Управление доступом для любой информационной системы является основополагающим компонентом ее защиты. Разграничение доступа позволяет отделить легальных пользователей системы от нелегальных, ограничивая, таким образом, доступность системных ресурсов в соответствии с правами пользователей. Любая система управления доступом, как правило, основывается на знании легальными пользователями определенной информации, необходимой для получения доступа в систему, принадлежности пользователей к той или иной группе, которая в силу каких-либо факторов (например, логического расположения в сети), имеет доступ в систему.

Существует два основных принципа управления доступом, которые зачастую выделяются как два вида систем управления доступом:

• Дискреционное управление доступом. Системы дискреционного контроля подразумевают идентификацию субъектов (пользователей, программ) и объектов (ресурсов) системы. Для каждого из субъектов определяется набор прав доступа к каждому из объектов, эти правила объединяются в списки доступа, которые используются системой при попытке доступа субъектов к ресурсам системы.
• Мандатное управление доступом. Системы мандатного управления доступом основаны на присвоении каждому объекту и субъекту системы меток конфиденциальности. Метки составляют уровни конфиденциальности, причем субъекты с определенным уровнем конфиденциальности не могут получить доступ к объектам более высокого уровня. Системы мандатного управления доступом, как правило, используются не в чистом виде, а с элементами дискреционного контроля.

Системы управления доступом включают в себя следующие меры и средства защиты:

1. организационно-технические – защита от физических угроз. К организационно-техническим мерам защиты относятся системы контроля физического доступа в помещения (контрольно-пропускные пункты, электронные и механические замки), системы видеонаблюдения, системы охраны, пожарной сигнализации и т.д.
2. специальные технические – защита от перехвата, модификации, уничтожения информации с использованием каналов связи системы, а также с использованием доступа к техническим средствам хранения и обработки информации системы.

   Этот вид средств включает в себя средства аутентификации, средства защиты от технических разведок и утечек информации по другим техническим каналам связи (оптический, радиоканал, виброакустический и т.д.)

Средства аутентификации представляют собой средства контроля доступа, основанные на знании субъектами доступа определенной информации, называемой аутентификационной.

Системы аутентификации делятся на однофакторные и многофакторные. Однофакторные системы включают, как правило, парольную аутентификацию. К их достоинствам можно отнести простоту развертывания, использования и администрирования. Однако они зачастую не обеспечивают необходимого уровня защиты доступа.

Многофакторные системы аутентификации более наджены, но сложны в эксплуатации. Эти системы используют коминацию нескольких факторов защиты (это могут быть пароли,USB-токены, смарт-карты, биометрические параметры и т.д.)

Компания ИБТранс предлагает установку и настройку следующих средств управления доступом:

• Средства одно- и многофакторной локальной аутентификации. Сюда относятся парольные системы, смарт-карты, USB-токены и т.д. Компания предлагает средства контроля доступа от компаний Alladin (E-token pro, смарт-карты), RSA (RSA Secure-ID)
• Серверы аутентификации, авторизации и учета (AAA). Серверы используются для сетевой аутентификации субъектов доступа, т.е. когда обращение к объектам доступа производится при помощи сети. Компания ИБТранс достаточно давно для этих целей использует серверы Cisco ACS, зарекомендовавшие себя как надежное средство управления сетевым доступом.
• Средства операционных систем, службы каталогов для организации доменных структур.