Контроль доступа к компьютеру

Информационная безопасность
Часть серии по
Связанные категории безопасности
Автомобильная безопасность Киберпреступность Киберсекс трафик Компьютерное мошенничество Кибервойна Электронная война Информационная война Интернет-безопасность Мобильная безопасность Сетевая безопасность Защита от копирования Управление цифровыми правами
Угрозы
Рекламное ПО Постоянная угроза повышенной сложности Выполнение произвольного кода Бэкдоры Аппаратные бэкдоры Внедрение кода Преступное ПО Межсайтовый скриптинг Вредоносное ПО для криптоджекинга Ботнеты Данные нарушения Попутная загрузка Вспомогательные объекты вредоносного браузера Компьютерное преступление Вирусы Парсинг данных Отказ в обслуживании Подслушивание Электронное мошенничество Подмена электронной почты Эксплойты Клавиатурные шпионы Логические бомбы Бомбы замедленного действия Вилочные бомбы Мошеннические дозвонщики Вредоносное ПО Полезная нагрузка Фишинг Полиморфный движок Повышение привилегий Программы-вымогатели Руткиты Буткиты Пугающее ПО Шеллкод Рассылка спама Соскабливание экрана Шпионское ПО Программные ошибки троянские кони Аппаратные трояны Трояны удаленного доступа Уязвимость Веб-оболочки щетка стеклоочистителя черви SQL-инъекция Незаконное программное обеспечение безопасности Зомби
Защиты
Обнаружение аномалий Контроль доступа к компьютеру Безопасность приложений Антивирусное программное обеспечение Программное обеспечение компьютерной безопасности Безопасное кодирование Безопасность по умолчанию Безопасность благодаря дизайну Случай неправильного использования Операционная система, ориентированная на безопасность Аутентификация Многофакторная аутентификация Авторизация Безопасность, ориентированная на данные Обфускация кода Шифрование Брандмауэр Система обнаружения вторжений Система обнаружения вторжений на основе хоста (HIDS) Информация о безопасности и управление событиями Мобильный безопасный шлюз Самозащита рабочего приложения Безопасность веб-приложений
v т е

В компьютерной безопасности общий контроль доступа включает идентификацию , авторизацию , аутентификацию , утверждение доступа и аудит . Более узкое определение управления доступом будет охватывать только утверждение доступа, в соответствии с которым система принимает решение предоставить или отклонить запрос доступа от уже аутентифицированного субъекта в зависимости от того, к чему этому субъекту разрешен доступ. Аутентификация и управление доступом часто объединяются в одну операцию, поэтому доступ утверждается на основе успешной проверки подлинности или на основе токена анонимного доступа. Методы аутентификации и токены включают пароли , биометрическое сканирование, физические ключи., электронные ключи и устройства, скрытые пути, социальные барьеры и мониторинг со стороны людей и автоматизированных систем. ^{[ необходима цитата ]}

Программные объекты [ править ]

В любой модели управления доступом объекты, которые могут выполнять действия в системе, называются субъектами , а объекты, представляющие ресурсы, доступ к которым может потребоваться контролировать, называются объектами (см. Также Матрицу управления доступом ). И субъекты, и объекты следует рассматривать как программные объекты, а не как пользователей-людей: любые пользователи-люди могут оказывать влияние на систему только через программные объекты, которые они контролируют. ^{[ необходима цитата ]}

Хотя в некоторых системах субъекты приравниваются к идентификаторам пользователей , так что все процессы, запускаемые пользователем по умолчанию, имеют одинаковые полномочия, этот уровень контроля недостаточно детализирован, чтобы удовлетворить принципу наименьших привилегий , и, возможно, отвечает за преобладание вредоносное ПО в таких системах (см. компьютерная незащищенность ). ^{[ необходима цитата ]}

В некоторых моделях, например в модели объектных возможностей , любой программный объект может потенциально действовать как субъект, так и объект. ^{[ необходима цитата ]}

По состоянию на 2014 год ^{[Обновить]}модели управления доступом, как правило, делятся на один из двух классов: модели, основанные на возможностях, и модели, основанные на списках управления доступом (ACL).

В модели, основанной на возможностях, наличие неподдающейся подделке ссылки или способности к объекту, которая обеспечивает доступ к объекту (примерно аналогично тому, как обладание ключом от дома дает человеку доступ к дому); доступ передается другой стороне путем передачи такой возможности по защищенному каналу.
В модели на основе ACL доступ субъекта к объекту зависит от того, отображается ли его идентификатор в списке, связанном с объектом (примерно аналогично тому, как вышибала на частной вечеринке проверяет идентификатор, чтобы увидеть, отображается ли имя на госте. список); доступ передается путем редактирования списка. (Различные системы ACL имеют множество различных соглашений относительно того, кто или что отвечает за редактирование списка и как он редактируется.) ^{[ Необходима ссылка ]}

И модели на основе возможностей, и на основе ACL имеют механизмы, позволяющие предоставлять права доступа всем членам группы субъектов (часто сама группа моделируется как субъект). ^{[ необходима цитата ]}

Услуги [ править ]

Системы контроля доступа предоставляют основные услуги авторизации , идентификации и аутентификации ( I&A ), утверждения доступа и подотчетности, где: ^{[ необходима ссылка ]}

авторизация определяет, что субъект может делать
идентификация и аутентификация гарантируют, что только законные субъекты могут войти в систему
утверждение доступа предоставляет доступ во время операций путем связывания пользователей с ресурсами, к которым им разрешен доступ, на основе политики авторизации
подотчетность определяет, что сделал субъект (или все субъекты, связанные с пользователем)

Авторизация [ править ]

Авторизация включает в себя акт определения прав доступа для субъектов. Политика авторизации определяет операции, которые субъекты могут выполнять в системе. ^{[ необходима цитата ]}

Большинство современных операционных систем реализуют политики авторизации как формальные наборы разрешений, которые являются вариациями или расширениями трех основных типов доступа: ^{[ необходима ссылка ]}

Прочтите (R): Субъект может
- Прочитать содержимое файла
- Список содержимого каталога
Запись (W): субъект может изменять содержимое файла или каталога с помощью следующих задач:
- Добавлять
- Обновлять
- Удалить
- Переименовать
Выполнить (X): если файл является программой, субъект может вызвать запуск программы. (В системах в стиле Unix разрешение на «выполнение» удваивается как разрешение на «перемещение по каталогу», если оно предоставляется для каталога.)

Эти права и разрешения реализуются по-разному в системах, основанных на дискреционном управлении доступом ( DAC ) и принудительном управлении доступом ( MAC ).

Идентификация и аутентификация [ править ]

Идентификация и аутентификация (I&A) - это процесс проверки того, что идентичность привязана к объекту, который делает утверждение или утверждение идентичности. Процесс I&A предполагает, что произошла первоначальная проверка личности, обычно называемая проверкой личности. Доступны различные методы подтверждения личности, начиная от личной проверки с использованием удостоверения личности государственного образца, до анонимных методов, которые позволяют заявителю оставаться анонимным, но известны системе, если они вернутся. Метод, используемый для подтверждения и подтверждения личности, должен обеспечивать уровень уверенности, соизмеримый с предполагаемым использованием идентичности в системе. Впоследствии объект утверждает идентичность вместе с аутентификатором в качестве средства проверки.Единственное требование к идентификатору - это то, что он должен быть уникальным в пределах своего домена безопасности.^{[ необходима цитата ]}

Аутентификаторы обычно основаны как минимум на одном из следующих четырех факторов: ^{[ необходима ссылка ]}

Что-то, что вы знаете , например пароль или личный идентификационный номер (PIN). Это предполагает, что только владелец учетной записи знает пароль или PIN-код, необходимые для доступа к учетной записи.
Что-то, что у вас есть , например смарт-карта или токен безопасности . Это предполагает, что только владелец учетной записи имеет необходимую смарт-карту или токен, необходимый для разблокировки учетной записи.
Что-то, что вы есть , например характеристики отпечатка пальца, голоса, сетчатки или радужной оболочки.
Где вы находитесь , например внутри или за пределами брандмауэра компании, или рядом с местом входа в систему с личным устройством GPS.

Утверждение доступа [ править ]

Утверждение доступа - это функция, которая фактически разрешает или запрещает доступ во время операций. ^[1]

Во время утверждения доступа система сравнивает формальное представление политики авторизации с запросом доступа, чтобы определить, должен ли запрос быть предоставлен или отклонен. Более того, оценка доступа может производиться онлайн / постоянно. ^[2]

Подотчетность [ править ]

Подотчетность использует такие системные компоненты, как контрольные журналы (записи) и журналы, чтобы связать субъект с его действиями. Записанной информации должно быть достаточно для сопоставления объекта с контролирующим пользователем. Журналы аудита и журналы важны для ^{[ цитата ]}

Обнаружение нарушений безопасности
Воссоздание инцидентов безопасности

Если никто не просматривает ваши журналы регулярно и они не поддерживаются надежным и последовательным образом, они могут быть неприемлемы в качестве доказательства. ^{[ необходима цитата ]}

Многие системы могут создавать автоматические отчеты на основе определенных предопределенных критериев или пороговых значений, известных как уровни отсечения . Например, уровень отсечения может быть установлен для создания отчета для следующего: ^{[ необходима ссылка ]}

Более трех неудачных попыток входа в систему за определенный период
Любая попытка использовать отключенную учетную запись пользователя

Эти отчеты помогают системному администратору или администратору безопасности более легко определять возможные попытки взлома.

Определение уровня отсечения: ^[3] способность диска сохранять свои магнитные свойства и удерживать свое содержимое. Диапазон качественного уровня 65–70%; низкое качество ниже 55%.

Контроль доступа [ править ]

Модели контроля доступа иногда делятся на дискреционные или недискреционные. Три наиболее широко известных модели - это дискреционный контроль доступа (DAC), обязательный контроль доступа (MAC) и контроль доступа на основе ролей (RBAC). MAC не является дискреционным. ^{[ необходима цитата ]}

Дискреционный контроль доступа [ править ]

Дискреционный контроль доступа (DAC) - это политика, определяемая владельцем объекта. Владелец решает, кому разрешен доступ к объекту и какие привилегии у него есть.

Двумя важными концепциями DAC являются ^{[ цитата ]}

Владение файлами и данными: у каждого объекта в системе есть владелец . В большинстве систем DAC первоначальный владелец каждого объекта является субъектом, который вызвал его создание. Политика доступа к объекту определяется его владельцем.
Права доступа и разрешения: это элементы управления, которые владелец может назначать другим субъектам для определенных ресурсов.

Управление доступом может быть дискреционным в системах управления доступом на основе ACL или на основе возможностей. (В системах, основанных на возможностях, обычно нет явного понятия «владелец», но создатель объекта имеет аналогичную степень контроля над своей политикой доступа.)

Обязательный контроль доступа [ править ]

Обязательное управление доступом относится к разрешению доступа к ресурсу тогда и только тогда, когда существуют правила, позволяющие данному пользователю получить доступ к ресурсу. Им сложно управлять, но его использование обычно оправдано при использовании для защиты конфиденциальной информации. Примеры включают определенную правительственную и военную информацию. Управление часто упрощается (по сравнению с тем, что требуется), если информация может быть защищена с помощью иерархического контроля доступа или путем внедрения меток конфиденциальности. Что делает метод "обязательным", так это использование правил или меток конфиденциальности. ^{[ необходима цитата ]}

Метки чувствительности: в такой системе субъектам и объектам должны быть присвоены метки. Метка чувствительности субъекта указывает уровень его доверия. Метка конфиденциальности объекта указывает уровень доверия, необходимый для доступа. Чтобы получить доступ к заданному объекту, субъект должен иметь уровень чувствительности, равный или выше запрошенного объекта.
Импорт и экспорт данных: контроль импорта информации из других систем и экспорта в другие системы (включая принтеры) является важной функцией этих систем, которая должна гарантировать, что метки конфиденциальности должным образом поддерживаются и применяются, чтобы конфиденциальная информация была должным образом защищена. раз.

Для применения обязательного контроля доступа обычно используются два метода: ^{[ необходима цитата ]}

Управление доступом на основе правил (или меток): этот тип управления дополнительно определяет конкретные условия доступа к запрошенному объекту. Система обязательного контроля доступа реализует простую форму контроля доступа на основе правил, чтобы определить, должен ли доступ быть предоставлен или запрещен путем сопоставления:
- Метка чувствительности объекта
- Метка чувствительности объекта
Управление доступом на основе решеток : их можно использовать для сложных решений по управлению доступом с участием нескольких объектов и / или субъектов. Решетчатая модель - это математическая структура, которая определяет наибольшие нижние и наименьшие верхние значения для пары элементов, таких как субъект и объект.

Немногие системы реализуют MAC; XTS-400 и SELinux являются примерами таких систем.

Контроль доступа на основе ролей [ править ]

Управление доступом на основе ролей (RBAC) - это политика доступа, определяемая системой, а не владельцем. RBAC используется в коммерческих приложениях, а также в военных системах, где также могут существовать многоуровневые требования безопасности. RBAC отличается от DAC тем, что DAC позволяет пользователям контролировать доступ к своим ресурсам, тогда как в RBAC доступ контролируется на системном уровне, вне контроля пользователя. Хотя RBAC не является дискреционным, его можно отличить от MAC прежде всего по способу обработки разрешений. MAC контролирует разрешения на чтение и запись в зависимости от уровня доступа пользователя и дополнительных меток. RBAC управляет наборами разрешений, которые могут включать сложные операции, такие как транзакция электронной торговли, или могут быть такими же простыми, как чтение или запись. Роль в RBAC можно рассматривать как набор разрешений.

Для RBAC определены три основных правила:

Назначение ролей: субъект может выполнить транзакцию, только если субъект выбрал или ему была назначена подходящая роль.
Авторизация роли: активная роль субъекта должна быть авторизована для субъекта. С помощью правила 1, приведенного выше, это правило гарантирует, что пользователи могут выполнять только те роли, для которых они авторизованы.
Авторизация транзакции: субъект может выполнить транзакцию, только если транзакция авторизована для активной роли субъекта. С помощью правил 1 и 2 это правило гарантирует, что пользователи могут выполнять только те транзакции, для которых они авторизованы.

Также могут применяться дополнительные ограничения, и роли могут быть объединены в иерархию, где к ролям более высокого уровня относятся разрешения, принадлежащие подролям более низкого уровня.

Большинство поставщиков ИТ предлагают RBAC в одном или нескольких продуктах.

Контроль доступа на основе атрибутов [ править ]

В управлении доступом на основе атрибутов (ABAC) ^[4]^[5] доступ предоставляется не на основе прав субъекта, связанного с пользователем после аутентификации, а на основе атрибутов пользователя. Пользователь должен подтвердить так называемые утверждения о своих атрибутах механизму управления доступом. Политика управления доступом на основе атрибутов определяет, какие утверждения должны быть удовлетворены, чтобы предоставить доступ к объекту. Например, иск может быть «старше 18 лет». Доступ предоставляется любому пользователю, который может доказать это утверждение. Пользователи могут быть анонимными, когда аутентификация и идентификация строго не требуются. Однако требуются средства для анонимного доказательства претензий. Это может быть достигнуто, например, с использованием анонимных учетных данных . ^{[необходимая ссылка ]} XACML(расширяемый язык разметки управления доступом) является стандартом для управления доступом на основе атрибутов. XACML 3.0 был стандартизирован в январе 2013 года.^[6]

Модели контроля доступа Break-Glass [ править ]

Традиционно доступ имеет целью ограничение доступа, поэтому большинство моделей управления доступом следуют «принципу отказа по умолчанию», то есть, если конкретный запрос доступа не разрешен явно, он будет отклонен. Такое поведение может противоречить обычным операциям системы. В определенных ситуациях люди готовы пойти на риск, связанный с нарушением политики контроля доступа, если потенциальная выгода, которая может быть достигнута, перевешивает этот риск. Эта потребность особенно заметна в сфере здравоохранения, где отказ в доступе к записям пациентов может привести к смерти пациента. Break-Glass (также называемый «разбить стекло») пытается смягчить это, позволяя пользователям отменять решение о контроле доступа. Break-Glass может быть реализован особым образом для управления доступом (например, в RBAC), ^[7]или общий (т. е. не зависящий от базовой модели управления доступом). ^[8]

Контроль доступа на основе хоста (HBAC) [ править ]

Инициализм HBAC означает «управление доступом на основе хоста». ^[9]

См. Также [ править ]

Средство контроля доступа к ресурсам

Ссылки [ править ]

^ Дитер Голлманн. Компьютерная безопасность , 3-е изд. Wiley Publishing, 2011, стр. 387, низ
^ Маркон, AL; Olivo Santin, A .; Stihler, M .; Бахтольд, Дж., «Оценка отказоустойчивой авторизации UCONabc для облачных вычислений», Параллельные и распределенные системы, IEEE Transactions on , vol. 25, нет. 2, pp. 457–467, февраль 2014 г. doi : 10.1109 / TPDS.2013.113 , снизу
^ «Определение: уровень отсечения» . Журнал ПК .
↑ Джин, Синь, Рам Кришнан и Рави Сандху. «Единая модель управления доступом на основе атрибутов, охватывающая dac, mac и rbac». Безопасность и конфиденциальность данных и приложений XXVI. Springer Berlin Heidelberg, 2012. 41–55.
^ Ху, Винсент C .; Феррайоло, Дэвид; Кун, Рик; Шнитцер, Адам; Сандлин, Кеннет; Миллер, Роберт; Скарфоне, Карен. «Руководство по определению и соображениям контроля доступа на основе атрибутов (ABAC)» (PDF) . Цитировать журнал требует |journal=( помощь )
^ Расширяемый язык разметки управления доступом ( XACML ) V3.0 утвержден в качестве стандарта OASIS, расширенный язык разметки управления доступом (XACML) V3.0 утвержден в качестве стандарта OASIS.
^ Феррейра, Ана; Чедвик, Дэвид; Фаринья, Педро; Коррейя, Рикардо; Зао, Гансен; Чиро, Руи; Антунес, Луис (2009). «Как безопасно взломать RBAC: модель BTG-RBAC». Конференция по приложениям компьютерной безопасности (ACSAC) . IEEE. С. 23–31. DOI : 10.1109 / ACSAC.2009.12 .
^ Brucker, Achim D .; Петрич, Гельмут (2009). «Расширение моделей контроля доступа с помощью разбитого стекла». . Симпозиум ACM по моделям и технологиям контроля доступа (SACMAT) . ACM Press. С. 197–206. DOI : 10.1145 / 1542207.1542239 .
^ Баллард, Элла Деон (2013). «Руководство по управлению идентификацией: Управление политиками идентификации и авторизации для инфраструктур на базе Linux» . Красная шляпа . Проверено 6 января 2014 . Любая служба PAM может быть идентифицирована как система управления доступом на основе хоста (HBAC) в IdM.

[Gollmann-2011-1] Дитер Голлманн. Компьютерная безопасность , 3-е изд. Wiley Publishing, 2011, стр. 387, низ

[Arlindo-2014-2] Маркон, AL; Olivo Santin, A .; Stihler, M .; Бахтольд, Дж., «Оценка отказоустойчивой авторизации UCONabc для облачных вычислений», Параллельные и распределенные системы, IEEE Transactions on , vol. 25, нет. 2, pp. 457–467, февраль 2014 г. doi : 10.1109 / TPDS.2013.113 , снизу

[3] «Определение: уровень отсечения» . Журнал ПК .

[4] Джин, Синь, Рам Кришнан и Рави Сандху. «Единая модель управления доступом на основе атрибутов, охватывающая dac, mac и rbac». Безопасность и конфиденциальность данных и приложений XXVI. Springer Berlin Heidelberg, 2012. 41–55.

[5] Ху, Винсент C .; Феррайоло, Дэвид; Кун, Рик; Шнитцер, Адам; Сандлин, Кеннет; Миллер, Роберт; Скарфоне, Карен. «Руководство по определению и соображениям контроля доступа на основе атрибутов (ABAC)» (PDF) . Цитировать журнал требует |journal=( помощь )

[xacml30standard-6] Расширяемый язык разметки управления доступом ( XACML ) V3.0 утвержден в качестве стандарта OASIS, расширенный язык разметки управления доступом (XACML) V3.0 утвержден в качестве стандарта OASIS.

[7] Феррейра, Ана; Чедвик, Дэвид; Фаринья, Педро; Коррейя, Рикардо; Зао, Гансен; Чиро, Руи; Антунес, Луис (2009). «Как безопасно взломать RBAC: модель BTG-RBAC». Конференция по приложениям компьютерной безопасности (ACSAC) . IEEE. С. 23–31. DOI : 10.1109 / ACSAC.2009.12 .

[8] Brucker, Achim D .; Петрич, Гельмут (2009). «Расширение моделей контроля доступа с помощью разбитого стекла». . Симпозиум ACM по моделям и технологиям контроля доступа (SACMAT) . ACM Press. С. 197–206. DOI : 10.1145 / 1542207.1542239 .

[9] Баллард, Элла Деон (2013). «Руководство по управлению идентификацией: Управление политиками идентификации и авторизации для инфраструктур на базе Linux» . Красная шляпа . Проверено 6 января 2014 . Любая служба PAM может быть идентифицирована как система управления доступом на основе хоста (HBAC) в IdM.