В компьютерная безопасность общий контроль доступа включает идентификацию, авторизация, аутентификация, утверждение доступа и аудит. Более узкое определение управления доступом будет охватывать только утверждение доступа, в соответствии с которым система принимает решение предоставить или отклонить запрос доступа от уже аутентифицированного субъекта, в зависимости от того, к чему этому субъекту разрешен доступ. Аутентификация и контроль доступа часто объединяются в одну операцию, поэтому доступ утверждается на основе успешной аутентификации или на основе токена анонимного доступа. Методы аутентификации и токены включают пароли, биометрическое сканирование, физические ключи, электронные ключи и устройства, скрытые пути, социальные барьеры и мониторинг со стороны людей и автоматизированных систем.
В любой модели управления доступом объекты, которые могут выполнять действия в системе, называются субъектами, а объекты, представляющие ресурсы для доступ к которым может потребоваться контролировать, называются объектами (см. также Матрица управления доступом ). Субъекты и объекты следует рассматривать как программные объекты, а не как пользователей-людей: любые пользователи-люди могут оказывать влияние на систему только через программные объекты, которые они контролируют.
Хотя в некоторых системах субъекты приравниваются к идентификаторам пользователей., так что все процессы, запущенные пользователем по умолчанию, имеют одинаковые права доступа, этот уровень контроля недостаточно детализирован, чтобы удовлетворять принципу наименьших привилегий, и, возможно, отвечает за преобладание вредоносное ПО в таких системах (см. незащищенность компьютера ).
В некоторых моделях, например в модели возможностей объекта, любой программный объект потенциально может действовать как субъект, так и объект.
По состоянию на 2014 год модели управления доступом, как правило, делятся на два класса: модели, основанные на возможностях, и модели, основанные на списках управления доступом (ACL).
И модели на основе возможностей, и на основе ACL имеют механизмы, позволяющие предоставлять права доступа всем члены группы субъектов (часто сама группа моделируется как субъект).
Системы контроля доступа предоставляют важные услуги авторизации, идентификации и аутентификации (IA), утверждения доступа, и подотчетность, где:
Авторизация включает акт определения доступа-ри игры для предметов. Политика авторизации определяет операции, которые субъекты могут выполнять в системе.
Большинство современных операционных систем реализуют политики авторизации как формальные наборы разрешений, которые являются вариациями или расширениями трех основных типов доступа:
Эти права и разрешения реализуются по-разному в системах на основе управления дискреционным доступом (DAC) и контроль обязательного доступа (MAC).
Идентификация и аутентификация (IA) - это процесс проверки того, что идентичность привязана к объекту, который делает утверждение или утверждение идентичности. Процесс IA предполагает, что произошла первоначальная проверка личности, обычно называемая проверкой личности. Доступны различные методы подтверждения личности, от личной проверки с использованием удостоверения личности государственного образца до анонимных методов, которые позволяют заявителю оставаться анонимным, но известны системе, если они вернутся. Метод, используемый для проверки и подтверждения личности, должен обеспечивать уровень уверенности, соизмеримый с предполагаемым использованием идентичности в системе. Впоследствии объект подтверждает идентичность вместе с аутентификатором в качестве средства проверки. Единственное требование к идентификатору - это то, что он должен быть уникальным в пределах своего домена безопасности.
Аутентификаторы обычно основаны как минимум на одном из следующих четырех факторов:
Утверждение доступа - это функция, которая фактически предоставляет или отклоняет доступ во время операций.
Во время утверждения доступа система сравнивает формальное представление политики авторизации с запросом доступа, чтобы определить, должен ли запрос быть предоставлен или отклонен. Более того, оценка доступа может производиться онлайн / постоянно.
Подотчетность использует такие системные компоненты, как контрольные журналы (записи) и журналы, чтобы связать субъект с его действиями. Записанной информации должно быть достаточно для сопоставления субъекта с контролирующим пользователем. Журналы аудита и журналы важны для
Если никто не просматривает ваши журналы регулярно и они не поддерживаются в безопасном и последовательном виде, они не могут быть допустимым в качестве доказательства.
Многие системы могут создавать автоматические отчеты на основе определенных предопределенных критериев или пороговых значений, известных как уровни отсечения. Например, уровень отсечения может быть установлен для создания отчета для следующего:
Эти отчеты помогают системный администратор или администратор безопасности, чтобы упростить выявление возможных попыток взлома.
Определение уровня отсечения: способность диска сохранять свои магнитные свойства и удерживать свое содержимое. Диапазон качественного уровня 65–70%; низкое качество ниже 55%.
