तार्किक अभिगम नियंत्रण। कॉर्पोरेट फ़ाइल सूचना संसाधन नियंत्रण मानक

नियुक्ति और दायरा

यह नीति इसके लिए निर्धारित है:

सूचना तक पहुंच को नियंत्रित करने के लिए सूचना संसाधनों में प्रवेश प्रबंधन;

यह नीति सूचना संसाधनों का उपयोग करके कंपनी के सभी कर्मचारियों और तृतीय पक्षों पर लागू होती है और निष्पादन के लिए अनिवार्य है।

प्राथमिक आवश्यकताएं

सूचना संसाधनों तक कर्मचारी पहुंच को प्रासंगिक सूचना संसाधनों के सिर और मालिक द्वारा अधिकृत किया जाना चाहिए।

पहुंच नियंत्रण स्थापित प्रक्रियाओं के अनुसार किया जाता है।

सूचना संसाधनों के उपयोगकर्ता पहुंच अधिकारों के नियंत्रण और आवधिक संशोधन लेखा परीक्षा की प्रक्रिया में किया जाता है सूचना सुरक्षा राजनीति के अनुसार सूचना सुरक्षा का लेखा परीक्षाऔर स्थापित प्रक्रियाओं।

सूचना संसाधनों के प्रत्येक उपयोगकर्ता को एक अद्वितीय पहचानकर्ता (उपयोगकर्ता नाम) सौंपा गया। प्रवेश प्रमाणीकरण के आधार पर किया जाता है।

पासवर्ड, भौतिक कोड वाहक, बॉयोमीट्रिक पैरामीटर और अन्य मीडिया का उपयोग प्रमाणीकरण विधियों के रूप में किया जा सकता है।

प्रारंभिक लॉगिन या भौतिक माध्यम के लिए पासवर्ड उपयोगकर्ता को उस तरीके से जमा किया जाना चाहिए जिससे इसके समझौता की संभावना को शामिल नहीं किया जा सके।

ऑपरेशन के दौरान उपयोगकर्ता के पासवर्ड को बदलने के लिए, इंटरैक्टिव प्रक्रियाओं का उपयोग किया जाना चाहिए, पर्याप्त संख्या में पासवर्ड प्रदान करना।

ऑपरेटिंग सिस्टम तक उपयोगकर्ता पहुंच की निगरानी एक सुरक्षित पंजीकरण प्रक्रिया द्वारा की जानी चाहिए।

उपयोगकर्ता को सूचना संसाधनों तक पहुंच के लिए नियमित रूप से अपना पासवर्ड बदलने के लिए बाध्य किया जाता है।

किसी अन्य व्यक्ति को अपने पासवर्ड के उपयोगकर्ता द्वारा स्थानांतरित करना प्रतिबंधित है।

जब आप कर्मचारी या काउंटरपार्टी उपयोगकर्ता के काम को खारिज करते हैं या बदलते हैं, तो सूचना संसाधनों और जानकारी तक पहुंचने का अधिकार रद्द या समायोजित किया जाना चाहिए।

एक ज़िम्मेदारी।

सूचना संसाधनों के प्रवेश अधिकारों के प्रावधान के लिए जिम्मेदारी सूचना संसाधन के मालिक पर सूचित की जाती है।

सूचना संसाधनों तक पहुंच के अधिकारों को प्रशासित करने की जिम्मेदारी सूचना प्रौद्योगिकी सेवा को सौंपी गई है।

आचरण का संचालन

सूचना वर्गीकरण नीति

नियुक्ति और दायरा

कंपनी के सूचना संसाधनों की पर्याप्त सुरक्षा सुनिश्चित करने के लिए सूचना वर्गीकृत करने के लिए यह नीति स्थापित की गई है।

नीति सूचना संसाधनों के मालिकों के साथ-साथ कंपनी के सभी कर्मचारियों और संगठन के सूचना संसाधनों का उपयोग करके तीसरे पक्ष पर लागू होती है, और निष्पादन के लिए अनिवार्य है।

इन नियमों के सभी अपवादों को सूचना सुरक्षा सेवा के साथ सहमति दी जानी चाहिए।

प्राथमिक आवश्यकताएं

सूचना संसाधनों की सुरक्षा के स्तर के स्तर की पर्याप्त आवश्यकताओं को सुनिश्चित करने के लिए, उनमें निहित जानकारी को कंपनी के लिए महत्व की डिग्री के अनुसार वर्गीकृत किया गया है।

गोपनीयता, अखंडता और अभिगम्यता के लिए बढ़ी हुई आवश्यकताओं।

न्यूनतम पर्याप्त आवश्यकताओं।

संरक्षण आवश्यकताओं को प्रस्तुत नहीं किया गया है।

व्यक्तिगत जानकारी;

व्यापार रहस्य;

अन्य जानकारी जिनके संबंध में वर्तमान कानून द्वारा गोपनीयता, अखंडता और अभिगम्यता की आवश्यकताओं की आवश्यकता होती है, प्रतिपक्षियों के साथ समझौतों की शर्तों या ऐसी जानकारी के मालिक के समाधान।

तीसरी श्रेणी की जानकारी में सार्वजनिक रूप से उपलब्ध जानकारी और प्रकाशन के लिए जानकारी शामिल है।

वर्गीकृत जानकारी वाले सूचना संसाधन उचित अंकन के साथ आपूर्ति की जाती हैं।

गोपनीय जानकारी खुले संचार चैनलों और मीडिया पर व्यक्तिगत और व्यावसायिक वार्ता में खुले डेटा ट्रांसमिशन चैनलों और खुले पत्राचार में संचरण के अधीन नहीं है।

कंपनी की गतिविधियों में व्यक्तिगत डेटा का उपयोग केवल अपने मालिक की सहमति के साथ किया जाता है। उपयोग की प्रक्रिया कंपनी के प्रासंगिक आंतरिक दस्तावेजों द्वारा निर्धारित की जाती है।

वर्गीकरण श्रेणी की असाइन की गई जानकारी आवधिक संशोधन के अधीन है।

एक ज़िम्मेदारी।

जानकारी के वर्गीकरण के लिए जिम्मेदारी अपने मालिक को सौंपा गया है।

सुरक्षा नीतियों के अनुपालन के लिए जिम्मेदारी कंपनी के सभी कर्मचारियों और सूचनात्मक संसाधनों का उपयोग करके तीसरे पक्ष पर लगाया जाता है।

कार्यान्वयन का नियंत्रण और पॉलिसी के संशोधन को सुरक्षा सेवा को सौंपा गया है।

इसमें निम्नलिखित प्रश्न शामिल हैं:

  • अभिगम नियंत्रण अवलोकन
  • सुरक्षा के सिद्धांत
  • पहचान, प्रमाणीकरण, प्राधिकरण और जवाबदेही
कॉर्नरस्टोन अंतर्निहित सूचना सुरक्षा संसाधनों तक पहुंच, अनधिकृत परिवर्तनों और प्रकटीकरण के खिलाफ उनकी सुरक्षा को नियंत्रित करना है। एक तकनीकी (तार्किक), भौतिक या संगठनात्मक स्तर पर पहुंच नियंत्रण किया जा सकता है।

अपडेट किया गया:14.03.2010


पहुँच नियंत्रण - यह एक सुरक्षा तंत्र है जो सिस्टम और संसाधनों के साथ-साथ सिस्टम के साथ-साथ सिस्टम के बीच बातचीत की प्रक्रिया का प्रबंधन करता है। यह तंत्र अनधिकृत पहुंच से सिस्टम और संसाधनों की सुरक्षा करता है और प्रमाणीकरण प्रक्रिया के सफल मार्ग के बाद प्राधिकरण के स्तर को निर्धारित करने में भाग लेता है। हमें यह नहीं भूलना चाहिए कि उपयोगकर्ताओं के अलावा, नेटवर्क में अन्य इकाइयां हैं जिन्हें नेटवर्क संसाधनों और जानकारी तक पहुंच की आवश्यकता है। पहुंच नियंत्रण की प्रक्रिया में, आपको विषय और वस्तु की परिभाषाओं को जानने और समझने की आवश्यकता है।

एक्सेस विषय और वस्तु के बीच जानकारी का प्रवाह है। विषय एक सक्रिय इकाई है जो वस्तु के अंदर किसी वस्तु या डेटा तक पहुंच का अनुरोध करती है। विषय एक उपयोगकर्ता, एक प्रोग्राम या प्रक्रिया हो सकता है जो इसके कार्य को पूरा करने के लिए किसी ऑब्जेक्ट तक पहुंच का उपयोग करता है। वस्तु एक निष्क्रिय इकाई है जिसमें जानकारी है। ऑब्जेक्ट एक कंप्यूटर, डेटाबेस, फ़ाइल, हो सकता है, कंप्यूटर प्रोग्राम, निर्देशिका या डेटाबेस तालिका क्षेत्र। उदाहरण के लिए, यदि आप डेटाबेस में जानकारी देख रहे हैं, तो आप एक सक्रिय विषय हैं, और डेटाबेस एक निष्क्रिय वस्तु है। चित्रा 2-1 विषयों और वस्तुओं को दर्शाता है।

चित्रा 2-1। विषय एक सक्रिय इकाई है जो किसी वस्तु को निष्क्रिय सार तक पहुंच का उपयोग करती है।


अभिगम नियंत्रण है व्यापक अवधारणाजिसमें विभिन्न प्रकार के तंत्र शामिल हैं जो कंप्यूटर सिस्टम, नेटवर्क और सूचना के लिए एक्सेस कंट्रोल फ़ंक्शंस करते हैं। एक्सेस कंट्रोल बेहद महत्वपूर्ण है क्योंकि यह सिस्टम और नेटवर्क संसाधनों तक अनधिकृत पहुंच के खिलाफ लड़ाई में रक्षा की पहली पंक्ति है। जब उपयोगकर्ता को कंप्यूटर में प्रवेश करने के लिए नाम और पासवर्ड द्वारा अनुरोध किया जाता है, तो यह एक्सेस कंट्रोल है। कंप्यूटर में लॉग इन करने के बाद, उपयोगकर्ता उन फ़ाइलों तक पहुंचने का प्रयास करता है जिनमें एक्सेस कंट्रोल सूचियां हैं जिनमें उपयोगकर्ता और समूह शामिल हैं जिनके पास इन फ़ाइलों का उपयोग करने का अधिकार है। यह भी उपयोग नियंत्रण है। एक्सेस कंट्रोल कंपनी को संसाधनों की उपलब्धता, अखंडता और गोपनीयता को प्रबंधित, सीमित, निगरानी और संरक्षित करने की अनुमति देता है।

किसी भी सुरक्षा प्रबंधन प्रकार के लिए तीन बुनियादी सुरक्षा सिद्धांत हैं: उपलब्धता, अखंडता और गोपनीयता। इन सिद्धांतों को डोमेन 01 में अधिक विस्तार से माना जाता था, लेकिन उन्हें सुरक्षा प्रबंधन के दृष्टिकोण से माना जाता था, और अब हम उन्हें प्रौद्योगिकी के दृष्टिकोण और पहुंच नियंत्रण की तकनीकों के दृष्टिकोण से विचार करेंगे। प्रत्येक सुरक्षा तंत्र (या प्रबंधन) इन सिद्धांतों में से कम से कम एक लागू करता है। सुरक्षा विशेषज्ञ को सब कुछ समझना चाहिए संभावित तरीके इन सिद्धांतों को लागू करें।

उपलब्धता। सूचना, सिस्टम और संसाधन उपयोगकर्ताओं को उन समय उपलब्ध होने के लिए उपलब्ध होना चाहिए, क्योंकि उनके कर्तव्यों को पूरा करना आवश्यक है। जानकारी तक पहुंच की कमी उपयोगकर्ताओं की उत्पादकता पर महत्वपूर्ण नकारात्मक प्रभाव हो सकती है। संसाधनों की निरंतर उपलब्धता सुनिश्चित करने के लिए विफलता और वसूली तंत्र लागू किए जाने चाहिए।

