Руководство по выработке правил разграничения доступа к ЭВМ



         

Кто отвечает за предоставление доступа и надежное предоставление услуг?


Ваши ПРД должны устанавливать, кто отвечает за предоставление разрешения на доступ к вашим службам. Более того, должно быть определено, какой тип доступа они могут предоставлять. Если вы не контролируете, кто дает разрешение на доступ к вашим АС, вы не контролируете, кто использует ваши АС. Контроль за тем, кто имеет право давать доступ, позволит также вам узнать, кто имел или не имел разрешение на доступ при последующих проблемах с защитой.

Существует много схем, которые можно использовать для управления распределением доступа к вашим службам. Далее приводятся факторы, которые вы должны учитывать при определении того, кто распределяет доступ к вашим службам:

  • Будете вы управлять предоставлением доступа из одного места или дадите это право нескольким местам?

    У вас может быть одно центральное место для предоставления полномочий на доступ в распределенной системе, в которой различные ведомства независимо отвечают за предоставление полномочий на доступ. Нужен компромисс между защищенностью и удобством. Чем более это процесс централизован, тем более он защищен.

  • Какие методы вы будете использовать для регистрации новых пользователей и прекращения доступа?

    С точки зрения безопасности вам нужно знать механизм, который будет использован при регистрации новых пользователей. При самом незащищенном варианте люди, которые отвечают за регистрацию пользователей, могут просто войти в систему и создать нового пользователя вручную или с помощью механизма, определенного производителем. В общем случае эти механизмы доверяют человеку, запускающему их, и человек, запускающий их, обычно имеет большие привилегии. Если вы выбрали этот способ, вам нужно выбрать кого-либо, кто не подведет вас при решении этой задачи. Другим способом будет создание интегрированной системы, которая запускается людьми, отвечающими за регистрацию, или самими пользователями. Помните, что даже наличие самого защищенного средства создания новых пользователей не избавляет вас от возможности злоупотреблений им.




    Содержание  Назад  Вперед