首页 发现 帮助
登录
u22-26dunaev
/
EASvZI36
派生自 ypv/EASvZI
1
0
派生 0
文件
目录树: 0e752d9140
分支列表 标签列表
EASvZI36
/
2022-23
/
Самостоятельная_работа_3
/
Mikluho 36.md

Mikluho 36.md 21 KB
文件历史 原始文件

Самостоятельная работа №3

Идентификация, аутентификация и авторизация

Итак, что же значат термины «идентификация», «аутентификация» и «авторизация» — и чем соответствующие процессы отличаются друг от друга? Для начала проконсультируемся с «Википедией»:

  • Идентификация — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе.
  • Аутентификация — процедура проверки подлинности, например проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.
  • Авторизация — предоставление определенному лицу или группе лиц прав на выполнение определенных действий.

Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:

  • Для начала система запрашивает логин, пользователь его указывает, система распознает его как существующий — это идентификация.
  • После этого Google просит ввести пароль, пользователь его вводит, и система соглашается, что пользователь, похоже, действительно настоящий, раз пароль совпал, — это аутентификация.
  • Скорее всего, Google дополнительно спросит еще и одноразовый код из SMS или приложения. Если пользователь и его правильно введет, то система окончательно согласится с тем, что он настоящий владелец аккаунта, — это двухфакторная аутентификация.
  • После этого система предоставит пользователю право читать письма в его почтовом ящике и все в таком духе — это авторизация.

Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.

Идентификация без аутентификации — это просто глупо. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, что может быть известно только данному пользователю: например, одноразовый код для подтверждения входа.

А вот авторизация без идентификации и тем более аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны вообще кому угодно. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный енот. Несмотря на то, что енот совершенно неопознанный, система его все же авторизовала — то есть выдала право прочитать этот документ.

Теперь вы знаете, чем идентификация отличается от аутентификации и авторизации. Что еще важно понимать: аутентификация — пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только слабенький пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:

  • Придумывайте для всех аккаунтов надежные и уникальные пароли.
  • Если испытываете трудности с их запоминанием — вам всегда придет на помощь менеджер паролей. Он же поможет их сгенерировать.
  • Обязательно включайте двухфакторную аутентификацию — одноразовые коды в SMS или приложении — во всех сервисах, которые это позволяют. Иначе какой-нибудь неопознанный енот, так или иначе заполучивший ваш пароль, сможет прочитать вашу тайную переписку или сделать что-то еще более неприятное.

Матрица доступа типы управления доступом

Матрица доступа (МД) – это готовая модель, позволяющая регламентировать доступ к информационным ресурсам компании, но основании которой можно оценить состояние и структуру защиты данных в информационных системах. В матрице четко устанавливаются права для каждого субъекта по отношению ко всем объектам информации. Визуально это можно представить в качестве некого массива данных со множеством ячеек, которые формируются пересечением строки, указывающей на субъект и столбика, указывающего на объект. Получается, что при таком подходе к управлению доступом ячейка содержит определенную запись, характерную для пары субъект-объект и указывает на режим доступа, разрешенный или запрещенный, или его характеристику для каждого конкретного случая. В матрице доступа к информационным ресурсам столбец отождествляется с перечнем контроля доступа, строка выполняет роль профиля доступа присущего объекту.

Примеры использования матрицы доступа

Матрицы доступа используются с целью упрощения выполнения рутинных работ службы безопасности организации. Например, установка прав доступа пользователям разных групп или подразделений, обновление или отзыв прав, добавление исключений и прочее. Оптимальным решением для автоматизации этих процессов и полноценного использования матрицы доступа к информационным ресурсам выступает интеграция с системами класса IdM/IGA. В этом случае управление доступом превращается в полностью автоматизированный процесс со множеством наглядных моментов: выдача прав доступа по определенным регламентам, выявление несоответствий прав пользователей и запрет доступа при отсутствии прав.

Матрицы доступа будут полезны для госучреждений, предприятий, всех форм бизнеса, где приходится иметь дело с конфиденциальными видами данных и присутствуют разные группы сотрудников с соответствующими уровнями доступа. В качестве примера использования матрицы доступа можно рассмотреть обычную компанию, располагающую несколькими подразделениями. Например, это производство, бухгалтерия, отдел продаж. В матрице может использоваться система ролей или мандатов, которая определяет набор прав доступа для разных групп пользователей. Это могут быть разрешения только на чтение информации, ее использование, удаление, создание новых информационных объектов и т.д. Права доступа для разных групп категорий пользователей должны различаться в зависимости от выполняемых задач и не вызывать конфликтов полномочий. В случае распределения прав доступа по матрице, куда включены производство, бухгалтерия, отдел продаж может получиться примерно такая картина:

  • Производство – доступ к технической и инженерной информации, запрет на доступ к ПДн сотрудников, финансовой, коммерческой, кадровой информации.

