Виды доступа к ресурсам компьютера

Обновлено: 21.11.2024

На файловом уровне операционная система SunOS предоставляет некоторые стандартные функции безопасности, которые можно использовать для защиты файлов, каталогов и устройств. На системном и сетевом уровнях проблемы безопасности в основном одинаковы. На рабочем месте ряд систем, подключенных к серверу, можно рассматривать как одну большую многогранную систему. Системный администратор отвечает за безопасность этой более крупной системы или сети. Важно не только защитить сеть от посторонних, пытающихся получить доступ к сети, но также важно обеспечить целостность данных в системах внутри сети.

Первая линия защиты — это контроль доступа к вашей системе. Вы можете контролировать и контролировать доступ к системе, выполнив следующие действия:

Поддержание физической безопасности сайта

Сохранение контроля входа

Ограничение доступа к данным в файлах

Поддержание контроля над сетью

Наблюдение за использованием системы

Правильная установка переменной пути

Установка брандмауэра

Сообщение о проблемах безопасности

Поддержание физической безопасности сайта

Чтобы контролировать доступ к вашей системе, вы должны поддерживать физическую безопасность своей вычислительной среды. Например, если система зарегистрирована и оставлена ​​без присмотра, любой, кто может использовать эту систему, может получить доступ к операционной системе и сети. Вам необходимо следить за окружением вашего компьютера и физически защищать его от несанкционированного доступа.

Поддержание контроля входа

Вы также должны ограничить несанкционированный вход в систему или сеть, что можно сделать с помощью пароля и контроля входа в систему. Все учетные записи в системе должны иметь пароль. Аккаунт без пароля делает всю вашу сеть доступной для любого, кто может угадать имя пользователя.

Программное обеспечение Solaris ограничивает управление определенными системными устройствами учетной записью пользователя. Только процесс, работающий от имени суперпользователя или пользователя консоли, может получить доступ к системной мыши, клавиатуре, буферу кадров или аудиоустройству, если только файл /etc/logindevperm не отредактирован. Для получения дополнительной информации см. logindevperm(4).

Ограничение доступа к данным в файлах

После того как вы установили ограничения на вход в систему, вы можете контролировать доступ к данным в вашей системе. Возможно, вы захотите разрешить некоторым пользователям читать некоторые файлы и дать другим пользователям разрешение изменять или удалять некоторые файлы. У вас могут быть некоторые данные, которые вы не хотите, чтобы кто-либо видел. В главе 15 "Защита файлов (задач)" рассказывается, как установить права доступа к файлам.

Поддержание сетевого контроля

Компьютеры часто являются частью конфигурации систем, называемой сетью. Сеть позволяет подключенным системам обмениваться информацией и получать доступ к данным и другим ресурсам, доступным из систем, подключенных к сети. Сеть создала мощный и сложный способ вычислений. Однако сетевое взаимодействие также поставило под угрозу компьютерную безопасность.

Например, в сети компьютеров отдельные системы открыты для обмена информацией. Кроме того, поскольку многие люди имеют доступ к сети, больше шансов разрешить нежелательный доступ, особенно из-за ошибки пользователя (например, из-за неправильного использования паролей).

Мониторинг использования системы

Как системный администратор вы должны отслеживать активность системы, зная обо всех аспектах вашей системы, включая следующие:

Какова нормальная нагрузка?

Кто имеет доступ к системе?

Когда люди получают доступ к системе?

Благодаря таким знаниям вы можете использовать доступные инструменты для аудита использования системы и мониторинга действий отдельных пользователей. Мониторинг очень полезен при подозрении на нарушение безопасности.

Установка правильного пути

Важно правильно установить переменную пути. В противном случае вы можете случайно запустить чужую программу, которая нанесет вред вашим данным или вашей системе. Такого рода программы, создающие угрозу безопасности, называются «троянскими конями». Например, программу-заменитель su можно поместить в общедоступный каталог, где вы, как системный администратор, сможете ее запустить. Такой сценарий будет выглядеть так же, как обычная команда su. Поскольку скрипт удаляет себя после выполнения, трудно сказать, что вы на самом деле запустили троянскую программу.

Переменная пути автоматически устанавливается во время входа в систему через файлы запуска: .login , .profile и .cshrc . Настройка пути поиска пользователя таким образом, чтобы текущий каталог (.) был последним, не позволяет вам или вашим пользователям запускать этот тип троянского коня. Переменная пути для суперпользователя вообще не должна включать текущий каталог. Автоматизированный инструмент повышения безопасности (ASET) проверяет файлы запуска, чтобы убедиться, что переменная пути настроена правильно и не содержит записи с точкой (.).

Защита файлов

Поскольку операционная система SunOS является многопользовательской системой, безопасность файловой системы является самой основной и самой важной угрозой безопасности в системе. Для защиты файлов можно использовать как традиционную защиту файлов UNIX, так и более безопасные списки управления доступом (ACL).

Кроме того, для правильной работы многие исполняемые программы необходимо запускать от имени root (то есть от имени суперпользователя). Эти исполняемые файлы запускаются с идентификатором пользователя, равным 0 (setuid=0). Любой, кто запускает эти программы, запускает их с идентификатором root, что создает потенциальную проблему безопасности, если программы написаны без учета требований безопасности.

За исключением исполняемых файлов, которые поставляются с битом setuid, установленным на root, вы должны запретить использование программ setuid или как минимум ограничьте их и сведите к минимуму.

Установка брандмауэра

Еще один способ защитить вашу сеть — использовать брандмауэр или безопасный шлюз. Брандмауэр — это выделенная система, разделяющая две сети, каждая из которых относится к другой как к ненадежной. Вы должны рассматривать эту настройку как обязательную между вашей внутренней сетью и любыми внешними сетями, такими как Интернет, с которыми вы хотите, чтобы пользователи внутренней сети могли общаться.

Брандмауэр также может быть полезен между некоторыми внутренними сетями. Например, брандмауэр или защищенный шлюз не будут отправлять пакет между двумя сетями, если шлюз не является исходным или целевым адресом пакета. Брандмауэр также должен быть настроен для пересылки пакетов только для определенных протоколов. Например, вы можете разрешить пакеты для передачи почты, но не те пакеты для команды telnet или rlogin. ASET при работе с высоким уровнем безопасности отключает пересылку пакетов интернет-протокола (IP).

Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .

Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .

Сетевые архитектуры 4G и 5G имеют некоторые существенные различия. Посмотрите, чем отличаются две технологии и что нового .

Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .

Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .

Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .

Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

Исследование Ricoh Europe показывает, что сотрудники обращаются к своим работодателям за ясностью и инновациями в их новом гибридном рабочем месте.

Хакеры, действующие под лозунгом Anonymous, утверждают, что украли более 35 000 конфиденциальных файлов из Центрального банка .

Мобильная частная сеть Smart Sound Connect Marine 5G станет первым в мире испытательным стендом 5G, ориентированным на морские суда, в британском городе .

Пользователи компьютерных ресурсов колледжа должны использовать их ответственно.

Процедура

Отдельные пользователи вычислительных ресурсов колледжа должны подтвердить свое согласие соблюдать эту политику, заполнив форму «Соглашение о соблюдении Политики надлежащего использования колледжа», чтобы использовать вычислительные ресурсы колледжа.

Права колледжа

Колледж владеет или арендует компьютеры и владеет внутренними компьютерными сетями, используемыми в кампусе. Колледж имеет права на программное обеспечение и информацию, находящиеся, разработанные или лицензированные для этих компьютеров и сетей.Колледж пользуется своими правами и постоянно администрирует, защищает, поддерживает и контролирует эту коллекцию компьютеров, программного обеспечения и сетей. Колледж также пользуется своими правами и постоянно устанавливает и поддерживает строгие стандарты для обеспечения безопасности, конфиденциальности, целостности полосы пропускания и целостности данных в своих вычислительных системах по своему усмотрению. Кроме того, колледж оставляет за собой право, а также осуществляет свои права на определение характера и степени доступа к компьютерным ресурсам; запрещать доступ к компьютерным системам и сетям; ограничивать доступ к определенным сайтам, материалам и программам; и определять, кто может подключать устройство к компьютерным системам колледжа, а также назначать спецификации для такого устройства.

Обязанности отдельных пользователей

Используйте вычислительные ресурсы колледжа только для обучения, исследований, обучения и административных целей. Компьютеры и сети Durham Tech предназначены для использования в соответствии с миссией колледжа. Их нельзя использовать для сторонних бизнес-проектов или личной деятельности. Эта политика также прямо запрещает использование вычислительных ресурсов колледжа для преднамеренного доступа, просмотра, просмотра, загрузки, публикации или отправки материалов или изображений порнографического или сексуального характера.

Соблюдайте законы о лицензировании и авторских правах. Все программное обеспечение, установленное или используемое на компьютерах Durham Tech, должно иметь юридическую лицензию для использования в помещениях колледжа. Программное обеспечение, защищенное авторским правом, нельзя копировать с компьютеров в кампусе или устанавливать на компьютеры в кампусе, не имеющие законной лицензии на их использование. Лицензии на программное обеспечение, приобретенное колледжем, будут храниться в файле Службы информационных технологий (ITS). Все другие лицензии на программное обеспечение, которые получают преподаватели и сотрудники, должны поддерживаться этим пользователем и предъявляться по запросу для проверки. Сюда входят лицензии на все программное обеспечение, включая, помимо прочего, бесплатное, условно-бесплатное и бесплатное программное обеспечение, предоставляемое сотрудникам колледжа. Учащимся не разрешается загружать программное обеспечение на компьютеры колледжа, если они не находятся под руководством преподавателя или сотрудника.

Поддерживайте безопасные пароли. Пароли к учетным записям не должны передаваться никому, за исключением случаев, когда это указано преподавателем в учебных целях. Сотрудники и учащиеся должны использовать действительные пароли, включающие хотя бы один небуквенный символ, и менять пароли не реже одного раза в четыре месяца.

Защитите компьютерное оборудование колледжа. Пользователи должны соблюдать все положения федеральных законов и законов штата. Кроме того, пользователи не должны намеренно устанавливать какие-либо вирусы или разрушительные компьютерные программы на компьютеры кампуса.

Используйте ресурсы компьютера приемлемым образом. Компьютерные ресурсы Durham Technical Community College не должны использоваться для каких-либо целей, несовместимых с миссией колледжа, которые являются незаконными, нечестными или могут нанести ущерб репутации колледжа; или которые могут повлечь за собой ответственность колледжа. Недопустимое использование вычислительных ресурсов колледжа включает, помимо прочего, следующее:

Уничтожение или повреждение оборудования, программного обеспечения или данных, принадлежащих Durham Technical Community College или другим физическим или юридическим лицам;

Нарушение или несанкционированный мониторинг электронных сообщений и информации, хранящейся в электронном виде;

Отключение или перегрузка (или попытка отключения или перегрузки) любой системы или сети;

Нарушение законов об авторских правах или товарных знаках или прав других лиц (например, загрузка или распространение пиратского программного обеспечения, видео, музыки или данных);

Нарушение безопасности компьютерной системы, включая, помимо прочего, несанкционированное использование компьютерных учетных записей, кодов доступа или сетевых идентификационных номеров и адресов электронной почты, присвоенных другим лицам;

Несанкционированный доступ к информационным системам, внутренней сети или сетевым компьютерам Durham Technical Community College;

Использование средств компьютерной связи способами, которые без необходимости мешают или нарушают компьютерную деятельность других пользователей колледжа;

Преднамеренная загрузка или распространение компьютерных вирусов, троянских коней, бомб замедленного действия, червей или других видов вредоносных мошеннических программ;

Публикация, отправка, хранение или преднамеренный доступ к материалам или изображениям порнографического, непристойного или сексуального характера;

Публикация личных сообщений или массовая рассылка электронных сообщений в таких целях, как продажи, призывы к продаже, сообщение о партийной политической деятельности или распространение «мусорной» электронной почты, такой как письма счастья или спам;

Академическая или интеллектуальная нечестность;

Нарушение лицензионных соглашений на программное обеспечение или законов об авторских правах;

Использование в рекреационных целях, например обмен файлами .mpg между узлами (например, загрузка музыки или видео);

Нарушение политик и правил использования сети;

Публикация, отправка или преднамеренный доступ к материалам, которые не соответствуют или не соответствуют миссии колледжа;

Нарушение конфиденциальности;

Клевета или клевета;

Мошенничество или введение в заблуждение; и

Использование логотипа Durham Technical Community College без предварительного разрешения.

Другие ограничения и предупреждения

На вычислительные ресурсы и системы колледжа могут быть наложены различные ограничения. Пользователи должны соблюдать все установленные ограничения.

Конфиденциальность при использовании вычислительных ресурсов и систем не гарантируется. Несмотря на наличие технических и административных политик для защиты компьютерной информации, безопасность компьютерных данных никогда не бывает идеальной. Обратите внимание на следующее:

Неавторизованные пользователи компьютеров могут нарушить ограничения безопасности и получить доступ к вашим файлам.

Электронная почта, адресованная не по адресу, не является чем-то необычным. Ваши сообщения электронной почты могут быть просмотрены непредусмотренными получателями в Durham Tech или где-либо еще в Интернете. Если электронная почта считается конфиденциальной, информация должна передаваться другими способами.

Системным администраторам и другим сотрудникам колледжей может потребоваться доступ к файлам на любых компьютерах Durham Tech для проведения проверок или решения технических проблем.

Колледж оставляет за собой право контролировать передачу электронной почты по своей внутренней компьютерной сети. Юридические предписания относительно конфиденциальности будут соблюдаться компьютерным персоналом при доступе к файлам данных.

Пользователи компьютеров несут ответственность за резервное копирование своих собственных файлов данных, если только им не будет сообщено, что для их системы предоставляются услуги резервного копирования и резервное копирование их файлов выполняется.

Санкции

На любого, кто нарушает эту политику надлежащего использования, распространяется кодекс поведения студентов колледжа, политика надлежащей правовой процедуры для сотрудников, а также уголовное преследование или гражданский иск о возмещении ущерба. В частности, любой студент, сотрудник или физическое лицо, умышленно участвующее в любой деятельности с намерением вмешаться, ухудшить, монополизировать или поставить под угрозу сеть кампуса, сетевую безопасность или любой из ее компонентов, должны быть подвергнуты дисциплинарным взысканиям, включая отстранение от занятий, исключение , увольнение с работы и/или судебное преследование.

