2.7-jadval Autentifikatsiya usullarining foydalanuvchi uchun implementatsiya qilish qulayligi bo‘yicha qiyosiy tahlili
Foydalanuvchanligi
Narxi
Server muhiti
Klient muhiti
Parollar
3
3
3
3
3-tomon resurslari
3
3
1
3
Grafik parollar
1
3
1
3
Dinamik parollar
2
3
2
2
Tokenlar
1
1
1
2
Ko‘p o‘zgaruvchan parollar
2
2
2
2
Kriptografik parollar
1
1
1
2
Biometrik
1
1
1
1
2.8-jadval Autentifikatsiya usullarining hujumlarga bardoshliligi bo‘yicha qiyosiy tahlili
“Brute-force” hujumi
“Kuzatuv”
Bilvosita xakerlik
Fishing
O‘g‘rilik
Parollar
1
1
1
1
3
3-tomon resurslari
2
2
3
3
3
Grafik parollar
1
1
2
2
3
Dinamik parollar
2
3
2
2
3
Tokenlar
3
3
3
3
2
Ko‘p o‘zgaruvchan parollar
1
1
3
3
2
Kriptografik parollar
3
3
3
3
3
Biometrik
3
3
1
1
3
2.2. Ma’lumotlar manbalariga kirishlarni nazorat qilish usullari qiyosiy tahlili Ushbu bo'lim kirishni boshqarish bo'yicha har qanday model tushunchalarini tushunishning isboti bo'lib xizmat qiladi. Uchta asosiy komponent (mavzu, siyosat va ob'ekt) yordamida uchta foydalanishni boshqarishni joriy qildik. Ushbu so'rov uchun modellar, ular RBAC [12], ABAC [16] va RAdAC [4] kontseptsiyalash va 53 tomoshabinning javobiga asoslangan kuchli va zaif xususiyatlarni taqqoslashga yordam beradi. Bu asosiy printsiplarni, metamodellarni, misollarni tushuntirish orqali muntazam ravishda so'rov sifatida amalga oshirildi. Tomoshabinlar guruhi va u bilan o'zlarining tajribalarini to'plash orqali xulosa qilishdir. Tinglovchilarni tushuntirgan so'rovnoma o'tkazish orqali tanlangan kirishni boshqarish modeli bilan taqqoslash. Kirishni boshqarish modelining uchta asosiy komponenti, ya'ni Subject, Policy va Object.
Ko'pgina kirishni boshqarish modeli mavjud. Biz uchun to'g'ri kirishni boshqarish modelini amalga oshirish tizimlar Birinchidan, uning kuchli va zaif omillarini bilish kerak, shuningdek siyosatni tushunishi kerak. Boshqa model uchun standartlar va agar u mavjud bo'lgan tizim uchun mos bo'lsa amalga oshiriladi. Resursdan samarali va xavfsiz foydalanish uchun shu kunlarda ilm-fan va texnologiyaning rivojlanishi, kirishni boshqarish uchun mos modelni topish oson emas.
Bu asosdagi meta-modellarni, tinglovchilarga va ularning tajribalarini o'rganish orqali kirishni boshqarishning turli modellarining namunalari bu erda u turli xil auditoriyalarning real vaqt tajribasini chiqaradi. Qaysi biri turli xil kirishni boshqarish modellarining kuchli va zaif xususiyatlarini aniqlash uchun mumkin bo'lgan echim.
Agar an'anaviy kirish nazorati bilan taqqoslasak RBAC biz osongina RBAC nazariyasi rivojlangan deb ayta olamiz va o'rnatilgan bo'lib, unga foydalanuvchilar osonlikcha kirishlari mumkin. Faoliyatni tan olish uchun yaratilgan foydalanuvchilar resurslari foydalanuvchi tizimda unga kirishi mumkin.
Rollarga asoslangan kirishni boshqarish (RBAC) shaxsning tashkilot ichidagi roliga qarab tarmoqqa kirishni cheklaydi va kirishni boshqarishni takomillashtirishning asosiy usullaridan biriga aylandi. RBAC-dagi rollar xodimlarning tarmoqqa kirish darajalariga ishora qiladi.
