Περιορισμός πρόσβασης στα δεδομένα. Οι λίστες σάς επιτρέπουν να ορίσετε δικαιώματα στον χρήστη. Δεν είναι δύσκολο να προσθέσετε δικαιώματα ή να αρνηθείτε ρητά την πρόσβαση εδώ. Οι λίστες χρησιμοποιούνται στα υποσυστήματα ασφαλείας των λειτουργικών συστημάτων και των συστημάτων διαχείρισης βάσεων δεδομένων

Αφού ολοκληρωθεί η αναγνώριση και ο έλεγχος ταυτότητας, είναι απαραίτητο να καθοριστούν οι εξουσίες (σύνολο δικαιωμάτων) του υποκειμένου για τον μετέπειτα έλεγχο της εξουσιοδοτημένης χρήσης υπολογιστικών πόρων που διατίθενται στο AS. Αυτή η διαδικασία ονομάζεται οριοθέτηση ( λογικός έλεγχος) πρόσβαση.

Συνήθως, οι εξουσίες του υποκειμένου αντιπροσωπεύονται από: μια λίστα πόρων, διαθέσιμα στον χρήστηκαι δικαιώματα πρόσβασης σε κάθε πόρο από τη λίστα. Οι υπολογιστικοί πόροι μπορεί να είναι προγράμματα, πληροφορίες, λογικές συσκευές, μέγεθος μνήμης, χρόνος CPU, προτεραιότητα κ.λπ.

Συνήθως, διακρίνονται οι ακόλουθες μέθοδοι ελέγχου πρόσβασης:

Έλεγχος πρόσβασης βάσει λιστών.

Χρήση του πίνακα ίδρυσης της αρχής.

Έλεγχος πρόσβασης με κωδικό πρόσβασης.

Κατά τον περιορισμό της πρόσβασης κατά λίστες, καθορίζονται οι ακόλουθες αντιστοιχίες:

Για κάθε χρήστη - μια λίστα πόρων και δικαιώματα πρόσβασης σε αυτούς ή

Για κάθε πόρο – μια λίστα χρηστών και τα δικαιώματα πρόσβασής τους σε αυτόν τον πόρο.

Οι λίστες σάς επιτρέπουν να ορίσετε δικαιώματα στον χρήστη. Δεν είναι δύσκολο να προσθέσετε δικαιώματα ή να αρνηθείτε ρητά την πρόσβαση εδώ. Οι λίστες χρησιμοποιούνται στα περισσότερα λειτουργικά συστήματα και DBMS.

Η χρήση ενός πίνακα εξουσιοδότησης συνεπάγεται τη χρήση ενός πίνακα πρόσβασης (πίνακας εξουσιοδότησης). Στον καθορισμένο πίνακα (βλ. Πίνακα 2.7), οι σειρές είναι τα αναγνωριστικά των θεμάτων με πρόσβαση στο AS και οι στήλες είναι τα αντικείμενα (πόροι πληροφοριών) του AS. Κάθε στοιχείο μήτρας μπορεί να περιέχει το όνομα και το μέγεθος του παρεχόμενου πόρου, δικαιώματα πρόσβασης (ανάγνωση, εγγραφή κ.λπ.), έναν σύνδεσμο προς άλλο δομή πληροφοριών, προσδιορίζοντας δικαιώματα πρόσβασης, έναν σύνδεσμο προς το πρόγραμμα που διαχειρίζεται τα δικαιώματα πρόσβασης κ.λπ.

Πίνακας 2.7

Τμήμα του πίνακα ίδρυσης της αρχής

Πρόγραμμα

Χρήστης 1

Χρήστης 2

w από τις 9:00 έως τις 17:00

γ – δημιουργία, δ – διαγραφή, r – ανάγνωση, w – εγγραφή, ε – εκτέλεση.

Αυτή η μέθοδος παρέχει μια πιο ενοποιημένη και βολική προσέγγιση, επειδή όλες οι πληροφορίες σχετικά με τις αρχές αποθηκεύονται με τη μορφή ενός ενιαίου πίνακα και όχι με τη μορφή διαφορετικών τύπων λιστών. Τα μειονεκτήματα της μήτρας είναι η πιθανή δυσκινησία και η μη απολύτως βέλτιστη χρήση των πόρων (τα περισσότερα κελιά είναι άδεια).

Οι περιορισμοί πρόσβασης ανά επίπεδα και κατηγορίες απορρήτου συνίστανται στο γεγονός ότι οι πόροι AS διαιρούνται σύμφωνα με τα επίπεδα ή τις κατηγορίες απορρήτου.

Κατά τη διάκριση ανά επίπεδο απορρήτου, διακρίνονται διάφορα επίπεδα, για παράδειγμα: γενική πρόσβαση, εμπιστευτικό, μυστικό, άκρως απόρρητο. Τα δικαιώματα κάθε χρήστη ορίζονται σύμφωνα με το μέγιστο επίπεδο απορρήτου στο οποίο είναι δεκτός. Ο χρήστης έχει πρόσβαση σε όλα τα δεδομένα που έχουν επίπεδο μυστικότητας όχι υψηλότερο από αυτό που έχει.

Κατά τη διάκριση ανά κατηγορίες, ορίζεται και ελέγχεται η κατάταξη της κατηγορίας που αντιστοιχεί στον χρήστη. Αντίστοιχα, όλοι οι πόροι AS αναλύονται κατά επίπεδο σπουδαιότητας και ένα ορισμένο επίπεδο αντιστοιχεί σε μια συγκεκριμένη τάξη προσωπικού (όπως διευθυντής, διαχειριστής, χρήστης).

Ο διαχωρισμός κωδικού πρόσβασης αντιπροσωπεύει προφανώς τη χρήση μεθόδων για τα υποκείμενα να έχουν πρόσβαση σε αντικείμενα χρησιμοποιώντας έναν κωδικό πρόσβασης. Χρησιμοποιούνται όλες οι μέθοδοι προστασία με κωδικό πρόσβασης. Προφανώς, η συνεχής χρήση κωδικών πρόσβασης δημιουργεί ταλαιπωρία στους χρήστες και χρονικές καθυστερήσεις. Επομένως, αυτές οι μέθοδοι χρησιμοποιούνται σε εξαιρετικές καταστάσεις.

Στην πράξη συνήθως συνδυάζονται διάφορες μεθόδουςπεριορισμούς πρόσβασης. Για παράδειγμα, οι τρεις πρώτες μέθοδοι ενισχύονται με προστασία με κωδικό πρόσβασης.

Στο τέλος της υποενότητας, σημειώνουμε ότι τα ισχύοντα έγγραφα μπορούν να ρυθμίζουν δύο τύπους (αρχές) ελέγχου πρόσβασης:

Διακριτός έλεγχος πρόσβασης.

Υποχρεωτικός έλεγχος πρόσβασης.

Ο διακριτός έλεγχος πρόσβασης είναι η οριοθέτηση της πρόσβασης μεταξύ ονομαζόμενων θεμάτων και ονομαζόμενων αντικειμένων. Μια οντότητα με συγκεκριμένο δικαίωμα πρόσβασης μπορεί να μεταβιβάσει αυτό το δικαίωμα σε οποιαδήποτε άλλη οντότητα. Αυτός ο τύποςοργανώνονται βάσει μεθόδων οριοθέτησης με λίστες ή χρησιμοποιώντας μήτρα.

Ο υποχρεωτικός έλεγχος πρόσβασης ρυθμίζει την οριοθέτηση της πρόσβασης των υποκειμένων σε αντικείμενα, με βάση τις πληροφορίες που περιέχονται στα αντικείμενα, που χαρακτηρίζονται από ετικέτα εμπιστευτικότητας, και την επίσημη άδεια (αποδοχή) των υποκειμένων για πρόσβαση σε πληροφορίες αυτού του επιπέδου εμπιστευτικότητας. Διαφορετικά, για την εφαρμογή υποχρεωτικού ελέγχου πρόσβασης, σε κάθε θέμα και σε κάθε αντικείμενο εκχωρούνται ετικέτες ταξινόμησης που αντικατοπτρίζουν τη θέση τους στην αντίστοιχη ιεραρχία. Χρησιμοποιώντας αυτές τις ετικέτες, στα θέματα και τα αντικείμενα πρέπει να εκχωρηθούν επίπεδα ταξινόμησης, τα οποία είναι συνδυασμοί ιεραρχικού επιπέδου ταξινόμησης και ιεραρχικών κατηγοριών. Αυτές οι ετικέτες θα πρέπει να χρησιμεύουν ως βάση για την υποχρεωτική αρχή του ελέγχου πρόσβασης. Είναι σαφές ότι οι μέθοδοι περιορισμού της πρόσβασης κατά επίπεδα και κατηγορίες ασφαλείας αποτελούν παραδείγματα υποχρεωτικού ελέγχου πρόσβασης.

Όλοι έπρεπε να αντιμετωπίσουν το πρόβλημα της παροχής πρόσβασης με τη μία ή την άλλη μορφή. διαχειριστής συστήματος. Αυτή είναι η πιο χρονοβόρα εργασία, έστω και μόνο επειδή μεγάλη ποσότητατόσο πόρους όσο και χρήστες που απαιτούν αυτόν τον τύπο πρόσβασης. Το θέμα περιπλέκεται από την ετερογενή σύνθεση των πόρων. Αυτοί μπορεί να είναι φάκελοι διακομιστή αρχείωνή ακόμα και ξεχωριστά αρχεία, εκτυπωτές δικτύουκαι εκτύπωση ουρών, βάσεων δεδομένων, Ενεργά αντικείμεναΚατάλογος, πόροι Διαδικτύου κ.λπ. Τέλος, είναι απαραίτητο για διαφορετικές κατηγορίεςΟι χρήστες έχουν διαφορετικά επίπεδα πρόσβασης σε πόρους, για παράδειγμα, ορισμένοι χρήστες έχουν το δικαίωμα πρόσβασης μόνο στη βάση δεδομένων του νομικού συστήματος αναφοράς ("Garant", "Consultant-Plus", "Code", "Your Right" κ.λπ.) , και άλλοι είναι εξουσιοδοτημένοι να εγκαταστήσουν ενημερώσεις συνδρομής.

Κάθε διαχειριστής έλυσε αυτό το πρόβλημα με τον δικό του τρόπο: είτε χρησιμοποιείται τυπικές μεθόδους, ενεργώντας «όπως διδάσκεται» ή εισάγοντας τις τυπικές προσεγγίσεις δικές του αλλαγές. Πολλά άρθρα είναι αφιερωμένα σε αυτό το πρόβλημα, για παράδειγμα, «Αποτελεσματικός έλεγχος πρόσβασης σε Δίκτυα Windows 2000 και NT» του Randy Franklin Smith (). Θέλω να μιλήσω για μια ακόμη προσέγγιση για την επίλυση αυτού του δύσκολου προβλήματος.

«Όπως διδάσκεται»

Ρύζι. 1. Τυπική προσέγγιση για τη διαχείριση της πρόσβασης στους πόρους - AGLP

Η τυπική προσέγγιση που προσφέρει η Microsoft σε όλα τα μαθήματα διαχείρισης ονομάζεται συντομογραφία AGLP. Όπως γνωρίζετε, αυτή η συντομογραφία σημαίνει το εξής: "Λογαριασμός - Καθολική ομάδα - Τοπική ομάδα - Δικαιώματα". Αυτή η προσέγγιση εκφράζεται ως εξής (βλ. Εικ. 1).

Κάθε πόρος, με εξαίρεση τα αντικείμενα της υπηρεσίας καταλόγου Active Directory, βρίσκεται σε έναν υπολογιστή. Για τη ρύθμιση της πρόσβασης σε αυτόν τον πόρο, δημιουργούνται τοπικές ομάδες αυτόν τον υπολογιστήή τοπικές ομάδες τομέα σε Ενεργός τομέαςΤηλεφωνικός κατάλογος. Μόνο αυτές οι τοπικές ομάδες εμφανίζονται στις λίστες των δικαιωμάτων για τα αντικείμενα που αποτελούν τον πόρο. Ο αριθμός των τοπικών ομάδων αντιστοιχεί στον αριθμό των απαιτούμενων επιπέδων πρόσβασης αυτού του πόρου. Υπάρχουν τουλάχιστον δύο τέτοια επίπεδα: για διαχείριση πόρων και για καθημερινή χρήση.

Είναι δυνατό να συμπεριληφθούν χρήστες μεμονωμένα σε λίστες πρόσβασης αντικειμένων, αλλά αυτό είναι πολύ περίπλοκο. Μπορείτε να συμπεριλάβετε χρήστες στις αντίστοιχες τοπικές ομάδες, όλα θα λειτουργήσουν, αλλά αυτή η επιλογή απέχει πολύ από την ιδανική. Πρώτον, χάνεται η ευκαιρία να συγκεντρωθούν όλες οι ενέργειες. Θα πρέπει να τα κάνετε για κάθε τομέα ξεχωριστά εάν τα αντικείμενα που αποτελούν τον πόρο βρίσκονται σε υπολογιστές από διαφορετικούς τομείς. Δεύτερον, εάν μετακινήσετε έναν πόρο σε άλλο τομέα (εάν χρησιμοποιείτε τοπικές ομάδες τομέα) ή ακόμα και σε άλλον υπολογιστή (εάν χρησιμοποιείτε τοπικές ομάδες υπολογιστή), θα πρέπει να κάνετε πάρα πολλά πράγματα για να συμπεριλάβετε όλους τους χρήστες σε διαφορετικό σύνολο τοπικών ομάδων.

Για να εξοικονομήσετε χρόνο, μπορείτε να ενεργήσετε διαφορετικά. Μαζί με τις τοπικές ομάδες, για τη ρύθμιση της πρόσβασης στον πόρο, δημιουργούνται αντίστοιχες παγκόσμιες ομάδες, οι τελευταίες περιλαμβάνονται στις τοπικές ομάδες και για να παρέχεται πρόσβαση, οι χρήστες γίνονται μέλη των αντίστοιχων παγκόσμιων ομάδων. Κατά τη μετακίνηση ενός πόρου, όλες οι προσπάθειες καταλήγουν στην εκχώρηση αδειών σε αντικείμενα σε νέες τοπικές ομάδες και στη συμπερίληψη παλαιών παγκόσμιων ομάδων σε αυτές, οι οποίες παραμένουν αμετάβλητες. Το αποτέλεσμα είναι μια αλυσίδα σχέσεων: λογαριασμός - καθολική ομάδα - τοπική ομάδα - δικαιώματα πρόσβασης σε αντικείμενα.

Αυτή η προσέγγιση είναι καλή, αλλά υπάρχει ένα πρόβλημα: για να εκτελέσει τα εργασιακά του καθήκοντα, ο χρήστης χρειάζεται πρόσβαση σε πολλά αντικείμενα, επομένως πρέπει να συμπεριληφθεί σε πολλές παγκόσμιες ομάδες που ρυθμίζουν την πρόσβαση σε αυτά τα αντικείμενα. Εάν αλλάξουν οι ευθύνες, η τυπική προσέγγιση AGLP απαιτεί προσεκτική αναθεώρηση των μελών της ομάδας των χρηστών. Κατά κανόνα, στην πράξη όλα καταλήγουν στην προσθήκη ενός χρήστη σε νέες ομάδες, ώστε να έχει πρόσβαση σε άλλους πόρους.

Ως αποτέλεσμα, οι χρήστες αποκτούν πρόσβαση τόσο σε αυτούς τους πόρους που χρειάζονται στη νέα τοποθεσία όσο και σε αυτούς που δεν απαιτούνται πλέον. Αυτό μπορεί να προκαλέσει τουλάχιστον κάθε είδους παρεξηγήσεις: εσφαλμένη διαγραφή αρχείων, εκτύπωση σε εκτυπωτή στην άλλη άκρη του κτιρίου, κ.λπ. Οι συνέπειες μπορεί να είναι ακόμη πιο τρομερές, ακόμη και η διαρροή εμπιστευτικών πληροφοριών.

Για την αποφυγή τέτοιων εξελίξεων, κατά την αλλαγή των ευθυνών του χρήστη, είναι απαραίτητο όχι μόνο να συμπεριληφθεί στις κατάλληλες ομάδες, αλλά και να αποκλειστεί από άλλες ομάδες, η ένταξη στις οποίες του έδινε το δικαίωμα πρόσβασης σε προηγουμένως απαιτούμενους πόρους. Ο πλήρης έλεγχος της συμμετοχής στην ομάδα ενός χρήστη όταν αλλάζουν οι επαγγελματικές ευθύνες δεν είναι εύκολη υπόθεση και στο πλαίσιο τυπική προσέγγισηΤο AGLP είναι δύσκολο να αυτοματοποιηθεί.

Πιθανές τροποποιήσεις του τυπικού σχήματος

Το εύρος των ευθυνών των χρηστών καθορίζει το σύνολο των πόρων που χρειάζονται με το αντίστοιχο επίπεδο πρόσβασης στους πόρους και συνήθως περιγράφεται από ένα ειδικό κανονιστικό έγγραφο της εταιρείας - μια περιγραφή εργασίας. Εάν αλλάξει η θέση ενός υπαλλήλου, αλλάζει η περιγραφή της θέσης και νέες οδηγίεςπεριγράφεται μια νέα σειρά εργασιών προς επίλυση, η οποία αντιστοιχεί σε ένα σύνολο απαραίτητων πόρων με τα απαιτούμενα επίπεδα πρόσβασης. Επιπλέον, πολλοί χρήστες ενδέχεται να καταλαμβάνουν τις ίδιες θέσεις, που διέπονται από μια κοινή περιγραφή εργασίας. Επομένως, εάν στο δικό μας πληροφοριακό σύστημαΘα περιγραφούν οι θέσεις των εργαζομένων, για καθεμία από τις οποίες θα υποδεικνύεται ένα σύνολο πόρων με το απαιτούμενο επίπεδο πρόσβασης και, στη συνέχεια, το μόνο που μένει είναι να συσχετιστούν οι χρήστες με θέσεις, από τις οποίες θα κληρονομήσουν τα αντίστοιχα δικαιώματα και δικαιώματα.

Μπορείτε να δημιουργήσετε έναν λογαριασμό χρήστη για κάθε θέση και, στη συνέχεια, να απαιτήσετε από τους υπαλλήλους να συνδεθούν στο εταιρικό δίκτυο χρησιμοποιώντας τον λογαριασμό που αντιστοιχεί στη θέση τους. Στη συνέχεια ακολουθείται η παραδοσιακή προσέγγιση AGLP, αλλά δεν ακολουθείται η άλλη βασική αρχή ασφάλεια πληροφοριών- η αρχή του καταμερισμού της ευθύνης. Δηλαδή, πάλι, είναι πιθανές παρεξηγήσεις: κατά τη διάπραξη παραβιάσεων σύμφωνα με τα αρχεία καταγραφής Εγγραφή Windowsδεν θα είναι δυνατό να προσδιοριστεί ποιος υπάλληλος παραβίασε τους κανόνες.

Προτείνεται η τροποποίηση του συστήματος AGLP ώστε να περιλαμβάνει περιγραφές θέσεων εργασίας και να συνδέσει τους χρήστες με θέσεις εργασίας. Για να το κάνετε αυτό, θα πρέπει να επιμηκύνετε την προαναφερθείσα αλυσίδα σχέσεων προσθέτοντας έναν άλλο σύνδεσμο σε αυτήν, μια άλλη παγκόσμια ομάδα τομέα.

Δηλαδή, θα πρέπει:

  • δημιουργία παγκόσμιων ομάδων που αντιστοιχούν σε θέσεις.
  • περιλαμβάνει παγκόσμιες ομάδες εργασίας σε παγκόσμιες ομάδες που ρυθμίζουν την πρόσβαση σε πόρους. Η επιλογή αυτών των ομάδων καθορίζεται από τις ευθύνες εργασίας που περιγράφονται στην περιγραφή εργασίας.
  • περιλαμβάνει χρήστες σε ομάδες που αντιστοιχούν σε θέσεις.

Δημιουργείται μια αλυσίδα σχέσεων: λογαριασμός - παγκόσμια ομάδα επαγγελματικές ευθύνες- ομάδα καθολικής πρόσβασης πόρων - τοπική ομάδα πρόσβασης πόρων - δικαιώματα αντικειμένων. Αυτό μπορεί να γραφτεί ως ακρωνύμιο AGGLP, βλέπε εικ. 2.

Προκειμένου να καταστεί δυνατή η εφαρμογή αυτού του σχεδίου, εταιρικό δίκτυοπρέπει να αναπτυχθούν Ενεργή υπηρεσίαΚατάλογος, όχι σε λειτουργία συμβατότητας των Windows NT (η μικτή λειτουργία δεν επιτρέπει ένθετη συμμετοχή σε ομάδα, επομένως οι περιγραφόμενες ενέργειες είναι απλά αδύνατες), αλλά σε εγγενή λειτουργία ή λειτουργία Windows 2000 Windows Server 2003.

Ρύζι. 2. Διαχείριση πρόσβασης σε πόρους σύμφωνα με το σχήμα AGGLP Ρύζι. 3. Διαχείριση πρόσβασης σε πόρους σύμφωνα με το σχήμα AUULP

Ένας άλλος περιορισμός: όπως περιγράφεται παραπάνω, η προτεινόμενη προσέγγιση θα λειτουργεί μόνο σε έναν τομέα. Το γεγονός είναι ότι οι καθολικές ομάδες τομέα μπορούν να περιλαμβάνουν μόνο άλλες παγκόσμιες ομάδες τομέα από τον ίδιο τομέα και χρήστες από τον ίδιο τομέα. Για ένα δίκτυο με πολλούς τομείς που αποτελούν μέρος ενός συμπλέγματος δομών (και εάν η υπηρεσία καταλόγου Active Directory εκτελείται σε λειτουργία Windows Server 2003, τότε πολλά δομικά τμήματα συνδέονται με σχέσεις εμπιστοσύνης), αυτή η επιλογή δεν είναι κατάλληλη. Αλλά τίποτα δεν σας εμποδίζει να χρησιμοποιήσετε καθολικές ομάδες αντί για καθολικές ομάδες για συγκεκριμένο τομέα. Λόγω περιορισμών στην επιτρεπόμενη ένθετη συνδρομή (μια καθολική ομάδα μπορεί να περιλαμβάνει έναν παγκόσμιο τομέα, αλλά όχι το αντίστροφο), οι καθολικές ομάδες πρέπει να υπάρχουν και στις δύο θέσεις - τόσο για έλεγχο πρόσβασης όσο και για περιγραφές εργασιών.

Έτσι, έχουμε την ακόλουθη επιλογή για τη ρύθμιση της πρόσβασης σε πόρους.

  • Για κάθε πόρο, δημιουργούνται αντίστοιχες ομάδες τοπικών τομέων διαφορετικά επίπεδαπρόσβαση στον πόρο. Αυτές οι ομάδες πρέπει να ανατεθούν απαραίτητες άδειεςγια πρόσβαση σε αντικείμενα. Σε αυτήν την περίπτωση, δεν χρειάζονται τοπικές ομάδες σε υπολογιστές, καθώς μπορείτε να εκχωρήσετε δικαιώματα πρόσβασης σε πόρους απευθείας στην ομάδα τοπικού τομέα.
  • Για κάθε πόρο, δημιουργούνται καθολικές ομάδες που ρυθμίζουν την πρόσβαση σε αντικείμενα. Για το καθένα τοπική ομάδαπου αντιστοιχεί σε ένα ορισμένο επίπεδο πρόσβασης σε ένα αντικείμενο, μια αντίστοιχη καθολική ομάδα δημιουργείται και περιλαμβάνεται σε αυτήν την τοπική ομάδα.
  • Για κάθε θέση σχηματίζεται μια καθολική ομάδα. Αυτή η ομάδα περιλαμβάνεται στις καθολικές ομάδες που ρυθμίζουν την πρόσβαση σε πόρους σύμφωνα με την περιγραφή της θέσης εργασίας.
  • Οι λογαριασμοί χρηστών προστίθενται σε καθολικές ομάδες σύμφωνα με τη θέση τους.

Η προκύπτουσα αλυσίδα σχέσεων μπορεί να γραφτεί ως εξής: λογαριασμός - καθολική ομάδα θέσεων - καθολική ομάδα πρόσβασης πόρων - ομάδα τοπικού τομέα - δικαιώματα πρόσβασης αντικειμένου. Αυτή η αλυσίδα μπορεί να χαρακτηριστεί με τη συντομογραφία AUULP, βλ. 3.

Η επιλογή AUULP δεν είναι επίσης χωρίς μειονεκτήματα. Οι πληροφορίες καθολικής ομάδας διανέμονται ως μέρος των δεδομένων του παγκόσμιου καταλόγου, επομένως η προσθήκη μεγάλου αριθμού καθολικών ομάδων θα αυξήσει αυτόματα την κυκλοφορία αναπαραγωγής. Όσον αφορά την επεξεργασία αυτών των δεδομένων από τους ελεγκτές τομέα, δεν θα πρέπει να υπάρχουν προβλήματα από αυτήν την πλευρά - υπολογιστική ισχύςΟι υπολογιστές που πωλούνται αυτή τη στιγμή καλύπτουν τις απαραίτητες ανάγκες με απόθεμα. Ωστόσο, η κυκλοφορία αναπαραγωγής είναι ένα πρόσθετο στοιχείο κόστους για έναν γεωγραφικά κατανεμημένο οργανισμό, τα μεμονωμένα υποδίκτυα του οποίου συνδέονται μεταξύ τους μέσω VPN χρησιμοποιώντας δημόσια κανάλια.

Ωστόσο, μεγάλοι όγκοι δεδομένων θα αποστέλλονται τη στιγμή που εισάγεται μια δομή ομάδας ανά θέση. στη συνέχεια, η κίνηση δημιουργείται μόνο από αλλαγές δεδομένων: τροποποίηση της δομής των καθολικών ομάδων που σχετίζονται με αλλαγές στο προσωπικό και περιγραφές θέσεων εργασίας, και αλλαγές στα μέλη της ομάδας που σχετίζονται με την κίνηση και την εναλλαγή των εργαζομένων.

Περισσότερο σοβαρό πρόβλημασυνδέεται με την ανάγκη διαφοροποίησης των δικαιωμάτων για τη διαχείριση της δομής που προκύπτει σε ένα περιβάλλον με αποκεντρωμένη διοίκηση. Θα μπορούσατε να δημιουργήσετε μια ειδική ομάδα διαχειριστών που είναι εξουσιοδοτημένοι να διαχειρίζονται τη συμμετοχή σε ομάδες που περιγράφουν τίτλους εργασίας και να απαιτούν από όλους τους διαχειριστές πεδίου να επικοινωνούν με αυτούς τους εξουσιοδοτημένους διαχειριστές κάθε φορά που οι χρήστες εντός της περιοχής ευθύνης τους μετακινούνται από θέση σε θέση, αλλά μετά το αποτέλεσμα θα είναι ένα εταιρικό δίκτυο με κεντρικό έλεγχο. Είναι δυνατό να παραχωρηθεί σε όλους τους τοπικούς διαχειριστές το δικαίωμα Προσθήκη/αφαίρεση μελών σε καθολικές ομάδες που περιγράφουν θέσεις, έτσι ώστε οι ίδιοι να μπορούν να κάνουν τις κατάλληλες αλλαγές, αλλά στη συνέχεια θα μπορούν να αποκλείουν «ξένους» χρήστες από μια τέτοια ομάδα, δηλαδή χρήστες που είναι εντός της περιοχής ευθύνης άλλου διαχειριστή.

Για να αποφευχθεί η παραχώρηση υπερβολικών εξουσιών στους διαχειριστές πεδίου, προτείνεται να εισαχθεί ένα άλλο επίπεδο ομαδικής ένθεσης που ρυθμίζει τη συμμετοχή σε καθολικές ομάδες περιγραφής θέσεων εργασίας, αλλά για κάθε διαχειριστή πεδίου ξεχωριστά.

Για κάθε τομέα ευθύνης του «τοπικού» διαχειριστή, θα πρέπει:

  • δημιουργήστε μια παγκόσμια ομάδα (κατά κανόνα, η περιοχή ευθύνης των τοπικών διαχειριστών περιλαμβάνει οποιονδήποτε τομέα ή αντικείμενο - μια οργανωτική μονάδα, επομένως για να εργαστείτε σε μια τέτοια ζώνη, αρκεί να χειριστείτε παγκόσμιες ομάδες τομέα), που αντιστοιχεί στο καθολική ομάδα που περιγράφει τη θέση.
  • συμπεριλάβετε αυτές τις παγκόσμιες ομάδες στις αντίστοιχες καθολικές ομάδες.
  • Εξουσιοδοτήστε τους τοπικούς διαχειριστές να διαχειρίζονται τη συμμετοχή σε αυτές τις παγκόσμιες ομάδες. Ταυτόχρονα, θα μπορούν να διαχειρίζονται τη συμμετοχή σε μια τέτοια ομάδα μόνο για χρήστες από την περιοχή ευθύνης τους.

Έτσι, για δίκτυα με αποκεντρωμένη διαχείρισηΠροτείνεται το ακόλουθο σχήμα σχέσεων: λογαριασμός - "τοπική" παγκόσμια ομάδα τομέα - καθολική ομάδα θέσεων - καθολική ομάδα πρόσβασης πόρων - ομάδα τοπικού τομέα - δικαιώματα πρόσβασης αντικειμένου. Η αντίστοιχη συντομογραφία είναι AGUULP, βλ ρύζι. 4 .

Τοποθέτηση αντικειμένων και πρόσθετος έλεγχος

Προκύπτουν πρόσθετα ερωτήματα: πού στη δομή της υπηρεσίας καταλόγου να τοποθετηθούν τα απαραίτητα αντικείμενα - λογαριασμοί χρηστών και ομάδων, έτσι ώστε η προτεινόμενη λύση να λειτουργεί όσο το δυνατόν πιο αποτελεσματικά και ποιος πρόσθετος έλεγχος είναι δυνατός στις καθορισμένες ρυθμίσεις.

Τα αντικείμενα πρέπει να τοποθετούνται έτσι ώστε να μπορούν να βρεθούν εύκολα κατά τη χορήγηση. Για να γίνει αυτό, συνιστάται να δημιουργήσετε σε έναν από τους τομείς (καθώς χρησιμοποιούνται καθολικές ομάδες, αυτός μπορεί να είναι οποιοσδήποτε τομέας του δάσους) μια δομή αντικειμένων - οργανικών μονάδων, που αναπαράγουν την οργανωτική δομή της επιχείρησης. Οι καθολικές ομάδες που αντιστοιχούν σε θέσεις θα πρέπει να βρίσκονται εντός των οργανικών μονάδων που αντιστοιχούν στα διοικητικά τμήματα της επιχείρησης.

Σε δίκτυα με κεντρική διαχείριση, μπορείτε να περιοριστείτε στη δημιουργία μιας τέτοιας δομής. Εάν η διοίκηση είναι αποκεντρωμένη, τότε μαζί με τη δομή των καθολικών ομάδων που αναπαράγουν τη δομή των τμημάτων, θα πρέπει να δημιουργηθούν παρόμοιες δομές τμημάτων που αναπαράγουν τη διοικητική δομή, με παγκόσμιες ομάδες να περιλαμβάνονται σε αυτές που αντιστοιχούν σε καθολικές ομάδες για θέσεις, για κάθε περιοχή ​ευθύνη ξεχωριστού διαχειριστή ή ομάδας διαχειριστών.

Σε κάθε περίπτωση, οι πληροφορίες σχετικά με τις οργανικές μονάδες και τους λογαριασμούς που υπάρχουν σε αυτές καταλήγουν στον παγκόσμιο κατάλογο και είναι διαθέσιμες σε όλους τους υπολογιστές σε όλους τους ιστότοπους στο δάσος, επομένως μια τέτοια τοποθέτηση ομάδων δεν θα επηρεάσει την απόδοση του συστήματος.

Οι τοπικές ομάδες τομέα και οι αντίστοιχες καθολικές τους ομάδες που ρυθμίζουν την πρόσβαση σε πόρους θα πρέπει να τοποθετούνται σε τομείς έτσι ώστε να βρίσκονται κοντά στον πόρο στον οποίο αυτές οι ομάδες ρυθμίζουν την πρόσβαση.

Ο πρόσθετος έλεγχος όλων των ρυθμίσεων που έχουν οριστεί ως μέρος της εφαρμογής της προσέγγισης AUULP/AGUULP είναι δυνατός χρησιμοποιώντας πολιτικές ομάδας. Εάν ένας πόρος είναι ένα σταθερό σύνολο φακέλων ή/και αρχείων, συνιστάται να ελέγχετε τις λίστες δικαιωμάτων για αυτούς τους φακέλους και τα αρχεία χρησιμοποιώντας Πολιτική ομάδας: ενότητα Ρυθμίσεις υπολογιστή - Ρυθμίσεις ασφαλείας - Σύστημα αρχείων. Το κατάλληλο αντικείμενο πολιτικής ομάδας (GPO) πρέπει να εφαρμοστεί στον διακομιστή που φιλοξενεί τον πόρο, αλλά ταυτόχρονα να μην επηρεάζει τους διακομιστές που αυτή τη ρύθμισηδεν ισχύει. Ως εκ τούτου, συνιστάται η τοποθέτηση αυτού του GPO στο αντικείμενο - οργανική μονάδα, όπου βρίσκεται άμεσα αυτόν τον διακομιστή, και επιπλέον διαμορφώστε τη λίστα των δικαιωμάτων στο GPO έτσι ώστε η ρύθμιση να μην επηρεάζει άλλους διακομιστές που βρίσκονται εδώ.

Η ένθετη ιδιότητα μέλους ομάδας μπορεί επίσης να προσαρμοστεί μέσω πολιτικές ομάδας. Απλώς πρέπει να έχετε κατά νου ότι αυτές οι πολιτικές πρέπει να εφαρμόζονται σε όλους τους ελεγκτές τομέα ή τουλάχιστον σε αυτόν που είναι ο κύριος υποδομής. Οι αντίστοιχες ρυθμίσεις γίνονται στην ενότητα Ρυθμίσεις υπολογιστή - Ρυθμίσεις ασφαλείας - Περιορισμένες ομάδες:

  • ομάδα τοπικού τομέα που ρυθμίζει την πρόσβαση στον πόρο - Ρύθμιση μελών, ενεργοποιεί μόνο την αντίστοιχη καθολική ομάδα.
  • μια καθολική ομάδα που ρυθμίζει την πρόσβαση σε έναν πόρο - το μέλος της ρύθμισης, ενεργοποιεί μόνο την αντίστοιχη ομάδα τοπικού τομέα.
  • μια καθολική ομάδα που περιγράφει το σύνολο των δικαιωμάτων πρόσβασης που είναι απαραίτητα για την εκτέλεση εργασιακών καθηκόντων - το μέλος της ρύθμισης, επιτρέπει στις κατάλληλες καθολικές ομάδες που ρυθμίζουν την πρόσβαση στους απαραίτητους πόρους.

Σχετικοί διασταυρούμενοι έλεγχοι για συμμετοχή σε ομάδες που αντιστοιχούν σε ευθύνες εργασίας σε ομάδες που ρυθμίζουν την πρόσβαση σε πόρους, με τη μορφή των ρυθμίσεων μελών των καθολικών ομάδων που ρυθμίζουν την πρόσβαση σε πόρους, είναι δύσκολο να διαμορφωθούν λόγω του μεγάλου αριθμού τους. Ωστόσο, τίποτα δεν σας εμποδίζει να κάνετε πρόσθετες προσπάθειες και να ρυθμίσετε και τέτοιους ελέγχους. Από την άποψη της αρχής της ελαχιστοποίησης των προνομίων, η ρύθμιση του χαρακτηριστικού Members είναι πιο αποτελεσματική, καθώς σας επιτρέπει να υποδείξετε ξεκάθαρα ποιος περιλαμβάνεται σε μια δεδομένη ομάδα, ενώ το χαρακτηριστικό Member σάς επιτρέπει μόνο να ελέγξετε εάν ένα δεδομένο αντικείμενο είναι περιλαμβάνονται στην καθορισμένη ομάδα και να την συμπεριλάβουν στις καθορισμένες ομάδες, χωρίς περαιτέρω περιορισμό της σύνθεσης αυτών των ομάδων.

Επιπλέον, κατά τον σχεδιασμό της δομής των πολιτικών της ομάδας που εφαρμόζουν πρόσθετους ελέγχουςπρόσβαση σε λίστες για αρχεία και φακέλους, καθώς και στον έλεγχο της ιδιότητας μέλους ομάδας, πρέπει να έχετε υπόψη σας τα εξής. Οι ρυθμίσεις στην ενότητα Ρυθμίσεις υπολογιστή - Ρυθμίσεις ασφαλείας - Σύστημα αρχείων από διαφορετικά GPO συγκεντρώνονται και οι κανόνες επίλυσης διενέξεων κληρονομικότητας GPO ισχύουν για κάθε μεμονωμένο αρχείο ή φάκελο που αναφέρεται σε αυτήν την ενότητα. Επομένως, οι κατάλληλες ρυθμίσεις μπορούν να διαμορφωθούν σε οποιοδήποτε GPO που ισχύει για τον υπολογιστή που περιέχει τον πόρο. Αυτό θα πρέπει κατά προτίμηση να είναι το τελευταίο GPO που εφαρμόζεται στον υπολογιστή.

Ταυτόχρονα, τα περιεχόμενα της ενότητας Ρυθμίσεις υπολογιστή - Ρυθμίσεις ασφαλείας - Περιορισμένες ομάδες αντικαθίστανται εξ ολοκλήρου και θα ισχύουν μόνο οι ρυθμίσεις που καθορίζονται στο τελευταίο GPO που εφαρμόστηκε. Επομένως, πρέπει να τηρούνται οι ακόλουθοι περιορισμοί.

  • Οι ρυθμίσεις πολιτικής ομάδας Ρυθμίσεις υπολογιστή - Ρυθμίσεις ασφαλείας - Περιορισμένες ομάδες πρέπει να περιλαμβάνουν ολόκληρη τη δομή ιδιότητας μέλους ομάδας που ελέγχεται για ομάδες σε έναν δεδομένο τομέα.
  • Δεν είναι αποδεκτό οι ρυθμίσεις που προκύπτουν στην ενότητα Ρυθμίσεις υπολογιστή - Ρυθμίσεις ασφαλείας - Περιορισμένες ομάδες να είναι διαφορετικές για διαφορετικούς ελεγκτέςπεδίο ορισμού. Διαφορετικά, ο συγχρονισμός δεδομένων μεταξύ των τομέων κατά την προσπάθεια προσδιορισμού της ιδιότητας μέλους ομάδας θα παράγει ένα απροσδιόριστο αποτέλεσμα.
  • Καθορίστε τις ρυθμίσεις Computer Settings - Security Settings - Restricted Groups σε ένα και μόνο GPO για κάθε τομέα. Εισαγάγετε εκεί τις παραμέτρους ιδιότητας μέλους για όλες τις ομάδες που έχουν δημιουργηθεί σε αυτόν τον τομέα.
  • Συνδέστε αυτό το GPO σε όλα τα αντικείμενα οργανικής μονάδας στα οποία βρίσκονται οι ελεγκτές τομέα.
  • Μετακινήστε αυτό το GPO στην κορυφή της λίστας δεσμεύσεων, ώστε να εφαρμοστεί τελευταία και να ισχύσουν οι ρυθμίσεις του.

Εάν καθορίσετε τις ρυθμίσεις Computer Settings - Security Settings - Restricted Groups σε πολλά GPO, θα πρέπει να βεβαιωθείτε ότι τα περιεχόμενα των ρυθμίσεων είναι πάντα τα ίδια. Ωστόσο, οποιαδήποτε ανακατασκευή θα είναι δύσκολη και μπορεί να προκαλέσει προβλήματα εάν η νέα κατάσταση ξεχαστεί να αντιγραφεί σε έναν από τους εμπλεκόμενους GPO.

Το δικαίωμα της επιλογής

Η προτεινόμενη προσέγγιση για τον περιορισμό της πρόσβασης σε πόρους δικτύου με βάση τις επαγγελματικές ευθύνες δεν εξαλείφει την ανάγκη εκτέλεσης πολλών χειρωνακτικών λειτουργιών, ειδικά σε αρχικό στάδιοή κατά την αναδιάρθρωση της δομής των πόρων ή της δομής των θέσεων, όταν είναι απαραίτητο να αναθεωρηθούν τόσο τα δικαιώματα για αντικείμενα όσο και οι πολιτικές ομάδας, όπου καθορίζεται ο έλεγχος της ιδιότητας μέλους ομάδας πολλών επιπέδων. Η ανακούφιση έρχεται αργότερα όταν το σύστημα αρχίσει να λειτουργεί και για να εκχωρήσετε τα απαραίτητα δικαιώματα αρκεί να συμπεριλάβετε τον χρήστη στην ομάδα που αντιστοιχεί στη θέση του.

Μπορεί να υπάρχουν και άλλες μέθοδοι που εφαρμόζουν τον έλεγχο πρόσβασης με βάση τις θέσεις των εργαζομένων ή τους οργανωτικούς τους ρόλους, οι οποίες με λειτουργικό σημείοη άποψη είναι η ίδια. Για παράδειγμα, ο Windows Server 2003 περιλαμβάνει ένα στοιχείο Διαχείρισης Εξουσιοδοτήσεων που εφαρμόζει παρόμοια προσέγγιση, αλλά μόνο εκεί για να παρέχει στον χρήστη απαιτούμενο σετδικαιώματα και δικαιώματα, χρησιμοποιούνται σύνολα σεναρίων σε VBScript ή Jscript, από τα οποία ονομάζονται τα API συστήματος που υλοποιούν εργασία με λίστες αδειών και παραχώρηση δικαιώματα του συστήματος. Εάν το χρησιμοποιήσετε, πρέπει πρώτα να αναπτύξετε τα κατάλληλα σενάρια, αλλά με ένα κατάλληλο σύνολο σεναρίων, προκύπτει ένα εγγυημένο αποτέλεσμα.

Ωστόσο, εάν για κάποιο λόγο είναι δύσκολο για έναν διαχειριστή να χρησιμοποιήσει δέσμες ενεργειών στο Authorization Manager (για παράδειγμα, ο Windows Server 2003 δεν έχει εγκατασταθεί ακόμη ή η Active Directory εξακολουθεί να εκτελείται σε λειτουργία Windows 2000 Native), μπορείτε να χρησιμοποιήσετε την προτεινόμενη προσέγγιση AUULP ή να βρεις κάτι δικό σου. Σε κάθε περίπτωση, εύχομαι σε όλους τους διαχειριστές καλή επιτυχία στη σκληρή δουλειά μας!

Αλεξέι Σότσκι- δάσκαλος εκπαιδευτικό κέντρο, διαθέτει πιστοποιητικά MCSE, MCT. Μπορείτε να επικοινωνήσετε μαζί του στο:

Η ασφάλεια δικτύων και πληροφοριών είναι κάτι χωρίς το οποίο η λειτουργία οποιασδήποτε επιχείρησης είναι αδύνατη. Για παράδειγμα, έχετε ένα οικονομικό τμήμα, γραμματείς και ένα τμήμα πωλήσεων. Δεν θέλετε ούτε οι γραμματείς ούτε το τμήμα πωλήσεων να έχουν πρόσβαση σε έγγραφα και διακομιστές από το οικονομικό τμήμα. Ταυτόχρονα, πρόσβαση θα πρέπει να έχουν μόνο οι ειδικοί σε χρηματοοικονομικά θέματα. Εκτός από αυτό, θέλετε ή απλά σημαντικό αποθήκευση αρχείων, δεν ήταν προσβάσιμες από το Διαδίκτυο, αλλά μόνο από τοπικό δίκτυο. Ερχόμαστε στη διάσωση.

Περιορισμοί πρόσβασης χρήστη

Η διαφοροποίηση των δικαιωμάτων πρόσβασης για τους χρήστες του δικτύου είναι ρυθμίσεις που σχετίζονται με την κατάτμηση σε ξεχωριστά μέρη και τον καθορισμό των κανόνων για την αλληλεπίδραση αυτών των τμημάτων μεταξύ τους. Σε τεχνικούς όρους, αυτή είναι η διαδικασία δημιουργίας VLAN για κάθε συγκεκριμένο τμήμα και ρύθμισης της προσβασιμότητας αυτών των VLAN μεταξύ τους.

VLANΤο (Virtual Local Area Network) είναι μια εικονική διαίρεση του δικτύου σε μέρη (τοπικά δίκτυα). Από προεπιλογή, ο μεταγωγέας θεωρεί ότι όλες οι διεπαφές (θύρες) του βρίσκονται στο ίδιο τοπικό δίκτυο. Με τη χρήση πρόσθετη διαμόρφωση, μπορείτε να δημιουργήσετε ξεχωριστά υποδίκτυα και να εκχωρήσετε συγκεκριμένες θύρες μεταγωγέα για εργασία σε αυτά τα δίκτυα. Ο καλύτερος ορισμόςΈνα VLAN μπορεί να θεωρηθεί ως ένα VLAN - ένας ενιαίος τομέας εκπομπής.

Η διαφοροποίηση των δικαιωμάτων πρόσβασης χρήστη απαιτείται όταν ο οργανισμός σας διαθέτει πόρους που προορίζονται για συγκεκριμένους ειδικούς (για παράδειγμα, λογιστικές αναφορές). Έτσι, μπορείτε να δημιουργήσετε ένα ξεχωριστό VLAN για ειδικούς λογιστών, απαγορεύοντας την πρόσβαση σε αναφορές από άλλα τμήματα.

Περιορισμός πρόσβασης στα κοινωνικά δίκτυα

Εάν δεν θέλετε οι υπάλληλοί σας να έχουν πρόσβαση σε συγκεκριμένους πόρους ( κοινωνικά δίκτυα, απαγορευμένες τοποθεσίες), μπορούμε να προσφέρουμε 4 διαθέσιμες μεθόδουςκάνε αυτό:

— Απαγόρευση πρόσβασης τοπικά σε συγκεκριμένο υπολογιστή. Αυτό μπορεί να γίνει μέσω του αρχείου /etc/hosts.

Ρύθμιση ACL(Λίστα ελέγχου πρόσβασης) στον δρομολογητή άκρων. Το θέμα είναι να απαγορεύεται η πρόσβαση από ένα συγκεκριμένο υποδίκτυο σε συγκεκριμένες διευθύνσεις.

Ρυθμίσεις DNSΔιακομιστής (Domain Name System). Η ουσία της μεθόδου είναι να απαγορεύσει την άδεια συγκεκριμένων ονομάτων τομέα. Αυτό σημαίνει ότι όταν μπαίνεις γραμμή διευθύνσεωνπρόγραμμα περιήγησης του ιστότοπου vk.com, για παράδειγμα, αυτό το όνομα τομέα δεν θα μετατραπεί σε διεύθυνση IPv4 και ο χρήστης δεν θα μπορεί να έχει πρόσβαση σε αυτόν τον ιστότοπο.

— Ειδικό λογισμικό. Προσφέρουμε ειδικό λογισμικό (anti-virus) από τους συνεργάτες μας.

Ασφάλεια Δικτύου

Μερικές φορές, ακόμη και κατά λάθος ανοιχτός ιστός- μια σελίδα στο Διαδίκτυο που μπορεί να αποτελέσει απειλή για ολόκληρο το εταιρικό δίκτυο, που περιέχει κακόβουλος κώδικας. Για τέτοιες περιπτώσεις προτείνουμε τη χρήση λύσεων από τους ηγέτες της αγοράς ασφάλειας πληροφορικής - τους συνεργάτες μας.

Μία από τις πιο κοινές μεθόδους επιθέσεων στον κυβερνοχώρο είναι το «phishing», σκοπός του οποίου είναι να αποκτήσει τα στοιχεία σύνδεσης και τον κωδικό πρόσβασης του χρήστη. Το λογισμικό των συνεργατών μας παρέχει προστασία από επιθέσεις και υποστηρίζει ασφάλεια δικτύουστην επιχείρηση.

Phishing- μια μέθοδος κυβερνοεπιθέσεων στην οποία ο κύριος στόχος είναι η απόκτηση δεδομένων εξουσιοδότησης χρήστη. Για παράδειγμα, αυτό θα μπορούσε να είναι πληροφορίες σύνδεσης και κωδικού πρόσβασης για σύνδεση προσωπικό λογαριασμότράπεζα, δεδομένα από λογαριασμό SIP και ούτω καθεξής.

Ειδικευμένος λογισμικόαπό τους συνεργάτες μας θα εξασφαλίσει υψηλό επίπεδο ασφάλειας πληροφοριών:

— Προστασία πληροφοριών σε προσωπικούς υπολογιστές.

— Διασφάλιση της ασφάλειας της αποθήκευσης δεδομένων σε διακομιστές.

— Προστασία πληροφοριών σε λύσεις cloud.

Στατιστικά Ασφαλείας

Η Kaspersky Lab και η B2B International διεξήγαγαν έρευνα σύμφωνα με την οποία το 98,5% των ΜΜΕ (μικρές και μεσαίες επιχειρήσεις) ήταν εκτεθειμένες σε εξωτερικές απειλές στον κυβερνοχώρο. Από αυτούς, το 82% αντιμετώπισε εσωτερικές απειλές.

Οι ΜΜΕ (μικρές και μεσαίες επιχειρήσεις) χάνουν 780 χιλιάδες ρούβλιααπό ένα περιστατικό παραβίασης της ασφάλειας πληροφοριών στην επιχείρηση.

Θα βοηθήσουμε

Τα στατιστικά αφήνουν πολλά να είναι επιθυμητά, αλλά δεν υπάρχει λόγος να φοβάστε. Η παροχή μέτρων ασφαλείας χρησιμοποιώντας λύσεις από τους συνεργάτες μας θα κλείσει τα τρωτά σημεία στο εταιρικό δίκτυο.

Προσωπικά δεδομένα, εσωτερικοί πόροι, βάσεις δεδομένων και e-mailθα προστατεύονται και θα απομονώνονται από μη εξουσιοδοτημένη πρόσβαση. Οι ενέργειες των εισβολέων δεν θα μπορέσουν να βλάψουν την επιχείρησή σας.


Σχέδιο εργασίας

Εξετάζουμε την τρέχουσα υποδομή δικτύου σας

Βασικές Έννοιες

Όταν εξετάζονται θέματα ασφάλειας πληροφοριών, χρησιμοποιούνται οι έννοιες του υποκειμένου και του αντικειμένου πρόσβασης. Ένα θέμα πρόσβασης μπορεί να εκτελέσει ένα συγκεκριμένο σύνολο λειτουργιών σε κάθε αντικείμενο πρόσβασης. Αυτές οι λειτουργίες μπορεί να επιτρέπονται ή να απορρίπτονται σε ένα συγκεκριμένο θέμα ή ομάδα θεμάτων. Η πρόσβαση σε αντικείμενα καθορίζεται συνήθως σε επίπεδο λειτουργικού συστήματος από την αρχιτεκτονική και την τρέχουσα πολιτική ασφαλείας του. Ας εξετάσουμε ορισμένους ορισμούς σχετικά με τις μεθόδους και τα μέσα οριοθέτησης της πρόσβασης των υποκειμένων σε αντικείμενα.

Ορισμός 1

Μέθοδος πρόσβασης αντικειμένου– μια πράξη που ορίζεται για ένα δεδομένο αντικείμενο. Είναι δυνατός ο περιορισμός της πρόσβασης σε ένα αντικείμενο χρησιμοποιώντας έναν περιορισμό πιθανές μεθόδουςπρόσβαση.

Ορισμός 2

Κάτοχος αντικειμένου– το υποκείμενο που δημιούργησε το αντικείμενο είναι υπεύθυνο για την εμπιστευτικότητα των πληροφοριών που περιέχονται στο αντικείμενο και για την πρόσβαση σε αυτό.

Ορισμός 3

Δικαίωμα πρόσβασης αντικειμένου– το δικαίωμα πρόσβασης σε ένα αντικείμενο χρησιμοποιώντας μία ή περισσότερες μεθόδους πρόσβασης.

Ορισμός 4

Έλεγχος πρόσβασης– ένα σύνολο κανόνων που καθορίζει για κάθε θέμα, αντικείμενο και μέθοδο την παρουσία ή την απουσία δικαιωμάτων πρόσβασης χρησιμοποιώντας μια καθορισμένη μέθοδο.

Μοντέλα ελέγχου πρόσβασης

Τα πιο κοινά μοντέλα ελέγχου πρόσβασης:

  • διακριτικό (επιλεκτικό) μοντέλο ελέγχου πρόσβασης.
  • έγκυρο (υποχρεωτικό) μοντέλο ελέγχου πρόσβασης.

Διακριτική

  • οποιοδήποτε αντικείμενο έχει ιδιοκτήτη.
  • ο ιδιοκτήτης έχει το δικαίωμα να περιορίζει αυθαίρετα την πρόσβαση των υποκειμένων σε αυτό το αντικείμενο;
  • για κάθε σύνολο μεθόδων θέμα – αντικείμενο –, το δικαίωμα πρόσβασης ορίζεται μοναδικά.
  • την παρουσία τουλάχιστον ενός προνομιούχου χρήστη (για παράδειγμα, ενός διαχειριστή) που έχει τη δυνατότητα πρόσβασης σε οποιοδήποτε αντικείμενο χρησιμοποιώντας οποιαδήποτε μέθοδο πρόσβασης.

Στο μοντέλο διακριτικής ευχέρειας, ο ορισμός των δικαιωμάτων πρόσβασης αποθηκεύεται σε έναν πίνακα πρόσβασης: οι σειρές παραθέτουν τα θέματα και οι στήλες τα αντικείμενα. Κάθε κελί μήτρας αποθηκεύει τα δικαιώματα πρόσβασης ενός δεδομένου θέματος σε ένα δεδομένο αντικείμενο. Η μήτρα πρόσβασης ενός σύγχρονου λειτουργικού συστήματος καταλαμβάνει δεκάδες megabyte.

ΠληρεξούσιοςΤο μοντέλο χαρακτηρίζεται από τους ακόλουθους κανόνες:

  • Κάθε αντικείμενο χαρακτηρίζεται ως εμπιστευτικό. Η σφραγίδα του απορρήτου έχει αριθμητική τιμή: όσο μεγαλύτερο είναι, τόσο μεγαλύτερη είναι η μυστικότητα του αντικειμένου.
  • Κάθε θέμα πρόσβασης έχει ένα επίπεδο άδειας.

Σε αυτό το μοντέλο, ένα υποκείμενο λαμβάνει πρόσβαση σε ένα αντικείμενο μόνο εάν το επίπεδο ασφάλειας του υποκειμένου δεν είναι μικρότερο από την ταξινόμηση ασφαλείας του αντικειμένου.

Το πλεονέκτημα του έγκυρου μοντέλου είναι ότι δεν υπάρχει ανάγκη αποθήκευσης μεγάλους όγκουςπληροφορίες σχετικά με τον έλεγχο πρόσβασης. Κάθε θέμα αποθηκεύει μόνο την τιμή του επιπέδου πρόσβασής του και κάθε αντικείμενο αποθηκεύει την τιμή της ταξινόμησης ασφαλείας του.

Μέθοδοι ελέγχου πρόσβασης

Τύποι μεθόδων ελέγχου πρόσβασης:

    Έλεγχος πρόσβασης βάσει λιστών

    Η ουσία της μεθόδου είναι να ορίσετε αντιστοιχίες: για κάθε χρήστη καθορίζεται μια λίστα πόρων και δικαιώματα πρόσβασης σε αυτούς ή για κάθε πόρο καθορίζεται μια λίστα χρηστών και δικαιώματα πρόσβασης σε αυτούς τους πόρους. Χρησιμοποιώντας λίστες, είναι δυνατό να δημιουργηθούν δικαιώματα για κάθε χρήστη. Είναι δυνατή η προσθήκη δικαιωμάτων ή η ρητή άρνηση πρόσβασης. Η μέθοδος πρόσβασης στη λίστα χρησιμοποιείται σε υποσυστήματα ασφαλείας λειτουργικά συστήματακαι συστήματα διαχείρισης βάσεων δεδομένων.

