Ограничение доступа

Защищать можно не саму информацию, а способ её получения. Например, хранение секретного документа в сейфе – классический способ сохранения конфиденциальности методом ограничения доступа. В информационных системах хранения информации все точно так же – информация хранится в недоступном месте, а доступ предоставляется обладателям «ключей».

В модели систем, разграничивающих доступ, есть понятие «объект» – сама конфиденциальная информация, «субьект» – человек или система, получающая доступ к ней, и «предмет» – это вид доступа. Предметом доступа может быть чтение и изменение информации. В первом случае информация остается в том же виде, что и до факта доступа, во втором – меняется. Удаление, создание – разновидности изменения информации.

Как можно определить человека, имеющего право на доступ к информации в сейфе? Очень просто – у него есть ключ. В информационной системе ключом может быть, например, пароль. Если субъектов доступа много, то кроме пароля используется идентификатор субъекта, некое «имя», позволяющее его определить. А пароль необходим для доказательства, что это именно тот, за кого себя выдает.

После того, как субъекта идентифицировали, происходит авторизация – определение предмета доступа. Можно ли ему только читать или изменять, создавать и удалять информацию?

С помощью пароля можно определить, действительно ли доступ пытается получить обладатель идентификатора. А верификация – это процесс проверки, тот ли человек использует идентификатор и пароль, которому они были предоставлены? Это не-техническая процедура, чаще всего она обозначает визит пользователя с документами, после чего его право на информацию подтверждается юридически.

Избирательное управление доступом¹⁾ производится на основе списков управления доступом²⁾, который для каждой пары «субъект - объект» определяет предмет доступа.

Это разновидность модели DAC, в которой ACL содержит группы объектов и субъектов, для которой определяется предмет доступа. В этой модели для того, чтобы назначить индивидуальный доступ, требуется создание группы для одного объекта.

Роль – это абстрактный субъект доступа, для которого в ACL заданы объекты и предметы. Конкретным субъектам назначают роли (может быть больше одной), а получаемые в результате права вычисляются в процессе авторизации на основе прав, предоставленных в рамках той или иной роли.

Мандатное управление доступом³⁾ определяет предмет доступа субъекта ко всем объектам, имеющий определенную метку. Например, доступ к информации с грифом «секретно» или «для служебного пользования».

Самый простой способ. Информационная система хранит идентификатор субъекта и «ключ», известный одному ему пароль. Время от времени пароль необходимо менять и он должен быть достаточно сложным. Делается это для того, чтобы защититься от атаки полного перебора паролей.

После ввода идентификатора субъекту доставляется одноразовый пароль. Это может быть email- или SMS-сообщение, специальным образом вычисленный с помощью брелка-генератора или программы на мобильном устройстве код. Подобные пароли «живут» от 30 секунд до 5 минут и/или пригодны только для одного входа, после чего становятся бесполезной последовательностью символов.

Биометрическая аутентификация – это аутентификация по отпечатку пальца, голосу, радужной оболочке глаза и так далее.

Многофакторная аутентификация использует одновременно несколько методов. Например, пароль и одноразовый код. Чаще всего придерживаются принципа «что знаешь» (пароль, который нигде не записан) + «что имеешь» (код, полученный при помощи мобильного телефона или брелка генератора).