МЕТОДИ АВТЕНТИФІКАЦІЇ ТА КЕРУВАННЯ ДОСТУПОМ ДО ВЕБ-РЕСУРСУ ЗГІДНО ДО GDPR - Наукові конференції

Вас вітає Інтернет конференція!

Вітаємо на нашому сайті

Рік заснування видання - 2011

МЕТОДИ АВТЕНТИФІКАЦІЇ ТА КЕРУВАННЯ ДОСТУПОМ ДО ВЕБ-РЕСУРСУ ЗГІДНО ДО GDPR

12.09.2022 12:04

[1. Інформаційні системи і технології]

Автор: Драгоєв Денис Михайлович, студент 2 курсу магістратури, Національний авіаційний університет, м. Київ, Україна


Анотація

В роботі розглядається автентифікація та керування доступом, як одні з найефективніших методів захисту веб-ресурсів. На відміну від попередніх років на тлі істотного кількісного зростання попиту, що продовжується, на найсучасніші засоби автентифікації, замовники навчилися формувати вимоги до технологічних аспектів запропонованих виробниками рішень, тобто до інфраструктурної складової систем управління доступом. Наразі виникла потреба у створенні сервісу для забезпечення авторизованого доступ до даних та протидії крадіжки конфіденційних даних. 

Вступ 

Атаки на веб-додатки — один із найпопулярніших методів кібератак. За даними досліджень, 17% від загальної кількості атак припало на експлуатацію вразливостей та недоліків захисту веб-додатків. Зловмисники можуть використовувати скомпрометовані сайти в різних цілях: для поширення шкідливого програмного забезпечення, крадіжки конфіденційних даних або проникнення у внутрішню інфраструктуру компанії. Все перераховане вище — пряма загроза для функціонування та репутації організацій, тому веб-додатки потрібно захищати і не залишати слабких місць при їх розробці. 

Середня кількість вразливостей на один веб-додаток скоротилася більш ніж на третину порівняно з 2019 роком [1], це детально продемонстровано на рисунку 1. У середньому на один сайт припадає 15 вразливостей, дві з яких – високого ступеня ризику. 





Рисунок 1. Частки вразливих веб-застосунків залежно від максимального ступеня ризику вразливостей

Витоки важливих даних мали місце у 91% веб-додатків. Найчастіше розкривалися ідентифікатори користувачів (84% випадків). Дві третини додатків схильні до розкриття персональних даних, а близько половини — витоків облікових даних користувачів. Можливість несанкціонованого доступу була відзначена у 84% веб-додатків [2]. При цьому повний контроль над сайтом вдалося отримати у 5% випадків.

За останні два роки серед загальної кількості вразливостей спостерігається незначне зменшення частки вразливостей високого ступеня ризику, які можуть призвести до вкрай негативних наслідків. При цьому частка вразливостей середнього ступеня ризику зменшилася на 23%, а частка вразливостей низького ступеня ризику збільшилася більш ніж удвічі. Крім того, зменшилася в 1,7 та 2,5 рази середня кількість вразливостей високого та середнього рівня ризику відповідно на один додаток порівняно з 2019 роком, що може говорити про поширення підходів безпечної розробки.

Постановка задачі 

Стан захищеності веб-додатків IT-галузі показав негативну динаміку порівняно з 2019 роком: близько половини продуктивних програм мали низький або вкрай низький рівень захищеності. Крім того, більшість додатків зазвичай схильні до вразливостей, пов'язаних із впровадженням коду. 

Характерною особливістю більшості програм, є наявність уразливостей, пов'язаних з небезпечним проектуванням, зокрема помилок у бізнес-логіці.






Рисунок 2. Поширені загрози веб-застосунків  

Згідно з рисунком 2, 84% програм мають виявлені загрози несанкціонованого доступу до особистих кабінетів користувачів, у тому числі адміністраторів. У 72% веб-застосунків зловмисник може отримати доступ до функціональності або контенту, які не повинні бути для нього доступні, наприклад переглядати особисті кабінети інших користувачів або змінювати тривалість пробного періоду передплати [3].

Досягти високого рівня захищеності складно і підтримувати цей рівень — не менш трудомісткий процес. Ретельне та безпечне проектування веб-застосунку, розробка з використанням інструментів аналізу вихідного коду, швидке виправлення виявлених уразливостей та автоматизація більшості процесів – це ті правила, які дозволять забезпечити високий рівень безпеки веб-додатку.

При розгляді методів захисту даних, варто звернути увагу на загальний регламент захисту даних, або GDPR, – це регламент ЄС, який посилює регулювання у сфері персональних даних. Згідно з ним, будь-яка інформація, яка може бути використана для ідентифікації людини, вважається персональними даними. GDPR не вбереже від витоку персональних даних, адже вона може статися через хакерську атаку і чиюсь помилку. Але повна відповідність до правил регламенту мінімізує таку можливість. 

Існує також багато інших засобів захисту особистих даних. Серед них можна виокремити декілька: ви можете контролювати доступ до особистих даних; за необхідності використовувати шифрування; підтримувати розумну політику управління; перевіряти, що ви не збираєте та не використовуєте більше персональних даних, ніж вам потрібно; і безпечно розпоряджатися ними, коли немає більше вагомих причин їх зберігати. GDPR пропагує чесність, законність та прозорість при обробці даних, за рахунок цього компанії можуть підвищити довіру з боку клієнтів [4]. 

Головна складність полягає саме у виборі для подальшого впровадження найбільш відповідної моделі контролю доступу для різних інформаційних систем. Ці системи відрізняються кількістю ролей, які задіяні у бізнес процесі, різним рівнем складності самих бізнес-правил, наявністю чи відсутністю динамічних атрибутів, а також необхідністю забезпечувати контроль доступу до дій, даних тощо. Модель управління доступом відіграє основну роль в системі безпеки інформаційної системи.

Наразі існує вже декілька прикладів побідних систем, які використовуються для авторизації користувачів та мають можливість надання різних прав доступу, одна з таких – ArcGIS [5]. Цей застосунок вміє обмежувати доступ до порталу та використання елементів та сервісів, контролювати користувачів, які можуть адмініструвати портал та публікувати елементи та сервіси та шифрувати обмін даними з порталом. Якщо брати до уваги захищеність, то можна виділити наступні пункти:

1. URL-адреса порталу відома лише адміністратору, який налаштовує ArcGIS Enterprise.

2. Portal for ArcGIS спочатку має лише один обліковий запис, початковий обліковий запис адміністратора, який ви вказали під час першого входу на веб-сайт порталу. Це не обліковий запис операційної системи; це обліковий запис, який використовується лише для входу до порталу.

3. Облікові дані адміністратора захищені за допомогою HTTPS, що працює через веб-сервер, на якому інстальовано Web Adaptor.

4. Усі операції адміністрування спочатку захищені та можуть виконуватися лише адміністратором.

Як видно з цієї характеристики, система має достатньо переваг, проте є не досить захищеною. Станом на сьогодні виникає потреба у створенні застосунку, що буде відповідати міжнародним регламентам безпеки та мати чіткий розподіл моделей поведінки користувачів, для того щоб зменшити ймовірність появи нових атак.

Вирішення задачі

Виходячи з наведених вище міркувань, має сенс сформулювати основні вимоги до методу, що розробляється:

1. Надійність системи реєстрації та автентифікації не повинна ґрунтуватися на секретності алгоритму, оскільки потенційний зловмисник має доступ до копій виконуваного коду (а також, можливо, вихідного коду) програмного забезпечення системи управління доступом та персональним даним. Система реєстрації користувачів включає в себе підтвердженнями по e-mail та 2FA з підтримкою OTP від Google.

2. Система повинна мати KYC-верифікацію для перевірки персональних даних та підтвердження особистості клієнта шляхом додавання профілю та завантаження документів користувача.

3. Система повинна мати чітке розмежування доступу для користувачів. Кожен користувач повинен мати певну роль і відповідно права доступу до визначених ресурсів.

4. Користувач, який має права Адміністратора, повинен мати розширений функціонал для забезпечення контролю доступу інших користувачів.

Для того щоб вирішити проблему правильного розмежування доступу, треба чітко розуміти, який саме користувач виконує дію (автентифікація) та чи має він право на такі діє в системі (авторизація). Найбільш складним завданням є саме розв’язання проблеми авторизації.

На сьогодні існує кілька найбільш поширених методів контролю доступу, які також можна поєднувати між собою:

− контроль доступу на основі атрибутів (ABAC);

− рольовий контроль доступу (RBAC);

− контроль доступу на базі списків доступу (ACL);

− контекстний контроль доступу (CBAC) ;

− контроль доступу на основі правил;

− контроль доступу на основі часу.

Модель управління доступом відіграє основну роль в системі безпеки інформаційної системи. Мета моделі – вираження суті вимог з безпеки до даної системи. Вона визначає потоки інформації, дозволені в системі, і правила надання доступу до інформації. Модель не накладає обмежень на реалізацію тих чи інших механізмів захисту. Хороша модель безпеки має властивості абстрактності, простоти і адекватності системі, яка моделюється.

Висновки

Підбиваючи підсумки, можна зазначити, що сучасна система управління доступом до інформаційних ресурсів є багатогранною. На сьогодні існує багато програмних продуктів, які допомагають налаштувати та впровадити авторизацію в інформаційну систему, при цьому зовсім не багато з них надають консультацію саме з вибору потрібної моделі доступу: ABAC, RBAC, тощо. Але зазвичай саме проблема вибору відіграє найважливішу роль на перших етапах проектування нової або, якщо система вже існує, при суттєвих змінах бізнес процесів і підходів. Головна мета даної роботи - проектування системи, яка б могла допомогти з вибором моделі авторизації та розмежування доступу.

Наразі розвиток сучасних систем інформаційної безпеки вже здатний запропонувати подібні рішення, як у рамках єдиного продукту, так і набору різних компонентів для виконання завдань, але єдиної уніфікованої системи ще не реалізовано. Тому використання такої системи є цілком доцільним та аргументованим.

Література

1. Вразливості та загрози веб-застосунків [Електронний ресурс] – Режим доступу: World Wibe Web. – URL: https://www.ptsecurity.com/ research/analytics/web-vulnerabilities-2020-2021/

2. Системи ідентифікації та авторизації[Електронний ресурс] – Режим доступу: World Wibe Web. – URL: https://alfa-tex.com/upravlenie-dostupom/sistemy-identifikacii-autentifikacii-i-avtorizacii

3. Автентифікація та розмежування доступу [Електронний ресурс] – Режим доступу: World Wibe Web. – URL: https://safe-surf.com/users-of/article/643444/

4. Раков І. Система контролю і управління доступом, Київ: Логос, 2011, 216 с.

5. ArcGIS [Електронний ресурс] – Режим доступу: World Wibe Web. – URL: https://enterprise.arcgis.com/ru/portal/




Creative Commons Attribution Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
допомога Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Конференції

Конференції 2024

Конференції 2023

Конференції 2022

Конференції 2021



Міжнародна інтернет-конференція з економіки, інформаційних систем і технологій, психології та педагогіки

Наукова спільнота - інтернет конференції

:: LEX-LINE :: Юридична лінія

Інформаційне суспільство: технологічні, економічні та технічні аспекти становлення