Isi kandungan:
- Pengenalan dan pengesahan
- Kebenaran
- Jika tiada sesiapa yang sentiasa mengkaji semula log anda dan mereka tidak dikekalkan secara selamat dan konsisten, mereka mungkin tidak boleh diterima sebagai bukti.
- wajib
Video: 3000+ Common English Words with British Pronunciation 2024
Kawalan akses adalah keupayaan untuk membenarkan atau menolak penggunaan objek (entiti pasif, seperti sistem atau fail) subjek (entiti aktif, seperti individu atau proses). Sistem kawalan akses menyediakan tiga perkhidmatan penting:
Pengenalan dan pengesahan (I & A):
- Ini menentukan siapa yang boleh log masuk ke sistem. Kebenaran:
- Ini menentukan apa yang boleh dilakukan oleh pengguna yang dibenarkan.
- Ini mengenal pasti apa yang dilakukan pengguna. Pengenalan dan pengesahan (I & A)
Pengenalan dan pengesahan
(I & A) adalah proses dua langkah yang menentukan siapa yang boleh log masuk ke sistem. Pengenalan
- adalah bagaimana pengguna memberitahu sistem yang dia (misalnya, menggunakan nama pengguna). • Komponen pengenalan sistem kawalan akses biasanya merupakan mekanisme yang relatif mudah berdasarkan sama ada Nama Pengguna atau ID Pengguna.
- • Nama komputer
• Alamat Kawalan Akses Media (MAC)
• Alamat Protokol Internet (IP)
• ID Proses (PID)
Satu-satunya keperluan untuk pengenalan ialah pengenalan
- • Mesti mengenal pasti pengguna secara unik.
• Tidak harus mengenal pasti kedudukan pengguna atau kepentingan relatif dalam organisasi (seperti label seperti
presiden atau CEO ).
root , admin , dan sysadmin . • Akaun sedemikian tidak memberikan akauntabiliti dan sasaran yang berani untuk penggodam.
Pengesahan
- adalah proses mengesahkan identiti pengguna yang diklaim (contohnya, dengan membandingkan kata laluan yang dimasukkan ke kata laluan yang disimpan pada sistem untuk nama pengguna yang diberikan). Pengesahan adalah berdasarkan sekurang-kurangnya salah satu daripada tiga faktor berikut: •
Sesuatu yang anda tahu, seperti kata laluan atau nombor pengenalan peribadi (PIN). Ini mengandaikan bahawa hanya pemilik akaun yang mengetahui kata laluan atau PIN yang diperlukan untuk mengakses akaun tersebut. Malangnya, kata laluan sering dikongsi, dicuri, atau ditebak. •
Sesuatu yang anda miliki, seperti kad pintar atau token. Ini mengandaikan bahawa hanya pemilik akaun mempunyai kad pintar atau token yang diperlukan untuk membuka kunci akaun. • Malangnya, kad pintar atau token boleh hilang, dicuri, dipinjam atau diduplikasi.
•
Sesuatu yang anda, seperti ciri cap jari, suara, retina, atau iris.Ini mengandaikan bahawa jari atau bola mata yang melekat pada badan anda sebenarnya adalah milik anda dan unik mengenal pasti anda. • Kekurangan utama adalah penerimaan pengguna - ramai yang tidak selesa menggunakan sistem ini.
Kebenaran
Kebenaran
(atau penubuhan ) mentakrifkan hak dan keizinan pengguna pada sistem. Selepas pengguna (atau proses) disahkan, kebenaran menentukan pengguna yang boleh dilakukan pada sistem. Sistem operasi paling moden menentukan set kebenaran yang variasi atau sambungan tiga jenis akses asas:
Baca (R):
- Pengguna boleh • Membaca kandungan fail
• Direktori senarai kandungan
Tulis (W):
- Pengguna boleh menukar kandungan fail atau direktori dengan tugas-tugas ini: • Tambah
> • Namakan semula
Execute (X):
Jika fail itu merupakan program, pengguna boleh menjalankan program tersebut.
Hak dan keizinan ini dilaksanakan secara berbeza dalam sistem berdasarkan kawalan akses discretionary
- dan kawalan akses mandatori
(MAC). Akauntabiliti Akauntabiliti menggunakan komponen sistem tersebut sebagai jejak audit (rekod) dan log untuk mengaitkan pengguna dengan tindakannya. Laluan audit dan log penting untuk Mengesan pelanggaran keselamatan Mencipta semula insiden keselamatan
Jika tiada sesiapa yang sentiasa mengkaji semula log anda dan mereka tidak dikekalkan secara selamat dan konsisten, mereka mungkin tidak boleh diterima sebagai bukti.
