Xem Điều khiển truy cập là gì 2024
Bài 6: Kiến thức cơ sở về điều khiển truy cập – Giáo trình FPT Định nghĩa điều khiển truy cập và liệt kê bốn mô hình điều
khiển truy cập
Mô tả các phương pháp điều khiển truy cập lô gíc
Bài 6-Kiến thức cơ sở về điều khiển truy cập 3
Giải thích các kiểu điều khiển truy cập vật lý khác nhau
Định nghĩa các dịch vụ xác thực
amit rahul 1 year ago
VUPHONG26 2 years ago
Đoàn Văn Duy Thanh 2 years ago
LãoGià CôĐơn 4 years ago
mylove0682 7 years ago
amit rahul 1 year ago amit rahul
VUPHONG26 2 years ago VUPHONG26
Đoàn Văn Duy Thanh 2 years ago Đoàn Văn Duy Thanh
LãoGià CôĐơn 4 years ago LãoGià CôĐơn
mylove0682 7 years ago mylove0682
Bài 6: Kiến thức cơ sở về điều khiển truy cập – Giáo trình FPT
- 1. Bài 6: Kiến thức cơ sở về điều khiển truy cập
- 2. Củng cố lại bài 5 Quản trị một mạng bảo mật Các giao thức mạng phổ biến Các nguyên tắc quản trị mạng Bảo mật cho các ứng dụng mạng (SV tự đọc) Bảo mật mạng không dây Tấn công vào mạng không dây Các điểm yếu trong bảo mật 802.1x Các giải pháp bảo mật mạng không dây Quản trị một mạng bảo mật Các giao thức mạng phổ biến Các nguyên tắc quản trị mạng Bảo mật cho các ứng dụng mạng (SV tự đọc) Bảo mật mạng không dây Tấn công vào mạng không dây Các điểm yếu trong bảo mật 802.1x Các giải pháp bảo mật mạng không dây Bài 6 – Kiến thức cơ sở về điều khiển truy cập 2
- 3. Mục tiêu của bài học Định nghĩa điều khiển truy cập và liệt kê bốn mô hình điều khiển truy cập Mô tả các phương pháp điều khiển truy cập lô gíc Bài 6 – Kiến thức cơ sở về điều khiển truy cập 3 Giải thích các kiểu điều khiển truy cập vật lý khác nhau Định nghĩa các dịch vụ xác thực
- 4. Giới thiệu Những cơ sở quan trọng trong lĩnh vực bảo mật thông tin Kiểm tra người dùng được chấp thuận Điều khiển việc truy cập của họ Chương này sẽ giới thiệu các nguyên tắc và phương pháp điều khiển truy cập thực tiễn Thuật ngữ liên quan tới điều khiển truy cập Bốn mô hình điều khiển truy cập tiêu chuẩn Phương pháp điều khiển truy cập thực tiễn tốt nhất Chương này cũng đề cập tới các dịch vụ xác thực Những cơ sở quan trọng trong lĩnh vực bảo mật thông tin Kiểm tra người dùng được chấp thuận Điều khiển việc truy cập của họ Chương này sẽ giới thiệu các nguyên tắc và phương pháp điều khiển truy cập thực tiễn Thuật ngữ liên quan tới điều khiển truy cập Bốn mô hình điều khiển truy cập tiêu chuẩn Phương pháp điều khiển truy cập thực tiễn tốt nhất Chương này cũng đề cập tới các dịch vụ xác thực Bài 6 – Kiến thức cơ sở về điều khiển truy cập 4
- 5. Điều khiển truy cập là gì? Cấp phép hoặc từ chối phê duyệt sử dụng các tài nguyên xác định Cơ chế của hệ thống thông tin cho phép hoặc hạn chế truy cập đến dữ liệu hoặc các thiết bị Bốn mô hình tiêu chuẩn Các phương pháp thực tiễn để thực thi điều khiển truy cập Cấp phép hoặc từ chối phê duyệt sử dụng các tài nguyên xác định Cơ chế của hệ thống thông tin cho phép hoặc hạn chế truy cập đến dữ liệu hoặc các thiết bị Bốn mô hình tiêu chuẩn Các phương pháp thực tiễn để thực thi điều khiển truy cập Bài 6 – Kiến thức cơ sở về điều khiển truy cập 5
- 6. Các thuật ngữ về điều khiển truy cập (1/2) Trình diện Xuất trình các ủy quyền Ví dụ: người vận chuyển hàng xuất trình thẻ nhân viên Xác thực Kiểm tra, xác minh các ủy quyền Ví dụ: kiểm tra thẻ của người vận chuyển hàng Ủy quyền Cấp quyền để thực hiện hành động Ví dụ: cho phép người vận chuyển hàng được chất kiện hàng lên xe Trình diện Xuất trình các ủy quyền Ví dụ: người vận chuyển hàng xuất trình thẻ nhân viên Xác thực Kiểm tra, xác minh các ủy quyền Ví dụ: kiểm tra thẻ của người vận chuyển hàng Ủy quyền Cấp quyền để thực hiện hành động Ví dụ: cho phép người vận chuyển hàng được chất kiện hàng lên xe Bài 6 – Kiến thức cơ sở về điều khiển truy cập 6
