Логический контроль доступа

С 1960-х годов модели контроля доступа эволюционировали в зависимости от потребностей как военной, так и гражданской сфер. Военная сфера нуждалась в контроле доступа главным образом из-за большого числа конфиденциальных данных. Гражданский сектор, в свою очередь, ограничивался контролем за целостностью данных.

С 1970-х годов было реализовано множество моделей контроля доступа. Среди них — модели DAC, MAC и TMAC^[1].

Более известен в русскоязычной литературе как дискреционный контроль доступа. DAC — это модель, в которой реализуются средства ограничения доступа к данным, а пользователю даётся возможность предоставлять доступ к желаемому объекту.

Мандатный контроль доступа — модель, при которой решение о защите не принадлежит владельцу ресурса.

Данная модель контроля доступа подразумевает взаимодействие пользователей с различными ролями, сотрудничающих для выполнения конкретной задачи^[2].

Данная модель, разработанная в 2003 году, использует в качестве политики разрешений контроль доступа, основанный на понятии организации^[3].

Предприятия обрабатывают конфиденциальные данные как в электронных базах, так и в физических помещениях. Это подразумевает, что не все сотрудники могут иметь доступ ко всем данным. Для этого вводится логический контроль доступа: создание учётных записей с паролями, выдача электронных пропусков, применение биометрических систем.

Администратор информационной системы настраивает доступ к отдельным программам и базам данных, определяя права пользователей.

Должностные обязанности сотрудника могут регулировать его полный или частичный доступ к ИС. Например, в системах управления предприятием некоторые функции доступны только бухгалтерам, а документы по трудовым договорам — только отделу кадров.

Руководитель компании не обязательно имеет доступ ко всем данным и сервисам системы.

По всем этим причинам часто требуется организация логического контроля доступа.

Государственные органы обязаны обеспечивать защиту своих критичных информационных систем. В США этим занимается АНБ. Французское правительство через национальное агентство по безопасности информационных систем^[4] публикует список операторов критически важных объектов, для которых необходим высокий уровень информационной безопасности. В качестве таких операторов могут выступать как предприятия (EDF, SNCF), так и госструктуры (например, Министерство обороны).

Правительства, как и частные компании, внедряют логический контроль доступа.

Контроль доступа к ресурсам информационной системы реализуется в двух режимах:

Мод a priori

Аудит и конфигурирование прав доступа, назначаемых пользователям (так называемое «управление идентификацией и правами», Identity & Access Management).

Мод a posteriori

Контроль прав пользователей непосредственно в момент обращения к системе.

В контексте информационных систем логический контроль доступа — это механизм безопасности, предназначенный для проверки наличия надлежащих прав у человека либо машины для доступа к данным.

Логический контроль доступа^[5] включает три составляющих: аутентификацию, авторизацию и журналирование действий (трассировку). Эти этапы регулируются протоколом AAA (Authentication Authorization Accounting)^[6]. Аутентификация подтверждает личность субъекта (например, через пароль), авторизация проверяет, разрешён ли доступ к определённым данным, а журналирование фиксирует, кто и как использует систему (например, дата/время входа, IP-адрес и др.).

Аутентификация — процесс, отличающийся от идентификации, хотя и тесно с ней связан. Идентификация определяет, зарегистрирован ли субъект в системе (например, по идентификатору), а аутентификация проверяет соответствие субъекта заявленной личности (соотнесение идентификатора и предъявленного доказательства). Наиболее распространён так называемый способ login/password. Применяются и более сложные методы, уменьшающие риск несанкционированного доступа, особенно для особо ценных данных.

Пароль связан с идентификатором пользователя и используется для получения доступа. Такой способ не отличается высокой степенью защиты — злоумышленник может относительно легко его украсть (например, подсмотреть или получить через взлом).

Биометрия — изначально биологическая дисциплина, занимающаяся измерением физических параметров живых существ. В IT-области биометрия^[7] означает идентификацию/аутентификацию субъекта по физическим/поведенческим характеристикам (отпечатки, лицо, голос и т. п.).

Часто биометрическая идентификация даёт одновременно повышенную скорость и надёжность: риск подделки снижен за счёт уникальности признаков, а физический идентификатор невозможно забыть или передать третьим лицам. Например, проверка отпечатка пальца происходит быстрее, чем ввод пароля.

