Inhoudsopgave:
Video: Informatiebeveiliging 2024
Toegangsbeheer is de mogelijkheid om het gebruik van een object (een passieve entiteit, zoals een systeem of bestand) door een toe te staan of te weigeren subject (een actieve entiteit, zoals een persoon of proces).
Toegangscontrolesystemen bieden drie essentiële services:
- Identificatie en authenticatie (I & A): Deze bepalen wie kan inloggen op een systeem.
- Autorisatie: Dit bepaalt wat een geautoriseerde gebruiker kan doen.
- Verantwoording: Dit geeft aan wat een gebruiker deed.
Identificatie en authenticatie (I & A)
Identificatie en authenticatie (I & A) is een proces in twee stappen dat bepaalt wie zich op een systeem kan aanmelden.
- Identificatie is de manier waarop een gebruiker een systeem vertelt wie hij of zij is (bijvoorbeeld door een gebruikersnaam te gebruiken).
• De identificatiecomponent van een toegangscontrolesysteem is normaal gesproken een relatief eenvoudig mechanisme gebaseerd op gebruikersnaam of gebruikers-ID.
- In het geval van een systeem of proces is de identificatie meestal gebaseerd op
• Computernaam
• Media Access Control (MAC) -adres
• Internet Protocol (IP) adres
• Proces-ID (PID)
- De enige vereisten voor identificatie zijn dat de identificatie
• De gebruiker eenduidig moet identificeren.
• Moet de positie of het relatieve belang van die gebruiker in een organisatie niet identificeren (zoals labels als president of CEO ).
• Moet voorkomen dat u gewone of gedeelde gebruikersaccounts gebruikt, zoals root , admin en sysadmin .
• Dergelijke accounts bieden geen verantwoording en zijn sappige doelen voor hackers.
- Verificatie is het proces voor het verifiëren van de geclaimde identiteit van een gebruiker (bijvoorbeeld door een ingevoerd wachtwoord te vergelijken met het wachtwoord dat op een systeem voor een bepaalde gebruikersnaam is opgeslagen). Verificatie is gebaseerd op ten minste een van deze drie factoren:
• Iets dat u weet, zoals een wachtwoord of een persoonlijk identificatienummer (PIN). Hierbij wordt ervan uitgegaan dat alleen de eigenaar van het account het wachtwoord of de pincode kent die nodig is om toegang te krijgen tot het account. Helaas worden wachtwoorden vaak gedeeld, gestolen of geraden.
• Iets dat u hebt, zoals een smartcard of token. Hierbij wordt ervan uitgegaan dat alleen de eigenaar van het account de benodigde smartcard of token nodig heeft om het account te ontgrendelen.
• Helaas kunnen smartcards of tokens verloren gaan, worden gestolen, geleend of gedupliceerd.
• Iets dat u bent, zoals kenmerken van de vingerafdruk, spraak, netvlies of iris.Dit gaat ervan uit dat de vinger of oogbol die aan uw lichaam is bevestigd, van u is en u op unieke wijze identificeert.
• Het grootste nadeel is de acceptatie door de gebruiker - veel mensen voelen zich niet op hun gemak bij het gebruik van deze systemen.
Autorisatie
Autorisatie (of instelling ) definieert de rechten en machtigingen van een gebruiker voor een systeem. Nadat een gebruiker (of proces) is geverifieerd, bepaalt de autorisatie wat die gebruiker op het systeem kan doen.
De meeste moderne besturingssystemen definiëren reeksen machtigingen die variaties of uitbreidingen zijn van drie basistypen toegang:
- Lezen (R): De gebruiker kan
• Lezen van bestandsinhoud
• Lijst met lijsten content
- Write (W): De gebruiker kan de inhoud van een bestand of directory wijzigen met deze taken: • Add
• Create
• Delete > • Rename
Execute (X):
Als het bestand een programma is, kan de gebruiker het programma uitvoeren.
- Deze rechten en machtigingen worden op verschillende manieren geïmplementeerd in systemen die zijn gebaseerd op discretionaire toegangscontrole (
DAC) en verplichte toegangscontrole (MAC). Accountability Accountability gebruikt systeemcomponenten als audit trails (records) en logboeken om een gebruiker aan zijn acties te koppelen. Auditsporen en logboeken zijn belangrijk voor
Beveiligingsschendingen detecteren
Beveiligingsincidenten opnieuw maken
- Als niemand regelmatig uw logbestanden controleert en deze niet op een veilige en consistente manier worden onderhouden, zijn ze mogelijk niet toelaatbaar als bewijs.
- Veel systemen kunnen geautomatiseerde rapporten genereren op basis van bepaalde vooraf gedefinieerde criteria of drempels, gekend als
knipwaarden
. Een afkapniveau kan bijvoorbeeld worden ingesteld om een rapport te genereren voor het volgende: Meer dan drie mislukte aanmeldingspogingen in een bepaalde periode Elke poging om een uitgeschakeld gebruikersaccount te gebruiken
- Deze rapporten helpen een systeembeheerder of de beveiligingsbeheerder kan gemakkelijker inbraakpogingen identificeren.