- 7. Hành động Mô tả Ví dụ tình huống Quá trình trên máy tính Nhận diện Xem xét các ủy quyền Người vận chuyển hàng xuất trình thẻ nhân viên Người dùng nhập tên đăng nhập Xác thực Xác minh các ủy quyền có thực sự chính xác hay không Mia đọc thông tin trên thẻ để xác định những thông tin đó có thực hay không Người dùng cung cấp mật khẩu Các bước điều khiển truy cập cơ bản Bài 6 – Kiến thức cơ sở về điều khiển truy cập 7 Xác minh các ủy quyền có thực sự chính xác hay không Mia đọc thông tin trên thẻ để xác định những thông tin đó có thực hay không Người dùng cung cấp mật khẩu Ủy quyền Cấp quyền cho phép Mia mở cửa cho phép người vận chuyển hàng đi vào Người dùng đăng nhập hợp lệ Truy cập Quyền được phép truy cập tới các tài nguyên xác định Người vận chuyển hàng chỉ có thể lấy các hộp ở cạnh cửa Người dùng được phép truy cập tới các dữ liệu cụ thể
- 8. Các thuật ngữ liên quan tới điều khiển truy cập (2/2) Đối tượng Tài nguyên cụ thể Ví dụ: file hoặc thiết bị phần cứng Chủ thể Người dùng hoặc quá trình hoạt động đại diện cho một người dùng Ví dụ: người dùng máy tính Thao tác Hành động do chủ thể gây ra đối với một đối tượng Ví dụ: xóa một file Đối tượng Tài nguyên cụ thể Ví dụ: file hoặc thiết bị phần cứng Chủ thể Người dùng hoặc quá trình hoạt động đại diện cho một người dùng Ví dụ: người dùng máy tính Thao tác Hành động do chủ thể gây ra đối với một đối tượng Ví dụ: xóa một file Bài 6 – Kiến thức cơ sở về điều khiển truy cập 8
- 9. Vai trò Mô tả Trách nhiệm Ví dụ Chủ sở hữu Người chịu trách nhiệm về thông tin Xác định mức bảo mật cần thiết đối với dữ liệu và giao phó các nhiệm vụ bảo mật khi cần. Xác định rằng chỉ những người quản lý của cơ quan mới có thể đọc được file SALARY.XLSX Người giám sát Cá nhân mà mọi hành động thường ngày của anh ta do chủ sở hữu quy định Thường xuyên rà soát các thiết lập bảo mật và duy trì các bản ghi truy cập của người dùng Thiết lập và rà soát các thiết lập bảo mật cho file SALARY.XLSX Các vai trò trong điều khiển truy cập Bài 6 – Kiến thức cơ sở về điều khiển truy cập 9 Người giám sát Cá nhân mà mọi hành động thường ngày của anh ta do chủ sở hữu quy định Thường xuyên rà soát các thiết lập bảo mật và duy trì các bản ghi truy cập của người dùng Thiết lập và rà soát các thiết lập bảo mật cho file SALARY.XLSX Người dùng Người truy cập thông tin trong phạm vi trách nhiệm được giao phó Tuân thủ đúng các chỉ dẫn bảo mật của tổ chức và không được cố ý vi phạm bảo mật Mở file SALARY.XSLX
- 10. Quá trình điều khiển truy cập và các thuật ngữ liên quan Bài 6 – Kiến thức cơ sở về điều khiển truy cập 10
- 11. Các mô hình điều khiển truy cập (1/2) Các tiêu chuẩn cung cấp nền tảng cơ sở (framework) được định trước cho các nhà phát triển phần cứng hoặc phần mềm Được sử dụng để thực thi điều khiển truy cập trong thiết bị hoặc ứng dụng Người giám sát có thể cấu hình bảo mật dựa trên yêu cầu của chủ sở hữu Các tiêu chuẩn cung cấp nền tảng cơ sở (framework) được định trước cho các nhà phát triển phần cứng hoặc phần mềm Được sử dụng để thực thi điều khiển truy cập trong thiết bị hoặc ứng dụng Người giám sát có thể cấu hình bảo mật dựa trên yêu cầu của chủ sở hữu Bài 6 – Kiến thức cơ sở về điều khiển truy cập 11
- 12. Các mô hình điều khiển truy cập (2/2) Bốn mô hình điều khiển truy cập chính Điều khiển truy cập bắt buộc (Mandatory Access Control – MAC) Điều khiển truy cập tùy ý (Discretionary Access Control – DAC) Điều khiển truy cập dựa trên vai trò (Role Based Access Control – RBAC) Điều khiển truy cập dựa trên quy tắc (Rule Based Access Control – RBAC) Bốn mô hình điều khiển truy cập chính Điều khiển truy cập bắt buộc (Mandatory Access Control – MAC) Điều khiển truy cập tùy ý (Discretionary Access Control – DAC) Điều khiển truy cập dựa trên vai trò (Role Based Access Control – RBAC) Điều khiển truy cập dựa trên quy tắc (Rule Based Access Control – RBAC) Bài 6 – Kiến thức cơ sở về điều khiển truy cập 12
