TCông nghệ

MAC KIỂM SOÁT TRUY CẬP MANDATORY: Cách hoạt động

Kiểm soát truy cập bắt buộc
Mục lục Ẩn giấu
  1. Kiểm soát truy cập là gì?
  2. MAC Kiểm soát Truy cập Bắt buộc là gì?
  3. Các khái niệm cơ bản về MAC kiểm soát truy cập bắt buộc là gì?
  4. Ưu và nhược điểm của MAC
    1. Ưu điểm
    2. Nhược điểm
  5. Khi nào bạn nên sử dụng MAC kiểm soát truy cập bắt buộc?
  6. Các phương pháp kiểm soát truy cập khác
    1. # 1. Kiểm soát truy cập dựa trên quy tắc
    2. # 2. Kiểm soát truy cập dựa trên vai trò
    3. # 3. Kiểm soát truy cập dựa trên thuộc tính
    4. #4. Kiểm soát truy cập tùy ý
  7. Sự khác biệt giữa Kiểm soát Truy cập Bắt buộc và Tùy ý là gì?
  8. Kết luận
  9. Câu hỏi thường gặp về kiểm soát truy cập bắt buộc
  10. Sự khác biệt giữa MAC và DAC là gì?
  11. Windows có sử dụng MAC hoặc DAC không?
  12. Mô hình DAC là gì?
    1. Bài viết liên quan
    2. dự án

Kiểm soát truy cập là một biện pháp bảo mật có thể được sử dụng để ngăn chặn truy cập trái phép vào dữ liệu nhạy cảm. Nhưng kiểm soát truy cập bắt buộc (MAC) đóng góp như thế nào vào bảo mật? Đọc để tìm hiểu.

Kiểm soát truy cập là gì?

Người dùng thường xuyên tiếp xúc với các tài nguyên và nội dung mà họ nên hoặc không nên có quyền truy cập khi họ khám phá các mạng vật lý và kỹ thuật số. Điều này đặc biệt đúng trong các hệ thống kỹ thuật số, nơi mà việc di chuyển ngang sang các vị trí lưu trữ, ứng dụng hoặc xử lý riêng biệt có thể khiến toàn bộ cơ sở hạ tầng gặp phải các mối đe dọa bảo mật nguy hiểm.

Để giữ tài sản và tài nguyên tách biệt, các nhà quản lý bảo mật sử dụng "kiểm soát truy cập", xác định ai có quyền truy cập vào các tài nguyên nhất định.

Sau khi người dùng đã được xác thực và được phép truy cập vào hệ thống bằng tài khoản hoặc danh tính người dùng, hệ thống kiểm soát truy cập sẽ thiết lập các hạn chế chi phối ai, khi nào, ở đâu và trong một số trường hợp, cách người dùng đó có thể duyệt qua hệ thống.

Mặc dù trên bề mặt, khái niệm này có vẻ đơn giản, có nhiều lược đồ kiểm soát truy cập khác nhau hỗ trợ các tài nguyên an toàn chống lại truy cập trái phép, nhưng chúng tôi sẽ tập trung vào một lược đồ ở đây - kiểm soát truy cập bắt buộc.

MAC Kiểm soát Truy cập Bắt buộc là gì?

Kiểm soát truy cập bắt buộc (MAC) là một mô hình kiểm soát truy cập trong đó hệ điều hành cấp quyền truy cập cho người dùng tùy thuộc vào tính bảo mật của dữ liệu và mức độ thông quan của người dùng. Quyền truy cập được cấp trên cơ sở cần biết trong mô hình này: người dùng phải chứng minh nhu cầu về thông tin trước khi nhận quyền truy cập.

MAC kiểm soát truy cập bắt buộc còn được gọi là mô hình kiểm soát không tùy ý, có nghĩa là kiểm soát không được cấp theo quyết định của người dùng hoặc chủ sở hữu tệp. Các cơ chế kiểm soát của MAC tuân theo các nguyên tắc không tin cậy.

MAC được coi là mô hình kiểm soát truy cập an toàn nhất. Trong mô hình này, các quy tắc truy cập được chỉ định thủ công bởi quản trị viên hệ thống và được hệ điều hành hoặc nhân bảo mật thực thi nghiêm ngặt. Ngay cả đối với dữ liệu, họ đã phát triển, người dùng thông thường không thể thay đổi các thuộc tính bảo mật.

