Гончаров см3.md 14 KB
# Идентификация, аутентификация и авторизация субьектов и обьектов доступа
Индентификация - это процесс распознования пользователя по его уникальному индентификатору.
Аутентификация - это проверка пользователя на его подлинность, что пользователь действительно является тем, кем он за себя выдает.
Авторизация - это завершающий этап, когда:
-система проверила наш идентификатор;
-успешно прошел процесс аутентификации.
Существует 3 фактора, которые напрямую задействуются в процессе аутентификации:
1.Знание
Например пароль, ПИН-код, секретное слово и так далее...
Главное, что эта информация известна конкретному пользователю.
2.Владение
Второй фактор – это владение, является ли пользователь (который “стучится в систему”) обладателем чего-то, к примеру – уникальных биометрических данных, присущих только ему.
Это очень хорошо распространено в телефонах, к примеру, когда девайс распознает владельца по отпечатку пальца.
3.Свойство
Пользователь имеет какой-то уникальный признак, и система его может аутентифицировать и пропустить дальше. К примеру: в случае использования мобильного банкинга или налогового приложения после его запуска система попросит у пользователя набор ключей.
Если доступ к системе предоставляется после введения логина и пароля, то это будет однофакторная аутентификация - самая простая. Благодаря тому, что смартфоны стали неотъемлемой частью нашей жизни, именно они стали одним из способов подтверждения личности пользователя. Они являются токенами для доступа к различным ресурсам. В этом случае одноразовый пароль генерируется или с помощью специального приложения, или приходит по SMS – это максимально простой для пользователя метод.
Аутентификация происходит следующим образом:
Пользователь вводит логин и пароль, указанные при регистрации. Если данная пара корректна (логин есть в базе и соответствует паролю) система высылает одноразовый пароль, имеющий ограниченное время действия. Пользователь вводит одноразовый пароль и, если он совпадает с тем, что отправила система, то пользователь получает доступ к своей учетной записи, денежным средствам или подтверждает денежный перевод.
Даже если злоумышленник получит логин и пароль для учетной записи (с помощью вредоносной программы, кражи записной книжки с паролями или методами социальной инженерии и фишинга), то после ввода этих данных система отправит на привязанный мобильный телефон пользователя одноразовый код с ограниченным временем действия. Без одноразового кода мошенник не сможет похитить денежные средства.
Многофакторная аутентификация представляет собой метод, при котором пользователю для доступа к учетной записи или подтверждения операции с денежными средствами необходимо двумя различными факторами доказать, что именно он владелец учетной записи или что именно он осуществляет вход.
Матрица доступа, типы управления доступом
Матрица доступа (МД) – это готовая модель, позволяющая регламентировать доступ к информационным ресурсам компании, но основании которой можно оценить состояние и структуру защиты данных в информационных системах.
Матрицы доступа используются с целью упрощения выполнения рутинных работ службы безопасности организации. Например, установка прав доступа пользователям разных групп или подразделений, обновление или отзыв прав, добавление исключений и прочее.
Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.
Можно выделить три основные модели управления доступом к объектам: мандатную, дискреционную и ролевую.
1) Мандатная модель
Классической мандатной моделью считается модель Белла-ЛаПадулы . Она базируется на правилах секретного документооборота, использующегося в правительственных учреждениях. В этой модели каждому объекту и субъекту (пользователю) системы назначается свой уровень допуска. Все возможные уровни допуска системы четко определены и упорядочены по возрастанию секретности. Действуют два основных правила:
1.Пользователь может читать только объекты с уровнем допуска не выше его собственного.
2.Пользователь может изменять только те объекты, уровень допуска которых не ниже его собственного.
2) Дискреционная модель
В дискреционной модели безопасности управление доступом осуществляется путем
явной выдачи полномочий на проведение действий с каждым из объектов системы. Например, в модели Харрисона-Руззо-Ульмана для этого служит матрица доступа, в которой определены права доступа субъектов системы к объектам. Строки матрицы соответствуют субъектам, а столбцы –объектам. Каждая ячейка матрицы содержит набор прав, которые соответствующий субъект имеет по отношению к соответствующему объекту.
Как правило, создатель объекта обладает на него полными правами и может делегировать часть прав другим субъектам. Дискреционный подход позволяет создать гораздо более гибкую схему безопасности, чем мандатный, но при этом он и гораздо более сложен в администрировании. С программной точки зрения его реализация очень проста, но при достаточно большом количестве объектов и субъектов система становится практически неуправляемой.
3) Ролевая модель
В ролевой модели операции, которые необходимо выполнять в рамках какой-либо служебной обязанности пользователя системы, группируются в набор, называемый «ролью».
Например, операции по регистрации документов могут быть сгруппированы в роль «регистратор». Для того чтобы множества операций, связанных с различными ролями, не пересекались, вводится иерархическая зависимость между ролями. К примеру, роль «секретарь» может включать в себя роль «регистратор» и, плюс к тому, еще несколько дополнительных операций.
Распределенная АС
Распределенная АИС - это автоматизированная система, компоненты (техническое, программное обеспечение) которой могут быть независимыми друг от друга, но воспринимаются персоналом системы как единое целое. Одно из главных преимуществ распределенной АИС перед локальной системой заключается в достаточно простом, без пересмотра принципов взаимодействия компонентов системы, масштабировании состава пользователей, обращающихся одновременно к общим информационным ресурсам.
Для эффективного проектирования распределенных систем автоматизации необходимы строгие методы их описания. Необходимо также обеспечить совместимость и взаимозаменяемость между собой всех устройств, входящих в систему и выпускаемых разными производителями.
Для этих целей был разработан международный стандарт МЭК 61499 "Функциональные блоки для индустриальных систем управления" IEC. Он используют три уровня иерархии моделей при разработке распределенных систем: модель системы, модель физических устройств и модель функциональных блоков:
1)Модель распределенной системы автоматизации в соответствии со стандартом МЭК 61499 может быть представлена как набор физических устройств (например, ПЛК), взаимодействующих между собой с помощью одной или нескольких промышленных сетей. Сети могут иметь иерархическую структуру.
2)Во второй модели каждое физическое устройство в распределенной системе должно содержать по крайней мере один интерфейс к объекту управления или к промышленной сети и может содержать несколько (в том числе ноль) ресурсов (определение ресурса см. ниже).
3)Ресурс рассматривается как функциональная единица, которая содержится в устройстве (например, в ПЛК), имеет независимое управление своими операциями и обеспечивает различные сервисные функции (сервисы) для программного приложения, включая планирование и исполнение алгоритмов. Ресурс может быть создан, сконфигурирован, параметризован, стартован, удален и т п. без воздействия на другие ресурсы устройства. Примером ресурса может быть память и время, выделенные для выполнения задачи в центральном процессоре.