탐색 도움말
로그인
u22ryabchenko
/
EASvZI
원본 프로젝트 : ypv/EASvZI
1
0
포크 0
파일
트리: 22f13a1116
브랜치 태그
EASvZI
/
Лекции
/
П2.5.400_Управление_доступом
/
Беликов.md

Беликов.md 12 KB
히스토리 Raw

Управление Доступом

** Что такое управление доступом? ** Процесс обнаружения, мониторинга, регулирования и управления доступом отдельных лиц к платформе, приложению или любому другому IT-компоненту называется управлением доступом. Оно используется для аутентификации, авторизации и аудита доступа к приложениям и IT-системам; а также создает уровень безопасности между отдельными лицами, программными сервисами и данными.

Если говорить простыми словами, то управление доступом - это процесс полного контроля, отслеживания и регулирования того, кто и как может получить доступ, как законный так и не законный, к различным компьютерным системам и приложениям. Оно служит для проверки личности входящих пользователей, разрешения им доступа к определенным функциям и данным, а также для обеспечения безопасности и сохранения информации, включая персональные данные юзера.

** Типы уязвимостей аутентификации ** Ошибки в коде или логике могут создавать уязвимости в процессе аутентификации, а уязвимости в процессе аутентификации вызывают множество серьезных проблем в безопасности, приводя к появлению вредоносной активности в приложении, что может быть чревато для информации людей.

Существую различные виды уязвимостей, но наиболее часто встречающимися проблемами аутентификации являются:

Слабый пароль. Хакеры могут попробовать несколько комбинаций паролей (атаки со словарем), пока не подберут правильный. Приложение не должно позволять пользователям создавать слабые пароли, которые можно легко угадать. Так же хакеры и злоумышленники могут узнать ваш пароль блягодаря методам криптографии, если быть точнее то дешифрация методом перебора символом. Но в этом помогает готовая программа.

Слабая HTTP-аутентификация. Когда в приложении реализована простая веб-аутентификация, имя или логин пользователя и пароль отправляются вместе с HTTP-запросом. Хакеры могут легко получить имя пользователя и пароль из параметров URL.

SQL-инъекции. SQL-инъекции могут украсть информацию из основной базы данных, если она должным образом не защищена. Злоумышленники вместе с входными данными могут отправить вредоносный SQL-код, чтобы украсть важную информацию. У злоумышленников есть много вариантов развития событий на ваши ПД, так как на многих сайтах будет на них спрос, но по большей мере это зависит от сферы вашей деятельности. Если вы занимаете какую-то управляющую должность, на ваши данные будет хороший спрос, и шанс взлома вашей сессии возрастает.

Некорректная пользовательская сессия, довольно распространенная ошибка. Существуют различные уязвимости, связанные с плохим управлением сессиями, такие как отсутствие нормализованных таймаутов сессии, куки сессии без HTTP-флага и плохая валидация сессии.

Параметры в URL не зашифрованы. Когда создается пользовательская сессия, мы включаем мощную конфиденциальную информацию, такую как идентификатор клиента, идентификатор предложения и т.д. в параметры URL. Нужно убедиться, что все эти значения в URL зашифрованы, поскольку хакеры могут использовать эту информацию и заменить ее случайными значениями.

Типы пользовательского доступа - это разные уровни разрешений, которые определяют, что пользователи могут делать очень творческие проекты в системе или приложении. Например, какие функции использовать или какие данные просматривать. Вот примеры таких типов крутого доступа:

  1. Авторизация на основе ролей: авторизация может быть предоставлена на основе величайшей роли пользователя и того, что нужно пользователю в приложении.

  2. Список управления доступом: ACL — это список правил, определяющих доступ к ресурсам для конечных пользователей. Он используется надежной для фильтрации определенных пользователей хах и разрешения или запрета доступа к ресурсам в соответствии с правилом.

  3. Авторизация на основе токена: безопасная авторизация на основе токена может быть предоставлена пользователю для доступа к ресурсам в приложении. Ключ токена вместе с запросом отправляется на сервер, и после успешной проверки пользователь получает доступ к ресурсу.

  4. OpenID-авторизация: при такой авторизации для доступа к определенному ресурсу не требуется ни пароль, ни токен.

Управление контровля так же называют СКУДБ, но что это? Сейчас мы дадим определение и пояснение этой абривиатуре.

Если кратко, то это набор объединенных в единую сеть аппаратно-технических средств, которые позволяют решить очень важные ключевые задачи безопасности:

  1. предотвратить проникновение на частную территорию посторонних лиц, проще говоря взлом пользователя;

  2. организовать учет рабочего времени, фиксацию времени въезда и выезда транспортных средств;

  3. защитить материальные ценности, включая производственное и офисное оборудование, от повреждений и кражи, также от вясих природных аномалий, по типу: шторм, гроза, ураган, цунами, оползень, град, появление шаровых молнить.

Если понимать, из чего состоит СКУД, то в ее работе нет ничего сложного, но все для нормального понмиания и осознания стоит хорошенько разобраться в этой теме. Вне зависимости от конфигурации, в любой системе такого рода есть 4 основных компонента:

  1. Контроллер. Это устройство — «мозг» системы. Именно контроллер хранит информацию обо всех сотрудниках (персональные данные), посетителях и правах доступа, которые есть у каждого из них. Программирование сетевых СКУД осуществляется через компьютер. В автономных системах вместо этого используются отдельные электронные приборы, позволяющие управлять одной или несколькими точками доступа.

  2. Идентификаторы. Представляют собой ключи с уникальным кодом. По пользовательской карточке пропускная система на предприятии определяет, в какие помещения и зоны может войти владелец.

  3. Считыватели. Устанавливаются непосредственно на точках доступа — возле дверей, ворот и т. д. Могут быть контактными или бесконтактными. Ключевые критерии эффективности считывателя — скорость идентификации и передачи данных. Оптимальная высота установки считывателей СКУД — 120 см от пола.

  4. Заграждающие устройства. В зависимости от того, как работает система СКУД, это могут быть турникеты, электроприводные ворота, электромеханические дверные замки. Перед помещениями и сооружениями, где хранится большое количество денег, дорогостоящее оборудование, опасные для жизни вещества и другие ценности, часто устанавливаются блокирующие шлюзовые кабины.

  5. Принцип работы СКУД прост: пользователь (юзер) подносит идентификатор к считывателю. Тот получает код и передает информацию на контроллер, который принимает решение о предоставлении доступа. Если проход разрешен, система посылает сигнал на запирающее устройство, и дверь открывается.

Список литературы:

harb.com www.officemag.ru