ProHoster > Блог > Pagdumala > Pagtukod og usa ka role-based nga access control model. Unang bahin, pagpangandam

Pagtukod og usa ka role-based nga access control model. Unang bahin, pagpangandam

Nagtrabaho ko karon alang sa usa ka software vendor, ilabi na sa pag-access sa mga solusyon sa pagkontrol. Ug ang akong kasinatian "gikan sa miaging kinabuhi" konektado sa bahin sa kustomer - usa ka dako nga organisasyon sa panalapi. Nianang panahona, ang among grupo sa pagkontrol sa pag-access sa departamento sa seguridad sa kasayuran dili makapanghambog sa daghang mga kahanas sa IdM. Daghan kami nakakat-on sa proseso, kinahanglan namon nga maigo ang daghang mga bumps aron makahimo usa ka mekanismo sa pagtrabaho alang sa pagdumala sa mga katungod sa tiggamit sa mga sistema sa impormasyon sa kompanya.
Pagtukod og usa ka role-based nga access control model. Unang bahin, pagpangandam
Ang paghiusa sa akong gihagoan nga kasinatian sa kostumer sa kahibalo ug mga kahanas sa tigbaligya, gusto nako nga ipaambit kanimo ang hinungdanon nga mga lakang sa lakang nga mga panudlo: kung giunsa paghimo ang usa ka modelo nga kontrol sa pag-access nga gibase sa papel sa usa ka dako nga kompanya, ug kung unsa ang ihatag niini ingon usa ka sangputanan . Ang akong mga instruksyon naglangkob sa duha ka bahin: ang una nangandam sa paghimo sa modelo, ang ikaduha mao ang aktwal nga pagtukod. Ania ang unang bahin, ang bahin sa pagpangandam.

NB Ang paghimo og sulondan, sa walay palad, dili resulta, kondili usa ka proseso. O hinoon, bisan bahin sa proseso sa paghimo og access control ecosystem sa kompanya. Busa pag-andam alang sa dula sa dugay nga panahon.

Una, atong ipasabut kini - unsa ang kontrol sa pag-access nga gibase sa papel? Ibutang ta nga ikaw adunay usa ka dako nga bangko nga adunay napulo, o bisan gatusan ka libo nga mga empleyado (mga entidad), ang matag usa adunay daghang mga katungod sa pag-access sa gatusan nga internal nga sistema sa impormasyon sa bangko (mga butang). Karon i-multiply ang gidaghanon sa mga butang sa gidaghanon sa mga hilisgutan - kini ang minimum nga gidaghanon sa mga koneksyon nga kinahanglan nimo nga una nga tukuron ug dayon kontrolon. Posible ba nga buhaton kini nga mano-mano? Siyempre dili - ang mga tahas gihimo aron masulbad kini nga problema.

Ang usa ka tahas usa ka hugpong sa mga pagtugot nga kinahanglan sa usa ka tiggamit o grupo sa mga tiggamit aron mahimo ang piho nga mga buluhaton sa trabaho. Ang matag empleyado mahimong adunay usa o daghan pa nga mga tahas, ug ang matag tahas mahimong maglangkob gikan sa usa hangtod sa daghang mga pagtugot nga gitugotan sa tiggamit sa kana nga tahas. Ang mga tahas mahimong ihigot sa piho nga mga posisyon, departamento o gimbuhaton sa mga empleyado.

Pagtukod og usa ka role-based nga access control model. Unang bahin, pagpangandam

Ang mga tahas sagad gihimo gikan sa indibidwal nga pagtugot sa empleyado sa matag sistema sa impormasyon. Unya ang mga tahas sa negosyo sa kalibutan naporma gikan sa mga tahas sa matag sistema. Pananglitan, ang papel sa negosyo nga "credit manager" maglakip sa pipila ka bulag nga mga tahas sa mga sistema sa impormasyon nga gigamit sa opisina sa kustomer sa bangko. Pananglitan, sama sa nag-unang automated banking system, cash module, electronic nga dokumento management system, service manager ug uban pa. Ang mga tahas sa negosyo, ingon nga usa ka lagda, nahigot sa istruktura sa organisasyon - sa ato pa, sa hugpong sa mga dibisyon sa kompanya ug mga posisyon sa kanila. Ingon niini kung giunsa naporma ang usa ka global nga role matrix (naghatag ako usa ka pananglitan sa lamesa sa ubos).

