prucommercialre.com


Exploración de control de acceso para la Seguridad + Certificación

El control de acceso es la capacidad de permitir o denegar el uso de un objeto (una entidad pasiva, tal como un sistema o archivo) por un sujeto (una entidad activa, tal como un individuo o proceso).

Sistemas de control de acceso proporcionan tres servicios esenciales:

  • Identificación y autenticación (I & A): Estos determinan quién puede iniciar sesión en un sistema.
  • Autorización: Determina lo que un usuario autorizado puede hacer.
  • Rendición de cuentas: Identifica lo que hizo un usuario.

Identificación y autenticación (I & A)

Identificación y autenticación (I & A) es un proceso de dos pasos que determina quién puede iniciar sesión en un sistema.

  • La identificación es cómo un usuario le dice a un sistema que él o ella es (por ejemplo, mediante el uso de un nombre de usuario).

• El componente de identificación de un sistema de control de acceso es normalmente un mecanismo relativamente simple basado en cualquiera de usuario o ID de usuario.

  • En el caso de un sistema o proceso, la identificación se basa normalmente en

• Nombre del equipo

• Media Access Control (MAC)

• Dirección de Protocolo de Internet (IP)

• ID de proceso (PID)

  • Los únicos requisitos para la identificación son que la identificación

• Debe identificar de forma exclusiva al usuario.

• No deben identificar que la posición del usuario o importancia relativa en una organización (como sellos como presidente o director general).

• Debe evitar el uso de cuentas de usuario comunes o compartidos, tales como root, admin, y administrador de sistemas.

• Estas cuentas no tienen ninguna responsabilidad y son blancos jugosos para los piratas informáticos.

  • La autenticación es el proceso de verificación de identidad declarada de un usuario (por ejemplo, mediante la comparación de una contraseña introducida la contraseña almacenada en un sistema para un determinado nombre de usuario).

La autenticación se basa en al menos uno de estos tres factores:

Algo que sabes, como una contraseña o un número de identificación personal (PIN). Esto supone que sólo el propietario de la cuenta sabe la contraseña o PIN necesario para acceder a la cuenta. Por desgracia, las contraseñas a menudo son compartidos, robados, o adivinado.

Algo que tiene, por ejemplo, una tarjeta inteligente o token. Esto supone que sólo el propietario de la cuenta tiene la tarjeta inteligente necesaria o de emergencia necesario para desbloquear la cuenta.

• Lamentablemente, tarjetas inteligentes o tokens pueden perderse, robados, prestado, o duplicadas.

Algo que eres, como huellas digitales, voz, retina, o las características del iris. Esto supone que el dedo o el globo ocular unido a su cuerpo en realidad es suya y usted identifica de forma exclusiva.

• El mayor inconveniente es la aceptación del usuario - muchas personas se sienten incómodos acerca del uso de estos sistemas.

Autorización

Autorización (o establecimiento) define los derechos del usuario y los permisos en un sistema. Después de un usuario (o proceso) es autenticado, autorización determina lo que el usuario puede hacer en el sistema.

La mayoría de los sistemas operativos modernos definen conjuntos de permisos que son variaciones o ampliaciones de tres tipos básicos de acceso:

  • Leer (R): El usuario puede

• Lea el contenido del archivo

• Lista el contenido del directorio

  • Write (W): El usuario puede cambiar el contenido de un archivo o directorio con las siguientes tareas:

• Añadir

• Crear

• Eliminar

• Cambiar el nombre de

  • Ejecutar (X): Si el archivo es un programa, el usuario puede ejecutar el programa.

Estos derechos y permisos se aplican de manera diferente en los sistemas basados ​​en el control de acceso discrecional (DAC) y control de acceso obligatorio (MAC).

Responsabilidad

Rendición de Cuentas utiliza este tipo de componentes del sistema como pistas de auditoría (registros) y los registros de asociar un usuario con sus acciones. Las pistas de auditoría y los registros son importantes para

  • La detección de violaciónes de seguridad
  • Re-creando incidentes de seguridad

Si nadie está revisando periódicamente sus registros y no se mantiene de una manera segura y consistente, que no puede ser admisible como prueba.

Muchos sistemas pueden generar informes automatizados en base a ciertos criterios o umbrales predefinidos, conocidos como los niveles de recorte. Por ejemplo, un nivel de corte se puede ajustar para generar un informe de lo siguiente:

  • Más de tres intentos fallidos de inicio de sesión en un período determinado
  • Cualquier intento de utilizar una cuenta de usuario deshabilitada

Estos informes ayudan a un administrador del sistema o el administrador de seguridad identificar más fácilmente los posibles intentos de robo.

Técnicas de control de acceso

Técnicas de control de acceso se clasifican generalmente como sea discrecional u obligatoria. La comprensión de las diferencias entre el control discrecional de acceso (DAC) y control de acceso obligatorio (MAC), así como los métodos específicos de control de acceso de cada categoría, es fundamental para aprobar el examen de seguridad +.

Control de acceso discrecional

Control de acceso iscretionary D (DAC) es una política de acceso determinado por el propietario de un archivo (u otros recursos). El propietario decide que se le permite el acceso al archivo y qué privilegios que tienen.

Dos conceptos importantes en DAC son

  • Archivos y datos de la propiedad: Cada objeto en un sistema debe tener un propietario. La política de acceso está determinado por el dueño de los recursos (incluyendo archivos, directorios, los datos, los recursos del sistema y dispositivos). Teóricamente, un objeto sin dueño se deja sin protección.

Normalmente, el propietario de un recurso es la persona que creó el recurso (como un archivo o directorio).

  • Los derechos de acceso y permisos: Estos son los controles que un propietario puede asignar a usuarios individuales o grupos de recursos específicos.

Controles de acceso discrecionales se pueden aplicar a través de las siguientes técnicas:

  • Listas de control de acceso (ACL) nombrar los derechos y permisos específicos que se asignan a un sujeto para un objeto dado. Listas de control de acceso proporcionan un método flexible para la aplicación de los controles de acceso discrecionales.
  • Control de acceso a la pertenencia a grupos cesionarios basada en roles basado en roles organizacionales o funcionales. Esta estrategia simplifica enormemente la gestión de los derechos de acceso y permisos:

• Los derechos de acceso y permisos de los objetos se les asigna ningún grupo o, además, los individuos.

• Las personas pueden pertenecer a uno o varios grupos. Las personas pueden ser designados para adquirir permisos acumulados (cada permiso de cualquier grupo que están en) o descalificado de cualquier permiso que no es parte de todos los grupos que se encuentran.

Control de acceso obligatorio

Control de acceso obligatorio (MAC) es una política de acceso determinado por el sistema, no el propietario. MAC se utiliza en sistemas multinivel que procesan datos altamente sensibles, como información gubernamental clasificada y de la información militar. Un sistema multinivel es un solo sistema informático que se encarga de múltiples niveles de clasificación entre los sujetos y objetos.

Dos conceptos importantes en MAC son los siguientes:

  • Etiquetas de sensibilidad: En un sistema basado en MAC, todas las materias y los objetos deben tener etiquetas que se les asignen.

Etiqueta de sensibilidad de un tema especifica su nivel de confianza. Etiqueta de sensibilidad de un objeto especifica el nivel de confianza necesario para el acceso.

Con el fin de acceder a un objeto dado, el sujeto debe tener un nivel de sensibilidad igual o mayor que el objeto solicitado.

  • Importación y exportación de datos: El control de la importación de la información de otros sistemas y la exportación a otros sistemas (como impresoras) es una función crítica de los sistemas basados ​​en MAC, que debe velar por que las etiquetas de sensibilidad están debidamente mantenido y aplicado de manera que la información sensible se protege adecuadamente en todo momento.

Dos métodos se utilizan comúnmente para la aplicación de control de acceso obligatorio:

  • Controles de acceso basados ​​en reglas: Este tipo de control define además las condiciones específicas de acceso a un objeto solicitado.

Todos los sistemas basados ​​en MAC implementar una forma simple de control de acceso basado en reglas para determinar si el acceso debe ser otorgada o denegada por juego

• Etiqueta de la sensibilidad de un objeto

• Etiqueta de la sensibilidad de un sujeto

  • Controles de acceso basados ​​en celosía: Thesecan utilizarse para decisiones complejas de control de acceso que implican múltiples objetos y / o sujetos.

Un modelo de celosía es una estructura matemática que define mayores valores de límite superior menos-límite inferior y por un par de elementos, como un sujeto y un objeto.