Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Общий контроль доступа с физической безопасностью с помощью отпечатка пальца.

Моряк проверяет удостоверение личности (ID) перед тем, как разрешить транспортному средству въехать на военную базу.

В области физической безопасности и защиты информации , управление доступом ( AC ) является селективным ограничением доступа к месту или другому ресурсу [1] в то время как управление доступом описывает процесс. Акт доступа может означать потребление, вход или использование. Разрешение на доступ к ресурсу называется авторизацией .

Блокировки и учетные данные - это два аналогичных механизма контроля доступа.

Физическая безопасность [ править ]

Основная статья: Физическая безопасность
Оптические турникеты с опускающимся рычагом производства Q-Lane Turnstiles LLc
Подземный вход в систему метро Нью-Йорка
Контроль доступа физической безопасности с помощью ручного сканера геометрии
Пример управления доступом на основе брелока с использованием считывателя ACT

Контроль географического доступа может осуществляться персоналом (например, пограничником , вышибалой , билетным кассиром) или с помощью такого устройства, как турникет . Могут быть ограждения, чтобы избежать обхода этого контроля доступа. Альтернативой контроля доступа в строгом смысле слова (физический контроль доступа) является система проверки авторизованного присутствия, см., Например, диспетчер билетов (транспорт) . Вариант - контроль выхода, например, магазина (кассы) или страны. [2]

Термин «контроль доступа» относится к практике ограничения входа в собственность, здание или комнату для уполномоченных лиц. Физический контроль доступа может быть достигнут человеком (охранником, вышибалой или секретарем) с помощью механических средств, таких как замки и ключи, или технологических средств, таких как системы контроля доступа, такие как мантрап . В этих средах управление физическими ключами также может использоваться как средство дальнейшего управления и мониторинга доступа к областям с механическими ключами или доступа к определенным небольшим активам. [2]

Контроль физического доступа зависит от того, кто, где и когда. Система контроля доступа определяет, кому разрешено входить или выходить, где им разрешено выходить или входить, и когда им разрешено входить или выходить. Исторически это частично достигалось с помощью ключей и замков. Когда дверь заперта, только тот, у кого есть ключ, может войти через дверь, в зависимости от конфигурации замка. Механические замки и ключи не позволяют ограничивать владельца ключа определенным временем или датой. Механические замки и ключи не содержат записей о ключах, использованных на какой-либо конкретной двери, и ключи можно легко скопировать или передать неуполномоченному лицу. Если механический ключ утерян или держатель ключа больше не имеет права использовать защищенную зону, замки необходимо повторно запереть. [3]

Электронный контроль доступа [ править ]

Электронный контроль доступа (EAC) использует компьютеры для устранения ограничений механических замков и ключей. Для замены механических ключей можно использовать широкий диапазон учетных данных . Электронная система контроля доступа предоставляет доступ на основе представленных учетных данных. Когда доступ предоставляется, дверь открывается на заранее установленное время, и транзакция записывается. При отказе в доступе дверь остается заблокированной, и попытка доступа записывается. Система также будет контролировать дверь и подавать сигнал, если дверь будет открыта принудительно или удерживается открытой слишком долго после отпирания. [2]

Когда учетные данные представлены читателю, он отправляет информацию об учетных данных, обычно номер, на панель управления, высоконадежный процессор. Панель управления сравнивает номер учетных данных со списком управления доступом, разрешает или отклоняет представленный запрос и отправляет журнал транзакций в базу данных . Когда доступ запрещен на основании списка контроля доступа , дверь остается заблокированной. Если есть совпадение между учетными данными и списком контроля доступа, контрольная панель управляет реле, которое, в свою очередь, открывает дверь. Панель управления также игнорирует сигнал открытия двери, чтобы предотвратить срабатывание сигнализации. Часто считыватель выдает обратную связь, например мигающий красный светодиод для отказа в доступе и мигающий зеленый светодиод для разрешения доступа. [4]

Приведенное выше описание иллюстрирует однофакторную транзакцию. Учетные данные могут быть переданы, таким образом нарушая список контроля доступа. Например, Алиса имеет права доступа к серверной , а Боб - нет. Алиса либо дает Бобу свои учетные данные, либо Боб берет их; Теперь у него есть доступ к серверной. Чтобы предотвратить это, можно использовать двухфакторную аутентификацию . В двухфакторной транзакции для предоставления доступа необходимы представленные учетные данные и второй фактор; другим фактором может быть PIN-код, вторые учетные данные, вмешательство оператора или биометрические данные . [4]

Существует три типа (факторов) аутентификационной информации: [5]

  • что-то, что знает пользователь, например, пароль, кодовая фраза или PIN-код
  • что-то есть у пользователя, например смарт-карта или брелок
  • что-то, что пользователь, например, отпечаток пальца, подтверждено биометрическими измерениями

Пароли - это обычное средство проверки личности пользователя перед предоставлением доступа к информационным системам. Кроме того, теперь распознается четвертый фактор аутентификации: кто-то, кого вы знаете, посредством чего другой человек, который вас знает, может предоставить человеческий элемент аутентификации в ситуациях, когда системы были настроены для таких сценариев. Например, у пользователя есть пароль, но он забыл смарт-карту. В таком сценарии, если пользователь известен назначенным когортам, когорты могут предоставить свою смарт-карту и пароль в сочетании с существующим фактором данного пользователя и, таким образом, предоставить два фактора для пользователя с отсутствующими учетными данными, давая три фактора в целом для обеспечения доступа. [ необходима цитата ]

