Pääsyn valvonta

Esimerkki fyysisestä pääsyn valvonnasta: ovenkahva numeronäppäimistöllä.

Käyttöoikeuksien hallinta[1] tai pääsynvalvonta tarkoittaa fyysisessä turvallisuudessa ja tietoturvassa rajoitettua valikoivaa pääsyä paikkaan tai resurssiin.[2]

Malleja toteutukseen ovat muun muassa Discretionary Access Control (DAC) ja Mandatory Access Control (MAC). MAC-mallia pidetään turvallisimpana eri malleista ja järjestelmä itse liittää ja valvoo käyttöoikeuksia.[3][4] DAC on tyypillinen malli muun muassa tiedostojen jaossa ja omistaja voi itse jakaa oikeuksia.[4]

Attribute Based Access Control (ABAC) on suunniteltu korvaamaan Role-Based Access Control (RBAC), jossa oikeudet annetaan käyttäjään liitetyn attribuuttien mukaan kuten nimike, osasto, koulutus ja niin edelleen.[5] ABAC-mallin on tarkoitus helpottaa ylläpitoa RBAC-malliin verrattuna kun henkilön rooli yrityksessä muuttuu tai henkilö lähtee yrityksestä.[5]

Muita malleja ovat muun muassa Graph-based Access Control (GAC), Lattice-Based Access Control (LBAC) ja Context-Based Access Control (CBAC).

Toteutustekniikat

Esimerkkejä toteutustekniikoista ovat muun muassa:

  • Käyttäjäoikeuslista (ACL)
  • Extensible Authentication Protocol (EAP), RFC 3748
  • Challenge Handshake Authentication Protocol (CHAP), RFC 1994
  • Internet Key Exchange (IKE), IPSec

Katso myös

  • Kulunvalvonta

Lähteet

  1. https://termipankki.fi/tepa/fi/haku/access%20control
  2. https://tools.ietf.org/html/rfc4949
  3. Mandatory Access Control vs Discretionary Access Control: Which to Choose? ekransystem.com. 11.3.2020. Viitattu 22.3.2021. (englanniksi) 
  4. a b Chapter 43. Security and SELinux web.mit.edu. Viitattu 23.3.2021. (englanniksi)[vanhentunut linkki]
  5. a b Attribute Based Access Control (PDF) nccoe.nist.gov. Viitattu 23.3.2021. (englanniksi) 

Kirjallisuutta

  • Ross J. Anderson: Security Engineering: A Guide to Building Dependable Distributed Systems. Wiley. ISBN 978-0470068526. Teoksen verkkoversio. (englanniksi)