~~~~~~~~~~~~~~~~~~~~ Arc.Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~ 
Номер скриншота №:
✰ 456CF05F6696C964FDBE7F8774646529__1710002040 ✰
Заголовок документа оригинал.:
✰ Computer access control - Wikipedia ✰
Заголовок документа перевод.:
✰ Контроль доступа к компьютеру — Википедия ✰
Снимок документа находящегося по адресу (URL):
✰ https://en.wikipedia.org/wiki/Computer_access_control ✰
Адрес хранения снимка оригинал (URL):
✰ https://arc.ask3.ru/arc/aa/45/29/456cf05f6696c964fdbe7f8774646529.html ✰
Адрес хранения снимка перевод (URL):
✰ https://arc.ask3.ru/arc/aa/45/29/456cf05f6696c964fdbe7f8774646529__translat.html ✰
Дата и время сохранения документа:
✰ 22.06.2024 09:10:43 (GMT+3, MSK) ✰
Дата и время изменения документа (по данным источника):
✰ 9 March 2024, at 19:34 (UTC). ✰ 

~~~~~~~~~~~~~~~~~~~~~~ Ask3.Ru ~~~~~~~~~~~~~~~~~~~~~~ 
Сервисы Ask3.ru: 
 Архив документов (Снимки документов, в формате HTML, PDF, PNG - подписанные ЭЦП, доказывающие существование документа в момент подписи. Перевод сохраненных документов на русский язык.)https://arc.ask3.ruОтветы на вопросы (Сервис ответов на вопросы, в основном, научной направленности)https://ask3.ru/answer2questionТоварный сопоставитель (Сервис сравнения и выбора товаров) ✰✰
✰ https://ask3.ru/product2collationПартнерыhttps://comrades.ask3.ru


Совет. Чтобы искать на странице, нажмите Ctrl+F или ⌘-F (для MacOS) и введите запрос в поле поиска.
Arc.Ask3.ru: далее начало оригинального документа

Контроль доступа к компьютеру — Википедия Jump to content

Контроль доступа к компьютеру

Из Википедии, бесплатной энциклопедии

В компьютерной безопасности общий контроль доступа включает в себя идентификацию , авторизацию , аутентификацию , одобрение доступа и аудит . Более узкое определение контроля доступа будет охватывать только утверждение доступа, при котором система принимает решение предоставить или отклонить запрос на доступ от уже аутентифицированного субъекта на основе того, к чему субъекту разрешен доступ. Аутентификация и контроль доступа часто объединяются в одну операцию, поэтому доступ утверждается на основе успешной аутентификации или на основе анонимного токена доступа. Методы и токены аутентификации включают пароли , биометрическое сканирование, физические ключи , электронные ключи и устройства, скрытые пути, социальные барьеры, а также мониторинг со стороны людей и автоматизированных систем. [ нужна цитата ]

Программные объекты [ править ]

В любой модели контроля доступа сущности, которые могут выполнять действия в системе, называются субъектами , а сущности, представляющие ресурсы, доступ к которым может потребоваться контролировать, называются объектами (см. также Матрицу управления доступом ). Субъекты и объекты следует рассматривать как программные объекты, а не как пользователи-люди: любые пользователи-люди могут влиять на систему только через программные объекты, которые они контролируют. [ нужна цитата ]

Хотя в некоторых системах субъекты приравниваются к идентификаторам пользователей , так что все процессы, запускаемые пользователем, по умолчанию имеют одинаковые полномочия, этот уровень контроля недостаточно детализирован, чтобы удовлетворить принципу наименьших привилегий , и, возможно, является причиной преобладания вредоносное ПО в таких системах (см. компьютерная безопасность ). [ нужна цитата ]

В некоторых моделях, например в модели объектно-возможностей , любой программный объект потенциально может выступать как субъектом, так и объектом. [ нужна цитата ]

По состоянию на 2014 год Модели контроля доступа обычно делятся на два класса: модели, основанные на возможностях, и модели, основанные на списках управления доступом (ACL).