Pagtukod og usa ka role-based nga access control model. Unang bahin, pagpangandam

Angay nga matikdan nga imposible nga magtukod usa ka 100% nga modelo nga modelo, nga naghatag sa tanan nga mga kinahanglanon nga katungod alang sa mga empleyado sa matag posisyon sa usa ka komersyal nga istruktura. Oo, kini dili kinahanglan. Human sa tanan, ang usa ka sulondan dili mahimong static, tungod kay kini nagdepende sa kanunay nga pagbag-o sa palibot. Ug gikan sa mga pagbag-o sa mga kalihokan sa negosyo sa kompanya, nga, sa ingon, nakaapekto sa mga pagbag-o sa istruktura sa organisasyon ug pagpaandar. Ug gikan sa kakulang sa hingpit nga probisyon sa mga kahinguhaan, ug gikan sa dili pagsunod sa mga paghulagway sa trabaho, ug gikan sa tinguha alang sa ganansya sa gasto sa kaluwasan, ug gikan sa daghang uban pang mga hinungdan. Busa, gikinahanglan nga magtukod ug usa ka sulondan nga makatabon hangtod sa 80% sa mga panginahanglanon sa tiggamit alang sa gikinahanglang batakang mga katungod kon ma-assign sa usa ka posisyon. Ug mahimo nila, kung kinahanglan, hangyoon ang nahabilin nga 20% ​​sa ulahi sa lainlaing mga aplikasyon.

Siyempre, makapangutana ka: “Wala bay 100% nga mga sulondan?” Aw, ngano, kini mahitabo, alang sa panig-ingnan, sa non-profit nga mga istruktura nga dili ubos sa kanunay nga mga kausaban - sa pipila ka research institute. O sa mga komplikadong organisasyon sa militar-industriya nga adunay taas nga lebel sa seguridad, diin ang kaluwasan ang nag-una. Nahitabo kini sa usa ka komersyal nga istruktura, apan sa sulod sa gambalay sa usa ka bulag nga dibisyon, ang trabaho nga usa ka medyo static ug matag-an nga proseso.

Ang nag-unang bentaha sa pagdumala nga nakabase sa papel mao ang pagpayano sa pag-isyu sa mga katungod, tungod kay ang gidaghanon sa mga tahas labi ka gamay kaysa sa gidaghanon sa mga tiggamit sa sistema sa kasayuran. Ug kini tinuod alang sa bisan unsang industriya.

Atong kuhaon ang usa ka retail nga kompanya: kini naggamit sa liboan ka mga salespeople, apan sila adunay sama nga hugpong sa mga katungod sa sistema N, ug usa lamang ka papel ang pagahimoon alang kanila. Kung ang usa ka bag-ong salesperson moabut sa kompanya, awtomatiko nga gi-assign siya sa gikinahanglan nga papel sa sistema, nga naa na ang tanan nga kinahanglan nga awtoridad. Usab, sa usa ka pag-klik mahimo nimong usbon ang mga katungod alang sa libu-libo nga mga namaligya sa usa ka higayon, pananglitan, pagdugang usa ka bag-ong kapilian alang sa paghimo og usa ka taho. Dili kinahanglan nga buhaton ang usa ka libo nga mga operasyon, pag-link sa usa ka bag-ong katungod sa matag account - idugang lang kini nga kapilian sa papel, ug kini makita sa tanan nga mga tigbaligya sa parehas nga oras.

Laing bentaha sa pagdumala nga gibase sa papel mao ang pagwagtang sa pag-isyu sa dili magkatugma nga mga pagtugot. Sa ato pa, ang usa ka empleyado nga adunay usa ka piho nga papel sa sistema dili mahimo nga dungan nga adunay lain nga papel, nga ang mga katungod dili kinahanglan iupod sa mga katungod sa una. Ang usa ka talagsaong pananglitan mao ang pagdili sa paghiusa sa mga gimbuhaton sa input ug pagkontrol sa usa ka pinansyal nga transaksyon.

Bisan kinsa nga interesado kung giunsa nahimo ang kontrol sa pag-access nga nakabase sa papel mahimo
mosalom sa kasaysayan
Kung atong tan-awon ang kasaysayan, ang komunidad sa IT una nga naghunahuna bahin sa mga pamaagi sa pagkontrol sa pag-access balik kaniadtong 70s sa ika-XNUMX nga siglo. Bisan kung ang mga aplikasyon yano ra kaniadto, sama sa karon, gusto gyud sa tanan nga dali nga madumala ang pag-access niini. Paghatag, pagbag-o ug pagkontrol sa mga katungod sa tiggamit - aron mas dali masabtan kung unsa ang pag-access sa matag usa kanila. Apan niadtong panahona walay komon nga mga sumbanan, ang unang mga sistema sa pagkontrol sa pag-access gipalambo, ug ang matag kompaniya gibase sa kaugalingong mga ideya ug mga lagda.

