پرو هوسٽر > بلاگ > انتظاميه > اسان رول تي ٻڌل رسائي ڪنٽرول ماڊل ٺاهي رهيا آهيون. حصو پهريون، تياري

اسان رول تي ٻڌل رسائي ڪنٽرول ماڊل ٺاهي رهيا آهيون. حصو پهريون، تياري

مان هن وقت هڪ سافٽ ويئر وينڊر لاءِ ڪم ڪريان ٿو، خاص طور تي رسائي ڪنٽرول حل. ۽ منهنجو تجربو "گذريل زندگي کان" ڪسٽمر جي پاسي سان ڳنڍيل آهي - هڪ وڏي مالي تنظيم. ان وقت، انفارميشن سيڪيورٽي ڊپارٽمينٽ ۾ اسان جي رسائي ڪنٽرول گروپ IdM ۾ وڏي قابليت جو فخر نه ڪري سگهيو. اسان پروسيس ۾ تمام گهڻو سکيو، اسان کي ڪمپني ۾ معلومات سسٽم ۾ صارف جي حقن کي منظم ڪرڻ لاء ڪم ڪندڙ ميڪانيزم ٺاهڻ لاء تمام گهڻو ڌڪ هڻڻو پيو.
اسان رول تي ٻڌل رسائي ڪنٽرول ماڊل ٺاهي رهيا آهيون. حصو پهريون، تياري
وينڊر جي ڄاڻ ۽ صلاحيتن سان منهنجي محنت سان حاصل ڪيل ڪسٽمر تجربو کي گڏ ڪندي، مان توهان سان لازمي طور تي قدم قدم جي هدايتن سان حصيداري ڪرڻ چاهيان ٿو: هڪ وڏي ڪمپني ۾ رول تي ٻڌل رسائي ڪنٽرول ماڊل ڪيئن ٺاهيو، ۽ اهو نتيجو ڇا ڏيندو. . منهنجون هدايتون ٻن حصن تي مشتمل آهن: پهريون ماڊل ٺاهڻ لاءِ تيار ٿي رهيو آهي، ٻيو اصل ۾ عمارت آهي. هتي پهريون حصو آهي، تياري وارو حصو.

اين بي هڪ رول ماڊل تعمير ڪرڻ، بدقسمتي سان، نتيجو نه، پر هڪ عمل آهي. يا بلڪه، ڪمپني ۾ رسائي ڪنٽرول ايڪو سسٽم ٺاهڻ جي عمل جو پڻ حصو. تنهن ڪري هڪ ڊگهي وقت تائين راند لاء تيار ٿي وڃو.

پهرين، اچو ته ان جي وضاحت ڪريون - ڪردار تي ٻڌل رسائي ڪنٽرول ڇا آهي؟ فرض ڪريو ته توهان وٽ ڏهن، يا سوين هزارين ملازمن (ادارن) سان گڏ هڪ وڏي بئنڪ آهي، جن مان هر هڪ کي سوين اندروني بئنڪ انفارميشن سسٽم (شيون) تائين درجنين تائين رسائي جا حق آهن. ھاڻي شيون جي تعداد کي مضمونن جي تعداد سان ضرب ڪريو - ھي ڪنيڪشن جو گھٽ ۾ گھٽ تعداد آھي جيڪو توھان کي پھريون ٺاھيو ۽ پوءِ ڪنٽرول ڪرڻ گھرجي. ڇا اهو واقعي ممڪن آهي ته اهو دستي طور تي ڪيو وڃي؟ يقينا نه - هن مسئلي کي حل ڪرڻ لاء ڪردار ٺاهيا ويا.

هڪ ڪردار اجازتن جو هڪ سيٽ آهي جيڪو صارف يا صارفين جي گروپ کي ڪجهه ڪم جي ڪمن کي انجام ڏيڻ جي ضرورت آهي. هر ملازم هڪ يا وڌيڪ ڪردار ڪري سگهي ٿو، ۽ هر ڪردار ۾ هڪ کان وٺي ڪيترن ئي اجازتن تي مشتمل ٿي سگھي ٿو جيڪا صارف کي ان ڪردار جي اندر جي اجازت ڏني وئي آهي. ڪردارن کي مخصوص پوزيشن، شعبن يا ملازمن جي فنڪشنل ڪمن سان ڳنڍجي سگھجي ٿو.

اسان رول تي ٻڌل رسائي ڪنٽرول ماڊل ٺاهي رهيا آهيون. حصو پهريون، تياري

ڪردار عام طور تي هر معلوماتي سسٽم ۾ انفرادي ملازم اختيارين مان ٺاهيا ويندا آهن. پوءِ هر نظام جي ڪردارن مان عالمي ڪاروباري ڪردار ٺاهيا ويندا آهن. مثال طور، ڪاروباري ڪردار "ڪريڊٽ مئنيجر" ۾ معلوماتي سسٽم ۾ ڪيترائي الڳ ڪردار شامل هوندا جيڪي بينڪ جي ڪسٽمر آفيس ۾ استعمال ڪيا ويندا آهن. مثال طور، جهڙوڪ مکيه خودڪار بينڪنگ سسٽم، نقد ماڊل، اليڪٽرانڪ دستاويز مينيجمينٽ سسٽم، سروس مينيجر ۽ ٻيا. ڪاروباري ڪردار، ضابطي جي طور تي، تنظيمي ڍانچي سان ڳنڍيل آهن - ٻين لفظن ۾، ڪمپني ڊويزن جي سيٽ ۽ انهن ۾ پوزيشن. هي ڪيئن هڪ عالمي ڪردار ميٽرڪس ٺهيل آهي (آئون هيٺ ڏنل جدول ۾ هڪ مثال ڏيان ٿو).

اسان رول تي ٻڌل رسائي ڪنٽرول ماڊل ٺاهي رهيا آهيون. حصو پهريون، تياري

اها ڳالهه نوٽ ڪرڻ جي قابل آهي ته ان کي هڪ 100٪ رول ماڊل تعمير ڪرڻ ناممڪن آهي، هڪ تجارتي جوڙجڪ ۾ هر پوزيشن جي ملازمن لاء سڀ ضروري حق مهيا ڪري. ها، اهو ضروري ناهي. سڀ کان پوء، هڪ رول ماڊل جامد نه ٿي سگهي، ڇاڪاڻ ته اهو مسلسل تبديل ٿيندڙ ماحول تي منحصر آهي. ۽ ڪمپني جي ڪاروباري سرگرمين ۾ تبديلين کان، جيڪو، مطابق، تنظيمي ڍانچي ۽ ڪارڪردگي ۾ تبديلين کي متاثر ڪري ٿو. ۽ وسيلن جي مڪمل روزي جي کوٽ کان، ۽ نوڪري جي وضاحتن جي غير تعميل کان، ۽ حفاظت جي خرچ تي منافعي جي خواهش کان، ۽ ٻين ڪيترن ئي عنصرن کان. تنهن ڪري، اهو ضروري آهي ته هڪ رول ماڊل ٺاهيو وڃي جيڪو 80٪ تائين صارف جي ضرورتن کي پورو ڪري سگهي ٿو ضروري بنيادي حقن لاء جڏهن پوزيشن تي لڳايو ويو آهي. ۽ اھي ڪري سگھن ٿا، جيڪڏھن ضروري ھجي، باقي 20٪ بعد ۾ الڳ الڳ ايپليڪيشنن تي درخواست ڪري سگھن ٿا.

يقينا، توهان پڇي سگهو ٿا: "ڇا هتي ڪا شيء ناهي 100٪ رول ماڊل؟" خير، ڇو، اهو ٿئي ٿو، مثال طور، غير منافع بخش اڏاوتن ۾ جيڪي بار بار تبديلين جي تابع نه آهن - ڪجهه تحقيقي ادارن ۾. يا فوجي-صنعتي پيچيده تنظيمن ۾ اعلي سطحي سيڪيورٽي سان، جتي حفاظت پهرين اچي ٿي. اهو هڪ تجارتي ڍانچي ۾ ٿئي ٿو، پر هڪ الڳ ڊويزن جي فريم ورڪ جي اندر، جنهن جو ڪم ڪافي جامد ۽ متوقع عمل آهي.

ڪردار جي بنياد تي انتظام جو بنيادي فائدو جاري ڪرڻ جي حقن کي آسان ڪرڻ آهي، ڇاڪاڻ ته ڪردارن جو تعداد معلوماتي سسٽم جي استعمال ڪندڙن جي تعداد کان تمام گهڻو گهٽ آهي. ۽ اهو ڪنهن به صنعت لاء صحيح آهي.

اچو ته هڪ پرچون ڪمپني وٺون: اها هزارين وڪرو ڪندڙ ماڻهن کي ملازمت ڏئي ٿي، پر انهن کي سسٽم N ۾ حقن جو ساڳيو سيٽ آهي، ۽ انهن لاء صرف هڪ ڪردار ٺاهيو ويندو. جڏهن ڪو نئون وڪرو ڪندڙ ڪمپني ۾ اچي ٿو، هن کي خودڪار طريقي سان سسٽم ۾ گهربل ڪردار تفويض ڪيو ويو آهي، جنهن ۾ اڳ ۾ ئي تمام ضروري اختيارات موجود آهن. انهي سان گڏ، هڪ ڪلڪ ۾ توهان هڪ ئي وقت هزارين وڪرو ڪندڙن جا حق تبديل ڪري سگهو ٿا، مثال طور، رپورٽ ٺاهڻ لاءِ نئون آپشن شامل ڪريو. هڪ هزار آپريشن ڪرڻ جي ڪا ضرورت ناهي، هر اڪائونٽ کي نئين حق سان ڳنڍڻ - صرف هن اختيار کي ڪردار ۾ شامل ڪريو، ۽ اهو هڪ ئي وقت سڀني وڪرو ڪندڙن لاء ظاهر ٿيندو.

ڪردار جي بنياد تي انتظام جو ٻيو فائدو غير مطابقت اختيارين جي جاري ٿيڻ جو خاتمو آهي. اهو آهي، هڪ ملازم جيڪو سسٽم ۾ هڪ خاص ڪردار آهي، هڪ ئي وقت ۾ ٻيو ڪردار نه ٿو ڪري سگهي، جنهن جا حق پهرين حقن سان گڏ نه هجن. هڪ شاندار مثال ان پٽ جي افعال کي گڏ ڪرڻ ۽ مالي ٽرانزيڪشن جي ڪنٽرول تي پابندي آهي.

ڪو به ماڻهو جيڪو دلچسپي رکي ٿو رول تي ٻڌل رسائي ڪنٽرول ڪيئن ٿي سگهي ٿي
تاريخ ۾ غرق
جيڪڏهن اسان تاريخ تي نظر رکون ٿا، آئي ٽي ڪميونٽي پهريون ڀيرو 70 صدي عيسويء جي XNUMXs ۾ رسائي ڪنٽرول طريقن جي باري ۾ سوچيو. جيتوڻيڪ ايپليڪيشنون ان وقت بلڪل ساديون هيون، جيئن هاڻي، هرڪو واقعي چاهيندو هو ته آسانيءَ سان انهن تائين پهچ جو انتظام ڪن. صارف جي حقن کي ڏيو، تبديل ڪريو ۽ ڪنٽرول ڪريو - صرف ان کي سمجھڻ آسان بڻائڻ لاءِ ته انھن مان ھر ھڪ کي ڪھڙي رسائي آھي. پر ان وقت ڪي به عام معيار نه هئا، پهرين رسائي ڪنٽرول سسٽم ٺاهيا ويا هئا، ۽ هر ڪمپني پنهنجي پنهنجي خيالن ۽ ضابطن تي ٻڌل هئي.

ڪيترائي مختلف رسائي ڪنٽرول ماڊل هاڻي سڃاتل آهن، پر اهي فوري طور تي ظاهر نه ٿيا. اچو ته انهن تي رهون جن هن علائقي جي ترقي ۾ اهم ڪردار ادا ڪيو آهي.

پهريون ۽ شايد سڀ کان سادو ماڊل آهي اختياري (چونڊيو) رسائي ڪنٽرول (DAC - اختياري رسائي ڪنٽرول). اهو نمونو سڀني شرڪت ڪندڙن جي رسائي جي عمل ۾ حقن جي حصيداري جو مطلب آهي. هر صارف کي مخصوص شيون يا عملن تائين رسائي آهي. اصل ۾، هتي حقن جي مضمونن جو مجموعو شين جي سيٽ سان ملندڙ جلندڙ آهي. هي ماڊل تمام لچڪدار ۽ برقرار رکڻ ڏاڍو ڏکيو مليو: رسائي لسٽون آخرڪار وڏيون ۽ ڪنٽرول ڪرڻ ڏکيو ٿي ويون.

ٻيو ماڊل آهي لازمي رسائي ڪنٽرول (MAC - لازمي رسائي ڪنٽرول). هن ماڊل جي مطابق، هر صارف هڪ اعتراض تائين رسائي حاصل ڪري ٿو جاري ڪيل رسائي جي مطابق ڊيٽا جي رازداري جي خاص سطح تائين. ان جي مطابق، شين کي انهن جي رازداري جي سطح جي مطابق درجه بندي ڪيو وڃي. پهرين لچڪدار ماڊل جي ابتڙ، هي هڪ، ان جي ابتڙ، تمام سخت ۽ محدود ٿي ويو. ان جو استعمال جائز نه آهي جڏهن ڪمپني وٽ ڪيترائي مختلف معلوماتي وسيلا آهن: مختلف وسيلن تائين رسائي کي الڳ ڪرڻ لاءِ، توهان کي ڪيترن ئي قسمن کي متعارف ڪرائڻو پوندو جيڪي اوورليپ نه ٿيندا.

انهن ٻن طريقن جي واضح نقصن جي ڪري، آئي ٽي ڪميونٽي ماڊلز کي ترقي ڪرڻ جاري رکيا آهن جيڪي وڌيڪ لچڪدار آهن ۽ ساڳئي وقت مختلف قسم جي تنظيمي رسائي ڪنٽرول پاليسين کي سپورٽ ڪرڻ لاءِ گهٽ يا گهٽ آفاقي. ۽ پوء اهو ظاهر ٿيو ٽيون ڪردار تي ٻڌل رسائي ڪنٽرول ماڊل! اهو طريقو تمام گهڻو واعدو ڪندڙ ثابت ٿيو آهي ڇاڪاڻ ته ان کي نه رڳو صارف جي سڃاڻپ جي اجازت ڏيڻ جي ضرورت آهي، پر سسٽم ۾ سندس آپريشنل ڪم پڻ.

پهريون واضح طور تي بيان ڪيل رول ماڊل ڍانچي آمريڪي سائنسدان ڊيوڊ فيريلو ۽ رچرڊ ڪوهن پاران 1992 ۾ يو ايس نيشنل انسٽيٽيوٽ آف معيار ۽ ٽيڪنالاجي مان پيش ڪيو ويو. ان کان پوء اصطلاح پهريون ڀيرو ظاهر ٿيو RBAC (رول تي ٻڌل رسائي ڪنٽرول). انهن مطالعي ۽ مکيه حصن جا تفصيل، گڏوگڏ انهن جي رشتي، INCITS 359-2012 معيار جي بنياد تي ٺاهي وئي، جيڪا اڄ به نافذ آهي، انفارميشن ٽيڪنالاجي معيار تي بين الاقوامي ڪميٽي (INCITS) پاران منظور ٿيل.

معيار هڪ ڪردار کي بيان ڪري ٿو "هڪ تنظيم جي حوالي سان هڪ نوڪري جو فنڪشن جيڪو ڪجهه لاڳاپيل لفظي معني سان لاڳاپيل اختيار ۽ ذميواري جي حوالي سان استعمال ڪندڙ کي تفويض ڪيل ڪردار جي حوالي سان." دستاويز RBAC جي بنيادي عنصرن کي قائم ڪري ٿو - استعمال ڪندڙ، سيشن، ڪردار، اجازتون، آپريشن ۽ شيون، انهي سان گڏ انهن جي وچ ۾ لاڳاپا ۽ ڪنيڪشن.

معيار رول ماڊل جي تعمير لاءِ گهٽ ۾ گهٽ ضروري ڍانچي مهيا ڪري ٿو - ڪردارن ۾ حقن کي گڏ ڪرڻ ۽ پوءِ انهن ڪردارن ذريعي صارفين تائين رسائي فراهم ڪرڻ. شيون ۽ عملن مان ڪردارن کي ترتيب ڏيڻ لاءِ ميکانيزم بيان ڪيا ويا آهن، ڪردارن جي درجي بندي ۽ طاقتن جي وراثت بيان ڪئي وئي آهي. آخرڪار، ڪنهن به ڪمپني ۾ اهڙا ڪردار آهن جيڪي بنيادي طاقتن کي گڏ ڪن ٿيون جيڪي ڪمپني جي سڀني ملازمن لاء ضروري آهن. اهو ٿي سگهي ٿو اي ميل تائين رسائي، EDMS، ڪارپوريٽ پورٽل، وغيره. اهي اجازتون هڪ عام ڪردار ۾ شامل ڪري سگهجن ٿيون جنهن کي ”ملازم“ سڏيو ويندو آهي، ۽ هر هڪ اعليٰ سطحي ڪردار ۾ سڀني بنيادي حقن کي بار بار فهرست ڪرڻ جي ضرورت نه پوندي. اهو صرف "ملازم" ڪردار جي وراثت جي خاصيت کي ظاهر ڪرڻ لاء ڪافي آهي.

اسان رول تي ٻڌل رسائي ڪنٽرول ماڊل ٺاهي رهيا آهيون. حصو پهريون، تياري

بعد ۾، معيار کي مسلسل تبديل ٿيندڙ ماحول سان لاڳاپيل نئين رسائي جي خاصيتن سان پورو ڪيو ويو. جامد ۽ متحرڪ پابنديون متعارف ڪرائڻ جي صلاحيت شامل ڪئي وئي آهي. جامد ڪردارن کي گڏ ڪرڻ جي ناممڪن کي ظاهر ڪن ٿا (مٿي ڄاڻايل عملن جو ساڳيو ان پٽ ۽ ڪنٽرول). متحرڪ پابنديون پيٽرول تبديل ڪندي طئي ڪري سگھجن ٿيون، مثال طور، وقت (ڪم ڪندڙ/غير ڪم جا ڪلاڪ يا ڏينهن)، مقام (آفيس/گهر) وغيره.

اهو الڳ الڳ ذڪر ڪرڻ جي قابل آهي خاصيت جي بنياد تي رسائي ڪنٽرول (ABAC - خاصيت جي بنياد تي رسائي ڪنٽرول). اهو طريقو انتساب شيئرنگ ضابطن کي استعمال ڪندي رسائي فراهم ڪرڻ تي ٻڌل آهي. هي ماڊل الڳ الڳ استعمال ڪري سگهجي ٿو، پر اڪثر ڪري اهو فعال طور تي کلاسک رول ماڊل کي پورو ڪري ٿو: صارفين جي خاصيتون، وسيلن ۽ ڊوائيسز، گڏوگڏ وقت يا مقام، هڪ خاص ڪردار ۾ شامل ڪري سگهجي ٿو. اهو توهان کي گهٽ ڪردار استعمال ڪرڻ جي اجازت ڏئي ٿو، اضافي پابنديون متعارف ڪرايو ۽ ممڪن حد تائين رسائي کي گهٽ ۾ گهٽ، ۽ انهي ڪري سيڪيورٽي کي بهتر بڻائي.

مثال طور، هڪ اڪائونٽنٽ کي اڪائونٽن تائين رسائي جي اجازت ڏئي سگهجي ٿي جيڪڏهن هو ڪنهن خاص علائقي ۾ ڪم ڪري. پوءِ ماهرن جي جڳھ کي ھڪڙي خاص حوالن جي قيمت سان ڀيٽيو ويندو. يا توهان اڪائونٽن تائين رسائي صرف ان صورت ۾ ڏئي سگهو ٿا جڏهن صارف اجازت وارن جي فهرست ۾ شامل ڊوائيس مان لاگ ان ٿئي ٿو. رول ماڊل لاءِ سٺو اضافو، پر اجازتن يا پابندين جي ڪيترن ئي قاعدن ۽ جدولن کي ٺاهڻ جي ضرورت جي ڪري تمام گهٽ استعمال ٿيل آهي.

اچو ته توهان کي منهنجي ”گذريل زندگي“ مان ABAC استعمال ڪرڻ جو هڪ مثال ڏيان. اسان جي بئنڪ جون ڪيتريون ئي شاخون هيون. انهن شاخن ۾ ڪلائنٽ آفيسن جا ملازم بلڪل ساڳيا آپريشن ڪندا هئا، پر انهن کي مکيه سسٽم ۾ صرف انهن جي علائقي ۾ اڪائونٽن سان ڪم ڪرڻو پوندو هو. پهرين، اسان هر علائقي لاءِ الڳ ڪردار ٺاهڻ شروع ڪيا - ۽ اهڙا ڪيترائي ڪردار هئا ورجائڻ واري ڪارڪردگيءَ سان، پر مختلف اڪائونٽن تائين رسائي سان! پوءِ، صارف لاءِ جڳھ جي خاصيت استعمال ڪندي ۽ ان کي جائزو وٺڻ لاءِ اڪائونٽن جي مخصوص حد سان ڳنڍڻ سان، اسان سسٽم ۾ ڪردارن جو تعداد گھٽائي ڇڏيو. نتيجي طور، ڪردار صرف ھڪڙي شاخ لاء رھيا، جيڪي بينڪ جي ٻين سڀني علائقائي ڊويزنن ۾ لاڳاپيل پوزيشن لاء نقل ڪيا ويا.

هاڻي اچو ته ضروري تياري جي قدمن جي باري ۾ ڳالهايون، جن جي بغير ڪم ڪندڙ رول ماڊل ٺاهڻ لاء ناممڪن آهي.

قدم 1. هڪ فنڪشنل ماڊل ٺاهيو

توهان کي هڪ فنڪشنل ماڊل ٺاهڻ سان شروع ڪرڻ گهرجي - هڪ اعلي سطحي دستاويز جيڪو تفصيل سان بيان ڪري ٿو هر ڊپارٽمينٽ ۽ هر پوزيشن جي ڪارڪردگي. ضابطي جي طور تي، معلومات ان کي مختلف دستاويزن مان داخل ڪري ٿو: نوڪري جا تفصيل ۽ ضابطا انفرادي يونٽن لاء - شعبن، ڊويزن، شعبن. فنڪشنل ماڊل تي سڀني دلچسپي شعبن سان اتفاق ڪيو وڃي (ڪاروبار، اندروني ڪنٽرول، سيڪيورٽي) ۽ ڪمپني جي انتظام طرفان منظور ٿيل. هن سند لاء ڇا آهي؟ ته جيئن رول ماڊل ان جي حوالي ڪري سگهي. مثال طور، توهان ملازمن جي موجوده حقن جي بنياد تي هڪ رول ماڊل ٺاهڻ وارا آهيو - سسٽم مان لوڊ ٿيل ۽ "گهٽجي هڪ عام ڊنومنيٽر" تي. پوء، جڏهن سسٽم جي ڪاروباري مالڪ سان وصول ڪيل ڪردار تي اتفاق ڪيو وڃي، توهان فنڪشنل ماڊل ۾ هڪ مخصوص نقطي ڏانهن اشارو ڪري سگهو ٿا، جنهن جي بنياد تي اهو يا اهو حق ڪردار ۾ شامل آهي.

