X Международная студенческая научная конференция Студенческий научный форум - 2018

Механизм управления доступом является важным аспектом в безопасности, так как целью такого механизма является предотвращение несанкционированного доступа к компьютерной системе и сетевым ресурсам.

Ненадежное управление доступом пользователей является одной из разновидностей нарушений безопасности информационных систем.

Каждый владелец информационной системы должен четко формулировать политику контроля доступа к данным, которая определяет права доступа каждого пользователя или группы пользователей.

Для предоставления прав доступа к любой информационной системе требуются формальные процедуры. Эти процедуры должны включать в себя все стадии управления доступом пользователей — от начальной регистрации новых пользователей, до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам.

Для управления доступом ко всем многопользовательским информационным системам должна существовать формальная процедура регистрации и удаления учетных записей пользователей.

Доступ к многопользовательским информационным системам необходимо контролировать посредством процесса регистрации пользователей, который должен, например:

1) проверять, предоставлено ли пользователю разрешение на использование сервиса владельцем системы;

2) проверять, достаточен ли уровень доступа к системе, предоставленного пользователю, для выполнения возложенных на него функций и не противоречит ли он политике безопасности, принятой в организации, например, не компрометирует ли он принцип разделения обязанностей;

3) предоставлять пользователям их права доступа в письменном виде;

4) потребовать от пользователей подписания обязательства, чтобы показать, что они понимают условия доступа;

5) потребовать от поставщиков услуг, чтобы они не предоставляли доступ к системам до тех пор, пока не будут закончены процедуры определения полномочий;

6) вести формальный учет всех зарегистрированных лиц, использующих систему;

7) немедленно изымать права доступа у тех пользователей, которые сменили работу или покинули организацию;

8) периодически проверять и удалять пользовательские идентификаторы и учетные записи, которые больше не требуются;

9) проверять, не выданы ли пользовательские идентификаторы, которые больше не нужны, другим пользователям.

Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля.

Использование специальных привилегий следует ограничить и контролировать т.к. предоставление и использование излишних системных привилегий зачастую оказывается одним из основных факторов, способствующих нарушению режима безопасности систем.

Для многопользовательских систем, требующих защиты от несанкционированного доступа, предоставление привилегий необходимо контролировать посредством процесса определения полномочий таким образом:

1. Идентифицировать привилегии, связанные с каждым программным продуктом, поддерживаемым системой, например, с операционной системой или СУБД, а также категории сотрудников, которым их необходимо предоставить.

2. Предоставить привилегии отдельным лицам только в случае крайней необходимости и в зависимости от ситуации, т.е. только когда они нужны для выполнения ими своих функций.

3. Реализовать процесс определения полномочий и вести учет всех предоставленных привилегий. Не следует предоставлять привилегии до окончания процесса определения полномочий.

4. Содействовать разработке и использованию системных программ, чтобы избежать необходимость предоставления привилегий пользователям.

5. Пользователи, которым предоставлены большие привилегии для специальных целей, должны использовать другой пользовательский идентификатор для обычной работы.

В настоящее время основным средством подтверждения доступа пользователей к компьютерным системам являются надежные пароли. Назначение паролей необходимо контролировать посредством процесса управления, требования к которому должны быть следующими:

1. Потребовать от пользователей подписания обязательства по хранению персональных паролей в секрете.

2. Передавать временные пароли пользователям надежным способом. Следует избегать передачу паролей через посредников или посредством незашифрованных сообщений электронной почты. Пользователи должны подтвердить получение паролей.

3. В тех случаях, когда пользователи должны сами выбирать свои пароли, выдать им надежные временные пароли, которые они обязаны немедленно сменить. Временные пароли должны выдаваться только после положительной идентификации пользователя.

В настоящее время уже существуют технологии, такие как, проверка подлинности подписи, которые следует рассмотреть в том случае, если обеспечение более высокого уровня безопасности оправдано.

Для обеспечения эффективного контроля за доступом к данным и информационным системам руководство должно реализовывать процесс пересмотра прав доступа пользователей через регулярные промежутки времени. Такой процесс должен обеспечивать следующее:

а) пересмотр полномочий доступа пользователей через регулярные промежутки времени; рекомендуется период в 1-3 месяца;

б) пересмотр разрешения на предоставление специальных привилегированных прав доступа через более короткие промежутки времени; рекомендуется период в 1 месяц;

в) проверка предоставленных привилегий через регулярные промежутки времени, чтобы не допустить получения пользователями несанкционированных привилегий.

Также важно, чтобы каждый пользователь, для поддержания надлежащего режима безопасности, знал свои обязанности по обеспечению эффективного контроля доступа.

Список использованной литературы

Аверченков В.И. Аудит информационной безопасности: учебное пособие для вузов.- М.: ФЛИНТА, 2016. -269 с.

Аверченков В.И. Организация защиты информации: учебное пособие.- Брянск: БГТУ, 2005. -186 с.

Практика информационной безопасности [электронный ресурс] – Режим доступа: http://dorlov.blogspot.ru/

Код для цитирования: Скопировать