Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Функции администратора безопасности

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети
Предыдущая тема :: Следующая тема  
Автор Сообщение
jana



Зарегистрирован: 08.01.2004
Сообщения: 48

СообщениеДобавлено: Вс Мар 26 2006 13:21    Заголовок сообщения: Функции администратора безопасности Ответить с цитатой

Уважаемые, хотелось бы послушать Ваше мнение по поводу разделения функций администратора сети и администратора безопасности. Особенно интересны мнения по поводу разделения функций по работе с учётными записями пользователей, правами доступа и организацией ресурсов. Если можете скиньте какие-нибудь полезные ссылки на эту тему. Заранее спасибо!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Пт Мар 31 2006 06:45    Заголовок сообщения: Ответить с цитатой

администратор сети и является администратором безопасности в общем смысле, любое его действие либо ухудшает, либо улучшает безопасность, если кто-то думает другое, то пусть изложит подробно свои представления об этом
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
C37



Зарегистрирован: 09.03.2005
Сообщения: 311

СообщениеДобавлено: Вс Апр 02 2006 16:58    Заголовок сообщения: Ответить с цитатой

Подобное разделение существует в системах вроде RSBAC (не знаю, жив ли проект до сих пор). Там есть роли администратора системы (root) и "офицера безопасности" (secoff). Первый исполняет свои функции под контролем второго, т.е. secoff определяет, что и в каком контексте может делать root, да и вообще любой пользователь в системе. Сам secoff не может, например, изменять таблицу маршрутизации, но может запретить или разрешить кому бы то ни было делать это.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ALEX_SE



Зарегистрирован: 30.11.2003
Сообщения: 1043
Откуда: Энгельс, Саратовская обл.

СообщениеДобавлено: Вс Апр 02 2006 17:06    Заголовок сообщения: Ответить с цитатой

Согласен с C37
fLamer - имхо это неправильно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Вс Апр 02 2006 19:29    Заголовок сообщения: Ответить с цитатой

ALEX_SE писал(а):
Согласен с C37
fLamer - имхо это неправильно.

Не путайте функции администрирования и функции контроля за администрированием. Сотрудник системы безопасности или информационной безопасности может лишь контролировать, выборочно.
Более того, если вы умный руководитель и система достаточно сложна, вы не будете пытаться управлять действиями администратора системы. Ему можно только ставить задачи и доверять. И контролировать результаты работы. Только результаты. Для объективного контроля действий администратора необходима квалификация плюс информированность о всей системе включая технические и административные вопросы. Группа безопасности не располагает такими условиями.
Фактически администратор, как хирург на операции, схватить его за руку не возможно пока не случился инцидент, а вот если пытаться хватать хирурга во время операции.. это ошибка многих руководителей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
ALEX_SE



Зарегистрирован: 30.11.2003
Сообщения: 1043
Откуда: Энгельс, Саратовская обл.

СообщениеДобавлено: Вс Апр 02 2006 20:28    Заголовок сообщения: Ответить с цитатой

И к чему Вы это?

Приведу пример из метрологии. Так вот там не полагается человеку который ремонтировал прибор, его потом и поверять. ИМХО тут то же самое.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Вс Апр 02 2006 20:30    Заголовок сообщения: Ответить с цитатой

ALEX_SE писал(а):
И к чему Вы это?

Приведу пример из метрологии. Так вот там не полагается человеку который ремонтировал прибор, его потом и поверять. ИМХО тут то же самое.


Согласен, зависит от ситуации и размеров организации, можно и группу контроля организовать, но про квалификацию и осведомлённость я сказал, накладно будет и врядли полезно.
Огромная система это не прибор.
Можно проверить как врач повязку накладывает, а не операцию на сердце Wink
Кто возмёт на себя ответственность остановить руку хирурга обосновав требованиями безопасности?!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Вс Апр 02 2006 20:43    Заголовок сообщения: Ответить с цитатой

И ещё один аргумент против разделения функций администратора.
Два врача одну болезнь обычно не лечат. Сложная сеть такая же целостная система как и человек. Двух администраторов не бывает. Это "лебедь, рак и щука", между прочим почти народная мудрость. Так же как два врача угробят человека, два администратора угробят систему. В худшем случае. В лучшем случае они станут выполнять одни и теже функции. Это возможно. И тогда они и заменять будут друг друга, и контролировать. Но это как раз не разделение функций, в чём была суть вопроса.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Вс Апр 02 2006 20:48    Заголовок сообщения: Ответить с цитатой

Сама задача администрирования состоит в назначении прав.
Не пытайтесь изобрести велосипед и придумать администратора по безопасности.

