|
|
@@ -0,0 +1,89 @@
|
|
|
+# Идентификация, аутентификация и авторизация субьектов и обьектов доступа
|
|
|
+
|
|
|
+Индентификация - это процесс распознования пользователя по его уникальному индентификатору.
|
|
|
+
|
|
|
+Аутентификация - это проверка пользователя на его подлинность, что пользователь действительно является тем, кем он за себя выдает.
|
|
|
+
|
|
|
+Авторизация - это завершающий этап, когда:
|
|
|
+
|
|
|
+-система проверила наш идентификатор;
|
|
|
+
|
|
|
+-успешно прошел процесс аутентификации.
|
|
|
+
|
|
|
+Существует 3 фактора, которые напрямую задействуются в процессе аутентификации:
|
|
|
+
|
|
|
+1.Знание
|
|
|
+
|
|
|
+Например пароль, ПИН-код, секретное слово и так далее...
|
|
|
+
|
|
|
+Главное, что эта информация известна конкретному пользователю.
|
|
|
+
|
|
|
+2.Владение
|
|
|
+
|
|
|
+Второй фактор – это владение, является ли пользователь (который “стучится в систему”) обладателем чего-то, к примеру – уникальных биометрических данных, присущих только ему.
|
|
|
+
|
|
|
+Это очень хорошо распространено в телефонах, к примеру, когда девайс распознает владельца по отпечатку пальца.
|
|
|
+
|
|
|
+3.Свойство
|
|
|
+
|
|
|
+Пользователь имеет какой-то уникальный признак, и система его может аутентифицировать и пропустить дальше. К примеру: в случае использования мобильного банкинга или налогового приложения после его запуска система попросит у пользователя набор ключей.
|
|
|
+
|
|
|
+Если доступ к системе предоставляется после введения логина и пароля, то это будет однофакторная аутентификация - самая простая.
|
|
|
+Благодаря тому, что смартфоны стали неотъемлемой частью нашей жизни, именно они стали одним из способов подтверждения личности пользователя. Они являются токенами для доступа к различным ресурсам. В этом случае одноразовый пароль генерируется или с помощью специального приложения, или приходит по SMS – это максимально простой для пользователя метод.
|
|
|
+
|
|
|
+Аутентификация происходит следующим образом:
|
|
|
+
|
|
|
+Пользователь вводит логин и пароль, указанные при регистрации. Если данная пара корректна (логин есть в базе и соответствует паролю) система высылает одноразовый пароль, имеющий ограниченное время действия.
|
|
|
+Пользователь вводит одноразовый пароль и, если он совпадает с тем, что отправила система, то пользователь получает доступ к своей учетной записи, денежным средствам или подтверждает денежный перевод.
|
|
|
+
|
|
|
+Даже если злоумышленник получит логин и пароль для учетной записи (с помощью вредоносной программы, кражи записной книжки с паролями или методами социальной инженерии и фишинга), то после ввода этих данных система отправит на привязанный мобильный телефон пользователя одноразовый код с ограниченным временем действия. Без одноразового кода мошенник не сможет похитить денежные средства.
|
|
|
+
|
|
|
+
|
|
|
+Многофакторная аутентификация представляет собой метод, при котором пользователю для доступа к учетной записи или подтверждения операции с денежными средствами необходимо двумя различными факторами доказать, что именно он владелец учетной записи или что именно он осуществляет вход.
|
|
|
+
|
|
|
+# Матрица доступа, типы управления доступом
|
|
|
+
|
|
|
+Матрица доступа (МД) – это готовая модель, позволяющая регламентировать доступ к информационным ресурсам компании, но основании которой можно оценить состояние и структуру защиты данных в информационных системах.
|
|
|
+
|
|
|
+Матрицы доступа используются с целью упрощения выполнения рутинных работ службы безопасности организации. Например, установка прав доступа пользователям разных групп или подразделений, обновление или отзыв прав, добавление исключений и прочее.
|
|
|
+
|
|
|
+Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.
|
|
|
+
|
|
|
+Можно выделить три основные модели управления доступом к объектам: мандатную, дискреционную и ролевую.