Các khái niệm cơ bản về MAC kiểm soát truy cập bắt buộc là gì?

  1. Quyền riêng tư và tính bảo mật của các nguồn lực của tổ chức là điều quan trọng hàng đầu. Không ai có quyền truy cập mặc định hoặc đặc quyền chỉnh sửa dữ liệu của người khác.
  2. Cấp phép truy cập được quản lý tập trung.
  3. Các nhãn bảo mật với phân loại và danh mục được gán cho từng nhân lực và tài nguyên trong hệ thống.

Thủ tục để có được quyền truy cập với MAC như sau:

  1. Người quản trị cấu hình các hạn chế truy cập và thiết lập các thông số bảo mật như mức độ bảo mật và khoảng trống cho các dự án và loại tài nguyên khác nhau.
  2. Mỗi chủ thể (người dùng hoặc tài nguyên truy cập dữ liệu) và đối tượng (tệp, cơ sở dữ liệu, cổng, v.v.) được cấp bởi người quản trị một tập hợp các thuộc tính.
  3. Khi một chủ thể cố gắng truy cập một đối tượng, hệ điều hành sẽ đánh giá các thuộc tính bảo mật của đối tượng và xác định xem có được phép truy cập hay không.
  4. Người dùng nhập thông tin đăng nhập của họ để có quyền truy cập vào mặt hàng.

Hệ điều hành chú ý đến các đối sánh thể loại giữa chủ thể và đối tượng ngoài việc đánh giá mức độ bảo mật và thông quan (đối sánh phân loại giữa chủ thể và đối tượng). Nếu người dùng không phải là thành viên của danh mục bắt buộc đối với đối tượng, việc có phân loại "tối mật" không tự động cấp cho họ quyền truy cập đầy đủ vào tệp.

Xem xét dữ liệu có cấp độ bí mật "tối mật" và phân loại bảo mật "dự án kỹ thuật". Nó chỉ có thể truy cập được đối với những người dùng có cả chứng từ “tối mật” (phân loại) và quyền truy cập tài liệu kỹ thuật (danh mục). Những người dùng này cũng có thể có quyền truy cập vào tài liệu yêu cầu mức độ bảo mật thấp hơn. Mặt khác, nhân viên có trình độ thấp hơn hoặc không có quyền truy cập vào các tài liệu kỹ thuật, không thể truy cập thông tin đó.

Hệ thống an ninh mạng được hưởng lợi rất nhiều từ MAC. Tuy nhiên, có rất nhiều nhược điểm cần xem xét. Xem xét những ưu điểm và nhược điểm của kiểm soát truy cập bắt buộc.

Ưu và nhược điểm của MAC

Ưu điểm

  • Mức độ bảo mật dữ liệu cao - Quyền truy cập vào các đối tượng được xác định bởi quản trị viên và người dùng không thể thay đổi quyền truy cập đó.
  • Độ chi tiết - Quản trị viên định cấu hình thủ công các quyền truy cập của người dùng và các tham số truy cập đối tượng.
  • Miễn dịch với các cuộc tấn công của ngựa thành Troy - Người dùng không thể giải mật hoặc cung cấp quyền truy cập vào tài liệu đã phân loại, giúp họ miễn nhiễm với các cuộc tấn công của Trojan Horse.
  • Ít lỗi hơn - Các chính sách nghiêm ngặt và được giám sát thường xuyên giúp giảm thiểu các lỗi hệ thống dẫn đến người dùng quá đặc quyền.
  • Phân chia nghiêm ngặt - Quản trị viên chia người dùng thành các tập hợp con và sử dụng các thuộc tính bảo mật để hạn chế tiếp xúc tài nguyên cho các nhóm này.

Nhược điểm

  • Khả năng bảo trì - Việc cấu hình thủ công các cấp độ bảo mật và các khoảng trống cần sự chú ý liên tục của quản trị viên.
  • khả năng mở rộng - MAC không tự động mở rộng quy mô. Người dùng và dữ liệu mới yêu cầu điều chỉnh thường xuyên đối với các đối tượng và cấu hình tài khoản.
  • Cản trở công việc của người dùng - Người dùng phải yêu cầu quyền truy cập vào từng phần dữ liệu mới mà họ gặp phải; họ không thể xác định các tham số truy cập cho dữ liệu của riêng họ.

Khi nào bạn nên sử dụng MAC kiểm soát truy cập bắt buộc?

