Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
jana
Зарегистрирован: 08.01.2004 Сообщения: 48
|
Добавлено: Вс Мар 26 2006 13:21 Заголовок сообщения: Функции администратора безопасности |
|
|
Уважаемые, хотелось бы послушать Ваше мнение по поводу разделения функций администратора сети и администратора безопасности. Особенно интересны мнения по поводу разделения функций по работе с учётными записями пользователей, правами доступа и организацией ресурсов. Если можете скиньте какие-нибудь полезные ссылки на эту тему. Заранее спасибо! |
|
Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004 Сообщения: 462 Откуда: Тула
|
Добавлено: Пт Мар 31 2006 06:45 Заголовок сообщения: |
|
|
администратор сети и является администратором безопасности в общем смысле, любое его действие либо ухудшает, либо улучшает безопасность, если кто-то думает другое, то пусть изложит подробно свои представления об этом |
|
Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005 Сообщения: 311
|
Добавлено: Вс Апр 02 2006 16:58 Заголовок сообщения: |
|
|
Подобное разделение существует в системах вроде RSBAC (не знаю, жив ли проект до сих пор). Там есть роли администратора системы (root) и "офицера безопасности" (secoff). Первый исполняет свои функции под контролем второго, т.е. secoff определяет, что и в каком контексте может делать root, да и вообще любой пользователь в системе. Сам secoff не может, например, изменять таблицу маршрутизации, но может запретить или разрешить кому бы то ни было делать это. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Вс Апр 02 2006 17:06 Заголовок сообщения: |
|
|
Согласен с C37
fLamer - имхо это неправильно. |
|
Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004 Сообщения: 462 Откуда: Тула
|
Добавлено: Вс Апр 02 2006 19:29 Заголовок сообщения: |
|
|
ALEX_SE писал(а): | Согласен с C37
fLamer - имхо это неправильно. |
Не путайте функции администрирования и функции контроля за администрированием. Сотрудник системы безопасности или информационной безопасности может лишь контролировать, выборочно.
Более того, если вы умный руководитель и система достаточно сложна, вы не будете пытаться управлять действиями администратора системы. Ему можно только ставить задачи и доверять. И контролировать результаты работы. Только результаты. Для объективного контроля действий администратора необходима квалификация плюс информированность о всей системе включая технические и административные вопросы. Группа безопасности не располагает такими условиями.
Фактически администратор, как хирург на операции, схватить его за руку не возможно пока не случился инцидент, а вот если пытаться хватать хирурга во время операции.. это ошибка многих руководителей. |
|
Вернуться к началу |
|
|
ALEX_SE
Зарегистрирован: 30.11.2003 Сообщения: 1043 Откуда: Энгельс, Саратовская обл.
|
Добавлено: Вс Апр 02 2006 20:28 Заголовок сообщения: |
|
|
И к чему Вы это?
Приведу пример из метрологии. Так вот там не полагается человеку который ремонтировал прибор, его потом и поверять. ИМХО тут то же самое. |
|
Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004 Сообщения: 462 Откуда: Тула
|
Добавлено: Вс Апр 02 2006 20:30 Заголовок сообщения: |
|
|
ALEX_SE писал(а): | И к чему Вы это?
Приведу пример из метрологии. Так вот там не полагается человеку который ремонтировал прибор, его потом и поверять. ИМХО тут то же самое. |
Согласен, зависит от ситуации и размеров организации, можно и группу контроля организовать, но про квалификацию и осведомлённость я сказал, накладно будет и врядли полезно.
Огромная система это не прибор.
Можно проверить как врач повязку накладывает, а не операцию на сердце
Кто возмёт на себя ответственность остановить руку хирурга обосновав требованиями безопасности?! |
|
Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004 Сообщения: 462 Откуда: Тула
|
Добавлено: Вс Апр 02 2006 20:43 Заголовок сообщения: |
|
|
И ещё один аргумент против разделения функций администратора.
Два врача одну болезнь обычно не лечат. Сложная сеть такая же целостная система как и человек. Двух администраторов не бывает. Это "лебедь, рак и щука", между прочим почти народная мудрость. Так же как два врача угробят человека, два администратора угробят систему. В худшем случае. В лучшем случае они станут выполнять одни и теже функции. Это возможно. И тогда они и заменять будут друг друга, и контролировать. Но это как раз не разделение функций, в чём была суть вопроса. |
|
Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004 Сообщения: 462 Откуда: Тула
|
Добавлено: Вс Апр 02 2006 20:48 Заголовок сообщения: |
|
|
Сама задача администрирования состоит в назначении прав.
