Thực đơn
Điều khiển truy cập An ninh máy tínhNhiệm vụ điều khiển truy cập trong an ninh máy tính (computer security access control) bao gồm các nhiệm vụ xác thực (authentication), ủy quyền (authorization) và kiểm toán. Nhiệm vụ này còn bao gổm cả việc sử dụng những phương pháp bổ sung như phương pháp sử dụng các thiết bị phần cứng - chẳng hạn như các máy quét lướt sinh trắc học (biometric scans)[1] và bằng cách dùng các khóa bằng kim loại (metal locks) - hoặc các phương pháp xử lý phần mềm như việc sử dụng "đường dẫn ẩn" (hidden path)[2], chữ ký điện tử (digital signatures), mật mã hóa (encryption), các rào cản (ngăn ngừa) trong quan hệ xã hội (social barriers)[3], và theo dõi hoạt động của hệ thống bằng sức người hoặc bằng các hệ thống tự động. Sự ủy quyền có thể được thực thi dùng phương pháp Điều khiển truy cập trên cơ sở vai trò (role based access control), bằng cách dùng các danh sách truy cập (access control list) hoặc bằng cách dùng một ngôn ngữ thi hành chính sách (policy language) chẳng hạn như XACML.
Điều khiển truy cập tạo nên khả năng cho chúng ta có thể ban phép hoặc từ chối một chủ thể - một thực thể chủ động, chẳng hạn như một người hay một quy trình nào đó - sử dụng một đối tượng - một thực thể thụ động, chẳng hạn như một hệ thống, một tập tin - nào đấy trong hệ thống.
Các hệ thống điều khiển truy cập cung cấp những dịch vụ thiết yếu như dịch vụ nhận dạng và xác minh (identification and authentication - I&A), dịch vụ ủy quyền (authorization) và dịch vụ quy trách nhiệm (accountability) đối với người dùng hoặc đối với quy trình. Trong khi dịch vụ nhận dạng và xác minh nhằm xác định ai là người được đăng nhập vào một hệ thống, thì dịch vụ ủy quyền xác định những gì mà một người dùng đã được xác thực có thể thi hành, và dịch vụ quy trách nhiệm nhận dạng và chứng thực những hành vi hay hoạt động mà người dùng đã thi hành trong khi họ sử dụng hệ thống.
Nhận dạng và xác thực (Identification and authentication - I&A) là một quy trình gồm hai bước hòng xác minh người truy nhập vào hệ thống. Nhận dạng là phương pháp người dùng báo cho hệ thống biết họ là ai (chẳng hạn như bằng cách dùng tên người dùng). Bộ phận nhận dạng người dùng của một hệ thống điều khiển truy cập thường là một cơ chế tương đối đơn giản, hoạt động chủ yếu dựa trên một hệ thống tên người dùng (username) hoặc chỉ danh của người dùng (userID). Trong trường hợp đối với một hệ thống hoặc một quy trình (process), việc nhận dạng thường dựa vào:
Những yêu cầu nhận dạng đòi hỏi các chỉ danh dùng để nhận dạng:
Xác thực là một quy trình xác minh danh hiệu của một người dùng - chẳng hạn bằng cách so sánh mật khẩu mà người dùng đăng nhập với mật khẩu được lưu trữ trong hệ thống đối với một tên người dùng cho trước nào đó.
Quy trình xác thực phải dựa vào một trong ba yếu tố sau đây:
Sự ủy quyền (authorization) (hay còn gọi là sự chính thức hóa (establishment)) định nghĩa quyền (rights) và phép (permission) của người dùng trong một hệ thống. Sau khi người dùng (hoặc một quy trình) đã được chứng thực, việc ủy quyền chỉ định những cái gì mà người dùng đó có thể thi hành trên hệ thống.
Đa số các hệ điều hành hiện đại đều định nghĩa một loạt các quyền, phép, và chúng, hoặc là các loại quyền tương tự, hoặc là các mở rộng của ba loại quyền truy cập chính sau đây:
Việc ban "quyền" và "phép" này được thực hiện một cách không đồng bộ trên nhiều hệ thống, dựa vào nguyên lý điều khiển truy cập tùy quyền (discretionary access control - DAC) và nguyên lý điều khiển truy cập bắt buộc (mandatory access control - MAC).
Điều khiển truy cập nói chung được chia ra làm hai loại, hoặc là tùy quyền (discretionary), hoặc là bắt buộc (mandatory). Thông hiểu sự khác nhau giữa điều khiển truy cập tùy quyền (DAC) và điều khiển truy cập bắt buộc (MAC), cũng như những phương pháp điều khiển truy cập cụ thể thuộc mỗi hạng loại trên, là một yêu cầu then chốt để chúng ta có thể đạt được kết quả tốt trong các cuộc kiểm thảo về chất lượng an ninh.
Điều khiển truy cập tùy quyền (discretionary access control - DAC) là một chính sách truy cập mà chủ nhân của tập tin hay người chủ của một tài nguyên nào đấy tự định đoạt. Chủ nhân của nó quyết định ai là người được phép truy cập tập tin và những đặc quyền (privilege) nào là những đặc quyền người đó được phép thi hành.
Hai quan niệm quan trọng trong truy cập tùy quyền là:
Điều khiển truy cập tùy quyền có thể được áp dụng thông qua nhiều kỹ thuật khác nhau:
Những quyền và phép để truy cập các đối tượng được chỉ định cho từng nhóm, hay hơn nữa, tới từng cá nhân một. Các cá nhân có thể trực thuộc một hoặc nhiều nhóm khác nhau. Mỗi cá nhân có thể được bố trí để họ tự đạt được nhiều hình thức phép truy cập hay phép sửa đổi dưới dạng tích lũy (do mỗi nhóm mà họ là hội viên ban cho và cộng lại), song cũng có thể bị loại khỏi những phép truy cập, là những phép mà tất cả các nhóm họ là hội viên không thể cùng có được.
Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính sách truy cập không do cá nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định. MAC được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm[4], như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong quân đội. Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng.
Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt buộc:
Trong vấn đề an ninh đối với các hệ thống máy tính, Điều khiển truy cập trên cơ sở vai trò (role-based access control - RBAC) là một tiếp cận (phương pháp) để hạn chế người dùng hợp pháp truy cập hệ thống. Nó là một phương pháp tiếp cận mới, có thể dùng để thay thế phương pháp điều khiển truy cập tùy quyền (DAC) và điều khiển truy cập bắt buộc (MAC).
Thực đơn
Điều khiển truy cập An ninh máy tínhLiên quan
Điều Điều hòa không khí Điều ước thứ 7 Điều kì diệu ở phòng giam số 7 Điều chế tần số Điều tra gian lận phiếu bầu của Mnet Điều lệ Đảng Cộng sản Việt Nam Điều chế độ rộng xung Điều khiển từ xa Điều trị và kiểm soát COVID-19Tài liệu tham khảo
WikiPedia: Điều khiển truy cập http://www.securitypark.co.uk