Контроль доступу (інформатика)
Контроль доступу — функція відкритої системи, що забезпечує технологію безпеки, яка дозволяє або забороняє доступ до певних типів даних, засновану на ідентифікації суб'єкта, якому потрібен доступ, і об'єкта даних, що є метою доступу.
Контроль доступу є одним з найважливіших елементів захисту комп'ютера й інформації на ньому. Доступ до захищеної інформації повинен бути обмежений, щоб тільки люди, які мають право доступу, могли отримувати цю інформацію. Комп'ютерні програми і в багатьох випадках чужорідні комп'ютери за допомогою локальної мережі, Інтернету, бездротової мережі можуть отримати секретну інформацію, яка не призначена їм. Це може завдати як фінансових, так і інформаційних втрат.
У зв'язку з цим необхідний механізм контролю доступу до захищеної інформації. Складність механізмів контролю доступу повинна бути у паритеті з цінністю інформації, тобто що важливішою або ціннішою є інформація, то складнішими повинні бути механізми контролю доступу.
Основними механізмами контролю доступу є ідентифікація й аутентифікація[1].
Ідентифікація
Ідентифікація — надання суб'єктам і об'єктам ідентифікаторів і (або) порівняння ідентифікатора з переліком наданих ідентифікаторів. Якщо людина робить заяву «Доброго дня, мене звуть ...», вона заявляє про те, хто вона є. Проте, її заява може й не бути правдою.
Щоб визначити людину за ім'ям, необхідно перевірити чи це саме ця людина. Тут починається автентифікація.
Автентифікація
Автентифікація є актом перевірки заяви особи.
Коли, наприклад, людина йде до банку і хоче зняти зі свого рахунку грошову суму, працівник банку запитує паспорт, щоб перевірити справжність. Банківський працівник дивиться на людину і звіряє з фотографією в паспорті. Переконавшись у достовірності заяви — виконує операцію.
Існує два різних типи інформації, яка може бути використана для перевірки дійсності: те, що знаєте тільки ви, або те, що є тільки у вас. Прикладом того, що ви знаєте, можуть бути такі речі, як ПІН-код, пароль, або дівоче прізвище вашої матері. Прикладами того, що у вас є, можуть бути водійські права або магнітні картки. Також це можуть бути біометричні прилади. Прикладами біометрії може бути відбиток пальця, голос і сітківка ока. Сувора автентифікація вимагає надання інформації від двох з трьох різних типів автентифікації інформації. Наприклад, те, що ви знаєте, а також хто ви. Це називається двофакторною автентифікацією.
У комп'ютерних системах, що використовуються сьогодні, ім'я користувача і пароль є найбільш поширеною формою автентифікації. Імена користувачів і паролі досягли своєї мети, але в сучасному світі вони не дають нам повної впевненості. Імена користувачів і паролі поступово замінюються більш складними механізмами автентифікації.
Після успішної ідентифікації й автентифікації, людина або програма отримує в своє розпорядження саме ті ресурси, до яких програма чи людина має право доступу, а також до допустимих до виконання дій (запуск, перегляд, створення, видалення або зміна). Це називається дозволами.
Адміністративна політика і процедури
Дозвіл на доступ до інформації та інших послуг починається з адміністративної політики і процедур. Політика визначає кому і за яких умов можуть бути доступні інформаційно-обчислювальні послуги. Механізми контролю доступу налаштовані на реалізацію цих стратегій.
Обчислювальні системи оснащуються різними механізмами контролю доступу, деякі пропонують на вибір кілька механізмів контролю доступу. Система пропонує кілька підходів до керування доступом або комбінацію з них.
Дискреційний підхід об'єднує весь контроль доступу під централізованим керуванням. Дискреційний підхід дає творцям або власникам інформаційного ресурсу можливість контролювати доступ до цих ресурсів.
За імперативного підходу до контролю доступу дозвіл або заборона доступу ґрунтується на безпеці класифікацій, покладених на інформаційний ресурс.
Також використовується контроль доступу на основі ролей.
Приклади загальних механізмів контролю доступу, що використовуються сьогодні, можна зустріти в багатьох системах управління базами даних.
Просте дозвіл до файлу використовується в ОС UNIX і Windows, правила доступу груп передбачені у Windows Network Systems, Kerberos, RADIUS, TACACS, прості списки доступу використовуються у багатьох брандмауерах і маршрутизаторах.
Щоб бути ефективними, політики та інші заходи контролю безпеки повинні використовуватися, підтримуватися і, по можливості, модернізуватися.
Всі невдалі і успішні спроби аутентифікації входу в систему, а також дані про те, ким і коли відбувалися зміни інформації, повинні записуватися.
Див. також
Посилання
- Контроль доступу // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 354-355. — ISBN 978-617-7627-10-3.
- RFC 4949 — Internet Security Glossary, Version 2(англ.)
- Definition: access control Federal Standard 1037C(англ.)