مرحلا 2. اسان IT سسٽم جو آڊٽ ڪريون ٿا ۽ ترجيحي رٿابندي ڪريون ٿا

ٻئي مرحلي تي، توهان کي IT سسٽم جي آڊٽ ڪرڻ گهرجي انهي کي سمجهڻ لاءِ ته انهن تائين رسائي ڪيئن منظم ٿيل آهي. مثال طور، منهنجي مالي ڪمپني ڪيترن ئي سؤ معلوماتي سسٽم هلائي. سڀني سسٽمن ۾ ڪردار جي بنياد تي انتظام جا ڪجهه اصول هئا، گھڻن وٽ ڪجھ ڪردار هئا، پر گهڻو ڪري ڪاغذ تي يا سسٽم ڊاريڪٽري ۾ - اهي ڊگها پراڻا هئا، ۽ انهن تائين رسائي اصل صارف جي درخواستن جي بنياد تي ڏني وئي هئي. قدرتي طور تي، هڪ ئي وقت ۾ ڪيترن ئي سؤ سسٽم ۾ هڪ رول ماڊل ٺاهڻ ناممڪن آهي؛ توهان کي ڪٿي شروع ڪرڻو پوندو. اسان ان جي پختگي جي سطح کي طئي ڪرڻ لاءِ پهچ جي ڪنٽرول جي عمل جو ڳوڙهو تجزيو ڪيو. تجزيي جي عمل دوران، معلومات جي سسٽم کي ترجيح ڏيڻ لاء معيار ٺاهيا ويا - تنقيد، تيارگي، منصوبا ختم ڪرڻ، وغيره. انهن جي مدد سان، اسان انهن سسٽم لاءِ رول ماڊلز جي ترقي/تازه ڪاري کي ترتيب ڏنو. ۽ پوءِ اسان رول ماڊل شامل ڪيا آھن منصوبي ۾ انضمام جي لاءِ سڃاڻپ مئنيجمينٽ حل کي خودڪار رسائي ڪنٽرول ڪرڻ لاءِ.

پوء ڪيئن توهان هڪ نظام جي نازڪ جو تعين ڪندا؟ پاڻ کي هيٺين سوالن جا جواب ڏيو:

  • ڇا سسٽم آپريشنل عملن سان ڳنڍيل آهي جنهن تي ڪمپني جي بنيادي سرگرمين جو دارومدار آهي؟
  • ڇا سسٽم جي خرابي ڪمپني جي اثاثن جي سالميت کي متاثر ڪندي؟
  • سسٽم جو وڌ ۾ وڌ جائز وقت ڇا آهي، جنهن تائين پهچڻ کان پوءِ سرگرمي بحال ڪرڻ ناممڪن آهي؟
  • ڇا سسٽم ۾ معلومات جي سالميت جي خلاف ورزي ڪري سگھي ٿو ناقابل واپسي نتيجا، ٻئي مالي ۽ شهرت؟
  • ٺڳيءَ لاءِ تنقيد. ڪارڪردگي جي موجودگي، جيڪڏهن صحيح طور تي ڪنٽرول نه ڪيو وڃي، اندروني / بيروني فريب ڪارناما جي ڪري سگھي ٿو.
  • انهن سسٽم لاءِ قانوني گهرجون ۽ اندروني ضابطا ۽ طريقا ڪهڙا آهن؟ ڇا غير تعميل لاءِ ريگيوليٽرز کان ڏنڊ ٿيندو؟

اسان جي مالي ڪمپني ۾، اسان هن طرح هڪ آڊٽ ڪيو. انتظاميا ترقي ڪئي Access Rights Review آڊٽ جي طريقيڪار کي موجوده استعمال ڪندڙن ۽ حقن کي ڏسڻ لاءِ پهريان انهن معلوماتي سسٽم ۾ جيڪي اعليٰ ترجيحي لسٽ تي هئا. سيڪيورٽي کاتي کي هن عمل جي مالڪ طور مقرر ڪيو ويو. پر ڪمپني ۾ رسائي جي حقن جي مڪمل تصوير حاصل ڪرڻ لاء، ان عمل ۾ آئي ٽي ۽ ڪاروباري شعبن کي شامل ڪرڻ ضروري هو. ۽ هتي تڪرار، غلط فهميون، ۽ ڪڏهن ڪڏهن به تباهي شروع ٿي وئي آهي: ڪو به پنهنجي موجوده ذميوارين کان پري ڀڄڻ نه چاهيندو آهي ۽ ڪجهه، پهرين نظر ۾، ناقابل عمل سرگرمين ۾ ملوث ٿيڻ چاهي ٿو.

اين بي ترقي يافته IT پروسيس سان وڏيون ڪمپنيون شايد IT آڊٽ جي طريقيڪار کان واقف آهن - IT جنرل ڪنٽرولز (ITGC)، جيڪو توهان کي اجازت ڏئي ٿو IT عملن ۾ نقصن جي نشاندهي ڪرڻ ۽ ڪنٽرول قائم ڪرڻ ته جيئن عمل کي بهتر طريقي سان بهتر بڻائي سگهجي (ITIL, COBIT, IT. گورننس وغيره) اهڙي آڊٽ IT ۽ ڪاروبار کي هڪ ٻئي کي بهتر سمجهڻ ۽ گڏيل ترقياتي حڪمت عملي ٺاهڻ، خطرن جو تجزيو ڪرڻ، لاڳت کي بهتر ڪرڻ، ۽ ڪم ڪرڻ لاءِ وڌيڪ موثر طريقا تيار ڪرڻ جي اجازت ڏئي ٿي.

