Na segurança da informação
O controle de acesso, na segurança da informação, é composto dos processos de autenticação, autorização e auditoria (accounting).
Neste contexto o controle de acesso pode ser entendido como a
habilidade de permitir ou negar a utilização de um objeto (uma entidade
passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa,
como um indivíduo ou um processo). A autenticação identifica quem
acessa o sistema, a autorização determina o que um usuário autenticado
pode fazer, e a auditoria diz o que o usuário fez.
Identificação e autenticação
A identificação e autenticação fazem parte de um processo de dois
passos que determina quem pode acessar determinado sistema. Durante a
identificação o usuário diz ao sistema quem ele é (normalmente através
de um nome de usuário). Durante a autenticação a identidade é verificada
através de uma credencial (uma senha, por exemplo) fornecida pelo
usuário. Atualmente, com a popularização tecnológica, reconhecimento por
impressão digital, smartcard, MiFare ou RFID
estão substituindo, por exemplo, o método de credencial (nome e senha).
Dispositivos com sensores que fazem a leitura, a verificação e a
identificação de características físicas únicas de um indivíduo aplicam a
biometria
e fazem agora a maior parte dos reconhecimentos. A identificação
biométrica por impressão digital é a mais conhecida e utilizada
atualmente por sua fiabilidade alta e baixo custo. [1]
Autorização
A autorização define quais direitos e permissões tem o usuário do
sistema. Após o usuário ser autenticado o processo de autorização
determina o que ele pode fazer no sistema.
Auditoria
A auditoria (accounting) é uma referência à coleta da
informação relacionada à utilização, pelos usuários, dos recursos de um
sistema. Esta informação pode ser utilizada para gerenciamento,
planejamento, cobrança e etc. A auditoria em tempo real ocorre quando as informações relativas aos usuários são trafegadas no momento do consumo dos recursos. Na auditoria em batch
as informações são gravadas e enviadas posteriormente. As informações
que são tipicamente relacionadas com este processo são a identidade do
usuário, a natureza do serviço entregue, o momento em que o serviço se
inicia e o momento do seu término.
Nenhum comentário:
Postar um comentário