Geekly articles weekly

访问控制及其吃法

在IT世界中,与信息安全有关的问题越来越多。 实际上,万维网已经成为信息交换和存储的全球平台,并且互联网这个词对每个人来说都是熟悉的。 在现代世界中,很难找到一家不使用互联网技术的公司:各种应用程序,小工具,物联网设备-所有这些都处于危险之中。 因此,我们将讨论信息安全的基础知识,即访问控制。



我想讨论一些看起来很明显的信息安全方面。 具有讽刺意味的是,许多人低估了安全的重要性或认为其措施足够。 值得一提的是邓宁-克鲁格效应,其实质是某些地区学历低的人得出了错误的结论。 因此,他们无法实现的业务决策失败。 信息安全-这是一个不允许采取任何行动并遵循“如果只是为了物种而做”的原则的领域。 信息安全应该是最终目标,这是在业务中最大程度地减少损失和支出并保护您的数据的杠杆。 对公司最大的危险是人为因素。 实际上,得益于员工的巧妙操纵,攻击者才能破坏您的系统。 不幸的是,存在一个误解,即如果您拥有强大的技术保护(各种IDS,反欺诈系统,防病毒,DLP,防火墙),那么您的业务是安全的,但事实并非如此。 我们的心理是可以预测的,并且在大多数情况下,我们的冲动是由恐惧和皮疹行为触发的。 以通过邮件进行的平庸攻击为例:该员工收到一封信,指出他所注册的某些系统已受到威胁。 这个消息肯定会吓到他,并且更有可能他跟随链接,将其数据提供给攻击者。 因此,正确配置访问权限并提高员工的信息安全技能非常重要。 整个“科学”都专门用于这个主题-社会工程,但是下一次某个时候,今天,我们将讨论组织访问控制。

最好从不同角度看待任何任务,这也适用于访问控制:仅安装防病毒和其他保护手段是不够的。 通过逻辑推理,可以选择以下公式: 良好的访问控制系统=行政措施+技术措施+实物保护。

行政措施包括什么? 是的,一切都很简单! 这是信息安全管理系统中文档的正确组织。 良好的安全策略,风险评估方法,内部审核,程序,员工培训-所有这些都有助于正确组织业务安全。

在安全策略中,最重要的是反映公司的目标和范围(此策略涵盖的单位),并考虑业务,合作伙伴和客户的要求。 公司应识别信息资产,需要更仔细处理的资产应按重要性和价值进行分类。 要确定谁有权访问资产并负责实施信息安全措施,可以使用角色表(该表指示角色以及谁负责分配的内容)。 另一个重要的阶段是培训:邀请专家或雇用可以向您的员工介绍网络安全规则的人员(例如:什么是网络钓鱼,如何识别网络钓鱼,如何破解社交工程师以及哪个网站安全)。 这些都是非常重要的方面,因为最脆弱的是人为因素。 内部审核将帮助您发现信息安全管理系统的缺点,确定哪些部门易受攻击以及哪些部门需要高级培训,并了解是否遵守了本政策中指定的要求。 重要的是选择一个能胜任的审核员,他会仔细检查系统的状况以符合规则。 借助风险评估方法,您可以计算某些威胁的可能性,并检测现有威胁并针对风险选择其他措施。

在硬件方面,我们将各种软件和硬件,信息安全服务归为一类。 它可以是密码系统,防火墙,安全扫描程序,安全协议,操作系统等。 您需要非常小心地使用密码系统。 由于它们始终受到攻击者的审查,因此他们面临的风险最大。 与大量的人交流时,我注意到密码保护是多么容易和疏忽(他们提供了简单的密码,将其存储在可访问的地方),却没有意识到攻击者可以轻易破解它们。 例如,采取某种攻击,例如蛮力攻击(这意味着蛮力密码)。 假设您并没有真正幻想自己的密码,而是选择了一个普通的黑客,与此同时,知道您的邮件,使用各种字典会发现匹配的内容并危及您的系统。 一切都很简单! 还应该记住并提醒员工有关网络钓鱼电子邮件的信息:不要打开链接并输入密码,请屏息并弄清楚。



好吧,第三个是物理保护:锁,特殊保护,摄像机,访问系统等等。

我还想重点介绍三种访问控制方法。 如果您的工作与敏感数据和敏感信息,状态机密有关,那么您应该注意强制性访问控制方法。 该方法的独特之处在于其层次结构,因为为员工和对象(文件,文档等)分配了一定的安全级别。 对象的安全级别表征其值,并根据该级别为其分配安全标签。

安全级别表征了员工对员工的信任程度以及其对这些信息的责任。 操作系统为员工分配了某些属性,由于这些属性,员工被授予了在其职权范围内的访问权限。 考虑以下示例,假设我们有几个访问级别:

  1. 最高机密信息(访问被拒绝);
  2. 秘密信息;
  3. 限制访问信息;
  4. 免费访问信息。


我们还拥有对上述信息具有不同访问级别的用户:

  • 用户1-处理分类信息;
  • 用户2-处理访问受限的信息;
  • 用户3-使用免费访问信息。


让我们以下图的形式想象系统的结构,其中RW-读写权限,R-读取权限,W-写入权限:



从图中可以看出:

用户1有权读取和写入用于处理分类信息的对象,并且有权读取具有有限和自由信息的对象。

用户2具有读取和写入属于受限访问信息的对象的权限,并且还具有读取具有自由访问信息的对象的权限以及具有秘密信息的对象的写入权限。

用户3:有权读取和写入具有免费访问信息的对象,以及写入具有受限访问和秘密信息的对象的权限。

但是,所有用户都无法访问具有最高机密信息的对象。

最简单的方法被认为是自由裁量权,这被认为很普遍。 访问的本质很简单:对象的所有者决定向谁授予访问权限以及以哪种形式(阅读,书写等)进行访问。 可以使用访问列表或访问矩阵来实现该方法,但是您需要考虑具有某些权限的员工可以在不通知您的情况下将您的对象转移给另一个对象使用。 因此,如果您使用的是重要信息,则应谨慎使用此方法。

接下来,让我们讨论基于角色的访问控制方法。 这种方法的本质很简单:在系统用户及其特权之间出现中间实体,这些中间实体称为角色。 该方法假定可以为每个用户分配几个角色,从而提供对必要信息的访问。 这种方法消除了权利的滥用,因为它实现了最小特权原则。

它仅提供对属于其职责范围内的员工的访问级别。 而且,此方法实现了职责分离的原理,从而简化了信息资产的管理。 这种方法的缺点是,由于存在大量的用户和角色,因此难以实现,因为它的成本很高。

还有其他方法,但是谈论最关键的。 以上所有组织访问的方法都是确保公司安全的重要一步,因此值得密切注意。

Source: https://habr.com/ru/post/zh-CN443026/

More articles:


All Articles