Учетные данные [ править ]

Учетные данные - это физический / материальный объект, часть знаний или аспект физического существа человека, который обеспечивает индивидуальный доступ к данному физическому объекту или компьютерной информационной системе. Как правило, учетными данными может быть что-то, что человек знает (например, номер или PIN-код), что-то, что у него есть (например, значок доступа ), что-то, что он есть (например, биометрическая характеристика), что-то, что он делает (измеримые поведенческие модели) комбинация этих предметов. Это известно как многофакторная аутентификация . Типичные учетные данные - это карта доступа или брелок, а более новое программное обеспечение также может превращать смартфоны пользователей в устройства доступа. [6]

Существует множество технологий для карт, включая магнитную полосу, штрих-код, Wiegand , 125 кГц, бесконтактные смарт-карты , 26-битные карты, контактные смарт-карты и бесконтактные смарт-карты . Также доступны брелки для ключей, которые более компактны, чем идентификационные карты, и прикрепляются к кольцу для ключей. Биометрические технологии включают отпечатки пальцев, распознавание лиц, радужную оболочку глаза, сканирование сетчатки глаза, голос и геометрию руки. Встроенные биометрические технологии, имеющиеся в новых смартфонах, также могут использоваться в качестве учетных данных в сочетании с программным обеспечением доступа, работающим на мобильных устройствах. [7] В дополнение к более старым более традиционных технологий доступа карты, новые технологии , такие как Near Field Communication (NFC), Bluetooth низкой энергии илиСверхширокополосный (UWB) также может передавать учетные данные пользователя читателям для доступа к системе или зданию. [8] [9] [10]

Компоненты системы контроля доступа [ править ]

Различные компоненты системы управления

Компоненты системы контроля доступа включают:

  • Панель управления доступом (также известная как контроллер )
  • Вход с контролируемым доступом, например дверь , турникет , ворота парковки, лифт или другой физический барьер.
  • Считыватель установлен возле входа. (В случаях, когда выход также контролируется, второй считыватель используется на противоположной стороне входа.)
  • Запирающее оборудование, такое как электрические дверные защелки и электромагнитные замки.
  • Магнитный дверной выключатель для контроля положения двери
  • Устройства запроса на выход (RTE) для разрешения выхода. Когда нажимается кнопка RTE или детектор движения обнаруживает движение у двери, дверная тревога временно игнорируется, пока дверь открыта. Выход из двери без необходимости электрического отпирания двери называется свободным механическим выходом. Это важная функция безопасности. В тех случаях, когда при выходе необходимо электрически отпереть замок, устройство запроса на выход также отпирает дверь. [11]

Топология контроля доступа [ править ]

Типовая разводка двери для контроля доступа
Электропроводка двери контроля доступа при использовании интеллектуальных считывателей

Решения по управлению доступом принимаются путем сравнения учетных данных со списком управления доступом. Этот поиск может выполняться хостом или сервером, панелью управления доступом или считывателем. При разработке систем контроля доступа наблюдалось постоянное продвижение поиска от центрального хоста к краю системы или считывающему устройству. Преобладающая топология около 2009 г. - концентратор и «спица» с панелью управления в качестве концентратора, а считыватели - в качестве спиц. Функции поиска и управления находятся на панели управления. Спицы общаются через последовательное соединение; обычно RS-485. Некоторые производители доводят процесс принятия решений до крайности, размещая контроллер у двери. Контроллеры имеют IP-адрес и подключаются к хосту и базе данных через стандартные сети [12]

Типы читателей [ править ]

Считыватели контроля доступа можно классифицировать по функциям, которые они могут выполнять: [13]

  • Базовые (неинтеллектуальные) считыватели: просто прочтите номер карты или PIN-код и отправьте его на панель управления. В случае биометрической идентификации такие считыватели выводят идентификационный номер пользователя. Обычно для передачи данных на панель управления используется протокол Wiegand , но нередки другие варианты, такие как RS-232, RS-485 и Clock / Data. Это самый популярный тип считывателей контроля доступа. Примерами таких считывающих устройств являются RF Tiny от RFLOGICS, ProxPoint от HID и P300 от Farpointe Data.
  • Полуинтеллектуальные считыватели: имеют все входы и выходы, необходимые для управления дверным оборудованием (замок, дверной контакт, кнопка выхода), но не принимают никаких решений о доступе. Когда пользователь предъявляет карту или вводит PIN-код, считыватель отправляет информацию главному контроллеру и ждет его ответа. Если соединение с главным контроллером прерывается, такие считыватели перестают работать или работают в ухудшенном режиме. Обычно полуинтеллектуальные считыватели подключаются к контрольной панели по шине RS-485 . Примерами таких считывателей являются InfoProx Lite IPL200 от CEM Systems и AP-510 от Apollo.
  • Интеллектуальные считыватели: имеют все входы и выходы, необходимые для управления дверной фурнитурой; у них также есть память и вычислительная мощность, необходимые для независимого принятия решений о доступе. Как и полуинтеллектуальные считыватели, они подключаются к контрольной панели через шину RS-485. Панель управления отправляет обновления конфигурации и получает события от считывателей. Примерами таких считывателей могут быть InfoProx IPO200 от CEM Systems и AP-500 от Apollo. Существует также новое поколение интеллектуальных считывателей, называемых « считывателями IP ». Системы с IP-считывателями обычно не имеют традиционных панелей управления, и считыватели напрямую связываются с ПК, который действует как хост.