  • Бухгалтерия – доступ к финансовой, кадровой информации, ПДн сотрудников, запрет на доступ к технической и инженерной информации.

  • Отдел продаж – доступ к технической, коммерческой информации, запрет на доступ к инженерной, финансовой, кадровой информации, ПДн сотрудников.

Типы моделей управления доступом.

  • Модель конечного автомата описывает систему как абстрактную математическую машину. В этой модели переменные состояния представляют состояния машины, а функции перехода описывают способ изменения переменных. Модель управления доступом имеет дело только с наиболее существенными переменными состояниями, влияющими на безопасность и потому намного проще, чем полная модель конечного автомата для данной системы.
  • Модель матрицы доступа (частный случай реализации модели машины состояний). Состояния безопасности системы представлены в виде таблицы, содержащей по одной строке для каждого субъекта системы и по одной колонке для каждого субъекта и объекта. Каждое пересечение в массиве определяет режим доступа данного субъекта к каждому объекту или другому субъекту системы.

Распределенная автоматизированная система

С ростом количества датчиков, увеличением площади территории, на которой расположена автоматизированная система и усложнением алгоритмов управления становится более эффективным применение распределенных систем [Bertocco, Vyatkin - Хазарадзе]. Распределенные системы состоят из множества территориально разнесенных контроллеров и модулей ввода-вывода. При таком подходе структура распределенной системы и структура алгоритма ее работы становятся подобны структуре самого объекта автоматизации, а функции сбора, обработки данных, управления и вычисления оказываются распределенными среди множества контроллеров. Каждый контроллер работает со своей группой устройств ввода-вывода и обслуживает определенную часть объекта управления. В частности, технологическое оборудование, как правило, выпускается с уже встроенными ПЛК. Тенденция децентрализации управления и приближения контроллеров к объектам управления является общей для всех систем автоматизации и отчасти навеяна успехами объектно-ориентированного программирования. Кроме того, сосредоточенная система является частью или частным случаем распределенной, поэтому появление распределенных систем является следствием естественного развития от частного к общему.

Распределенную систему управления (РСУ, DCS - Distributed Control System) можно определить как систему, состоящую из множества устройств, разнесенных в пространстве, каждое из которых не зависит от остальных, но взаимодействует с ними для выполнения общей задачи [Bonastre]. В предельном случае элементы системы могут находиться на разных континентах земного шара, а связь между ними может выполняться через интернет. В качестве "множества устройств" могут выступать любые микропроцессорные устройства, например, ПЛК или разнесенные в пространстве модули ввода-вывода одного контроллера. Однако в последнем случае только сбор данных можно рассматривать как распределенный, в то время как функция управления является сосредоточенной в одном контроллере.

Максимальные преимущества распределенной системы достигаются, когда контроллеры работают автономно, а обмен информацией между ними сведен до минимума.

Распределенная система имеет следующие характеристики, отличающие ее от сосредоточенной:

  • большее быстродействие благодаря распределению задач между параллельно работающими процессорами;

  • повышенную надежность (отказ одного из контролеров не влияет на работоспособность других);

  • большую устойчивость к сбоям;

  • более простое наращивание или реконфигурирование системы;

  • упрощенную процедуру модернизации;

  • большую простоту проектирования, настройки, диагностики и обслуживания благодаря соответствию архитектуры системы архитектуре объекта управления, а также относительной простоте каждого из модулей системы;

  • улучшенную помехоустойчивость и точность благодаря уменьшению длины линий передачи аналоговых сигналов от датчиков к устройствам ввода;

  • меньший объем кабельной продукции, пониженные требования к кабелю и более низкая его стоимость;

  • меньшие расходы на монтаж и обслуживание кабельного хозяйства.

Требование автономности работы (т.е. автономного выполнения своих функций) и минимума обмена информацией не являются тривиальными, поскольку с ростом размера системы и увеличения количества ее элементов растет интенсивность потоков информации, а значит и задержка в передаче данных, что весьма опасно, например, при осуществлении регулирования. Дело в том, что большинство РСУ строятся по топологии «общая шина» (топологии кольцо и звезда используются значительно реже), что в отличие от топологии «точка-точка» подразумевает необходимость адресации устройств и необходимость ожидания в очереди. Для того чтобы получить данные из модуля или контроллера, компьютер (или контроллер) посылает в шину его адрес и команду запроса данных. Микропроцессор, входящий в состав каждого модуля или контроллера, сверяет адрес на шине с его собственным адресом, записанным в ПЗУ, и, если адреса совпадают, исполняет следующую за адресом команду. Команда позволяет считать данные, поступающие на вход устройства, или установить необходимые данные на его выходе.