Не пытайтесь изобрести велосипед и придумать администратора по безопасности.
Проверять работу администратора должен обычный сотрудник безопасности, например пытаясь войти в систему без пароля, проверяя доступные каталоги в сети на предмет запрещённой информации и т.п.
Но проверка - это правильно, это не администрирование. Проверку можно заказать и сторонним специалистам, но они не будут администрировать систему. Только проверять. |
|
Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004 Сообщения: 462 Откуда: Тула
|
Добавлено: Вс Апр 02 2006 21:03 Заголовок сообщения: |
|
|
И ещё один аргумент. Когда случится инцидент, два администратора будут переводить стрелки друг на друга! А разобраться в сложной ситации и сложной системе будет невозможно. Придётся звать третьего специалиста. А окажется, что никто не виноват, каждый выполнял работу по правилам, а за результат не отвечает никто
Ну и кого наказывать будете?! Как поделятся обязанности никто не обратит внимание, а вот когда начнут делить ответственность.. вы поймёте.
Ещё раз повторяю, правильное распределение полномочий, обязанностей и ответственности - ошибка многих, если не всех руководителей. Администратор - один. Как генерал армии, как лечащий врач, как светофор на перекрёстке. Уточняю, администратор - как набор прав и обязанностей или административная единица, а не как человек в одном лице. |
|
Вернуться к началу |
|
|
fLamer
Зарегистрирован: 05.04.2004 Сообщения: 462 Откуда: Тула
|
Добавлено: Вс Апр 02 2006 21:29 Заголовок сообщения: |
|
|
ALEX_SE писал(а): | Согласен с C37
fLamer - имхо это неправильно. |
С чем согласен то? прочитай ещё раз. Офицер безопасности не может выполнять работу по администрированию. Только разрешать или запрещать, фактически ставить задачу. Администратор то один. Контролёров и консультантов не отрицаю. Это необходимо. |
|
Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005 Сообщения: 311
|
Добавлено: Вт Апр 04 2006 14:52 Заголовок сообщения: |
|
|
fLamer писал(а): | Офицер безопасности не может выполнять работу по администрированию. Только разрешать или запрещать, фактически ставить задачу. Администратор то один. Контролёров и консультантов не отрицаю. Это необходимо. |
secoff не ставит задачу, а ограничивает полномочия. У фактического исполнителя остается ровно столько прав, сколько нужно для выполнения возложенных на него обязанностей. Таким образом можно разделить полномочия администратора между несколькими "персонажами": например, один будет заниматься сетью, но не сможет управлять учетными записями пользователей, другой, наоборот, будет работать только с ними, и т.д. secoff и есть, по сути, сотрудник службы беопасности.
А знание системы безопаникам необходимо, иначе как они безопасить-то будут? |
|
Вернуться к началу |
|
|
oldman sysadmin
Зарегистрирован: 16.12.2004 Сообщения: 15
|
Добавлено: Вт Апр 11 2006 10:25 Заголовок сообщения: |
|
|
1. Необходимо разделить понятие Администратор-человек от Администратор-профиль.
2. Во всех ОС и системах существует суперпользователь права этого профиля нужны только на начальном этапе установки
3. Администратор ресурса (сеть, добавление и удаление пользователей, профили пользователей - это ресурсы, причем разные!!!) - несколько человек, имеющих право делать только свой учатсок работы и их действия логируются!!
4. Администратор безопасности - несколько человек (обычно двое) занимающихся допуском людей до ресурса по установленным правилам и контролирующие работы администраторов ресурсов.
5. Пароль суперпользователя полностью не знает никто. Для ввода необходимо не менее двух человек (обычно три):систеный администратор, администратор безопасности, администратор основного ресурса или ресурса с высшей степень защищенности.
Для дальнейшего углубления темы можно рассмотреть следующие документы, действующие на территории РФ и ОБЯЗАТЕЛЬНЫе к исполнению:
СТР-К
Стандарт ЦБ РФ по информационной безопасности в банковской системе. |
|
Вернуться к началу |
|
|
|