Mô hình kiểm soát truy cập này hầu hết được sử dụng bởi các cơ quan chính phủ, quân đội và các cơ quan thực thi pháp luật. Chính phủ Hoa Kỳ sử dụng MAC để bảo mật thông tin bí mật cũng như hỗ trợ các ứng dụng và chính sách bảo mật theo cấp độ. Trong ngành bảo hiểm và ngân hàng, MAC được sử dụng để kiểm soát quyền truy cập vào dữ liệu tài khoản khách hàng nhằm bảo vệ và tuân thủ dữ liệu tốt hơn. Mô hình kiểm soát truy cập không tùy ý này cũng có thể bảo vệ quyền truy cập vào cơ sở dữ liệu, nơi các đối tượng là các thủ tục, bảng, dạng xem và các tính năng khác.

Sẽ rất hợp lý khi sử dụng MAC trong các công ty ưu tiên bảo mật dữ liệu hơn tính linh hoạt trong hoạt động và chi phí. Do tính phức tạp và không linh hoạt của hệ thống, việc triển khai MAC trong một tổ chức tư nhân là không phổ biến.

Mô hình MAC thuần túy cung cấp bảo mật chi tiết và mức độ cao. Tuy nhiên, rất khó để thiết lập và quản lý. Do đó, MAC thường được kết hợp với các sơ đồ kiểm soát truy cập khác.

Ví dụ: kết hợp nó với mô hình dựa trên vai trò sẽ thúc đẩy việc tạo hồ sơ người dùng. Quản trị viên có thể xây dựng vai trò người dùng thay vì xác định quyền truy cập cho từng người dùng riêng lẻ. Người dùng có vai trò và quyền truy cập có thể so sánh được tồn tại trong mọi tổ chức: người lao động có cùng chức danh công việc, nhà cung cấp bên thứ ba, v.v. Thay vì xây dựng hồ sơ người dùng riêng lẻ từ đầu, quản trị viên có thể định cấu hình vai trò cho các nhóm này.

Một cách ghép nối thường xuyên khác là MAC với mô hình điều khiển truy cập tùy ý, viết tắt là DAC. MAC bảo vệ dữ liệu nhạy cảm, trong khi DAC cho phép đồng nghiệp chia sẻ thông tin trong hệ thống tệp công ty.

Các phương pháp kiểm soát truy cập khác

# 1. Kiểm soát truy cập dựa trên quy tắc

Phương pháp này chỉ định quyền cho người dùng dựa trên một bộ quy tắc và chính sách được xác định trước. Các quy tắc này thiết lập một “ngữ cảnh” mà từ đó có thể thu được quyền truy cập tài nguyên. Những hạn chế này được nêu trong Danh sách kiểm soát truy cập (ACL) được đính kèm với một “đối tượng” (tài nguyên, cho dù đó là quyền xử lý, dữ liệu, quyền truy cập tài khoản hay thứ gì khác).

Một số ví dụ về quyền truy cập dựa trên quy tắc bao gồm giới hạn quyền truy cập hệ thống vào các thời điểm cụ thể trong ngày hoặc vị trí (ví dụ: giới hạn quyền truy cập vào các thiết bị tại hoặc gần vị trí văn phòng).

# 2. Kiểm soát truy cập dựa trên vai trò

Quyền truy cập dựa trên vai trò là một phương pháp trong đó vai trò người dùng của tổ chức xác định quyền truy cập. Tổ chức sẽ có một hệ thống phân cấp tổ chức được xác định rõ ràng cũng như một tập hợp các quyền được xác định rõ ràng tùy thuộc vào các trách nhiệm trong hệ thống phân cấp đó. Bất kỳ người dùng nào được chỉ định một vai trò sẽ được cấp các quyền liên quan đến vai trò đó.

Truy cập dựa trên vai trò cực kỳ phổ biến. Quyền dựa trên vai trò thường thấy nhất trong các hệ thống nhiều người dùng. Một nhà cung cấp dịch vụ công khai (chẳng hạn như email hoặc nhà cung cấp dịch vụ đám mây) có thể có nhiều danh mục tài khoản (người dùng, người dùng VIP, quản trị viên, người kiểm duyệt, v.v.), mỗi danh mục có ví dụ riêng về quyền và kiểm soát truy cập. Để cho phép môi trường chia sẻ, hệ thống dựa trên vai trò sẽ hạn chế ai có thể truy cập những gì bên trong hệ thống.