- 13. Điều khiển truy cập bắt buộc – MAC (1/4) Điều khiển truy cập bắt buộc (Mandatory Access Control – MAC) Là mô hình điều khiển truy cập nghiêm ngặt nhất Thường bắt gặp trong các thiết lập của quân đội Hai thành phần: Nhãn và Cấp độ Mô hình MAC cấp quyền bằng cách đối chiếu nhãn của đối tượng với nhãn của chủ thể Nhãn cho biết cấp độ quyền hạn Để xác định có mở một file hay không: So sánh nhãn của đối tượng với nhãn của chủ thể Chủ thể phải có cấp độ tương đương hoặc cao hơn: đối tượng được cấp phép truy cập Điều khiển truy cập bắt buộc (Mandatory Access Control – MAC) Là mô hình điều khiển truy cập nghiêm ngặt nhất Thường bắt gặp trong các thiết lập của quân đội Hai thành phần: Nhãn và Cấp độ Mô hình MAC cấp quyền bằng cách đối chiếu nhãn của đối tượng với nhãn của chủ thể Nhãn cho biết cấp độ quyền hạn Để xác định có mở một file hay không: So sánh nhãn của đối tượng với nhãn của chủ thể Chủ thể phải có cấp độ tương đương hoặc cao hơn: đối tượng được cấp phép truy cập Bài 6 – Kiến thức cơ sở về điều khiển truy cập 13
- 14. Điều khiển truy cập bắt buộc – MAC (2/4) Hai mô hình thực thi của MAC Mô hình mạng lưới (Lattice model) Mô hình Bell-LaPadula Mô hình mạng lưới Các chủ thể và đối tượng được gán một cấp bậc trong mạng lưới Nhiều mạng lưới có thể được đặt cạnh nhau Mô hình Bell-LaPadula Tương tự mô hình mạng lưới Các chủ thể không thể tạo một đối tượng mới hay thực hiện một số chức năng nhất định đối với các đối tượng có cấp thấp hơn Hai mô hình thực thi của MAC Mô hình mạng lưới (Lattice model) Mô hình Bell-LaPadula Mô hình mạng lưới Các chủ thể và đối tượng được gán một cấp bậc trong mạng lưới Nhiều mạng lưới có thể được đặt cạnh nhau Mô hình Bell-LaPadula Tương tự mô hình mạng lưới Các chủ thể không thể tạo một đối tượng mới hay thực hiện một số chức năng nhất định đối với các đối tượng có cấp thấp hơn Bài 6 – Kiến thức cơ sở về điều khiển truy cập 14
- 15. Điều khiển truy cập bắt buộc – MAC (3/4) Ví dụ về việc thực thi mô hình MAC Windows 7/Vista có bốn cấp bảo mật Các thao tác cụ thể của một chủ thể đối với phân hạng thấp hơn phải được sự phê duyệt của quản trị viên Hộp thoại User Account Control (UAC) trong Windows Bài 6 – Kiến thức cơ sở về điều khiển truy cập 15
- 16. Điều khiển truy cập tùy ý (DAC) (1/3) Điều khiển truy cập tùy ý (DAC) Mô hình ít hạn chế nhất Mọi đối tượng đều có một chủ sở hữu Chủ sở hữu có toàn quyền điều khiển đối với đối tượng của họ Chủ sở hữu có thể cấp quyền đối với đối tượng của mình cho một chủ thể khác Được sử dụng trên các hệ điều hành như Microsoft Windows và hầu hết các hệ điều hành UNIX Điều khiển truy cập tùy ý (DAC) Mô hình ít hạn chế nhất Mọi đối tượng đều có một chủ sở hữu Chủ sở hữu có toàn quyền điều khiển đối với đối tượng của họ Chủ sở hữu có thể cấp quyền đối với đối tượng của mình cho một chủ thể khác Được sử dụng trên các hệ điều hành như Microsoft Windows và hầu hết các hệ điều hành UNIX Bài 6 – Kiến thức cơ sở về điều khiển truy cập 16
- 17. Điều khiển truy cập tùy ý (DAC) (2/3) Nhược điểm của DAC Phụ thuộc vào quyết định của người dùng để thiết lập cấp độ bảo mật phù hợp Việc cấp quyền có thể không chính xác Quyền của chủ thể sẽ được thừa kế bởi các chương trình mà chủ thể thực thi Trojan là một vấn đề đặc biệt của DAC Nhược điểm của DAC Phụ thuộc vào quyết định của người dùng để thiết lập cấp độ bảo mật phù hợp Việc cấp quyền có thể không chính xác Quyền của chủ thể sẽ được thừa kế bởi các chương trình mà chủ thể thực thi Trojan là một vấn đề đặc biệt của DAC Bài 6 – Kiến thức cơ sở về điều khiển truy cập 17
- 18. Điều khiển truy cập tùy ý (DAC) (3/3) Bài 6 – Kiến thức cơ sở về điều khiển truy cập 18
- 19. Điều khiển truy cập dựa trên vai trò (RBAC) Điều khiển truy cập dựa trên vai trò (Role Based Access Control RBAC) Còn được gọi là Điều khiển Truy cập không tùy ý Quyền truy cập dựa trên chức năng công việc RBAC gán các quyền cho các vai trò cụ thể trong tổ chức Các vai trò sau đó được gán cho người dùng Điều khiển truy cập dựa trên vai trò (Role Based Access Control RBAC) Còn được gọi là Điều khiển Truy cập không tùy ý Quyền truy cập dựa trên chức năng công việc RBAC gán các quyền cho các vai trò cụ thể trong tổ chức Các vai trò sau đó được gán cho người dùng Bài 6 – Kiến thức cơ sở về điều khiển truy cập 19