- Toegangsbeheertechnieken
Toegangscontroletechnieken worden over het algemeen geclassificeerd als
vrijblijvend
of verplicht . Het begrijpen van de verschillen tussen discretionair toegangsbeheer (DAC) en verplichte toegangscontrole (MAC), evenals specifieke toegangscontrolemethodes onder elke categorie, is van cruciaal belang voor het behalen van het Security + -examen. Discretionaire toegangscontrole D
iscretionaire toegangscontrole
(DAC) is een toegangsbeleid dat wordt bepaald door de eigenaar van een bestand (of andere bron). De eigenaar beslist wie toegang heeft tot het bestand en welke rechten hij heeft. Twee belangrijke concepten in DAC zijn Eigendom van bestanden en gegevens:
Elk object in een systeem moet een eigenaar hebben. Het toegangsbeleid wordt bepaald door de eigenaar van de bron (inclusief bestanden, mappen, gegevens, systeembronnen en apparaten). Theoretisch wordt een object zonder eigenaar onbeschermd gelaten.
- Normaal gesproken is de eigenaar van een resource de persoon die de resource heeft gemaakt (zoals een bestand of map). Toegangsrechten en machtigingen: Dit zijn de besturingselementen die een eigenaar kan toewijzen aan individuele gebruikers of groepen voor specifieke bronnen.
- Discretionaire toegangscontroles kunnen via de volgende technieken worden toegepast: Toegangsbeheerlijsten
(ACL's) geven de specifieke rechten en machtigingen op die aan een onderwerp voor een bepaald object zijn toegewezen. Toegangscontrolelijsten bieden een flexibele methode voor het toepassen van discretionaire toegangscontroles.
- Rolgebaseerd toegangsbeheer wijst groepslidmaatschap toe op basis van organisatorische of functionele rollen. Deze strategie vereenvoudigt het beheer van toegangsrechten en machtigingen aanzienlijk:
- • Toegangsrechten en machtigingen voor objecten worden toegewezen aan elke groep of, naast, individuen. • Personen kunnen tot een of meerdere groepen behoren. Individuen kunnen worden aangewezen om
cumulatieve
-machtigingen te verkrijgen (elke machtiging van elke -groep waarin ze zich bevinden) of gediskwalificeerd zijn van elke machtiging die geen deel uitmaakt van elke -groep are in. Verplicht toegangsbeheer Verplicht toegangsbeheer (MAC) is een toegangsbeleid bepaald door het systeem, niet door de eigenaar. MAC wordt gebruikt in
multiniveau-systemen
die zeer gevoelige gegevens verwerken, zoals gerubriceerde overheidsinformatie en militaire informatie. Een multiniveau-systeem is een enkel computersysteem dat meerdere classificatieniveaus tussen onderwerpen en objecten verwerkt. Twee belangrijke concepten in MAC zijn de volgende: Gevoeligheidslabels:
In een op MAC gebaseerd systeem moeten aan alle onderwerpen en objecten
- labels zijn toegewezen. Het gevoeligheidslabel van een onderwerp geeft het vertrouwensniveau aan. Het gevoeligheidslabel van een object geeft het vertrouwensniveau aan dat vereist is voor toegang. Om toegang te krijgen tot een bepaald object, moet het onderwerp een gevoeligheidsniveau hebben gelijk aan of hoger dan het gevraagde object. Gegevensimport en -export:Het regelen van het importeren van informatie van andere systemen en exporteren naar andere systemen (inclusief printers) is een kritieke functie van op MAC gebaseerde systemen, die ervoor moeten zorgen dat gevoeligheidslabels op de juiste manier worden onderhouden en geïmplementeerd dat gevoelige informatie te allen tijde op passende wijze wordt beschermd.
- Vaak worden twee methoden gebruikt voor het toepassen van verplichte toegangscontrole: Regelgebaseerde toegangscontroles:
Dit type besturingselement definieert verder specifieke voorwaarden voor toegang tot een aangevraagd object.
- Alle op MAC gebaseerde systemen implementeren een eenvoudige vorm van op regels gebaseerde toegangscontrole om te bepalen of toegang moet worden verleend of geweigerd door overeen te laten komen • Het gevoeligheidslabel van een object • Het gevoeligheidslabel van een onderwerp
Rooster- op basis van toegangscontrole:
Deze kan worden gebruikt voor complexe beslissingen over toegangsbeheer met meerdere objecten en / of onderwerpen.
- Een roostermodel is een wiskundige structuur die grootste ondergrens en minst bovenliggende -waarden definieert voor een paar elementen, zoals een onderwerp en een object.