Некоторые считыватели могут иметь дополнительные функции, такие как ЖК-дисплей и функциональные кнопки для сбора данных (например, события прихода / ухода для отчетов о посещаемости), камера / динамик / микрофон для внутренней связи и поддержка чтения / записи смарт-карт. [ необходима цитата ]

Топологии системы контроля доступа [ править ]

Система контроля доступа с использованием последовательных контроллеров

1. Последовательные контроллеры. Контроллеры подключаются к главному компьютеру через последовательную линию связи RS-485 (или через токовую петлю 20 мА в некоторых старых системах). Необходимо установить внешние преобразователи RS-232/485 или внутренние карты RS-485, поскольку стандартные ПК не имеют портов связи RS-485. [ необходима цитата ]

Преимущества: [ необходима ссылка ]

  • Стандарт RS-485 позволяет использовать длинные кабели до 4000 футов (1200 м).
  • Относительно короткое время отклика. Максимальное количество устройств на линии RS-485 ограничено 32, что означает, что хост может часто запрашивать обновления статуса от каждого устройства и отображать события почти в реальном времени.
  • Высокая надежность и безопасность, так как линия связи не используется совместно с другими системами.

Недостатки: [ необходима ссылка ]

  • RS-485 не допускает подключения по схеме звезды, если не используются разветвители.
  • RS-485 плохо подходит для передачи больших объемов данных (например, конфигурации и пользователей). Максимально возможная пропускная способность составляет 115,2 кбит / с, но в большинстве систем ее понижают до 56,2 кбит / с или меньше, чтобы повысить надежность.
  • RS-485 не позволяет главному ПК обмениваться данными с несколькими контроллерами, подключенными к одному и тому же порту одновременно. Поэтому в больших системах передача конфигурации и пользователей контроллерам может занять очень много времени, что мешает нормальной работе.
  • Контроллеры не могут инициировать связь в случае тревоги. Главный ПК действует как мастер на линии связи RS-485, и контроллеры должны ждать, пока они не будут опрошены.
  • Для создания резервной конфигурации главного ПК требуются специальные переключатели последовательного интерфейса.
  • Необходимо установить отдельные линии RS-485 вместо использования уже существующей сетевой инфраструктуры.
  • Кабель, соответствующий стандартам RS-485, значительно дороже обычного сетевого кабеля UTP категории 5.
  • Работа системы сильно зависит от главного компьютера. В случае отказа главного ПК события от контроллеров не извлекаются, и функции, требующие взаимодействия между контроллерами (т. Е. Запрета повторного прохода), перестают работать.
Система контроля доступа с использованием последовательных основных и вспомогательных контроллеров

2. Последовательные основные и вспомогательные контроллеры. Все дверное оборудование подключено к субконтроллерам (также известным как дверные контроллеры или дверные интерфейсы). Подконтроллеры обычно не принимают решения о доступе, а вместо этого пересылают все запросы основным контроллерам. Главные контроллеры обычно поддерживают от 16 до 32 субконтроллеров.

Преимущества: [ необходима ссылка ]

  • Рабочая нагрузка на главный компьютер значительно снижается, так как ему необходимо взаимодействовать только с несколькими основными контроллерами.
  • Общая стоимость системы ниже, поскольку субконтроллеры обычно представляют собой простые и недорогие устройства.
  • Действуют все остальные преимущества, перечисленные в первом абзаце.

Недостатки: [ необходима ссылка ]

  • Работа системы сильно зависит от основных контроллеров. В случае выхода из строя одного из основных контроллеров события от его субконтроллеров не извлекаются, а функции, требующие взаимодействия между субконтроллерами (т. Е. Запрет повторного прохода), перестают работать.
  • Некоторые модели субконтроллеров (обычно более дешевые) не имеют памяти или вычислительной мощности для независимого принятия решений о доступе. Если главный контроллер выходит из строя, субконтроллеры переходят в режим пониженной производительности, в котором двери либо полностью заблокированы, либо разблокированы, и никакие события не регистрируются. Таких субконтроллеров следует избегать или использовать только в областях, не требующих высокой безопасности.
  • Главные контроллеры, как правило, дороги, поэтому такая топология не очень хорошо подходит для систем с несколькими удаленными точками, имеющими только несколько дверей.
  • Все остальные связанные с RS-485 недостатки, перечисленные в первом абзаце, остаются в силе.
Система контроля доступа с использованием последовательного главного контроллера и интеллектуальных считывателей

3. Последовательные главные контроллеры и интеллектуальные считыватели. Вся дверная фурнитура подключается напрямую к интеллектуальным или полуинтеллектуальным считывающим устройствам. Читатели обычно не принимают решения о доступе и перенаправляют все запросы на главный контроллер. Только если соединение с главным контроллером недоступно, считыватели будут использовать свою внутреннюю базу данных для принятия решений о доступе и записи событий. Полуинтеллектуальный считыватель, который не имеет базы данных и не может работать без главного контроллера, должен использоваться только в областях, не требующих высокой безопасности. Основные контроллеры обычно поддерживают от 16 до 64 считывателей. Все преимущества и недостатки такие же, как перечисленные во втором абзаце.