    Χρήση του πίνακα εξουσιοδότησης

    Όταν χρησιμοποιείτε τον πίνακα εξουσιοδότησης, χρησιμοποιείται ένας πίνακας πρόσβασης (πίνακας εξουσιοδότησης). Στον πίνακα πρόσβασης, οι σειρές καταγράφουν τα αναγνωριστικά των θεμάτων που έχουν πρόσβαση σύστημα υπολογιστή, και στις στήλες – αντικείμενα (πόροι) του μηχανογραφικού συστήματος.

    Κάθε κελί μήτρας μπορεί να περιέχει το όνομα και το μέγεθος ενός πόρου, ένα δικαίωμα πρόσβασης (ανάγνωση, εγγραφή, κ.λπ.), έναν σύνδεσμο προς μια άλλη δομή πληροφοριών που καθορίζει δικαιώματα πρόσβασης, έναν σύνδεσμο προς ένα πρόγραμμα που διαχειρίζεται τα δικαιώματα πρόσβασης κ.λπ.

    Αυτή η μέθοδος είναι αρκετά βολική, καθώς όλες οι πληροφορίες σχετικά με τις αρχές αποθηκεύονται σε έναν μόνο πίνακα. Το μειονέκτημα της μήτρας είναι η πιθανή δυσκινησία της.

    Έλεγχος πρόσβασης ανά επίπεδα και κατηγορίες απορρήτου

    Η διάκριση ανάλογα με το βαθμό μυστικότητας χωρίζεται σε διάφορα επίπεδα. Τα δικαιώματα κάθε χρήστη μπορούν να ρυθμιστούν σύμφωνα με το μέγιστο επίπεδο ασφαλείας στο οποίο είναι δεκτός.

    Έλεγχος πρόσβασης με κωδικό πρόσβασης

    Ο διαχωρισμός κωδικού πρόσβασης χρησιμοποιεί μεθόδους για τα θέματα για πρόσβαση σε αντικείμενα χρησιμοποιώντας έναν κωδικό πρόσβασης. Η συνεχής χρήση κωδικών πρόσβασης οδηγεί σε ταλαιπωρία για τους χρήστες και χρονικές καθυστερήσεις. Για το λόγο αυτό, οι μέθοδοι διαχωρισμού κωδικών πρόσβασης χρησιμοποιούνται σε εξαιρετικές περιπτώσεις.

Στην πράξη, είναι σύνηθες να συνδυάζονται διαφορετικές μεθόδουςπεριορισμούς πρόσβασης. Για παράδειγμα, οι τρεις πρώτες μέθοδοι βελτιώνονται με προστασία με κωδικό πρόσβασης. Η χρήση διαφορετικών δικαιωμάτων πρόσβασης είναι προαπαιτούμενοασφαλές σύστημα υπολογιστή.

κατευθυντήριες γραμμέςγια το πρακτικό μάθημα Νο 10

Θέμα: Διαφοροποίηση δικαιωμάτων πρόσβασης στο δίκτυο, γενικά χώρο στο δίσκοστο τοπικό δίκτυο. Προστασία πληροφοριών, προστασία από ιούς.

Αριθμός ωρών: 2

Στόχος:μάθετε να διαφοροποιείτε τα δικαιώματα πρόσβασης σε δίκτυο υπολογιστώνκαι απολαύστε προστασία από ιούς

Εργασία: Εξοικειωθείτε με τις θεωρητικές αρχές σε αυτό το θέμα, ολοκληρώστε τις εργασίες πρακτικό μάθημα, διατυπώστε ένα συμπέρασμα.

Η έκθεση πρέπει να περιέχει:

1. Τίτλος της εργασίας

2.Σκοπός εργασίας

3.Αποτελέσματα ολοκλήρωσης της εργασίας 1, 2, 3, 4, 5, 6

4. Συμπέρασμα για την εργασία (είναι απαραίτητο να αναφέρετε τους τύπους της εργασίας που εκτελείται, τους στόχους που επιτεύχθηκαν, ποιες δεξιότητες και ικανότητες αποκτήθηκαν κατά την υλοποίησή της)

Οδηγίες εφαρμογής:

Θεωρητικές πληροφορίες 1.

1. Διαφοροποίηση δικαιωμάτων πρόσβασης στο δίκτυο

Παγκόσμιο δίκτυο- πρόκειται για ενώσεις υπολογιστών που βρίσκονται σε απομακρυσμένη απόσταση για γενικής χρήσηςκόσμος πηγές πληροφοριών. Σήμερα υπάρχουν περισσότερα από 200 από αυτά στον κόσμο, το πιο διάσημο και δημοφιλές είναι το Διαδίκτυο.

Σε αντίθεση με τα τοπικά δίκτυα, τα παγκόσμια δίκτυα δεν διαθέτουν κανένα ενιαίο κέντρο ελέγχου. Το δίκτυο βασίζεται σε δεκάδες και εκατοντάδες χιλιάδες υπολογιστές που συνδέονται με το ένα ή το άλλο κανάλι επικοινωνίας. Κάθε υπολογιστής έχει ένα μοναδικό αναγνωριστικό, το οποίο σας επιτρέπει να «σχεδιάσετε μια διαδρομή προς αυτόν» για την παράδοση των πληροφοριών. Συνήθως, ένα παγκόσμιο δίκτυο συνδέει υπολογιστές που λειτουργούν διαφορετικούς κανόνες(διαθέτοντας διαφορετική αρχιτεκτονική, λογισμικό συστήματος κ.λπ.). Επομένως, οι πύλες χρησιμοποιούνται για τη μεταφορά πληροφοριών από έναν τύπο δικτύου σε έναν άλλο.

ΠύλεςΟι πύλες είναι συσκευές (υπολογιστές) που χρησιμοποιούνται για τη σύνδεση δικτύων με εντελώς διαφορετικά πρωτόκολλα ανταλλαγής.

Πρωτόκολλο ανταλλαγήςείναι ένα σύνολο κανόνων (συμφωνία, πρότυπο) που ορίζει τις αρχές της ανταλλαγής δεδομένων μεταξύ διαφορετικούς υπολογιστές online.

Τα πρωτόκολλα χωρίζονται συμβατικά σε βασικά (περισσότερα χαμηλό επίπεδο), υπεύθυνος για τη μετάδοση πληροφοριών οποιουδήποτε τύπου, και εφαρμόζεται (περισσότερα υψηλό επίπεδο), υπεύθυνος για τη λειτουργία εξειδικευμένων υπηρεσιών.

Κύριος υπολογιστήςδίκτυο που παρέχει πρόσβαση σε κοινή βάσηδεδομένα, παρέχει μοιρασιάσυσκευές εισόδου/εξόδου και η αλληλεπίδραση με τον χρήστη ονομάζεται διακομιστής.

Ένας υπολογιστής δικτύου που χρησιμοποιεί μόνο πόρους δικτύου, αλλά δεν δίνει τους πόρους του στο δίκτυο ονομάζεται πελάτης (συχνά ονομάζεται επίσης σταθμός εργασίας).

Για να εργαστεί στο παγκόσμιο δίκτυο, ο χρήστης πρέπει να διαθέτει το κατάλληλο υλικό και λογισμικό.

Το λογισμικό μπορεί να χωριστεί σε δύο κατηγορίες:

    προγράμματα διακομιστή που βρίσκονται στον κόμβο δικτύου που εξυπηρετεί τον υπολογιστή του χρήστη·

    προγράμματα-πελάτες που βρίσκονται στον υπολογιστή του χρήστη και χρησιμοποιούν τις υπηρεσίες του διακομιστή.

Τα παγκόσμια δίκτυα παρέχουν στους χρήστες μια ποικιλία υπηρεσιών: email, απομακρυσμένη πρόσβασησε οποιονδήποτε υπολογιστή στο δίκτυο, αναζήτηση δεδομένων και προγραμμάτων κ.λπ.

2. Εργασία:

Εργασία Νο. 1. Καθορίζω κοινόχρηστος πόροςηλεκτρονικός υπολογιστής. Για να το κάνετε αυτό:

    Στο χειρουργείο Σύστημα WindowsΒρείτε το εικονίδιο Δικτύου στην επιφάνεια εργασίας σας.

    Ανοίξτε έναν φάκελο όπου θα είναι ορατοί όλοι οι υπολογιστές που είναι συνδεδεμένοι στο ίδιο δίκτυο.

Όλοι οι υπολογιστές που είναι συνδεδεμένοι στο δίκτυο θα εμφανιστούν σε αυτό το παράθυρο.

    Ανοίξτε ένα από αυτά. Προβολή πόρων υπολογιστή που μπορείτε να χρησιμοποιήσετε. Τέτοιοι πόροι ονομάζονται κοινόχρηστοι πόροι.

Εργασία Αρ. 2. Παρέχετε στους χρήστες του τοπικού δικτύου πρόσβαση σε έναν φάκελο στον υπολογιστή σας που είναι συνδεδεμένος στο τοπικό δίκτυο. Για να το κάνετε αυτό:

    Στο λειτουργικό σύστημα Windows, ανοίξτε το παράθυρο του φακέλου Υπολογιστής και δημιουργήστε το δικό σας φάκελο στη μονάδα δίσκου D:. Καλέστε το τον αριθμό της ομάδας σας.