Главный недостаток биометрии — чувствительность к физиологическим или поведенческим изменениям. Например, порез пальца может затруднить вход по отпечатку.

Кроме того, биометрическая аутентификация в целом неприменима для машин и неживых объектов.

Это разновидность двухфакторной (сильной) аутентификации — требует одновременного предъявления двух независимых факторов.

Аппаратный токен часто реализуется в виде смарт-карты, брелока или автономного устройства-генератора кодов, способного периодически обновлять одноразовые ключи для входа.

Цель такой схемы — преодолеть ограничения «простых» методов, в том числе краж паролей. Например, доступ к банковскому счету через банкомат возможен только при наличии и карты, и PIN-кода. Отсутствие одного из компонентов не даёт входа.

Недостаток подхода — физическое устройство может быть похищено или утеряно.

Для увеличения уровня безопасности пользователю добавляют ещё один этап подтверждения личности: при входе или при совершении интернет-покупки система может запросить случайно сгенерированный одноразовый код, присылаемый по SMS или e-mail, при условии, что номер телефона/почта были указаны заранее. Обычно на ввод даётся ограниченный промежуток времени, после которого необходимо запрашивать новый код.

Для платёжных систем (например, Visa/Mastercard и их протокол 3-D Secure) стандартом стал специальный механизм многошаговой аутентификации. «Трёхдоменная» структура здесь подразумевает следующие отношения: «банк—держатель карты», «банк—интернет-магазин», а также «банк держателя—банк продавца». Одним из базовых приёмов является отправка одноразового кода по SMS.

Для доступа к аккаунтам с чувствительной информацией (например, веб-почта, социальные сети) производители внедряют дополнительные механизмы защиты от взлома.

На этом этапе происходит фильтрация доступа для уже аутентифицированных субъектов. Даже прошедший аутентификацию пользователь не всегода получает доступ ко всем ресурсам, а только к тем, на которые имеет права. Пример: бухгалтерия отеля не имеет доступа к данным ресепшн, и наоборот.

Права определяет системный администратор.

В рамках защиты информации иногда требуется, чтобы не только пользователь, но и его устройство соответствовало политике безопасности.

Трассировка по протоколу AAA — отслеживание доступа к особо важным ресурсам с целью предотвращения злоупотреблений и несанкционированных действий. Собираются сведения о действиях пользователя (например, время, IP-адрес и т. д.), что помогает в расследованиях при инцидентах. Таким образом трассировка позволяет восстановить картину событий и идентифицировать нарушителя.

Вопросы управления, конфиденциальности и защиты данных стали центральными для ИТ-сферы из-за возрастающих угроз. В феврале 2015 года крупнейший производитель SIM-карт для мобильных операторов, компания Gemalto, столкнулся с хищением миллионов криптографических ключей, которые могут быть использованы для перехвата сигналов и слежки за абонентами.

В 2014 году Sony Pictures подверглась кибератаке со стороны северокорейских хакеров^[8].

Кроме того, количество систем, требующих контроля доступа, растёт. Каждый человек использует десятки паролей или идентификаторов для доступа к различным ресурсам — от входа в офис до работы с перепиской в облаке. Современные тенденции ведут к объединению всех методов идентификации в единое решение; логические и физические системы контроля доступа начинают интегрироваться^[9].

Использование множества методов идентификации влечёт за собой издержки, усложняет внедрение и неудобно для пользователей. Конвергенция^[10] различных методов в единую платформу может устранить эти недостатки без снижения уровня безопасности.

CNIL рекомендует совмещение физических и логических подходов для повышения защищённости^[11].

Некоторые компании применяют «карты сотрудника», сочетающие возможности физического и логического доступа.

Логический доступ:

• электронный чип, хранящий данные пользователя и открывающий доступ к системе.

Физический доступ:

• сама карта как носитель
• фотография
• идентификатор

На этом принципе основано развитие бесконтактных («безопасных») технологий для идентификации пользователей.

Рост использования информационных систем требует ужесточения законодательства^[12] — организации, обрабатывающие персональные данные, обязаны реализовать эффективную систему контроля доступа.