Cuprins:
- Identificarea și autentificarea
- (sau
- Dacă nimeni nu vă revizuiește în mod regulat jurnalele și nu este menținut într-o manieră sigură și consecventă, probe.
- obligatorii
Video: EAHA DM 2.3a: Complex Emergencies - Multi-Lingual Captions 2024
Controlul accesului este capacitatea de a permite sau de a interzice utilizarea unui obiect (o entitate pasivă, subiect (o entitate activă, cum ar fi o persoană sau un proces). Sistemele de control al accesului oferă trei servicii esențiale:
Identificare și autentificare (I & A):
- Acestea determină cine poate să se conecteze la un sistem. Autorizare:
- Aceasta determină ce poate face un utilizator autorizat.
- Aceasta identifică ce a făcut un utilizator. Identificarea și autentificarea (I & A)
Identificarea și autentificarea
(I & A) este un proces în două etape care determină cine se poate conecta la un sistem. Identificarea
- reprezintă modul în care un utilizator îi spune unui sistem care este sau nu (de exemplu, utilizând un nume de utilizator). • Componenta de identificare a unui sistem de control al accesului este, în mod normal, un mecanism relativ simplu bazat fie pe numele de utilizator, fie pe numele de utilizator.
• Numele computerului
- • Adresa de control al accesului media (MAC)
• Adresa IP (IP)
• ID-ul procesului (PID)
Singurele cerințe pentru identificare sunt faptul că identificarea
• Trebuie să identifice în mod unic utilizatorul.
- • Nu ar trebui să identifice poziția sau importanța utilizatorului într-o organizație (cum ar fi etichete ca
președinte
sau CEO ).
și sysadmin trebuie să evite utilizarea conturilor de utilizator comune sau partajate. • Aceste conturi nu oferă responsabilitate și sunt ținte suculente pentru hackeri. Autentificarea
este procesul de verificare a identității revendicate de utilizator (de exemplu, prin compararea unei parole introduse cu parola stocată într-un sistem pentru un anumit nume de utilizator).
- Autentificarea se bazează pe cel puțin unul dintre acești trei factori: • Ceva despre care știți,
, cum ar fi o parolă sau un număr personal de identificare (PIN). Aceasta presupune că numai proprietarul contului cunoaște parola sau codul PIN necesar accesării contului. Din păcate, parolele sunt adesea împărtășite, furate sau ghicite. • Ceva ce aveți, , cum ar fi un card inteligent sau un simbol. Aceasta presupune că numai proprietarul contului are cardul sau jetonul necesar pentru a debloca contul. • Din păcate, cardurile inteligente sau jetoanele pot fi pierdute, furate, împrumutate sau duplicate. •
Ceva ce vă aflați, , cum ar fi caracteristicile dactiloscopice, voce, retină sau iris.Aceasta presupune că degetul sau globul ocular atașat corpului tău este de fapt al tău și te identifică în mod unic. • Principalul dezavantaj este acceptarea de către utilizatori - mulți oameni sunt îngrijorați în privința utilizării acestor sisteme. Autorizare
Autorizația
(sau
unitate ) definește drepturile și permisiunile unui utilizator pe un sistem. După ce un utilizator (sau un proces) este autentificat, autorizarea determină ce poate face acest utilizator în sistem. Cele mai moderne sisteme de operare definesc seturi de permisiuni care sunt variante sau extensii a trei tipuri de acces: Read (R):
Utilizatorul poate
- • Citi fișiere
Utilizatorul poate
- să schimbe conținutul unui fișier sau al unui director cu următoarele sarcini: • Creare > • Redenumiți
Executați (X):
Dacă fișierul este un program, utilizatorul poate rula programul.
Aceste drepturi și permisiuni sunt implementate diferit în sistemele bazate pe
controlul accesului discreționar (
- DAC) și controlul obligatoriu al accesului
(MAC). Răspunderea Responsabilitatea folosește astfel de componente ale sistemului ca trasee de audit (înregistrări) și jurnale pentru a asocia un utilizator cu acțiunile sale. Traseele și jurnalele de audit sunt importante pentru Detectarea încălcărilor securității Re-crearea incidentelor de securitate
Dacă nimeni nu vă revizuiește în mod regulat jurnalele și nu este menținut într-o manieră sigură și consecventă, probe.