Проверять работу администратора должен обычный сотрудник безопасности, например пытаясь войти в систему без пароля, проверяя доступные каталоги в сети на предмет запрещённой информации и т.п.
Но проверка - это правильно, это не администрирование. Проверку можно заказать и сторонним специалистам, но они не будут администрировать систему. Только проверять.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Вс Апр 02 2006 21:03    Заголовок сообщения: Ответить с цитатой

И ещё один аргумент. Когда случится инцидент, два администратора будут переводить стрелки друг на друга! А разобраться в сложной ситации и сложной системе будет невозможно. Придётся звать третьего специалиста. А окажется, что никто не виноват, каждый выполнял работу по правилам, а за результат не отвечает никто Smile
Ну и кого наказывать будете?! Как поделятся обязанности никто не обратит внимание, а вот когда начнут делить ответственность.. вы поймёте.
Ещё раз повторяю, правильное распределение полномочий, обязанностей и ответственности - ошибка многих, если не всех руководителей. Администратор - один. Как генерал армии, как лечащий врач, как светофор на перекрёстке. Уточняю, администратор - как набор прав и обязанностей или административная единица, а не как человек в одном лице.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Вс Апр 02 2006 21:29    Заголовок сообщения: Ответить с цитатой

ALEX_SE писал(а):
Согласен с C37
fLamer - имхо это неправильно.

С чем согласен то? прочитай ещё раз. Офицер безопасности не может выполнять работу по администрированию. Только разрешать или запрещать, фактически ставить задачу. Администратор то один. Контролёров и консультантов не отрицаю. Это необходимо.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
C37



Зарегистрирован: 09.03.2005
Сообщения: 311

СообщениеДобавлено: Вт Апр 04 2006 14:52    Заголовок сообщения: Ответить с цитатой

fLamer писал(а):
Офицер безопасности не может выполнять работу по администрированию. Только разрешать или запрещать, фактически ставить задачу. Администратор то один. Контролёров и консультантов не отрицаю. Это необходимо.


secoff не ставит задачу, а ограничивает полномочия. У фактического исполнителя остается ровно столько прав, сколько нужно для выполнения возложенных на него обязанностей. Таким образом можно разделить полномочия администратора между несколькими "персонажами": например, один будет заниматься сетью, но не сможет управлять учетными записями пользователей, другой, наоборот, будет работать только с ними, и т.д. secoff и есть, по сути, сотрудник службы беопасности.
А знание системы безопаникам необходимо, иначе как они безопасить-то будут? Rolling Eyes
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
oldman sysadmin



Зарегистрирован: 16.12.2004
Сообщения: 15

СообщениеДобавлено: Вт Апр 11 2006 10:25    Заголовок сообщения: Ответить с цитатой

1. Необходимо разделить понятие Администратор-человек от Администратор-профиль.
2. Во всех ОС и системах существует суперпользователь права этого профиля нужны только на начальном этапе установки
3. Администратор ресурса (сеть, добавление и удаление пользователей, профили пользователей - это ресурсы, причем разные!!!) - несколько человек, имеющих право делать только свой учатсок работы и их действия логируются!!
4. Администратор безопасности - несколько человек (обычно двое) занимающихся допуском людей до ресурса по установленным правилам и контролирующие работы администраторов ресурсов.
5. Пароль суперпользователя полностью не знает никто. Для ввода необходимо не менее двух человек (обычно три):систеный администратор, администратор безопасности, администратор основного ресурса или ресурса с высшей степень защищенности.
Для дальнейшего углубления темы можно рассмотреть следующие документы, действующие на территории РФ и ОБЯЗАТЕЛЬНЫе к исполнению:
СТР-К
Стандарт ЦБ РФ по информационной безопасности в банковской системе.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...