Exploration de contrôle d'accès pour la sécurité + certification
Contrôle d'accès
Sommaire
Systèmes de contrôle d'accès offrent trois services essentiels:
- L'identification et l'authentification (IA): Ceux-ci déterminent qui peut se connecter à un système.
- Autorisation: Cela détermine quel utilisateur autorisé peut faire.
- Responsabilité: Cela identifie ce que l'utilisateur a fait.
Identification et authentification (IA)
Identification et d'authentification (IA) est un processus en deux étapes qui détermine qui peut se connecter à un système.
- Identification est de savoir comment un utilisateur dit un système qui il ou elle est (par exemple, en utilisant un nom d'utilisateur).
# 8226- Le composant d'identification d'un système de contrôle d'accès est normalement un mécanisme relativement simple basé sur soit Nom d'utilisateur ou ID de l'utilisateur.
- Dans le cas d'un système ou d'un procédé, l'identification est généralement basée sur
# 8226- Nom de l'ordinateur
# 8226- Media Access Control (MAC)
# 8226- protocole Internet (adresse IP)
# 8226- ID de processus (PID)
- Les seules exigences pour l'identification sont que l'identification
# 8226- doit identifier de manière unique l'utilisateur.
# 8226- devrait pas identifier la position de l'utilisateur ou l'importance relative dans une organisation (comme des labels comme président ou PDG).
# 8226- devraient éviter d'utiliser des comptes d'utilisateurs communs ou partagés, tels que racine, administrateur, et sysadmin.
# 8226- Ces comptes ne fournissent aucune responsabilité et sont des cibles juteuses pour les pirates.
- Authentification est le processus de vérification de l'identité revendiquée par un utilisateur (par exemple, en comparant un mot de passe saisi au mot de passe stocké sur un système pour un utilisateur donné).
- L'authentification est basée sur au moins une de ces trois facteurs:
# 8226- Quelque chose que vous savez, tel qu'un mot de passe ou un numéro d'identification personnel (PIN). Cela suppose que seul le propriétaire du compte connaît le mot de passe ou code PIN nécessaire pour accéder au compte. Malheureusement, les mots de passe sont souvent partagés, volés ou devinés.
# 8226- Quelque chose que vous avez,comme une carte à puce ou un jeton. Cela suppose que seul le titulaire du compte a la carte à puce ou un jeton nécessaire nécessaire pour déverrouiller le compte.
# 8226- Malheureusement, les cartes à puce ou des jetons peut être perdu, volé, emprunté, ou dupliquée.
# 8226- Quelque chose que vous êtes,tels que les empreintes digitales, la voix, la rétine, ou les caractéristiques de l'iris. Cela suppose que le doigt ou le globe oculaire attaché à votre corps est bien le vôtre et vous identifie de manière unique.
# 8226- L'inconvénient majeur est l'acceptation de l'utilisateur - beaucoup de gens sont mal à l'aise sur l'utilisation de ces systèmes.
Autorisation
Autorisation (ou établissement) Définit les droits et les autorisations d'un utilisateur sur un système. Après un utilisateur (ou processus) est authentifié, l'autorisation détermine ce que l'utilisateur peut faire sur le système.
La plupart des systèmes d'exploitation modernes définissent des ensembles de permissions qui sont des variations ou des extensions de trois types de base de l'accès:
- Lire (R): L'utilisateur peut
# 8226- lire le contenu de fichiers
# 8226- LISTE Annuaire contenu
- Écrire (W): L'utilisateur peut changement le contenu d'un fichier ou un répertoire avec les tâches suivantes:
# 8226- Ajouter
# 8226- Créer
# 8226- Supprimer
# 8226- Renommer
- Execute (X): Si le fichier est un programme, l'utilisateur peut exécuter le programme.
Ces droits et permissions sont appliquées différemment dans les systèmes basés sur contrôle d'accès discrétionnaire (DAC) et contrôle d'accès obligatoire (MAC).
Responsabilité
Responsabilité utilise ces composants du système que des pistes de vérification (enregistrements) et les journaux d'associer un utilisateur avec ses actions. Les pistes de vérification et les journaux sont importants pour
- Détecter les violations de sécurité
- Re-création des incidents de sécurité
Si personne ne revoit régulièrement vos journaux et ils ne sont pas entretenus de manière sécurisée et cohérente, ils peuvent ne pas être admissible en preuve.
De nombreux systèmes peuvent générer des rapports automatisés sur la base de certains critères ou des seuils prédéfinis, connus sous le nom les niveaux d'écrêtage. Par exemple, un niveau d'écrêtage peut être réglé pour générer un rapport de ce qui suit:
- Plus de trois tentatives de connexion infructueuses dans une période donnée
- Toute tentative d'utiliser un compte d'utilisateur désactivé
Ces rapports permettent à un administrateur système ou l'administrateur de sécurité d'identifier plus facilement les tentatives d'effraction possibles.
