Řízení přístupu
Řízení přístupu je proces, při kterém je ověřována míra oprávnění a uživatelských práv při přístupu ke zdrojům. Ověřují se uživatelé, skupiny uživatelů i počítače. Zdroje jsou vnímány jako sdílené hodnoty, které může počítač nabídnout, např. kapacita pevného disku, tiskárny, operační paměť, procesorový čas apod. Objekty vnímáme jako účelný shluk dat, tedy soubory, skupiny souborů uložené na paměťovém médiu.[1] Oprávnění určuje typ povoleného přístupu k jednotlivým objektům. Oprávnění se liší podle typu objektu, kterému jsou připisována. Jeden uživatel může mít přiřazeno více oprávnění. Zároveň může patřit do skupiny uživatelů, která má přidělená další práva. Oprávnění se přidělují i souborům. Liší podle objektu přidělení. Ovšem existují i společná oprávnění jako: číst, změnit, odstranit, změnit vlastníka. Nastavením oprávnění určujeme (řídíme) míru nebo způsob přístupu k objektům. Uživatelská práva jsou specifikována souborem oprávnění a přihlašovacími právy v počítačovém prostředí. Mohou být přidělována jednotlivým uživatelským účtům nebo skupinám účtů. „Tato práva umožňují uživatelům provádění specifických akcí, jako je interaktivní přihlášení k systému nebo zálohování souborů a adresářů. Uživatelská práva se liší od oprávnění, protože práva se vztahují na uživatelské účty, zatímco oprávnění jsou přiřazována objektům.“[2] Přidělováním uživatelských práv skupinám se zjednoduší správa uživatelských účtů.
Pojem uživatel je obraz skutečné identity člověka, u kterého je autentizací zajištěno, že vlastníkem oné identity je právě on. Uživateli jsou následně přidělována přístupová práva podle úrovně ověření. Obecně se řízení přístupu může zavést ve dvou režimech, buď jako povinné řízení přístupu (MAC), anebo nepovinné řízení přístupu (DAC). Nepovinné řízení přístupu je častější. Každý uživatel má přidělena určitá přístupová práva k objektům. Výhodou tohoto přístupu je snadná implementace a administrace. V systému může existovat několik uživatelů s neomezenými právy (superuživatel). Tito uživatelé spravují daný systém, jsou tedy správci. Povinné řízení přístupu je využíváno v organizacích, které operují s utajovanými informacemi, například ve vojenství. Základem je dělení dat podle míry utajení. Normální data jsou určená široké veřejnosti, citlivá data jsou interní data (přístupná v rámci dané firmy nebo signatářům NDA) a důvěrná nebo také tajná data jsou určena jen vyjmenovaným příjemcům. Je důležité zabezpečit, aby uživatel neměl přístup k datům z vyššího stupně utajení, než kterému odpovídá jeho pověření. Rozdíl proti nepovinnému řízení přístupu spočívá v tom, že uživatel sám nemůže měnit přístupová práva. Například uživatelé veřejných počítačů v knihovnách mají striktně nastavena uživatelská a přístupová práva k uživatelskému účtu, který je se zdroji dat propojen právě nepovinným řízením přístupu. Řízení přístupu má úzký vztah k procesu autentizace a uživatelským účtům. „Řízení přístupu je závislé na schopnosti systému jednoznačně identifikovat uživatele. Tuto jednoznačnou identifikaci poskytují uživatelské účty.[3]
Přístupový systém
[editovat | editovat zdroj]Přístupový systém neboli systém řízení (či kontroly) vstupu (či přístupu, anglicky access control system, ACS) je systém, který realizuje řízení přístupu.
Reference
[editovat | editovat zdroj]- ↑ DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004. ISBN 80-251-0106-1.
- ↑ Uživatelská práva. In: Windows server [online]. 2013 [cit. 2013-03-20]. Dostupné z: http://technet.microsoft.com/cs-cz/library/cc778337(v=ws.10).aspx
- ↑ BOTT, Ed a Carl SIECHERT. Mistrovství v zabezpečení Microsoft Windows 2000 a XP. Brno: Computer Press, 2004. ISBN 80-7226-878-3
Externí odkazy
[editovat | editovat zdroj]- Obrázky, zvuky či videa k tématu řízení přístupu na Wikimedia Commons