Ac

Ограничение доступа #

Защищать можно не саму информацию, а возможность ее получить. Сейф – классический инструмент сохранения конфиденциальности методом ограничения доступа.

В моделях систем, разграничивающих доступ, есть понятие “объект” – сама конфиденциальная информация, “субьект” – человек или система, получающая доступ к ней, и “предмет” – вид доступа. Предметом доступа может быть чтение и изменение информации. В первом случае информация остается в том же виде, во втором – меняется. Удаление, создание – разновидности изменения информации. Успешное выполнение любого из этих действий называется “фактом” доступа.

Аутентификация #

Определить людей, имеющих право доступа к документам в сейфе очень просто – у них есть ключ. В информационной системе ключом может быть, например, пароль или специальное устройство. Один на всех или несколько индивидуальных, не так уж важно. Пароли должны храниться в секрете, а устройства – быть недоступны посторонним.

Идентификация #

Кто сможет открыть сейф, получит доступ для всего его содержимого. Информационные системы все же посложнее сейфов. Разным пользователям может быть предоставлен доступ к разным документам. Ключа, отпирающего условный “сейф”, в этом случае недостаточно. Кроме пароля надо как-то идентифицировать самого пользователя. Специально придуманное имя в системе, адрес электронной почты, номер телефона – сгодится все, что угодно, достаточно уникальное, чтобы отличить одного пользователя от другого. Сочетание идентификатора пользователя и пароля, во-первых, даст системе знать, кто “пришел”, во-вторых, будет доказательством, что “пришел” действительно он, а не кто-то, пытающийся выдать себя за другого. В отличие от пароля, идентификатор не должен быть секретным.

Теоретически, вместо этой пары “идентификатор – пароль” можно использовать просто индивидуальный пароль, но тогда возникает ситуация “этот пароль уже используется другим пользователем”, что фактически является его раскрытием, сводящим всю защиту на нет.

Верификация #

С помощью пароля можно определить, действительно ли доступ пытается получить обладатель идентификатора. А верификация – это процесс проверки, тот ли человек использует идентификатор и пароль, которому они были предоставлены? Это не техническая процедура и чаще всего она обозначает визит пользователя с документами, после чего его право на информацию подтверждается юридически.

Авторизация #

После того, как субъекта идентифицировали, происходит авторизация – определение предмета доступа. Можно ли ему только читать или изменять, создавать и удалять информацию? И с какими именно документами пользователю разрещено работать? Авторизация выполняется непосредственно перед фактом доступа и определяет, легально ли то, что пользователь собирается сделать.

Методы аутентификации #

Пароли #

Самый простой способ. Информационная система хранит идентификатор субъекта и “ключ”, известный одному ему пароль. Время от времени пароль необходимо менять и он должен быть достаточно сложным. Делается это для того, чтобы защититься от атаки полного перебора паролей.

Одноразовые пароли #

После ввода идентификатора субъекту доставляется одноразовый пароль. Это может быть email- или SMS-сообщение, специальным образом вычисленный с помощью брелка-генератора или программы на мобильном устройстве код. Подобные пароли “живут” от 30 секунд до 5 минут и/или пригодны только для одного входа, после чего становятся бесполезной последовательностью символов.

Биометрия #

Биометрическая аутентификация – это аутентификация по отпечатку пальца, голосу, радужной оболочке глаза и так далее.

Многофакторная аутентификация #

Многофакторная аутентификация использует одновременно несколько методов. Например, пароль и одноразовый код. Чаще всего придерживаются принципа “что знаешь” (пароль, который нигде не записан) + “что имеешь” (код, полученный при помощи мобильного телефона или брелка генератора).

Модели разграничения доступа #

Дискретная #

Избирательное управление доступом1 производится на основе списков управления доступом2, в которых все разрешения задаются в тройках “субъект – объект – предмет”.

Групповая #

Это разновидность модели DAC, в которой ACL содержит группы объектов и субъектов, для которой определяется предмет доступа. В этой модели создание групп доступа требуется даже для индивидуального доступа к единичному объекту.

Ролевая #

Роль – это абстрактный субъект доступа, для которого в ACL заданы объекты и предметы. Конкретным субъектам назначают роли (может быть больше одной), а получаемые в результате права вычисляются на основе прав, предоставленных в рамках той или иной роли.

Мандатная #

Мандатное управление доступом3 определяет предмет доступа субъекта ко всем объектам с определенной меткой. Например, “секретно” или “для служебного пользования”.

  1. англ. Discretionary Access Control, DAC ↩︎

  2. англ. Access Control List, ACL ↩︎

  3. англ. Mandatory access control, MAC ↩︎

мая 17, 2025
Редактировать эту страницу