Модели контроля доступа иногда подразделяются на дискреционные или недискреционные. Три наиболее широко известных модели - это дискреционный контроль доступа (DAC), обязательный контроль доступа (MAC) и контроль доступа на основе ролей (RBAC). MAC не является дискреционным.
Дискреционный контроль доступа (DAC) - это политика, определяемая владельцем объекта. Владелец решает, кому разрешен доступ к объекту и какие привилегии у него есть.
В DAC есть две важные концепции:
Элементы управления доступом могут быть дискреционными в Системы управления доступом на основе ACL или на основе возможностей. (В системах, основанных на возможностях, обычно нет явного понятия «владелец», но создатель объекта имеет аналогичную степень контроля над своей политикой доступа.)
Обязательный доступ control относится к разрешению доступа к ресурсу тогда и только тогда, когда существуют правила, позволяющие данному пользователю получить доступ к ресурсу. Им сложно управлять, но его использование обычно оправдано при использовании для защиты конфиденциальной информации. Примеры включают определенную правительственную и военную информацию. Управление часто упрощается (сверх того, что может потребоваться), если информация может быть защищена с помощью иерархического контроля доступа или путем внедрения меток конфиденциальности. Что делает метод "обязательным", так это использование правил или меток конфиденциальности.
Обычно используются два метода для применения обязательного контроля доступа:
Немногие системы реализуют MAC; XTS-400 и SELinux являются примерами таких систем.
Управление доступом на основе ролей (RBAC) - это политика доступа, определяемая системой, а не владельцем. RBAC используется в коммерческих приложениях, а также в военных системах, где также могут существовать многоуровневые требования безопасности. RBAC отличается от DAC тем, что DAC позволяет пользователям контролировать доступ к своим ресурсам, тогда как в RBAC доступ контролируется на системном уровне, вне контроля пользователя. Хотя RBAC не является дискреционным, его можно отличить от MAC прежде всего способом обработки разрешений. MAC контролирует разрешения на чтение и запись в зависимости от уровня доступа пользователя и дополнительных меток. RBAC контролирует наборы разрешений, которые могут включать сложные операции, такие как транзакция электронной торговли, или могут быть такими же простыми, как чтение или запись. Роль в RBAC можно рассматривать как набор разрешений.
Для RBAC определены три основных правила:
Также могут применяться дополнительные ограничения, и роли могут быть объединены в иерархию, где роли более высокого уровня подчиняют разрешениям, принадлежащим более низким -уровневые подроли.
Большинство ИТ-поставщиков предлагают RBAC в одном или нескольких продуктах.
В управлении доступом на основе атрибутов (ABAC) доступ предоставляется не на основе прав субъекта, связанного с пользователем после аутентификации, но на основе атрибутов пользователя. Пользователь должен подтвердить так называемые утверждения о своих атрибутах механизму контроля доступа. Политика управления доступом на основе атрибутов определяет, какие утверждения должны быть удовлетворены, чтобы предоставить доступ к объекту. Например, иск может быть «старше 18 лет». Доступ предоставляется любому пользователю, который может доказать это утверждение. Пользователи могут быть анонимными, если аутентификация и идентификация не требуются строго. Однако требуются средства для анонимного доказательства претензий. Это может быть достигнуто, например, с помощью анонимных учетных данных. XACML (расширяемый язык разметки управления доступом) является стандартом для управления доступом на основе атрибутов. XACML 3.0 был стандартизирован в январе 2013 года.
Традиционно доступ имеет целью ограничение доступа, поэтому большинство моделей управления доступом следуют «принципу отказа по умолчанию», т. Е. если конкретный запрос доступа не разрешен явно, он будет отклонен. Такое поведение может противоречить обычным операциям системы. В определенных ситуациях люди готовы пойти на риск, связанный с нарушением политики контроля доступа, если потенциальная выгода, которая может быть достигнута, перевешивает этот риск. Эта потребность особенно заметна в сфере здравоохранения, где отказ в доступе к картам пациентов может привести к смерти пациента. Break-Glass (также называемое «разбить стекло») пытается смягчить это, позволяя пользователям отменять решение о контроле доступа. Break-Glass может быть реализован либо специфическим способом контроля доступа (например, в RBAC), либо общим (т.е. независимым от базовой модели контроля доступа).
В Согласование прав доступа с потребностями управления с метамоделью ответственности (ReMMo) в рамках архитектуры предприятия была определена выразительная метамодель ответственности, которая позволяет представить существующие обязанности на бизнес-уровне и, таким образом, позволяет проектировать права доступа, необходимые для выполнения этих обязанностей на прикладном уровне. Предложен способ более точного определения прав доступа с учетом выравнивания ответственности и RBAC.
Инициализм HBAC означает «управление доступом на основе хоста».