Системы контроля доступа с использованием последовательных контроллеров и терминальных серверов

4. Последовательные контроллеры с терминальными серверами. Несмотря на быстрое развитие и расширение использования компьютерных сетей, производители систем контроля доступа оставались консервативными и не торопились с внедрением сетевых продуктов. Когда требовались решения с сетевым подключением, многие выбрали вариант, требующий меньших усилий: добавление терминального сервера , устройства, которое преобразует последовательные данные для передачи через LAN или WAN.

Преимущества: [ необходима ссылка ]

  • Позволяет использовать существующую сетевую инфраструктуру для подключения отдельных сегментов системы.
  • Обеспечивает удобное решение в случаях, когда установка линии RS-485 затруднена или невозможна.

Недостатки: [ необходима ссылка ]

  • Повышает сложность системы.
  • Создает дополнительную работу для установщиков: обычно терминальные серверы приходится настраивать самостоятельно, а не через интерфейс ПО контроля доступа.
  • Последовательный канал связи между контроллером и терминальным сервером действует как узкое место: даже если данные между хост-компьютером и терминальным сервером передаются со скоростью сети 10/100/1000 Мбит / с, они должны снизиться до последовательной скорости 112,5 кбит / сек или меньше. Также возникают дополнительные задержки в процессе преобразования между последовательными и сетевыми данными.

Также действуют все преимущества и недостатки, связанные с RS-485.

Система контроля доступа с использованием основных сетевых контроллеров

5. Основные контроллеры, подключенные к сети. Топология почти такая же, как описано во втором и третьем абзацах. Имеются те же преимущества и недостатки, но встроенный сетевой интерфейс предлагает несколько ценных улучшений. Передача конфигурации и пользовательских данных на главные контроллеры происходит быстрее и может осуществляться параллельно. Это делает систему более отзывчивой и не прерывает нормальную работу. Для обеспечения резервной настройки главного ПК не требуется никакого специального оборудования: в случае выхода из строя основного хост-ПК, дополнительный хост-ПК может начать опрос сетевых контроллеров. Также устранены недостатки терминальных серверов (перечисленные в четвертом абзаце).

Система контроля доступа с использованием IP-контроллеров

6. IP-контроллеры . Контроллеры подключаются к главному компьютеру через Ethernet LAN или WAN.

Преимущества: [ необходима ссылка ]

  • Существующая сетевая инфраструктура используется полностью, и нет необходимости в прокладке новых линий связи.
  • Нет никаких ограничений по количеству контроллеров (32 на линию в случае RS-485).
  • Не требуется специальных знаний по установке, подключению, заземлению и устранению неисправностей RS-485.
  • Связь с контроллерами может осуществляться на полной скорости сети, что важно при передаче большого количества данных (базы данных с тысячами пользователей, возможно, включая биометрические записи).
  • В случае тревоги контроллеры могут инициировать соединение с главным компьютером. Эта возможность важна в больших системах, поскольку она служит для уменьшения сетевого трафика, вызванного ненужным опросом.
  • Упрощает установку систем, состоящих из нескольких площадок, разделенных большими расстояниями. Базового Интернет-соединения достаточно для установления соединения с удаленными точками.
  • Доступен широкий выбор стандартного сетевого оборудования для обеспечения возможности подключения в различных ситуациях (оптоволокно, беспроводная связь, VPN, двойной путь, PoE).

Недостатки: [ необходима ссылка ]

  • Система становится восприимчивой к проблемам, связанным с сетью, таким как задержки в случае интенсивного трафика и отказов сетевого оборудования.
  • Контроллеры доступа и рабочие станции могут стать доступными для хакеров, если сеть организации недостаточно защищена. Эту угрозу можно устранить, физически отделив сеть контроля доступа от сети организации. Большинство контроллеров IP используют платформу Linux или проприетарные операционные системы, что затрудняет их взлом. Также используется стандартное шифрование данных.
  • Максимальное расстояние от концентратора или коммутатора до контроллера (при использовании медного кабеля) составляет 100 метров (330 футов).
  • Работа системы зависит от главного компьютера. В случае отказа главного ПК события от контроллеров не извлекаются, и функции, требующие взаимодействия между контроллерами (т. Е. Запрет повторного прохода), перестают работать. Однако некоторые контроллеры имеют возможность одноранговой связи, чтобы уменьшить зависимость от главного ПК.
Система контроля доступа с использованием IP-считывателей

7. Считыватели IP . Считыватели подключаются к главному компьютеру через Ethernet LAN или WAN.

