Типы систем контроля и управления доступом

Системы контроля и управления доступом (СКУД) — бесценный метод контроля доступа для организаций любого размера и направленности. Для организации всех типов существует несколько различных протоколов управления доступом, которые можно настроить в соответствии с уникальными потребностями каждой. Протоколы управления доступом обычно делятся на три основные категории: обязательный контроль доступа, избирательный контроль доступа и контроль доступа на основе ролей. В настоящее время становится популярным четвертый тип — контроль доступа на основе правил.

Что влечет за собой каждый из этих протоколов управления доступом и какие преимущества они предлагают пользователям и администраторам?

Избирательное управление доступом

Избирательные СКУД являются наименее ограничительной формой контроля доступа и позволяют владельцу или администратору системы полностью контролировать, кто имеет доступ и разрешения во всей системе. Он часто работает под управлением распространенных операционных систем, таких как Windows, и, как правило, его легко настроить и контролировать, используя списки контроля доступа и членство в группах для определения доступа к определенным точкам.

Преимущество дискреционного контроля доступа заключается в том, что администратор может легко и быстро настраивать разрешения, решая, кто и где получает доступ, исходя из того, что он считает нужным. Недостатком является то, что это часто дает слишком много полномочий администратору списка, который может передать доступ неподходящим пользователям, у которых не должно быть доступа. Это также делает систему уязвимой для вредоносных программ (например, троянских коней), которые могут проникнуть в систему без ведома пользователя, поскольку разрешения пользователя часто наследуются другими программами в операционной системе.

Системы обязательного контроля доступа

Обязательный контроль доступа, с другой стороны, является наиболее ограничительной формой контроля доступа, поскольку он предоставляет контроль и управление системой и точками доступа только владельцу системы или администратору. Конечные пользователи и сотрудники не имеют никакого контроля над разрешениями или доступом и могут получать доступ только к точкам, предоставленным им владельцем системы. Кроме того, администратор может изменять настройки только в соответствии с самими параметрами системы, которые запрограммированы как таковые и не могут быть обойдены.

Все пользователи классифицируются и помечаются в соответствии с их разрешениями и получают разрешения на вход, доступ и выход из определенных точек в соответствии с их указанным уровнем классификации. Если владелец системы хочет предоставить пользователю доступ более высокого уровня, он, как правило, должен создать новый профиль и учетные данные для этого пользователя, поскольку его предыдущей классификации не могут быть предоставлены какие-либо разрешения, которые еще не указаны в их профиле.

Обязательный контроль доступа наиболее полезен для объектов и организаций, где требуется максимальная безопасность и ограничения, таких как военные и правительственные объекты, а также для корпораций, где ценятся безопасность и секретность.

Управление доступом на основе ролей

Управление доступом на основе ролей (англ. Role Based Access Control, RBAC) является одной из наиболее популярных широко используемых форм. RBAC назначает разрешения в зависимости от положения или роли, которую пользователь занимает в организации, и эти предопределенные роли содержат соответствующие разрешения. Например, если пользователь классифицируется как «Инженер проекта», он автоматически получит разрешения, предоставляемые инженерам проекта в системе.

Преимущество этой формы контроля доступа заключается в том, что ее довольно просто настроить и использовать, особенно для владельца системы или администратора, которому просто нужно настроить предопределенные роли с соответствующими разрешениями. Ограничения, однако, заключаются в том, что если пользователю требуются разрешения, которых у него нет, будь то единовременно или на постоянной основе, администратор должен предоставить ему разрешение за пределами его предопределенной роли, что может быть, а может и не быть возможным, в зависимости от точная настройка СКУД.

Управление доступом на основе ролей — отличный вариант для облачных систем контроля доступа, где правила и разрешения между пользователями, как правило, более динамичны и изменчивы.

Управление доступом на основе правил

Последней популярной формой управления доступом является управление доступом на основе правил, не путать с ролевым. Управление доступом на основе правил позволяет владельцам систем и администраторам устанавливать правила и ограничения разрешений по мере необходимости, например, ограничение доступа в определенное время суток, требование присутствия пользователя в определенном месте или ограничение доступа в зависимости от используемого устройства. Разрешения могут даже определяться на основе количества предыдущих попыток доступа, последнего выполненного действия и необходимого действия.

Эта форма контроля доступа хороша для обеспечения подотчетности и контроля за тем, когда и где сотрудники имеют доступ к определенным объектам. Это очень выгодно тем, что разрешения и правила могут быть динамическими, что позволяет системному администратору настраивать их для любого количества ситуаций и потребностей, которые могут возникнуть. Разрешения могут быть определены по любым комбинированным критериям, что позволяет создавать бесчисленные конфигурации практически для любого количества уникальных ситуаций. Это также отлично подходит для контроля доступа к нескольким дверям, где пользователи могут быть ограничены в выборе дверей, к которым они могут получить доступ.