Predavanja 4

by

bekobek
in

KONTROLA PRISTUPA

Kontrola pristupa

Kontrola pristupa ključni je sigurnosni element kojim se određuje kome je dopušten pristup određenim podacima, aplikacijama i resursima te u kojim okolnostima. Kao što ključevi i unaprijed odobreni popisi gostiju služe za zaštitu fizičkih prostora, pravilnici za kontrolu pristupa služe za zaštitu digitalnih prostora. Drugim riječima, oni jamče propuštanje odabranih osoba i odvraćanje ostalih. Pravilnici za kontrolu pristupa temelje se na tehnikama kao što su provjera autentičnosti i autorizacija, koje tvrtkama i ustanovama omogućuju izričito potvrđivanje identiteta korisnika, kao i razina pristupa koje su im dodijeljene na temelju konteksta koji određuju uređaj, lokacija, uloga i drugi čimbenici.

Kontrola pristupa štiti povjerljive podatke, kao što su korisnički podaci i intelektualno vlasništvo, od zlonamjernih osoba i drugih neovlaštenih korisnika koji ih pokušavaju ukrasti. Uz to i smanjuje rizik od izvlačenja podataka koje provode zaposlenici i onemogućuje pristup prijetnjama na webu. Umjesto ručnog upravljanja dozvolama većina tvrtki ili ustanova kojima je sigurnost bitna oslanja se na rješenja za upravljanje identitetima i pristupom pomoću kojih se implementiraju pravilnici za kontrolu pristupa.

Kontrola pristupa ključna je sastavnica sigurnosne strategije. To je i jedan od najboljih alata za tvrtke ili ustanove koje žele svesti na minimum sigurnosni rizik za neovlašteni pristup podacima

Izvor: https://www.microsoft.com/hr-hr/security/business/security-101/what-is-access-control

U najjednostavnijem obliku kontrola pristupa obuhvaća autentikaciju, a zatim autorizaciju odgovarajuće razine pristupa nakon provjere autentičnosti.

Cilj je kontrole pristupa onemogućiti da zlonamjerne osobe dođu u posjed osjetljivih podataka.

Postoje različite vrste kontrola pristupa, uključujući:

  1. Autentikacija: Postupak provjere identiteta korisnika kako bi se osiguralo da su oni zaista oni koji tvrde da jesu. To može uključivati korisnična imena i lozinke, biometrijske podatke (poput otiska prsta ili prepoznavanja lica) ili certifikate.
  2. Autorizacija: Proces određivanja koje resurse ili podatke korisnik ima dozvolu pristupiti nakon uspješne autentikacije. Ovo obično uključuje definiranje različitih razina pristupa za različite korisnike ili grupe korisnika.
  3. Kontrola pristupa na temelju uloga (RBAC): Sustav koji dodjeljuje pristupne privilegije korisnicima na temelju njihove uloge u organizaciji. Na primjer, administratori bi imali veće privilegije od običnih korisnika.
  4. Kontrola pristupa na temelju pravila: Definiranje specifičnih pravila ili politika koje određuju tko može pristupiti određenim resursima i pod kojim uvjetima.
  5. Praćenje i revizija: Mjere za praćenje aktivnosti korisnika unutar sustava radi otkrivanja neovlaštenih pristupa ili zlonamjernih aktivnosti.

Četiri su pojma koja se obično koriste u raspravama vezanim uz kontrolu pristupa:

  • Identifikacija

Proces u kojem korisnik predstavlja svoj identitet

  • Autentikacija – Ovjera

Proces provjere je li korisniku dopušten pristup sustavu

  • Autorizacija

Proces provjere je li korisniku dopušten pristup određenom resursu

  • Odgovornost – Accountability

Sposobnost da se kaže tko je pristupio resursu i kada, te je li resurs izmijenjen kao dio pristupa


Evo primjera kontrole pristupa u mrežnom sustavu koristeći autentikaciju i autorizaciju:

Autentikacija:

Korisnik se pokušava povezati s mrežnim resursom, poput poslužitelja datoteka.

Mrežni sustav zahtijeva korisničko ime i lozinku od korisnika.
Korisnik unosi svoje vjerodajnice (korisničko ime: “korisnik123”, lozinka: “tajna123”).

Mrežni sustav provjerava korisničko ime i lozinku u svojoj bazi podataka korisnika radi autentikacije.

Ako se korisničko ime i lozinka podudaraju s podacima u bazi podataka, korisnik je uspješno autenticiran i dopušta mu se pristup mrežnim resursima.

Autorizacija:

Nakon što je korisnik uspješno autenticiran, mrežni sustav provjerava njegove privilegije pristupa.

U bazi podataka sustava postoje definirane razine pristupa za različite korisnike.

