Explozugriffskontrolle für Sicherheit + Zertifizierung

Zugangskontrolle

ist die Fähigkeit, die Verwendung eines zu erlauben oder zu verweigern Objekt (A passive Einheit, wie beispielsweise ein System oder eine Datei) durch ein Fach (Eine aktive Einheit, wie beispielsweise eine Einzelperson oder Prozess).

Zutrittskontrollsysteme bieten drei wesentliche Dienste:

  • Identifizierung und Authentifizierung (IA): Diese bestimmen, die zu einem System anmelden können.
  • Genehmigung: Diese legt fest, was ein autorisierter Benutzer tun kann.
  • Rechenschaftspflicht: Dies identifiziert, was ein Benutzer hat.

Identifizierung und Authentifizierung (IA)

Identifizierung und Authentifizierung (IA) ist ein zweistufiger Prozess, die zu einem System anmelden kann, bestimmt.

  • Identifizierung ist, wie ein Benutzer ein System, die er oder sie (beispielsweise durch einen Benutzernamen verwendet) teilt.

# 8226; Die Identifikationskomponente eines Zugangskontrollsystems ist in der Regel ein relativ einfacher Mechanismus entweder Benutzername oder Benutzer-ID basiert.

  • Im Falle eines Systems oder Verfahrens wird Identifizierung der Regel auf

# 8226; Computername

# 8226; Media Access Control (MAC) -Adresse

# 8226; Internet Protocol (IP) -Adresse

# 8226; Prozess-ID (PID)

  • Die einzigen Voraussetzungen für die Identifizierung, dass die Identifizierungs

# 8226; Muss den Benutzer eindeutig identifizieren.

# 8226; Sollte nicht, dass Benutzer die Position oder relative Bedeutung in einer Organisation (wie Etiketten identifizieren wie Präsident oder CEO).

# 8226; Sollte vermeiden Benutzerkonten mit gemeinsamen oder gemeinsam, wie Wurzel, Administrator, und sysadmin.

# 8226; Solche Konten bieten keine Verantwortung und sind saftig Ziele für Hacker.

  • Beglaubigung ist der Prozess eines Benutzers behauptete Identität (auf einem System zum Beispiel gespeichert, um eine eingegebene Passwort, um das Passwort durch einen Vergleich für einen bestimmten Benutzernamen) zu verifizieren.
    • Authentifizierung basiert auf mindestens einer dieser drei Faktoren ab:

# 8226; Etwas, das Sie wissen, wie zum Beispiel ein Passwort oder eine persönliche Identifikationsnummer (PIN). Dies setzt voraus, dass nur der Eigentümer des Kontos kennt das Passwort oder eine PIN benötigt, um das Konto zuzugreifen. Leider sind die Passwörter oft geteilt, gestohlen oder erraten.

# 8226; Etwas, das Sie haben,wie einer Smartcard oder Token. Dies setzt voraus, dass nur der Eigentümer des Kontos hat die notwendige Smartcard oder Token benötigt, um das Konto zu entsperren.

# 8226; Leider kann Smartcards oder Token verloren gehen, gestohlen, geliehen oder vervielfältigt werden.

# 8226; Etwas, das Sie sind,wie Fingerabdruck, Stimme, Netzhaut oder Iris Eigenschaften. Dies setzt voraus, dass der Finger oder Augapfel an Ihrem Körper befestigt ist Ihr tatsächlich und eindeutig identifiziert Sie.

# 8226; Der größte Nachteil ist die Benutzerakzeptanz - viele Menschen über die Verwendung dieser Systeme unruhig sind.

Genehmigung

Genehmigung (oder Einrichtung) Definiert Rechte und Berechtigungen auf einem System eines Benutzers. Nachdem ein Benutzer (oder Prozess) authentifiziert wird, bestimmt, was das Berechtigungs Benutzer des Systems zu tun.

Die meisten modernen Betriebssysteme definieren Sätze von Berechtigungen, die Variationen oder Erweiterungen von drei Grundtypen des Zugangs sind:

  • Lesen (R): Der Benutzer kann

# 8226; Lesen Sie Dateiinhalte

# 8226; Verzeichnisinhalte

  • Schreiben (W): Der Benutzer kann Veränderung der Inhalt einer Datei oder eines Verzeichnisses mit diesen Aufgaben:

# 8226; Hinzufügen

# 8226; Erstellen

# 8226; Löschen

# 8226; Umbenennen

  • Execute (X): Wenn die Datei ein Programm ist, kann der Benutzer das Programm ausführen.

Diese Rechte und Berechtigungen sind unterschiedlich in Systemen implementiert basierend auf Discretionary Access Control (DAC) und obligatorische Zugriffskontrolle (MAC).

Rechenschaftspflicht

Accountability nutzt solche Systemkomponenten wie Audit-Trails (Aufzeichnungen) und Protokolle einen Benutzer mit seinen Aktionen zu verknüpfen. Audit Trails und Protokolle sind wichtig für

  • Erkennen von Sicherheitsverletzungen
  • Re-Erstellung von Sicherheitsvorfällen

Wenn niemand wird regelmäßig Ihre Protokolle zu überprüfen und sie sind nicht in einem sicheren und konsistenten Art und Weise gehalten, können sie nicht als Beweismittel zulässig.

Viele Systeme können automatisierte Berichte erstellen, basierend auf bestimmten vordefinierten Kriterien oder Schwellenwerte, bekannt als Clipping-Ebenen. Zum Beispiel kann ein Clipping-Ebene einen Bericht für die folgenden zu erzeugen gesetzt werden:

  • Mehr als drei fehlgeschlagenen Anmeldeversuche in einem bestimmten Zeitraum
  • Jeder Versuch, einen behinderten Benutzerkonto verwenden

Diese Berichte helfen ein Systemadministrator oder Sicherheitsadministrator leichter möglich Einbruchsversuche zu identifizieren.

Zutrittskontrolltechniken

Zugangskontrolltechniken werden in der Regel entweder als kategorisiert Ermessens- oder zwingend notwendig. Das Verständnis ist es, die Unterschiede zwischen den Discretionary Access Control (DAC) und obligatorische Zugriffskontrolle (MAC) sowie spezifische Zugriffssteuerungsmethoden in jeder Kategorie, entscheidend für die Sicherheit + Prüfung für das Bestehen.

Discretionary Access Control

Discretionary Zugriffskontrolle (DAC) ist eine Zugriffsrichtlinie durch den Eigentümer einer Datei bestimmt (oder eine andere Ressource). Der Eigentümer entscheidet, wer Zugriff auf die Datei erlaubt ist und was Privilegien, die sie haben.

Zwei wichtige Konzepte in DAC sind

  • Datei- und Datenbesitz: Jedes Objekt in einem System muss einen Besitzer haben. Die Zugriffsrichtlinien durch die Besitzer der Ressource (einschließlich Dateien, Verzeichnisse, Daten, Systemressourcen und Geräte) bestimmt. Theoretisch wird ein Objekt ohne Besitzer ungeschützt.
    • Normalerweise ist der Eigentümer einer Ressource die Person, die die Ressource (zB eine Datei oder ein Verzeichnis) erstellt.
  • Zugriffsrechte und Berechtigungen: Dies sind die Steuerelemente, die ein Besitzer einzelnen Benutzern oder Gruppen für bestimmte Ressourcen zuweisen.

Discretionary Access Control kann durch die folgenden Techniken angewendet werden:

  • Zugriffskontrolllisten (ACLs) benennen, die spezifischen Rechte und Berechtigungen, die zu einem Thema für ein bestimmtes Objekt zugeordnet sind. Zugriffssteuerungslisten bieten eine flexible Methode für Discretionary Access Control Anwendung.
  • Die rollenbasierte Zugriffskontrolle ordnet die Gruppenmitgliedschaft auf organisatorische oder funktionalen Rollen basieren. Diese Strategie vereinfacht die Verwaltung von Zugriffsrechten und Berechtigungen:

# 8226; Zugriffsrechte und Berechtigungen für Objekte werden jede Gruppe oder, zusätzlich zu Individuen zugeordnet.

# 8226; Personen können zu einer oder mehreren Gruppen angehören. Einzelpersonen können benannt werden, erwerben kumulativ Berechtigungen (jede Genehmigung von irgendein Gruppe sind sie in) oder von einer Genehmigung disqualifiziert, die nicht Teil von jeden Gruppe sie sind in.

Mandatory Access Control

Mandatory Access Control (MAC) ist eine Zugriffsrichtlinie durch das System bestimmt, nicht der Eigentümer. MAC wird in Multi-Level-Systeme dieser Prozess sehr sensible Daten, wie zum Beispiel klassifiziert Regierung und militärischen Informationen. EIN Multi-Level-System ist ein einzelnes Computersystem, das mehrere Klassifizierungsstufen zwischen Subjekten und Objekten verarbeitet.

Zwei wichtige Konzepte in MAC sind die folgenden:

  • Empfindlichkeit Etiketten: In einer MAC-basierten System, alle Subjekte und Objekte müssen Etiketten die ihnen zugewiesen.
    • Ein Thema der Empfindlichkeit Etikett gibt das Niveau des Vertrauens. AN Empfindlichkeit Etikett des Objekts gibt den Grad des Vertrauens für den Zugang erforderlich. Um ein bestimmtes Objekt zugreifen kann, muss das Subjekt eine Empfindlichkeitsstufe von gleich oder höher als das gewünschte Objekt.
  • Daten Import und Export: Die Steuerung der Import von Daten aus anderen Systemen und den Export in andere Systeme (einschließlich Drucker) ist eine kritische Funktion der MAC-basierte Systeme, die, dass die Empfindlichkeit Etiketten gewährleisten müssen ordnungsgemäß gewartet und implementiert, so dass sensible Informationen in geeigneter Weise zu jeder Zeit geschützt wird.

Zwei Methoden werden für die Anwendung eine obligatorische Zugriffskontrolle häufig verwendet:

  • Die regelbasierte Zugangskontrollen:Diese Art der Steuerung definiert ferner bestimmte Bedingungen für den Zugang zu einem angeforderten Objekt.
    • Alle MAC-basierte Systeme implementieren eine einfache Form von regelbasierten Zugriffskontrolle, um zu bestimmen, ob der Zugriff sollte durch Anpassung gewährt oder verweigert werden

# 8226; AN Empfindlichkeit des Objekts Etikett

# 8226; Ein Thema Empfindlichkeit Etikett

  • Lattice-basierte Zugangskontrollen: Beteiligung mehrerer Objekte und / oder Themen Thesecan für komplexe Zugriffssteuerungsentscheidungen verwendet werden.
    • EIN Gittermodell Struktur ist ein mathematisches, die definiert, größte untere Schranke und dest obere Schranke Werte für ein Paar von Elementen, wie beispielsweise einem Gegenstand und einem Objekt.

Ähnliche

Menü