- 20. Điều khiển truy cập dựa trên quy tắc (RBAC) Điều khiển truy cập dựa trên quy tắc (Rule Based Access Control – RBAC) Tự động gán vai trò cho các chủ thể dựa trên một tập quy tắc do người giám sát xác định Mỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựa trên quy tắc Khi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểm tra các quy tắc của đối tượng để xác định quyền truy cập Thường được sử dụng để quản lý truy cập người dùng tới một hoặc nhiều hệ thống Những thay đổi trong doanh nghiệp có thể làm cho việc áp dụng các quy tắc thay đổi Điều khiển truy cập dựa trên quy tắc (Rule Based Access Control – RBAC) Tự động gán vai trò cho các chủ thể dựa trên một tập quy tắc do người giám sát xác định Mỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựa trên quy tắc Khi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểm tra các quy tắc của đối tượng để xác định quyền truy cập Thường được sử dụng để quản lý truy cập người dùng tới một hoặc nhiều hệ thống Những thay đổi trong doanh nghiệp có thể làm cho việc áp dụng các quy tắc thay đổi Bài 6 – Kiến thức cơ sở về điều khiển truy cập 20
- 21. Tên Hạn chế Mô tả Điều khiển truy cập bắt buộc (MAC) Người dùng không thể thiết lập điều khiển Là mô hình nghiêm ngặt nhất Điều khiển truy cập tùy ý (DAC) Chủ thể có toàn quyền đối với các đối tượng Là mô hình cởi mở nhất Tóm tắt các mô hình điều khiển truy cập Bài 6 – Kiến thức cơ sở về điều khiển truy cập 21 Điều khiển truy cập dựa trên vai trò (RBAC) Gán quyền cho các vai trò cụ thể trong tổ chức, sau đó người dùng sẽ được chỉ định vai trò Được coi là phương pháp thực tế hơn Điều khiển truy cập dựa trên quy tắc (RBAC) Tự động gán vai trò cho các chủ thể dựa trên tập các quy tắc do người giám sát qui định Được sử dụng để quản lý truy cập người dùng tới một hoặc nhiều hệ thống
- 22. Các bài thực hành tốt nhất đối với điều khiển truy cập Thiết lập các thủ tục tối ưu để hạn chế truy cập Có thể giúp đảm bảo an toàn cho hệ thống và dữ liệu Các ví dụ về phương pháp tối ưu Tách nhiệm vụ (separation of duties) Luân chuyển công việc (job rotation) Đặc quyền tối thiểu (least privilege) Từ chối ngầm định (implicit deny) Các ngày nghỉ lễ bắt buộc (mandatory vacation) Thiết lập các thủ tục tối ưu để hạn chế truy cập Có thể giúp đảm bảo an toàn cho hệ thống và dữ liệu Các ví dụ về phương pháp tối ưu Tách nhiệm vụ (separation of duties) Luân chuyển công việc (job rotation) Đặc quyền tối thiểu (least privilege) Từ chối ngầm định (implicit deny) Các ngày nghỉ lễ bắt buộc (mandatory vacation) Bài 6 – Kiến thức cơ sở về điều khiển truy cập 22
- 23. Tách nhiệm vụ Hành vi gian lận có thể bắt nguồn từ việc tin cậy vào một cá nhân và cho phép họ toàn quyền điều khiển một quá trình Yêu cầu phải có ít nhất hai người chịu trách nhiệm cho các hoạt động liên quan tới quản lý tiền Giúp hệ thống không bị xâm hại do hành vi của một cá nhân đơn lẻ Hành vi gian lận có thể bắt nguồn từ việc tin cậy vào một cá nhân và cho phép họ toàn quyền điều khiển một quá trình Yêu cầu phải có ít nhất hai người chịu trách nhiệm cho các hoạt động liên quan tới quản lý tiền Giúp hệ thống không bị xâm hại do hành vi của một cá nhân đơn lẻ Bài 6 – Kiến thức cơ sở về điều khiển truy cập 23
- 24. Luân chuyển công việc Luân chuyển công việc Luân chuyển trách nhiệm công việc của các cá nhân theo định kỳ Các nhân viên có thể được thuyên chuyển công việc ngay trong phòng ban của họ hoặc giữa các phòng ban với nhau Ưu điểm của việc luân chuyển công việc Hạn chế thời gian tại vị của các cá nhân để họ không thể thao túng các cấu hình bảo mật Giúp vạch trần các con đường tiềm ẩn dẫn đến gian lận Mỗi cá nhân có một quan điểm khác nhau và điều đó có thể giúp phát hiện ra các lỗ hổng Giảm bớt căng thẳng mệt mỏi cho nhân viên Luân chuyển công việc Luân chuyển trách nhiệm công việc của các cá nhân theo định kỳ Các nhân viên có thể được thuyên chuyển công việc ngay trong phòng ban của họ hoặc giữa các phòng ban với nhau Ưu điểm của việc luân chuyển công việc Hạn chế thời gian tại vị của các cá nhân để họ không thể thao túng các cấu hình bảo mật Giúp vạch trần các con đường tiềm ẩn dẫn đến gian lận Mỗi cá nhân có một quan điểm khác nhau và điều đó có thể giúp phát hiện ra các lỗ hổng Giảm bớt căng thẳng mệt mỏi cho nhân viên Bài 6 – Kiến thức cơ sở về điều khiển truy cập 24