Преимущества: [ необходима ссылка ]

  • Большинство считывателей IP поддерживают PoE. Эта функция позволяет очень легко обеспечить питание от батареи для всей системы, включая замки и различные типы детекторов (если они используются).
  • Считыватели IP исключают необходимость в корпусах контроллеров.
  • При использовании IP-считывателей пропускная способность отсутствует (например, у 4-дверного контроллера было бы 25% неиспользованной емкости, если бы он управлял только 3 дверями).
  • Системы IP-считывателей легко масштабируются: нет необходимости устанавливать новые основные или вспомогательные контроллеры.
  • Отказ одного считывателя IP не влияет на другие считыватели в системе.

Недостатки: [ необходима ссылка ]

  • Для использования в зонах с высокой степенью защиты IP-считыватели требуют специальных модулей ввода / вывода, чтобы исключить возможность вторжения путем доступа к проводке замка и / или кнопки выхода. Такие модули доступны не у всех производителей IP-считывателей.
  • Будучи более сложными, чем базовые считыватели, IP-считыватели также более дороги и чувствительны, поэтому их не следует устанавливать на открытом воздухе в местах с суровыми погодными условиями или высокой вероятностью вандализма, если они специально не предназначены для наружной установки. Такие модели выпускают несколько производителей.

Преимущества и недостатки IP-контроллеров применимы также к IP-считывателям.

Угрозы безопасности [ править ]

Электропроводка двери контроля доступа при использовании интеллектуальных считывателей и модуля ввода-вывода

Наиболее распространенный риск вторжения через систему контроля доступа связан с простым отслеживанием законного пользователя через дверь, и это называется отслеживанием . Часто легитимный пользователь будет держать дверь для злоумышленника. Этот риск можно свести к минимуму с помощью обучения пользователей правилам безопасности или более активных средств, таких как турникеты. В приложениях с очень высокой степенью защиты этот риск сводится к минимуму за счет использования порта для вылазки , иногда называемого вестибюлем безопасности или мантрой, где вмешательство оператора предположительно требуется для обеспечения достоверной идентификации. [ необходима цитата ]

Второй наиболее распространенный риск - это открыть дверь. Это относительно сложно для должным образом закрепленных дверей с защелками или магнитными замками с высокой удерживающей силой. Полностью реализованные системы контроля доступа включают сигнализацию принудительного контроля дверей. Они различаются по эффективности, обычно из-за большого количества ложных срабатываний тревоги, плохой конфигурации базы данных или отсутствия активного мониторинга вторжений. Большинство новейших систем контроля доступа включают в себя какой-либо тип сигнализации дверной опоры для информирования системных администраторов о том, что дверь остается открытой дольше указанного периода времени. [ необходима цитата ]

Третья по частоте угроза безопасности - стихийные бедствия. Чтобы снизить риск стихийных бедствий, жизненно важна структура здания, вплоть до качества сети и компьютерного оборудования. С организационной точки зрения, руководству необходимо будет принять и внедрить план всех опасностей или план реагирования на инциденты. Основные моменты любого плана инцидента, определенного Национальной системой управления инцидентами, должны включать в себя планирование до инцидента, во время действий по инциденту, аварийное восстановление и проверку после действий. [14]

Подобно рычагу - это пробивание дешевых перегородок. В общих помещениях арендатора перегородка является уязвимым местом. Уязвимостью по той же причине является нарушение габаритных огней. [ необходима цитата ]

Подмена фиксирующего оборудования является довольно простым и более элегантно , чем выравнивающий. Сильный магнит может приводить в действие болты управления соленоидом в электрическом запирающем устройстве. Моторные замки, более распространенные в Европе, чем в США, также подвержены этой атаке с использованием магнита в форме пончика. Также можно управлять питанием замка, отключая или добавляя ток, хотя большинство систем контроля доступа включают в себя системы резервного питания от батарей, а замки почти всегда расположены на защищенной стороне двери. [ необходима цитата ]

Сами карты доступа оказались уязвимыми для изощренных атак. Предприимчивые хакеры создали портативные считыватели, которые считывают номер карты с бесконтактной карты пользователя. Хакер просто проходит мимо пользователя, читает карту, а затем представляет номер считывающему устройству, защищающему дверь. Это возможно, потому что номера карт отправляются в открытом виде, без использования шифрования. Чтобы противостоять этому, всегда следует использовать методы двойной аутентификации, такие как карта плюс PIN-код.

Многие уникальные серийные номера учетных данных для контроля доступа программируются в последовательном порядке во время производства. Известная как последовательная атака, если злоумышленник имеет учетные данные, однажды использованные в системе, он может просто увеличивать или уменьшать серийный номер, пока не найдет учетные данные, которые в настоящее время авторизованы в системе. Чтобы противостоять этой угрозе, рекомендуется заказывать учетные данные со случайными уникальными серийными номерами. [15]

Наконец, у большинства электрических запорных устройств все еще есть механические ключи в качестве резервных. Замки с механическими ключами подвержены ударам . [16]

Принцип необходимости знать [ править ]

Дополнительная информация: Принцип наименьших привилегий.

Принцип потребности в информации может быть реализован с помощью контроля доступа пользователей и процедур авторизации, и его цель состоит в том, чтобы гарантировать, что только уполномоченные лица получают доступ к информации или системам, необходимым для выполнения их обязанностей. [ необходима цитата ]

Компьютерная безопасность [ править ]

Дополнительная информация: Контроль доступа к компьютеру

В компьютерной безопасности общий контроль доступа включает аутентификацию , авторизацию и аудит. Более узкое определение управления доступом будет охватывать только утверждение доступа, в соответствии с которым система принимает решение предоставить или отклонить запрос доступа от уже аутентифицированного субъекта, в зависимости от того, к чему этому субъекту разрешен доступ. Аутентификация и контроль доступа часто объединяются в одну операцию, поэтому доступ утверждается на основе успешной аутентификации или на основе токена анонимного доступа. Методы аутентификации и токены включают пароли, биометрический анализ, физические ключи, электронные ключи и устройства, скрытые пути, социальные барьеры и мониторинг со стороны людей и автоматизированных систем. [17]

В любой модели управления доступом объекты, которые могут выполнять действия в системе, называются субъектами , а объекты, представляющие ресурсы, доступ к которым может потребоваться контролировать, называются объектами (см. Также Матрицу управления доступом ). И субъекты, и объекты следует рассматривать как программные объекты, а не как пользователей-людей: любые пользователи-люди могут оказывать влияние на систему только через программные объекты, которые они контролируют. [ необходима цитата ]

Хотя в некоторых системах субъекты приравниваются к идентификаторам пользователей , так что все процессы, запущенные пользователем по умолчанию, имеют одинаковые полномочия, этот уровень контроля недостаточно детализирован, чтобы удовлетворить принципу наименьших привилегий , и, возможно, отвечает за преобладание вредоносное ПО в таких системах (см. компьютерная незащищенность ). [ необходима цитата ]

В некоторых моделях, например в модели объектных возможностей , любой программный объект может потенциально действовать как субъект, так и объект. [ необходима цитата ]

По состоянию на 2014 год модели управления доступом, как правило, делятся на один из двух классов: модели, основанные на возможностях, и модели, основанные на списках управления доступом (ACL).

  • В модели, основанной на возможностях, наличие неподдельной ссылки или способности к объекту обеспечивает доступ к объекту (примерно аналогично тому, как владение ключом от дома дает человеку доступ к дому); доступ передается другой стороне путем передачи такой возможности по защищенному каналу
  • В модели на основе ACL доступ субъекта к объекту зависит от того, отображается ли его идентификатор в списке, связанном с объектом (примерно аналогично тому, как вышибала на частной вечеринке проверяет идентификатор, чтобы увидеть, отображается ли имя на госте. список); доступ передается путем редактирования списка. (Различные системы ACL имеют множество различных соглашений относительно того, кто или что отвечает за редактирование списка и как он редактируется.) [ Необходима ссылка ]

Как модели на основе возможностей, так и на основе ACL имеют механизмы, позволяющие предоставлять права доступа всем членам группы субъектов (часто сама группа моделируется как субъект). [ необходима цитата ]

Системы контроля доступа предоставляют основные услуги авторизации , идентификации и аутентификации ( I&A ), утверждения доступа и подотчетности, где: [ необходима ссылка ]

  • авторизация определяет, что субъект может делать
  • идентификация и аутентификация гарантируют, что только законные субъекты могут войти в систему
  • Утверждение доступа предоставляет доступ во время операций путем связывания пользователей с ресурсами, к которым им разрешен доступ, на основе политики авторизации
  • подотчетность определяет, что сделал субъект (или все субъекты, связанные с пользователем)

Модели контроля доступа [ править ]

Доступ к учетным записям можно обеспечить с помощью многих типов элементов управления. [18]

