<<
>>

Пользовательский уровень безопасности

Данный уровень безопасности в ПЦ обеспечивается за счет возможности разделить доступ к тем или иным ресурсам в разрезе пользователя или группы пользователей.

Практически в любой современной операционной системе существует возможность разграничить доступ к определенным ресурсам на уровне пользователей.

Таким образом, каждый пользователь в сети ПЦ (в том числе и рабочую станцию, и сервер можно отнести к пользователям) имеет определенные права, которые должны быть формализованы и закреплены в письменном виде. Права и полномочия предоставляются каждому сотруднику ПЦ согласно его должностным обязанностям. В случае если сотрудник совмещает несколько обязанностей (например, администратор ЛВС и администратор БД), удобнее оперировать ролями. Каждой роли отводятся определенные полномочия, в рамках которых предоставляется доступ к ресурсам ПЦ.

Служебные роли ПЦ могут быть отождествлены с группой пользователей. В роли администратора ЛВС может выступать группа пользователей «администраторы», в роли сотрудников отдела архивных копий — «операторы архивов» и т.д. В каждой из групп может быть несколько пользователей сети, в то же время один пользователь сети может быть наделен несколькими полномочиями.

Все сотрудники обязаны иметь учетную запись, с помощью которой осуществляется регистрация в сети ПЦ. Далее эта учетная запись используется для доступа к любым сетевым ресурсам, будь то принтер или база данных.

При разработке политики безопасности для сотрудников должно быть установлено правило секретности собственных имени пользователя и пароля при регистрации в сети. Также должен быть установлен запрет на передачу персональных имени пользователя и пароля третьим лицам. В ходе формирования политики должны быть приняты меры по снижению вероятности компрометации паролей: установлены ограничения на минимальную длину пароля, его сложность и частоту смены.

Согласно последним данным[108] рекомендуемая длина пароля может быть принята свыше 8 символов. Существуют и рекомендации по сложности пароля, в которых определяют, что пароль может состоять из строчных и заглавных букв и цифр. Частота смены пароля позволяет уменьшить вероятность его подбора за определенный срок его жизни. Хорошей практикой может служить блокировка учетной записи в случае набора неправильного пароля N раз (как правило, N принимают равным от 3 до 5 раз).

В политике учетных записей помимо сотрудников ведется контроль доступа к ресурсам рабочих станций и серверов. Такая политика позволит, например, ограничить доступ к ресурсам в случае подмены сетевого адреса.

Отдельно могут быть введены дополнительные средства аутентификации пользователей. Использование сертификатов (цифровых удостоверений) с единым центом сертификации позволит многократно повысить стойкость системы безопасности. Использование двухфакторной аутентификации, в которой пользователь помимо данных учетной записи (имя пользователя, пароль) должен предоставить физический ключ доступа. Он позволит избежать компрометации учетной записи в случае успешной атаки подбора пароля. Физический ключ может быть заменен считывателем биометрических данных пользователя.

Еще одним способом, повышающим уровень безопасности ПЦ, является блокировка встроенных учетных записей администратора (root). В этом случае происходит делегирование прав администратора сети другому пользователю, так называемое переименование администратора. В этом случае, если пароль учетной записи «администратор» или «root» будут взломаны, администраторские права предоставлены не будут.

Одним из важных моментов при формировании политики безопасности является правило, обязывающее администратора ЛВС производить блокировку учетной записи пользователя в случае его болезни или увольнения. Также должны быть заблокированы гостевые учетные записи, присутствующие по умолчанию в операционных системах и СУБД.

Таким образом, пользовательский уровень безопасности вводит дополнительный барьер на пути несанкционированного доступа к ресурсам ПЦ и позволяет проводить разделение ресурсов на основе ролей, описанных в политике безопасности ПЦ.

<< | >>
Источник: А. К. Алексанов И. А. Демчев А. М. Доронин. Безопасность карточного бизнеса : бизнес-энциклопедия Московская финансово-промышленная академия; ЦИПСиР; Москва; 2012. 2012

Еще по теме Пользовательский уровень безопасности:

  1. Сетевой уровень безопасности
  2. Глава I. Безопасность: понятие, сущность, структура. Формула обеспечения безопасности: объект безопасности - угрозы объекту - субъекты и системы обеспечения безопасности объекта
  3. Пользовательские индикаторы
  4. Специалист по пользовательскому интерфейсу
  5. Государство как объект безопасности и субъект обеспечения безопасности в праве и юридической науке
  6. Пользовательский интерфейс
  7. Пользовательские индикаторы
  8. Научно - правовая характеристика мирового сообщества и его элементов как объекта безопасности субъекта (субъектов) обеспечения безопасности
  9. Экологические проблемы в Объединённой конвенции о безопасности обращения с отработавшим топливом и безопасности обращения с радиоактивными отходами
  10. Организация работ по проекту, уровень компьютеризации и информатизации, уровень используемых средств управления проектом.
  11. Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса
  12. 1. Понятия «национальная» и «общественная» безопасность и их соотношение. Ювенальная юриспруденция как часть общественной безопасности России
  13. Как мы рассмотрели выше, международно-правовое обеспечение безопасности мирового сообщества включает в себя соответствующие компоненты системы международного права, международно-правовые основы деятельности субъек­тов, обеспечивающих безопасность мирового сообщества
  14. Безопасность уровня приложений
  15. Уровень претензий.
  16. Высокий уровень занятости
  17. Общий уровень цен
  18. 3.5.4.Уровень прибыли (Profit Target)
  19. Уровень и качество жизни
  20. Уровень финансового риска
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Арбитражный (хозяйственный) процесс - Аудит - Банковская система - Банковское право - Бухгалтерский учет - Военное право - Гражданское право и процесс - Денежное обращение, финансы и кредит - Деньги - Жилищное право - Земельное право - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История - История государства и права - История политических и правовых учений - Конкурсное право - Конституционное право - Корпоративное право - Криминалистика - Криминология - Маркетинг - Медицинское право - Международное право - Менеджмент - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Обязательственное право - Оперативно-розыскная деятельность - Права человека - Право зарубежных стран - Право социального обеспечения - Правоведение - Правоохранительная деятельность - Предпринимательское право - Семейное право - Страховое право - Судопроизводство - Таможенное право - Теория государства и права - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Философия - Финансовое право - Хозяйственное право - Хозяйственный процесс - Экологическое право - Экономика - Ювенальное право - Юридическая техника - Юридические лица -