  • В модели, основанной на возможностях, содержащая неподдельную ссылку или возможность на объект, которая обеспечивает доступ к объекту (примерно аналогично тому, как обладание ключом от дома предоставляет доступ к своему дому); доступ передается другой стороне путем передачи такой возможности по защищенному каналу.
  • В модели на основе ACL доступ субъекта к объекту зависит от того, отображается ли его личность в списке, связанном с объектом (примерно аналогично тому, как вышибала на частной вечеринке проверяет идентификатор, чтобы увидеть, появляется ли имя у гостя). список); доступ осуществляется путем редактирования списка. (В разных системах ACL действуют различные соглашения относительно того, кто или что отвечает за редактирование списка и как он редактируется.) [ нужна цитата ]

Модели, основанные на возможностях и ACL, имеют механизмы, позволяющие предоставлять права доступа всем членам группы субъектов (часто сама группа моделируется как субъект). [ нужна цитата ]

Услуги [ править ]

Системы контроля доступа предоставляют основные услуги авторизации , идентификации и аутентификации ( I&A ), утверждения доступа и подотчетности, если: [ нужна цитата ]

  • авторизация определяет, что субъект может делать
  • идентификация и аутентификация гарантируют, что только законные субъекты могут войти в систему
  • утверждение доступа предоставляет доступ во время операций путем связывания пользователей с ресурсами, к которым им разрешен доступ, на основе политики авторизации.
  • подотчетность определяет, что сделал субъект (или все субъекты, связанные с пользователем)

Авторизация [ править ]

Авторизация включает в себя определение прав доступа для субъектов. Политика авторизации определяет операции, которые субъектам разрешено выполнять в системе. [ нужна цитата ]

Большинство современных операционных систем реализуют политики авторизации в виде формальных наборов разрешений, которые являются вариациями или расширениями трех основных типов доступа: [ нужна цитата ]

  • Читать (R): Субъект может:
    • Чтение содержимого файла
    • Вывести содержимое каталога
  • Запись (W): Субъект может изменить содержимое файла или каталога, выполняя следующие задачи:
    • Добавлять
    • Обновлять
    • Удалить
    • Переименовать
  • Выполнить (X): если файл представляет собой программу, субъект может вызвать запуск программы. (В системах в стиле Unix разрешение «выполнение» дублируется как разрешение «обход каталога», если оно предоставлено для каталога.)

Эти права и разрешения реализуются по-разному в системах, основанных на дискреционном управлении доступом ( DAC ) и обязательном управлении доступом ( MAC ).

Идентификация и аутентификация [ править ]

Основная статья: Аутентификация

Идентификация и аутентификация (I&A) — это процесс проверки связи идентичности с объектом, который утверждает или утверждает идентичность. Процесс I&A предполагает, что была проведена первоначальная проверка личности, обычно называемая проверкой личности. Доступны различные методы подтверждения личности: от личной проверки с использованием удостоверения личности, выданного правительством, до анонимных методов, которые позволяют заявителю оставаться анонимным, но известны системе, если он вернется. Метод, используемый для проверки и проверки идентичности, должен обеспечивать уровень доверия, соразмерный предполагаемому использованию идентичности в системе. Впоследствии объект утверждает идентичность вместе с аутентификатором в качестве средства проверки. Единственным требованием к идентификатору является то, что он должен быть уникальным в пределах своего домена безопасности. [ нужна цитата ]

Аутентификаторы обычно основаны как минимум на одном из следующих четырех факторов: [ нужна цитата ]

  • Что-то, что вы знаете , например пароль или персональный идентификационный номер (PIN). При этом предполагается, что только владелец учетной записи знает пароль или PIN-код, необходимые для доступа к учетной записи.
  • Что-то, что у вас есть , например смарт-карта или токен безопасности . Это предполагает, что только владелец учетной записи имеет необходимую смарт-карту или токен, необходимые для разблокировки учетной записи.
  • Что-то, чем вы являетесь , например, характеристики отпечатков пальцев, голоса, сетчатки или радужной оболочки глаза.
  • Где вы находитесь , например внутри или за пределами брандмауэра компании, или близость места входа в систему к личному устройству GPS.

Разрешение доступа [ править ]

Утверждение доступа — это функция, которая фактически предоставляет или отклоняет доступ во время операций. [1]

Во время утверждения доступа система сравнивает формальное представление политики авторизации с запросом на доступ, чтобы определить, следует ли удовлетворить или отклонить запрос. Более того, оценка доступа может осуществляться онлайн/на постоянной основе. [2]

Подотчетность [ править ]

Accountability использует такие системные компоненты, как журналы аудита (записи) и журналы, чтобы связать субъекта с его действиями. Записанной информации должно быть достаточно, чтобы сопоставить субъект с контролирующим пользователем. Контрольные журналы и журналы важны для [ нужна цитата ]

  • Обнаружение нарушений безопасности
  • Воссоздание инцидентов безопасности

Если никто регулярно не просматривает ваши журналы и они не поддерживаются безопасным и последовательным образом, они не могут быть приняты в качестве доказательства. [ нужна цитата ]

Многие системы могут генерировать автоматические отчеты на основе определенных заранее определенных критериев или пороговых значений, известных как уровни отсечения . Например, уровень отсечения может быть установлен для создания отчета по следующим параметрам: [ нужна цитата ]

  • Более трех неудачных попыток входа в систему за определенный период.
  • Любая попытка использовать отключенную учетную запись пользователя

Эти отчеты помогают системному администратору или администратору безопасности легче выявить возможные попытки взлома. – Определение уровня отсечения: [3] способность диска сохранять свои магнитные свойства и удерживать содержимое. Диапазон качественного уровня – 65–70%; низкое качество ниже 55%.

Контроль доступа [ править ]

Модели контроля доступа иногда подразделяют на дискреционные и недискреционные. Тремя наиболее широко признанными моделями являются дискреционный контроль доступа (DAC), обязательный контроль доступа (MAC) и контроль доступа на основе ролей (RBAC). MAC не является дискреционным. [ нужна цитата ]

Дискреционный контроль доступа [ править ]

Дискреционный контроль доступа (DAC) — это политика, определяемая владельцем объекта. Владелец решает, кому разрешен доступ к объекту и какие привилегии он имеет.

Две важные концепции в DAC: [ нужна цитата ]

  • Владение файлами и данными. У каждого объекта в системе есть владелец . В большинстве систем DAC первоначальным владельцем каждого объекта является субъект, вызвавший его создание. Политику доступа к объекту определяет его владелец.
  • Права доступа и разрешения: это элементы управления, которые владелец может назначать другим субъектам для определенных ресурсов.

Управление доступом может быть произвольным в на основе ACL или на основе возможностей системах управления доступом . (В системах, основанных на возможностях, обычно нет явного понятия «владелец», но создатель объекта имеет аналогичную степень контроля над его политикой доступа.)

Обязательный контроль доступа [ править ]

Обязательный контроль доступа означает разрешение доступа к ресурсу тогда и только тогда, когда существуют правила, которые разрешают данному пользователю доступ к ресурсу. Им сложно управлять, но его использование обычно оправдано при использовании для защиты особо конфиденциальной информации. Примеры включают определенную правительственную и военную информацию. Управление часто упрощается (по сравнению с тем, что требуется), если информацию можно защитить с помощью иерархического контроля доступа или путем внедрения меток конфиденциальности. «Обязательным» метод делает использование либо правил, либо меток конфиденциальности. [ нужна цитата ]

  • Метки чувствительности: в такой системе субъектам и объектам должны быть назначены метки. Метка конфиденциальности субъекта определяет уровень его доверия. Метка конфиденциальности объекта определяет уровень доверия, необходимый для доступа. Чтобы получить доступ к данному объекту, субъект должен иметь уровень чувствительности, равный или превышающий уровень запрошенного объекта.
  • Импорт и экспорт данных: контроль импорта информации из других систем и экспорта в другие системы (включая принтеры) является важнейшей функцией этих систем, которая должна гарантировать, что метки конфиденциальности поддерживаются и внедряются должным образом, чтобы конфиденциальная информация была должным образом защищена. раз.

Для применения обязательного контроля доступа обычно используются два метода: [ нужна цитата ]

  • Управление доступом на основе правил (или меток). Этот тип управления дополнительно определяет конкретные условия доступа к запрошенному объекту. Система обязательного контроля доступа реализует простую форму контроля доступа на основе правил, чтобы определить, следует ли предоставить или запретить доступ, путем сопоставления:
    • Метка конфиденциальности объекта
    • Метка конфиденциальности субъекта
  • Контроль доступа на основе решеток : их можно использовать для принятия сложных решений по контролю доступа, включающих несколько объектов и/или субъектов. Решетчатая модель — это математическая структура, которая определяет наибольшую нижнюю границу и наименьшую верхнюю границу значений для пары элементов, таких как субъект и объект.

Лишь немногие системы реализуют MAC; XTS-400 и SELinux являются примерами таких систем.

Управление доступом на основе ролей [ править ]

Управление доступом на основе ролей (RBAC) — это политика доступа, определяемая системой, а не владельцем. RBAC используется в коммерческих приложениях, а также в военных системах, где также могут существовать многоуровневые требования безопасности. RBAC отличается от DAC тем, что DAC позволяет пользователям контролировать доступ к своим ресурсам, тогда как в RBAC доступ контролируется на уровне системы, вне контроля пользователя. Хотя RBAC не является дискреционным, его можно отличить от MAC главным образом по способу обработки разрешений. MAC контролирует разрешения на чтение и запись на основе уровня доступа пользователя и дополнительных меток. RBAC управляет наборами разрешений, которые могут включать в себя сложные операции, такие как транзакции электронной коммерции, или могут быть такими простыми, как чтение или запись. Роль в RBAC можно рассматривать как набор разрешений.

Для RBAC определены три основных правила:

  1. Назначение роли: Субъект может выполнить транзакцию только в том случае, если субъект выбрал или ему была назначена подходящая роль.
  2. Авторизация роли: активная роль субъекта должна быть авторизована для субъекта. С помощью правила 1, приведенного выше, это правило гарантирует, что пользователи могут выполнять только те роли, для которых они авторизованы.
  3. Авторизация транзакции. Субъект может выполнить транзакцию только в том случае, если транзакция авторизована для активной роли субъекта. С помощью правил 1 и 2 это правило гарантирует, что пользователи могут выполнять только те транзакции, для которых они авторизованы.

Также могут быть применены дополнительные ограничения, а роли могут быть объединены в иерархию, где роли более высокого уровня включают в себя разрешения, принадлежащие подролям более низкого уровня.

Большинство ИТ-поставщиков предлагают RBAC в одном или нескольких продуктах.

Управление доступом на основе атрибутов [ править ]

В управлении доступом на основе атрибутов (ABAC) [4] [5] доступ предоставляется не на основе прав субъекта, связанного с пользователем после аутентификации, а на основе атрибутов субъекта, объекта, запрошенных операций и условий среды в соответствии с политикой, правилами или отношениями, которые описывают допустимые операции для данного набор атрибутов. [6] Пользователь должен доказать механизму контроля доступа так называемые утверждения о своих атрибутах. Политика управления доступом на основе атрибутов определяет, какие утверждения должны быть удовлетворены, чтобы предоставить доступ к объекту. Например, заявление может быть «старше 18 лет». Доступ предоставляется любому пользователю, который может доказать это утверждение. Пользователи могут быть анонимными, если аутентификация и идентификация не требуются строго. Однако необходимы средства для анонимного доказательства утверждений. Этого можно добиться, например, используя анонимные учетные данные . [ нужна цитата ] XACML (расширяемый язык разметки управления доступом) — это стандарт управления доступом на основе атрибутов. XACML 3.0 был стандартизирован в январе 2013 года. [7]

