- •Техники и технологии управления доступом План
- •1. Управление доступом на основе правил
- •2. Ограниченный пользовательский интерфейс
- •3. Матрица контроля доступа
- •Таблицы разрешений
- •Списки контроля доступа
- •4. Контентно-зависимое управление доступом
- •5. Контекстно-зависимое управление доступом
- •6. Администрирование доступа
- •6.1. Централизованное администрирование управления доступом
- •6.1.1. Radius
- •6.1.2. Tacacs
- •6.1.3.Diameter
- •6.1.4.Мобильный ip.
- •6.2. Децентрализованное администрирование управления доступом
- •7. Методы управления доступом
- •7.1. Уровни управления доступом
- •7.2. Административный уровень
- •Политики и процедуры
- •Управление персоналом
- •Структура надзора
- •Тренинги и повышение осведомленности по вопросам безопасности
- •Тестирование
- •7.3. Физический уровень
- •Сегментация сети
- •Защита периметра
- •Управление компьютерами
- •7.4. Технический уровень
- •Доступ к системам
- •Сетевая архитектура
- •Доступ к сети
- •Шифрование и протоколы
- •8. Типы управления доступом
- •8.1. Превентивные: Административные
- •8.2. Превентивные: Физические
- •8.3. Превентивные: Технические
- •9. Подотчетность
- •9.1. Анализ журналов регистрации событий
- •9.2. Мониторинг нажатия клавиш
- •9.3. Защита данных аудита и журналов регистрации событий
- •10. Практика управления доступом
- •Несанкционированное разглашение информации
- •Повторное использование объекта
- •Защита от утечки информации по техническим каналам
- •11. Мониторинг управления доступом
- •11.1. Выявление вторжений
- •Ids уровня сети
- •Ids уровня хоста
- •Выявление вторжений на основе знаний или сигнатур
- •Ids на основе состояния
- •Выявление вторжений на основе статистических аномалий
- •Ids на основе аномалий протоколов
- •Ids на основе аномалий трафика
- •Ids на основе правил
- •Сенсоры ids
- •Сетевой трафик
- •11.2. Системы предотвращения вторжений
- •Хосты-приманки
- •12. Угрозы управлению доступом
- •12.1. Атака по словарю
- •Контрмеры
- •12.2. Атака полного перебора (брутфорс-атака)
- •Контрмеры
- •12.3. Подделка окна регистрации в системе
- •Контрмеры
- •12.4. Фишинг
- •Контрмеры
- •12.5. Кража личности
- •13. Резюме
6.2. Децентрализованное администрирование управления доступом
Метод децентрализованного администрирования управления доступом (decentralized access control administration) передает управление доступом людям, которые непосредственно связаны с ресурсами и лучше понимают, кто должен и кто не должен иметь доступ к определенным файлам, данным и ресурсам.
Обычно это функциональные руководители, которые предоставляют права доступа сотрудникам.
Компании следует выбрать децентрализованную модель, если ее руководители имеют хорошее представление о том, какие пользователи к каким ресурсам должны иметь доступ, а также в компании отсутствуют требования о необходимости использования централизованной модели. Управление доступом в децентрализованной модели может происходить быстрее, поскольку этим занимается больше людей в компании.
Однако при этом может возникнуть конфликт интересов. Поскольку не один человек (подразделение) управляет всеми правами доступа, различные руководители и подразделения могут выполнять функции по управлению доступом и обеспечению безопасности различными способами.
Это не позволит обеспечить унификацию и справедливость в рамках всей компании.
Одни руководители будут слишком заняты своими ежедневными задачами и легко позволят кому угодно получить полный доступ ко всем системам своего подразделения. Другие подразделения, напротив, будут применять строгие и детальные методы управления, предоставляя сотрудникам только тот уровень доступа, который необходим им для выполнения своих задач. Кроме того, в некоторых случаях функции управления доступом будут накладываться друг на друга, что может стать причиной того, что некоторые нежелательные действия не будут запрещены и заблокированы. Если Майк, входящий в группу бухгалтерии, был заподозрен в несанкционированном изменении информации о заработной плате персонала, руководитель бухгалтерии может ограничить его доступ к соответствующим файлам правами «только чтение». Однако руководитель бухгалтерии не делает этого, и Майк продолжает иметь к этим файлам полный доступ в рамках сетевой группы, членом которой он является. Таким образом, метод децентрализованного администрирования не обеспечивает целостного управления и достаточного уровня согласованности в процессе защиты компании. Например, если Шон уволен с работы за просмотр порнографии на своем рабочем компьютере, руководитель соответствующей группы, в которую входит Шон, может не заблокировать его учетную запись, и у Шона после увольнения останутся права доступа. Это может привести к серьезным проблемам у компании, если Шон захочет отомстить.
7. Методы управления доступом
Управление доступом может обеспечиваться на различных уровнях сети и отдельных систем. Одни средства управления доступом являются компонентами ядра операционной системы или встроены в приложения и устройства. Другие могут поставляться в виде отдельных пакетов, разработанных сторонними производителями. Различные средства управления доступом предоставляют различную функциональность, поэтому они должны работать совместно, чтобы обеспечивать необходимый уровень защиты, при котором плохие парни будут оставаться снаружи, а хорошие – внутри. Большинство компаний не хочет, чтобы посторонние бесконтрольно разгуливали по их офисам, садились за компьютеры сотрудников, получали доступ к сетевым ресурсам. Также компании не хотят, чтобы каждый сотрудник имел доступ ко всей информации компании, например, записям кадрового учета, сведениям о заработной плате, коммерческой тайне. Компании хотят иметь определенную уверенность в том, что для сотрудников, которые имеют доступ к критичной информации, установлены ограничения, не позволяющие им удалить финансовые, налоговые и иные данные, повреждение которых является риском для компании. Некоторые виды управления доступом, предотвращающие такие события, рассматриваются далее.