов. [6] Пользователь должен доказать механизму контроля доступа так называемые утверждения о своих атрибутах. Политика управления доступом на основе атрибутов определяет, какие утверждения должны быть удовлетворены, чтобы предоставить доступ к объекту. Например, заявление может быть «старше 18 лет». Доступ предоставляется любому пользователю, который может доказать это утверждение. Пользователи могут быть анонимными, если аутентификация и идентификация не требуются строго. Однако необходимы средства для анонимного доказательства утверждений. Этого можно добиться, например, используя анонимные учетные данные . [ нужна цитация ] XACML (расширяемый язык разметки управления доступом) — это стандарт управления доступом на основе атрибутов. XACML 3.0 был стандартизирован в январе 2013 года. [7]
Традиционно целью доступа является ограничение доступа, поэтому большинство моделей управления доступом следуют «принципу отказа по умолчанию», т. е. если конкретный запрос доступа явно не разрешен, он будет отклонен. Такое поведение может противоречить обычной работе системы. В определенных ситуациях люди готовы пойти на риск, который может быть связан с нарушением политики контроля доступа, если потенциальная выгода, которую можно достичь, перевешивает этот риск. Эта потребность особенно заметна в сфере здравоохранения, где отказ в доступе к записям пациентов может привести к смерти пациента. Технология Break-Glass (также называемая «разбить стекло») пытается смягчить эту проблему, позволяя пользователям отменять решения по контролю доступа. Break-Glass может быть реализован либо специальным способом управления доступом (например, в RBAC) [8] , либо универсальным (т. е. независимым от базовой модели управления доступом). [9]
Инициализм HBAC означает «контроль доступа на основе хоста». [10]
{{cite journal}}
: Требуется цитировать журнал |journal=
( помощь )Любая служба PAM может быть идентифицирована как система управления доступом на базе хоста (HBAC) в IdM.