контроля доступа с разбитым стеклом Модели

Традиционно целью доступа является ограничение доступа, поэтому большинство моделей управления доступом следуют «принципу отказа по умолчанию», т. е. если конкретный запрос доступа явно не разрешен, он будет отклонен. Такое поведение может противоречить обычной работе системы. В определенных ситуациях люди готовы пойти на риск, который может быть связан с нарушением политики контроля доступа, если потенциальная выгода, которую можно достичь, перевешивает этот риск. Эта потребность особенно заметна в сфере здравоохранения, где отказ в доступе к записям пациентов может привести к смерти пациента. Технология Break-Glass (также называемая «разбить стекло») пытается смягчить эту проблему, позволяя пользователям отменять решения по контролю доступа. Break-Glass может быть реализован специальным образом для контроля доступа (например, в RBAC), [8] или общий (т. е. независимый от базовой модели управления доступом). [9]

Контроль доступа на основе хоста (HBAC) [ править ]

Инициализм HBAC означает «контроль доступа на основе хоста». [10]

См. также [ править ]

Ссылки [ править ]

  1. ^ Дитер Гольманн. Компьютерная безопасность , 3-е изд. Издательство Wiley, 2011, с. 387, низ
  2. ^ Маркон, Алабама; Оливо Сантин, А.; Штилер, М.; Бахтольд Дж. «Оценка отказоустойчивой авторизации UCONabc для облачных вычислений», Параллельные и распределенные системы, IEEE Transactions on , vol. 25, нет. 2, стр. 457–467, февраль 2014 г. doi : 10.1109/TPDS.2013.113 , внизу
  3. ^ «Определение: уровень отсечения» . Журнал ПК . Архивировано из оригинала 16 апреля 2010 г. Проверено 26 августа 2017 г.
  4. ^ Джин, Синь, Рам Кришнан и Рави Сандху. «Единая модель контроля доступа на основе атрибутов, охватывающая dac, mac и rbac». Безопасность и конфиденциальность данных и приложений XXVI. Springer Berlin Heidelberg, 2012. 41–55.
  5. ^ Ху, Винсент С.; Феррайоло, Дэвид; Кун, Рик; Шнитцер, Адам; Сэндлин, Кеннет; Миллер, Роберт; Скарфон, Карен. «Руководство по определению и соображениям управления доступом на основе атрибутов (ABAC)» (PDF) . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  6. ^ Ху, Винсент С. (2013). «Руководство по определению и соображениям управления доступом на основе атрибутов (ABAC)» . Национальный институт стандартов и технологий . 800 (162): 54.
  7. ^ Расширяемый язык разметки контроля доступа ( XACML ) V3.0 утвержден как стандарт OASIS, расширяемый язык разметки контроля доступа (XACML) V3.0 утвержден как стандарт OASIS.
  8. ^ Феррейра, Ана; Чедвик, Дэвид; Фаринья, Педро; Коррейя, Рикардо; Зао, Гансен; Чиро, Руи; Антунес, Луис (2009). «Как безопасно взломать RBAC: модель BTG-RBAC». Конференция по приложениям компьютерной безопасности (ACSAC) . IEEE. стр. 23–31. дои : 10.1109/ACSAC.2009.12 . hdl : 10216/21676 .
  9. ^ Брукер, Ахим Д.; Петрич, Хельмут (2009). «Расширение моделей контроля доступа с помощью разбитого стекла». . Симпозиум ACM по моделям и технологиям контроля доступа (SACMAT) . АКМ Пресс. стр. 197–206. дои : 10.1145/1542207.1542239 .
  10. ^ Баллард, Элла Деон (2013). «Руководство по управлению идентификацией: Управление политиками идентификации и авторизации для инфраструктур на базе Linux» . Красная Шапка . Проверено 6 января 2014 г. Любая служба PAM может быть идентифицирована как система управления доступом на базе хоста (HBAC) в IdM.


Retrieved from "https://en.wikipedia.org/w/index.php?title=Computer_access_control&oldid=1212829971"
Arc.Ask3.Ru: конец оригинального документа.
Arc.Ask3.Ru
Номер скриншота №: 456CF05F6696C964FDBE7F8774646529__1710002040
URL1:https://en.wikipedia.org/wiki/Computer_access_control
Заголовок, (Title) документа по адресу, URL1:
Computer access control - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть, любые претензии не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, денежную единицу можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)