Přístupový kontrolní mechanizmus je klíčovou součástí každé pokročilejší aplikace. Řídí, kteří uživatelé mohou přistupovat k jednotlivým zdrojům, které funkce mohou využívat apod. Měl by ochránit aplikaci před neautorizovaným prohlížením, změnami nebo kopírováním dat. [20] v tomto ohledu rozlišuje pojmy „řízení přístupu“ a „autorizace“:
Při autorizaci se ověřuje, zda má uživatel dostatečná oprávnění pro přístup k určitému souboru či pro provedené určité akce. Tato kontrola se provádí na základě členství uživatele v různých uživatelských skupinách, přístupovch seznamech apod. Neboli se předpokládá předchozí úspěšná autentizace, na jejíž spolehlivosti je autorizace plně závislá.
Naproti tomu řízení přístupu je mnohem obecnější. Zahrnuje omezení založená například na aktuálním čase, IP adrese či doméně klienta, typu šifrování datového přenosu, počtu přihlášení či dotazů uživatele za poslední den apod.
[20] definuje tři nejpoužívanější modely řízení přístupu, které se ale v praxi navzájem často kombinují: model volný, direktivní a založený na rolích.
O přístupu ke zdroji či informaci je rozhodováno na základě identity uživatele a/nebo jeho členství v některé uživatelské skupině, tedy na základě autentizačních údajů, které uživatel předtím poskytl (uživatelské jméno, heslo, hardwarový klíč apod.). Důležitým prvkem je, že každý vlastník zdroje či informace sám rozhoduje o přidělení přístupových práv ostatním uživatelům zcela podle vlastního uvážení. Nevýhodou je, že administrátoři systému nemohou centrálně a jednotně řídit přístup ke všem informacím či souborem uloženým na serveru. Tento mechanizmus je běžný například v unixových filesystémech. Volné řízení přístupu se vyznačuje zpravidla některými z následujících vlastností:
Vlastníci dat mohou předávat vlastnictví informace nebo zdroje ostatním uživatelům.
Vlastníci dat mohou určit druh přístupu, který udělují ostatním uživatelům (čtení, zápis, kopírování apod.).
Opakované odmítnutí přístupu k jednomu zdroji nebo objektu alarmuje administrátora nebo omezí práva daného uživatele.
Uživatelé, kteří nemají k objektu přístup, nemohou zjistit ani jeho obecné vlastnosti (velikost souboru, název souboru, adresářová cesta apod.).
Přístup k informaci je odvozován od seznamů přístupových práv založených na identifikaci konkrétního uživatele a jeho členství v uživatelských skupinách.
Rozhodování o přidělení práv nezávisí na libovůli jednotlivých uživatelů. Každý uživatel je zařazen na určitou úroveň důvěryhodnosti, která mu byla přidělena administrátorem. Zdrojům a informacím se také přidělují různé úrovně citlivosti. Při přístupu uživatele k některému objektu se úroveň jeho důvěryhodnosti porovnává s úrovní citlivosti daného objektu. O povolení či zamítnutí přístupu je poté rozhodnuto na základě tohoto porovnání. Popsaný mechanizmus se používá v aplikacích extrémně náročných na zabezpečení, například v armádních systémech. Jsou pro něj typické některé z následujících vlastností:
Změny úrovní citlivosti u zdrojů a informací mohou provádět pouze administrátoři.
Všem informacím jsou přiřazeny takové úrovně, které odrážejí jejich citlivost, důvěrnost a nutnost ochrany.
Každý uživatel může číst informace ze stejné nebo nižší úrovně, než do které je sám přiřazen.
Každý uživatel může zapisovat do stejné nebo vyšší úrovně, než do které je sám přiřazen.
Přístup je často řízen i dalšími podmínkami, jako je aktuální denní doba, způsob zabezpečení HTTP přenosu, IP adresa klienta apod.
Přístup ke zdrojům a informacím je založen na rolích a odpovědnostech každého uživatele v rámci organizace nebo uživatelské základny. O přidělení rolí rozhoduje administrátor aplikace. Ten musí být schopen správně rozlišit potřeby jednotlivých rolí a jejich náročnost na zdroje. Zároveň by měl mít na paměti zásadu „Least Privilege“ neboli co nejmenších oprávnění. Každý uživatel by měl mít v aplikaci přístup jen a pouze k těm částem, které skutečně potřebuje využívat, nikoliv k těm, které by někdy potenciálně mohl využít. Pro řízení přístupu založené na rolích jsou typické některé z následujících vlastností:
Role jsou přidělovány administrátorem podle vztahů v organizaci či uživatelské základně s důrazem na organizační bezpečnostní politiku.
Každá role je stanovena jako nezávislý profil, který zahrnuje všechny potřebné autorizované příkazy, transakce, přístup i informacím apod.
Práva přidělená rolím respektují zásadu co nejmenších oprávnění.
Role jsou obvykle uživateli přiřazreny staticky, ale mohou být i přidělovány dynamicky na základě některých dodatečných podmínek či událostí.
Role jsou kontrolovány a řízeny centrálně bezpečnostním administrátorem či vedoucím projektu.
Obsah stránek vyjadřuje osobní názory, postoje a zkušenosti autora. Copyright © 2004–2010 Jan Tichý.