Tilgangskontroll for sikkerhet + sertifisering - dummies

Tilgangskontroll er muligheten til å tillate eller nekte bruk av et objekt (en passiv enhet, for eksempel et system eller en fil) av en emne (en aktiv enhet, for eksempel et individ eller en prosess).

Adgangskontrollsystemer gir tre viktige tjenester:

• Identifikasjon og godkjenning (I & A): Disse bestemmer hvem som kan logge på et system.
• Godkjenning: Dette bestemmer hva en autorisert bruker kan gjøre.

• Ansvarlighet: Dette identifiserer hva en bruker gjorde.

Identifikasjon og godkjenning (I & A)

Identifikasjon og godkjenning (I & A) er en to-trinns prosess som bestemmer hvem som kan logge på et system.

• Identifikasjon er hvordan en bruker forteller et system som han eller hun er (for eksempel ved å bruke et brukernavn).

• Identifikasjonskomponenten til et tilgangskontrollsystem er normalt en relativt enkel mekanisme basert på enten brukernavn eller bruker-ID.

• Ved system eller prosess er identifikasjonen vanligvis basert på

• Datamaskinnavn

• MAC-adresse

• Internet Protocol (IP) adresse

• Prosess ID (PID)

• De eneste kravene til identifikasjon er at identifikasjonen

• må identifisere brukeren unikt.

• Bør ikke identifisere brukerens posisjon eller relativ betydning i en organisasjon (for eksempel etiketter som president eller CEO ).

• Bør unngå å bruke vanlige eller delte brukerkontoer, for eksempel root , admin og sysadmin .

• Slike kontoer gir ingen ansvar og er saftige mål for hackere.

• Autentisering er prosessen med å verifisere en brukeres påståtte identitet (for eksempel ved å sammenligne et inntastet passord til passordet som er lagret på et system for et gitt brukernavn).
Godkjenning er basert på minst en av disse tre faktorene:

• Noe du vet, som et passord eller et personlig ID-nummer (PIN). Dette forutsetter at kun eieren av kontoen kjenner passordet eller PIN-koden som er nødvendig for å få tilgang til kontoen. Dessverre blir passord ofte delt, stjålet eller gjettet.

• Noe du har, som et smartkort eller token. Dette forutsetter at kun eieren av kontoen har det nødvendige smartkortet eller token som trengs for å låse opp kontoen.

• Dessverre kan smartkort eller tokens gå tapt, stjålet, lånt eller duplisert.

• Noe du er, som fingeravtrykk, stemme, retina eller irisegenskaper.Dette forutsetter at fingeren eller øyeeballet festet til kroppen din er faktisk din og unikt identifiserer deg.

• Den store ulempen er brukernes aksept - mange mennesker er urolige med å bruke disse systemene.

Authorization

Authorization (eller etablering ) definerer brukerens rettigheter og tillatelser på et system. Etter at en bruker (eller prosess) er autentisert, bestemmer autorisasjon hva den brukeren kan gjøre på systemet.

Mest moderne operativsystemer definerer sett med tillatelser som er variasjoner eller utvidelser av tre grunnleggende typer tilgang:

• Les (R): Brukeren kan

• Les filinnholdet

• Liste katalog innhold

• Skriv (W): Brukeren kan endre innholdet i en fil eller katalog med disse oppgavene:

• Legg til

• Opprett

• Slett > • Gi nytt navn

Utfør (X):

• Hvis filen er et program, kan brukeren kjøre programmet. Disse rettighetene og tillatelsene implementeres annerledes i systemer basert på

diskretionær tilgangskontroll ( DAC) og obligatorisk tilgangskontroll (MAC). Ansvar

Ansvarlighet bruker slike systemkomponenter som revisjonsstier (poster) og logger for å knytte en bruker til sine handlinger. Auditspor og logger er viktige for

Registrering av sikkerhetsbrudd

• Opprettelse av sikkerhetshendelser
• Hvis ingen regelmessig vurderer loggene dine og de ikke vedlikeholdes på en sikker og konsekvent måte, kan de ikke bli akseptert som bevis.

Mange systemer kan generere automatiserte rapporter basert på bestemte forhåndsdefinerte kriterier eller terskler, kjent som

clipping levels . For eksempel kan et klipnivå angis for å generere en rapport for følgende: Mer enn tre mislykkede påloggingsforsøk i en gitt periode

• Ethvert forsøk på å bruke en deaktivert brukerkonto
• Disse rapportene hjelper en systemadministrator eller sikkerhetsadministrator identifiserer muligens mulige innbruddssøk.

