Adgangskontroll
Tilgangskontroll består i å verifisere om en enhet (en person, kjøretøy, datamaskin , osv...) som ber om tilgang til en ressurs har de nødvendige rettighetene til å gjøre det. [ 1 ]
En tilgangskontroll gir mulighet for å få tilgang til fysiske ressurser (for eksempel en bygning , et sted , et land ) eller logiske ressurser (for eksempel et operativsystem eller en spesifikk dataapplikasjon ). [ 1 ] [ 2 ]
Retningslinjer for tilgangskontroll
En tilgangskontrollpolicy spesifiserer tilgangsrettighetene som regulerer om en begjæring om tilgang skal tillates eller ikke. [ 3 ] Adgangsforespørsler gjøres av det som kalles en prinsipal , som kan være: en bruker (menneske), et subjekt (en prosess som kjører på vegne av en bruker) og et objekt (en data eller en ressurs) [ 3 ]
Vi kan klassifisere tilgangskontrollpolicyer i forskjellige typer, hver med sine fordeler og ulemper: [ 3 ] [ 4 ]
- Skjønnsmessig tilgangskontroll eller DAC ._ Tilgangsrettigheter til en ressurs er spesifisert av regler diktert av eieren av ressursen. Vanligvis er hvert ressursobjekt knyttet til en tilgangskontrollliste (ACL) som inneholder en liste over brukere og grupper som har tilgang sammen med tilgangsnivået til hver bruker eller gruppe som bestemmer hvordan de kan få tilgang. For eksempel følger tillatelsesmodellen for filtilgang implementert i UNIX denne typen policyer. For eksempel, hvis en fil har rettighetene "... rwxr-xr-x ... file.txt", er det som indikeres at eieren av filen ønsker å kunne lese, skrive og kjøre, og at andre brukere de bare kan lese eller kjøre. Et annet eksempel, et treningsstudio har en tilgangskontrollliste med brukerne som har tilgang. Bruk av brukergrupper er farlig siden for eksempel prosjektleder kan ha tilgang til informasjon som kun skal være ment for økonomiansvarlig.
- Obligatorisk tilgangskontroll eller MAC (akronym for Mandatory Access Control ). Adgangsrettigheter er fastsatt av en sentral myndighet. Den underliggende filosofien er at informasjon tilhører organisasjonen (i stedet for individuelle medlemmer av organisasjonen), og organisasjonen kontrollerer sikkerhetspolitikken.
- Rollebasert tilgangskontroll eller RBAC ._ I den virkelige verden er det vanlig at tilgangsrettigheter endres dynamisk etter hvert som ansvaret til hovedpersonen endres. Det denne tilgangskontrollpolicyen gjør er å etablere roller (sett med handlinger og ansvar knyttet til en bestemt arbeidsaktivitet) og erklærer tilgangskontrollpolicyen som etablerer forhold mellom roller, ressurser og rettigheter (rettighetstildeling ) . Fra dem er rektorene tildelt en eller flere roller (rolletildeling ) . Til slutt, i rollene, kan det etableres et hierarki, inkludert de på et høyere nivå og rettighetene til de på et lavere nivå. Nesten alle virkelige systemer implementerer en form for RBAC. Skjønnsmessige eller obligatoriske retningslinjer kan opprettes ved å bruke RBAC som den underliggende modellen.
- Regelbasert tilgangskontroll , på engelsk Rule Based Access Control (RBAC). Selv om akronymene sammenfaller med rollebasert tilgangskontroll, bør de ikke forveksles. Tilgang til ressursobjekter gis eller nektes basert på et sett med regler definert av en systemadministrator , og kan ikke endres av brukere. Som med DAC, lagres tilgangsegenskaper i tilgangskontrolllister (ACL) knyttet til hver ressurs. Når en bruker eller gruppe prøver å få tilgang til en ressurs, kontrolleres tilgangskontrollistereglene for det objektet som er definert av systemadministratoren . Disse reglene kan for eksempel tillate nettverkstilgang kun fra visse IP-er, eller tillate tilgang fra en spesifikk IP-adresse med mindre den kommer fra en bestemt port, eller begrense datatilgang kun i arbeidstiden. [ 5 ]
Komponenter
Tilgangskontroll inkluderer generelt tre komponenter:
- En enhetsautentiseringsmekanisme ( for eksempel et passord , et kart , en nøkkel , en biometrisk , ...). Denne mekanismen er ikke nyttig i seg selv, men den er avgjørende for driften av følgende to: [ 6 ]
- En autorisasjonsmekanisme (enheten kan autentiseres, men har ikke rett til å få tilgang til denne ressursen på et gitt tidspunkt) .
- En sporbarhetsmekanisme : noen ganger kan autorisasjonsmekanismen være utilstrekkelig for å garantere at enheten har rett til tilgang til den ressursen (med hensyn til en prosedyre, arbeidstimer, ...), sporbarhet kompenserer for denne mangelen ved å innføre et sverd av Damokles-skapende enheter ansvarlig. Det er også nyttig hvis du i ettertid ønsker å identifisere personen som er ansvarlig for en handling.
I dag, [ når? ] Det er en økende etterspørsel fra selskaper om å kunne spore tilgang til datamaskinene sine ved hjelp av en tilgangsrettighetsmelding. [ referanse nødvendig ]
Lovmessige endringer
I følge EPA for andre kvartal 2018, "i Spania ble det jobbet 6 822 900 overtidstimer per uke og 2 986 200 timer ble ikke betalt, det vil si 43,8% av totalen." [ 7 ] For å bekjempe overdreven arbeidstid og overtid som ikke betales eller kompenseres, vil regjeringen tvinge bedrifter til å kontrollere tilgangen til sine ansatte og registrere timene som er jobbet etter sin "Masterplan for anstendig arbeid (2018 / 2019 / 2020) ". [ 8 ]
Se også
Referanser
- ↑ a b David Kim; Michael Solomon (17. november 2010). Grunnleggende om informasjonssystemsikkerhet . Jones & Bartlett læring. s. 144-. ISBN 978-0-7637-9025-7 .
- ↑ Martínez Pascual, Diego (21. desember 2018). "Proactive Controls in Secure Software Development (Access Control Implementation" (html) . Sysadmin Apprentice . Arkivert fra originalen 22. desember 2018. Hentet 22. desember 2018. "Tilgangskontroll er prosessen der det ber om tilgang til en bestemt funksjon eller ressurs er gitt eller nektet. Det skal bemerkes at autorisasjon ikke er det samme som autentisering (verifisering av identitet). Disse begrepene og deres definisjoner blir ofte forvirret, og vi bør ikke falle inn i den feilen."
- ↑ abc Tilgangskontroll . _ _ Michael Clarkson. Cornell University
- ↑ Tilgangskontroll . ticportal.es 11. oktober 2018
- ↑ RBAC: Regelbasert vs. Rollebasert tilgangskontroll . Bryan Beilman. 28. mars 2019
- ↑ Michael Whitman; Herbert Mattord (7. oktober 2013). Håndtering av informasjonssikkerhet . Cengage læring. s. 346-. ISBN 978-1-305-15603-6 .
- ↑ Obligatorisk registrering av arbeidstid https://www.cucorent.com/blog/nuevo-aviso-del-gobierno-registro-obligatorio-las-horas-trabajo/
- ↑ Nestleder Rocío de Frutos forklarer den obligatoriske registreringen av arbeidsdagen https://www.cucorent.com/blog/la-diputada-rocio-frutos-explica-registro-obligatorio-la-jornada-laboral/
Eksterne lenker