Наверняка вам знакомо понятие «проверка подлинности». Это способ, посредством которого системы обеспечения безопасности заставляют доказывать, что вы действительно клиент, пользователь или сотрудник, при помощи пароля, токена или другого вида учетных данных. Возможно, вам менее знакомо понятие «авторизация» и родственный термин «управление доступом».
Авторизация
Проверка подлинности подтверждает вашу личность и обеспечивает возможность авторизации. Политика авторизации диктует, что вам разрешено делать через свою учетную запись. Так любой клиент банка может создать и использовать учетную запись (например, имя пользователя) для входа в интернет-систему банка, но политика авторизации банка должна гарантировать, что только вам разрешен доступ к своему лицевому счету через интернет после подтверждения вашей личности.
Авторизация может применяться к большему количеству вложенных уровней, чем просто веб-сайт или внутренняя сеть компании. Ваша персональная учетная запись может быть включена в группу учетных записей, по отношению к которым применяется общая политика авторизации. Например, представьте базу данных, содержащую как данные о покупках клиентов, так и личные данные наряду с реквизитами кредитных карт клиентов. Продавец мог бы ввести для этой базы данных политику авторизации, разрешающую доступ сотрудников отдела маркетинга ко всем покупкам клиентов, но предотвращающую доступ этих сотрудников ко всем личным данным и реквизитам кредитных карт клиентов, чтобы отдел маркетинга мог идентифицировать популярные товары для рекламных акций или распродажи.
Мы неявно вводим политику авторизации, когда используем социальные медиа: Facebook, LinkedIn, или Twitter могут подтвердить подлинность сотен миллионов пользователей, но отчасти именно мы разрешаем этим пользователям взаимодействовать с нами и определяем способы этого взаимодействия. То же самое справедливо при общем доступе к файлам, видеороликам или фотографиям через такие сайты, как Google Документы, Dropbox, Instagram, Pinterest или Flickr, или даже при создании вами «общей» папки на своем ноутбуке.
Средства управления доступом
Если политика авторизации определяет, к чему может получить доступ конкретный пользователь или группа, то средства управления доступом — также называемые разрешениями или привилегиями — это способы, которые используются для осуществления такой политики. Давайте рассмотрим примеры:
- Через настройки Facebook «Кто может видеть мои материалы?» «Кто может связаться со мной?» «Кто может меня найти?» мы разрешаем или запрещаем доступ пользователей или широкой общественности к тому, что публикуем на сайте Facebook.
- Настройки системы Google Документы позволяют устанавливать привилегии редактирования или общего доступа к совместно используемым документам.
- Настройки Flickr позволяют создавать или совместно использовать альбомы или фотографии членам семьи, друзьям или широкой общественности посредством лицензий с разными издательскими правами (например, лицензий Creative Commons).
- Общие ресурсы и разрешения MacOS или вкладка «Безопасность» ОС Windows в диалоговом окне свойств файлов позволяют устанавливать права доступа для отдельных файлов или папок.
Правильная конфигурация привилегий доступа — критически важный компонент защиты информации от несанкционированного доступа и защиты компьютерных систем от злоупотреблений, однако настройка управления доступом является непростым делом. В нашей следующей публикации мы рассмотрим возможные атаки злоумышленников или преступников в ситуациях, когда средства управления доступом недостаточны для предотвращения неправомерного использования, непреднамеренного раскрытия информации или расширения привилегий.