Techniques de contrôle d'accès
Techniques de contrôle d'accès sont généralement classés en deux catégories discrétionnaire ou obligatoire. Comprendre les différences entre le contrôle d'accès discrétionnaire (DAC) et le contrôle d'accès obligatoire (MAC), ainsi que des méthodes de contrôle d'accès spécifiques dans chaque catégorie, est essentiel pour passer l'examen de sécurité +.
Contrôle d'accès discrétionnaire
récontrôle d'accès iscretionary (DAC) est une politique d'accès déterminé par le propriétaire d'un fichier (ou d'autres ressources). Le propriétaire décide qui est autorisé à accéder au fichier et les privilèges qu'ils ont.
Deux concepts importants dans DAC sont
- Fichiers et données de propriété: Chaque objet dans un système doit avoir un propriétaire. La politique d'accès est déterminé par le propriétaire de la ressource (y compris les fichiers, les répertoires, les données, les ressources système et les périphériques). Théoriquement, un objet sans propriétaire est laissé sans protection.
- Normalement, le propriétaire d'une ressource est la personne qui a créé la ressource (tel qu'un fichier ou un répertoire).
- Droits et autorisations d'accès: Ce sont les contrôles que le propriétaire peut attribuer à des utilisateurs individuels ou des groupes pour des ressources spécifiques.
Contrôles d'accès discrétionnaires peuvent être appliqués par les techniques suivantes:
- Listes de contrôle d'accès (ACL) nommer les droits et les autorisations spécifiques qui sont affectés à un sujet pour un objet donné. Listes de contrôle d'accès fournissent une méthode souple pour appliquer des contrôles d'accès discrétionnaires.
- Contrôle d'accès basé sur les rôles attribue l'appartenance de groupe basée sur les rôles organisationnels ou fonctionnels. Cette stratégie simplifie grandement la gestion des droits d'accès et les autorisations:
# 8226- Les droits d'accès et les autorisations pour les objets sont affectés tout groupe ou, en plus, les individus.
# 8226- Les individus peuvent appartenir à un ou plusieurs groupes. Les particuliers peuvent être désignés d'acquérir accumulé autorisations (autorisations de tous les quelconque ils sont en groupe) ou disqualifié de toute autorisation qui ne fait pas partie de chaque ils sont en groupe.
Contrôle d'accès obligatoire
Contrôle d'accès obligatoire (MAC) est une politique d'accès déterminé par le système, pas le propriétaire. MAC est utilisé dans systèmes multi-niveaux qui traitent des données hautement sensibles, tels que le gouvernement et les informations classifiées militaire. UN système à plusieurs niveaux est un système d'ordinateur unique qui gère plusieurs niveaux de classification entre sujets et objets.
Deux concepts importants dans MAC sont les suivantes:
- Des étiquettes de sensibilité: Dans un système basé sur MAC, tous les sujets et les objets doivent avoir étiquettes qui leur est assigné.
- L'étiquette de la sensibilité d'un sujet indique son niveau de confiance. L'étiquette de la sensibilité d'un objet spécifie le niveau de confiance nécessaire pour l'accès.
- Pour accéder à un objet donné, le sujet doit avoir un niveau de sensibilité égale ou supérieure à l'objet demandé.
- Import et export de données: Contrôle de l'importation des informations provenant d'autres systèmes et l'exportation vers d'autres systèmes (y compris les imprimantes) est une fonction essentielle des systèmes basés sur MAC, qui doit veiller à ce que les étiquettes de sensibilité sont correctement entretenus et mis en œuvre afin que les informations sensibles est convenablement protégée à tout moment.
Deux méthodes sont couramment utilisées pour l'application de contrôle d'accès obligatoire:
- Les contrôles d'accès à base de règles:Ce type de contrôle définit en outre les conditions spécifiques d'accès à un objet demandé.
- Tous les systèmes basés sur MAC mettre en œuvre une forme simple de contrôle d'accès à base de règles pour déterminer si l'accès doit être accordé ou refusé par correspondance
# 8226- étiquette de sensibilité est un objet
# 8226- étiquette de sensibilité est un sujet
- Contrôles d'accès en treillis reposant sur: Thesecan être utilisé pour les décisions de contrôle d'accès complexes impliquant plusieurs objets et / ou des sujets.
- UN modèle de réseau est une structure mathématique qui définit plus de limite inférieure et moins borne supérieure des valeurs pour une paire d'éléments, comme un sujet et un objet.
