TÌm hiểu chung về điều khiển truy cập (Access Controls)

dieu-khien-truy-cap-access-controls-1

Trước khi được cấp thẩm quyền mọi người đều truy cập với quyền user Anonymouse. Sau khi người dùng được xác thực (Authentication) sẽ được hệ thống cấp cho thẩm quyền sử dụng tài nguyền (Authorization) và toàn bộ quá trình truy cập của người dùng sẽ được giám sát và ghi lại (Accounting).

dieu-khien-truy-cap-access-controls

Bạn Đang Xem: TÌm hiểu chung về điều khiển truy cập (Access Controls)

 

Access Control Systems

Tài nguyên chỉ có thể truy cập bởi những cá nhân được xác thực. Quá trình quản lý truy cập tài nguyên của người dùng cần thực hiện qua các bước:

  • Identification: Quá trình nhận dạng người dùng, người dùng cung cấp các thông tin cho hệ thống nhận dạng.
  • Authentication: Bước xác thực người dùng, người dùng cung cấp các thông tin xác nhận dạng, hệ thống tiến hành xác thực bằng nhiều phương thức khác nhau.
  • Authorization:Thẩm quyền truy cập tài nguyên được hệ thống cấp cho người dùng sau khi xác thực Authentication.
  • Accounting: Hệ thống giám sát và thống kê quá trình truy cập của người dùng vào các vùng tài nguyên.

Tất cả các hệ thống điều khiển truy cập (access control systems) đều phải có ba yếu tố cơ bản nhất:

  • Subjects: Toàn bộ đối tượng có thể gán quyền truy cập. Có thể coi đây là User/Group trong hệ thống
  • Objects: Tài nguyên được sử dụng.
  • Access Permissions được sử dụng để gán quyền truy cập các Objects cho Subjects. (Ví dụ một User là một Subject, một foder là một Object, Permission là quyền gán cho User truy cập vào Folder). Bảng Access Permissions cho một đối tượng gọi là Access Control List (ACLs), ACL của toàn bộ hệ thống được thống kê trong bảng Access Control Entries (ACEs).

Nguyên tắc thiết lập Access Control

Người làm về chính sách bảo mật cần phải đưa ra các nguyên tắc quản trị tài nguyên hệ thống để đảm bảo: Bảo mật nhất cho tài nguyên, đáp ứng được công việc của người dùng. Các nguyên tắc đó được chia ra:

Principle of Least Privilege – Người dùng (Subjects) được gán quyền nhỏ nhất (minimum permissions) với các tài nguyên (Object) và vẫn đảm bảo được công việc.

Xem Thêm : Tìm hiểu chung về an toàn cơ sở dữ liệu

Principle of Separation of Duties and Responsibilities – Các hệ thống quan trọng cần phải phân chia thành các thành phần khác nhau để dễ dàng phân quyền điều khiên hợp lý.

Principle of Need to Know – Người dùng chỉ truy cập vào những vùng tài nguyên mà họ cần và có hiểu biết về tài nguyên đó để đảm bảo cho công việc của họ.

 

dieu-khien-truy-cap-access-controls-1

 

Các dạng Access Controls

Tài nguyên có nhiều dạng, người dùng có nhiều đối tượng vậy chúng ta cần phải sử dụng những dạng điều khiển truy cập dữ liệu hợp lý.

– Mandatory Access Control (MAC)

  • Là phương thức điều khiển dựa vào Rule-Base để gán quyền truy cập cho các đối tượng.
  • Việc gán quyền cho các đối tượng dựa vào việc phân chia tài nguyên ra các loại khác nhau (classification resources).
  • Phương thức điều khiển truy cập này thường áp dụng cho: tổ chức chính phủ, công ty
  • Ví dụ: một công ty sản xuất bia các vùng tài nguyên được chia: Public (website), Private (dữ liệu kế toán), Confidential (công thức nấu bia). Mỗi vùng tài nguyên đó sẽ có những đối tượng được truy cập riêng, và việc điều khiển truy cập này chính là Mandatory Access Control.

Discretionary Access Control (DAC)

  • Người dùng (Subjects) được điều khiển truy cập qua ACLs.
  • Các mức độ truy cập vào dữ liệu có thể được phân làm các mức khác nhau (ví dụ: NTFS Permission, việc gán quyền cho User/Group theo các mức độ như Full control, Modify, Read).
  • Access Control List có thể được sử dụng khi gán Permission truy cập tài nguyên, hoặc trên router, firewall. Khi sử dụng ACLs đó là phương thức điều khiển truy cập Discretionary Access Control.

Xem Thêm : Trojan là gì? Những hiểu biết cần thiết về Trojan

Role-Base Access Control

  • Người quản trị sẽ dựa vào vai trò của người dùng để gán quyền cho người dùng. Những quyền của người dùng có thể là những tác vụ người dùng có thể thực thi với hệ thống.
  • Ví dụ người quản trị có thể gán các quyền cho User: Shutdown, change network setings, remote desktop, backup và một số quyền khác dựa vào vai trò (role) của người dùng.
  • Trong hệ thống Windows của Microsoft phương thức điều khiển truy cập này có thể hiểu là gán User Rights.

Ngoài ra Access Control có thể được chia làm hai dạng:

 – Centralized Access Control (CAC)

Quá trình xác thực và cấp thẩm quyền được thực hiện tập trung cho toàn bộ hệ thống. Có ba phương thức điều khiển truy cập tập trung thường được sử dụng là:

+ Remote Authentication Dial-In User Service (RADIUS)

+ Terminal Access Control Access System (TACAS)

+ Active Directory

– Decetranlized Access Control Systems (DACS)

Là phương thức điều khiển tập trung bao gồm nhiều hệ thống CACs khác nhau trong một tổ chức được tích hợp trong các hệ thống khác nhau không cần liên quan tới phần cứng và phần mềm.

 

Nguồn: https://giaiphapmangh3t.com
Danh mục: Security

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *