Управление доступом пользователей в информационных системах
Механизм управления доступом к информационным ресурсам как важный аспект в безопасности. Принципы предотвращения несанкционированного доступа к конфиденциальной информации или действия с информацией, нарушающие правила доступа к информационной системе.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 22.02.2019 |
| Размер файла | 14,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Управление доступом пользователей в информационных системах
Механизм управления доступом является важным аспектом в безопасности, так как целью такого механизма является предотвращение несанкционированного доступа к компьютерной системе и сетевым ресурсам.
Ненадежное управление доступом пользователей является одной из разновидностей нарушений безопасности информационных систем.
Каждый владелец информационной системы должен четко формулировать политику контроля доступа к данным, которая определяет права доступа каждого пользователя или группы пользователей.
Для предоставления прав доступа к любой информационной системе требуются формальные процедуры. Эти процедуры должны включать в себя все стадии управления доступом пользователей - от начальной регистрации новых пользователей, до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам.
Для управления доступом ко всем многопользовательским информационным системам должна существовать формальная процедура регистрации и удаления учетных записей пользователей.
Доступ к многопользовательским информационным системам необходимо контролировать посредством процесса регистрации пользователей, который должен, например:
1) проверять, предоставлено ли пользователю разрешение на использование сервиса владельцем системы;
2) проверять, достаточен ли уровень доступа к системе, предоставленного пользователю, для выполнения возложенных на него функций и не противоречит ли он политике безопасности, принятой в организации, например, не компрометирует ли он принцип разделения обязанностей;
3) предоставлять пользователям их права доступа в письменном виде;
4) потребовать от пользователей подписания обязательства, чтобы показать, что они понимают условия доступа;
5) потребовать от поставщиков услуг, чтобы они не предоставляли доступ к системам до тех пор, пока не будут закончены процедуры определения полномочий;
6) вести формальный учет всех зарегистрированных лиц, использующих систему;
7) немедленно изымать права доступа у тех пользователей, которые сменили работу или покинули организацию;
8) периодически проверять и удалять пользовательские идентификаторы и учетные записи, которые больше не требуются;
9) проверять, не выданы ли пользовательские идентификаторы, которые больше не нужны, другим пользователям.
Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля.
Использование специальных привилегий следует ограничить и контролировать т.к. предоставление и использование излишних системных привилегий зачастую оказывается одним из основных факторов, способствующих нарушению режима безопасности систем.
Для многопользовательских систем, требующих защиты от несанкционированного доступа, предоставление привилегий необходимо контролировать посредством процесса определения полномочий таким образом:
1. Идентифицировать привилегии, связанные с каждым программным продуктом, поддерживаемым системой, например, с операционной системой или СУБД, а также категории сотрудников, которым их необходимо предоставить.
2. Предоставить привилегии отдельным лицам только в случае крайней необходимости и в зависимости от ситуации, т.е. только когда они нужны для выполнения ими своих функций.
3. Реализовать процесс определения полномочий и вести учет всех предоставленных привилегий. Не следует предоставлять привилегии до окончания процесса определения полномочий.
4. Содействовать разработке и использованию системных программ, чтобы избежать необходимость предоставления привилегий пользователям.
5. Пользователи, которым предоставлены большие привилегии для специальных целей, должны использовать другой пользовательский идентификатор для обычной работы.
В настоящее время основным средством подтверждения доступа пользователей к компьютерным системам являются надежные пароли. Назначение паролей необходимо контролировать посредством процесса управления, требования к которому должны быть следующими:
1. Потребовать от пользователей подписания обязательства по хранению персональных паролей в секрете.
2. Передавать временные пароли пользователям надежным способом. Следует избегать передачу паролей через посредников или посредством незашифрованных сообщений электронной почты. Пользователи должны подтвердить получение паролей.
3. В тех случаях, когда пользователи должны сами выбирать свои пароли, выдать им надежные временные пароли, которые они обязаны немедленно сменить. Временные пароли должны выдаваться только после положительной идентификации пользователя.
В настоящее время уже существуют технологии, такие как, проверка подлинности подписи, которые следует рассмотреть в том случае, если обеспечение более высокого уровня безопасности оправдано.
Для обеспечения эффективного контроля за доступом к данным и информационным системам руководство должно реализовывать процесс пересмотра прав доступа пользователей через регулярные промежутки времени. Такой процесс должен обеспечивать следующее:
а) пересмотр полномочий доступа пользователей через регулярные
промежутки времени; рекомендуется период в 1-3 месяца;
б) пересмотр разрешения на предоставление специальных привилегированных прав доступа через более короткие промежутки времени; рекомендуется период в 1 месяц;
в) проверка предоставленных привилегий через регулярные промежутки времени, чтобы не допустить получения пользователями несанкционированных привилегий.
Также важно, чтобы каждый пользователь, для поддержания надлежащего режима безопасности, знал свои обязанности по обеспечению эффективного контроля доступа.
Список использованной литературы
информационный управление несанкционированный пользователь
1. Аверченков В.И. Аудит информационной безопасности: учебное пособие для вузов. - М.: ФЛИНТА, 2016. -269 с.
2. Аверченков В.И. Организация защиты информации: учебное пособие. - Брянск: БГТУ, 2005. -186 с.
3. Практика информационной безопасности [электронный ресурс] - Режим доступа: http://dorlov.blogspot.ru/
Размещено на Allbest.ru
...Подобные документы
Применение программного обеспечения и технических средств контроля и управления доступом для предупреждения угроз несанкционированного доступа к защищаемой информации. Построение интегрированной системы безопасности "FortNet" и ее составных элементов.
лабораторная работа [1,3 M], добавлен 14.11.2014Проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей. Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам. Построение трехмерной модели человеческого лица.
презентация [1,1 M], добавлен 25.05.2016Исторические аспекты возникновения и развития информационной безопасности. Средства обеспечения защиты информации и их классификация. Виды и принцип действия компьютерных вирусов. Правовые основы защиты информации от несанкционированного доступа.
презентация [525,3 K], добавлен 09.12.2015Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.
дипломная работа [575,2 K], добавлен 19.04.2011Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Анализ существующих систем контроля и управления доступом различных фирм-производителей. Анализ технических и эксплуатационных характеристик различных систем, разработка системы контроля и управления доступом. Предложение плана реализации системы.
дипломная работа [2,7 M], добавлен 07.06.2011Основные задачи защиты операционных систем: идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и аудит. Проблема контроля доступа в компьютерную систему. Разработка программы управления матричным принтером.
курсовая работа [118,9 K], добавлен 22.06.2011Основы правового регулирования отношений, связанных с конфиденциальной информацией. Ответственность за неправомерные действия в отношении использования информации. Порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.
курсовая работа [18,6 K], добавлен 02.03.2011Понятие, цели и задачи информационной безопасности. Угрозы информационной безопасности и способы их реализации. Управление доступом к информации и информационным системам. Защита сетей и информации при работе в Интернете. Понятие об электронной подписи.
контрольная работа [37,1 K], добавлен 15.12.2015Характеристика дискретного управления доступом. Особенности модели тип-домен, основанной на концепции минимальных привилегий. Unix-система права доступа файлов. Контролирование администратором доступа в мандатной системе, проблемы ее использования.
реферат [253,2 K], добавлен 09.01.2012Виды угроз безопасности в экономических информационных системах: цель, источники, средства реализации. Основные пути несанкционированного доступа к информации. Методы и средства защиты, используемые в АИТ маркетинговой деятельности, их классификация.
реферат [30,1 K], добавлен 12.03.2011Математические модели характеристик компьютеров возможных нарушителей и угроз безопасности информации в условиях априорной неопределённости. Методика построения комплексной системы защиты информационной сети военного ВУЗа от несанкционированного доступа.
контрольная работа [401,8 K], добавлен 03.12.2012Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
дипломная работа [2,3 M], добавлен 19.01.2015Характеристика основных способов защиты от несанкционированного доступа. Разработка политики безопасности системы. Проектирование программного обеспечения применения некоторых средств защиты информации в ОС. Содержание основных разделов реестра.
лабораторная работа [1,9 M], добавлен 17.03.2017Исследование понятия и классификации видов и методов несанкционированного доступа. Определение и модель злоумышленника. Организация защиты информации. Классификация способов защиты информации в компьютерных системах от случайных и преднамеренных угроз.
реферат [115,1 K], добавлен 16.03.2014Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.
презентация [3,8 M], добавлен 18.11.2014Определение класса автоматизированной системы. Выбор средств защиты информации от несанкционированного доступа. Выбор режимов блокировки и электронных ключей для разблокировки консоли. Дискреционное разграничение доступа. Задача обеспечения целостности.
курсовая работа [1,9 M], добавлен 23.01.2013Анализ локальной сети предприятия, оценка возможных угроз. Основные понятия безопасности компьютерных систем. Пути несанкционированного доступа, классификация способов и средств защиты информации. Идетификация и аутификация, управление доступом.
отчет по практике [268,1 K], добавлен 16.01.2013Определение класса защищённости АС. Разработка модели угроз. Выбор механизмов и средств защиты информационных ресурсов от несанкционированного доступа. Создание структуры каталогов для заданного количества пользователей автоматизированной системы.
курсовая работа [9,7 M], добавлен 12.05.2014