Tilgangskontrollteknikker

Tilgangskontrollteknikker er generelt kategorisert som enten

diskresjonær eller obligatorisk . Forståelse av forskjellene mellom diskresjonær tilgangskontroll (DAC) og obligatorisk tilgangskontroll (MAC), samt spesifikke tilgangskontrollmetoder under hver kategori, er avgjørende for å passere Security + -eksamen. Diskretionær tilgangskontroll

D

iscretionær tilgangskontroll (DAC) er en tilgangspolicy bestemt av eieren av en fil (eller annen ressurs). Eieren bestemmer hvem som får tilgang til filen og hvilke privilegier de har. To viktige begreper i DAC er

Eierskap for fil og data:

• Hvert objekt i et system må ha en eier. Tilgangspolitikken bestemmes av eieren av ressursen (inkludert filer, kataloger, data, systemressurser og enheter). Teoretisk sett gjenstår et objekt uten en eier ubeskyttet. Vanligvis er eieren av en ressurs den personen som opprettet ressursen (for eksempel en fil eller katalog).
Tilgangsrettigheter og tillatelser:
• Dette er kontrollene som en eier kan tilordne til enkelte brukere eller grupper for bestemte ressurser. Diskretionære tilgangskontroller kan brukes ved hjelp av følgende teknikker:

Tilgangskontrolllister

• (ACLs) navn de spesifikke rettighetene og tillatelsene som er tildelt et emne for en gitt gjenstand. Tilgangskontrolllister gir en fleksibel metode for bruk av skjønnsmessige tilgangskontroller. Rollebasert tilgangskontroll
• tilordner gruppemedlemskap basert på organisatoriske eller funksjonelle roller. Denne strategien forenkler forvaltningen av tilgangsrettigheter og tillatelser: • Tilgangsrettigheter og tillatelser for objekter blir tildelt en gruppe eller, i tillegg til, enkeltpersoner.

• Personer kan tilhøre en eller flere grupper. Personer kan bli utpekt til å erverve

kumulative tillatelser (enhver tillatelse fra hvilken som helst gruppe de er i) eller diskvalifiseres fra enhver tillatelse som ikke er en del av hver gruppen de er inne. Obligatorisk tilgangskontroll

Obligatorisk tilgangskontroll (MAC) er en tilgangspolicy bestemt av systemet, ikke eieren. MAC brukes i

multilevel-systemer som behandler svært følsomme data, for eksempel klassifisert offentlig og militær informasjon. Et multilevel system er et enkelt datasystem som håndterer flere klassifikasjonsnivåer mellom emner og objekter. To viktige begreper i MAC er følgende:

Sensitivitetsetiketter:

• I et MAC-basert system må alle emner og objekter ha etiketter tildelt dem. Et emnes følsomhetsmerke angir sitt tillitnivå. Et objekts følsomhetsmerke angir hvilket konfidensnivå som kreves for tilgang.
For å få tilgang til en gitt gjenstand må motivet ha et følsomhetsnivå som er lik eller høyere enn det forespurte objektet.Dataimportering og eksport:
• Kontroller import av informasjon fra andre systemer og eksport til andre systemer (inkludert skrivere) er en kritisk funksjon av MAC-baserte systemer, som må sørge for at følsomhetsetiketter er riktig vedlikeholdt og implementert den sensitive informasjonen er passende beskyttet til enhver tid. To metoder brukes vanligvis til å søke obligatorisk tilgangskontroll:

Regelbaserte tilgangskontroller:

• Denne typen kontroll definerer videre spesifikke forhold for tilgang til et forespurte objekt. Alle MAC-baserte systemer implementerer en enkel form for regelbasert tilgangskontroll for å avgjøre om tilgang skal gis eller nektes ved å samsvare
• Et objekts følsomhetsmerke

• Et emnes følsomhetsmerke

Gitter- baserte tilgangskontroller:

• Thesecan brukes til komplekse tilgangskontrollbeslutninger som involverer flere objekter og / eller emner. A
gittermodell er en matematisk struktur som definerer største nedre bundet og minst øvre bundet -verdier for et par elementer, for eksempel et emne og et objekt.