जानकारी में सटीकता, प्रासंगिकता, दक्षता और गोपनीयता जैसे विभिन्न गुण हैं। स्टॉक ब्रोकरों के लिए, सटीक और समय पर जानकारी प्राप्त करना बेहद महत्वपूर्ण है ताकि वे सही समय पर और सही कीमत पर प्रतिभूतियों को खरीद और बेच सकें। ब्रोकर को इस जानकारी की गोपनीयता की देखभाल करने की आवश्यकता नहीं है, केवल इसकी निरंतर उपलब्धता में रुचि है। दूसरी तरफ, गैर-मादक पेय पदार्थ पैदा करने वाली कंपनी इन पेय पदार्थों की तैयारी के लिए व्यंजनों के संरक्षण से सबसे पहले निर्भर करती है, और उचित सुरक्षा तंत्र को लागू करके इसका ख्याल रखेगी।

अखंडता। जानकारी अनधिकृत परिवर्तनों से सटीक, पूर्ण और संरक्षित होना चाहिए। सुरक्षा तंत्र जो सुनिश्चित करते हैं कि जानकारी की अखंडता को अवैध परिवर्तनों के तथ्यों के बारे में उपयोगकर्ताओं या प्रशासकों को सूचित करना चाहिए।

उदाहरण के लिए, यदि उपयोगकर्ता इंटरनेट बैंकिंग सिस्टम पर बैंक को भुगतान आदेश भेजता है, तो बैंक को इसकी अखंडता सुनिश्चित करना चाहिए और किसी ने भी राशि में अनधिकृत परिवर्तन नहीं किए हैं, तो भुगतानकर्ता नहीं बदला है।

गोपनीयता। जानकारी अनधिकृत प्रकटीकरण से अनधिकृत व्यक्तियों, कार्यक्रमों या प्रक्रियाओं से संरक्षित की जानी चाहिए। एक जानकारी अन्य जानकारी की तुलना में अधिक महत्वपूर्ण हो सकती है, इसलिए इसे और अधिक की आवश्यकता है ऊँचा स्तर गोपनीयता। इस संबंध में, डेटा वर्गीकृत किया जाना चाहिए। नियंत्रण तंत्र को लागू किया जाना चाहिए, जो इंगित करता है कि किसके पास डेटा तक पहुंच है और उनके साथ क्या कर सकते हैं, पहुंच प्राप्त कर सकते हैं। इस गतिविधि की निगरानी और लगातार ट्रैक किया जाना चाहिए।

गोपनीय जानकारी का एक उदाहरण चिकित्सा रिकॉर्ड, वित्तीय खाते, हो सकता है स्रोत ग्रंथ कार्यक्रम, सैन्य सामरिक योजनाएं।

कुछ सुरक्षा तंत्र एन्क्रिप्शन उपकरण, तार्किक और भौतिक पहुंच प्रबंधन, यातायात प्रवाह प्रबंधन, सुरक्षित प्रोटोकॉल आदि का गोपनीयता सुनिश्चित करते हैं।

उपयोगकर्ता को संसाधन तक पहुंच प्राप्त करने के लिए पहले यह पुष्टि करनी चाहिए कि वह वह व्यक्ति है जिसके लिए यह देता है, आवश्यक शक्तियां, साथ ही अधिकार और विशेषाधिकार जिनके द्वारा अनुरोधित कार्यों को करने के लिए हैं। केवल इन सभी चरणों के सफल निष्पादन के साथ, उपयोगकर्ता को संसाधनों तक पहुंच प्रदान करनी होगी। इसके अलावा, लेखांकन का उपयोग करने वाले उपयोगकर्ताओं के कार्यों को ट्रैक करना आवश्यक है।

पहचान एक निरीक्षण विधि है जो पुष्टि करती है कि विषय (उपयोगकर्ता, कार्यक्रम या प्रक्रिया) वह है जिसके लिए यह देता है। उपयोगकर्ता नाम या खाता संख्या का उपयोग करके, उदाहरण के लिए पहचान की जा सकती है। प्रमाणीकरण पास करने के लिए, विषय आमतौर पर क्रेडेंशियल्स का दूसरा हिस्सा प्रदान करना चाहिए, जैसे पासवर्ड, पासवर्ड वाक्यांश, क्रिप्टोग्राफिक कुंजी, पिन, बॉयोमीट्रिक विशेषता या टोकन। क्रेडेंशियल्स के इन दो हिस्सों की तुलना पहले सहेजी गई विषय जानकारी के साथ की जाती है और यदि वे मेल खाते हैं, तो प्रमाणीकरण सफल माना जाता है। इसके बाद, सिस्टम एक्सेस कंट्रोल मैट्रिक्स की जांच करता है या यह सत्यापित करने के लिए सुरक्षा लेबल की तुलना करता है कि विषय वास्तव में संसाधन का उपयोग कर सकता है और इसके साथ अनुरोधित कार्यों को निष्पादित कर सकता है। यदि सिस्टम निर्धारित करता है कि विषय संसाधन तक पहुंच सकता है, तो यह इसे अधिकृत करता है।

हमलों की प्रतियोगिता । यह जरूरी है कि सामान्य (साझा संसाधनों) के साथ अपने कार्य करने वाली प्रक्रियाएं सही अनुक्रम में मान्य हैं। दो या दो से अधिक प्रक्रिया साझा संसाधनों को साझा करते समय दौड़ की स्थिति संभव होती है। उदाहरण के लिए, यदि प्रमाणीकरण और प्राधिकरण फ़ंक्शन का सॉफ़्टवेयर सॉफ़्टवेयर में बांटा गया है, तो एक हमलावर के लिए एक अवसर है (उदाहरण के लिए, कार्यक्रम में भेद्यता के कारण) यह सुनिश्चित करने के लिए कि प्राधिकरण चरण निष्पादित करने से पहले निष्पादित किया जाता है प्रमाणीकरण चरण, जो एक हमलावर को संसाधन के लिए अनधिकृत पहुंच का कारण बन सकता है।
यद्यपि पहचान, प्रमाणीकरण, प्राधिकरण और उत्तरदायित्व एक-दूसरे से निकटता से संबंधित हैं, प्रत्येक तत्व में विभिन्न कार्य होते हैं जो एक्सेस कंट्रोल प्रक्रिया के दौरान कुछ आवश्यकताओं को लागू करते हैं। उपयोगकर्ता को नेटवर्क तक पहुंचने के लिए सफलतापूर्वक पहचान और प्रमाणित किया जा सकता है, लेकिन इसमें फ़ाइल सर्वर पर फ़ाइलों तक पहुंचने की अनुमति नहीं हो सकती है। या इसके विपरीत, उपयोगकर्ता को फ़ाइल सर्वर पर फ़ाइलों तक पहुंच की अनुमति दी जा सकती है, लेकिन जब तक उन्हें सफलतापूर्वक पहचाना गया और प्रमाणित प्रक्रिया नहीं हो जाती, ये फ़ाइलें इसके लिए उपलब्ध नहीं हैं। चित्रा 2-2 चार चरणों को दर्शाता है जिन्हें आपको ऑब्जेक्ट तक पहुंच प्राप्त करने के लिए विषय को पारित करने की आवश्यकता होती है।


चित्रा 2-2। विषय तक पहुंच के लिए, चार कदम पारित किए जाने चाहिए: पहचान, प्रमाणीकरण, प्राधिकरण और उत्तरदायित्व


इस विषय को सिस्टम या डोमेन में उनकी ओर से किए गए सभी कार्यों के लिए ज़िम्मेदार होना चाहिए। उत्तरदायित्व सुनिश्चित करने का एकमात्र तरीका विषय की पहचान करना और उसके सभी कार्यों को रिकॉर्ड करना है।

तार्किक अभिगम नियंत्रण - यह एक उपकरण है जो पहचान, प्रमाणीकरण, प्राधिकरण और उत्तरदायित्व के लिए उपयोग किया जाता है। यह उन सॉफ्टवेयर घटकों के रूप में लागू किया गया है जो सिस्टम, प्रोग्राम, प्रक्रियाओं और सूचनाओं के लिए एक्सेस कंट्रोल फ़ंक्शन निष्पादित करते हैं। तार्किक पहुंच नियंत्रण ऑपरेटिंग सिस्टम, अनुप्रयोगों, अतिरिक्त सुरक्षा पैक, डेटाबेस या दूरसंचार प्रबंधन प्रणाली में बनाया जा सकता है। सभी संभावित भेद्यताओं को ध्यान में रखते हुए और प्रदर्शन को चोट पहुंचाने के बिना सभी पहुंच नियंत्रण तंत्र को सिंक्रनाइज़ करना मुश्किल हो सकता है।

ध्यान दें। "तार्किक" और "तकनीकी" पहुंच नियंत्रण शब्द इस पुस्तक और सीआईएसएसपी परीक्षा के संदर्भ में अदला-बदली हैं।
प्रमाणीकरण प्रक्रिया में, एक व्यक्ति के व्यक्ति को चेक किया जाना चाहिए। प्रमाणीकरण, एक नियम के रूप में, दो चरणों में शामिल हैं: सार्वजनिक जानकारी (उपयोगकर्ता नाम, पहचानकर्ता, खाता संख्या, आदि) दर्ज करें, और फिर गुप्त जानकारी (स्थायी पासवर्ड, स्मार्ट कार्ड, एक बार का पासवर्ड, पिन, इलेक्ट्रॉनिक रूप से-कुशोर्य हस्ताक्षर, आदि दर्ज करें ।)। सार्वजनिक जानकारी में प्रवेश करना पहचान है, और गुप्त जानकारी का इनपुट प्रमाणीकरण है। पहचानने और प्रमाणीकरण के लिए उपयोग की जाने वाली प्रत्येक विधि में इसके फायदे और विपक्ष हैं। मौजूदा वातावरण के लिए सही तंत्र का चयन करने के लिए पहचान और प्रमाणीकरण विधियों का एक उचित मूल्यांकन किया जाना चाहिए।

जब सूचना संसाधनों तक सुरक्षित पहुंच के संगठन की बात आती है, तो तीन "ए" (ऑटेंटिफिकेशन, प्राधिकरण, अभिगम नियंत्रण) का सिद्धांत आमतौर पर दिमाग में आता है। लेकिन अगर आप इस कार्य से जुड़ी सभी समस्याओं को हल करना शुरू करते हैं, तो आप जल्दी से यह निष्कर्ष निकाला जाएगा कि संगठन के लिए सूचना संसाधनों के लिए कंपनी की सुरक्षित पहुंच को एक प्रभावी सूचना सुरक्षा प्रणाली बनाई जानी चाहिए। यह एक लेख का विषय नहीं है और यहां तक \u200b\u200bकि एक पुस्तक भी नहीं।

अनातोली Skratumov
उप निदेशक, विभाग के प्रमुख
सूचना सुरक्षा,
पीजेएससी "बैंक" सेंट-पीटर्सबर्ग "

इसलिए, इस लेख में, मैं संगठन के संसाधनों तक सुरक्षित दूरस्थ पहुंच के संगठन से संबंधित कई क्षणों पर चर्चा करने का प्रस्ताव करता हूं। यह विषय काफी प्रासंगिक है पिछले साल का। व्यवसाय अधिक मोबाइल बन रहा है, कंपनी का कार्यालय इतनी अनिवार्य विशेषता नहीं है, मोबाइल उपकरणों का व्यापक प्रसार केवल स्थिति को "उत्तेजित करता है"।

क्या रिमोट एक्सेस के बिना करना संभव है?

