Autorisierung - Authorization

Teil einer Serie über
Informationssicherheit
Verwandte Sicherheitskategorien
Computersicherheit Fahrzeugsicherheit Cyberkriminalität Cybersex-Handel Computerbetrug Cybergeddon Cyber ​​Terrorismus Cyber-Krieg Elektronische Kriegsführung Informationskrieg Internet sicherheit Mobile Sicherheit Netzwerksicherheit Kopierschutz Management von Digitalen Rechten
Bedrohungen
Adware Erweiterte anhaltende Bedrohung Ausführung von beliebigem Code Hintertüren Hardware-Hintertüren Codeinjektion Crimeware Cross-Site-Scripting Cryptojacking-Malware Botnetze Datenleck Drive-by-Download Browser-Hilfsobjekte Computerkriminalität Viren Daten-Scraping Denial of Service Lauschen E-Mail-Betrug E-Mail-Spoofing Exploits Keylogger Logikbomben Zeitbomben Gabelbomben Zip-Bomben Betrügerische Dialer Malware Nutzlast Phishing Polymorphe Engine Privilegieneskalation Ransomware Rootkits Bootkits Scareware Shellcode Spamming Social Engineering (Sicherheit) Siebscraping Spyware Softwarefehler trojanische Pferde Hardware-Trojaner Trojaner für den Fernzugriff Verletzlichkeit Web-Shells Wischer Würmer SQL-Injektion Rogue-Sicherheitssoftware Zombie
Verteidigungen
Anwendungssicherheit Sichere Codierung Standardmäßig sicher Sicher durch Design Missbrauchsfall Computerzugriffskontrolle Authentifizierung Multi-Faktor-Authentifizierung Genehmigung Computersicherheitssoftware Antiviren Software Sicherheitsorientiertes Betriebssystem Datenzentrierte Sicherheit Code-Verschleierung Datenmaskierung Verschlüsselung Firewall Einbruchmeldesystem Hostbasiertes Intrusion Detection System (HIDS) Anomalieerkennung Sicherheitsinformations- und Ereignismanagement (SIEM) Mobiles sicheres Gateway Selbstschutz der Laufzeitanwendung
v T e

Autorisierung ist die Funktion der Festlegung von Zugriffsrechten/Privilegien auf Ressourcen, die sich auf die allgemeine Informationssicherheit und Computersicherheit und insbesondere auf die Zugriffskontrolle beziehen . Formaler gesagt bedeutet "autorisieren", eine Zugriffsrichtlinie zu definieren. Zum Beispiel ist Personal der Personalabteilung normalerweise berechtigt, auf Mitarbeiterdatensätze zuzugreifen, und diese Richtlinie wird oft als Zugangskontrollregeln in einem Computersystem formalisiert. Im Betrieb entscheidet das System anhand der Zugangskontrollregeln, ob Zugangsanfragen von ( authentifizierten ) Verbrauchern genehmigt (gewährt) oder abgelehnt (abgelehnt) werden sollen. Die Ressourcen umfassen einzelne Dateien oder ein Elements Daten , Computerprogramme , Computer - Geräte und Funktionen , bereitgestellt durch Computeranwendungen . Beispiele für die Verbraucher sind Computer - Anwender, Computer - Software und andere Hardware auf dem Computer.

Überblick

Die Zugriffskontrolle in Computersystemen und Netzwerken basiert auf Zugriffsrichtlinien. Der Zugriffskontrollprozess kann in die folgenden Phasen unterteilt werden: Richtliniendefinitionsphase, in der der Zugriff autorisiert wird, und Richtliniendurchsetzungsphase, in der Zugriffsanforderungen genehmigt oder abgelehnt werden. Autorisierung ist die Funktion der Richtliniendefinitionsphase, die der Richtliniendurchsetzungsphase vorausgeht, in der Zugriffsanforderungen basierend auf den zuvor definierten Berechtigungen genehmigt oder abgelehnt werden.

Die meisten modernen Mehrbenutzer-Betriebssysteme verfügen über eine rollenbasierte Zugriffskontrolle (RBAC) und sind daher auf Autorisierung angewiesen. Die Zugriffssteuerung verwendet auch die Authentifizierung , um die Identität von Verbrauchern zu überprüfen . Wenn ein Verbraucher versucht, auf eine Ressource zuzugreifen, überprüft der Zugriffssteuerungsprozess, ob der Verbraucher berechtigt ist, diese Ressource zu verwenden. Die Autorisierung liegt in der Verantwortung einer Behörde, beispielsweise eines Abteilungsleiters, innerhalb der Anwendungsdomäne, wird jedoch häufig an einen Verwalter wie beispielsweise einen Systemadministrator delegiert. Autorisierungen werden in einigen Typen von "Richtliniendefinitionsanwendung" als Zugriffsrichtlinien ausgedrückt, zB in Form einer Zugriffskontrollliste oder einer Fähigkeit , oder eines Richtlinienverwaltungspunkts, zB XACML . Auf der Grundlage des „ Prinzips der geringsten Rechte “: Verbraucher sollten nur auf das zugreifen dürfen, was sie für ihre Arbeit benötigen. Ältere Betriebssysteme und Einzelbenutzer-Betriebssysteme hatten oft schwache oder nicht vorhandene Authentifizierungs- und Zugangskontrollsysteme.

„Anonyme Verbraucher“ oder „Gäste“ sind Verbraucher, für die keine Authentifizierung erforderlich war. Sie haben oft eine eingeschränkte Berechtigung. Auf einem verteilten System ist es oft wünschenswert, den Zugriff zu gewähren, ohne dass eine eindeutige Identität erforderlich ist. Bekannte Beispiele für Zugriffstoken sind Schlüssel, Zertifikate und Tickets: Sie gewähren Zugriff ohne Identitätsnachweis.

Vertrauenswürdige Verbraucher sind häufig für den uneingeschränkten Zugriff auf Ressourcen eines Systems autorisiert, müssen jedoch verifiziert werden, damit das Zugriffskontrollsystem die Entscheidung über die Zugriffsgenehmigung treffen kann. "Teilweise vertrauenswürdig" und Gäste haben oft eingeschränkte Berechtigungen, um Ressourcen vor unsachgemäßem Zugriff und Missbrauch zu schützen. Die Zugriffsrichtlinie einiger Betriebssysteme gewährt standardmäßig allen Verbrauchern vollen Zugriff auf alle Ressourcen. Andere tun das Gegenteil und bestehen darauf, dass der Administrator einen Verbraucher explizit autorisiert, jede Ressource zu verwenden.

Selbst wenn der Zugriff durch eine Kombination aus Authentifizierungs- und Zugriffskontrolllisten kontrolliert wird , sind die Probleme bei der Pflege der Autorisierungsdaten nicht trivial und stellen oft einen ebenso hohen Verwaltungsaufwand dar wie die Verwaltung von Authentifizierungsdaten. Häufig ist es erforderlich, die Berechtigung eines Benutzers zu ändern oder zu entfernen: Dies geschieht durch Ändern oder Löschen der entsprechenden Zugriffsregeln auf dem System. Die Verwendung atomarer Autorisierung ist eine Alternative zur systembezogenen Autorisierungsverwaltung, bei der ein vertrauenswürdiger Dritter Autorisierungsinformationen sicher verteilt.

Verwandte Interpretationen

Öffentliche Ordnung

In der öffentlichen Ordnung ist die Autorisierung ein Merkmal vertrauenswürdiger Systeme, die für Sicherheit oder soziale Kontrolle verwendet werden .

Bankwesen

Im Bankgeschäft ist eine Autorisierung eine Sperre auf dem Konto eines Kunden, wenn ein Kauf mit einer Debit- oder Kreditkarte getätigt wird .

Veröffentlichung

Im Verlagswesen werden manchmal öffentliche Vorträge und andere frei verfügbare Texte ohne Zustimmung des Autors veröffentlicht . Diese werden als nicht autorisierte Texte bezeichnet. Ein Beispiel ist das 2002 erschienene 'The Theory of Everything: The Origin and Fate of the Universe' , das aus den Vorträgen von Stephen Hawking gesammelt und ohne seine urheberrechtliche Erlaubnis veröffentlicht wurde.

Siehe auch

Verweise