Управление правами доступа

Аудит и классификация данных
на базе системы

СёрчИнформ FileAuditor
30 дней для тестирования «СёрчИнформ FileAuditor»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Для управления правами доступа в организации устанавливается специализированная система. С ее помощью можно решить следующие вопросы:

  • автоматически отслеживать неиспользуемые учетные записи; 
  • оперативно открывать и закрывать доступ к каталогам с файлами и папками; 
  • отслеживать активность пользователей при работе с файловыми ресурсами; 
  • при необходимости блокировать учетные записи. 

Ключевые понятия системы управления доступом (СУД)

В любой СУД администраторы выполняют работу по разграничению прав (разрешений). Пользователи осуществляют работу с информационными ресурсами. Такие ресурсы принято делить на два основных типа:

1. Файловые информационные ресурсы (ФИР). Представляют собой файлы и папки, хранящиеся в корневом каталоге.
2. Файловые составные. Включают один и более ФИР, а также вложенный ресурс. 

В СУД принято также выделять понятие точки входа – каталога файловой системы, к которому пользователи могут получить сетевой доступ.

Под группой доступа будем понимать такие группы пользователей, которые имеют полномочия работать с файловыми информационными ресурсами.

При работе с системой управления доступами администраторы должны соблюдать следующие условия: 

  1. Нельзя разграничивать доступ для отдельных файловых ресурсов. Разграничение происходит только для каталогов. 
  2. Нельзя назначать права отдельным пользователям. Только для групп.
  3. Нельзя создавать ФИР на рабочих станциях пользователей. 
  4. Разграничивать полномочия разрешается только на уровне файловой системы.
  5. Не рекомендуется создавать и хранить ФИР в серверных каталогах.
  6. Нежелательно создавать несколько точек входа в файловые информационные ресурсы.
  7. Нельзя создавать вложенные ФИР, если вложения (файлы) содержат конфиденциальные данные. 

Общий случай модели управления правами доступа

Для сервера с ФИР, являющегося членом домена, создаются доменные группы. Если сервер не является членом домена, необходимо создавать группы на локальном уровне. 

  1. С использованием базы шаблонов устанавливаются права для корневого и промежуточного каталогов. 
  2. В группу доступа добавляются учетные записи с учетом полномочий пользователей. 
  3. Учетная запись пользователя помещается в соответствующую группу, для которой предусмотрены полномочия для работы с конкретным ФИР. 
  4. Для расширения доступа (добавления нового участника) регистрируется вложенный ФИР, в него добавляется пользователь из вышестоящего ФИР. 
  5. Для ввода ограниченного доступа в каталог нужно добавить только учетные записи, получивших разрешение на работу с ФИР. Если необходимо, создается сетевая папка. 

Для выполнения блокировки пользователя, его учетную запись удаляют из группы. При увольнении учетную запись сотрудника полностью блокируют. Если необходимо добавить новые полномочия, например, возможность чтения и записи без удаления, нужно выполнить следующие действия:

  • заблокировать доступ пользователя к каталогу; 
  • установить для корневого каталога новые правила и заменить права для дочерних объектов; 
  • внести изменения в настройки доступа; 
  • внести изменения в настройки промежуточных каталогов. 

Как внести изменения в учетную запись и сбросить пароль

Для изменения или сброса текущего пароля пользователю надлежит написать обращение администратору с указанием личных данных и причиной необходимости сброса (изменения) пароля. Причиной может послужить утрата или компрометация. При одобрении обращения администратор выполняет сброс пароля и отправляет новый на электронную почту. 

СУД должна обеспечивать высокий уровень надежности пароля:

  • минимальная длина пароля должна составлять 6 символов;
  • в наборе символов необходимы цифры и буквы верхнего и нижнего регистра;
  • должны подвергаться автоматическому запрету пароли, содержащие имена, фамилии, названия компьютеров, даты, распространенные сокращения и аббревиатуры;
  • система должна автоматически запрещать пароль, если он совпадает с предыдущим.

Если необходимо изменить учетные данные, пользователь должен сформировать заявку с указанием причин и согласовать ее с назначенным администратором. В случае отклонения заявки администратор пишет мотивационный отказ. 

Администраторы могут вносить изменения в учетные записи без согласования.

Возможности современных систем управления доступом 

Практически каждая современная система по управлению доступами отличается простотой. Зачастую работа администратора сводится к редактированию и использованию фильтров. Большинство таких систем позволяют находить пользователя с помощью поисковой строки. 

Многие СУД предусматривают возможность добавления описаний для каждого пользователя, например, должности. Для удобства в панель работы интегрируется кнопка активации полного доступа, при нажатии на которую пользователь получает доступ ко всем полномочиям и функциям. Чтобы ограничить доступ в чек-боксах устанавливают флажки (галочки) напротив разрешенных пунктов. Пункты могут быть представлены как в виде отдельных функций, так и в виде разделов.

