Атрибутивная модель управления доступом
Узнать большеТермин «идентификация» встречается в разных сферах, например, в области информационных технологий, криминалистике, торговле, психологии и т.д. Речь о процессе, подразумевающем отождествление кого-либо (или чего-либо) с чем-либо. Конечно, в зависимости от сферы применения идентификационные механизмы разнятся, однако смысл процедуры остается неизменным. Например, в торговле идентификацией считается соотнесение товаров с их артикулами, на интернет-ресурсе или в корпоративных системах — ввод правильного логина.
Идентификация в информационных системах — мера безопасности наравне с процессами аутентификации и авторизации. Кстати, многие путают эти процедуры, которые по факту совершенно разные, хоть и взаимосвязаны друг с другом. Идентификация — старт пути пользователя в системе, от которого зависит исход остальных процедур. Обсудим нюансы этого процесса и разберем отличия от аутентификации и авторизации.
Что такое идентификация
Понятие происходит от английского слова «identification», что означает определение идентичности. Этот процесс играет важную роль в обеспечении безопасности информационных систем и дальнейшем предоставлении доступа к ресурсам, данным или услугам.
Идентификация подразумевает распознавание пользователя в системе по его идентификатору (логину). Одного только идентификатора недостаточно для входа, поэтому далее нужно будет ввести постоянный или временный пароль. Если предусмотрена многофакторная проверка, для подтверждения личности потребуются и другие данные, например, код из СМС или отпечаток пальца. Набор сведений будет зависеть от требований конкретной системы.
В целом идентификация и последующая процедура аутентификации пользователя представляют собой комплекс базовых средств защиты информации (КСЗ). Он обязан выполнять следующие задачи:
- Требовать от пользователей идентифицировать свою личность при любых запросах на доступ к данным.
- Проверять подлинность первичной проверки путем запроса других данных помимо идентификатора (например, паролей и биометрических характеристик).
- Препятствовать несанкционированному доступу к защищаемым объектам.
Помимо этого, комплекс защитных средств обязан располагать необходимыми сведениями для проверки пользователей, иначе будет невозможно запустить процессы. Смысл в том, чтобы легальные клиенты могли без проблем попасть в систему, а злоумышленникам не удалось перехватить доступ и действовать от чужого имени в своих целях. К сожалению, киберпреступники научились обходить механизмы защиты, поэтому сейчас пристальное внимание уделяется совершенствованию методов обеспечения безопасности, в том числе процессам распознавания пользователей.
Идентификация пользователя в системе
Идентификация бывает первичной и вторичной. Первая проводится при регистрации нового пользователя в системе, вторая — при каждых последующих запросах на доступ.
Успешная первичная идентификация традиционно завершается регистрацией, то есть присвоением клиенту уникального идентификатора. В компаниях он выдается сотруднику на основании доверенных сведений из кадровых источников. В результате у работника появляется учетная запись, под которой он может входить в систему.
Вторичная процедура подразумевает предъявление идентификатора при попытке повторного входа в систему. Система оценит предоставленные данные по настроенному алгоритму и проверит их на соответствие тем, что хранятся в базе. Затем вступит в силу процедура аутентификации, в ходе которой пользователю нужно будет подтвердить свою принадлежность к идентификационному имени.
Идентификация, аутентификация и авторизация пользователя в системе — в чем разница
Идентификация — по сути представление пользователя в системе, то есть ответ на вопрос «кто это». Далее следует процедура аутентификации — подтверждение принадлежности к учетной записи, ответ на вопрос «точно ли это нужный пользователь». Этот процесс стартует исключительно после идентификации, поскольку проверка подлинности не имеет смысла без первоначального ввода логина, ведь иначе система не узнает, для кого конкретно нужно подтвердить доступ.
Следующий этап — авторизация, то есть процесс предоставления пользователю определенных прав в системе. На этом этапе решается, какие действия внутри ресурса может выполнять клиент. Возможны следующие модели предоставления доступа:
- Избирательная — модель, в рамках которой полномочия для каждого пользователя определяет владелец ресурса.
- Мандатная подразумевает градацию сведений в системе от менее засекреченных до строго конфиденциальных. Права на выполнение каких-либо действий на каждом уровне определяется статусом пользователя.
- Ролевая — подход, основанный на ролевой модели управления. Каждая категория пользователей наделяется определенными правами, в соответствии с которыми разрешаются действия в системе.
Разберем варианты назначения прав на примере работы с документами. После входа в аккаунт на платформе кому-то можно только просматривать файлы, соответственно, у такого пользователя будет роль «читатель». Кому-то владелец документа разрешит вносить правки, значит вступит в силу роль «редактор». Это типичный пример избирательного доступа, но аналогичный подход есть и в рамках ролевой модели, которая чаще всего используется в корпоративных системах. Набор полномочий для конкретного работника зависит от его должности и задач.
У многих возникает вопрос, возможна ли авторизация без идентификации или она, как и аутентификация, будет лишена смысла без ввода идентификатора? На некоторых ресурсах разрешено совершать действия без предварительной регистрации и последующего входа под учетной записью. Конечно, это не относится к серьезным системам, где фигурирует конфиденциальная информация.
Простой пример авторизации без предварительных идентификации и аутентификации — разрешение читать новости на информационном портале. Туда может зайти любой пользователь без предварительной регистрации. Однако оставлять комментарии уже не получится, поскольку для этого нужно войти в систему со своими логином и паролем.
Резюмируем: аутентификация невозможна без предварительной идентификации. А авторизация вполне возможна. Наоборот это не работает, поскольку после входа в систему обязательно происходит проверка полномочий пользователя.
Управление доступом к данным и процессами идентификации пользователей
В первую очередь рассмотрим такое понятие, как управление доступом к данным. Оно подразумевает управление учетными записями пользователей, регулирование и отслеживание доступа к любому ресурсу и объекту ИТ-инфраструктуры, обеспечение безопасности данных и соблюдения принятых в компании регламентов. Ключевая цель — обеспечить легитимным пользователям безопасный доступ к необходимым ресурсам и вовремя предотвратить несанкционированные вторжения.
Многие компании стремятся к автоматизации процессов управления доступом. В этом может помочь решение IGA (Identity Governance and Administration). Оно позволит упорядочить работу с учетными записями в разных информационных системах, упростить создание «учеток», выдачу и отзыв прав доступа. Еще несколько функций инструмента:
- Контроль над любыми правами доступа.
- Обеспечение соблюдения регламентов в вопросах прав доступа.
- Создание архива всех манипуляций с учетными записями.
- Минимизация рисков, возникающих в связи с общим использованием аккаунтов.
- Настройка парольной политики.