- 25. Ưu tiên ít nhất Giới hạn truy cập tới thông tin dựa trên nguyên tắc chỉ được biết những gì phục vụ cho công việc Giúp giảm thiểu bề mặt tấn công thông qua việc loại bỏ các đặc quyền không cần thiết Nên áp dụng cho người dùng và tiến trình trên hệ thống Các tiến trình nên hoạt động ở cấp độ bảo mật tối thiểu cần thiết để hoạt động chính xác Cám dỗ gán các mức ưu tiên cao hơn cũng rất lớn Giới hạn truy cập tới thông tin dựa trên nguyên tắc chỉ được biết những gì phục vụ cho công việc Giúp giảm thiểu bề mặt tấn công thông qua việc loại bỏ các đặc quyền không cần thiết Nên áp dụng cho người dùng và tiến trình trên hệ thống Các tiến trình nên hoạt động ở cấp độ bảo mật tối thiểu cần thiết để hoạt động chính xác Cám dỗ gán các mức ưu tiên cao hơn cũng rất lớn 25Kiến thức cơ sở về điều khiển truy cập
- 26. Thử thách Giải thích Các ứng dụng kế thừa Nhiều ứng dụng được phát triển trong nội bộ tổ chức và không còn được bảo trì hoặc là ứng dụng của một bên thứ ba không còn được hỗ trợ. Việc xây dựng lại các ứng dụng này có thể mất chi phí lớn; một cách thay thế là chạy các ứng dụng đó trên một môi trường ảo Những thử thách của phương pháp ưu tiên ít nhất 26 Nhiều ứng dụng được phát triển trong nội bộ tổ chức và không còn được bảo trì hoặc là ứng dụng của một bên thứ ba không còn được hỗ trợ. Việc xây dựng lại các ứng dụng này có thể mất chi phí lớn; một cách thay thế là chạy các ứng dụng đó trên một môi trường ảo Các nhiệm vụ quản trị chung Những công việc quản trị hệ thống cơ bản được thực hiện bởi người dùng; nếu không có đặc quyền cao, người dùng phải liên hệ với trợ lý kỹ thuật để thực hiện những nhiệm vụ này Cài đặt/Nâng cấp phần mềm Việc cập nhật phần mềm không được triển khai tập trung có thể đòi hỏi đặc quyền cao, nghĩa là cần tới sự hỗ trợ từ trợ lý kỹ thuật; điều này thường dẫn tới làm giảm năng suất và tăng chi phí hỗ trợ Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 27. Từ chối ngầm Nếu một điều kiện không đáp ứng rõ ràng, yêu cầu truy cập sẽ bị từ chối Ví dụ: bộ định tuyến mạng từ chối các truy cập ngoại trừ khi điều kiện phù hợp với các quy tắc giới hạn Nếu một điều kiện không đáp ứng rõ ràng, yêu cầu truy cập sẽ bị từ chối Ví dụ: bộ định tuyến mạng từ chối các truy cập ngoại trừ khi điều kiện phù hợp với các quy tắc giới hạn 27Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 28. Các kỳ nghỉ bắt buộc Hạn chế gian lận vì thủ phạm phải có mặt hàng ngày để che dấu hành vi gian lận của mình Lên kế hoạch kiểm tra hành vi của nhân viên giữ chức vụ nhạy cảm trong suốt thời gian nghỉ Hạn chế gian lận vì thủ phạm phải có mặt hàng ngày để che dấu hành vi gian lận của mình Lên kế hoạch kiểm tra hành vi của nhân viên giữ chức vụ nhạy cảm trong suốt thời gian nghỉ 28Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 29. Thực thi điều khiển truy cập Danh sách điều khiển truy cập (Access Control List – ACL) Chính sách nhóm (Group Policy) Giới hạn tài khoản Danh sách điều khiển truy cập (Access Control List – ACL) Chính sách nhóm (Group Policy) Giới hạn tài khoản 29Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 30. Danh sách điều khiển truy cập (1/2) Tập các quyền gắn với một đối tượng Xác định chủ thể nào có thể truy cập tới đối tượng và các thao tác nào mà chủ thể có thể thực hiện Khi chủ thể yêu cầu thực hiện một thao tác: Hệ thống kiểm tra danh sách điều khiển truy cập đối với mục đã được duyệt Danh sách điều khiển truy cập thường được xem xét trong mối liên hệ với các file của hệ điều hành Tập các quyền gắn với một đối tượng Xác định chủ thể nào có thể truy cập tới đối tượng và các thao tác nào mà chủ thể có thể thực hiện Khi chủ thể yêu cầu thực hiện một thao tác: Hệ thống kiểm tra danh sách điều khiển truy cập đối với mục đã được duyệt Danh sách điều khiển truy cập thường được xem xét trong mối liên hệ với các file của hệ điều hành 30Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 31. File chứa các quyền truy cập trong UNIX 31Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 32. Danh sách điều khiển truy cập (2/2) Mỗi một mục trong bảng danh sách điều khiển truy cập được gọi là một mục điều khiển (ACE) Cấu trúc ACE (trong Windows) Nhận dạng bảo mật (Access identifier) cho tài khoản người dùng hoặc tài khoản nhóm hoặc phiên đăng nhập Mặt nạ truy cập (access mask) xác định quyền truy cập do ACE điều khiển Cờ (Flag) cho biết kiểu của ACE Tập các cờ (Set of flags) xác định đối tượng có thể kế thừa các quyền hay không Mỗi một mục trong bảng danh sách điều khiển truy cập được gọi là một mục điều khiển (ACE) Cấu trúc ACE (trong Windows) Nhận dạng bảo mật (Access identifier) cho tài khoản người dùng hoặc tài khoản nhóm hoặc phiên đăng nhập Mặt nạ truy cập (access mask) xác định quyền truy cập do ACE điều khiển Cờ (Flag) cho biết kiểu của ACE Tập các cờ (Set of flags) xác định đối tượng có thể kế thừa các quyền hay không 32Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 33. Chính sách nhóm Tính năng của Microsoft Windows Cho phép sử dụng Active Directory (AD) để quản lý và cấu hình tập trung cho các máy tính và người dùng từ xa Thường được sử dụng trong các môi trường doanh nghiệp Các thiết lập được lưu trữ trong các GPO (Group Policy Objects Đối tượng chính sách nhóm) Local Group Policy Có ít tùy chọn hơn so với Group Policy Được sử dụng để cấu hình các thiết lập cho các hệ thống không phải là một phần của AD Tính năng của Microsoft Windows Cho phép sử dụng Active Directory (AD) để quản lý và cấu hình tập trung cho các máy tính và người dùng từ xa Thường được sử dụng trong các môi trường doanh nghiệp Các thiết lập được lưu trữ trong các GPO (Group Policy Objects Đối tượng chính sách nhóm) Local Group Policy Có ít tùy chọn hơn so với Group Policy Được sử dụng để cấu hình các thiết lập cho các hệ thống không phải là một phần của AD 33Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 34. Giới hạn tài khoản (1/3) Giới hạn thời gian trong ngày (time of day restriction) Giới hạn số lần người dùng đăng nhập vào hệ thống trong một ngày Cho phép chọn khối thời gian chặn đối với các truy cập được cho phép Có thể được thiết lập trên từng hệ thống riêng lẻ Hạn sử dụng tài khoản (account expiration) Các tài khoản mồ côi (orphaned account): tài khoản vẫn còn hoạt động sau khi một nhân viên rời khỏi tổ chức Tài khoản không hoạt động (dormant account): không truy cập trong một khoảng thời gian dài Cả hai kiểu tài khoản trên là những nguy cơ đối với bảo mật Giới hạn thời gian trong ngày (time of day restriction) Giới hạn số lần người dùng đăng nhập vào hệ thống trong một ngày Cho phép chọn khối thời gian chặn đối với các truy cập được cho phép Có thể được thiết lập trên từng hệ thống riêng lẻ Hạn sử dụng tài khoản (account expiration) Các tài khoản mồ côi (orphaned account): tài khoản vẫn còn hoạt động sau khi một nhân viên rời khỏi tổ chức Tài khoản không hoạt động (dormant account): không truy cập trong một khoảng thời gian dài Cả hai kiểu tài khoản trên là những nguy cơ đối với bảo mật 34Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 35. Giới hạn thời gian trong ngày của hệ điều hành 35Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 36. Giới hạn đối với điểm truy cập không dây 36Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 37. Giới hạn tài khoản (2/3) Các khuyến cáo xử lý đối với tài khoản mồ côi và tài khoản ngủ đông Thiết lập một qui trình chính thức Chấm dứt truy cập ngay lập tức Quản lý nhật ký (file log) Các tài khoản mồ côi vẫn là một vấn đề nan giải đối các tổ chức hiện nay Account expiration (thời gian hiệu lực của tài khoản) Thiết lập hết hạn cho một tài khoản người dùng (hết hiệu lực) Các khuyến cáo xử lý đối với tài khoản mồ côi và tài khoản ngủ đông Thiết lập một qui trình chính thức Chấm dứt truy cập ngay lập tức Quản lý nhật ký (file log) Các tài khoản mồ côi vẫn là một vấn đề nan giải đối các tổ chức hiện nay Account expiration (thời gian hiệu lực của tài khoản) Thiết lập hết hạn cho một tài khoản người dùng (hết hiệu lực) 37Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 38. Giới hạn tài khoản (3/3) Password expiration (thời gian hiệu lực của mật khẩu) thiết lập khoảng thời gian mà người dùng phải thay đổi một