यह संभव है, लेकिन यह असहज, नोटेक्नोलॉजिकल, गैर-लाभकारी है। समस्याओं को हल करने की दक्षता, कर्मचारियों का प्रदर्शन, प्रक्रियाओं की प्रभावशीलता, और अंत में - संगठन कम पैसा कमाता है। स्वाभाविक रूप से, सभी उद्योगों के लिए समान रूप से प्रासंगिक नहीं है, लेकिन ऐसे क्षेत्र, जहां यह बिल्कुल प्रासंगिक नहीं है, यह कम और कम हो जाता है।

मैं सूचना संसाधनों तक दूरस्थ पहुंच के बिना संगठनों में काम करने का एक छोटा सा उदाहरण दूंगा। आप में से कई को स्थिति से निपटना पड़ा "एक कर्मचारी के पास समय नहीं था, घर पर काम किया।" और कार्यकर्ता ने उसके साथ क्या लिया? यह स्पष्ट रूप से धातु के रिक्त स्थान के साथ एक खराद नहीं है। उन्होंने उसके साथ जानकारी ली। और क्योंकि वह हमेशा नहीं जानता कि उसे क्या चाहिए (उदाहरण के लिए, कुछ रिपोर्ट तैयार करने के लिए), वह उन सब कुछ लेने की कोशिश करता है जो आसान हो सकता है। घर को ऐसा काम क्या दिया जा सकता है, आपको सूचना सुरक्षा में विशेषज्ञ को समझाने की आवश्यकता नहीं है।



यह ध्यान दिया जाना चाहिए कि अधिकांश संगठनों में कॉर्पोरेट नेटवर्क के भीतर भी सर्वर तक पहुंच भी दूर है, क्योंकि सर्वर को कोडाए के आयोजकों के संगठन के कर्मचारियों के मुख्य प्लेसमेंट से भौगोलिक रूप से रिमोट में रखा जाता है। एक और बात यह है कि समर्पित चैनलों द्वारा उनके लिए पहुंच की जाती है, संरक्षित परिधि के अंदर स्थित कंप्यूटरों से और एकीकृत सुरक्षा नीतियों के अनुरूप पहुंच की जाती है।

सबकुछ अधिक कठिन हो जाता है जब इंटरनेट के माध्यम से संगठन के संसाधनों तक दूरस्थ पहुंच की रक्षा करना आवश्यक होता है, और यहां तक \u200b\u200bकि कुछ मामलों में, व्यक्तिगत मोबाइल उपकरणों के साथ भी।

संगठन के सूचना संसाधनों तक दूरस्थ पहुंच की आवश्यकता कौन है?

  • कार्यालय से बाहर निकलने के दौरान विभिन्न स्तरों के नेताओं की आवश्यकता होती है - प्रबंधन निर्णय लेने के लिए व्यावसायिक अनुप्रयोगों के लिए इंट्यूफिस्क इलेक्ट्रॉनिक दस्तावेज़ प्रबंधन की प्रणाली को ईमेल तक पहुंच;
  • प्रशासकों के विभिन्न स्तर जानकारी के सिस्टम - रिमोट निगरानी और उनके प्रदर्शन की परिचालन बहाली सुनिश्चित करने के लिए प्रशासित प्रणालियों तक पहुंच की आवश्यकता है;
  • प्रतिपक्षियों के प्रतिनिधियों के साथ जिनके साथ कंपनी सहयोग करती है, उसे आवश्यक सेटिंग्स को पूरा करने के लिए प्रतिपक्ष द्वारा कार्यान्वित प्रणाली तक पहुंच की आवश्यकता होती है, परीक्षणों को परीक्षण करने के लिए सिस्टम का परीक्षण करने के लिए सिस्टम को परीक्षण करने, खेलने और युद्ध प्रणाली पर पहचाने गए त्रुटियों को खत्म करने के लिए; आउटसोर्सिंग पर कुछ कार्यों के संचरण के मामले में, इन कंपनियों के कर्मचारियों के लिए दूरस्थ पहुंच की आवश्यकता हो सकती है;
  • मोबाइल कर्मचारी अपनी नौकरी की जिम्मेदारियों को पूरा करने के लिए;
  • कंपनी के नियमित कर्मचारी (उदाहरण के लिए, यदि वे "घर पर काम करने" का निर्णय लेते हैं)।

संगठन के सूचना संसाधनों के लिए कर्मचारियों को दूरस्थ पहुंच के लाभ काफी स्पष्ट हैं, लेकिन महत्वपूर्ण जोखिम हैं।

रिमोट एक्सेस आयोजित करते समय हम क्या डरते हैं?

यह नियोक्ता के लिए फायदेमंद है जब कोई कर्मचारी कामकाजी समय पर कुछ कार्य करता है। लेकिन यदि व्यापक लग रहा है, तो दूरस्थ पहुंच का उपयोग मजदूरी श्रम के संगठन के प्रतिमान को बदलता है। कर्मचारी कार्यालय में सिर्फ 8 घंटे नहीं है, नाटक करते हुए कि सभी 8 घंटे सक्रिय रूप से अपने आधिकारिक कर्तव्यों को पूरा करने में लगे हुए हैं। कर्मचारी उसके लिए सुविधाजनक समय पर इसके लिए सुविधाजनक स्थान पर काम करता है। और यदि यह 4 घंटे के लिए कार्यों की मात्रा के साथ copes, और 8 के लिए नहीं, इसका मतलब है कि उसके अंत में, पेशेवर संचार के लिए, पेशेवर संचार के लिए, प्रशिक्षण के लिए उसके पास रचनात्मकता के लिए अधिक समय होगा। एक कर्मचारी श्रम उत्पादकता में सुधार करने में रूचि रखता है।

1. गोपनीय डेटा का रिसाव जो कई कारणों से हो सकता है:

  • एक मोबाइल डिवाइस या कंप्यूटिंग प्रौद्योगिकी के नुकसान (हानि, चोरी) जिसमें से पहुंच की जाती है;
  • दुर्भावनापूर्ण सॉफ़्टवेयर के उपकरणों का संक्रमण;
  • मरम्मत के लिए इस तकनीक का हस्तांतरण;
  • रिश्तेदारों और परिचितों की इस तकनीक तक पहुंच।

2. कॉर्पोरेट मैलवेयर सिस्टम का संक्रमण। यह एक दुर्भावनापूर्ण सॉफ़्टवेयर के मामले में हो सकता है जिसमें से कॉर्पोरेट सूचना संसाधनों तक रिमोट पहुंच आगे संक्रमण के साथ की जाती है। सूचना निधि और संगठन के अंदर सिस्टम।

3. कॉर्पोरेट कंप्यूटिंग नेटवर्क के लिए अनधिकृत पहुंच। इसका उपयोग प्रमाणीकरण डेटा के रिसाव (इंटरसेप्शन) के मामले में या डिवाइस पर अनधिकृत पहुंच प्राप्त करने के मामले में किया जा सकता है, जिससे रिमोट एक्सेस किया जाता है। खतरे को मुख्य रूप से लागू किया जाता है जब डिवाइस से संक्रमित होता है जिससे दूरस्थ पहुंच, दुर्भावनापूर्ण सॉफ़्टवेयर।

एक छोटे से उदाहरण पर विचार करें

लगभग मानक डी तथ्य अपने कॉर्पोरेट मेलबॉक्स तक दूरस्थ पहुंच बन गया। ऐसे कुछ संगठन हैं जिनमें से किसी भी कर्मचारियों के पास उनके कॉर्पोरेट ईमेल तक दूरस्थ पहुंच नहीं है। लेकिन इस तरह, ऐसा लगता है, सामान्य सूचनात्मक विनिमय सुरक्षा के लिए इतना आसान नहीं है। मुख्य समस्या यह है कि शास्त्रीय कार्यान्वयन में, मेल क्लाइंट उपयोगकर्ता डिवाइस पर ईमेल संदेशों को पंप करता है। इसलिए, यदि आपके पास अंतिम डिवाइस पर अनुलग्नकों को सहेजने की क्षमता के बिना केवल एक वेब प्रोटोकॉल ईमेल तक पहुंच सीमित करने की क्षमता है, तो यह कई समस्याओं को हल करेगा। यदि नहीं, तो आपको उपयोगकर्ता के एंड डिवाइस पर डिक्रिप्शन के लिए ईमेल एन्क्रिप्शन और सुरक्षित कुंजी स्टोरेज व्यवस्थित करना होगा। यदि यह तकनीकी रूप से अवास्तविक है, तो आप कई दिनों तक ईमेल सिंक्रनाइज़ेशन की अवधि को सीमित करने के लिए मुआवजे के उपाय के रूप में सलाह दे सकते हैं। वे। उपयोगकर्ता के डिवाइस पर होगा ईमेल केवल पिछले 3-5 दिनों के लिए, जो आप देखते हैं, कम से कम आधे साल के अंतिम के लिए सभी पत्राचार की तुलना में काफी बेहतर है। एक और पहलू जिसे हल करने की आवश्यकता है, यह नियंत्रित करना है कि उपयोगकर्ता इस ईमेल के साथ क्या करता है। रिमोट एक्सेस के लिए कॉर्पोरेट उपकरणों के उपयोग के मामले में, आप डीएलपी सिस्टम एजेंट डिवाइस सेट कर सकते हैं। व्यक्तिगत उपकरणों के उपयोग के मामले में, तकनीकी रूप से कार्यान्वित करना मुश्किल होगा - उपयोगकर्ताओं के डिवाइस के उपकरणों के "चिड़ियाघर" को ध्यान में रखते हुए, और नैतिक विचारों के लिए - व्यक्ति के व्यक्तिगत में गैर हस्तक्षेप के दृष्टिकोण से जिंदगी।

काफी हद तक, दूरस्थ पहुंच की सुरक्षा अनुमत इंटरैक्शन प्रोटोकॉल पर निर्भर करती है। व्यावहारिक रूप से, सुरक्षित पहुंच के संगठन के निम्नलिखित विधियां सबसे आम हैं:

  • कॉर्पोरेट नेटवर्क के लिए संगठन वीपीएन;
  • टर्मिनल यौगिक का उपयोग कर दूरस्थ पहुंच का संगठन;
  • एप्लिकेशन का वेब प्रकाशन और HTTPS प्रोटोकॉल के माध्यम से पहुंच प्रदान करें।

कॉर्पोरेट नेटवर्क के लिए वीपीएन संगठन कॉर्पोरेट उपकरणों के साथ कॉर्पोरेट नेटवर्क तक पहुंच आयोजित करने के लिए सबसे पुरानी और व्यापक रूप से उपयोग की जाने वाली विधियों में से एक है। तकनीक आपको संगठन के कार्यालय में स्थापित कंप्यूटर के समान कॉर्पोरेट कंप्यूटिंग नेटवर्क में एक दूरस्थ डिवाइस को सक्षम करने की अनुमति देती है। यह ऊपर वर्णित सभी तीन खतरों को लागू करने के उच्च जोखिम के कारण ऐसा नहीं करना है। कॉर्पोरेट कंप्यूटिंग नेटवर्क के demilitritized क्षेत्र में या एक विशेष वीएलएएन में वीपीएन "भूमि" के लिए सलाह दी जाती है और मुख्य कॉर्पोरेट कंप्यूटिंग नेटवर्क के साथ इस सबनेट की बातचीत के लिए एक्सेस और प्रोटोकॉल को सख्ती से सीमित करें। वर्तमान में, बाजार में सुरक्षित कनेक्शन (वीपीएन) आयोजित करने के लिए उपकरणों की काफी विस्तृत श्रृंखला है, जिससे ऐसी बातचीत के लिए अतिरिक्त सीमाएं मिलती हैं।

महत्वपूर्ण प्रणालियों और सर्वरों तक दूरस्थ पहुंच के लिए, सलाह दी जाती है कि कॉर्पोरेट उपकरणों का उपयोग करने के लिए सख्त सुरक्षा नीतियां स्थापित हों: कोई नि: शुल्क इंटरनेट का उपयोग नहीं, केवल कॉर्पोरेट नेटवर्क से कनेक्ट करने के लिए पहुंच संभव है; एक कार्यात्मक रूप से बंद वातावरण का संगठन - अनुमत को छोड़कर किसी भी सॉफ्टवेयर को स्थापित और लॉन्च करने के अधिकारों की अनुपस्थिति; हार्ड डिस्क डिवाइस का एन्क्रिप्शन; बाहरी ड्राइव, आदि को जोड़ने पर प्रतिबंध

सर्वर के साथ टर्मिनल डिवाइस की टर्मिनल इंटरैक्शन लगभग पहले कंप्यूटर के आगमन के साथ दिखाई दिया। प्रारंभ में, इस तरह की बातचीत संगठन वीपीएन की तुलना में अधिक सुरक्षित है, क्योंकि यह सर्वर पर केवल एक चरित्र या ग्राफिकल इंटरफ़ेस के टर्मिनल डिवाइस पर ट्रांसमिशन के साथ सर्वर पर जानकारी की प्रक्रिया को संसाधित करता है। आधुनिक टर्मिनल डिवाइस काफी अधिक कार्यात्मक हैं, और टर्मिनल इंटरैक्शन के प्रोटोकॉल स्वयं बहुत अधिक संभावनाएं बन गए हैं। इसलिए, अधिकांश आधुनिक इंटरैक्शन टर्मिनल प्रोटोकॉल में प्रेषित यातायात को एन्क्रिप्ट करने की क्षमता होती है। लेकिन साथ ही, लगभग सभी डेटा फ़ाइल संचरण की अनुमति देते हैं जो सुरक्षा के मामले में आवश्यक जोखिम है। इसलिए, दूरस्थ पहुंच के संगठन के लिए आधुनिक टर्मिनल इंटरैक्शन प्रोटोकॉल के आवेदन के लिए न्यूनतम डेटा फ़ाइल संचरण पर अतिरिक्त प्रतिबंध और क्लिपबोर्ड के माध्यम से जानकारी की प्रतिलिपि बनाना आवश्यक है।

एचटीटीपीएस प्रोटोकॉल का उपयोग करके आवेदन करने के लिए आवेदन और संगठन का वेब-प्रकाशन सूचना संसाधनों तक एक सुरक्षित रिमोट पहुंच को व्यवस्थित करने का सबसे उन्नत तरीका है। कई आधुनिक प्रणालियों (एक ही ईमेल) में ऐसी पहुंच आयोजित करने के लिए अंतर्निहित कार्यक्षमता है। लेकिन अगर शुरुआत में एप्लिकेशन में अंतर्निहित वेब इंटरनेट-एस नहीं है, तो इसके संगठन के लिए पर्याप्त संख्या में सॉफ्टवेयर टूल्स हैं।

इस बात पर निर्भर करता है कि पहुंच प्रदान करने के लिए किस प्रकार की जानकारी की योजना बनाई गई है। महत्वपूर्ण प्रणालियों और सर्वरों तक दूरस्थ पहुंच के लिए, सलाह दी जाती है कि कॉर्पोरेट उपकरणों का उपयोग करने के लिए सख्त सुरक्षा नीतियां स्थापित हों: कोई नि: शुल्क इंटरनेट का उपयोग नहीं, केवल कॉर्पोरेट नेटवर्क से कनेक्ट करने के लिए पहुंच संभव है; एक कार्यात्मक रूप से बंद वातावरण का संगठन - अनुमत को छोड़कर किसी भी सॉफ्टवेयर को स्थापित और लॉन्च करने के अधिकारों की अनुपस्थिति; हार्ड डिस्क डिवाइस का एन्क्रिप्शन; बाहरी ड्राइव, आदि को जोड़ने पर प्रतिबंध

कम महत्वपूर्ण कॉर्पोरेट सिस्टम के लिए, आप निम्नलिखित शर्तों के तहत व्यक्तिगत उपकरणों से पहुंच की अनुमति दे सकते हैं:

  1. रिमोट एक्सेस के साथ सख्त उपयोगकर्ता प्रमाणीकरण प्रणाली का उपयोग करना; मल्टीफैक्टर प्रमाणीकरण का उपयोग किया जाना चाहिए;
  2. उपयोगकर्ता को अपने व्यक्तिगत डिवाइस पर कॉर्पोरेट डेटा को सहेजने की क्षमता नहीं होनी चाहिए, या एक संरक्षित वातावरण डिवाइस पर बनाया जाना चाहिए (अलग-अलग ओएस लोड, एक अलग वर्चुअल मशीन, मोबाइल उपकरणों के लिए - एक विशेष क्रिप्टोकॉन्टेनर);
  3. इंटरैक्शन प्रोटोकॉल को प्रेषित डेटा की सुरक्षा (एन्क्रिप्शन) प्रदान करना होगा;
  4. उपयोगकर्ता डिवाइस को कुछ सुरक्षा आवश्यकताओं का पालन करना होगा;
  5. दूरस्थ कनेक्शन घटनाओं का लेखा परीक्षा कॉन्फ़िगर किया जाना चाहिए।

रिमोट एक्सेस के साथ कौन सी सुरक्षा प्रणाली मदद कर सकती है? एंटी-वायरस सॉफ़्टवेयर, फ़ायरवॉल और डिटेक्शन सिस्टम का उपयोग करने के मुद्दों पर, मैं भी रुक नहीं पाऊंगा। आइए अधिक विशिष्ट उत्पादों को देखें।

1. विशेष पहुंच सर्वर (गेटवे)।

आम तौर पर प्रमाणीकरण सर्वर, वीपीएन गेटवे, फ़ायरवॉल, हमले का पता लगाने सिस्टम की कार्यक्षमता को गठबंधन करते हैं। उनमें से कई स्थापित सुरक्षा नीतियों के अनुपालन के लिए उपयोगकर्ता उपकरणों को सत्यापित कर सकते हैं। इस तरह के समाधान में उपयोगकर्ता उपकरणों पर स्थापना के लिए एक विशेष सॉफ्टवेयर घटक भी हो सकता है।

2. सख्त प्रमाणीकरण प्रणाली।

BYOD तकनीक का उपयोग करते समय, उपयोगकर्ता डिवाइस को दुर्भावनापूर्ण सॉफ़्टवेयर से संक्रमित होने पर प्रमाणीकरण डेटा की अवरोधन से पर्याप्त रूप से संरक्षित सभी उपयोगकर्ताओं के लिए समान दो-सुविधा प्रमाणीकरण प्रदान करना मुश्किल है। व्यावहारिक रूप से, यह एक डिस्पोजेबल पासवर्ड सिस्टम (ओटीपी) के इस अर्थ में अच्छी तरह से स्थापित किया गया है।

3. महत्वपूर्ण सूचना संसाधनों के लिए उच्च स्तर की दूरस्थ पहुंच सुनिश्चित करने के लिए, यह सलाह दी जाती है कि विशेष कंप्यूटर या मोबाइल उपकरणों का उपयोग करना जो शुरुआत में एक सुरक्षित कॉन्फ़िगरेशन और सभी आवश्यक सुरक्षा सुविधाओं का समर्थन करते हैं।

4. प्रबंधन प्रणाली विशेषाधिकार प्राप्त खाते। आमतौर पर सिस्टम को प्रशासित करने के लिए रिमोट कनेक्शन का उपयोग करते समय जोखिम को कम करने के लिए उपयोग किया जाता है। इन प्रणालियों की मुख्य कार्यक्षमता संगठन की महत्वपूर्ण सूचना प्रणाली तक पहुंच के वास्तविक पासवर्ड को सुलझाने, रिमोट कंट्रोल के सत्र को ठीक करने, सत्र की वीडियो रिकॉर्डिंग तक और रिमोट कंट्रोल में कुछ घटनाओं को सक्रिय रूप से जवाब देने की क्षमता को समाप्त करना है सत्र।

5. एमडीएम - मोबाइल डिवाइस प्रबंधन (एमएएम - मोबाइल एप्लिकेशन प्रबंधन)।

यह विशेष प्रणालियों का एक वर्ग है, जो मोबाइल उपकरणों के केंद्रीकृत प्रबंधन के तहत तेज है।

ऐतिहासिक रूप से, कॉर्पोरेट मोबाइल उपकरणों को प्रबंधित करने के लिए एमडीएम समाधान बनाए गए थे। जब यह विशेष रूप से कॉर्पोरेट लैपटॉप के बारे में आता है, तो किसी को भी संदेह नहीं था अगर उन्हें उन्हें प्रबंधित करने की आवश्यकता हो। मुख्य कार्य इतना "कताई नट" था ताकि उपयोगकर्ता उस पर कुछ भी महत्वपूर्ण नहीं कर सके।

यदि हम व्यक्तिगत मोबाइल उपकरणों के बारे में बात करते हैं, तो कॉर्पोरेट उपकरणों के लिए उपयोग किए जाने वाले दृष्टिकोण हमेशा उपयुक्त नहीं होते हैं। क्या आपके पास अपने कर्मचारियों द्वारा उपयोग किए जाने वाले मोबाइल उपकरणों के "चिड़ियाघर" को प्रबंधित करने की इच्छा है? यदि आप ऐप्पल स्टोर या Google Play Market से एप्लिकेशन इंस्टॉल करने के लिए इसे अक्षम करने के लिए अक्षम होने की संभावना नहीं है। उपयोगकर्ता खुश नहीं होगा अगर संगठन से उनकी बर्खास्तगी के बाद आप टैबलेट या मोबाइल फोन को पूरी तरह से साफ़ करते हैं, इससे सभी उपलब्ध डेटा को हटा दें।



अधिकांश आधुनिक एमडीएम समाधानों में, उपयोगकर्ता पर्यावरण और कॉर्पोरेट डेटा के साथ कार्य वातावरण को विभाजित करने का मुद्दा हल हो गया है (आमतौर पर इसके लिए एक क्रिप्टोकॉन्टेनर तकनीक का उपयोग किया जाता है)। तदनुसार, यह बिल्कुल क्रिप्टोकॉन-टैनर के प्रबंधन पर ध्यान केंद्रित करना संभव हो गया, जो पूरी तरह से डिवाइस को कम से कम आवश्यकताओं और प्रतिबंधों को लागू करता है।

अपने स्वयं के डिवाइस को ब्रूइंग करने के लिए एमडीएम सिस्टम का उपयोग करने का हमारा अनुभव (अपना स्वयं का डिवाइस लाएं) ने इन प्रणालियों की पर्याप्त उच्च दक्षता दिखाई जब कॉर्पोरेट डेटा की दूरस्थ पहुंच सुरक्षित हो। रिमोट एक्सेस की सुरक्षा के अलावा, ऐसे सिस्टम आपको उपयोगकर्ता डिवाइस पर सीधे कॉर्पोरेट जानकारी के संरक्षित भंडारण और प्रसंस्करण को व्यवस्थित करने की अनुमति देते हैं। एक लचीली सेटिंग्स प्रणाली व्यक्तिगत और कॉर्पोरेट मोबाइल उपकरणों दोनों के लिए चयनित सुरक्षा नीतियों को लागू करने के लिए पर्याप्त अवसर प्रदान करती है।

तीन "ओ" का सिद्धांत

मैंने तीन "ए" के सिद्धांत के उल्लेख के साथ एक लेख शुरू किया, और मैं तीन "ओ" के सिद्धांत को पूरा करना चाहता हूं।

कंपनी के सूचना संसाधनों तक दूरस्थ पहुंच के संगठन के बारे में:

  1. जोखिम जोखिम।
  2. सुरक्षा के तरीकों और साधन का निर्धारण करें।
  3. सुरक्षा का स्वीकार्य स्तर सुनिश्चित करें (या इस लागत को छोड़ दें)।
रूस का सबरबैंक

रूस का सबबरबैंक सबसे बड़ा बैंक है रूसी संघ और सीआईएस। इसकी संपत्ति एक चौथाई से अधिक है बैंकिंग सिस्टम देश। 1841 में स्थापित, रूस के सबरबैंक आज एक आधुनिक सार्वभौमिक बैंक है जो विभिन्न ग्राहक समूहों की आवश्यकताओं को पूरा करने वाली सेवाओं की एक विस्तृत श्रृंखला में मिलती है। सबरबैंक जमा बाजार में सबसे बड़ा हिस्सा है और रूसी अर्थव्यवस्था का मुख्य ऋणदाता है।