Xodimlarga faqat ish vazifalarini samarali bajarish uchun zarur bo'lgan ma'lumotlarga kirish huquqi beriladi. Kirish vakolat, mas'uliyat va ish malakasi kabi bir necha omillarga asoslangan bo'lishi mumkin. Bundan tashqari, kompyuter resurslariga kirish faylni ko'rish, yaratish yoki o'zgartirish qobiliyati kabi muayyan vazifalar bilan cheklanishi mumkin. Natijada, quyi darajadagi xodimlar o'zlarining vazifalarini bajarish uchun ularga kerak bo'lmasa, odatda, maxfiy ma'lumotlarga kirish huquqiga ega emaslar. Bu sizning ishchilaringiz ko'p bo'lsa va tarmoqqa kirishni diqqat bilan kuzatishni qiyinlashtiradigan uchinchi tomonlar va pudratchilardan foydalansangiz, bu ayniqsa foydalidir. RBAC-dan foydalanish sizning kompaniyangizning maxfiy ma'lumotlarini va muhim dasturlarini xavfsizligini ta'minlashga yordam beradi.
RBAC orqali siz oxirgi foydalanuvchilarning ham keng, ham donador darajadagi ishlarini boshqarishingiz mumkin. Siz foydalanuvchi ma'mur, maxsus foydalanuvchi yoki oxirgi foydalanuvchi bo'ladimi-yo'qligini belgilashingiz, rollar va kirish huquqlarini xodimlaringizning tashkilotdagi pozitsiyalari bilan moslashtira olasiz. Ruxsatnomalar faqat xodimlarning o'z ishlarini bajarishlari uchun zarur bo'lgan miqdorda kirish huquqi bilan ajratiladi.
Agar oxirgi foydalanuvchining ishi o'zgarsa-chi? Siz o'zingizning rolingizni boshqa foydalanuvchiga qo'lda tayinlashingiz kerak bo'lishi mumkin, shuningdek rol guruhiga a'zolarni qo'shish yoki olib tashlash uchun rollar guruhiga rollarni tayinlashingiz yoki rollarni tayinlash siyosatidan foydalanishingiz mumkin.
RBAC vositasidagi ba'zi belgilar quyidagilarni o'z ichiga olishi mumkin:
Boshqaruv rolining doirasi - bu rol guruhini boshqarish uchun ruxsat berilgan ob'ektlarni cheklaydi.
Boshqaruv rollari guruhi - siz a'zolarni qo'shishingiz va olib tashlashingiz mumkin.
Boshqaruv roli - bu muayyan rol guruhi tomonidan bajarilishi mumkin bo'lgan vazifalar turlari.
Boshqaruv rolini tayinlash - bu rolni rol guruhiga bog'laydi. Foydalanuvchini rol guruhiga qo'shish orqali foydalanuvchi ushbu guruhdagi barcha rollarga kirish huquqiga ega. Agar ular olib tashlansa, kirish cheklanadi. Shuningdek, foydalanuvchilar ma'lum ma'lumotlarga yoki dasturlarga vaqtincha kirishga muhtoj bo'lgan taqdirda bir nechta guruhlarga tayinlanishi mumkin va keyin loyiha tugagandan so'ng o'chiriladi.
Foydalanuvchiga kirishning boshqa variantlari quyidagilarni o'z ichiga olishi mumkin:
Boshlang'ich - ma'lum bir hisob yoki rol uchun asosiy kontakt.
Billing - bitta oxirgi foydalanuvchiga hisob-kitob hisobvarag'iga kirish.
Texnik - texnik vazifalarni bajaradigan foydalanuvchilarga beriladi.
Ma'muriy - ma'muriy vazifalarni bajaradigan foydalanuvchilar uchun kirish.
Tarmoqqa kirishni boshqarish va tekshirish axborot xavfsizligi uchun juda muhimdir. Kirish bilish uchun zarur bo'lishi mumkin va berilishi kerak. Yuzlab yoki minglab xodimlar bilan xavfsizlik har qanday foydalanuvchining tashkilotdagi belgilangan rolidan kelib chiqib, maxfiy ma'lumotlarga keraksiz kirishni cheklash orqali osonroq ta'minlanadi. Boshqa afzalliklarga quyidagilar kiradi:
Ma'muriy ishlarni qisqartirish va ITni qo'llab-quvvatlash. RBAC yordamida siz ishchi yollanganda yoki ularning rolini o'zgartirganda hujjatlar va parollarni o'zgartirishga bo'lgan ehtiyojni kamaytira olasiz. Buning o'rniga siz rollarni tezda qo'shish va almashtirish va operatsion tizimlar, platformalar va dasturlar bo'yicha global miqyosda amalga oshirish uchun RBAC-dan foydalanishingiz mumkin. Shuningdek, foydalanuvchi ruxsatlarini tayinlashda xatolik ehtimoli kamayadi. Ma'muriy vazifalarni bajarishga sarflanadigan vaqtni qisqartirish bu RBACning iqtisodiy foydalaridan biridir. RBAC shuningdek, uchinchi tomon foydalanuvchilariga oldindan belgilangan rollarni berish orqali ularni tarmoqqa osonroq qo'shib olishga yordam beradi.