|
|
|
+
|
|
|
+1) Мандатная модель
|
|
|
+
|
|
|
+Классической мандатной моделью считается модель Белла-ЛаПадулы . Она базируется на правилах секретного документооборота, использующегося в правительственных учреждениях. В этой модели каждому объекту и субъекту (пользователю) системы назначается свой уровень допуска. Все возможные уровни допуска системы четко определены и упорядочены по возрастанию секретности. Действуют два основных правила:
|
|
|
+
|
|
|
+1.Пользователь может читать только объекты с уровнем допуска не выше его собственного.
|
|
|
+
|
|
|
+2.Пользователь может изменять только те объекты, уровень допуска которых не ниже его собственного.
|
|
|
+
|
|
|
+2) Дискреционная модель
|
|
|
+
|
|
|
+В дискреционной модели безопасности управление доступом осуществляется путем
|
|
|
+
|
|
|
+явной выдачи полномочий на проведение действий с каждым из объектов системы. Например, в модели Харрисона-Руззо-Ульмана для этого служит матрица доступа, в которой определены права доступа субъектов системы к объектам. Строки матрицы соответствуют субъектам, а столбцы –объектам. Каждая ячейка матрицы содержит набор прав, которые соответствующий субъект имеет по отношению к соответствующему объекту.
|
|
|
+
|
|
|
+Как правило, создатель объекта обладает на него полными правами и может делегировать часть прав другим субъектам. Дискреционный подход позволяет создать гораздо более гибкую схему безопасности, чем мандатный, но при этом он и гораздо более сложен в администрировании. С программной точки зрения его реализация очень проста, но при достаточно большом количестве объектов и субъектов система становится практически неуправляемой.
|
|
|
+
|
|
|
+3) Ролевая модель
|
|
|
+
|
|
|
+В ролевой модели операции, которые необходимо выполнять в рамках какой-либо служебной обязанности пользователя системы, группируются в набор, называемый «ролью».
|
|
|
+
|
|
|
+Например, операции по регистрации документов могут быть сгруппированы в роль «регистратор». Для того чтобы множества операций, связанных с различными ролями, не пересекались, вводится иерархическая зависимость между ролями. К примеру, роль «секретарь» может включать в себя роль «регистратор» и, плюс к тому, еще несколько дополнительных операций.
|
|
|
+
|
|
|
+# Распределенная АС
|
|
|
+
|
|
|
+Распределенная АИС - это автоматизированная система, компоненты (техническое, программное обеспечение) которой могут быть независимыми друг от друга, но воспринимаются персоналом системы как единое целое.
|
|
|
+Одно из главных преимуществ распределенной АИС перед локальной системой заключается в достаточно простом, без пересмотра принципов взаимодействия компонентов системы, масштабировании состава пользователей, обращающихся одновременно к общим информационным ресурсам.
|
|
|
+
|
|
|
+Для эффективного проектирования распределенных систем автоматизации необходимы строгие методы их описания. Необходимо также обеспечить совместимость и взаимозаменяемость между собой всех устройств, входящих в систему и выпускаемых разными производителями.
|
|
|
+
|
|
|
+Для этих целей был разработан международный стандарт МЭК 61499 "Функциональные блоки для индустриальных систем управления" [IEC] (см. также раздел "Программное обеспечение"). Он используют три уровня иерархии моделей при разработке распределенных систем: модель системы, модель физических устройств и модель функциональных блоков:
|
|
|
+
|
|
|
+1)Модель распределенной системы автоматизации в соответствии со стандартом МЭК 61499 может быть представлена как набор физических устройств (например, ПЛК), взаимодействующих между собой с помощью одной или нескольких промышленных сетей. Сети могут иметь иерархическую структуру.
|
|
|
+
|
|
|
+2)Во второй модели каждое физическое устройство в распределенной системе должно содержать по крайней мере один интерфейс к объекту управления или к промышленной сети и может содержать несколько (в том числе ноль) ресурсов (определение ресурса см. ниже).
|
|
|
+
|
|
|
+3)Ресурс рассматривается как функциональная единица, которая содержится в устройстве (например, в ПЛК), имеет независимое управление своими операциями и обеспечивает различные сервисные функции (сервисы) для программного приложения, включая планирование и исполнение алгоритмов. Ресурс может быть создан, сконфигурирован, параметризован, стартован, удален и т п. без воздействия на другие ресурсы устройства. Примером ресурса может быть память и время, выделенные для выполнения задачи в центральном процессоре.
|
u19-23nosov