Khám phá Kiểm soát Truy cập để Bảo mật + Chứng nhận - Kiểm soát Quyền

Kiểm soát truy cập là khả năng cho phép hoặc từ chối việc sử dụng một đối tượng (một thực thể thụ động, chẳng hạn như một hệ thống hoặc tập tin) bởi chủ đề (một thực thể hoạt động, chẳng hạn như cá nhân hoặc quy trình).

Hệ thống kiểm soát truy cập cung cấp ba dịch vụ thiết yếu:

• Xác định và xác thực (I & A): Xác định ai có thể đăng nhập vào hệ thống.
• Ủy quyền: Điều này xác định những gì một người dùng có thẩm quyền có thể làm.

• Trách nhiệm giải trình: Điều này xác định người sử dụng đã làm gì.

Xác định và xác thực (I & A)

Xác định và xác thực (I & A) là quy trình hai bước xác định ai có thể đăng nhập vào hệ thống.

• Xác định là cách người dùng nói với một hệ thống là người đó (ví dụ bằng cách sử dụng tên người dùng).

• Thành phần nhận dạng của một hệ thống kiểm soát truy cập thường là một cơ chế tương đối đơn giản dựa trên tên người dùng hoặc User ID.

Tên máy tính Địa chỉ MAC (Media Access Control)

Địa chỉ Giao thức Internet (IP)

• Quy trình ID (PID)

Các yêu cầu duy nhất để nhận dạng là nhận dạng

• Phải nhận dạng duy nhất người sử dụng.

• • Không nên xác định vị trí của người dùng hoặc tầm quan trọng tương đối trong một tổ chức (như nhãn hiệu như

chủ tịch

hoặc Giám đốc điều hành ).

• Tránh sử dụng các tài khoản người dùng phổ biến hoặc chia sẻ, chẳng hạn như

root

, admin và sysadmin . • Các tài khoản như vậy không cung cấp trách nhiệm giải trình và là mục tiêu khô ráo của hacker. Xác thực

là quá trình xác minh danh tính được xác nhận quyền truy cập của người dùng (ví dụ bằng cách so sánh mật khẩu đã nhập với mật khẩu được lưu trữ trên hệ thống cho một tên người dùng nhất định).

• Xác thực dựa trên ít nhất một trong ba yếu tố sau: •
Cái gì bạn biết,

chẳng hạn như mật khẩu hoặc số nhận dạng cá nhân (PIN). Điều này giả định rằng chỉ chủ sở hữu tài khoản biết mật khẩu hoặc mã PIN cần thiết để truy cập vào tài khoản. Thật không may, mật khẩu thường được chia sẻ, bị đánh cắp, hoặc đoán. • Một cái gì đó bạn có, chẳng hạn như thẻ thông minh hoặc mã thông báo. Điều này giả định rằng chỉ chủ sở hữu tài khoản mới có thẻ thông minh hoặc mã thông báo cần thiết để mở khóa tài khoản. Thật không may, thẻ thông minh hoặc mã thông báo có thể bị mất, bị đánh cắp, mượn, hoặc nhân đôi. •

Cái gì bạn đang có, chẳng hạn như đặc điểm vân tay, giọng nói, võng mạc hoặc mống mắt.Điều này giả định rằng ngón tay hoặc nhãn cầu gắn vào cơ thể của bạn thực sự là của bạn và xác định duy nhất cho bạn. • Hạn chế chủ yếu là sự chấp nhận của người sử dụng - nhiều người không thoải mái khi sử dụng các hệ thống này. Ủy quyền

Ủy quyền

(hoặc

cơ sở ) xác định quyền và quyền của người dùng trên một hệ thống. Sau khi người dùng (hoặc quá trình) được xác thực, ủy quyền xác định những gì người dùng có thể làm trên hệ thống. Đọc (R): Người dùng có thể

• Đọc nội dung tập tin

• • Danh sách các thư mục Nội dung Viết (W):

Người dùng có thể

thay đổi

• nội dung của một file hoặc thư mục với những nhiệm vụ này: • Thêm • Tạo • Xóa > Renname

Execute (X):

Nếu tệp tin là một chương trình, người dùng có thể chạy chương trình.

Các quyền và quyền này được thực hiện khác nhau trong các hệ thống dựa trên

kiểm soát truy cập tùy ý (

• DAC) và bắt buộc kiểm soát truy cập

(MAC). Trách nhiệm giải trình Trách nhiệm giải trình sử dụng các thành phần hệ thống như các đường dẫn kiểm toán (hồ sơ) và các bản ghi để liên kết người dùng với hành động của mình. Kiểm tra các dấu vết và nhật ký là quan trọng cho Phát hiện các vi phạm bảo mật Tái tạo sự cố bảo mật

Nếu không ai thường xuyên xem lại nhật ký của bạn và chúng không được duy trì một cách an toàn và nhất quán, chúng có thể không được chấp nhận như chứng cớ.

Nhiều hệ thống có thể tạo các báo cáo tự động dựa trên một số tiêu chí hoặc ngưỡng được xác định trước, được gọi là

• mức độ cắt
• . Ví dụ, một mức độ clipping có thể được thiết lập để tạo ra một báo cáo cho những điều sau:

Hơn ba lần đăng nhập thất bại trong một khoảng thời gian nhất định

Bất kỳ cố gắng sử dụng tài khoản người dùng bị vô hiệu Các báo cáo này giúp một quản trị viên hệ thống hoặc quản trị viên an ninh dễ dàng xác định những nỗ lực đột nhập. Kỹ thuật kiểm soát truy cập

• Kỹ thuật kiểm soát truy cập thường được phân loại là
• tùy ý

hoặc

bắt buộc

. Hiểu được sự khác biệt giữa kiểm soát truy cập tùy ý (DAC) và kiểm soát truy cập bắt buộc (MAC), cũng như các phương pháp kiểm soát truy cập cụ thể theo từng loại, rất quan trọng để vượt qua kỳ thi Security +. Kiểm soát truy cập tùy ý D kiểm soát truy cập không xác định (DAC) là chính sách truy cập được xác định bởi chủ sở hữu tệp (hoặc tài nguyên khác). Chủ sở hữu quyết định ai được phép truy cập vào tệp và các đặc quyền mà họ có.

Hai khái niệm quan trọng trong DAC là

Quyền sở hữu tệp và dữ liệu: Mỗi đối tượng trong một hệ thống phải có một chủ sở hữu. Chính sách truy cập được xác định bởi chủ sở hữu tài nguyên (bao gồm tệp, thư mục, dữ liệu, tài nguyên hệ thống và thiết bị). Về mặt lý thuyết, một đối tượng không có chủ sở hữu sẽ không được bảo vệ. Thông thường, chủ sở hữu của tài nguyên là người đã tạo ra tài nguyên (chẳng hạn như tệp hoặc thư mục).

Quyền truy cập và quyền:

• Đây là các kiểm soát mà chủ sở hữu có thể chỉ định cho người dùng cá nhân hoặc nhóm cho các tài nguyên cụ thể. Kiểm soát truy cập tùy ý có thể được áp dụng thông qua các kỹ thuật sau:
Danh sách kiểm soát truy cập
• (ACLs) đặt tên cho các quyền và quyền cụ thể được gán cho một đối tượng cho một đối tượng nhất định. Danh sách kiểm soát truy cập cung cấp một phương pháp linh hoạt để áp dụng kiểm soát truy cập tùy ý. Kiểm soát truy cập dựa trên vai trò

chỉ định thành viên nhóm dựa trên vai trò tổ chức hoặc chức năng. Chiến lược này đơn giản hoá việc quản lý quyền truy cập và quyền truy cập:

• Quyền truy cập và các quyền cho các đối tượng được gán cho bất kỳ nhóm nào hoặc ngoài các cá nhân. • Các cá nhân có thể thuộc một hoặc nhiều nhóm. Các cá nhân có thể được chỉ định để có được giấy phép
• tích lũy (mọi sự cho phép của

bất kỳ

nhóm nào họ có mặt) hoặc bị loại khỏi bất kỳ sự cho phép nào không thuộc mỗi Bắt buộc kiểm soát truy cập Kiểm soát truy cập bắt buộc (MAC) là một chính sách truy cập được xác định bởi hệ thống chứ không phải là chủ sở hữu. MAC được sử dụng trong hệ thống đa cấp xử lý dữ liệu nhạy cảm cao, chẳng hạn như chính phủ phân loại và thông tin quân sự. Hệ thống đa cấp

là một hệ thống máy tính duy nhất xử lý nhiều cấp độ phân loại giữa các đối tượng và vật thể. Hai khái niệm quan trọng trong MAC là: Nhãn nhạy cảm: Trong một hệ thống dựa trên MAC, tất cả các đối tượng và đối tượng phải có nhãn

được gán cho chúng.

• Nhãn nhạy cảm của một đối tượng xác định mức độ tin cậy của đối tượng. Nhãn nhạy cảm của đối tượng xác định mức độ tin cậy cần thiết để truy cập. Để truy cập vào một đối tượng nhất định, đối tượng phải có độ nhạy cảm bằng hoặc cao hơn đối tượng được yêu cầu. Nhập và xuất dữ liệu: Kiểm soát việc nhập thông tin từ các hệ thống khác và xuất khẩu sang các hệ thống khác (kể cả máy in) là một chức năng quan trọng của hệ thống dựa trên MAC, phải đảm bảo rằng các nhãn nhạy cảm được duy trì và thực hiện đúng thông tin nhạy cảm đó luôn được bảo vệ một cách hợp lý.
Hai phương pháp được sử dụng phổ biến để áp dụng kiểm soát truy cập bắt buộc:Các kiểm soát truy cập theo nguyên tắc:
• Loại kiểm soát này định nghĩa thêm các điều kiện cụ thể để truy cập đối tượng được yêu cầu. Tất cả các hệ thống dựa trên MAC thực hiện một hình thức kiểm soát truy cập dựa trên quy tắc đơn giản để xác định xem truy cập phải được cấp hay bị từ chối bằng cách kết hợp

• Nhãn nhạy cảm của đối tượng

• • Nhãn nhạy cảm của đối tượng Lattice- kiểm soát truy cập dựa trên:
Thesecan được sử dụng cho các quyết định kiểm soát truy cập phức tạp liên quan đến nhiều đối tượng và / hoặc đối tượng.

Mô hình mạng

• là cấu trúc toán học xác định giá trị thấp nhất
và giá trị giới hạn thấp nhất> cho một cặp các phần tử, chẳng hạn như một đối tượng và một vật.