اسان رول تي ٻڌل رسائي ڪنٽرول ماڊل ٺاهي رهيا آهيون. حصو پهريون، تياري

آڊٽ جي علائقن مان هڪ آهي معلومات جي سسٽم تائين منطقي ۽ جسماني رسائي جي معيار کي طئي ڪرڻ. اسان حاصل ڪيل ڊيٽا کي هڪ رول ماڊل ٺاهڻ ۾ وڌيڪ استعمال لاءِ بنياد طور ورتو. هن آڊٽ جي نتيجي ۾، اسان وٽ آئي ٽي سسٽم جو هڪ رجسٽر هو، جنهن ۾ انهن جا ٽيڪنيڪل معيار مقرر ڪيا ويا ۽ وضاحتون ڏنيون ويون. ان کان علاوه، هر سسٽم لاء، هڪ مالڪ جي سڃاڻپ ڪئي وئي ڪاروباري هدايت کان جنهن جي فائدي ۾ ان کي هلائي وئي هئي: اهو هو جيڪو ڪاروبار عملن جو ذميوار هو جيڪو هن سسٽم جي خدمت ڪندو هو. هڪ آئي ٽي سروس مينيجر پڻ مقرر ڪيو ويو، هڪ مخصوص IS لاءِ ڪاروباري ضرورتن جي ٽيڪنيڪل عمل درآمد لاءِ ذميوار. ڪمپنيءَ لاءِ سڀ کان وڌيڪ نازڪ سسٽم ۽ انهن جا ٽيڪنيڪل پيرا ميٽرز، ڪميشننگ ۽ ڊڪشنريءَ جا شرط، وغيره رڪارڊ ڪيا ويا. اهي پيرا ميٽر رول ماڊل ٺاهڻ جي تياري جي عمل ۾ ڏاڍا مددگار هئا.

قدم 3 هڪ طريقو ٺاهيو

ڪنهن به ڪاروبار جي ڪاميابي جي ڪنجي صحيح طريقو آهي. تنهن ڪري، ٻنهي کي هڪ رول ماڊل ٺاهڻ ۽ هڪ آڊٽ ڪرڻ لاء، اسان کي هڪ طريقو ٺاهڻ جي ضرورت آهي جنهن ۾ اسان شعبن جي وچ ۾ رابطي کي بيان ڪريون ٿا، ڪمپني جي ضابطن ۾ ذميواري قائم ڪرڻ، وغيره.
پهرين توهان کي سڀني دستياب دستاويزن کي جانچڻ جي ضرورت آهي جيڪي رسائي ۽ حق ڏيڻ جي طريقيڪار کي قائم ڪن ٿا. سٺي طريقي سان، عملن کي ڪيترن ئي سطحن تي دستاويز ڪيو وڃي:

  • عام ڪارپوريٽ گهرجن؛
  • معلومات جي حفاظت جي علائقن لاء گهرجون (منحصر تنظيم جي سرگرمين جي علائقن تي)؛
  • ٽيڪنيڪي عملن لاءِ گهرجون (هدايتون، رسائي ميٽرڪ، ھدايتون، ٺاھ جوڙ جون گھرجون).

اسان جي مالي ڪمپني ۾، اسان کي ڪيترائي پراڻا دستاويز مليا آهن؛ اسان کي انهن کي آڻڻو هو، جنهن تي عمل ڪيو پيو وڃي.

انتظاميا جي حڪم سان، هڪ ڪم ڪندڙ گروپ ٺاهيو ويو، جنهن ۾ سيڪيورٽي، آئي ٽي، ڪاروبار ۽ اندروني ڪنٽرول جا نمائندا شامل هئا. آرڊر گروپ جي ٺهڻ جا مقصد، سرگرمي جي هدايت، وجود جي مدت ۽ هر پاسي کان ذميوار ماڻهو بيان ڪيا ويا آهن. ان کان علاوه، اسان هڪ آڊٽ جو طريقو ٺاهيو ۽ هڪ رول ماڊل جي تعمير لاء هڪ طريقيڪار: انهن تي سڀني علائقن جي ذميوار نمائندن طرفان اتفاق ڪيو ويو ۽ ڪمپني جي انتظاميه طرفان منظور ڪيو ويو.

دستاويز جيڪي ڪم ڪرڻ جي طريقيڪار کي بيان ڪن ٿا، آخري حدون، ذميواريون، وغيره. - هڪ گارنٽي آهي ته رستي تي پياري مقصد جي رستي تي، جيڪو پهريون ڀيرو هر ڪنهن لاء واضح ناهي، ڪو به سوال نه هوندو "اسان اهو ڇو ڪري رهيا آهيون، اسان کي ان جي ضرورت آهي، وغيره." ۽ ”جمپ آف“ ڪرڻ يا عمل کي سست ڪرڻ جو ڪو به موقعو نه هوندو.

اسان رول تي ٻڌل رسائي ڪنٽرول ماڊل ٺاهي رهيا آهيون. حصو پهريون، تياري

قدم 4. موجوده رسائي ڪنٽرول ماڊل جي پيٽرولن کي درست ڪريو

اسان هڪ نام نهاد "سسٽم پاسپورٽ" ٺاهي رهيا آهيون رسائي ڪنٽرول جي لحاظ کان. جوهر ۾، هي هڪ مخصوص معلوماتي سسٽم تي هڪ سوالنامو آهي، جيڪو ان تائين رسائي کي ڪنٽرول ڪرڻ لاءِ سڀني الگورتھم کي رڪارڊ ڪري ٿو. ڪمپنيون جيڪي اڳ ۾ ئي IdM-ڪلاس حل لاڳو ڪري چڪيون آهن شايد شايد اهڙي سوالنامي کان واقف آهن، ڇاڪاڻ ته اهو آهي جتي سسٽم جو مطالعو شروع ٿئي ٿو.