Banyak sistem boleh menghasilkan laporan automatik berdasarkan kriteria atau ambang yang telah ditetapkan sebelumnya, yang dikenali sebagai tahap
- clipping
- . Sebagai contoh, peringkat keratan mungkin ditetapkan untuk menghasilkan laporan untuk yang berikut:
Lebih daripada tiga percubaan log masuk gagal dalam tempoh tertentu
Sebarang percubaan untuk menggunakan akaun pengguna yang dilumpuhkan Laporan-laporan ini membantu pentadbir sistem atau pentadbir keselamatan lebih mudah mengenal pasti kemungkinan percubaan. Teknik kawalan akses
- Teknik kawalan akses secara umumnya dikategorikan sebagai
- budi bicara
atau
wajib
. Memahami perbezaan antara kawalan akses budi bicara (DAC) dan kawalan akses mandatori (MAC), serta kaedah kawalan akses khusus di bawah setiap kategori, adalah penting untuk lulus peperiksaan Security +. Kawalan akses diskretionary D kawalan akses iskretionary (DAC) adalah dasar akses yang ditentukan oleh pemilik fail (atau sumber lain). Pemilik memutuskan siapa yang dibenarkan masuk ke fail dan keistimewaan apa yang mereka ada.
Dua konsep penting dalam DAC ialah
Pemilikan fail dan data: Setiap objek dalam sistem mesti mempunyai pemilik. Dasar akses ditentukan oleh pemilik sumber (termasuk fail, direktori, data, sumber sistem dan peranti). Secara teorinya, objek tanpa pemilik dibiarkan tanpa perlindungan. Biasanya, pemilik sumber adalah orang yang membuat sumber (seperti fail atau direktori).
Hak akses dan keizinan:
- Ini adalah kawalan yang dapat diberikan oleh pemilik kepada pengguna atau kumpulan individu untuk sumber tertentu. Kawalan capaian budi bicara boleh diterapkan melalui teknik berikut: Senarai kawalan akses
- (ACLs) menamakan hak dan kebenaran khusus yang diberikan kepada subjek untuk objek tertentu. Senarai kawalan akses menyediakan kaedah yang fleksibel untuk menggunakan kawalan akses budi bicara. Kawalan akses berasaskan peranan
memberikan keahlian kumpulan berdasarkan peranan organisasi atau fungsi. Strategi ini sangat memudahkan pengurusan hak akses dan keizinan:
- • Hak akses dan keizinan untuk objek diberikan kepada mana-mana kumpulan atau, sebagai tambahan kepada individu. • Individu mungkin tergolong dalam satu atau banyak kumpulan. Individu boleh ditetapkan untuk mendapatkan keizinan
- kumulatif (setiap kebenaran daripada
mana-mana
kumpulan mereka) atau hilang kelayakan daripada mana-mana kebenaran yang bukan sebahagian daripada setiap berada di Kawalan akses mandatori Kawalan akses mandatori (MAC) adalah dasar akses yang ditentukan oleh sistem, bukan pemiliknya. MAC digunakan dalam sistem pelbagai peringkat yang memproses data yang sangat sensitif, seperti maklumat rahsia kerajaan dan ketenteraan. Sistem
multilevel
adalah satu sistem komputer tunggal yang mengendalikan pelbagai tahap klasifikasi antara subjek dan objek. Dua konsep penting dalam MAC adalah seperti berikut: Label kepekaan: Dalam sistem berasaskan MAC, semua subjek dan objek mesti mempunyai label
diberikan kepada mereka.
- Label kepekaan subjek menentukan tahap kepercayaannya. Label kepekaan objek menentukan tahap kepercayaan yang diperlukan untuk akses. Untuk mengakses objek tertentu, subjek mesti mempunyai tahap kepekaan sama atau lebih tinggi daripada objek yang diminta. Import dan eksport data: Mengendalikan import maklumat dari sistem lain dan eksport ke sistem lain (termasuk pencetak) adalah fungsi kritikal sistem berasaskan MAC, yang mesti memastikan label kepekaan diselenggarakan dengan baik dan dilaksanakan maklumat sensitif itu dilindungi dengan sewajarnya setiap masa. Dua kaedah yang biasa digunakan untuk memohon kawalan akses mandatori:Kawalan akses berasaskan peraturan:
- Kawalan jenis ini selanjutnya mentakrifkan syarat khusus untuk mengakses objek yang diminta. Semua sistem berasaskan MAC melaksanakan kawalan akses berasaskan kaedah yang mudah untuk menentukan sama ada akses harus diberikan atau ditolak dengan menyamai
• Label kepekaan objek
- • Label kepekaan subjek Kekisi- kawalan akses berdasarkan: Thesecan digunakan untuk keputusan kawalan akses kompleks yang melibatkan pelbagai objek dan / atau subjek.
A
model kisi
- adalah struktur matematik yang mendefinisikan dan paling kurang terikat nilai bagi sepasang unsur, seperti subjek dan objek.
