Яковлев.md 8.9 KB
# Управление доступом субъектов доступа к объектам доступа.
Мaтрица доступа (Access Control Matrix) - это абстрактная структура данных, используемая в информационной безопасности для представления и управления правами доступа субъектов (пользователей, процессов, ролей) к объектам (ресурсам, файлам, данным) в информационной системе.
Она представляет собой двумерную таблицу, где одно измерение содержит список субъектов, а другое - список объектов. В каждой ячейке матрицы указываются права доступа, которые субъект имеет к соответствующему объекту. Такие права могут включать в себя чтение, запись, выполнение и другие операции в зависимости от контекста.
Мaтрица доступа служит важным инструментом для анализа, аудита и управления безопасностью информационных систем, так как она позволяет наглядно отображать, кто и как может взаимодействовать с данными и ресурсами. При этом, для повышения безопасности, ее обновление и изменение должны быть строго контролируемыми и ограниченными привилегиями.
Ключевые понятия:
Субъект доступа: Это сущность, которая пытается получить доступ к объекту. Субъектами могут быть пользователи, приложения, сервисы и т.д.
Объект доступа: Это ресурс или информация, к которым субъекты пытаются получить доступ. Объектами могут быть файлы, базы данных, документы и другие данные.
Управление доступом: Это процесс контроля и регулирования, кто и как может получать доступ к объектам в информационной системе.
Основные принципы управления доступом:
Принцип минимизации прав доступа Необходимый минимум: Субъектам предоставляются только те права доступа, которые необходимы для выполнения их задач. Это снижает риск ненужных привилегий.
Принцип разделения обязанностей Разделение обязанностей (SoD): Критические функции и привилегии должны разделяться между несколькими субъектами, чтобы предотвратить злоупотребление.
Принцип наименьших привилегий (Principle of Least Privilege, POLP) Принцип наименьших привилегий предполагает, что субъекты должны иметь только минимально необходимые права доступа к объектам. Это снижает риски несанкционированного доступа и уменьшает потенциальные угрозы.
Аутентификация и авторизация
Аутентификация: Это процесс проверки подлинности субъекта, обычно через пароли, биометрию или другие методы.
Авторизация: Это определение прав доступа субъекта после успешной аутентификации. Например, определение, может ли пользователь просматривать, редактировать или удалять определенный файл.
Модель RBAC (Role-Based Access Control) Модель RBAC основана на назначении ролей субъектам, а не непосредственно прав. Каждая роль имеет определенные права доступа к объектам, и субъекты получают доступ на основе своей роли.
Модель ABAC (Attribute-Based Access Control) Модель ABAC определяет права доступа субъекта на основе атрибутов субъекта, объекта и окружения. Это более гибкий способ управления доступом, так как он учитывает множество факторов.
Мандатная модель В этой модели доступ основывается на классификации субъектов и объектов, и устанавливаются правила, согласно которым субъекты могут получать доступ к объектам.
Ролевая модель В этой модели субъектам присваиваются роли, а роли имеют определенные права доступа. Это упрощает управление доступом в больших организациях.
Протокол OAuth OAuth - это открытый стандарт для авторизации, который позволяет субъектам предоставлять временный доступ к своим ресурсам другим субъектам без предоставления паролей.
Аудит и мониторинг доступа
Следящие системы и аудит позволяют отслеживать, кто, когда и как пытается получить доступ к объектам, что помогает выявить несанкционированные действия и обеспечивает надежную систему безопасности.
Процесс управления доступом
Управление доступом - это непрерывный процесс, включающий в себя планирование, реализацию, мониторинг и улучшение системы контроля доступа.
Вывод:
Управление доступом субъектов к объектам доступа является критической составляющей безопасности информационных систем. Он обеспечивает конфиденциальность, целостность и доступность данных и ресурсов, минимизируя риски несанкционированного доступа и угрозы. Применение принципов POLP, аутентификации и авторизации, моделей RBAC и ABAC, а также аудита и мониторинга помогает создать надежную систему управления доступом. Правильная реализация управления доступом помогает предотвратить утечки данных и уменьшить риски для организации. Следуя принципам минимизации прав доступа и разделения обязанностей, можно создать более безопасную среду для информации и ресурсов.
Литература:
studfile dehack wikipedia securitylab.ru
Вопросы:
1.Дать определение матрице. 2.Что собой представляет матрица? 3.Что позволяет делать аудит? 4.Какой стандарт позволяет субъектам предоставить временный доступ к ресурсам? 5.В чем отличия моделей ABAC и RBAC?