Operatsion samaradorligini maksimal darajada oshirish. RBAC ta'rifi mantiqan soddalashtirilgan yondashuvni taklif etadi. Kirishning quyi darajadagi boshqaruvini boshqarish o'rniga, barcha rollar biznesning tashkiliy tuzilmasiga mos kelishi mumkin va foydalanuvchilar o'z ishlarini yanada samarali va avtonom tarzda bajarishlari mumkin.
Muvofiqlikni takomillashtirish. Barcha tashkilotlar federal, shtat va mahalliy qoidalarga bo'ysunadi. RBAC tizimi mavjud bo'lganda, kompaniyalar maxfiylik va maxfiylik uchun qonuniy va me'yoriy talablarni osonroq qondirishlari mumkin, chunki AT bo'limlari va menejerlari ma'lumotlarga qanday kirish va ulardan foydalanishni boshqarish qobiliyatiga ega. Bu, ayniqsa, PHI va PCI ma'lumotlari kabi juda ko'p ma'lumotlarni boshqaradigan sog'liqni saqlash va moliya institutlari uchun juda muhimdir.
Sizning tashkilotingizda RBACni amalga oshirish juda ko'p o'ylanmasdan amalga oshmasligi kerak. Keraksiz chalkashliklar va ish joyidagi mumkin bo'lgan tirnash xususiyati keltirmasdan jamoani bortga olib chiqish uchun bir qator keng qadamlar mavjud. Avval xaritani tuzish uchun bir nechta narsalar.
Joriy holat: har qanday xavfsizlikka ega bo'lgan har qanday dasturiy ta'minot, apparat va dasturlarning ro'yxatini yarating. Ushbu narsalarning aksariyati uchun bu parol bo'ladi. Shu bilan birga, siz qulflangan va kalit ostida bo'lgan server xonalarini ro'yxatlashni xohlashingiz mumkin. Jismoniy xavfsizlik ma'lumotlar himoyasining muhim qismi bo'lishi mumkin. Shuningdek, ushbu dasturlar va sohalarning barchasiga kimning kirish huquqiga ega bo'lganligini yozing. Bu sizga joriy ma'lumotlar stsenariysini beradi.
Hozirgi rollar: Agar sizda rasmiy ro'yxat va rollar ro'yxati bo'lmasa ham, jamoaning har bir a'zosi nima qilishini aniqlash birozgina muhokama qilishi mumkin. Jamoani ijodkorlik va hozirgi madaniyatni bo'g'ib qo'ymaydigan qilib tashkil etishga harakat qiling (agar u yoqsa).
Siyosat yozing: Har qanday o'zgartirishlar hozirgi va kelajakdagi barcha xodimlar ko'rishlari uchun yozilishi kerak. RBAC vositasidan foydalangan holda ham, yangi tizimingizni aniq bayon etgan hujjat yuzaga kelishi mumkin bo'lgan muammolardan qochishga yordam beradi.
O'zgarishlarni amalga oshiring: joriy xavfsizlik holati va rollari tushunilgandan so'ng (siyosat haqida yozmaslik kerak), o'zgarishlarni kiritish vaqti keldi.
Doimiy ravishda moslashish: Ehtimol, RBAC-ning birinchi takrorlanishi biroz o'zgartirishni talab qiladi. Erta, siz o'zingizning rollaringiz va xavfsizlik holatingizni tez-tez baholashingiz kerak. Birinchidan, ijodiy / ishlab chiqarish jarayoni qanchalik yaxshi ishlashini, ikkinchidan, sizning jarayoningiz qanchalik xavfsiz bo'lishini baholang.
Har qanday tashkilotning asosiy biznes vazifasi ma'lumotlarni himoya qilishdir. RBAC tizimi kompaniyaning ma'lumotlarini maxfiylik va maxfiylik qoidalariga muvofiqligini ta'minlashi mumkin. Bundan tashqari, u biznesga raqobatbardosh nuqtai nazardan ta'sir ko'rsatadigan asosiy biznes jarayonlarini, shu jumladan IP-ga kirishni ta'minlashi mumkin [12-rasm].
Atributlarga asoslangan kirishni boshqarish (ABAC) - bu ruxsatni aniqlash uchun rollarni emas, balki atributlarni (yoki xususiyatlarni) baholaydigan avtorizatsiya modeli. ABAC-ning maqsadi ma'lumotlar, tarmoq qurilmalari va IT-resurslar kabi ob'ektlarni ruxsatsiz foydalanuvchilar va harakatlardan himoya qilishdir - bu tashkilotning xavfsizlik siyosati bilan belgilanadigan "tasdiqlangan" xususiyatlarga ega emas.
