Руководство по выработке правил разграничения доступа к ЭВМ



         

Почему мы нуждаемся в ПРД и СРД?


Для большинства организаций интерес к защите АС пропорционален наличию риска и существованию угроз.

Мир средств вычислительной техники (СВТ) сильно изменился за последние двадцать пять лет. Двадцать пять лет назад большинство СВТ были централизованными и управлялись центрами данных. СВТ располагались в закрытых комнатах, кроме того специально назначенные люди гарантировали, что СВТ корректно управляются и являются физически защищенными. Соединения сетей организации с сетями других организаций были редкими. Угрозы СВТ или отсутствовали, или в основном были связаны со своими сотрудниками: неправильной регистрацией санкционированных пользователей , вандализмом и т.д. Эти угрозы были хорошо известны, и боролись с ними стандартными способами: СВТ размещались в закрытых помещениях, а все ресурсы регистрировались.

В 90-е годы ситуация радикально изменилась. Большое количество СВТ находится в частных ведомствах и лабораториях, и часто управляется людьми, не работавшими в компьютерных центрах. Многие СВТ присоединены к Internetу, а через Internet связаны со всем миром: Соединенными Штатами, Европой, Азией, и Австралией.

Современные угрозы безопасности отличаются от прежних. Правило, проверенное временем, гласит: "Не записывайте ваш пароль и не держите его на вашем столе" , чтобы кто-нибудь его не нашел. Через Internet кто-нибудь может попасть в ваше СВТ с другой стороны мира и узнать ваш пароль посреди ночи, когда ваше здание закрыто. Вирусы и компьютерные штормы могут распространяться по сети. Internet сделал возможным существование электронного эквивалента вора, ищущего незапертые окна и двери; теперь человек может проверить сотни СВТ на незащищенность за несколько часов.

Системные администраторы и ЛПР должны знать существующие угрозы безопасности, знать, каковы риск и стоимость решения проблемы, и что надо сделать, если они хотят защититься от угрозы безопасности.

В качестве иллюстрации некоторых проблем, которые нужно учитывать при обеспечении защиты, рассмотрим следующие сценарии (пpиносим благодаpности Расселу Бpанду [2,BRAND] за них]):




    Содержание  Назад  Вперед