  1. Управление доступом на основе атрибутов (ABAC)
    Парадигма управления доступом, при которой права доступа предоставляются пользователям посредством использования политик, которые оценивают атрибуты (атрибуты пользователя, атрибуты ресурсов и условия среды) [19]
  2. Дискреционный контроль доступа (DAC)
    В DAC владелец данных определяет, кто может получить доступ к определенным ресурсам. Например, системный администратор может создать иерархию файлов для доступа на основе определенных разрешений.
  3. Управление доступом на основе графов (GBAC)
    По сравнению с другими подходами, такими как RBAC или ABAC, основное отличие состоит в том, что в GBAC права доступа определяются с использованием языка запросов организации, а не полного перечисления.
  4. Управление доступом на основе истории (HBAC)
    Доступ предоставляется или отклоняется на основании оценки в реальном времени истории действий запрашивающей стороны, например поведения, времени между запросами, содержания запросов. [20] Например, доступ к определенной услуге или источнику данных может быть предоставлен или отклонен в зависимости от личного поведения, например, интервал запроса превышает один запрос в секунду.
  5. Управление доступом на основе истории присутствия (HPBAC)
    Управление доступом к ресурсам определяется в терминах политик присутствия, которые должны быть удовлетворены записями присутствия, хранящимися отправителем запроса. Политики обычно пишутся с точки зрения частоты, распространения и регулярности. Примером политики может быть «Запрашивающая сторона совершила k отдельных посещений, все в течение последней недели, и никакие два последовательных посещения не разделяются более чем на T часов». [21]
  6. Контроль доступа на основе идентификационных данных (IBAC).
    С помощью этого сетевого администратора можно более эффективно управлять действиями и доступом с учетом индивидуальных потребностей. [22]
  7. Управление доступом на основе решетки (LBAC)
    Решетка используется для определения уровней безопасности, которые может иметь объект и к которым субъект может иметь доступ. Субъекту разрешен доступ к объекту только в том случае, если уровень безопасности субъекта больше или равен уровню безопасности объекта.
  8. Обязательный контроль доступа (MAC)
    В MAC у пользователей нет большой свободы определять, кто имеет доступ к их файлам. Например, уровень доступа пользователей и классификация данных (как конфиденциальные, секретные или совершенно секретные) используются в качестве меток безопасности для определения уровня доверия.
  9. Управление доступом на основе организации (OrBAC)
    Модель OrBAC позволяет разработчику политики определять политику безопасности независимо от реализации [23]
  10. Управление доступом на основе ролей (RBAC)
    RBAC предоставляет доступ на основе должности. RBAC в значительной степени исключает свободу действий при предоставлении доступа к объектам. Например, у специалиста по кадрам не должно быть разрешений на создание сетевых учетных записей; эта роль должна быть зарезервирована для сетевых администраторов.
  11. Управление доступом на основе правил (RAC)
    Метод RAC, также называемый управлением доступом на основе правил (RB-RBAC), в значительной степени основан на контексте. Примером этого может быть разрешение студентам использовать лабораторные работы только в определенное время дня; это комбинация управления доступом студентов к информационной системе на основе RBAC с правилами доступа к лаборатории, основанным на времени.
  12. Контроль доступа на основе ответственности Доступ к
    информации осуществляется на основании обязанностей, возложенных на исполнителя или бизнес-роль [24]

Телекоммуникации [ править ]

В телекоммуникациях термин « контроль доступа» определен в Федеральном стандарте США 1037C [25] и имеет следующие значения:

  1. Особенность службы или метод , используемый , чтобы разрешить или запретить использование компонентов коммуникационной системы .
  2. Метод, используемый для определения или ограничения прав отдельных лиц или прикладных программ на получение данных с запоминающего устройства или размещение данных на нем .
  3. Определение или ограничение прав отдельных лиц или прикладных программ на получение данных с запоминающего устройства или размещение данных на нем .
  4. Процесс ограничения доступа к ресурсам AIS (автоматизированной информационной системы) для авторизованных пользователей, программ, процессов или других систем.
  5. Эта функция выполняется контроллером ресурсов, который выделяет системные ресурсы для удовлетворения запросов пользователей .

Это определение зависит от ряда других технических терминов Федерального стандарта 1037C.

Аксессоры атрибутов [ править ]

Специальные общедоступные методы-члены - методы доступа (также известные как геттеры ) и методы мутаторов (часто называемые сеттерами ) используются для управления изменениями переменных класса с целью предотвращения несанкционированного доступа и повреждения данных.

Государственная политика [ править ]

В публичной политике управление доступом для ограничения доступа к системам (« авторизация ») или для отслеживания или мониторинга поведения внутри систем (« подотчетность ») является реализацией функции использования доверенных систем для обеспечения безопасности или социального контроля .

См. Также [ править ]

  • Тревожное устройство , управление сигнализацией , охранная сигнализация
  • Кардридер , карт общего доступа , магнитной полосы карты , Proximity карты , смарт - карты , оптический турникет , значок доступа
  • Замок , фортификации
  • Компьютерная безопасность , логическая безопасность , .htaccess , эффект Виганда , XACML , учетные данные
  • Безопасность дверей , Отмычка , Замок (защитное устройство) , Электронный замок , Сейф , Взлом сейфов , Банковское хранилище
  • Сканер отпечатков пальцев , идентификация фотографий , биометрия
  • Управление идентификацией , идентификационный документ , OpenID , IP-контроллер , IP-считыватель
  • Управление ключами , Ключевые карты
  • Экран блокировки
  • Управление информацией о физической безопасности
  • Специалист по физической безопасности
  • Тюрьма , Колючая лента , Мантрап
  • Безопасность , инженерия безопасности , охранное освещение , управление безопасностью , политика безопасности

Ссылки [ править ]