mật khẩu mới Khác với account expiration (thời gian hiệu lực của tài khoản) Account expiration có thể được thiết lập bằng số ngày mà người dùng không có bất cứ hành động truy cập nào Password expiration (thời gian hiệu lực của mật khẩu) thiết lập khoảng thời gian mà người dùng phải thay đổi một mật khẩu mới Khác với account expiration (thời gian hiệu lực của tài khoản) Account expiration có thể được thiết lập bằng số ngày mà người dùng không có bất cứ hành động truy cập nào 38Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 39. Các dịch vụ xác thực Xác thực (Authentication) Quá trình xác minh thông tin Các dịch vụ xác thực được cung cấp trên một mạng Máy chủ xác thực chuyên dụng Còn gọi là máy chủ AAA nếu nó thực hiện đồng thời cả nhiệm vụ ủy quyền (authorization) và kế toán (accounting) Các kiểu xác thực và máy chủ AAA thông dụng RADIUS Kerberos TACACS LDAP Xác thực (Authentication) Quá trình xác minh thông tin Các dịch vụ xác thực được cung cấp trên một mạng Máy chủ xác thực chuyên dụng Còn gọi là máy chủ AAA nếu nó thực hiện đồng thời cả nhiệm vụ ủy quyền (authorization) và kế toán (accounting) Các kiểu xác thực và máy chủ AAA thông dụng RADIUS Kerberos TACACS LDAP 39Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 40. RADIUS (1/2) RADIUS (Remote Authentication Dial In User Service – Bộ quay số xác thực từ xa trong dịch vụ người dùng) Được giới thiệu vào năm 1992 Trở thành một tiêu chuẩn công nghiệp Phù hợp cho các ứng dụng kiểm soát dịch vụ cỡ lớn Ví dụ như truy cập quay số tới mạng doanh nghiệp Hiện nay xẫn đang được sử dụng RADIUS client Thường là một thiết bị như điểm truy cập không dây (AP) Có nhiệm vụ gửi các thông tin về người dùng cùng với các tham số kết nối tới máy chủ RADIUS RADIUS (Remote Authentication Dial In User Service – Bộ quay số xác thực từ xa trong dịch vụ người dùng) Được giới thiệu vào năm 1992 Trở thành một tiêu chuẩn công nghiệp Phù hợp cho các ứng dụng kiểm soát dịch vụ cỡ lớn Ví dụ như truy cập quay số tới mạng doanh nghiệp Hiện nay xẫn đang được sử dụng RADIUS client Thường là một thiết bị như điểm truy cập không dây (AP) Có nhiệm vụ gửi các thông tin về người dùng cùng với các tham số kết nối tới máy chủ RADIUS 40Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 41. Xác thực RADIUS 41Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 42. RADIUS (2/2) Hồ sơ người dùng RADIUS được lưu trữ trong cơ sở dữ liệu trung tâm Tất cả các máy chủ từ xa đều có thể chia sẻ thông tin Ưu điểm của dịch vụ trung tâm Tăng cường bảo mật do chỉ có duy nhất một điểm quản lý trên mạng Dễ dàng theo dõi và truy vết việc sử dụng để thanh toán và lưu giữ các số liệu thống kê mạng Hồ sơ người dùng RADIUS được lưu trữ trong cơ sở dữ liệu trung tâm Tất cả các máy chủ từ xa đều có thể chia sẻ thông tin Ưu điểm của dịch vụ trung tâm Tăng cường bảo mật do chỉ có duy nhất một điểm quản lý trên mạng Dễ dàng theo dõi và truy vết việc sử dụng để thanh toán và lưu giữ các số liệu thống kê mạng 42Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 43. Kerberos Hệ thống xác thực được phát triển tại MIT Sử dụng mã hóa và xác thực để đảm bảo tính bảo mật Thường được sử dụng cài đặt trong các thiết lập giáo dục và chính phủ Hoạt động giống như việc sử dụng giấy phép lái xe để thanh toán séc. Vé Kerberos Chứa các thông tin liên quan tới người dùng Người dùng trình diện vé vào mạng cho một dịch vụ Rất khó để sao chép Hết hiệu lực sau một vài giờ hoặc sau một ngày Hệ thống xác thực được phát triển tại MIT Sử dụng mã hóa và xác thực để đảm bảo tính bảo mật Thường được sử dụng cài đặt trong các thiết lập giáo dục và chính phủ Hoạt động giống như việc sử dụng giấy phép lái xe để thanh toán séc. Vé Kerberos Chứa các thông tin liên quan tới người dùng Người dùng trình diện vé vào mạng cho một dịch vụ Rất khó để sao chép Hết hiệu lực sau một vài giờ hoặc sau một ngày 43Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 44. TACACS TACACS (Terminal Access Control Access Control Systems – Hệ thống điều khiển truy cập điều khiển truy cập thiết bị đầu cuối) Dịch vụ xác thực tương tự như RADIUS Do Cisco Systems phát triển Thường được sử dụng trên các thiết bị UNIX Giao tiếp bằng cách chuyển tiếp thông tin xác thực người dùng tới một máy chủ trung tâm Phiên bản hiện tại là TACACS+. TACACS (Terminal Access Control Access Control Systems – Hệ thống điều khiển truy cập điều khiển truy cập thiết bị đầu cuối) Dịch vụ xác thực tương tự như RADIUS Do Cisco Systems phát triển Thường được sử dụng trên các thiết bị UNIX Giao tiếp bằng cách chuyển tiếp thông tin xác thực người dùng tới một máy chủ trung tâm Phiên bản hiện tại là TACACS+. 44Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 45. So sánh giữa RADIUS và TACACS+ 45Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 46. LDAP (1/2) LDAP (Lightweight Directory Access Control – Giao thức truy cập thư mục hạng nhẹ) Dịch vụ thư mục Cơ sở dữ liệu được lưu trên mạng Chứa các thông tin về người dùng và các thiết bị mạng Lưu vết theo dõi các tài nguyên mạng và đặc quyền của người dùng đối với những tài nguyên đó Cho phép hoặc từ chối truy cập dựa trên thông tin lưu trữ Tiêu chuẩn cho các dịch vụ thư mục X.500 DAP (Directory Access Protocol – Giao thức truy cập thư mục ) LDAP (Lightweight Directory Access Control – Giao thức truy cập thư mục hạng nhẹ) Dịch vụ thư mục Cơ sở dữ liệu được lưu trên mạng Chứa các thông tin về người dùng và các thiết bị mạng Lưu vết theo dõi các tài nguyên mạng và đặc quyền của người dùng đối với những tài nguyên đó Cho phép hoặc từ chối truy cập dựa trên thông tin lưu trữ Tiêu chuẩn cho các dịch vụ thư mục X.500 DAP (Directory Access Protocol – Giao thức truy cập thư mục ) 46Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 47. LDAP (2/2) LDAP Một tập con đơn giản hơn của DAP Được thiết kế để hoạt động trên bộ giao thức TCP/IP Có các chức năng đơn giản hơn Mã hóa các thành phần giao thức theo cách đơn giản hơn so với X.500 Là một giao thức mở Nhược điểm của LDAP Có thể là mục tiêu của tấn công tiêm nhiễm LDAP Tương tự như tấn công tiêm nhiễm SQL Xảy ra khi dữ liệu do người dùng cung cấp không được lọc đúng cách LDAP Một tập con đơn giản hơn của DAP Được thiết kế để hoạt động trên bộ giao thức TCP/IP Có các chức năng đơn giản hơn Mã hóa các thành phần giao thức theo cách đơn giản hơn so với X.500 Là một giao thức mở Nhược điểm của LDAP Có thể là mục tiêu của tấn công tiêm nhiễm LDAP Tương tự như tấn công tiêm nhiễm SQL Xảy ra khi dữ liệu do người dùng cung cấp không được lọc đúng cách 47Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 48. Tổng kết (1/2) Điều khiển truy cập là quá trình trong đó các tài nguyên có thể bị từ chối hoặc được cấp phép truy cập Có bốn mô hình điều khiển truy cập chính Các bài thực hành tốt nhất để thực thi điều khiển truy cập bao gồm Tách nhiệm vụ Luân chuyển công việc Ưu tiên ít nhất Từ chối ngầm Kỳ nghỉ bắt buộc Điều khiển truy cập là quá trình trong đó các tài nguyên có thể bị từ chối hoặc được cấp phép truy cập Có bốn mô hình điều khiển truy cập chính Các bài thực hành tốt nhất để thực thi điều khiển truy cập bao gồm Tách nhiệm vụ Luân chuyển công việc Ưu tiên ít nhất Từ chối ngầm Kỳ nghỉ bắt buộc 48Bài 6 – Kiến thức cơ sở về điều khiển truy cập
- 49. Tổng kết (2/2) Thực thi các phương pháp điều khiển truy cập bao gồm Danh sách điều khiển truy cập Chính sách nhóm Giới hạn tài khoản Các dịch vụ xác thực có thể được server AAA chuyên biệt hoặc server xác thực cung cấp trên mạng RADIUS Kerberos TACACS LDAP Thực thi các phương pháp điều khiển truy cập bao gồm Danh sách điều khiển truy cập Chính sách nhóm Giới hạn tài khoản Các dịch vụ xác thực có thể được server AAA chuyên biệt hoặc server xác thực cung cấp trên mạng RADIUS Kerberos TACACS LDAP 49Bài 6 – Kiến thức cơ sở về điều khiển truy cập
Share Clipboard Name* Description Others can see my Clipboard CancelSave
Bạn đang tìm hiểu bài viết: Điều khiển truy cập là gì 2024
HỆ THỐNG CỬA HÀNG TRÙM SỈ QUẢNG CHÂU
Điện thoại: 092.484.9483
Zalo: 092.484.9483
Facebook: https://facebook.com/giatlathuhuongcom/
Website: Trumsiquangchau.com
Địa chỉ: Ngõ 346 Nam Dư, Trần Phú, Hoàng Mai, Hà Nội.