परियोजना पृष्ठभूमि

सबरबैंक रूस का सबसे बड़ा बैंक है। सबरबैंक आज एक वितरित बहु-स्तर की संरचना है, जिसमें केंद्रीय उपकरण, 17 क्षेत्रीय बैंक, शाखाएं और शाखाएं शामिल हैं (20 हजार से अधिक डिवीजनों की राशि में)। बैंक कर्मचारियों की संख्या 250 हजार लोगों से अधिक है। विभिन्न व्यावसायिक प्रक्रियाओं को स्वचालित करने के लिए, दर्जनों विषम स्वचालित सिस्टम का उपयोग किया जाता है (इसके बाद - एसी बैंक)। प्रारंभ में, एसबरबैंक के आईटी इंफ्रास्ट्रक्चर को प्रबंधन के विकेन्द्रीकरण के साथ वितरित किया गया था, जिसने महत्वपूर्ण तकनीकी और संगठनात्मक कठिनाइयों को जन्म दिया। विशेष रूप से, आईटी संसाधनों के लिए एक्सेस कंट्रोल फ़ंक्शंस के विकेन्द्रीकरण ने निम्नलिखित समस्याओं की उपस्थिति निर्धारित की है:

  • बैंक के रूप में संसाधनों को पहुंच प्रबंधन के मामले में सूचना सुरक्षा नीतियों के अनुपालन की निगरानी के लिए तंत्र की कमी।
  • विषम वक्ताओं में खातों और उपयोगकर्ता पासवर्ड के प्रबंधन के लिए उच्च लागत।
  • नए कर्मचारियों के लिए बैंक के संसाधनों तक पहुंच का इंटरैक्टिव प्रावधान।
  • प्रमाणीकरण, प्राधिकरण, खाता भंडारण कार्यों को लागू करने के लिए प्रत्येक नियमित एसी बैंक को लागू करने की आवश्यकता से जुड़ी लागत।
  • बैंक के कर्मचारियों के काम में समारोह विभिन्न अनुप्रयोगों तक पहुंचने के लिए विभिन्न लॉगिन और पासवर्ड संयोजनों को लागू करने के लिए मजबूर होना पड़ा।
आईटी संसाधनों और प्रबंधन कार्यों के केंद्रीकरण के लिए सबरबैंक की एकीकृत रणनीति के हिस्से के रूप में सूचीबद्ध समस्याओं को खत्म करने के लिए, सूचना संसाधनों के लिए एक केंद्रीकृत पहुंच नियंत्रण प्रणाली स्थापित करने का निर्णय लिया गया (इसके बाद जिसे कोर्ट-आईआर के रूप में जाना जाता है)।

परियोजना के लक्ष्य और उद्देश्य

परियोजना के प्रमुख लक्ष्यों थे:

  • पहुंच नियंत्रण प्रक्रिया की पारदर्शिता और प्रबंधनशीलता में सुधार, इसे कॉर्पोरेट सूचना सुरक्षा मानकों के अनुरूप लाने के लिए।
  • एक्सेस कंट्रोल प्रक्रिया के एकीकरण और स्वचालन के कारण बैंक के रूप में प्रशासन पर कम खर्च।
  • एसी के बाहरी, एकीकृत और केंद्रीकृत पहुंच नियंत्रण सेवाओं के उपयोग के माध्यम से बैंकों के रूप में नए बनाए गए नए और विकास की लागत को कम करना।

अदालत बनाते समय, निम्नलिखित कार्यों को हल करना था:

  • एसी बैंक के सूचना संसाधनों तक उपयोगकर्ता पहुंच का प्रबंधन करने के लिए केंद्रीकृत उपयोगकर्ताओं को विकसित और कार्यान्वित करें।
  • उपयोगकर्ताओं, डिवीजनों, सूचना संसाधन (सेवाओं) और अभिगम प्राधिकरण नीतियों की एक निर्देशिका को लागू करें।
  • सबरबैंक के कार्मिक लेखा प्रणाली से उपयोगकर्ताओं और डेटा डिवीजनों के बारे में जानकारी के संदर्भ में एकीकृत निर्देशिका के स्वचालन सुनिश्चित करें।
  • एसी बैंक से अदालत-आईआर के एकीकरण के लिए विशिष्ट समाधानों का एक सेट विकसित करना;
  • मौजूदा वक्ताओं के साथ एकीकरण करें;
  • एक एकल उपयोगकर्ता लॉगिन (एसएसओ) की प्रक्रिया को लागू करें;
  • बैंक के रूप में और एक्सेस प्रबंधन संचालन पर उपयोगकर्ताओं की पहुंच दोनों के लिए ऑडिट जानकारी का संग्रह सुनिश्चित करने के लिए।

परियोजना कार्यान्वयन की स्थापना

2007 - 2008 - डिजाइनिंग कोर्ट आईआर, एसबरबैंक, अनुभवी संचालन के केंद्रीय कार्यालय में प्रणाली को तैनात करते हुए।

2009 - 2010 - सर्गबैंक के केंद्रीय कार्यालय में पहुंच नियंत्रण प्रक्रिया को स्वचालित करने के लिए अदालत-आईआर का औद्योगिक संचालन। स्कोप क्षेत्र - 30 हजार कर्मचारी बैंक के रूप में पांच के संसाधनों तक पहुंच।

2011 - कर्मियों के डेटा (एयू "फ्रेम्स और वेतन") के स्रोत के साथ अदालत-आईआर का एकीकरण, कर्मचारियों पर जानकारी के विषयों के रूप में कर्मचारियों के स्वचालन।

2011 - 2012। - एसी बैंक के साथ एकीकरण के मामले में अदालत-आईआर का गहन विकास। 17 एसी के लिए एकीकरण किया जाता है। Sberbank की क्षेत्रीय शाखाओं में प्रवेश नियंत्रण स्केलिंग।

2013 - 2014 - एक भूमिका-आधारित पहुंच नियंत्रण मॉडल का विकास, कर्मियों के डेटा के स्रोत के रूप में एसएपी एचआर के साथ एकीकरण। नए एसी बैंक के साथ अदालत-आईआर का एकीकरण।

विवरण विवरण

परियोजना के परिणामस्वरूप, सबरबैंक के सूचना संसाधनों के लिए एक केंद्रीकृत पहुंच प्रबंधन प्रणाली (कोर्ट-आईआर) बनाया गया था। सिस्टम की संरचना अंजीर में प्रस्तुत की जाती है। एक।



अंजीर। 1. आईटी संसाधनों के लिए एक केंद्रीकृत पहुंच नियंत्रण प्रणाली का ढांचा।

कान की अदालत में एक ही सूची और तीन मुख्य कार्यात्मक उपप्रणाली शामिल हैं।

एकल कैटलॉग कोर्ट-आईआर

एक निर्देशिका, अदालत आईआर का एक प्रमुख तत्व होने के नाते, पहुंच प्रबंधन की प्रक्रिया को सुनिश्चित करने के लिए आवश्यक केंद्रीकृत रखरखाव, भंडारण और खोज सेवाओं को लागू करता है। विशेष रूप से, अदालत-आईआर की एकीकृत कैटलॉग में शामिल हैं:

  • एक्सेस विषयों की निर्देशिका - बैंक कर्मचारियों के बैंक खाते, कर्मियों के लेखा प्रणाली से अदालत-आईआर में डाउनलोड किए गए;
  • एसी बैंक सेवाओं की पहुंच वस्तुओं की निर्देशिका;
  • पहुंच भूमिकाओं के बारे में जानकारी;
  • प्रावधान नीति (प्रावधान नीति) - औपचारिक नियम, जिसके आधार पर सीआईआर विषयों, भूमिकाओं और पहुंच वस्तुओं के बीच आवश्यक अनुपालन को निर्धारित करता है;
  • सहायक उपकरण निर्देशिका जैसे संगठनात्मक संरचना निर्देशिका के दौरान अदालत-आईआर द्वारा उपयोग की जाने वाली सहायक संदर्भ पुस्तकें।

ईबीएम टिवोली निर्देशिका सर्वर के आधार पर कान की एकल अदालत लागू की जाती है।

अभिगम शक्ति प्रबंधन उपप्रणाली

सबसिस्टम को विभिन्न एसी बैंक में उपयोगकर्ता खातों के केंद्रीकृत प्रबंधन और उनके गुणों को स्वचालित करने के लिए डिज़ाइन किया गया है। कार्मिक प्रणाली के साथ एकीकरण के लिए धन्यवाद, एक्सेस अथॉरिटी मैनेजमेंट सबसिस्टम आपको बैंक उपयोगकर्ताओं के उपयोगकर्ताओं के जीवन चक्र के मुख्य चरणों को स्वचालित करने की अनुमति देता है, जिनमें निम्न शामिल हैं:

  • स्वचालित निर्माण / खातों का परिवर्तन और उन्हें एसी बैंक में आवश्यक शक्तियों के साथ नामांकित करें;
  • एक कर्मचारी को किसी अन्य विभाजन या एक नई स्थिति में नियुक्ति में स्थानांतरित करते समय एक्सेस प्राधिकरण बदलना;
  • एक कर्मचारी को खारिज करते समय एसी बैंक तक पहुंच का परिचालन अवरोधन।

सबसिस्टम दो नियंत्रण मोड प्रदान करता है:

  • स्वचालित मोड - कर्मियों लेखा प्रणाली (स्थिति, विभाजन, सेवा कार्यों) के कर्मचारियों के बारे में जानकारी के आधार पर बैंक के संसाधनों के संसाधनों तक पहुंच (परिवर्तन) पहुंच।
  • स्वचालित मोड - प्रावधान (परिवर्तन) अदालत-आईआर प्रबंधन वेब इंटरफ़ेस का उपयोग करके पहुंच तक पहुंच तक पहुंच पर एयू के कार्यात्मक प्रशासक के साथ एसी बैंक संसाधनों के संसाधनों तक पहुंच।

एक्सेस अथॉरिटी मैनेजमेंट सबसिस्टम आईबीएम टिवोली पहचान प्रबंधक पर आधारित है।

अभिगम प्रावधान प्रबंधन उपप्रणाली

उपप्रणाली बैंक के उपयोगकर्ताओं के बीच बातचीत की प्रक्रिया का प्रबंधन करती है, जो अनधिकृत पहुंच से एसी बैंक के संसाधनों की अतिरिक्त सुरक्षा प्रदान करती है। उपप्रणाली के संसाधनों तक पहुंच के साथ एक्सेस उपयोगकर्ताओं के प्रावधान में, निम्नलिखित कार्य लागू किए गए हैं:

  • उपयोगकर्ता प्रमाणीकरण (इसके होल्डिंग के कई तरीकों का उपयोग किया जाता है)।
  • कॉर्पोरेट स्पीकर बैंक के वेब संसाधनों के लिए उपयोगकर्ता पहुंच अधिकारों का प्राधिकरण।
  • बैंक के वेब संसाधनों तक पहुंचने पर एक एकल उपयोगकर्ता पंजीकरण (एसएसओ) प्रदान करना।
  • बैंक अनुप्रयोगों के अनुप्रयोगों के बीच HTTP उपयोगकर्ता अनुरोधों का संतुलन।

एक्सेस मैनेजमेंट सबसिस्टम ईबीएम टिवोली एक्सेस मैनेजर ई-बिजनेस आईबीएम टिवोली एक्सेस पर आधारित है।

सूचना सुरक्षा लेखा परीक्षा लेखापरीक्षा उपप्रणाली

उपप्रणाली को बैंक के संसाधनों तक पहुंच के प्रबंधन से संबंधित घटनाओं के बारे में जानकारी पंजीकृत, प्रक्रिया, भंडारण और विश्लेषण करने के लिए डिज़ाइन किया गया है। अदालत-आईआर के वास्तुकला में, गलती सहनशीलता और विदाधीनता के सिद्धांतों को विशेष रूप से रखा जाता है: महत्वपूर्ण घटकों का आरक्षण; भौगोलिक दृष्टि से दूरस्थ साइटों पर मॉड्यूल रखकर, उच्च गति वाले संचार चैनलों के साथ संयुक्त। प्रदर्शन अनुकूलन कोर्ट-आईआर प्रत्येक प्रकार के सिस्टम घटकों के कई उदाहरणों के बीच लोड के वितरण (संतुलन) द्वारा प्रदान किया जाता है। अदालत-आईआर की वास्तुकला लोड संतुलन योजना में उनके बाद के समावेश के साथ अतिरिक्त उदाहरणों को तैनात करके मुख्य प्रकार के घटकों के स्तर पर क्षैतिज स्केलिंग की संभावना प्रदान करती है।

परियोजना परिणाम

माना गया प्रोजेक्ट के कार्यान्वयन के परिणामस्वरूप, एसबरबैंक ने सूचना संसाधनों के लिए एक केंद्रीकृत पहुंच नियंत्रण प्रणाली बनाई, जो बैंक के कर्मचारियों के बीच एसी बैंक में उपयोगकर्ता पहुंच के प्रबंधन को सुनिश्चित करता है। सूचना संसाधनों तक पहुंच का प्रशासन, उपयोगकर्ताओं के प्रमाणीकरण और प्राधिकरण के संदर्भ में एसबरबैंक सूचना सुरक्षा नीतियों के निष्पादन द्वारा आईआर का कोर्ट स्वचालित है। आईआर के कोर्ट प्रबंधन प्रदान करता है जीवन चक्र उपयोगकर्ता खाते - कर्मियों के डेटा संशोधनों को ट्रैक करने के लिए एसी संसाधनों के आवश्यक न्यूनतम सेट से पहले कनेक्शन से पहले कनेक्शन (स्थिति, उपनाम, वैवाहिक स्थिति में परिवर्तन; किसी अन्य इकाई में अनुवाद) और पहुंच अधिकारों के लिए संबंधित परिवर्तन, के समाप्ति तक बर्खास्तगी के दौरान पहुंच।

कार्यान्वित लेखा परीक्षा तंत्र निर्धारित करने की अनुमति देते हैं: कौन, कब और संसाधनों को पहुंच प्राप्त हुआ; सुरक्षा नीतियों का उल्लंघन करने के प्रयासों का पता लगाएं, और यदि आवश्यक हो, तो एसी बैंक को उल्लंघन करने वालों की पहुंच को अवरुद्ध करने के लिए उपाय करें। एक अदालत-आईआर बनाने से बैंक के एसी प्रशासन कार्यों के समाधान से जुड़े लागत को कम करना संभव हो गया, जिसमें रीसेट के लिए उपयोगकर्ता अनुरोधों को संसाधित करना शामिल है भूल गए पासवर्ड एसी में। उपयोगकर्ताओं के लिए (एसबरबैंक कर्मचारी) एकीकृत इनपुट तकनीक (एसएसओ) लागू करके बैंक के रूप में बैंक के वेब संसाधनों तक पहुंचने की प्रक्रिया को सरल बना दिया।

इसके अतिरिक्त, परियोजना परिणामों को निम्नलिखित तथ्यों द्वारा विशेषता दी जा सकती है:

  • 200 9 की शुरुआत से आईआर का न्यायालय औद्योगिक शोषण में है।
  • नियंत्रण सर्किट में, 30 से अधिक एसी बैंक भी हैं, जिनमें विशेष रूप से निम्न शामिल हैं: एयू ईएएसपी (एकीकृत स्वचालित कर्मियों प्रबंधन प्रणाली), बीबीएमओ (पेपरलेस "बीके" और "मिडल" कार्यालय), एसी सीआरएम, एसी ओएचडी के रूप में (कार्यालय आउटडोर गतिविधियाँ)। अन्य एसी बैंक के साथ एकीकरण कार्य जारी है।
  • आईआर के कोर्ट 200,000 से अधिक सेबैंक कर्मचारियों के लिए पहुंच नियंत्रण प्रदान करता है।
  • कैथेड्रल निलंबित टोपोलॉजी कोर्ट-आईआर डुप्लिकेशन के साथ ज़रूरी भाग भौगोलिक दृष्टि से अलग साइटों पर।

उपयोगकर्ता प्रमाणीकरण विधियों का निम्नलिखित सेट उपयोगकर्ता प्रमाणीकरण विधियों को संतुष्ट करने के तरीकों को पूरा करने के दौरान आईबी राजनेताओं को पूरा करने के दौरान लागू किया जाता है:

  • HTTP फॉर्म में उपयोगकर्ता नाम और पासवर्ड दर्ज करने के साथ फॉर्म-आधारित प्रमाणीकरण;
  • एमएस विज्ञापन डोमेन में Kerberos प्रमाणीकरण। इस मामले में, प्रमाणीकरण उपयोगकर्ता के लिए अपरिहार्य रूप से (पारदर्शी) होता है और पहचान डेटा की अतिरिक्त प्रविष्टि की आवश्यकता नहीं होती है;
  • इलेक्ट्रॉनिक कुंजी टच-मेमोरी का उपयोग करके प्रमाणीकरण;
  • एपीआई अदालत के माध्यम से एसी आवेदन से प्रमाणीकरण;
  • एलडीएपी प्रोटोकॉल के अनुसार अदालत-आईआर कैटलॉग में एसी आवेदन से प्रमाणीकरण।

21 अप्रैल, 2016 00:04 पर

कॉर्पोरेट फ़ाइल सूचना संसाधन नियंत्रण मानक


एनटीएफएस में फ़ोल्डर के अधिकारों को सीमित करने से आसान क्या हो सकता है? लेकिन यह सरल कार्य एक असली दुःस्वप्न में बदल सकता है, जब ऐसे फ़ोल्डर्स सैकड़ों, यदि हजारों नहीं हैं, और दूसरों के लिए एक फ़ोल्डर "ब्रेक" के अधिकारों को बदलते हैं। ऐसी स्थितियों में प्रभावी ढंग से काम करने के लिए, एक निश्चित समझौते की आवश्यकता होती है, या एक मानक जो इस तरह के कार्यों को हल करने का वर्णन करेगा। इस लेख में, हम सिर्फ इस तरह के एक मानक के रूपों में से एक पर विचार करते हैं।

क्षेत्र

कॉर्पोरेट फ़ाइल सूचना संसाधन प्रबंधन अधिकार मानक (इसके बाद मानक के रूप में जाना जाता है) माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम चलाने वाले कंप्यूटर पर पोस्ट किए गए फ़ाइल सूचना संसाधनों तक पहुंच प्रदान करने के लिए प्रक्रियाओं को नियंत्रित करता है। मानक उन मामलों पर लागू होता है जहां एनटीएफएस को फ़ाइल सिस्टम के रूप में उपयोग किया जाता है, और एसएमबी / सीआईएफएस फ़ाइलों तक पहुंचने के लिए साझा करने के लिए नेटवर्क प्रोटोकॉल के रूप में।

शब्द और परिभाषाएं

सूचना संसाधन- डेटा का नाम निर्धारित सेट किस विधि और सूचना सुरक्षा प्रदान करने के साधन लागू होते हैं (उदाहरण के लिए, पहुंच तक पहुंच)।
फ़ाइल सूचना संसाधन - फ़ाइल सिस्टम निर्देशिका में संग्रहीत फ़ाइलों और फ़ोल्डरों का सेट (जिसे फ़ाइल सूचना संसाधन की रूट निर्देशिका कहा जाता है), जिस तक पहुंच सीमित है।
समग्र फ़ाइल सूचना संसाधन - यह एक फ़ाइल सूचना संसाधन है जिसमें एक या अधिक नेस्टेड फ़ाइल जानकारी संसाधन होते हैं जो इस संसाधन से संबंधित अधिकारों तक भिन्न होते हैं।
नेस्टेड फ़ाइल सूचना संसाधन - यह एक फ़ाइल सूचना संसाधन है जो सूचना संसाधन का हिस्सा है।
फ़ाइल सूचना संसाधन प्रवेश बिंदु - फ़ाइल सिस्टम निर्देशिका किस नेटवर्क एक्सेस (साझाकर्ता) को प्रदान की जाती है और जिसका उपयोग फ़ाइल सूचना संसाधन तक पहुंच प्रदान करने के लिए किया जाता है। यह निर्देशिका आमतौर पर फ़ाइल सूचना संसाधन की मूल निर्देशिका के साथ मेल खाती है, लेकिन यह भी बेहतर हो सकती है।
मध्यवर्ती सूची - फ़ाइल सिस्टम निर्देशिका फ़ाइल सिस्टम निर्देशिका फ़ाइल सूचना संसाधन की फ़ाइल सूचना संसाधन की रूट निर्देशिका में फ़ाइल जानकारी संसाधन तक। यदि फ़ाइल सूचना संसाधन की प्रविष्टि बिंदु फ़ाइल सूचना संसाधन की मूल निर्देशिका के संबंध में एक उच्च निर्देशिका है, तो यह एक मध्यवर्ती निर्देशिका भी होगी।
उपयोगकर्ता अभिगम समूह - स्थानीय या डोमेन सुरक्षा समूह जिसमें अंततः उपयोगकर्ता खातों को फ़ाइल सूचना संसाधन तक पहुंच के लिए विकल्पों में से एक के साथ संपन्न किया गया है।

बुनियादी सिद्धांत

  1. एक्सेस केवल निर्देशिका स्तर पर सीमांकित है। व्यक्तिगत फ़ाइलों के लिए पहुंच प्रतिबंध नहीं किया जाता है।
  2. पहुंच अधिकारों का उद्देश्य सुरक्षा समूहों के आधार पर किया जाता है। व्यक्तिगत उपयोगकर्ता खातों में पहुंच अधिकारों को असाइन करना नहीं है।
  3. एक्सेस अथॉरिटी (इनकार अनुमतियां) को स्पष्ट रूप से प्रतिबंधित नहीं करते हैं।
  4. एक्सेस अधिकारों की सीमा केवल फ़ाइल प्रणाली के स्तर पर ही की जाती है। एसएमबी / सीआईएफएस नेटवर्क प्रोटोकॉल स्तर पर, अधिकार सीमित नहीं हैं ("सभी" समूह "पढ़ने / रिकॉर्डिंग" / हर किसी - परिवर्तन) है।
  5. एसएमबी / सीआईएफएस सेटिंग्स में फ़ाइल सूचना संसाधन तक नेटवर्क पहुंच सेट करते समय, एक्सेस आधारित गणना (एक्सेस आधारित गणना) विकल्प सेट किया गया है।
  6. उपयोगकर्ता कार्य स्टेशनों पर फ़ाइल सूचना संसाधन बनाना अस्वीकार्य है।
  7. सर्वर के सिस्टम अनुभागों पर फ़ाइल सूचना संसाधन पोस्ट करने की अनुशंसा नहीं की जाती है।
  8. फ़ाइल सूचना संसाधन में कई इनपुट पॉइंट बनाने की अनुशंसा नहीं की जाती है।
  9. यदि संभव हो, तो नेस्टेड फ़ाइल सूचना संसाधनों को बनाने से बचना संभव है, और उन मामलों में जहां फ़ाइल नाम या निर्देशिकाएं होती हैं गोपनीय सूचना, यह बिल्कुल अस्वीकार्य नहीं है

परिसीमन पहुंच का मॉडल

फ़ाइल सूचना संसाधन तक उपयोगकर्ता पहुंच प्रदान की गई है, उन्हें प्राधिकरण के विकल्पों में से एक में शामिल किया गया है:
  • पहुंच "केवल पढ़ें ( आरईएडी nly)। "
  • पहुंच "पढ़ना और लिखना ( आरईएडी और डब्ल्यूसंस्कार)। "
एक्सेस अथॉरिटी के लिए ऐसे विकल्पों तक पहुंच के सीमित होने के कार्यों की भारी संख्या में, यह पर्याप्त होगा, लेकिन यदि आवश्यक हो, तो प्राधिकरण के लिए नए विकल्प बनाना संभव है, जैसे "पढ़ना और लिखना, हटाने को छोड़कर (पढ़ें और लिखें लिखें) हटाना)। कार्यान्वयन के लिए, एक नए प्राधिकरण को क्लॉज बी 3 टेबल्स 1 को स्पष्ट करने की आवश्यकता होगी, अन्यथा मानक का आवेदन अपरिवर्तित रहेगा।

नियम उपयोगकर्ता एक्सेस समूह नामकरण

उपयोगकर्ता पहुंच समूहों के नाम टेम्पलेट द्वारा बनाए गए हैं:

फ़ाइल सूचना संसाधन-संक्षिप्त अधिकारों का नाम

फ़ाइल सूचना संसाधन नाम
इसे यूएनसी संसाधन नाम के साथ मेल खाना चाहिए या सर्वर नाम और स्थानीय पथ शामिल होना चाहिए (यदि संसाधन तक नेटवर्क पहुंच प्रदान नहीं की जाती है)। यदि आवश्यक हो, तो क्षेत्र को कम करने की अनुमति है। अक्षर "\\\\" कम होते हैं, और "\\" और ":" को "-" द्वारा प्रतिस्थापित किया जाता है।

संक्षिप्ताक्षर शक्तियां:

  • आरओ - पढ़ने के विकल्प के लिए "केवल पढ़ें)"
  • आरडब्ल्यू - एक एक्सेस विकल्प के लिए "रीड एंड रिकॉर्ड और लिखें" एक्सेस विकल्प।
उदाहरण 1।
यूएनसी नाम के साथ फ़ाइल सूचना संसाधन के लिए "केवल पढ़ने" प्राधिकरण के साथ उपयोगकर्ता पहुंच समूह का नाम \\\\ FilesRV \\ रिपोर्ट होगी:
फ़ाइल filesrv-report-ro

उदाहरण 2।
उन उपयोगकर्ताओं के एक्सेस समूह का नाम जिनके पास फ़ाइल सूचना संसाधन के लिए "रीडिंग एंड रिकॉर्ड" प्राधिकरण है, पथ डी: \\ यूजरडाटा के साथ TERMSRV सर्वर पर पोस्ट किया गया, होगा:
फ़ाइल-TERMSRV-D-USERSDATA-RW

फ़ाइल सूचना संसाधन निर्देशिका अधिकार पैटर्न

तालिका एक - फ़ाइल जानकारी संसाधन की रूट निर्देशिका के लिए एनटीएफएस एक्सेस टेम्पलेट।

विषयों अधिकार विरासत विधा
विकलांग
A) अनिवार्य अधिकार
विशेष खाता:
"सिस्टम (सिस्टम)"
पूर्ण पहुँच)


"प्रशासक" (प्रशासक) "
पूर्ण पहुँच)
इस फ़ोल्डर के लिए, इसके उपफोल्डर्स और फाइलें (यह फ़ोल्डर, सबफ़ोल्डर और फाइलें)
B.1) शक्तियां "केवल पढ़ने ( आरईएडी nly) "
उपयोगकर्ता एक्सेस समूह:
"संचिका संसाधन-रो नाम"
मूल अधिकार:
ए) पढ़ना और निष्पादन (पढ़ें और निष्पादित करें);
बी) फ़ोल्डर सामग्री की सूची (सूची फ़ोल्डर सामग्री);
ग) पढ़ना (पढ़ना);
इस फ़ोल्डर के लिए, इसके उपफोल्डर्स और फाइलें (यह फ़ोल्डर, सबफ़ोल्डर और फाइलें)
B.2) शक्तियां "पढ़ना और लिखना ( आरईएडी और डब्ल्यूसंस्कार) "
उपयोगकर्ता एक्सेस समूह:
"संचिका संसाधन-आरडब्ल्यू नाम"
मूल अधिकार:
a) परिवर्तन (संशोधित);
बी) पढ़ना और निष्पादन (पढ़ें और निष्पादित करें);
सी) फ़ोल्डर की सामग्री की सूची (सूची फ़ोल्डर सामग्री);
डी) पढ़ना (पढ़ना);
ई) रिकॉर्डिंग (लिखना);
इस फ़ोल्डर के लिए, इसके उपफोल्डर्स और फाइलें (यह फ़ोल्डर, सबफ़ोल्डर और फाइलें)
B.3) यदि उपलब्ध हो तो अन्य शक्तियां
उपयोगकर्ता एक्सेस समूह:
"फ़ाइल-नाम संसाधन-संक्षिप्त प्राधिकरण"
अधिकारियों के अनुसार
इस फ़ोल्डर के लिए, इसके उपफोल्डर्स और फाइलें (यह फ़ोल्डर, सबफ़ोल्डर और फाइलें)

Tabilka 2। - इंटरमीडिएट फ़ाइल सूचना संसाधन निदेशकों के लिए एनटीएफएस एक्सेस अधिकार टेम्पलेट।
विषयों
 अधिकार
 विरासत विधा
उच्च निर्देशिकाओं से पहुंच अधिकारों की विरासत शामिललेकिन यदि यह निर्देशिका एक उच्च फ़ाइल सूचना संसाधन है और कोई अन्य फ़ाइल सूचना संसाधन दर्ज नहीं करता है, तो विरासत विकलांग
A) अनिवार्य अधिकार
विशेष खाता:
"सिस्टम (सिस्टम)"
पूर्ण पहुँच)
इस फ़ोल्डर के लिए, इसके उपफोल्डर्स और फाइलें (यह फ़ोल्डर, सबफ़ोल्डर और फाइलें)
स्थानीय सुरक्षा समूह:
"प्रशासक"
पूर्ण पहुँच)
इस फ़ोल्डर के लिए, इसके उपफोल्डर्स और फाइलें (यह फ़ोल्डर, सबफ़ोल्डर और फाइलें)
B.1) शक्तियां "कैटलॉग के माध्यम से पास (पार
सूचना संसाधन उपयोगकर्ता एक्सेस समूह जिनके लिए यह कैटलॉग इंटरमीडिएट है
अतिरिक्त सुरक्षा सेटिंग्स:
ए) ट्रैवर्स फ़ोल्डर्स / फाइलों का निष्पादन (ट्रैवर्स फ़ोल्डर / निष्पादित फ़ाइलें);
बी) फ़ोल्डर / पाठक की सामग्री (सूची फ़ोल्डर / रीड डेटा);
सी) विशेषताओं को पढ़ना (विशेषताएं पढ़ें);
सी) अतिरिक्त विशेषताओं को पढ़ना (विस्तारित विशेषताओं को पढ़ें);
डी) अनुमतियां पढ़ें (अनुमतियां पढ़ें);
केवल इस फ़ोल्डर के लिए (केवल यह फ़ोल्डर)

फ़ाइल सूचना संसाधनों के लिए व्यापार नियंत्रण प्रक्रिया

A. एक फ़ाइल सूचना संसाधन बनाना
फ़ाइल सूचना संसाधन बनाते समय, निम्न क्रियाएं की जाती हैं:
  1. उपयोगकर्ता पहुंच समूह बनाएं। यदि सर्वर जिस पर फ़ाइल सूचना संसाधन पोस्ट किया गया है, वह डोमेन का सदस्य है, फिर डोमेन समूह बनाए जाते हैं। यदि नहीं, तो समूह सर्वर पर स्थानीय रूप से बनाए जाते हैं।
  2. फ़ाइल सूचना संसाधन की रूट निर्देशिका और इंटरमीडिएट निर्देशिका पर एक्सेस अधिकार टेम्पलेट्स के अनुसार एक्सेस अधिकार असाइन किए जाते हैं।
  3. उपयोगकर्ता खाते को उपयोगकर्ता पहुंच समूहों में उनकी शक्तियों के अनुसार जोड़ा जाता है।
  4. यदि आवश्यक हो, तो नेटवर्क फ़ोल्डर (साझा फ़ोल्डर) फ़ाइल सूचना संसाधन के लिए बनाया गया है।
B. फ़ाइल सूचना संसाधन तक उपयोगकर्ता पहुंच प्रदान करना
उपयोगकर्ता खाता अपनी शक्तियों के आधार पर उपयुक्त उपयोगकर्ता पहुंच समूह में रखा गया है।

B. फ़ाइल सूचना संसाधन तक उपयोगकर्ता पहुंच बदलें
संकेतित प्राधिकारी के आधार पर उपयोगकर्ता खाता उपयोगकर्ता पहुंच के दूसरे समूह में जाता है।

जी। फ़ाइल सूचना संसाधन के लिए उपयोगकर्ता पहुंच को अवरुद्ध करना
उपयोगकर्ता खाता फ़ाइल सूचना संसाधन उपयोगकर्ता पहुंच समूहों से हटा दिया गया है। यदि कर्मचारी को खारिज कर दिया गया है, तो समूहों में सदस्यता बदलती नहीं है, और खाता पूरी तरह से अवरुद्ध है।

डी 1। एक संलग्न फ़ाइल सूचना संसाधन बनाना। अभिगम का विस्तार
यह कार्य तब होता है जब कुछ फ़ाइल सूचना संसाधन निर्देशिका में व्यक्तियों के अतिरिक्त समूह (एक्सेस का विस्तार) तक पहुंच प्रदान करना आवश्यक है। उसी समय, निम्नलिखित गतिविधियां पूरी हो गई हैं:

  1. एक बेहतर यौगिक फ़ाइल सूचना संसाधन के उपयोगकर्ताओं के समूह पहुंच समूह उप-निर्धारित फ़ाइल सूचना संसाधन के उपयोगकर्ता पहुंच समूहों में जोड़े गए हैं।
डी 2। एक संलग्न फ़ाइल सूचना संसाधन बनाना। सुझाव पहुंच
यह कार्य तब होता है जब किसी निश्चित फ़ाइल सूचना संसाधन निर्देशिका तक पहुंच को प्रतिबंधित करना आवश्यक होता है और इसे केवल सीमित समूह के लिए प्रदान करता है:
  1. एक निवेशित फ़ाइल सूचना संसाधन दर्ज किया गया है (प्रक्रिया के अनुसार)
  2. सूचना संसाधन द्वारा बनाई गई जानकारी के उपयोगकर्ता पहुंच समूहों को उन उपयोगकर्ता खातों को रखा जाता है जिन्हें पहुंच प्रदान करने की आवश्यकता होती है।
ई। फ़ाइल सूचना संसाधन तक पहुंच प्रदान करने के लिए मॉडल बदलना
ऐसे मामलों में जहां मानक विकल्प "पढ़ना (केवल पढ़ना)" या "पढ़ना और रिकॉर्डिंग (पढ़ना और लिखना)", आपको नई प्रकार की शक्तियों को जोड़ने की आवश्यकता है, जैसे "पढ़ना और लिखना, हटाने को छोड़कर (पढ़ें और लिखने के लिए लिखें ) "निम्नलिखित क्रियाएं करें:
  1. संगठनात्मक (या तकनीकी, लेकिन फ़ाइल सिस्टम निदेशकों तक पहुंच बदलने से संबंधित नहीं) उपयोगकर्ताओं को उपयोगकर्ता द्वारा इस और सभी नेस्टेड फ़ाइल सूचना संसाधनों तक अवरुद्ध कर दिया गया है।
  2. नए एक्सेस अधिकार फ़ाइल सूचना संसाधन की मूल निर्देशिका को असाइन किए गए हैं, जबकि एक्सेस अधिकार सभी सहायक कंपनियों के लिए प्रतिस्थापित किए जाते हैं (विरासत सक्रिय है)।
  3. सभी निवेश संसाधनों के लिए पहुंच अधिकारों को कम करें।
  4. इंटरमीडिएट निर्देशिकाओं को इस और नेस्टेड सूचना संसाधनों के लिए कॉन्फ़िगर किया गया है।

उदाहरण

Infociphtoservis LLC के काल्पनिक संगठन के उदाहरण पर इस मानक के आवेदन पर विचार करें, जहां फ़ाइल जानकारी संसाधनों के केंद्रीकृत भंडारण के लिए "FilesRV" नामक एक सर्वर आवंटित किया गया है। सर्वर माइक्रोसॉफ्ट विंडोज सर्वर 2008 आर 2 ऑपरेटिंग सिस्टम चला रहा है और एफक्यूडीएन नाम "डोमेन .िक्स" और नेटबीओएसओ नाम "आईसीएस" के साथ सक्रिय निर्देशिका डोमेन का सदस्य है।

फ़ाइल सर्वर की तैयारी
डिस्क पर "डी:" FilesRV सर्वर, "डी: \\ शेयर \\" निर्देशिका बनाएं। यह निर्देशिका सभी फ़ाइल सूचना संसाधनों में प्रवेश का एक बिंदु होगा यह सर्वर। हम इस फ़ोल्डर में नेटवर्क पहुंच व्यवस्थित करते हैं (शेयर और स्टोरेज प्रबंधन एप्लेट का उपयोग करके):