-
Les aspects de la gestion de l'identité dans le cloud computing - Assurer la sécurité lors de la gestion des postes de travail dans le cloud computing
- Authentification des utilisateurs d'appareils mobiles de l'entreprise VPN
- Vue d'ensemble de la sécurité de l'appareil mobile de l'intégration politique de vpn
- Contrôle d'accès basé sur les rôles dans nosql
- Notions de base de l'authentification du système d'exploitation utilisateur et dans Oracle 12c
Comment modifier les autorisations d'utilisateurs et de groupes dans le partage de fichiers le volet os x lion Après avoir créé un dossier de point de partage ou conduisez dans Lion Server, vous pouvez utiliser le volet de partage de fichiers dans l'application de serveur pour modifier les autorisations pour un point de partage, un utilisateur ou un…
Autorisations de liste de contrôle d'accès du serveur de Lion Listes de contrôle d'accès (ACL) dans Lion Server fournissent des nuances fines de ce que lecture et d'écriture signifie que POSIX fait. Par exemple, vous pouvez définir des autorisations d'écriture pour permettre à un groupe d'éditer des…
Lion listes de contrôle d'accès du serveur Pour tout point dans Lion Server de partage, vous pouvez également créer un liste de contrôle d'accès (ACL) pour définir les permissions. Une ACL est une liste d'utilisateurs et de groupes qui ont accès à un point de partage et les…
Serveur Lion catégories partage de fichiers d'autorisation Dans le partage de fichiers du serveur de Lion, vous définissez les autorisations pour trois catégories d'utilisateurs: Propriétaire, Group, et Autres. Il ya aussi Tout le monde, qui est similaire à d'autres. (Vous pouvez également trouver ces…
Aperçu de l'utilisateur, le groupe et les comptes informatiques dans le serveur de lion Lion Server dispose de trois types de comptes: l'utilisateur, le groupe et les comptes d'ordinateur. Les comptes d'utilisateurs ne sont pas nécessairement personnes- individuels plus d'une personne peut avoir accès à un compte utilisateur…
Règles de préséance dans les structures d'autorisation de fichiers du serveur de lion Si un utilisateur se plaint qu'elle ne peut pas accéder à une certaine action ou enregistrer un fichier, regardez la structure de votre permission Lion Server et l'héritage. Vous pouvez avoir un type d'héritage en prenant de manière inattendue…
Autorisations POSIX standard dans le serveur de lion Parce que Mac OS X (et, par conséquent, Lion Server) a Unix à sa base, les autorisations POSIX sont utilisés sur tous les fichiers et dossiers sur Mac de chaque utilisateur. Permissions POSIX sont les normes qui définissent comment Unix…
Les autorisations de partage de fichiers dans le lion de montagne Quand vous considérez qui peut utiliser les dossiers via le partage de fichiers sur votre Mac sous OS X Mountain Lion, trois types distincts d'utilisateurs existent sur le réseau. Voici une brève introduction aux différents types…
Autorisations et votre MacBook Les fichiers sont partagés dans Mac OS X sur votre MacBook selon un ensemble de règles appelé autorisations, la possession du fichier (généralement la personne qui a enregistré le document la première fois), et un niveau d'accès partagé par…
Comment gérer les autorisations et les groupes SharePoint Online Pour maintenir la sécurité et l'intégrité de votre site SharePoint Online, affecter le bon niveau de l'autorisation ou d'un privilège aux utilisateurs de votre site. Comme meilleure pratique, créer un groupe SharePoint abord, attribuer un…
Comment utiliser des groupes SharePoint SharePoint utilise des groupes pour gérer le processus d'octroi de l'accès de quelqu'un pour le contenu dans un site. Chaque Groupe SharePoint cartes à un ensemble d'autorisations qui définissent les tâches qu'un utilisateur peut effectuer.La…
10 termes de sécurité Linux sachent Comme un utilisateur et l'administrateur Linux, la sécurité informatique est un enjeu essentiel. Dix principaux termes peuvent vous prendre un long chemin vers la maîtrise de votre environnement.3DES: Aussi connu comme Triple Encryption Standard…
Les niveaux d'accès des utilisateurs SQL SQL propose différents niveaux d'accès selon le rôle de l'utilisateur d'assurer la sécurité solide pour votre base de données grâce à un accès limité. SQL fournit un accès contrôlé à ces neuf fonctions base de données de…
Comment changer les permissions de l'utilisateur dans QuickBooks 2011 Après que vous avez mis quelqu'un comme utilisateur de QuickBooks, vous pouvez revenir en arrière et modifier les autorisations d'accès que vous avez attribués à lui. Pour ce faire, sélectionnez Configurer les utilisateurs du menu Société…