Daghang lain-laing mga modelo sa kontrol sa pag-access ang nahibal-an na karon, apan wala kini makita dayon. Atong hisgotan ang mga nakahatag ug dakong kontribusyon sa pag-uswag niining dapita.

Ang una ug tingali ang pinakasimple nga modelo mao Discretionary (selective) nga kontrol sa pag-access (DAC – Discretionary access control). Kini nga modelo nagpasabot sa pagpaambit sa mga katungod sa tanang partisipante sa proseso sa pag-access. Ang matag user adunay access sa piho nga mga butang o mga operasyon. Sa esensya, dinhi ang hugpong sa mga hilisgutan sa mga katungod katumbas sa hugpong sa mga butang. Kini nga modelo nakit-an nga labi ka flexible ug lisud kaayo nga mapadayon: ang mga lista sa pag-access sa kadugayan nahimong dako ug lisud kontrolahon.

Ang ikaduha nga modelo mao ang Mandatory nga access control (MAC - Mandatory access control). Sumala niini nga modelo, ang matag user makadawat og access sa usa ka butang subay sa gi-isyu nga access sa usa ka partikular nga lebel sa data confidentiality. Subay niini, ang mga butang kinahanglan nga ma-categorize sumala sa ilang lebel sa pagkakompidensyal. Dili sama sa una nga flexible nga modelo, kini nga usa, sa kasukwahi, nahimo nga estrikto kaayo ug higpit. Ang paggamit niini dili makatarunganon kung ang kompanya adunay daghang lainlaing mga kapanguhaan sa kasayuran: aron magkalainlain ang pag-access sa lainlaing mga kapanguhaan, kinahanglan nimo nga ipaila ang daghang mga kategorya nga dili mag-overlap.

Tungod sa dayag nga pagkadili hingpit niining duha ka mga pamaagi, ang komunidad sa IT nagpadayon sa paghimo og mga modelo nga mas flexible ug sa samang higayon mas daghan o dili kaayo unibersal aron suportahan ang lain-laing mga matang sa mga polisiya sa pagkontrol sa pag-access sa organisasyon. Ug unya kini nagpakita ang ikatulo nga role-based access control model! Ang kini nga pamaagi napamatud-an nga labing gisaad tungod kay kini nanginahanglan dili lamang pagtugot sa identidad sa tiggamit, apan usab ang iyang mga gimbuhaton sa operasyon sa mga sistema.

Ang una nga tin-aw nga gihulagway nga modelo nga istruktura gisugyot sa mga Amerikanong siyentipiko nga si David Ferrailo ug Richard Kuhn gikan sa US National Institute of Standards and Technology kaniadtong 1992. Unya ang termino unang mitungha RBAC (Role-based access control). Kini nga mga pagtuon ug paghubit sa mga nag-unang sangkap, ingon man ang ilang mga relasyon, nahimong sukaranan sa sumbanan sa INCITS 359-2012, nga gipatuman gihapon karon, nga gi-aprubahan sa International Committee on Information Technology Standards (INCITS).

Gihubit sa sumbanan ang usa ka tahas ingon "usa ka gimbuhaton sa trabaho sa konteksto sa usa ka organisasyon nga adunay pipila nga kaubang mga semantiko bahin sa awtoridad ug responsibilidad nga gihatag sa tiggamit nga gi-assign sa tahas." Ang dokumento nagtukod sa mga batakang elemento sa RBAC - mga tiggamit, mga sesyon, mga tahas, mga permiso, mga operasyon ug mga butang, ingon man ang mga relasyon ug mga koneksyon tali kanila.

Ang sumbanan naghatag sa labing gamay nga kinahanglanon nga istruktura alang sa pagtukod og usa ka modelo - paghiusa sa mga katungod ngadto sa mga tahas ug dayon paghatag og access sa mga tiggamit pinaagi niini nga mga tahas. Ang mga mekanismo sa paghimo og mga tahas gikan sa mga butang ug mga operasyon gilatid, ang hierarchy sa mga tahas ug kabilin sa mga gahum gihulagway. Pagkahuman, sa bisan unsang kompanya adunay mga tahas nga naghiusa sa mga sukaranan nga gahum nga gikinahanglan alang sa tanan nga mga empleyado sa kompanya. Mahimo kini nga pag-access sa email, EDMS, portal sa korporasyon, ug uban pa. Kini nga mga permiso mahimong maapil sa usa ka kinatibuk-ang tahas nga gitawag ug "empleyado", ug dili na kinahanglan nga ilista ang tanan nga sukaranan nga mga katungod nga balik-balik sa matag usa sa mas taas nga lebel nga mga tahas. Igo na lang nga ipakita ang kinaiya sa kabilin sa papel nga "empleyado".

Pagtukod og usa ka role-based nga access control model. Unang bahin, pagpangandam

Sa ulahi, ang sumbanan gidugangan sa bag-ong mga hiyas sa pag-access nga may kalabutan sa kanunay nga pagbag-o sa palibot. Ang abilidad sa pagpaila sa static ug dinamikong mga pagdili gidugang. Ang mga static nagpasabot sa imposibilidad sa paghiusa sa mga tahas (sama nga input ug pagkontrol sa mga operasyon nga gihisgutan sa ibabaw). Ang dinamikong mga pagdili mahimong matino pinaagi sa pagbag-o sa mga parameter, pananglitan, oras (oras sa pagtrabaho / dili pagtrabaho o mga adlaw), lokasyon (opisina / balay), ug uban pa.

Kini angay nga hisgutan nga gilain kontrol sa pag-access nga gibase sa hiyas (ABAC - Kontrol sa pag-access nga gibase sa Attribute). Ang pamaagi gibase sa paghatag og access gamit ang attribute sharing rules. Kini nga modelo mahimong gamiton nga gilain, apan sa kasagaran kini aktibo nga nagpuno sa klasiko nga modelo sa papel: ang mga kinaiya sa mga tiggamit, mga kahinguhaan ug mga himan, ingon man ang oras o lokasyon, mahimong idugang sa usa ka piho nga papel. Gitugotan ka niini nga magamit ang labi ka gamay nga mga tahas, ipaila ang dugang nga mga pagdili ug himuon ang pag-access nga labing gamay kutob sa mahimo, ug busa mapaayo ang seguridad.

Pananglitan, ang usa ka accountant mahimong tugutan nga maka-access sa mga account kung nagtrabaho siya sa usa ka rehiyon. Unya ang lokasyon sa espesyalista itandi sa usa ka piho nga kantidad sa pakisayran. O makahatag ka og access sa mga account lamang kung ang user mo-log in gikan sa usa ka device nga gilakip sa listahan sa mga gitugutan. Usa ka maayo nga pagdugang sa usa ka sulondan, apan panagsa ra nga gigamit sa iyang kaugalingon tungod sa panginahanglan sa paghimo og daghang mga lagda ug mga lamesa sa pagtugot o mga pagdili.

Hatagan ko ikaw usa ka pananglitan sa paggamit sa ABAC gikan sa akong "kaniadto nga kinabuhi". Ang among bangko adunay daghang mga sanga. Ang mga empleyado sa mga opisina sa kliyente sa kini nga mga sanga naghimo sa parehas nga operasyon, apan kinahanglan nga magtrabaho sa panguna nga sistema lamang sa mga account sa ilang rehiyon. Una, nagsugod kami sa paghimo og bulag nga mga tahas alang sa matag rehiyon - ug adunay daghan kaayo nga mga tahas nga adunay balik-balik nga pagpaandar, apan adunay pag-access sa lainlaing mga account! Unya, pinaagi sa paggamit sa usa ka lokasyon nga hiyas alang sa user ug sa pag-asoy niini sa usa ka piho nga han-ay sa mga account sa pagribyu, kita sa kamahinungdanon pagkunhod sa gidaghanon sa mga tahas sa sistema. Ingon usa ka sangputanan, ang mga tahas nagpabilin alang sa usa lamang ka sanga, nga gisundog alang sa katugbang nga mga posisyon sa tanan nga ubang mga dibisyon sa teritoryo sa bangko.

Karon maghisgot kita mahitungod sa gikinahanglan nga mga lakang sa pag-andam, nga kung wala kini imposible nga magtukod og usa ka sulondan sa pagtrabaho.

Lakang 1. Paghimo og functional model

Kinahanglan ka magsugod pinaagi sa paghimo sa usa ka praktikal nga modelo - usa ka taas nga lebel nga dokumento nga naghulagway sa detalye sa pagpaandar sa matag departamento ug matag posisyon. Ingon sa usa ka lagda, ang impormasyon mosulod niini gikan sa nagkalain-laing mga dokumento: mga paghulagway sa trabaho ug mga regulasyon alang sa tagsa-tagsa nga mga yunit - mga departamento, mga dibisyon, mga departamento. Ang functional nga modelo kinahanglan nga magkauyon sa tanan nga interesado nga mga departamento (negosyo, internal nga kontrol, seguridad) ug aprobahan sa pagdumala sa kompanya. Para sa unsa kini nga dokumento? Aron ang sulondan makatumong niini. Pananglitan, maghimo ka usa ka modelo nga gibase sa mga katungod sa mga empleyado - gidiskarga gikan sa sistema ug "gipaubos sa usa ka sagad nga denominator". Pagkahuman, kung nag-uyon sa nadawat nga mga tahas sa tag-iya sa negosyo sa sistema, mahimo nimong i-refer ang usa ka piho nga punto sa modelo nga magamit, kung diin kini o kana nga katungod gilakip sa papel.

Lakang 2. Among gi-audit ang mga sistema sa IT ug naghimog plano sa pag-prayoridad

Sa ikaduha nga yugto, kinahanglan ka magpahigayon usa ka pag-audit sa mga sistema sa IT aron mahibal-an kung giunsa ang pag-access sa kanila. Pananglitan, ang akong pinansyal nga kompanya nag-operate ug pipila ka gatos nga sistema sa impormasyon. Ang tanan nga mga sistema adunay pipila ka mga sukaranan sa pagdumala nga gibase sa papel, kadaghanan adunay pipila ka mga tahas, apan kasagaran sa papel o sa direktoryo sa sistema - dugay na sila nga wala sa panahon, ug ang pag-access niini gihatag base sa aktwal nga mga hangyo sa tiggamit. Siyempre, imposible nga magtukod usa ka modelo sa daghang gatos nga mga sistema sa usa ka higayon; kinahanglan ka magsugod sa usa ka lugar. Naghimo kami usa ka lawom nga pagtuki sa proseso sa pagkontrol sa pag-access aron mahibal-an ang lebel sa pagkahamtong. Atol sa proseso sa pag-analisa, ang mga pamatasan alang sa pag-una sa mga sistema sa kasayuran naugmad - pagka-kritikal, pagkaandam, mga plano alang sa pag-decommissioning, ug uban pa. Uban sa ilang tabang, among gilinya ang pag-uswag/pag-update sa mga modelo alang niini nga mga sistema. Ug dayon gilakip namo ang mga role model sa plano alang sa pag-integrate sa Identity Management solution aron ma-automate ang access control.

Busa unsaon nimo pagtino ang pagka-kritikal sa usa ka sistema? Tubaga ang imong kaugalingon sa mosunod nga mga pangutana:

  • Nalambigit ba ang sistema sa mga proseso sa operasyon diin nagsalig ang panguna nga mga kalihokan sa kompanya?
  • Ang pagkaguba ba sa sistema makaapekto sa integridad sa mga kabtangan sa kompanya?
  • Unsa ang labing taas nga gitugotan nga downtime sa sistema, nga makaabut nga imposible nga mapasig-uli ang kalihokan pagkahuman sa usa ka pagkabalda?
  • Mahimo ba nga ang usa ka paglapas sa integridad sa impormasyon sa sistema mosangpot sa dili mausab nga mga sangputanan, pinansyal ug reputasyon?
  • Kritikal sa pagpanglimbong. Ang presensya sa pagpaandar, kung dili makontrol sa husto, mahimong mosangput sa internal/eksternal nga pagpanglimbong nga mga aksyon;
  • Unsa ang mga ligal nga kinahanglanon ug internal nga mga lagda ug pamaagi alang niini nga mga sistema? Aduna bay mga multa gikan sa mga regulator sa dili pagsunod?

Sa among financial company, nagpahigayon mi ug audit nga ingon ani. Gipalambo sa pagdumala ang pamaagi sa pag-audit sa Pagrepaso sa Mga Katungod sa Pag-access aron tan-awon una ang mga naglungtad nga tiggamit ug katungod sa mga sistema sa impormasyon nga naa sa labing taas nga lista sa prayoridad. Ang departamento sa seguridad gi-assign isip tag-iya niini nga proseso. Apan aron makakuha usa ka kompleto nga litrato sa mga katungod sa pag-access sa kompanya, kinahanglan nga iapil ang mga departamento sa IT ug negosyo sa proseso. Ug dinhi nagsugod ang mga panaglalis, dili pagsinabtanay, ug usahay bisan sabotahe: walay usa nga gusto nga mobulag sa ilang mga responsibilidad karon ug moapil sa pipila, sa unang pagtan-aw, dili masabtan nga mga kalihokan.

NB Ang mga dagkong kompanya nga adunay mga naugmad nga mga proseso sa IT lagmit pamilyar sa pamaagi sa pag-audit sa IT - mga kinatibuk-ang kontrol sa IT (ITGC), nga nagtugot kanimo sa pag-ila sa mga kakulangan sa mga proseso sa IT ug pag-establisar sa kontrol aron mapaayo ang mga proseso uyon sa labing kaayo nga praktis (ITIL, COBIT, IT Pagdumala ug uban pa) Ang ingon nga pag-audit nagtugot sa IT ug negosyo nga mas makasabut sa usag usa ug makapalambo sa usa ka hiniusang estratehiya sa pag-uswag, pag-analisar sa mga risgo, pag-optimize sa mga gasto, ug paghimo og mas epektibo nga mga pamaagi sa pagtrabaho.

Pagtukod og usa ka role-based nga access control model. Unang bahin, pagpangandam

Usa sa mga lugar sa pag-audit mao ang pagtino sa mga parameter sa lohikal ug pisikal nga pag-access sa mga sistema sa kasayuran. Among gikuha ang datos nga nakuha isip basehanan para sa dugang nga paggamit sa pagtukod og usa ka sulondan. Ingon usa ka sangputanan sa kini nga pag-audit, kami adunay usa ka rehistro sa mga sistema sa IT, diin ang ilang mga teknikal nga parameter gitino ug gihatag ang mga paghulagway. Dugang pa, alang sa matag sistema, usa ka tag-iya ang giila gikan sa direksyon sa negosyo diin ang mga interes niini gipadagan: siya ang responsable sa mga proseso sa negosyo nga gisilbihan niini nga sistema. Gitudlo usab ang usa ka manager sa serbisyo sa IT, responsable sa teknikal nga pagpatuman sa mga panginahanglanon sa negosyo alang sa usa ka piho nga IS. Ang labing kritikal nga mga sistema alang sa kompanya ug ang ilang mga teknikal nga parameter, mga termino sa pag-commissioning ug decommissioning, ug uban pa ang natala.

Lakang 3 Paghimo usa ka pamaagi

Ang yawe sa kalampusan sa bisan unsang negosyo mao ang husto nga pamaagi. Busa, ang duha aron magtukod usa ka modelo ug magpahigayon usa ka pag-audit, kinahanglan namon nga maghimo usa ka pamaagi diin gihulagway namon ang interaksyon tali sa mga departamento, magtukod mga responsibilidad sa mga regulasyon sa kompanya, ug uban pa.
Una kinahanglan nimo nga susihon ang tanan nga magamit nga mga dokumento nga nagtukod sa pamaagi alang sa paghatag access ug mga katungod. Sa maayo nga paagi, ang mga proseso kinahanglan nga dokumentado sa daghang lebel:

  • kinatibuk-ang kinahanglanon sa korporasyon;
  • mga kinahanglanon alang sa mga lugar sa seguridad sa kasayuran (depende sa mga lugar sa mga kalihokan sa organisasyon);
  • mga kinahanglanon alang sa mga proseso sa teknolohiya (mga instruksyon, access matrice, mga giya, mga kinahanglanon sa pag-configure).

Sa among kompanya sa pinansya, nakit-an namon ang daghang mga karaan nga mga dokumento; kinahanglan namon nga dad-on kini subay sa mga bag-ong proseso nga gipatuman.

Pinaagi sa han-ay sa pagdumala, usa ka working group ang gihimo, nga naglakip sa mga representante gikan sa seguridad, IT, negosyo ug internal nga kontrol. Ang han-ay naglatid sa mga tumong sa paghimo sa grupo, ang direksyon sa kalihokan, ang panahon sa paglungtad ug ang mga responsable sa matag kilid. Dugang pa, naghimo kami og usa ka pamaagi sa pag-audit ug usa ka pamaagi alang sa pagtukod og usa ka role model: sila gikasabutan sa tanang responsable nga mga representante sa mga lugar ug gi-aprobahan sa pagdumala sa kompanya.

Mga dokumento nga naghulagway sa pamaagi sa pagbuhat sa trabaho, mga deadline, mga responsibilidad, ug uban pa. - usa ka garantiya nga sa pagpaingon sa gimahal nga katuyoan, nga sa sinugdan dili klaro sa tanan, wala’y usa nga adunay pangutana "ngano nga gibuhat naton kini, ngano nga kinahanglan naton kini, ug uban pa." ug walay kahigayonan nga “molukso” o mohinay sa proseso.

Pagtukod og usa ka role-based nga access control model. Unang bahin, pagpangandam

Lakang 4. Pag-ayo sa mga parameter sa kasamtangan nga access control model

Naghimo kami og usa ka gitawag nga "system passport" sa mga termino sa pagkontrol sa pag-access. Sa esensya, kini usa ka pangutana sa usa ka piho nga sistema sa kasayuran, nga nagrekord sa tanan nga mga algorithm alang sa pagkontrol sa pag-access niini. Ang mga kompanya nga nagpatuman na sa mga solusyon sa klase sa IdM lagmit pamilyar sa ingon nga pangutana, tungod kay dinhi nagsugod ang pagtuon sa mga sistema.

Ang pipila ka mga parameter bahin sa sistema ug mga tag-iya midagayday sa pangutana gikan sa rehistro sa IT (tan-awa ang lakang 2, pag-audit), apan ang mga bag-o gidugang usab:

  • giunsa pagdumala ang mga account (direkta sa database o pinaagi sa mga interface sa software);
  • kung giunsa ang mga tiggamit pag-log in sa sistema (gamit ang usa ka lahi nga account o paggamit sa usa ka AD account, LDAP, ug uban pa);
  • unsa nga lebel sa pag-access sa sistema ang gigamit (ang-ang sa aplikasyon, lebel sa sistema, paggamit sa sistema sa mga kapanguhaan sa file sa network);
  • paghulagway ug mga parameter sa mga server diin ang sistema nagdagan;
  • unsa nga mga operasyon sa pagdumala sa account ang gisuportahan (pag-block, pag-ilis sa ngalan, ug uban pa);
  • unsa nga mga algorithm o mga lagda ang gigamit sa pagmugna sa system user identifier;
  • unsa nga hiyas ang magamit sa pag-establisar og koneksyon sa rekord sa empleyado sa sistema sa personahe (tibuok nga ngalan, numero sa personahe, ug uban pa);
  • tanan nga posible nga mga kinaiya sa account ug mga lagda alang sa pagpuno niini;
  • unsa nga mga katungod sa pag-access ang anaa sa sistema (mga tahas, mga grupo, mga katungod sa atomic, ug uban pa, adunay mga salag o hierarchical nga mga katungod);
  • mga mekanismo sa pagbahin sa mga katungod sa pag-access (pinaagi sa posisyon, departamento, gamit, ug uban pa);
  • Ang sistema ba adunay mga lagda alang sa paglainlain sa mga katungod (SOD - Pagbulag sa mga Katungdanan), ug giunsa kini pagtrabaho;
  • kung giunsa ang mga panghitabo sa pagkawala, pagbalhin, pagtangtang, pag-update sa datos sa empleyado, ug uban pa giproseso sa sistema.

Kini nga lista mahimong ipadayon, nga nagdetalye sa lainlaing mga parameter ug uban pang mga butang nga nahilambigit sa proseso sa pagkontrol sa pag-access.

Lakang 5. Paghimo ug negosyo-oriented nga paghulagway sa mga permiso

Ang laing dokumento nga atong gikinahanglan sa dihang magtukod ug usa ka sulondan mao ang usa ka reperensiya nga libro sa tanang posibleng gahom (mga katungod) nga mahatag ngadto sa mga tiggamit sa sistema sa impormasyon nga adunay detalyadong paghubit sa gimbuhaton sa negosyo nga nagbarog luyo niini. Kasagaran, ang mga awtoridad sa sistema gi-encrypt nga adunay piho nga mga ngalan nga gilangkuban sa mga letra ug numero, ug ang mga empleyado sa negosyo dili mahibal-an kung unsa ang naa sa luyo niini nga mga simbolo. Unya moadto sila sa serbisyo sa IT, ug didto... dili usab nila matubag ang pangutana, pananglitan, bahin sa panagsa ra nga gigamit nga mga katungod. Unya dugang nga pagsulay kinahanglan nga buhaton.

Maayo kung aduna nay deskripsyon sa negosyo o bisan kung adunay kombinasyon niini nga mga katungod ngadto sa mga grupo ug mga tahas. Alang sa pipila nga mga aplikasyon, ang labing kaayo nga praktis mao ang paghimo sa ingon nga usa ka pakisayran sa yugto sa pag-uswag. Apan dili kini kanunay nga mahitabo, busa moadto kami pag-usab sa departamento sa IT aron mangolekta og kasayuran bahin sa tanan nga posible nga mga katungod ug ihulagway kini. Ang among giya sa katapusan maglakip sa mosunod:

  • ngalan sa awtoridad, lakip ang butang diin ang katungod sa pag-access magamit;
  • usa ka aksyon nga gitugotan nga buhaton sa usa ka butang (pagtan-aw, pagbag-o, ug uban pa, ang posibilidad sa pagdili, pananglitan, pinaagi sa sukaranan sa teritoryo o sa grupo sa mga kliyente);
  • kodigo sa pagtugot (kodigo ug ngalan sa function/hangyo sa sistema nga mahimong ipatuman gamit ang pagtugot);
  • paghulagway sa awtoridad (detalyadong paghulagway sa mga aksyon sa IS sa diha nga ang paggamit sa awtoridad ug sa ilang mga sangputanan alang sa proseso;
  • status sa pagtugot: "Aktibo" (kon ang pagtugot gihatag sa labing menos usa ka user) o "Dili aktibo" (kon ang pagtugot wala gigamit).

