В современных информационных системах защита данных и ресурсов обеспечивается через три ключевых механизма: идентификацию, проверку подлинности и контроль доступа. Рассмотрим каждый из них.

Идентификация

Это процесс распознавания субъекта (пользователя, устройства или приложения), который хочет получить доступ к системе.

Идентификация выполняется с помощью уникального идентификатора, например:

• Логин (username, email);
• Идентификатор устройства (MAC-адрес, IP-адрес);
• Идентификатор пользователя в системе (номер учетной записи).
• На этом этапе система просто узнаёт, кто пытается войти, но не проверяет, является ли этот субъект тем, за кого себя выдает.

Проверка подлинности (аутентификация)

Это процесс подтверждения личности субъекта с помощью одного или нескольких факторов:

• Что-то, что пользователь знает (пароль, PIN-код, секретный вопрос);
• Что-то, что пользователь имеет (смартфон, смарт-карта, токен);
• Что-то, чем пользователь является (отпечаток пальца, лицо, радужная оболочка глаза).

Для повышения безопасности применяются многофакторная аутентификация (MFA) и двухфакторная аутентификация (2FA), например, комбинация пароля и SMS-кода.

Контроль доступа

После успешной аутентификации система проверяет права доступа субъекта к конкретным ресурсам и выполняет контроль доступа.

Основные модели контроля доступа:

• Мандатный (MAC) – доступ определяется политиками безопасности (например, классификация документов "Секретно", "Совершенно секретно").
• Дискреционный (DAC) – владелец ресурса сам назначает права другим пользователям.
• Ролевой (RBAC) – доступ предоставляется на основе ролей (например, "Администратор", "Пользователь").
• Атрибутный (ABAC) – доступ определяется на основе свойств субъекта, объекта и контекста (например, геолокация, время суток).

Итог

Эти три механизма работают вместе, чтобы гарантировать, что только авторизованные субъекты могут получить доступ к программам и данным. Надёжная идентификация, проверка подлинности и контроль доступа – это основа информационной безопасности.