İçindekiler:
- Tanımlama ve kimlik doğrulama (I & A)
- • En büyük dezavantaj kullanıcı kabulüdür - birçok kişi bu sistemleri kullanmaktan huzursuzdur.
- Güvenlik ihlallerini tespit etmek
- isteğe bağlı
Video: Instagram'a Nasıl Reklam Verilir? - Instagram Eğitim Seti 2024
Erişim denetimi , bir nesnesinin (bir sistem veya dosya gibi pasif bir varlık) bir nesnesinin kullanımına izin verme veya reddetme yeteneğidir. konu (birey veya süreç gibi aktif bir varlık).
Erişim kontrol sistemleri üç temel hizmet sunmaktadır:
- Tanımlama ve kimlik doğrulama (I & A): Bu, bir sisteme kimlerin oturum açabileceğini belirler.
- Yetkilendirme: Bu yetkili bir kullanıcının neler yapabileceğini belirler.
- Hesap Verebilirlik: Bu, bir kullanıcının yaptığı işlemi tanımlar.
Tanımlama ve kimlik doğrulama (I & A)
Kimlik doğrulama ve kimlik doğrulama (I & A), bir sisteme kimlerin oturum açabileceğini belirleyen iki aşamalı bir işlemdir.
- Tanımlama , bir kullanıcıya bir sisteme kendisinin kim olduğunu söyler (örneğin bir kullanıcı adı kullanarak).
• Erişim kontrol sisteminin tanımlama bileşeni normalde Kullanıcı Adı veya Kullanıcı Kimliğine dayalı nispeten basit bir mekanizmadır.
• Internet Protokolü (IP) adresi ()
• Bir sistem veya işlem durumunda, kimlik doğrulama genellikle
- • İşlem Kimliği (PID)
Tanımlamanın yegane şartı, tanımlamanın
olmasıdır. • Kullanıcıyı benzersiz şekilde tanımlamak gerekir. • Bir organizasyonda kullanıcının konumunu veya göreceli önemini (örneğin cumhurbaşkanı veya CEO
gibi etiketler) belirlememelisiniz.
gibi ortak veya paylaşılan kullanıcı hesaplarını kullanmaktan kaçınmalıdır.
- • Bu tür hesaplar hiçbir hesap verme sorumluluğu sağlamaz ve bilgisayar korsanları için sulu hedeflerdir. Kimlik Doğrulama , kullanıcının iddia ettiği kimliği doğrulama işlemidir (örneğin, girilmiş bir parolayı belirli bir kullanıcı adı için bir sistemde depolanan parolayla karşılaştırarak).
Kimlik doğrulama, bu üç faktörden en az birine dayalıdır: • Bildiğiniz bir şey, bir şifre veya kişisel kimlik numarası (PIN) gibi. Bu, hesap sahibinin yalnızca hesaba erişmek için gereken şifreyi veya PIN'i bildiğini varsayar. Ne yazık ki, şifreler genellikle paylaşılıyor, çalınabiliyor veya tahmin ediliyor. • Sahip olduğunuz, akıllı kart veya simge gibi bir şey. Bu, hesabın sahibinin yalnızca hesabın kilidini açmak için gerekli olan akıllı karta veya jetona sahip olduğunu varsayar.
• Ne yazık ki, akıllı kartlar veya işaretler kaybolabilir, çalınabilir, ödünç alınabilir veya kopyalanabilir. • Parmak izi, ses, retina veya iris özellikleri gibi bir şey
.Bu, vücudunuza bağlı olan parmak veya gözbebekinin gerçekte sizin beyniniz olduğunu ve benzersiz bir şekilde sizi tanımladığını varsayar.
• En büyük dezavantaj kullanıcı kabulüdür - birçok kişi bu sistemleri kullanmaktan huzursuzdur.
Yetki Yetkilendirme (veya kurulum), bir kullanıcının hakları ve izinlerini bir sistemde tanımlar. Bir kullanıcı (veya işlem) doğrulanandıktan sonra, yetkilendirme, kullanıcının sistemde neler yapabileceğini belirler.
- Çoğu modern işletim sistemi, üç temel erişim türünün varyasyonları veya uzantıları olan izin kümelerini tanımlar: Oku (R):
Kullanıcı
olabilir • Dosya içeriğini okur
- • Dizini listele içeriği Yaz (W): Kullanıcı bir dosyanın veya dizininin içeriğini şu görevlerle değiştirebilir: • Ekle
• Oluştur
• Sil > • Rename
Execute (X):
Dosya bir program ise, kullanıcı programı çalıştırabilir.
- isteğe bağlı erişim denetimi (
DAC) ve zorunlu erişim kontrolü (MAC) temel alan sistemlerdeki bu haklar ve izinler farklı şekilde uygulanmaktadır. Hesap Verebilirlik Hesap Verebilirlik, kullanıcıyı eylemleriyle ilişkilendirmek için denetim kayıtları (kayıtlar) ve günlükler gibi sistem bileşenlerini kullanır. Denetim yolları ve günlükleri önemlidir
Güvenlik ihlallerini tespit etmek
Güvenlik olaylarını yeniden oluşturmak
- Kimseler günlüklerinizi düzenli olarak inceliyorsa ve güvenli ve tutarlı bir şekilde korunmazlarsa, kabul edilemezler kanıt.
- Pek çok sistem, önceden tanımlanmış bazı kriterlere veya eşik değerlere dayanan,
kırpma seviyeleri
olarak bilinen otomatik raporlar üretebilir. Örneğin, aşağıdakilerle ilgili bir rapor oluşturmak için bir kırpma düzeyi ayarlanabilir: Belirli bir dönemde birden fazla başarısız oturum açma denemesi Engelli bir kullanıcı hesabı kullanmaya yönelik herhangi bir girişim
- Bu raporlar bir sistem yöneticisine yardımcı olur veya güvenlik yöneticisi, muhtemel kırılma girişimlerini daha kolay tanımlar.
- Erişim kontrol teknikleri
Erişim kontrol teknikleri genellikle
isteğe bağlı
veya zorunlu olarak kategorize edilir. İsteğe bağlı erişim denetimi (DAC) ile zorunlu erişim denetimi (MAC) arasındaki farkları ve her kategorideki özel erişim denetimi yöntemlerini anlamak, Güvenlik + sınavını geçmek için kritik öneme sahiptir. İsteğe bağlı erişim kontrolü D
iscretional erişim kontrolü
(DAC), bir dosyanın (veya başka bir kaynağın sahibi) tarafından belirlenen bir erişim politikasıdır. Sahibi, dosyaya kimlerin erişmesine izin verildiğine ve hangi ayrıcalıklara sahip olduklarına karar verir. DAC'de iki önemli kavram: Dosya ve veri sahipliği:
Bir sistemdeki her nesnenin bir sahibinin olması gerekir. Erişim ilkesi kaynağın sahibi (dosyalar, dizinler, veri, sistem kaynakları ve aygıtlar) tarafından belirlenir. Teorik olarak, sahibi olmayan bir nesne korumasız bırakılır.
- Normalde bir kaynak sahibi, kaynağı oluşturan kişidir (bir dosya veya dizin gibi). Erişim hakları ve izinleri: Bu, bir sahibin belirli kaynaklar için bireysel kullanıcılara veya gruplara atayabileceği denetimlerdir.
- İsteğe bağlı erişim denetimleri, aşağıdaki teknikler kullanılarak uygulanabilir: Erişim denetim listeleri
(ACL) belirli bir nesne için bir özne için atanan belirli hakları ve izinleri adlandırır. Erişim kontrol listeleri isteğe bağlı erişim denetimlerini uygulamak için esnek bir yöntem sağlar.
- Rol tabanlı erişim kontrolü , örgütsel veya işlevsel roller temelinde grup üyeliği atar. Bu strateji, erişim haklarının ve izinlerin yönetimini büyük ölçüde basitleştirir:
- • Nesnelerin erişim haklarına ve izinlerine herhangi bir grup veya bireye ek olarak atanır. • Bireyler bir veya daha fazla gruba ait olabilir. Bireyler,
kümülatif
izinlerini ( herhangi bir grubunun her iznini) elde etmek üzere atanabilir veya her grubun parçası olmayan herhangi bir izinten diskalifiye edilebilirler Zorunlu erişim kontrolü Zorunlu erişim kontrolü (MAC), sahibi tarafından değil sistem tarafından belirlenen bir erişim politikasıdır. MAC, sınıflandırılmış hükümet ve askeri bilgiler gibi son derece hassas verileri işleyen
çok düzeyli sistemler
'da kullanılır. çok düzeyli sistem , nesneler ve nesneler arasında çoklu sınıflandırma düzeylerini işleyen tek bir bilgisayar sistemidir. MAC'de iki önemli kavram şunlardır: Duyarlılık etiketleri:
MAC tabanlı bir sistemde, tüm nesnelerin ve nesnelerin onlara
- etiketler atanmış olması gerekir. Bir kişinin duyarlılık etiketi, güven düzeyini belirtir. Nesnenin hassasiyet etiketi, erişim için gereken güven düzeyini belirtir. Belirli bir nesneye erişmek için, konu, istenen nesneye eşit veya daha yüksek bir hassasiyet seviyesine sahip olmalıdır. Veri içe ve dışa aktarma:Diğer sistemlerden gelen bilgilerin alınmasını denetleme ve diğer sistemlere (yazıcılar da dahil olmak üzere) dışa aktarma, MAC tabanlı sistemlerin kritik bir işlevidir ve hassas etiketlerin doğru şekilde korunmasını ve uygulanmasını sağlamalıdır Bu hassas bilgiler her zaman uygun şekilde korunmaktadır.
- Zorunlu erişim denetimini uygulamak için yaygın olarak iki yöntem kullanılır: Kural tabanlı erişim denetimleri:
Bu denetim türü ayrıca, istenen nesneye erişmek için özel koşulları tanımlar.
- Tüm MAC tabanlı sistemler, eşleşmesiyle erişimin verilmesi gerekip gerekmediğini belirlemek için basit bir kural tabanlı erişim kontrolü uygular • Bir nesnenin duyarlılığı etiketi • Bir öznenin duyarlılığı etiketi
Kafes- tabanlı erişim kontrolleri:
Sekun birden fazla nesne ve / veya konuya ilişkin karmaşık erişim kontrolü kararlarında kullanılabilir.
- Bir kafes modeli , bir özne gibi bir çift öğe için en büyük alt sınır ve en az üst sınır değerlerini tanımlayan bir matematiksel yapıdır ve bir nesne.