Lakang 6 Nag-download kami og mga datos mahitungod sa mga tiggamit ug mga katungod gikan sa mga sistema ug itandi kini sa tinubdan sa mga kawani

Sa katapusan nga yugto sa pagpangandam, kinahanglan nimo nga i-download ang datos gikan sa mga sistema sa impormasyon bahin sa tanan nga tiggamit ug ang mga katungod nga naa nila karon. Adunay duha ka posible nga mga senaryo dinhi. Una: ang departamento sa seguridad adunay direktang pag-access sa sistema ug adunay mga paagi sa pag-download sa mga may kalabutan nga mga taho, nga dili kanunay mahitabo, apan sayon ​​​​kaayo. Ikaduha: nagpadala kami usa ka hangyo sa IT aron makadawat mga taho sa gikinahanglan nga pormat. Gipakita sa kasinatian nga dili posible nga makigsabot sa IT ug makuha ang gikinahanglan nga datos sa unang higayon. Gikinahanglan ang paghimo og daghang mga pamaagi hangtod ang kasayuran madawat sa gusto nga porma ug pormat.

Unsa nga datos ang kinahanglan i-download:

  • Ngalan sa account
  • Bug-os nga ngalan sa empleyado nga gi-assign niini
  • Status (aktibo o gibabagan)
  • Petsa sa paghimo sa account
  • Petsa sa katapusang paggamit
  • Listahan sa anaa nga mga katungod/mga grupo/mga tahas

Busa, nakadawat kami og mga pag-download gikan sa sistema uban sa tanang tiggamit ug tanang katungod nga gihatag kanila. Ug gisalikway dayon nila ang tanan nga gi-block nga mga account, tungod kay ang pagtrabaho sa paghimo og usa ka modelo nga modelo himuon lamang alang sa mga aktibo nga tiggamit.

Unya, kung ang imong kompanya walay awtomatik nga paagi sa pagbabag sa pag-access sa mga gipabuthan nga mga empleyado (kini kanunay mahitabo) o adunay patchwork automation nga dili kanunay molihok sa husto, kinahanglan nimo nga mailhan ang tanan nga "patay nga mga kalag." Naghisgut kami mahitungod sa mga asoy sa mga empleyado nga gipalagpot na, kansang mga katungod wala gibabagan tungod sa pipila ka rason - kinahanglan sila nga babagan. Aron mahimo kini, atong itandi ang gi-upload nga datos sa tinubdan sa personnel. Ang pagdiskarga sa mga kawani kinahanglan usab nga makuha daan gikan sa departamento nga nagmintinar sa database sa mga kawani.

Sa tagsa-tagsa, gikinahanglan nga ihiklin ang mga account kansang mga tag-iya wala makit-an sa database sa mga personahe, dili gi-assign sa bisan kinsa - nga mao, walay tag-iya. Gamit kini nga lista, kinahanglan namon ang petsa sa katapusan nga paggamit: kung kini bag-o pa, kinahanglan namon pangitaon ang mga tag-iya. Mahimong maglakip kini sa mga account sa mga eksternal nga kontraktor o mga account sa serbisyo nga wala gi-assign sa bisan kinsa, apan adunay kalabotan sa bisan unsang mga proseso. Aron mahibal-an kung kinsa ang mga account, mahimo nimong ipadala ang mga sulat sa tanan nga mga departamento nga hangyoon sila nga motubag. Kung makit-an ang mga tag-iya, gisulod namon ang datos bahin kanila sa sistema: niining paagiha, ang tanan nga aktibo nga mga account mailhan, ug ang uban gibabagan.

Sa diha nga ang among mga pag-upload matangtang sa wala kinahanglana nga mga rekord ug ang mga aktibo nga account na lang ang nahabilin, mahimo namong magsugod sa paghimo og usa ka modelo alang sa usa ka piho nga sistema sa kasayuran. Apan sultihan ko ikaw bahin niini sa sunod nga artikulo.

Awtor: Lyudmila Sevastyanova, tagdumala sa promosyon sa Solar inRights

Source: www.habr.com

Idugang sa usa ka comment