Есть ли разница между авторизацией и аутентификацией? Да, и значительная. В этой статье мы разберёмся не только с этими понятиями, но и дадим представление по основным терминам информационной безопасности. После прочтения этой статьи вы точно поймете вашего системного администратора по большей части вопросов.
Конфиденциальность в контексте информационной безопасности — это условие, которое обеспечивает приватность информации и защищает ее от несанкционированного доступа, использования, распространения или уничтожения.
Например, если представить, что ваш СНИЛС, паспорт и номер банковской карты с заветным трехзначным числом на обратной стороне — это книги в библиотеке, которые библиотекарь выдаёт по читательскому билету, который есть только у вас, то получается, что ваши данные конфиденциальны. Доступ к ним есть только у вас, они защищены от несанкционированного доступа.
Целостность — это свойство информации быть неизменной, неповрежденной и той, в которую не вносили несанкционированные изменения.
Например, когда мы отправляем письмо по почте, мы уверены, что письмо дойдет ровно таким, как мы его написали. Будь это электронная или бумажная почта. И в процессе пересылки наше письмо будет неизменным.
Доступность в контексте информационной безопасности — это состояние информации, при котором субъекты с правом доступа могут реализовать его беспрепятственно.
Например, если у вас есть машина, которая стоит на парковке по правилам, но неожиданно вы обнаруживаете, что вас заперла соседняя машина, то доступность вашей поездки и возможность сесть в машину (представим, что вас заперли именно с водительской стороны) стремятся к нулю, нужно решать проблему доступа к машине и проблему поездки, читай, использованию машины по назначению.
Аутентификация — это процесс проверки подлинности субъекта доступа к информационной системе.
Если упрощать до предела, то аутентификация — это подтверждение того, что человек, который пытается получить доступ к системе, действительно тот, за кого себя выдает. Классический пример — это доступ к банковскому счёту онлайн. По логину и паролю. И, конечно, по дополнительной SMS. Почему, кстати, не просто по логину и паролю? Потому что так гораздо безопаснее.
Например, так умеет делать MULTIFACTOR — система двухфакторной аутентификации и контроля доступа. Она легко встраивается в любой процесс в организации и поддерживает самые современные способы аутентификации. Если вы подключите у себя такую систему, то сделаете свою корпоративную рабочую жизнь гораздо безопаснее (да и личную тоже). Даже если злоумышленники украдут ваши логины и пароли, они всё равно не смогут проникнуть в вашу организацию при наличии дополнительного фактора подтверждения входа в учетную запись.
Авторизация — это определение того, что субъект доступа может делать в системе.
Например, когда вы входите в свою учётную запись на сайте, вы проходите аутентификацию. После успешной аутентификации система определяет, какие права доступа у вас есть. Если у вас есть права администратора, вы можете выполнять любые действия в системе, например, добавлять или удалять пользователей, изменять настройки системы и так далее. Если у вас есть права обычного пользователя, вы можете выполнять только ограниченный набор действий, например, просматривать информацию или загружать файлы.
Авторизация помогает защитить информацию от несанкционированного использования. Если авторизация не будет пройдена, то злоумышленник, который прошел аутентификацию, не сможет выполнить какие-либо действия в системе.
Разница между авторизацией и аутентификацией заключается в следующем:
- аутентификация отвечает на вопрос "кто вы?"
- авторизация отвечает на вопрос "Что вы можете делать?".
Криптография — это способ сделать информацию секретной.
Криптография используется для защиты информации от несанкционированного доступа, изменения или уничтожения.
Методов в криптографии много, но есть два самых популярных:
- Симметричная криптография использует один ключ для шифрования и дешифрования информации.
- Асимметричная криптография использует два ключа: один для шифрования, а другой для дешифрования.
Второй метод, соответственно, сильнее первого и сильно чаще используется на практике.
Угрозы информационной безопасности — это то, что может навредить информации.
Они бывают как преднамеренными, так и непреднамеренными. Преднамеренные угрозы — это злоумышленники, которые намеренно пытаются получить доступ к информации или причинить ей вред. Непреднамеренные угрозы могут возникать из-за случайных ошибок или несовершенства систем информационной безопасности.
Также угрозы делятся на типы, самые распространённые из которых перечислены ниже:
- Несанкционированный доступ — получение доступа к информации или системе без разрешения.
- Изменение информации — внесение изменений в информацию без разрешения.
- Уничтожение информации — полное или частичное удаление информации.
- Сбой системы — прекращение работы системы или нарушение её функциональности.
Фишинг — это такой вид мошенничества, целью которого является получение конфиденциальной информации, такой как логины, пароли, номера кредитных карт и других данных, путем обмана жертвы. Злоумышленники отправляют сообщения, которые выглядят как официальные письма или SMS от известных компаний или организаций. В этих сообщениях жертву просят предоставить конфиденциальную информацию, например, чтобы подтвердить учетную запись или восстановить пароль.
Например, представьте, что вы получаете электронное письмо от банка, в котором говорится, что ваша учетная запись была заблокирована. В письме содержится ссылка на веб-сайт банка, где вам предлагается ввести свои логин и пароль, чтобы разблокировать учетную запись.
Если вы “клюнете” на “наживку” в виде фальшивого сайта и перейдете по ссылке, а затем введете свои учетные данные, злоумышленник получит доступ к вашей учетной записи. И уже дальше сможет украсть ваши деньги.
Сетевая безопасность — это защита сетей от несанкционированного доступа, изменения, уничтожения или блокирования информации.
Обычно помогают в работе следующие меры:
- разработка и внедрение политик и процедур сетевой безопасности
- использование надежных систем и технологий защиты информации.
- обучение сотрудников правилам сетевой безопасности.
Да, теперь, после этой статьи вы точно сможете поговорить с вашим сисадмином на одном языке, но у нас для вас есть ещё кое-что 🙂
Мы всегда сможем подсказать лучшие способы защиты корпоративных секретов, бесплатно: достаточно позвонить нам по телефону +7 499 444 08 82 или написать на почту sales@multifactor.ru. Наши специалисты ответят на все вопросы и подберут оптимальное решение для вашего бизнеса.