С помощью поисковой строки в СУД можно находить пользователя не только по имени, но и по заданному описанию. Часто в рассматриваемых системах также есть возможность определения пользователей к конкретной категории прав. Например, администраторы, пользователи или операторы. Введя в поисковой строке слово «операторов», мгновенно получаем список всех операторов в системе. 

В целях автоматизации в СУД используют возможность копирования уже настроенных прав. Администратор может просто отметить отдельного пользователя и скопировать его права, чтобы применить для остальных членов группы. Права могут быть скопированы вместе с ограничениями. Копировать настройки можно непосредственно во время добавления нового пользователя, что также упрощает работу. 
При настройке функционала системы важно учитывать наличие дополнительных возможностей, которые могут позволять управлять настройками других пользователей. При копировании прав дополнительные возможности тоже будут скопированы. 

Работа в СУД на примере UMI.CMS

Рассмотрим работу в распространенной системе управления доступами пользователей. UMI.CMS предлагает гибкий функционал, позволяющий настраивать права не только для групп, но и отдельных пользователей. В ней предусмотрено два основных типа пользователей:

1. Супервайзер. Представляет собой пользователя, зарегистрированного в момент установки системы, имеет полный список разрешений. 

2. Гость. Данный тип пользователя характеризуется минимальным списком полномочий. 

В рассматриваемой системе при назначении нового пользователя ему автоматически достаются права гостя, а супервайзер может назначать дополнительные полномочия. 

Особенностью UMI.CMS является возможность закрепления за пользователем прав нескольких групп и назначение индивидуальных возможностей. Управление полномочиями осуществляется с помощью соответствующего блока, представленного в виде таблицы с названиями модулей и перечнем полномочий. В блоке можно открыть доступ как ко всему модулю, так и к отдельным функциям. Можно настроить возможности пользователя таким образом, чтобы сотрудник мог просматривать записи в конкретном разделе сайта (например, новости), но не имел доступа к управлению данным разделом в административной панели. 

Супервайзер может оперативно предоставить отдельному пользователю полноценные права для работы с конкретным модулем. Для этого в выбранном модуле достаточно поставить флажки напротив пунктов «Просмотр» и «Управление». Для того чтобы позволить управлять всем функционалом, необходимо также разрешить администрирование в колонке «Прочие права». В UMI.CMS пользователи могут получить возможность работать с отдельным модулем без возможности внесения настроек. Например, в модуле обмена данными обмениваться файлами с помощью протокола HTTP, но без доступа к заданию или снятию ограничений на экспорт и импорт данных.

Примеры модулей управления в СУД

Рассмотрим типовой функционал СУД:

  1. События. В данном модуле может быть разрешен просмотр событий, работа с настройками.
  2. Меню. Данный модуль содержит разрешения на просмотр меню, администрирование, удаление. 
  3. Контент (новости, статьи, документация). Модуль включает возможности контроля, настройки контента. Возможность просмотра страниц, удаление контента. 
  4. Форум. Может быть предусмотрен для информационных порталов. Форумом управляют специально назначенные участники – модераторы.
  5. Вопросы и база знаний. В данном модуле пользователи могут вносить изменения в базу знаний, выполнять ее настройку, удалять категории, вопросы, проекты.
  6. Рассылки. Данный модуль предназначен для работы с рассылками (редактирование, управление через административную панель). 
  7. Пользователи. Модуль контроля пользователей, в котором супервайзер (администратор) может просматривать профили, удалять участников и группы, добавлять новые, отслеживать переходы на сайте. 
  8. Файловая система. Здесь производится управление файлами, в том числе устанавливается возможность загрузки данных. 
  9. Конфигурация. В модуле конфигурации назначаются правила для настройки почты, производительности, тестов безопасности. Во многих СУД в конфигурации можно управлять справочниками, доменами и зеркалами.
  10. Резервирование. Здесь могут быть реализованы функции настройки резервирования данных, удаления резервных копий.
  11. Конструктор форм. Добавление шаблонов писем, предназначенных для обратной связи. Просмотр полученных сообщений, удаление писем и шаблонов, а также форм, полей, адресатов.
  12. Обмен данными. В модуле можно давать доступ на обмен данными, удалять сценарии для получения и отправки данных.

Таким образом, модули СУД охватывают каждый аспект работы. С их помощью можно управлять даже настройками интернет-магазина и выдавать доступ на работу с заказами через мобильное приложение. Максимально гибкий функционал позволяет полностью контролировать активность участников.  

24.12.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними