Дьяченко Н.В., Отакулов А.С., Шатомиров И.С.
Донской государственный технический университет
АВТОРИЗАЦИЯ И КОНТРОЛЬ ДОСТУПА КАК ОДИН ИЗ СПОСОБОВ ЗАЩИТЫ ИНФОРМАЦИИ
Аннотация
В данной работе рассматриваются вопросы, касающиеся авторизации и контроля доступа, преимуществе и ее необходимости. А также иерархия авторизации доступа.
Ключевые слова: информационная безопасность, физический метод защиты информации, авторизация
Keywords: information security, physical method of information security, authorization
Как только мы получили заявление о личности и установили, является ли это требование действительным, мы переходим к тому, что стороне разрешено делать, и будем ли мы разрешать или отказывать им в доступе к нашим ресурсам. Мы можем достичь этого с помощью двух основных концепций: авторизация и контроль доступа. Авторизация позволяет нам указать, где стороне должен быть разрешен или запрещен доступ, а контроль доступа позволяет нам управлять этим доступом на очень детальном уровне.
Контроль доступа может быть сконструирован различными способами. Мы можем основывать контроль доступа на физических атрибутах, наборах правил, списках отдельных лиц или систем или более сложных факторах. Конкретный тип контроля доступа часто зависит от среды, в которой он будет использоваться. Мы можем найти более простые средства управления доступом, реализованные во многих приложениях и операционных системах, в то время как более сложные многоуровневые конфигурации могут быть реализованы в военных или правительственных средах. В таких случаях важность того, к чему мы контролируем доступ, может указывать на то, что мы отслеживаем то, к чему имеют доступ наши пользователи, на разных уровнях.
Когда мы обсуждаем концепции контроля доступа, мы можем ссылаться на них в чисто логическом или физическом смысле или, чаще, как на сочетание этих двух. С точки зрения систем управления доступом важно понимать, что при работе с вычислительными средами логическое и физическое часто тесно переплетены. Системы логического контроля доступа, даже те, которые не имеют сразу очевидного физического компонента, все еще зависят от физического аппаратного обеспечения, сети и утилиты для выполнения своих задач. Точно так же многие, но не все, физические средства контроля доступа (иногда называемые охранниками, воротами и оружием) имеют своего рода логический компонент. Часто системы, которые контролируют наш доступ к объектам и внутри них, в равной степени зависят от сетей, компьютерных систем и других подобных компонентов. Во многих отношениях информационная безопасность и физическая безопасность тесно связаны друг с другом.
Авторизация — это следующий шаг после завершения идентификации и аутентификации. Авторизация позволяет нам определить, после того как мы аутентифицировали соответствующую сторону, именно то, что им разрешено делать. Обычно мы реализуем авторизацию с помощью контроля доступа.
Принцип наименьших привилегий
Когда определим, какой доступ следует предоставить определенному лицу мы должны помнить о важной концепции, которая называется принципом наименьших привилегий. Принцип наименьших привилегий гласит, что мы должны разрешать только минимальный доступ к какой-либо стороне — это может быть человек, учетная запись пользователя или процесс — чтобы она могла выполнять необходимые функции. Например, кому-то, работающему в отделе продаж, не нужен доступ к данным в нашей внутренней системе управления персоналом для выполнения своей работы. Нарушение принципа наименьших привилегий является сердцем многих проблем безопасности, с которыми мы сталкиваемся сегодня.
Один из наиболее распространенных способов наименьших прав доступа, заключается в разрешениях, которые мы даем учетным записям пользователей операционной системы (ОС), чаще всего нарушаемыми пользователями и администраторами операционных систем Microsoft. В операционных системах Microsoft мы часто обнаруживаем, что случайные пользователи ОС, которые выполняют такие задачи, как создание документов в текстовых процессорах и обмен электронной почтой, имеют административный доступ, что позволяет им выполнять любые Задача, которую позволяет ОС. Как следствие этого, всякий раз, когда пользователь с повышенными привилегиями открывает вложение электронной почты, содержащее вредоносное ПО, или сталкивается с веб-сайтом, который передает код атаки на клиентский компьютер, эти атаки свободно контролируются системой, поскольку они действуют как пользователь. который, в свою очередь, наделен административными возможностями. Из-за этого работа злоумышленника намного легче, так как они могут просто отключите средства защиты от вредоносных программ, установить любые дополнительные инструменты атаки, которые им нужны, и продолжать с полным доступом к системе.
Многие видят ту же проблему в службах или процессах, которые выполняются на более привилегированном уровне, чем им нужно для выполнения своих функций. Например, если у нас есть служба, работающая с веб-сервером, ей требуется только достаточное разрешение для доступа к файлам и сценариям, которые имеют непосредственное отношение к веб-контенту, который она обслуживает, и ничего более. Если мы разрешим веб-службе получать доступ к дополнительным файлам в файловой системе, злоумышленник может потенциально прочитать или изменить эти файлы, чтобы получить несанкционированный доступ к более конфиденциальной информации, что дает злоумышленнику возможность проникать глубже в атакуемую систему.
Тщательно следуя принципу наименьших привилегий при настройке систем, распределении разрешений для учетных записей и планировании нашей безопасности, мы можем убрать некоторые из наиболее доступных инструментов, которые злоумышленники могут использовать против нас. Это очень простая мера безопасности, которую мы можем применить, и она очень эффективна.
Авторизация — это ключевой шаг в процессе, через который мы работаем, чтобы предоставить сущностям доступ к ресурсам, а именно: идентификация, аутентификация и авторизация в этом порядке. Мы реализуем авторизацию посредством использования средств управления доступом, более конкретно, посредством использования списков и возможностей управления доступом, хотя последние часто не полностью реализуются в большинстве распространенных операционных систем, используемых сегодня. Специфика управления доступом определяется с помощью различных моделей, которые мы используем при сборке таких систем. Мы часто видим использование более простого доступа модели управления, такие как дискреционное управление доступом, обязательное управление доступом, управление доступом на основе ролей и управление доступом на основе атрибутов в нашей повседневной жизни. В средах, которые обрабатывают более конфиденциальные данные, например, в правительственной, военной, медицинской или юридической отраслях, мы можем увидеть использование многоуровневых моделей контроля доступа.
Концепции управления доступом в целом в значительной степени применимы как к логическим, так и к физическим областям, но мы видим некоторые специализированные приложения, когда обращаем особое внимание на физическое управление доступом. Здесь у нас есть несколько наборов средств контроля доступа, которые применяются для обеспечения того, чтобы людям и транспортным средствам было запрещено выезжать или въезжать в зоны, где им не разрешено находиться. Такие примеры можно увидеть в повседневной жизни в офисных зданиях, на парковках и в помещениях с высоким уровнем безопасности в целом.
Литература
- Мельников, В.П .Информационная безопасность и защита информации. 3-е изд. Академия. 2008г.
- Стрельцов А.А. Обеспечение информационной безопасности. Теоретические и методологические основы. 2002г.
- Варлатая, С.К. Аппаратно-программные средства и методы защиты информации. 2007г.