    Κλικ δεξί κλικτοποθετήστε το ποντίκι πάνω από το εικονίδιο φακέλου και μέσα μενού περιβάλλοντοςφακέλους, επιλέξτε Κοινή χρήση.

    Επιλέξτε το επιθυμητό υπομενού: Συγκεκριμένοι χρήστες

Θα εμφανιστεί η παρακάτω λίστα Δικτύων νέο φάκελο: ταξίδι 27/07/2016

    Εάν όλα γίνονται σωστά, θα εμφανιστεί ένα εικονίδιο στο δίσκο (δίπλα στο φάκελό σας) που υποδεικνύει ότι ο φάκελος είναι κοινόχρηστος.

Εργασία Νο. 3. Η μέγιστη ταχύτητα μεταφοράς δεδομένων στο τοπικό δίκτυο είναι 100 Mbit/s. Πόσες σελίδες κειμένου μπορούν να μεταδοθούν σε 1 δευτερόλεπτο εάν 1 σελίδα κειμένου περιέχει 50 γραμμές και κάθε γραμμή έχει 70 χαρακτήρες;

Διάλυμα:

50*70=3500 χαρακτήρες ανά σελίδα.

Εφόσον δεν καθορίζεται πόσοι χαρακτήρες υπάρχουν στο αλφάβητο, ας πάρουμε 1 byte ανά χαρακτήρα. Σύνολο 3500 byte ή (πολλαπλασιασμός επί 8) 28000 bit.

Τώρα διαιρέστε το 100.000.000 με το 28.000. Έχουμε 3571,43 σελίδες.

Λύστε μόνοι σας χρησιμοποιώντας τα παρακάτω δεδομένα:

1 σελίδα κειμένου περιέχει 70 γραμμές και κάθε γραμμή περιέχει 50 χαρακτήρες;

Εργασία Νο. 4. Απαντήστε στις ερωτήσεις:

Θεωρητικές πληροφορίες 2

1. Προστασία πληροφοριών, προστασία από ιούς.

Ιός υπολογιστή- ένα πρόγραμμα ικανό να εγχύεται αυθόρμητα και να εισάγει αντίγραφα του εαυτού του σε άλλα προγράμματα, αρχεία, περιοχές συστήματος του υπολογιστή και σε δίκτυα υπολογιστών, προκειμένου να δημιουργηθούν κάθε είδους παρεμβολές στην εργασία στον υπολογιστή.

Σημάδια μόλυνσης:

      τερματισμός εργασίας ή λανθασμένη λειτουργίαπρογράμματα που λειτουργούσαν προηγουμένως

      αργός υπολογιστής

      αδυναμία εκκίνησης του λειτουργικού συστήματος

      εξαφάνιση αρχείων και καταλόγων ή καταστροφή του περιεχομένου τους

      αλλαγή μεγεθών αρχείων και χρόνους τροποποίησης

      μείωση του μεγέθους της μνήμης RAM

      απροσδόκητα μηνύματα, εικόνες και ήχους

      Συχνά κολλήματα και παγώματα υπολογιστή κ.λπ.

Ταξινόμηση ιών υπολογιστών:

      κατά βιότοπο·

      με μέθοδο μόλυνσης?

      από κρούση?

      σύμφωνα με τα χαρακτηριστικά του αλγορίθμου.

Κατά βιότοπο

      Δίκτυο – κατανέμεται σε διάφορα δίκτυα υπολογιστών.

      Βασισμένο σε αρχείο – ενσωματωμένο σε εκτελέσιμες μονάδες (COM, EXE).

      Εκκίνηση - ενσωματωμένο στους τομείς εκκίνησης του δίσκου ή στους τομείς που περιέχουν το πρόγραμμα εκκίνησης δίσκου.

      File-boot - ενσωματωμένο τόσο σε τομείς εκκίνησης όσο και σε εκτελέσιμες μονάδες.

Με μέθοδο μόλυνσης

      Resident – ​​όταν μολυνθεί, αφήνει το μόνιμο τμήμα του στη μνήμη RAM του υπολογιστή, το οποίο στη συνέχεια. παρεμποδίζει τις κλήσεις του λειτουργικού συστήματος σε αντικείμενα μόλυνσης.

      Μη κάτοικοι - μην μολύνουν τη μνήμη RAM και είναι ενεργές για περιορισμένο χρονικό διάστημα.

Με επιπτώσεις:

      Μη επικίνδυνο - μην παρεμβαίνετε στη λειτουργία του υπολογιστή, αλλά μειώστε την ποσότητα της ελεύθερης μνήμης RAM και του χώρου στο δίσκο.

      Επικίνδυνο – οδηγεί σε διάφορα προβλήματα στη λειτουργία του υπολογιστή.

      Πολύ επικίνδυνο - μπορεί να οδηγήσει σε απώλεια προγραμμάτων, δεδομένων, διαγραφή πληροφοριών περιοχές του συστήματοςδίσκους.

Σύμφωνα με τα χαρακτηριστικά του αλγορίθμου:

      Worms - υπολογισμός διευθύνσεων υπολογιστές δικτύουκαι στείλτε τα αντίγραφά τους μέσω αυτών.

      Stealth - παρεμποδίζει την πρόσβαση του λειτουργικού συστήματος σε επηρεαζόμενα αρχεία και τομείς και αντικαθιστά καθαρές περιοχές στη θέση τους.

      Τα Trojans δεν είναι ικανά να αυτοδιαδοθούν, αλλά μεταμφιεσμένα ως χρήσιμα, καταστρέφουν τον τομέα εκκίνησης και το σύστημα αρχείων.

Βασικά μέτρα προστασίας από ιούς:

      εξοπλίστε τον υπολογιστή σας με ένα από τα σύγχρονα προγράμματα προστασίας από ιούς: Doctor Weber, Norton Antivirus, A.V.P.

      ενημερώνετε συνεχώς τις βάσεις δεδομένων προστασίας από ιούς

      δημιουργήστε αρχειακά αντίγραφα πληροφοριών που είναι πολύτιμες για εσάς ( δισκέτες, CD)

Ταξινόμηση λογισμικού προστασίας από ιούς:

      Σαρωτές (ανιχνευτές)

      Οθόνες

      ελεγκτές

Ερευνητής. Αρχή λειτουργίας σαρωτές προστασίας από ιούςβασίζεται στον έλεγχο αρχείων, τομέων και μνήμη συστήματοςκαι αναζήτηση για γνωστούς και νέους (άγνωστους στον σαρωτή) ιούς.

Οθόνες. Αυτή είναι μια ολόκληρη κατηγορία προγραμμάτων προστασίας από ιούς που βρίσκονται συνεχώς στη μνήμη RAM του υπολογιστή και παρακολουθούν όλες τις ύποπτες ενέργειες που εκτελούνται από άλλα προγράμματα. Χρησιμοποιώντας μια οθόνη, μπορείτε να σταματήσετε την εξάπλωση του ιού στο πιο πρώιμο στάδιο.

ελεγκτές.Τα προγράμματα ελεγκτών θυμούνται αρχικά ειδικά αρχείακύριες εικόνες είσοδος μπότας, τομείς εκκίνησηςλογικές μονάδες δίσκου, πληροφορίες σχετικά με τη δομή του καταλόγου και μερικές φορές την ποσότητα της εγκατεστημένης μνήμης RAM.

Για να προσδιορίσουν την παρουσία ενός ιού σε ένα σύστημα, τα προγράμματα ελεγκτών ελέγχουν τις εικόνες που δημιουργούν και τις συγκρίνουν με την τρέχουσα κατάσταση.

2. Ασκηση

Εργασία Νο. 5. Αναφέρετε τα κύρια προγράμματα προστασίας από ιούς και περιγράψτε τα (πλεονεκτήματα και μειονεκτήματα, κύρια χαρακτηριστικά)

Εργασία Αρ. 6. Ελέγξτε τον υπολογιστή σας προγράμματα προστασίας από ιούς.

3. Ερωτήσεις ασφαλείας

1.Τι είναι παγκόσμιο δίκτυο?

2.Τι είναι οι πύλες;

3.Τι είναι το πρωτόκολλο ανταλλαγής;

4. Σε ποιες δύο κατηγορίες μπορεί να χωριστεί το λογισμικό;

5.Τι είναι ιός υπολογιστή?

6. Ποια είναι τα τρία σημάδια μόλυνσης από ιό υπολογιστή;

7. Πώς ταξινομείται το λογισμικό προστασίας από ιούς;

8.Ποια είναι τα κύρια μέτρα προστασίας από ιούς;



Προτείνουμε άλλα άρθρα
Τι να κάνετε για να αυξήσετε την αφοσίωση στο Instagram;
Τι να κάνετε για να αυξήσετε την αφοσίωση στο Instagram;
Νέες συναρτήσεις για εργασία με συμβολοσειρές Πώς να βρείτε εμφανίσεις μιας συμβολοσειράς στο 1c
Νέες συναρτήσεις για εργασία με συμβολοσειρές Πώς να βρείτε εμφανίσεις μιας συμβολοσειράς στο 1c
Συνεστραμμένο ζεύγος: μέθοδοι πτύχωσης, διάγραμμα σύνδεσης
Συνεστραμμένο ζεύγος: μέθοδοι πτύχωσης, διάγραμμα σύνδεσης