Цель/определения

Вычислительные ресурсы колледжа включают, помимо прочего, персональные компьютеры, серверы, сети, наборы данных, принтеры, доступ в Интернет и интрасеть и программное обеспечение.

Общественный технический колледж Дарема предоставляет преподавателям, сотрудникам, студентам и (в некоторых случаях) местным жителям различные вычислительные ресурсы. Ограничения или пределы, налагаемые на использование вычислительных ресурсов колледжа, предназначены для защиты ресурсов, а также целостности сетей и для соблюдения соответствующих политик, законов и правил.

Контроль доступа — неотъемлемая часть любой серьезной коммерческой системы безопасности. Эта технология не только позволяет владельцам бизнеса контролировать передвижение людей, входящих и выходящих из их офиса, эффективно обеспечивая безопасность здания, но и регулирует, кто может просматривать и использовать определенные ресурсы. Этот метод безопасности может обеспечить безопасность ограниченных офисов, а также ограничить подключения к вашим компьютерным сетям, системным файлам и конфиденциальным данным. Однако в настоящее время существует так много различных видов контроля доступа, что может быть трудно определить, какой из них подходит для вашего бизнеса. Чтобы помочь вам решить, вот краткое изложение различных типов контроля доступа.

Обязательный контроль доступа

Обязательный контроль доступа, или сокращенно MAC, – это тип контроля доступа, который регулирует доступ к определенным ресурсам на основе допуска пользователя. После присвоения системным ресурсам классификации операционная система либо предоставит, либо откажет сотрудникам в доступе в зависимости от их уровня допуска. Эта модель безопасности чаще всего используется в правительственных или военных зданиях.

Дискретный контроль доступа

Дискретный контроль доступа, также известный как DAC, зависит от администраторов, когда речь идет о регулировании того, кто может получить доступ к данным и ресурсам. В этом типе управления доступом владельцы защищенной системы могут устанавливать политики, определяющие, кто имеет право использовать каждый ресурс. Это наименее ограничивающий тип контроля доступа, поскольку владельцы бизнеса имеют полный контроль над любыми объектами, которыми они владеют, или программами, которые они используют. Основным недостатком использования DAC является тот факт, что он может сделать вашу систему уязвимой для вредоносных программ. Поскольку владельцы могут задавать параметры уровня безопасности для других пользователей, а административные разрешения наследуются другими программами, которые они используют, потенциально вредоносное ПО может запускаться без их ведома.

Управление доступом на основе ролей

Этот тип управления доступом разделяет доступ к компьютерным ресурсам в зависимости от определенных бизнес-функций сотрудников. Вместо того, чтобы сосредоточиться на индивидуальном допуске к безопасности, общие ограничения применяются к целым группам сотрудников в зависимости от их должности. Например, компьютерный программист может получить доступ к самым строго ограниченным областям центра обработки данных, но ему будет отказано в доступе к безопасным областям в исполнительном секторе. Эта модель безопасности, широко используемая в бизнес-среде, использует сложную структуру назначений ролей, авторизации ролей и разрешений ролей, используя разработку ролей для регулирования доступа сотрудников к системам. Управление доступом на основе ролей иногда используется в сочетании со структурами MAC или DAC при работе с конфиденциальными данными.

Контроль доступа на основе правил

Управление доступом на основе правил — это модель безопасности, в которой системный администратор определяет набор правил, регулирующих доступ к объектам ресурсов. Эти правила часто зависят от определенных условий, таких как место попытки доступа или время суток. Управление доступом на основе правил иногда используется в сочетании с контролем доступа на основе ролей для усиления политик и процедур безопасности.

Контроль доступа на основе атрибутов

Управление доступом на основе атрибутов имеет заранее заданный список правил, политик и взаимосвязей, которые используются при предоставлении прав доступа. Эта методология также учитывает атрибуты пользователей, систем и условий окружающей среды.

Юнайтед Секьюрити Инкорпорейтед | Системы контроля доступа

Все еще не уверены, какой тип контроля доступа лучше всего подходит для вашей компании? Мы можем помочь! В USI Integrated Solutions мы объединяем высококвалифицированную команду, обладающую острым стратегическим планированием и глубоким пониманием ведущих технологий в этой области. Уже более 27 лет мы обеспечиваем нашим клиентам душевное спокойствие, тщательно применяя исследовательский талант и внедряя технологии.

Готов ли ваш бизнес к усилению безопасности? Нажмите на ссылку ниже, чтобы запланировать бесплатную оценку недвижимости.

Читайте также: