A segurança da informação desempenha um papel central nas relações sociais de hoje. Ela não apenas salvaguarda a privacidade e os direitos individuais, mas promove o estabelecimento de confiança e ordem social. Ela também desempenha um papel crucial em alcançar uma distribuição justa de recursos, manter a estabilidade social e promover o desenvolvimento econômico. Ela tem um impacto profundo na construção de uma sociedade harmoniosa e herança cultural.
O aspecto fundamental da segurança da informação é evitar vazamento de recursos ou modificações não autorizadas controlando como os recursos de informação são acessados.
O que é controle de acesso?
O controle de acesso é uma medida de segurança que controla usuários e sistemas para se comunicarem e interagirem com outros sistemas e recursos. Ele pode proteger o sistema e os recursos de acesso não autorizado e autorizar o nível de acesso após a autenticação ser passada. As entidades que acessam recursos e informações incluem vários tipos de entidades, como usuários, programas, processos, sistemas, terminais, etc.
Acesso é uma forma de transmissão de informações entre o sujeito e o objeto. O chamado sujeito é uma entidade ativa que solicita acesso a objetos ou dados no objeto, como usuários, programas, processos, etc. que podem acessar informações. O chamado objeto é uma entidade passiva que contém as informações acessadas, como um computador, um banco de dados, um arquivo, um programa, etc. O controle de acesso permite que os usuários controlem, restrinjam, monitorem e protejam a disponibilidade, integridade e confidencialidade dos recursos.
Princípios de Segurança da CIA
Confidencialidade é a proteção de informações de entidades não autorizadas. O mecanismo de controle de acesso precisa especificar quem pode acessar os dados e quais operações podem ser executadas nos dados, e essas atividades precisam ser controladas, auditadas e monitoradas.
As informações devem ser precisas e completas e não podem ser modificadas sem autorização. Se um mecanismo de segurança fornece integridade, ele protegerá os dados de modificações não autorizadas ou emitirá um aviso se modificações ilegais ocorrerem. Por exemplo, mecanismos como algoritmos de hash, assinaturas digitais e códigos de verificação de mensagens podem obter proteção de integridade de informações.
Informações, sistemas e recursos devem ser capazes de garantir o uso do usuário ao longo do tempo para não afetar o progresso do trabalho. Geralmente, mecanismos de tolerância a falhas e recuperação são adotados.
Identidade e autenticação
No mundo da informação, identidade é um identificador que distingue uma entidade de outras entidades. Identidade tem exclusividade dentro de um certo intervalo. Identidade pode identificar um usuário, uma máquina, um objeto, algumas entidades virtuais, etc.
Autenticação de identidade, também conhecida como “verificação de identidade” ou “autenticação de identidade”, refere-se ao processo de confirmação da identidade de uma entidade em um computador ou rede ou ao processo de confirmação de quem é a entidade do outro lado da comunicação, para confirmar se a entidade tem permissões de acesso e uso para um determinado recurso para que as políticas de acesso possam ser executadas de forma confiável e eficaz.
A autenticação da identidade do usuário exige que o usuário prove ao sistema que ele é quem afirma ser.
A autenticação de identidade de máquinas, objetos e entidades virtuais, também conhecida como autenticação de entidade, refere-se principalmente à comprovação à outra extremidade da comunicação de que se trata do dispositivo reivindicado, autenticação de fonte de dados.
O papel da autenticação de identidade:
• Impedir que invasores se façam passar por usuários legítimos para obter acesso a recursos
• Garantir a segurança do sistema e dos dados
• Garantir os interesses legítimos dos visitantes autorizados
A relação entre controle de acesso e autenticação de identidade
Os usuários devem provar que são a pessoa que dizem ser, possuem credenciais e receberam permissões específicas para concluir uma operação específica para acessar um tipo específico de recurso. Uma vez que essas etapas sejam bem-sucedidas, o usuário pode acessar e usar recursos, mas suas atividades ainda precisam ser rastreadas e seu comportamento auditado.
Identificação é um método de garantir que um sujeito é a entidade que afirma ser. Algumas provas podem confirmar a identificação, como um nome de usuário ou conta. Para autenticação de identidade adequada, os usuários devem fornecer credenciais adicionais, como senhas, PINs, recursos biométricos ou tokens. Se corresponder, o sujeito passou pela autenticação de identidade.
Em seguida, o sistema precisa determinar se essa entidade tem as permissões apropriadas para concluir a operação que está prestes a executar. Se o assunto puder acessar o recurso, então o assunto está autorizado.
O comportamento de um sujeito dentro de um sistema ou domínio deve ser responsável, o que significa que o sujeito pode ser identificado exclusivamente e suas ações registradas.
As quatro etapas de identificação, autenticação, autorização e responsabilização devem ocorrer antes que o sujeito possa acessar o objeto.
Existem três maneiras de os usuários autenticarem sua identidade: o que eles sabem, o que eles têm e quais características eles trazem. Ou seja, a autenticação é baseada em conhecimento, a autenticação é baseada em propriedade e a autenticação é baseada em características (características biológicas, características comportamentais).
Autorização: Autenticação e autorização são duas etapas essenciais que verificam o acesso de um usuário a um recurso. A primeira etapa, autenticação de identidade, exige que o usuário prove sua identidade ao sistema. A segunda etapa envolve o sistema confirmando se o usuário está autorizado a acessar o recurso e determinando quais ações ele tem permissão para executar nele.
Trinta anos atrás, com o rápido desenvolvimento da Internet, a segurança da informação encontrou desafios sem precedentes. Neste momento crítico, a Watchdata surgiu e começou a tentar obter autenticação eficaz com sistema de chave pública. Do “Great Wall Card Network Authorization System” desenvolvido para o Bank of China em 1995 ao TGoMOS® Sistema operacional de segurança multiaplicativo aberto lançado em 2021; Da chave USB PKI de primeira geração a uma série de produtos de chave de segurança de hardware FIDO; Com base na tecnologia de aplicação de algoritmo de senha, tecnologia de proteção de segurança digital e tecnologia de sistema operacional de chip seguro, a Watchdata fornece uma série de produtos e serviços de software e hardware para autenticação global de identidade de usuário.
Os usuários podem concluir a autenticação de login de forma rápida e segura usando produtos de chave de senha inteligente baseados em PKI e conectando-se a dispositivos terminais, como computadores e celulares, por meio de interfaces USB ou Bluetooth. Atualmente, os produtos da série FIDO e os produtos de chave de senha inteligente baseados em PKI da Watchdata obtiveram o certificado de segundo nível do módulo de senha emitido pelo National Commercial Password Testing Center e a certificação FIPS 104-3 Nível 2 emitida pelo NIST nos Estados Unidos. Esses produtos podem efetivamente prevenir ataques de segurança e garantir a segurança da autenticação de identidade do usuário.