2.1-rasm. Rollarga asoslangan kirishni boshqarish modelining sxemasi
ABAC so'nggi o'n yil ichida kirishni mantiqiy boshqarish shakli sifatida tanilgan bo'lib, u oddiy kirishni boshqarish ro'yxatlaridan va rollarga asoslangan kirishni boshqarish (RBAC) dan rivojlandi. Federal tashkilotlarga kirishni boshqarish me'morchiligini takomillashtirishga yordam berish tashabbusi doirasida Federal Axborot Ofitserlari Kengashi 2011 yilda ABACni ma'qulladi. Ular ABACni tashkilotlarga ma'lumotni xavfsiz almashish uchun qabul qilish modelini tavsiya qildilar.
ABAC bilan tashkilotning kirish siyosati kirish hodisasida ishtirok etgan mavzu, resurs, harakat va atrof-muhitning atributlariga asoslangan holda kirish to'g'risida qarorlarni amalga oshiradi.
Mavzu - bu harakatni amalga oshirish uchun resursga kirishni so'ragan foydalanuvchi. Foydalanuvchi profilidagi mavzu atributlariga ID, ishdagi rollar, guruhga a'zolik, idoraviy va tashkiliy a'zolar, boshqaruv darajasi, xavfsizlikni tozalash va boshqa identifikatsiya mezonlari kiradi. ABAC tizimlari ko'pincha bu ma'lumotlarni kadrlar tizimi yoki katalogidan oladi yoki boshqa usul bilan tizimga kirish paytida foydalanilgan autentifikatsiya belgilaridan yig'adi.
Resurs - bu sub'ekt foydalanmoqchi bo'lgan aktiv yoki ob'ekt (masalan, fayl, dastur, server yoki hatto API). Resurs atributlari - bu faylni yaratish sanasi, egasi, fayl nomi va turi va ma'lumotlarning sezgirligi kabi aniqlovchi xususiyatlar. Masalan, sizning onlayn bank hisob raqamingizga kirishga urinishda manba "bank hisob raqami = " bo'lishi mumkin.
Amal - bu foydalanuvchi resurs bilan nima qilishga harakat qilmoqda. Umumiy harakat atributlariga "o'qish", "yozish", "tahrirlash", "nusxalash" va "o'chirish" kiradi. Ba'zi hollarda, bir nechta atributlar harakatni tavsiflashi mumkin. Onlayn bank misolida davom ettirish uchun pul o'tkazmasini talab qilish "harakat turi = pul o'tkazish" va "summa = 200 dollar" xususiyatlariga ega bo'lishi mumkin.
Atrof-muhit har bir kirish so'rovining keng doirasi. Barcha atrof-muhit atributlari kirish urinishining vaqti va joylashuvi, mavzu qurilmasi, aloqa protokoli va shifrlash kuchi kabi kontekstli omillar haqida gapiradi. Kontekstli ma'lumot, shuningdek, tashkilot tomonidan tasdiqlangan autentifikatsiya kuchi va sub'ektning odatdagi xatti-harakatlari kabi xavf signallarini o'z ichiga olishi mumkin.
Xususiyatlar - bu kirish hodisasida ishtirok etadigan komponentning xususiyatlari yoki qiymatlari. Xususiyatlarga asoslangan kirishni boshqarish ushbu komponentlarning atributlarini qoidalarga muvofiq tahlil qiladi. Ushbu qoidalar sub'ekt ob'ekt bilan harakatni muvaffaqiyatli bajarishi uchun qaysi atribut kombinatsiyalariga ruxsat berilganligini aniqlaydi.
Atributlarning atrof muhitda o'zaro ta'siriga qarab har bir ABAC echimi ularni atrof-muhit doirasida baholashi, qoidalar va munosabatlarni amalga oshirishi mumkin. Siyosatlarda kirishning qaysi shartlariga ruxsat berilgan yoki berilmaganligini aniqlash uchun xususiyatlar hisobga olinadi.
Masalan, quyidagi siyosat mavjud deylik: "Agar mavzu aloqa sohasida ish olib boradigan bo'lsa, ular ular vakili bo'lgan biznes bo'limlari uchun media-strategiyalarga kirishni o'qishlari va tahrir qilishlari kerak edi."
