Что такое управление доступом
Управление доступом — это основа любой системы безопасности.
Именно этот механизм определяет, кто может получить доступ к каким данным, приложениям или ресурсам, и при каких условиях.
В любой компьютерной системе есть два участника:
- Субъект доступа — тот, кто хочет получить доступ. Это может быть человек, программа или даже устройство.
- Объект доступа — то, к чему субъект обращается. Например, файл, база данных, веб-страница или учётная запись.
Чтобы субъект смог взаимодействовать с объектом, в системе должны быть прописаны правила: кому, куда и зачем можно входить. На этом и строится управление доступом.
Основные модели управления доступом
Моделей существует много, но в практике чаще всего используют четыре базовые. Они отличаются уровнем контроля, гибкостью и сложностью настройки.
1. Дискреционная модель (DAC — Discretionary Access Control)
Самая простая и привычная модель.
Здесь владелец ресурса сам решает, кто может к нему обращаться.
Пример:
Обычный файл на компьютере. Ты сам задаёшь, кто может его читать или редактировать.
Плюсы: просто, удобно, понятно.
Минусы: можно легко ошибиться и случайно дать доступ лишним людям.
2. Мандатная модель (MAC — Mandatory Access Control)
В этой модели всё жёстче: доступ регулирует не пользователь, а централизованная политика безопасности.
Каждому объекту и субъекту назначается уровень допуска, и доступ возможен только при совпадении этих уровней.
Пример:
Военные или государственные системы — секретные документы доступны только пользователям с нужным уровнем допуска.
Плюсы: высокий уровень контроля и безопасности.
Минусы: сложность настройки и малая гибкость.
3. Ролевая модель (RBAC — Role-Based Access Control)
Здесь всё завязано на роли пользователя.
Права выдаются не индивидуально, а по должности или функции в организации.
Пример:
Администратор имеет полный доступ, бухгалтер — только к финансовым данным, а менеджер — к отчётам и задачам своей команды.
Плюсы: удобно для больших организаций, легко управлять правами.
Минусы: важно заранее продумать структуру ролей, иначе быстро появится путаница.
4. Атрибутивная модель (ABAC — Attribute-Based Access Control)
Самая современная и гибкая модель.
Решение о доступе принимается на основе набора атрибутов — кто обращается, откуда, в какое время, с какого устройства и к каким данным.
Пример:
Сотрудник может войти в корпоративную сеть только в рабочее время и только с ноутбука, зарегистрированного в системе.
Плюсы: высокая гибкость и автоматизация.
Минусы: требует сложной логики и продуманной настройки.
Как происходит доступ: три шага
Когда пользователь входит в систему, он проходит три последовательных этапа:
- Идентификация — сообщает системе, кто он ( например, вводит логин).
- Аутентификация — доказывает, что действительно является этим пользователем ( вводит пароль, отпечаток пальца и т. д.).
- Авторизация — система решает, какие действия этому пользователю разрешены ( например, доступ только к своим данным).
Методы аутентификации
Чтобы убедиться, что пользователь — это действительно он, применяются разные методы:
- То, что пользователь знает — пароль, PIN-код, ответ на секретный вопрос.
- То, что у пользователя есть — токен, смарт-карта, смартфон, код из SMS.
- То, чем пользователь является — биометрия: отпечаток пальца, распознавание лица, радужка глаза.
- Многофакторная аутентификация — сочетание нескольких способов, например пароль плюс одноразовый код из SMS.
Такой подход значительно повышает безопасность: даже если злоумышленник узнает пароль, без второго фактора войти в систему он не сможет.
Управление доступом — это фундамент информационной безопасности.
Без продуманной системы прав и ограничений даже самые мощные антивирусы или фаерволы не спасут.
Главная идея проста: дать нужным людям доступ к нужным ресурсам в нужное время — и не дать никому лишнему.
Добавить комментарий