Udforskning Adgangskontrol for Sikkerhed + certificering

Adgangskontrol er evnen til at tillade eller nægte anvendelse af et objekt (en passiv enhed, såsom et system eller fil) af et emne (en aktiv enhed, såsom en individuel eller proces).

Adgangskontrol systemer giver tre væsentlige tjenesteydelser:

  • Identifikation og autentifikation (I & A): Disse afgøre, hvem der kan logge på et system.
  • Autorisation: Dette afgør, hvad en autoriseret bruger kan gøre.
  • Ansvarlighed: Det identificerer, hvad en bruger gjorde.

Identifikation og autentifikation (I & A)

Identifikation og autentifikation (I & A) er en to-trins proces, der afgør, hvem der kan logge på et system.

  • Identifikation er, hvordan en bruger fortæller et system, som han eller hun er (for eksempel ved hjælp af et brugernavn).

• Identifikationen komponent i et adgangskontrolsystem er normalt en forholdsvis enkel ordning på grundlag af enten Brugernavn eller bruger-ID.

  • I tilfælde af et system eller proces identifikation normalt baseret på

• Computer navn

• Media Access Control (MAC)

• Internet Protocol (IP) adresse

• Proces-id (PID)

  • De eneste krav til identifikation er at identifikationen

• Skal entydigt identificere brugeren.

• Bør ikke identificere den pågældende brugers stilling eller relative betydning i en organisation (f.eks labels som præsident eller CEO).

• Bør undgå at bruge fælles eller delt brugerkonti, såsom rod, admin, og sysadmin.

• Sådanne konti giver ingen ansvarlighed og er saftige mål for hackere.

  • Godkendelse er processen med at verificere en brugers påstået identitet (for eksempel ved at sammenligne et indtastet password til password er gemt på et system til et givet brugernavn).

Authentication er baseret på mindst et af disse tre faktorer:

Noget du ved, såsom en adgangskode eller et personligt identifikationsnummer (PIN). Dette forudsætter, at kun ejeren af ​​kontoen kender adgangskoden eller PIN-kode er nødvendig for at få adgang til kontoen. Desværre er adgangskoder ofte delt, stjålet eller gættet.

Noget du har, såsom et chipkort eller token. Dette forudsætter, at kun ejeren af ​​kontoen har den nødvendige chipkort eller møntefterligning nødvendig for at låse kontoen.

• Desværre kan chipkort eller poletter tabt, stjålet, lånt eller duplikeret.

Noget du er, såsom fingeraftryk, stemme, nethinde, eller iris egenskaber. Dette forudsætter, at finger eller øjeæblet knyttet til din krop er faktisk din, og identificerer dig.

• Den største ulempe er brugernes accept - mange mennesker er urolig over at bruge disse systemer.

Tilladelse

Autorisation (eller virksomhed) definerer en brugers rettigheder og tilladelser på et system. Efter en bruger (eller proces) er godkendt, tilladelse bestemmer, hvad brugeren kan gøre på systemet.

De fleste moderne operativsystemer definere sæt af tilladelser, der er variationer eller udvidelser af tre grundlæggende typer af adgang:

  • Læs (R): Brugeren kan

• Læse fil indhold

• List mappe indholdet

  • Write (W): Brugeren kan ændre indholdet af en fil eller mappe med disse opgaver:

• Tilføj

• Opret

• Slet

• Omdøb

  • Udfør (X): Hvis filen er et program, kan brugeren køre programmet.

Disse rettigheder og tilladelser er implementeret forskelligt i systemer baseret på skønsmæssig adgangskontrol (DAC) og obligatoriske adgangskontrol (MAC).

Ansvarlighed

Ansvarlighed bruger sådanne systemkomponenter som revisionsspor (poster) og logfiler til at knytte en bruger med sine handlinger. Revisionsspor og logs er vigtige for

  • Afsløring sikkerhed krænkelser
  • Genskaber sikkerhedshændelser

Hvis ingen regelmæssigt gennemgå dine logfiler, og de er ikke vedligeholdes på en sikker og konsekvent måde, kan de ikke være tilgængelige som bevismateriale.

Mange systemer kan generere automatiske rapporter baseret på visse foruddefinerede kriterier eller tærskler, kendt som klipning niveauer. For eksempel kan en klipning niveau indstilles til at generere en rapport for følgende:

  • Mere end tre mislykkede logon forsøg i en given periode
  • Ethvert forsøg på at bruge en deaktiveret brugerkonto

Disse rapporter hjælpe en systemadministrator eller sikkerhed administrator lettere identificere mulige break-i forsøg.