# 3. Kiểm soát truy cập dựa trên thuộc tính

Hệ thống dựa trên thuộc tính chi tiết hơn so với cả hệ thống dựa trên vai trò và quy tắc. Thay vì xem xét danh sách các quy tắc được liên kết với tài nguyên (như trong hệ thống quy tắc) hoặc vai trò (như trong hệ thống vai trò), các hệ thống dựa trên thuộc tính có thể trích xuất thông tin động từ tài khoản người dùng để tạo ra các hệ thống truy cập linh hoạt và nhanh nhạy hơn.

Giả sử một công ty giao dịch với các ví dụ được phân loại. Do đó, người dùng cá nhân có thể được chỉ định để truy cập vào dữ liệu SECRET — đây sẽ là một thuộc tính của một người, không phải một vai trò hay một tài nguyên.

Các kỹ thuật kiểm soát truy cập này không loại trừ lẫn nhau. Ví dụ, hệ thống dựa trên thuộc tính và vai trò có thể được sử dụng để tinh chỉnh hệ thống và bảo mật dữ liệu.

#4. Kiểm soát truy cập tùy ý

Mặt khác, Kiểm soát truy cập tùy ý (DAC), cho phép khách hàng và người dùng cuối doanh nghiệp kiểm soát bổ sung đối với các kiểm soát truy cập của họ. Mặc dù quản trị viên bảo mật có thể tạo các vai trò và quyền trên toàn hệ thống, người dùng có thể ghi đè các quyền đó để cung cấp quyền truy cập cho một số người dùng nhất định phải có quyền truy cập dựa trên thông tin đăng nhập kinh doanh của họ.

Chiến lược này có thể cung cấp một số tính linh hoạt về cách một công ty cấp cho mọi người quyền truy cập. Khi quản trị viên doanh nghiệp địa phương lơ là trong việc cập nhật hoặc định cấu hình các quyền cục bộ của họ, điều đó sẽ dẫn đến các lỗ hổng bảo mật có thể xảy ra. Do đó, DAC là một công nghệ bảo trì cao, trong khi có thể thích ứng, đòi hỏi phải được bảo trì liên tục.

Sự khác biệt giữa Kiểm soát Truy cập Bắt buộc và Tùy ý là gì?

MAC và DAC được phân cực. Mặc dù các phương pháp kiểm soát truy cập khác nhau có thể cùng tồn tại theo một số cách, nhưng rất khó (nếu không muốn nói là không thể) để thực hiện thành công cả DAC và MAC mà không đụng nhau.

Phải nói rằng, những điểm không tương thích này một phần là do sự chênh lệch giữa hai kỹ thuật. Bắt buộc và tùy ý khác nhau ở một số điểm quan trọng:

  • Sự bảo vệ: Khi áp dụng đúng cách, sự tùy ý bắt buộc cung cấp khả năng bảo vệ đáng tin cậy và dễ đoán hơn. Kiểm soát truy cập tùy ý có thể mang lại cho tổ chức sự linh hoạt quan trọng, nhưng nó cũng có thể gây ra xung đột có thể xảy ra giữa các quyền của cá nhân và toàn tổ chức.
  • Kiểm soát người dùng: Ngoài ra, các hạn chế bắt buộc không cực kỳ linh hoạt bên ngoài lược đồ của chúng và vì lý do chính đáng - để giải quyết các thách thức bảo mật của tổ chức được kết nối với quyền truy cập. Tuy nhiên, có những tình huống thực sự trong đó nhân viên trong tổ chức phải được cấp quyền truy cập vào các tài nguyên cụ thể ngay cả khi vị trí hoặc thuộc tính người dùng của họ không cho phép.
  • Khả năng bảo trì: Thông thường, các biện pháp kiểm soát truy cập bắt buộc được phát triển từ trên xuống và được lập kế hoạch tập trung. Nghĩa là, chúng có thể hỗ trợ ủy quyền mạnh mẽ trong toàn bộ hệ thống, với các yêu cầu về bảo mật và quy định được thực hiện ở một vị trí duy nhất.

Mặt khác, DAC có thể trở nên phức tạp nếu người dùng cuối thực hiện kiểm soát truy cập cục bộ một cách bất cẩn hoặc không cập nhật danh sách quyền của họ khi nhân viên rời đi hoặc bị chấm dứt hợp đồng.

