Контроль доступа (информатика)
Контроль доступа — функция открытой системы, обеспечивающая технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа.
Контроль доступа является одним из самых важных элементов защиты ПК и информации на нём. Доступ к защищённой информации должен быть ограничен, чтобы только люди, которые имеют право доступа, могли получать эту информацию. Компьютерные программы и во многих случаях чужеродные компьютеры посредством локальной сети, Интернета, беспроводной сети могут получить секретную информацию, которая не предназначена им. Это может нанести как финансовые, так и информационные потери.
В связи с этим необходим механизм контроля доступа к защищённой информации. Сложность механизмов контроля доступа должна быть в паритете с ценностью информации, то есть чем более важной или ценной информация является, тем более сложными должны быть механизмы контроля доступа.
Основными механизмами контроля доступа являются идентификация и аутентификация[1].
Идентификация[править | править код]
Идентификация — присвоение субъектам и объектам идентификатора и (или) сравнение идентификатора с перечнем присвоенных идентификаторов. Если человек делает заявление «Здравствуйте, меня зовут …» Он заявляет о том, кто он. Тем не менее, его заявление может и не быть правдой.
Чтобы определить человека по имени необходимо проверить является ли этот человек таковым. Тут начинается аутентификация.
Аутентификация[править | править код]
Аутентификация является актом проверки заявления личности.
Когда, к примеру, человек идёт в банк и хочет снять со своего счёта денежную сумму, работник банка спрашивает паспорт, чтобы проверить подлинность. Банковский работник смотрит на человека и сверяет с фотографией в паспорте. Убедившись в подлинности заявления, работник выполняет операцию.
Существует два различных типа информации, которая может быть использована для проверки подлинности: то, что знаете только вы, или то, что есть только у вас. Примером того, что вы знаете, могут быть такие вещи, как ПИН-код, пароль, или девичья фамилия вашей матери. Примерами того, что у вас есть, могут быть водительские права или магнитные карточки. Также это могут быть биометрические приборы. Примерами биометрии может быть отпечаток пальца, голос и сетчатка глаза. Строгая аутентификация требует предоставления информации от двух из трёх различных типов аутентификации информации. Например, то, что вы знаете, а также кто вы. Это называется двухфакторная аутентификация.
В компьютерных системах, используемых сегодня, имя пользователя и пароль являются наиболее распространённой формой аутентификации. Имена пользователей и пароли достигли своей цели, но в нашем современном мире они не дают нам полной уверенности. Имена пользователей и пароли постепенно заменяются более сложными механизмами аутентификации.
После успешной идентификации и аутентификации человек или программа получает в своё распоряжение именно те ресурсы, к которым программа или человек имеет право доступа, а также какие действия будут допущены к выполнению (запуск, просмотр, создание, удаление или изменение). Это называется разрешения.
Административная политика и процедуры[править | править код]
Разрешение на доступ к информации и другим услугам начинается с административной политики и процедур. Политика предписывает кому и при каких условиях информационно-вычислительные услуги могут быть доступны. Механизмы контроля доступа настроены на реализацию этих стратегий.
Вычислительные системы оснащаются различными механизмами контроля доступа, некоторые предлагают на выбор несколько механизмов контроля доступа. Система предлагает несколько подходов к доступу управления, либо комбинацию из них.
Дискреционный подход объединяет весь контроль доступа под централизованным управлением. Дискреционный подход даёт создателям или владельцам информационного ресурса возможность контролировать доступ к этим ресурсам.
В императивном подходе контроля доступа разрешение или запрет доступа основывается на безопасности классификаций, возложенных на информационный ресурс.
Также используется контроль доступа на основе ролей.
Примеры общих механизмов контроля доступа, используемых сегодня, можно встретить во многих системах управления базами данных.
Простое разрешение файла используется в ОС UNIX и Windows, правила доступа групп предусмотрены в Windows Network Systems, Kerberos, RADIUS, TACACS, простые списки доступа используются во многих брандмауэрах и маршрутизаторах.
Чтобы быть эффективными, политики и другие меры контроля безопасности должны использоваться, поддерживаться и, по возможности, модернизироваться.
Все неудачные и успешные попытки аутентификации входа в систему должны записываться, а также необходимо фиксировать, кем и когда производились изменения информации.
См. также[править | править код]
- Контроль доступа
- Авторизация
- Избирательное управление доступом
- Мандатное управление доступом
- Управление доступом на основе ролей
Примечания[править | править код]
- ↑ Unifying Identity management, physical access control with security software | Security News — SourceSecurity.com. Дата обращения: 27 апреля 2017. Архивировано 19 мая 2017 года.
Ссылки[править | править код]
- RFC 4949 — Internet Security Glossary, Version 2 (англ.)
- Definition: access control Federal Standard 1037C (англ.)
 | В статье не хватает ссылок на источники (см. рекомендации по поиску). |