Na primjer, korisnik “korisnik123” ima pristup samo određenim mapama na poslužitelju datoteka, dok administrator ima pristup svim mapama.

Mrežni sustav provjerava privilegije korisnika “korisnik123” i utvrđuje da ima ograničen pristup samo određenim mapama.

Korisniku se dozvoljava pristup samo tim mapama na poslužitelju datoteka, dok mu je pristup ostalim mapama ograničen ili zabranjen.


Ovaj primjer pokazuje kako se autentikacija koristi za provjeru identiteta korisnika, dok se autorizacija koristi za određivanje pristupa resursima nakon autentikacije. Ovaj proces pomaže u osiguravanju da samo ovlašteni korisnici imaju pristup mrežnim resursima i da se održava sigurnost mrežnog sustava

UPRAVLJANJE PRAVIMA PRISTUPA

Procedure za upravljanje pravima pristupa trebaju uključivati:

  • uporabu jedinstvenih identifikatora; uporaba grupnih identifikatora je dopuštena samo ako je nužna za poslovnu operativnost;
  • provjeru da li korisnik ima autorizaciju vlasnika sustava za uporabu sustava ili usluga;
  • provjeru da li je dodjeljena razina pristupa prikladna za obavljenje posla i da li je u skladu sa sigurnosnom politikom;
  • pisanu izjavu o pristupnim pravima korisnika;
  • potpisanu izjavu korisnika da razumije uvjete dodjeljenog pristupa;
  • osiguranje da davatelji usluga ne pružaju pristup dok nisu završene autorizacijske procedure;
  • održavanje službenih zapisa o svim osobama registriranima za korištenje usluge;
  • hitno uklanjanje ili blokiranje pristupnih prava korisnicima koji su promjenili uloge ili položaj u organizaciji ili koji su napustili organizaciju;
  • periodička provjera, blokiranje ili uklanjanje redudantnih identifikatora ili korisničkih računa;
  • osiguranje da se redudantni identifikatori ne izdaju drugim korisnicima.

UPRAVLJANJE PRIVILEGIJAMA

Dodjeljivanje i uporaba privilegija treba biti ograničena i kontrolirana.

Potrebno je poduzeti sljedeće korake:

  • identifikaciju pristupnih privilegija za svaki sustavski proizvod (operativni sustav, sustav za upravljanje bazama podataka i sl.) i identifikacija korisnika kojima se dodjeljuju te privilegije;
  • privilegije se korisnicima trebaju dodjeljivati po potrebi i u skladu sa sigurnosnom politikom organizacije;
  • održavati zapise o svim dodjeljenim privilegijama; privilegije se ne smiju dodjeliti dok nije završen autorizacijski proces;
  • promicati razvoj i uporabu sustavskih rutina kako bi se izbjegla potreba za dodjeljivanjem prava korisnicima;

PREGLED PRAVA PRISTUPA

Uprava treba pregledavati korisnička prava pristupa u redovitim intervalima.

Pristupna prava se trebaju redovito pregledavati, npr. svakih 6 mjeseci, te nakon bilo kakvih promjena poput napredovanja na poslu ili kraja zaposlenja;

Korisnička prava se trebaju pregledavati i iznova dodjeliti u slučaju promjene radnog mjesta unutar iste organizacije;

Specijalna pristupna prava se trebaju pregledavati češće, npr. svakih 3 mjeseca;

Dodjeljene privilegije se trebaju redovito provjeravati kako bi se spriječila mogućnost pojave neovlaštenih privilegija.

POLITIKA ODRŽAVANJA RADNOG STOLA I EKRANA

Osjetljive i kritične poslovne informacije (papiri i elektronički mediji) trebaju biti pospremljeni na sigurnom mjestu;

Zasloni osobnih računala i terminala trebaju biti zaštićeni mehanizmima zaključavanja;

Prostori za dolazak i odlazak pošte, kao i faksovi ne smiju oststi bez nadzora;

Ne smije se dozvoliti neovlaštena uporaba strojeva ta fotokopiranje;

Dokumenti koji sadrže osjetljive informacije se trebaju ukloniti s pisača.

POLITIKA KORIŠTENJA MREŽNIH USLUGA

Korisnici smiju imati pristup samo onim uslugama za koje su autorizirani.

Potrebno je formulirati politiku za korištenje mreže i mrežnih usluga, koja će sadržavati:

a) mreže i mrežne usluge kojima je dozvoljen pristup;

b) autorizacijske procedure za utvrđivanje tko smije pristupati kojim mrežama i mrežnim uslugama;

c) kontrole i procedure za zaštitu pristupa mrežnim konekcijma i uslugama;

d) načine na koje se smiju upotrebljavati mrežne usluge.