Kết luận

Kiểm soát truy cập bắt buộc (MAC) là một phương pháp bảo mật giới hạn khả năng của chủ sở hữu tài nguyên cá nhân trong việc cấp hoặc cấm truy cập vào các đối tượng tài nguyên hệ thống tệp. Người quản trị hệ thống xác định các yêu cầu MAC, được thực thi nghiêm ngặt bởi hệ điều hành (OS) hoặc nhân bảo mật và người dùng cuối không thể thay đổi được.

Kiểm soát truy cập bắt buộc, thường được sử dụng trong các cơ sở chính phủ và quân đội, hoạt động bằng cách gán nhãn phân loại cho từng mục hệ thống tệp. Có ba cấp độ phân loại: mật, bí mật và tối mật. Mỗi người dùng và thiết bị trên hệ thống được phân loại và xóa ở cùng một cấp. Khi một người hoặc thiết bị cố gắng truy cập vào một tài nguyên nhất định, hệ điều hành hoặc nhân bảo mật sẽ kiểm tra thông tin đăng nhập của thực thể để xác định xem quyền truy cập có được cấp phép hay không. Mặc dù đây là tùy chọn kiểm soát truy cập an toàn nhất hiện có, MAC cần phải lập kế hoạch cẩn thận và giám sát thường xuyên để đảm bảo rằng tất cả các đối tượng tài nguyên và người dùng được phân loại chính xác.

MAC là cấp độ kiểm soát truy cập cao nhất, trái ngược với kiểm soát truy cập tùy ý cấp thấp hơn (DAC), cho phép các chủ sở hữu tài nguyên riêng lẻ tạo ra các quy tắc của riêng họ và áp đặt các ràng buộc bảo mật.

Câu hỏi thường gặp về kiểm soát truy cập bắt buộc

Sự khác biệt giữa MAC và DAC là gì?

Việc sử dụng DAC kém an toàn hơn. Việc sử dụng MAC an toàn hơn. Chủ sở hữu DAC có thể xác định quyền truy cập và đặc quyền, cũng như hạn chế tài nguyên, dựa trên danh tính của người dùng. Trong MAC, hệ thống chỉ đánh giá quyền truy cập và các tài nguyên bị hạn chế dựa trên sự thông quan của các cá nhân.

Windows có sử dụng MAC hoặc DAC không?

Hầu hết các hệ điều hành, bao gồm tất cả các phiên bản Windows, Linux và Macintosh, cũng như hầu hết các loại Unix, đều dựa trên các mô hình DAC.

Mô hình DAC là gì?

Kiểm soát truy cập tùy ý (DAC) là một mô hình kiểm soát truy cập trong đó quyền truy cập được xác định bởi chủ sở hữu tài nguyên. Chủ sở hữu tài nguyên có quyền kiểm soát ai có quyền truy cập và ai không, cũng như loại quyền truy cập mà họ có.

dự án

Peace là người viết nội dung, chiến lược gia và biên tập viên cấp cao, đã cống hiến tài năng của mình cho các tổ chức như BusinessYield. Nền tảng của cô là sáng tạo nội dung và tư duy lãnh đạo, với chuyên môn trong ngành về B2B SaaS, các đại lý tiếp thị chuyên ngành và giải trí. Có trụ sở tại Missisauga, Ontario, CA, có bằng Thạc sĩ về Đổi mới Báo chí và Truyền thông Kỹ thuật số của Đại học Waterloo. Khi không làm việc vất vả, cô ấy thích đi du lịch, đọc sách và ăn tinh bột. Cô thích viết các bài báo kinh doanh dựa trên kinh nghiệm tiếp thị và tài chính phong phú của mình.

Bình luận

Chúng tôi sẽ không công khai email của bạn. Các ô đánh dấu * là bắt buộc *

- Bài báo trước

RBAC KIỂM SOÁT TRUY CẬP THEO VAI TRÒ: Định nghĩa, Lịch sử và Ví dụ

Bài tiếp theo -

Chi phí bao nhiêu để tái cấp vốn thế chấp vào năm 2023

Bạn cũng có thể thích
3 cách để cải thiện trải nghiệm mua hàng kỹ thuật số trên trang web của bạn
Tìm hiểu thêm
    TCông nghệ

    3 cách để cải thiện trải nghiệm mua hàng kỹ thuật số trên trang web của bạn

    Mục lục Ẩn #1. Đăng ký trực tuyến Tùy chọn #2. Làm cho việc sửa lỗi trở nên dễ dàng hơn#3. Đầu tư vào một…