سسٽم ۽ مالڪن جي باري ۾ ڪجهه پيٽرولر آئي ٽي رجسٽري کان سوالنامي ۾ وهي ويا (ڏسو قدم 2، آڊٽ)، پر نوان پڻ شامل ڪيا ويا:

  • اڪائونٽ ڪيئن منظم ڪيا ويندا آهن (سڌي طرح ڊيٽابيس ۾ يا سافٽ ويئر انٽرفيس ذريعي)؛
  • صارف ڪيئن سسٽم ۾ لاگ ان ٿين ٿا (هڪ الڳ اڪائونٽ استعمال ڪندي يا AD اڪائونٽ استعمال ڪندي، LDAP، وغيره)؛
  • سسٽم تائين رسائي جي ڪهڙي سطح استعمال ڪئي ويندي آهي (ايپليڪيشن جي سطح، سسٽم جي سطح، نيٽورڪ فائل وسيلن جو سسٽم استعمال)؛
  • بيان ۽ سرور جا پيرا ميٽر جن تي سسٽم هلندو آهي؛
  • ڪهڙو اڪائونٽ مئنيجمينٽ آپريشنز سپورٽ آهن (بلاڪ ڪرڻ، نالو تبديل ڪرڻ، وغيره)؛
  • سسٽم صارف جي سڃاڻپ ڪندڙ پيدا ڪرڻ لاءِ ڪهڙا الگورتھم يا ضابطا استعمال ڪيا ويندا آهن؛
  • ڪهڙي خاصيت استعمال ڪري سگهجي ٿي هڪ ڪنيڪشن قائم ڪرڻ لاءِ ملازم جي رڪارڊ سان پرسنل سسٽم ۾ (مڪمل نالو، اهلڪار نمبر، وغيره)؛
  • انهن کي ڀرڻ لاءِ سڀئي ممڪن اڪائونٽ خاصيتون ۽ ضابطا؛
  • سسٽم ۾ ڪهڙا رسائي جا حق موجود آهن (ڪردار، گروهه، ايٽمي حق، وغيره، اتي موجود آهن يا درجه بندي حق)؛
  • رسائي جي حقن کي ورهائڻ لاء ميڪانيزم (پوزيشن، ڊپارٽمينٽ، ڪارڪردگي، وغيره)؛
  • ڇا سسٽم ۾ حقن جي علحدگيءَ لاءِ ضابطا آهن (SOD – فرضن جي الڳ ٿيڻ)، ۽ اهي ڪيئن ڪم ڪن ٿا؛
  • ڪيئن غير حاضري، منتقلي، برطرفي، ملازم ڊيٽا کي اپڊيٽ ڪرڻ، وغيره جي واقعن تي عمل ڪيو وڃي ٿو سسٽم ۾.

هي فهرست جاري رکي سگهجي ٿو، مختلف پيٽرولن ۽ ٻين شين جي تفصيل سان جيڪي رسائي ڪنٽرول جي عمل ۾ شامل آهن.

مرحلا 5. اجازتن جي ڪاروبار تي مبني وضاحت ٺاھيو

هڪ ٻيو دستاويز جنهن جي اسان کي ضرورت پوندي جڏهن هڪ رول ماڊل ٺاهجي اهو سڀني ممڪن طاقتن (حقن) تي هڪ حوالو ڪتاب آهي جيڪو معلومات سسٽم ۾ استعمال ڪندڙن کي ڏئي سگهجي ٿو تفصيلي وضاحت سان ان جي پويان بيٺل ڪاروباري فنڪشن جي تفصيلي وضاحت سان. گهڻو ڪري، سسٽم ۾ اختيارين ڪجهه خاص نالن سان انڪوڊ ٿيل آهن جن ۾ اکر ۽ انگ شامل آهن، ۽ ڪاروباري ملازم اهو نه ٿو سمجهي سگهي ته انهن علامتن جي پويان ڇا آهي. پوءِ اهي IT سروس ڏانهن ويندا آهن، ۽ اتي... اهي به سوال جو جواب نٿا ڏئي سگهن، مثال طور، نادر استعمال ٿيل حقن بابت. ان کان پوء اضافي جاچ ڪرڻ جي ضرورت آهي.

اهو سٺو آهي جيڪڏهن اڳ ۾ ئي هڪ ڪاروباري وضاحت موجود آهي يا جيتوڻيڪ اتي انهن حقن جو هڪ ميلاپ گروپن ۽ ڪردارن ۾ آهي. ڪجھ ايپليڪيشنن لاءِ، بھترين عمل اھو آھي ته ترقي واري مرحلي ۾ ھڪڙو حوالو ٺاھيو وڃي. پر اهو اڪثر نه ٿيندو آهي، تنهنڪري اسان ٻيهر IT ڊپارٽمينٽ ڏانهن وڃون ٿا سڀني ممڪن حقن بابت معلومات گڏ ڪرڻ ۽ انهن کي بيان ڪرڻ لاء. اسان جي گائيڊ آخرڪار ھيٺين تي مشتمل هوندي:

  • اٿارٽي جو نالو، بشمول اعتراض جنهن تي رسائي جو حق لاڳو ٿئي ٿو؛
  • ھڪڙو عمل جيڪو ھڪڙي شئي سان ٿيڻ جي اجازت آھي (ڏسڻ، تبديل ڪرڻ، وغيره، پابندي جو امڪان، مثال طور، علائقائي بنيادن تي يا گراهڪن جي گروپ طرفان)؛
  • اختيار ڪرڻ وارو ڪوڊ (سسٽم جي فنڪشن جو ڪوڊ ۽ نالو/درخواست جيڪا اختيار ڪري سگهجي ٿي)؛
  • اٿارٽي جي وضاحت (اي ايس ۾ عملن جو تفصيلي بيان جڏهن اٿارٽي کي لاڳو ڪرڻ ۽ عمل لاءِ انهن جا نتيجا؛
  • اجازت جي حالت: "فعال" (جيڪڏهن اجازت ڏني وئي آهي گهٽ ۾ گهٽ هڪ صارف کي) يا "فعال ناهي" (جيڪڏهن اجازت استعمال نه ڪئي وئي آهي).