Adgangskontrol teknikker

Adgangskontrol teknikker er generelt kategoriseret som enten diskretionær eller obligatorisk. Forstå forskellene mellem skønsmæssig adgangskontrol (DAC) og obligatoriske adgangskontrol (MAC), samt specifikke adgangskontrol metoder i hver kategori, er afgørende for at føre Security + eksamen.

Skønsmæssig adgangskontrol

D iscretionary adgangskontrol (DAC) er en adgang politik bestemmes af ejeren af en fil (eller andre ressourcer). Ejeren afgør, hvem der får adgang til filen, og hvilke privilegier, de har.

To vigtige begreber i DAC er

  • Fil og data ejerskab: Hver genstand i et system, skal have en ejer. Adgangen politik bestemmes af ejeren af ​​ressourcen (herunder filer, mapper, data, system ressourcer og enheder). Teoretisk er et objekt uden en ejer ubeskyttet.

Normalt, ejeren af ​​en ressource er den person, der oprettede ressourcen (såsom en fil eller mappe).

  • Adgangsrettigheder og tilladelser: Det er de kontroller, en ejer kan tildele individuelle brugere eller grupper for specifikke ressourcer.

Skønsmæssig adgangskontrol kan anvendes gennem følgende teknikker:

  • Adgangskontrol (ACL'er) Navn specifikke rettigheder og tilladelser, der er tildelt til et emne for et givet objekt. Adgangskontrol lister giver en fleksibel metode til påføring af diskretionære adgangskontrol.
  • Rollebaseret adgangskontrol tildeler gruppemedlemskab baseret på organisatoriske eller funktionelle roller. Denne strategi forenkler forvaltning af adgangsrettigheder og tilladelser:

• Få adgang til rettigheder og tilladelser til objekter tildeles nogen gruppe eller ud over, enkeltpersoner.

• Enkeltpersoner kan tilhøre en eller flere grupper. Enkeltpersoner kan blive udpeget til at erhverve kumulative tilladelser (hver tilladelse fra enhver gruppe de er i), eller diskvalificeret fra enhver tilladelse, som ikke er en del af hver gruppe de er i.

Obligatorisk adgangskontrol

Obligatorisk adgangskontrol (MAC) er en adgang politik bestemt af systemet, ikke er ejer. MAC bruges i flere niveauer systemer, der behandler meget følsomme data, såsom klassificerede regering og militære oplysninger. En multilevel system er en enkelt computer system, der håndterer flere niveauer klassifikation mellem emner og objekter.

To vigtige begreber i MAC er følgende:

  • Følsomhed etiketter: I en MAC-baseret system, skal alle emner og objekter har etiketter tildelt dem.

Et emne følsomhed etiket angiver sit niveau af tillid. Et objekt følsomhed etiket angiver niveauet af tillid, der kræves for at få adgang.

For at få adgang til et bestemt objekt, skal emnet have en følsomhed niveau lig med eller højere end den ønskede objekt.

  • Data import og eksport: Kontrol med import af oplysninger fra andre systemer og eksport til andre systemer (herunder printere) er en kritisk funktion af MAC-baserede systemer, der skal sikre, at følsomhed etiketter er ordentligt vedligeholdt og gennemføres således, at følsomme oplysninger bliver passende beskyttet på alle tidspunkter.

To metoder er almindeligt anvendt til at påføre obligatorisk adgangskontrol:

  • Regelbaserede adgangskontrol: Denne form for kontrol definerer endvidere særlige betingelser for adgang til en anmodet genstand.

Alle MAC-baserede systemer gennemfører en simpel form for regelbaseret adgangskontrol for at afgøre om der skal gives eller nægtes adgang ved at matche

• Et objekt følsomhed label

• Et emne følsomhed label

  • Lattice-baserede adgangskontroller: Thesecan bruges til komplekse beslutninger adgangskontrol, der involverer flere objekter og / eller emner.

En gitter model er en matematisk struktur, der definerer største lavere bundne og mindst De øvre værdier for et par elementer, såsom et emne og et objekt.


© 2019 Zajacperrone.com | Contact us: webmaster# zajacperrone.com