Multe sisteme pot genera rapoarte automate bazate pe anumite criterii sau praguri predefinite, cunoscute sub numele de
- nivele de tăiere
- . De exemplu, un nivel de tăiere poate fi setat pentru a genera un raport pentru următoarele:
Mai mult de trei încercări de conectare nereușite într-o perioadă dată
Orice încercare de a utiliza un cont de utilizator dezactivat Aceste rapoarte ajută un administrator de sistem sau administratorul de securitate identifică mai ușor posibilul încercări de rupere. Tehnici de control al accesului
- Tehnicile de control al accesului sunt în general clasificate ca
sau
obligatorii
. Înțelegerea diferențelor dintre controlul accesului discreționar (DAC) și controlul obligatoriu al accesului (MAC), precum și metodele specifice de control al accesului în cadrul fiecărei categorii este esențială pentru trecerea examenului Security +. Controlul accesului discreționar D controlul accesului expresionar (DAC) este o politică de acces determinată de proprietarul unui fișier (sau altă resursă). Proprietarul decide cine are acces la fișier și ce privilegii au.
Două concepte importante în CAD sunt
Proprietatea asupra fișierelor și a datelor: Fiecare obiect dintr-un sistem trebuie să aibă un proprietar. Politica de acces este determinată de proprietarul resursei (inclusiv fișiere, directoare, date, resurse de sistem și dispozitive). Teoretic, un obiect fără proprietar este lăsat neprotejat. În mod normal, proprietarul unei resurse este persoana care a creat resursa (cum ar fi un fișier sau un director).
Drepturi de acces și permisiuni:
- Acestea sunt comenzile pe care un proprietar le poate atribui anumitor utilizatori sau grupuri pentru resurse specifice. Controlul accesului discreționar poate fi aplicat prin următoarele tehnici: Listele de control al accesului
- (ACL) numesc drepturile și permisiunile specifice atribuite unui subiect unui anumit obiect. Listele de control al accesului oferă o metodă flexibilă pentru aplicarea controalelor de acces discreționare. Controlul accesului pe bază de roluri
atribuie calitatea de membru pe bază de roluri organizaționale sau funcționale. Această strategie simplifică foarte mult gestionarea drepturilor de acces și a permisiunilor:
- • Drepturile de acces și permisiunile pentru obiecte sunt atribuite oricărui grup sau, în plus față de persoane fizice. • Persoanele fizice pot aparține unuia sau mai multor grupuri. Persoanele fizice pot fi desemnate să obțină permisiuni
- cumulative (fiecare permisiune de
orice
grup în care sunt) sau descalificat de la orice permisiune care nu face parte din fiecare Control acces obligatoriu Controlul accesului obligatoriu (MAC) este o politică de acces determinată de sistem, nu de proprietar. MAC este utilizat în sisteme pe mai multe niveluri care procesează date extrem de sensibile, cum ar fi informațiile clasificate ale guvernului și militare. Un sistem pe mai multe niveluri
este un singur sistem informatic care gestionează mai multe nivele de clasificare între subiecte și obiecte. Două concepte importante în MAC sunt următoarele: Etichete de sensibilitate: Într-un sistem bazat pe MAC toate subiectele și obiectele trebuie să aibă etichete
atribuite acestora.
- Eticheta de sensibilitate a unui subiect specifică nivelul de încredere al acestuia. Eticheta de sensibilitate a unui obiect specifică nivelul de încredere necesar pentru acces. Pentru a accesa un obiect dat, subiectul trebuie să aibă un nivel de sensibilitate egal sau mai mare decât obiectul solicitat. Importul și exportul de date: Controlul importului de informații de la alte sisteme și exportul către alte sisteme (inclusiv imprimante) reprezintă o funcție critică a sistemelor MAC care trebuie să asigure menținerea și implementarea corectă a etichetelor de sensibilitate că informațiile sensibile sunt protejate corespunzător în orice moment. Sunt utilizate în mod obișnuit două metode pentru aplicarea controlului obligatoriu al accesului:Comenzi de acces bazate pe reguli:
- Acest tip de control definește în continuare condițiile specifice pentru accesarea unui obiect solicitat. Toate sistemele bazate pe MAC implementează o formă simplă de control al accesului bazat pe reguli pentru a determina dacă accesul trebuie acordat sau respins prin potrivirea
• Eticheta de sensibilitate a unui obiect
- • Eticheta de sensibilitate a unui subiect bazate pe controalele de acces: Acestea pot fi utilizate pentru decizii complexe de control al accesului care implică mai multe obiecte și / sau subiecte.
- este o structură matematică care definește valorile minime mai mici și cele mai puțin limitate pentru o pereche de elemente, și un obiect.