مرحلا 6 اسان سسٽم مان صارفين ۽ حقن بابت ڊيٽا ڊائون لوڊ ڪريون ٿا ۽ انهن کي عملي جي ذريعن سان موازنہ ڪريو

تياري جي آخري مرحلي تي، توهان کي معلومات جي سسٽم مان ڊيٽا ڊائون لوڊ ڪرڻ جي ضرورت آهي سڀني صارفن ۽ انهن جي حقن بابت جيڪي هن وقت آهن. هتي ٻه ممڪن منظرنامو آهن. پهريون: سيڪيورٽي ڊپارٽمينٽ کي سسٽم تائين سڌو رسائي آهي ۽ لاڳاپيل رپورٽون ڊائون لوڊ ڪرڻ جو وسيلو آهي، جيڪو گهڻو ڪري نه ٿو ٿئي، پر تمام آسان آهي. ٻيو: اسان IT کي هڪ درخواست موڪليندا آهيون گهربل فارميٽ ۾ رپورٽون حاصل ڪرڻ لاءِ. تجربو ڏيکاري ٿو ته اهو ممڪن ناهي ته آئي ٽي سان هڪ معاهدو ڪرڻ ۽ ضروري ڊيٽا حاصل ڪرڻ پهريون ڀيرو. اهو ضروري آهي ته ڪيترن ئي طريقن کي ٺاهيو جيستائين معلومات گهربل فارم ۽ فارميٽ ۾ حاصل ڪئي وڃي.

ڪهڙي ڊيٽا کي ڊائون لوڊ ڪرڻ جي ضرورت آهي:

  • اڪائونٽ جو نالو
  • ملازم جو پورو نالو جنهن کي اهو تفويض ڪيو ويو آهي
  • حالت (فعال يا بند ٿيل)
  • اڪائونٽ ٺاهڻ جي تاريخ
  • آخري استعمال جي تاريخ
  • دستياب حقن/ گروپن/ ڪردارن جي فهرست

تنهن ڪري، اسان سڀني صارفين سان سسٽم مان ڊائون لوڊ حاصل ڪيو ۽ انهن سڀني حقن سان جيڪي انهن کي ڏنيون ويون آهن. ۽ اهي فوري طور تي سڀني بلاڪ ٿيل اڪائونٽن کي هڪ طرف رکيا آهن، ڇاڪاڻ ته هڪ رول ماڊل ٺاهڻ تي ڪم صرف فعال استعمال ڪندڙن لاء ڪيو ويندو.

پوء، جيڪڏهن توهان جي ڪمپني کي برطرف ٿيل ملازمن تائين رسائي کي بلاڪ ڪرڻ جو خودڪار طريقو نه آهي (اهو اڪثر ڪري ٿو) يا پيچ ورڪ آٽوميشن آهي جيڪو هميشه صحيح ڪم نٿو ڪري، توهان کي سڀني "مئل روحن" کي سڃاڻڻ جي ضرورت آهي. اسان انهن ملازمن جي اڪائونٽن بابت ڳالهائي رهيا آهيون جيڪي اڳ ۾ ئي برطرف ڪيا ويا آهن، جن جا حق ڪنهن سبب جي ڪري بلاڪ نه ٿيا آهن - انهن کي بلاڪ ڪرڻ جي ضرورت آهي. هن کي ڪرڻ لاءِ، اسان اپلوڊ ڪيل ڊيٽا کي پرسنل ماخذ سان ڀيٽيون ٿا. عملي جي ڊيٽابيس کي برقرار رکڻ واري کاتي کان عملي جي لوڊشيڊنگ پڻ اڳ ۾ حاصل ڪئي وڃي.

الڳ الڳ، اهو ضروري آهي ته انهن اڪائونٽن کي الڳ ڪرڻ لاء جن جا مالڪ نه مليا هئا پرسنل ڊيٽابيس ۾، ڪنهن کي به تفويض نه ڪيو ويو آهي - اهو آهي، مالڪ کان سواء. ھن لسٽ کي استعمال ڪندي، اسان کي آخري استعمال جي تاريخ جي ضرورت پوندي: جيڪڏھن اھو بلڪل تازو آھي، اسان کي اڃا تائين مالڪن کي ڳولڻو پوندو. ھن ۾ شامل ٿي سگھي ٿو خارجي ٺيڪيدارن جا اڪائونٽ يا سروس اڪائونٽس جيڪي ڪنھن کي تفويض نه ڪيا ويا آھن، پر ڪنھن بہ عمل سان جڙيل آھن. اهو معلوم ڪرڻ لاءِ ته اڪائونٽس ڪنهن جا آهن، توهان خط موڪلي سگهو ٿا سڀني کاتن کي جواب ڏيڻ لاءِ. جڏهن مالڪ مليا آهن، اسان انهن بابت ڊيٽا سسٽم ۾ داخل ڪريون ٿا: هن طريقي سان، سڀئي فعال اڪائونٽس سڃاڻپ ڪيا ويا آهن، ۽ باقي بند ٿيل آهن.

جيئن ئي اسان جا اپلوڊ غير ضروري رڪارڊن مان صاف ٿي ويندا آهن ۽ صرف فعال اڪائونٽس رهندا آهن، اسان هڪ مخصوص معلوماتي نظام لاءِ رول ماڊل ٺاهڻ شروع ڪري سگهون ٿا. پر آئون توهان کي ايندڙ مضمون ۾ ان بابت ٻڌائيندس.

ليکڪ: Lyudmila Sevastyanova، پروموشن مينيجر سولر ان رائٽس

جو ذريعو: www.habr.com

تبصرو شامل ڪريو