एक फ़ाइल सूचना संसाधन बनाना
समस्या का निर्माण।
सूचना प्रणाली के सूचना प्रणाली विभाग के संगठन को: सर्गेई लियोनिदोविच के इवानोव विभाग के प्रमुख ( [ईमेल संरक्षित]), मार्किना विशेषज्ञ शेर बोरिसोविच ( [ईमेल संरक्षित]), और उनके लिए, आपको डेटा डिवीजनों को संग्रहीत करने के लिए एक फ़ाइल सूचना संसाधन व्यवस्थित करने की आवश्यकता है। दोनों कर्मचारियों को इस संसाधन तक पहुंच पढ़ने और लिखने की आवश्यकता है।

फेसला।
"डी: \\ शेयर \\" निर्देशिका "Filesrv" की निर्देशिका में, एक फ़ोल्डर "डी: \\ शेयर \\ सूचना प्रणाली विकास प्रभाग \\" बनाएँ, जो फ़ाइल सूचना संसाधन के लिए रूट निर्देशिका होगी। इस संसाधन के लिए उपयोगकर्ता पहुंच समूह (आईसीएस डोमेन के वैश्विक सुरक्षा समूह) भी बनाएं:

  • "फ़ाइल-फाइल्सआरवी-शेयर-गहराई। रेंज Ro-ro "
  • "फ़ाइल-फाइल्सआरवी-शेयर-गहराई। रेंज Is-rw "
आप सूचना प्रणाली विकास प्रभाग की "डी: \\ शेयर \\ निर्देशिका" के लिए एक्सेस अधिकारों को कॉन्फ़िगर करेंगे:





कैटलॉग डी: \\ शेयर \\ इस संसाधन के लिए प्रवेश बिंदु और मध्यवर्ती निर्देशिका है। समूह के लिए मार्ग (ट्रैवर्स) में जोड़ें: "फ़ाइल-फाइल्सआरवी-शेयर-गहराई। रेंज Is-ro "और" फ़ाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-rw "



CaCls कमांड द्वारा प्राप्त एनटीएफएस डंप अनुमतियां:

एनटी अथॉरिटी \\ सिस्टम: (ओआई) (सीआई) एफ
बिल्टिन \\ प्रशासक: (ओआई) (सीआई) एफ

चूंकि उपयोगकर्ताओं को पहुंच पढ़ने और लिखने की आवश्यकता है, इसलिए अपने खाते को फ़ाइल-फाइल्सआरवी-शेयर-विभाग समूह में जोड़ें। रेंज Is-rw "

फ़ाइल सूचना संसाधन के लिए उपयोगकर्ता तक पहुंच प्रदान करना
समस्या का निर्माण।
मान लीजिए, एक और कर्मचारी egorova mikhail vladimirovich ( [ईमेल संरक्षित]), और उसके साथ, साथ ही विभाग के अन्य कर्मचारियों, विभाग की फ़ाइल सूचना संसाधन तक पहुंच पढ़ें और लिखें।

फेसला।
एक कर्मचारी खाता फ़ाइल-फाइल्सआरवी-शेयर-विभाग समूह में जोड़ा जाना चाहिए। रेंज Is-rw "

एक निवेश सूचना संसाधन बनाना। अभिगम का विस्तार
समस्या का निर्माण।
मान लीजिए कि सूचना प्रणाली के विकास विभाग ने विपणन विभाग के साथ बातचीत की गुणवत्ता में सुधार करने और उत्तरार्द्ध के नेता को प्रदान किया - क्रुगलिक नतालिया Evgenievna (ne [ईमेल संरक्षित]) - सूचना प्रणाली विकास प्रभाग के फ़ाइल सूचना संसाधन के दस्तावेज़ीकरण फ़ोल्डर में संग्रहीत उत्पादों के लिए वर्तमान दस्तावेज में पढ़ने तक पहुंचें।

फेसला।
इस कार्य को हल करने के लिए, एक निवेश संसाधन "\\\\ filesrv \\ शेयर \\ सूचना प्रणाली विकास विभाग \\ दस्तावेज" बनाना आवश्यक है, पढ़ने और लिखने के लिए उपयोग उन सभी उपयोगकर्ताओं में (रहने) होना चाहिए जिनके पास "\\\\ filesrv \\ \\ साझा करें \\ विभाग सूचना प्रणाली के विकास \\ और क्रुगलिक नतालिया Evgenievna के उपयोगकर्ता के लिए पढ़ने तक पहुंच जोड़ें ( [ईमेल संरक्षित])

डी: \\ शेयर \\ सूचना प्रणाली विकास विभाग \\ »में एक फ़ोल्डर बनाएँ" डी: \\ शेयर \\ सूचना प्रणाली विकास प्रभाग "दस्तावेज़ीकरण, जो नए संसाधन के लिए रूट निर्देशिका होगी। हम दो उपयोगकर्ता एक्सेस समूह भी बनाएंगे:

  • "फ़ाइल-फाइल्सआरवी-शेयर-गहराई। रेंज Ro-ro प्रलेखन
  • "फ़ाइल-फाइल्सआरवी-शेयर-गहराई। रेंज आईपी \u200b\u200bप्रलेखन-आरडब्ल्यू "
निम्नानुसार डी: \\ शेयर \\ सूचना प्रणाली विकास विभाग \\ दस्तावेज के लिए एक्सेस अधिकार कॉन्फ़िगर करें:



CaCls कमांड द्वारा प्राप्त एनटीएफएस डंप अनुमतियां:
एनटी अथॉरिटी \\ सिस्टम: (ओआई) (सीआई) एफ
बिल्टिन \\ प्रशासक: (ओआई) (सीआई) एफ
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरओ: (ओआई) (सीआई) आर
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरडब्ल्यू: (ओआई) (सीआई) सी

चूंकि सभी उपयोगकर्ताओं को "सूचना प्रणाली के" \\\\ filesrv \\ share \\ share \\ "की आवश्यकता है, इसकी आवश्यकता है, \\\\ filesrv \\ share \\ सूचना प्रणाली विकास प्रभाग \\ दस्तावेज़ीकरण के समान पहुंच, मैं एक समूह जोड़ूंगा" फ़ाइल-फाइलआरवी-शेयर- गहराई। रेंज आईएस-आरओ "में" फ़ाइल-फाइल्सआरवी-शेयर-डीईपी। रेंज आईसी प्रलेखन-आरओ और "फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईएस-आरडब्ल्यू "में" फ़ाइल-फाइल्सआरवी-शेयर-डेप। रेंज क्रमशः है-प्रलेखन-आरडब्ल्यू "। रूसी नतालिया Evgenievna का एक परिपत्र पंजीकरण जोड़ें ( [ईमेल संरक्षित]) समूह में "फ़ाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरडब्ल्यू "

अब, अगर क्रुगलिकोवा नतालिया Evgenievna ( [ईमेल संरक्षित]) आप सूचना प्रणाली विकास प्रभाग \\ दस्तावेज \\\\ FILESRV \\ DICCLIECTION के "\\\\ filesrv \\ दस्तावेज" से संपर्क करेंगे, तो यह उस फ़ोल्डर में शामिल हो जाएगा जिसमें आप रुचि रखते हैं, लेकिन पूर्ण पथ से संपर्क करना हमेशा सुविधाजनक नहीं होता है, इसलिए हम इस पैकेज में प्रवेश बिंदु "\\\\ Filesrv \\" ("डी: \\ शेयर \\") से इस पैकेज में अनुचित रूप से कॉन्फ़िगर करेंगे। ऐसा करने के लिए, हम इंटरमीडिएट निर्देशिकाओं "डी: \\ शेयर \\" और "डी: \\ शेयर \\ शेयर सिस्टम विकास प्रभाग" के लिए एक्सेस अधिकारों को कॉन्फ़िगर करेंगे।

"डी: \\ शेयर \\" सेट करना:



CaCls कमांड द्वारा प्राप्त एनटीएफएस डंप अनुमतियां:
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-ro: r
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-rw: r

एनटी अथॉरिटी \\ सिस्टम: (ओआई) (सीआई) एफ
बिल्टिन \\ प्रशासक: (ओआई) (सीआई) एफ

और "डी: \\ शेयर \\ सूचना प्रणाली विकास प्रभाग":



CaCls कमांड द्वारा प्राप्त एनटीएफएस डंप अनुमतियां:
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरओ: आर
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरडब्ल्यू: आर
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-ro: (oi) (ci) r
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज IS-RW: (OI) (CI) C
एनटी अथॉरिटी \\ सिस्टम: (ओआई) (सीआई) एफ
बिल्टिन \\ प्रशासक: (ओआई) (सीआई) एफ

एक निवेश सूचना संसाधन बनाना। सुझाव पहुंच
समस्या का निर्माण
सूचना प्रणाली विकास विभाग के बैकअप प्रतिलिपि विभाग को व्यवस्थित करने के लिए, विभाग इवानोव सर्गेई लियोनिदोविच ( [ईमेल संरक्षित]), विभाग की फ़ाइल सूचना संसाधन के हिस्से के रूप में, नेटवर्क फ़ोल्डर "पुरालेख" की आवश्यकता है, जिस पर केवल पहुंच होगी।

फेसला।
फ़ाइल सूचना संसाधन में इस कार्य को हल करने के लिए, विभाग को एक निवेश "आर्काइव" संसाधन ("\\\\ FilesRV \\ शेयर \\ सूचना प्रणाली विकास प्रभाग \\ archive") बनाने के लिए आवश्यक है, जिस पर केवल विभाग के प्रमुख तक पहुंचें।

सूचना प्रणाली प्रभाग के डी: \\ शेयर \\ सूचना प्रणाली प्रभाग में, हम फ़ोल्डर "डी: \\ शेयर \\ सूचना सूचना प्रणाली विकास \\ archive विभाग" बनाएंगे, जो नए संसाधन के लिए मूल निर्देशिका होगी। हम दो उपयोगकर्ता एक्सेस समूह भी बनाएंगे:

  • "फ़ाइल-फाइल्सआरवी-शेयर-गहराई। रेंज Is-archive-ro "
  • "फ़ाइल-फाइल्सआरवी-शेयर-गहराई। रेंज Is-archive-rw "
निर्देशिकाओं के प्रवेश अधिकारों के लिए सेटिंग्स काटें "डी: \\ शेयर \\ सूचना प्रणाली विकास प्रभाग \\ archive":



CaCls कमांड द्वारा प्राप्त एनटीएफएस डंप अनुमतियां:
एनटी अथॉरिटी \\ सिस्टम: (ओआई) (सीआई) एफ
बिल्टिन \\ प्रशासक: (ओआई) (सीआई) एफ
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-archive-ro: (oi) (ci) r
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-archive-rw: (oi) (ci) c

"डी: \\ शेयर \\ सूचना प्रणाली विकास प्रभाग"



CaCls कमांड द्वारा प्राप्त एनटीएफएस डंप अनुमतियां:
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरओ: आर
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरडब्ल्यू: आर

आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-ro: (oi) (ci) r
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज IS-RW: (OI) (CI) C
एनटी अथॉरिटी \\ सिस्टम: (ओआई) (सीआई) एफ
बिल्टिन \\ प्रशासक: (ओआई) (सीआई) एफ

और "डी: \\ शेयर \\":



CaCls कमांड द्वारा प्राप्त एनटीएफएस डंप अनुमतियां:
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-ro: r
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-rw: r
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरओ: आर
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज आईपी \u200b\u200bप्रलेखन-आरडब्ल्यू: आर
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-archive-ro: r
आईसीएस \\ फाइल-फाइल्सआरवी-शेयर-डेप। रेंज Is-archive-rw: r
एनटी अथॉरिटी \\ सिस्टम: (ओआई) (सीआई) एफ
बिल्टिन \\ प्रशासक: (ओआई) (सीआई) एफ

Ivanova उपयोगकर्ता खाता सर्गेई Leonidovich ( [ईमेल संरक्षित]) हम फ़ाइल फाइल्सआरवी-विभाग समूह में जोड़ देंगे। एक बार। संग्रह-आरडब्ल्यू है।