Основные понятия
Информационно-вычислительная система (ИВС)
– комплекс программных и аппаратных средств для обеспечения автоматизации
производства и других сфер жизнедеятельности человека, включающий в качестве
составных частей серверное и сетеобразующее оборудование.
Пользователь ИВС (User)
– физическое лицо, имеющее доступ к определенным ресурсам ИВС,
идентифицируемое бюджетом пользователя (учетной записью). Администратор ИВС
также является пользователем ИВС, обладая, в общем случае, неограниченным
доступом ко всем ресурсам ИВС.
Администратор ИВС (Administrator)
– должностное лицо, ответственное за работоспособность и надлежащее
функционирование всех частей ИВС.
У администратора большой ИВС в подчинении могут находиться
администраторы частей и подсистем ИВС – например, администратор
локально-вычислительной сети, администратор сетевой ОС, администратор базы
данных (БД), а также технический персонал. Администратор подсистемы ИВС отвечает
за работоспособность и надлежащее функционирование вверенных ему компонентов
этой подсистемы ИВС.
Бюджет/учетная запись пользователя (Account)
– запись в специализированной БД (БД учетных записей), содержащая информацию
о пользователе ИВС. Используется для идентификации пользователя в системе,
проверки полномочий пользователя и обеспечения доступа пользователя к тем или
иным ресурсам системы. Характеризуется атрибутами, например имя для входа,
пароль, профиль в системе, список принадлежности к группам и т.п. Пароль служит
для защиты бюджета от несанкционированного использования.
Регистрация пользователя в системе (Registration)
– создание администратором ИВС (или другим уполномоченным липом) бюджета
пользователя для данного физического липа.
Аутентификация в системе (Authentication)
– процесс установления подлинности пользователя ИВС. Заключается в
предъявлении пользователем своего имени для входа и пароля, а также в проверке
системой наличия бюджета в БД бюджетов пользователей и соответствия указанного
пользователем пароля и пароля, хранящегося в БД. После успешной аутентификации в
системе для пользователя на время сеанса работы создается дескриптор
безопасности, отражающий его цифровой идентификатор в системе, а также
принадлежность группам пользователей, профилям и другим объектам системы
безопасности.
Ресурсы ИВС (Resources)
– физические и логические объекты ИВС, имеющие определенную
функциональность, доступную для использования. Примеры физических ресурсов –
сервер ЛВС, каталог совместного использования на сервере, сетевой принтер;
логических ресурсов – пользователь, группа пользователей, профиль в системе,
очередь на печать и т.д.
Совместное использование ресурса (Resource
sharing) – использование ресурса двумя и
более пользователями ИВС.
Права доступа к ресурсу (Access rights to
the resource) – степень свободы действий
пользователя (просмотр, использование, владение) по отношению к данному ресурсу.
Имеют специфику применительно к разным ресурсам и подсистемам ИВС (создание,
чтение, запись, удаление файлов и каталогов – для файловой службы; создание,
печать документов/управление очередью на печать — для службы печати и т.д.). По
определению, администратор ИВС имеет полные права на все ресурсы ИВС.
Администратор части ИВС - полные права на ресурсы части ИВС. Права доступа на
прямую связаны с ответственностью пользователя, которую он несет,
пользуясь этими правами.
Назначение прав доступа к ресурсу (User's
rights assignment) – процедура создания
в системе специальной записи, с помощью которой учетной записи пользователя или
ее аналогу (например, учетной записи группы пользователей) присваиваются
определенные права доступа к ресурсу. Назначение прав доступа в современных
информационно-вычислительных системах осуществляется через списки управления
доступом (Access Control List/ACL).
Аудит /Контроль использования ресурсов (Audit)
– процесс контроля использования ресурсов, включающий возможность ведения
журнала попыток доступа к ресурсам. Журнал аудита ведется на основе данных,
поступающих от процедур авторизации.
Список управления доступом (Access Control
List /ACL) – в
виде отдельных записей хранит информацию о том, кто обладает правами на ресурс и
каковы эти права. Например, для одного пользователя в ACL
каталога файловой системы могут быть указаны права на чтение, а для другого
пользователя – права на чтение и запись.
Авторизация / Проверка прав доступа (Authorization
/ Rights verification) –
процесс установления системой соответствия запрошенных прав доступа к ресурсу и
фактических прав пользователя на ресурс и формирования управляемой реакции:
разрешить или отвергнуть доступ пользователя к ресурсу. Например, пользователь
выполняет операцию открытия файла на запись (запрашиваемые права), обладая при
этом только правом просмотра (фактические права). Система запретит выполнение
операции, мотивируя свое поведение недостатком прав у пользователя.
Функции администратора ИВС
Администратор ИВС обеспечивает надлежащую работоспособность ИВС,
выполняя определенные функции (или должностные обязанности). К основным функциям
администратора относятся:
1. Управление
учетными записями пользователей. Включает регистрацию
пользователей, контроль использования учетных записей, задание ограничений на
использование учетных записей, блокирование временно не использующихся учетных
записей, удаление учетных записей.
2. Управление
доступом к ресурсам. Включает создание логических и
регистрацию физических ресурсов ИВС, обеспечение управляемого доступа к ресурсам
с помощью списков управления доступом, контроль использования ресурсов.
3. Обеспечение
сохранности, секретности и актуальности данных.
Включает создание и поддержание нужного количества резервных копий,
восстановление при необходимости данных, защиту данных от несанкционированного
доступа (путем установки соответствующих прав доступа), своевременное обновление
данных.
4. Установка
и сопровождение программного и аппаратного обеспечения.
Включает установку ОС на серверах и рабочих станциях ИВС, установку серверного и
клиентского ПО, установку дополнительного аппаратного обеспечения; настройку и
контроль работоспособности программного и аппаратного обеспечения.
«Золотые» правила администратора
1.
Никогда не проводи экспериментов на работающей
системе. Если это все-таки необходимо, сделай сначала полную резервную копию
данных.
2.
Никогда не меняй конфигурацию сервера (как
аппаратную, так и программную), не сделав предварительно полную резервную копию
данных.
3.
Всегда документируй свои действия в журнале
администратора. Если это возможно – пользуйся встроенными в серверные ОС
средствами аудита и журналирования.
4.
Если можно переложить часть работы на подчиненного,
сделай это. Но если ты не уверен, что подчиненный справится с заданием
должным образом, сделай это сам.
5.
Всегда соотноси назначаемые права с мерой
ответственности, связанной с теми или иными правами, т.е. пользователь, имеющий
больше прав, берет на себя больше ответственности. Администратор должен обладать
полными правами на вверенную ему систему.
6.
При работе с ресурсами ИВС в качестве пользователя
(например, при выполнении таких действий, как редактирование документов,
просмотр и отправка почтовых сообщений, разработка ПО и т. п.) используй учетную
запись с обычными правами доступа, а не учетную запись администратора.
7.
Регулярно меняй пароль учетной записи
администратора. Но не полагайся на свою память - записывай пароль на
бумаге и храни в месте с ограниченным доступом посторонних лиц (сейф, от
которого ключи только у тебя и, может быть, твоего прямого начальника).
Вопросы
1.
Что такое бюджет пользователя в ИВС?
2.
Укажите принципиальные отличия для понятий
аутентификация и авторизация.
3.
Назовите «Золотые» правила администратора.
4.
Почему при работе с ресурсами ИВС в качестве
пользователя не рекомендуется использовать учетную запись администратора?
|