  1. ^ RFC  4949
  2. ^ a b c Юджин Шульц, Э. (2007). «Риски, связанные с конвергенцией систем физической безопасности и сред информационных технологий». Технический отчет по информационной безопасности . 12 (2): 80–84. DOI : 10.1016 / j.istr.2007.06.001 .
  3. ^ Niemelä Харри (2011). «Изучение бизнес-возможностей и добавленной стоимости приложений NFC в сфере безопасности» . theseus.fi . Проверено 22 марта 2019 .
  4. ^ a b Ньюман, Роберт (2010). Безопасность и контроль доступа с использованием биометрических технологий . Бостон, Массачусетс: Технология курса. ISBN 978-1-4354-9667-5. OCLC  535966830 .
  5. ^ Федеральный экзаменационный совет финансовых учреждений (2008). «Аутентификация в среде интернет-банка» (PDF) . Архивировано 5 мая 2010 года (PDF) . Проверено 31 Декабрю 2 009 .
  6. ^ «Офис будущего MicroStrategy включает мобильную идентификацию и кибербезопасность» . Вашингтон Пост . 14 апреля 2014 года. Архивировано 16 февраля 2014 года . Проверено 30 марта 2014 .
  7. ^ "iPhone 5S: поворотный момент в биометрии?" . BankInfoSecurity.com. 16 сентября 2013 года. Архивировано 11 сентября 2015 года . Проверено 30 марта 2014 .
  8. ^ «Контроль доступа NFC: круто и приближается, но не близко» . Новости систем безопасности. 25 сентября 2013 года. Архивировано 6 апреля 2014 года . Проверено 30 марта 2014 .
  9. ^ «Избавьтесь от этих липких цепочек для ключей: легкий доступ с помощью ключа EC» . Беспроводной дизайн и разработка. 11 июня 2012 года Архивировано из оригинала 7 апреля 2014 года . Проверено 31 марта 2014 года .
  10. ^ «Kisi и KeyMe, два приложения для смартфонов, могут сделать ключи от дома устаревшими» . The Huffington Post . 26 ноября 2013. Архивировано 11 марта 2015 года.
  11. Перейти ↑ Rhodes, Brian (2019). «Проектирование руководства по контролю доступа» . ipvm.com . Дата обращения 1 октября 2019 .
  12. ^ «Открытие новых дверей с контролем доступа IP - Secure Insights» . Secure Insights . 16 марта 2018 . Проверено 20 июня 2018 .
  13. ^ «Эволюция контроля доступа» . isonas.com . Проверено 26 сентября 2019 года .
  14. ^ "Система управления инцидентами :: NIMS Online :: Обслуживание сообщества Национальной системы управления инцидентами (NIMS)" . 18 марта 2007 года Архивировано из оригинала 18 марта 2007 года . Проверено 6 марта +2016 .
  15. ^ «Интеллектуальные политики контроля доступа для жилых и коммерческих зданий» . Архивировано 4 июля 2017 года . Проверено 11 сентября 2017 года .
  16. Грэм Пулфорд (17 октября 2007 г.). Механические замки с высокой степенью защиты: энциклопедический справочник . Баттерворт-Хайнеманн. С. 76–. ISBN 978-0-08-055586-7.
  17. ^ Автор, Гость (7 февраля 2020 г.). «Методы и технологии аутентификации пользователей для предотвращения взлома» . ID R&D . Дата обращения 8 ноября 2020 .
  18. ^ «Кибербезопасность: контроль доступа» . 4 февраля 2014 . Проверено 11 сентября 2017 года .
  19. ^ «SP 800-162, Руководство по определению и рассмотрению управления доступом на основе атрибутов (ABAC)» (PDF) . NIST. 2014. Архивировано из оригинального (PDF) 5 марта 2016 года . Проверено 8 декабря 2015 года .
  20. ^ Schapranow, Матье-P. (2014). Расширения безопасности в реальном времени для сетей EPCglobal . Springer. ISBN 978-3-642-36342-9.
  21. ^ Перейра, Энрике GG; Фонг, Филип В.Л. (2019). «SEPD: модель контроля доступа для совместного использования ресурсов в среде IoT». Компьютерная безопасность - ESORICS 2019 . Конспект лекций по информатике. Издательство Springer International. 11736 : 195–216. DOI : 10.1007 / 978-3-030-29962-0_10 . ISBN 978-3-030-29961-3.
  22. ^ Сонване, Абхилаш Виджай; Махадевия, Джимит Харешкумау; Малек, Сарфараз Мохаммедханиф; Пандья, Сумит; Шах, Нишит Шантибхай; Модхвадия, Раджеш Хардасбхай (17 марта 2015 г.), Система и метод сетевой безопасности и управления на основе идентификационных данных и политик , Патентная полнотекстовая и графическая база данных USPTO
  23. ^ «OrBAC: Управление доступом на основе организации - официальный сайт модели OrBAC» . orbac.org . Архивировано из оригинала на 10 июня 2017 года . Проверено 11 сентября 2017 года .
  24. ^ «Архивная копия» (PDF) . Архивировано 4 марта 2016 года (PDF) из оригинала . Проверено 18 июля 2014 года . CS1 maint: заархивированная копия как заголовок ( ссылка )
  25. ^ «Архивная копия» (PDF) . Архивировано из оригинального (PDF) 8 мая 2007 года . Проверено 23 января 2007 года . CS1 maint: заархивированная копия как заголовок ( ссылка )
  • Федеральный закон США 1037C
  • США MIL-188
  • США Национальные информационные системы безопасности Глоссарий
  • Харрис, Шон , All-in-one CISSP Exam Guide, 6th Edition, McGraw Hill Osborne, Emeryville, California, 2012.
  • «Проектирование интегрированных систем безопасности» - Баттерворт / Хайненманн - 2007 - Томас Л. Норман, автор CPP / PSP / CSC
  • NIST.gov - Отдел компьютерной безопасности - Центр ресурсов компьютерной безопасности - КОНТРОЛЬ ДОСТУПА НА ОСНОВЕ АТРИБУТОВ (ABAC) - ОБЗОР

Внешние ссылки [ править ]

  • Язык разметки контроля доступа. Стандартный язык / модель OASIS для контроля доступа. Также XACML .