Kirish so'rovi har doim sodir bo'lganda, ABAC tizimi o'rnatilgan qoidalar bilan mos kelish uchun atribut qiymatlarini tahlil qiladi. Yuqoridagi siyosat amal qilgan ekan, quyidagi atributlarga ega bo'lgan kirish so'rovi ruxsat berishi kerak:
Mavzuning "ish o'rni" = "aloqa"
Mavzuning "biznes bo'limi" = "marketing"
Action = "tahrirlash"
Resurs "turi" = "media strategiya hujjati"
Resurs "biznes birligi" = "marketing"
Haqiqatan ham, ABAC administratorlarga vaziyatni talab qiladigan darajada aniq yoki keng sharoitlarni yaratish uchun atributlarning turli xil kombinatsiyalaridan foydalangan holda donador, siyosat asosida kirishni boshqarishni amalga oshirishga imkon beradi.
Endi ABAC nima ekanligini va u qanday ishlashini bilsangiz, keling, u qanday qilib biznesni chaqqon va xavfsiz tutishini tekshirib ko'raylik. Atributlarga asoslangan kirishni boshqarishning uchta asosiy afzalliklari mavjud:
2 .2-rasm. Atributlarga asoslangan kirishni boshqarish modelining sxemasi
ABACning asosiy foydasi uning egiluvchanligidir. Asosan, siyosatni ishlab chiqish chegarasi atributlarni hisobga olishda va hisoblash tili ifoda eta oladigan sharoitlarda yotadi. ABAC sub'ektlarning eng katta kengligi uchun har bir mavzu va ob'ekt o'rtasidagi munosabatlarni ko'rsatishni administratorlardan talab qilmasdan eng katta miqdordagi resurslardan foydalanish imkoniyatini beradi. Misol sifatida quyidagi amallarni bajaring:
Mavzu tashkilotga qo'shilganda, ularga mavzu atributlari to'plami beriladi (masalan, Jon Dou radiologiya bo'limining maslahatchisi).
Ob'ekt yaratilganda unga atributlar beriladi (masalan, yurak xastaligi uchun yurak tekshiruvi test fayllari bo'lgan papka).
Keyin administrator yoki ob'ekt egasi kirishni boshqarish qoidasini yaratadi (masalan, "rentgenologiya bo'limining barcha maslahatchilari yurak xastaligi uchun yurak tekshiruvi test fayllarini ko'rishlari va almashishlari mumkin").
Administratorlar ushbu atributlarni va kirishni boshqarish qoidalarini tashkilot ehtiyojlariga mos ravishda qo'shimcha ravishda o'zgartirishi mumkin. Masalan, pudratchilar va provayderlar kabi tashqi sub'ektlar uchun yangi kirish siyosatini belgilashda ular har bir sub'ekt-ob'ekt munosabatlarini qo'lda o'zgartirmasdan amalga oshirishi mumkin. ABAC ma'muriy nazorati kam bo'lgan turli xil kirish vaziyatlarini yaratishga imkon beradi
Xavf - bu oqim yoki yuzaga kelishi mumkin bo'lgan zarar kelajakdagi jarayon va umuman ehtimollik bilan ifodalanadiistalmagan hodisa va uning oqibatlari.
Xavfga asoslangan kirishni boshqarish modellari xavf tug'diradi, kirish to'g'risida qaror qabul qilish uchun so'rovda tahlil qilish. Bu xavf tahlil sifatli yoki miqdoriy bo'lishi mumkin.
Sifatida yuqori, o'rtacha va past kabi turli xil xavf o'lchovlari usullari diapazonlardan foydalaniladi va odatda ekspert tomonidan baholanadi: Shunga qaramay, miqdoriy usullarda a ni belgilash usuli mavjud; kirish so'rovi xavfini ifodalovchi raqamli qiymat;
2.3-rasm. Xavflarga asoslangan kirishni boshqarish modelining sxemasi
Miqdoriy usullarda hodisa xavfi odatda formulada (1) ifodalangan hisoblash bilan ifodalanadi.
R = P x I (1)
(1) da, P - voqea sodir bo'lish ehtimoli va I voqea sodir bo'lishining ta'siri. U erda bo'lgan holatlarda kirish tarixi va uning ta'sirini aniqlash mumkin bo'lgan joy, pul qiymatlarida hisoblash osonlashadi ammo bu narsalar osonlikcha bo'lmagan holatlari olingan yoki boshqa xususiyatlarni ham ko'rib chiqish kerak.
RAdAC modelida kirishni boshqarish moslashuvchan va mavjud foydalanuvchiga kirish xavfini hisoblash asosida amalga oshiriladi. Ushbu hisoblash real vaqtda amalga oshiriladi va buni ta'minlashi kerak
Ushbu savollarga 3 ta modellarning javoblari sonini quyidagicha bilib oldik.
2.9-jadval Foydalanishni boshqarish modellarini qiyosiy o'rganish