При створенні систем ІБ важливо не упустити будь-яких істотних аспектів - в цьому випадку застосовуваної інформаційної технології буде гарантований певний мінімальний (базовий) рівень ІБ. Базовий рівень ІБ передбачає спрощений підхід до аналізу ризиків, при якому розглядається стандартний набір поширених загроз безпеки без оцінки ймовірностей цих загроз. Для нейтралізації загроз застосовується типовий комплекс контрзаходів, а питання ефективності захисту в розрахунок не беруться. Подібний підхід прийнятний, якщо цінність захищаються ресурсів в даній організації не надто висока.
Стратегія безпеки при забезпеченні базового рівня ІБ в практичному плані зводиться до таких кроків:
. Визначення необхідних керівних документів і стандартів в області ІБ, а також основних положень політики ІБ, включаючи:
- управління доступом до засобів обчислювальної техніки, програм і даних;
- антивірусний захист;
- питання резервного копіювання;
- проведення ремонтних та відновлювальних робіт;
- інформування про інциденти в області ІБ.
. Визначення підходів до управління ризиками: чи є достатнім базовий рівень захищеності або потрібно проводити повний варіант аналізу ризиків.
. Структуризація контрзаходів за рівнями.
. Порядок сертифікації на відповідність стандартам в області ІБ: графік нарад за тематикою ІБ на рівні керівництва, періодичність перегляду положень політики ІБ, а також порядок навчання всіх категорій користувачів системи в цій області.
Найпоширенішими системами управління доступом до даних є системи ідентифікації і аутентифікації. Їх завданням є визначення та верифікація набору повноважень суб'єкта при доступі до системи.
Ідентифікація - це процес зіставлення його з деякою збереженої системою характеристикою суб'єкта - ідентифікатором. Надалі, ідентифікатор суб'єкта використовується для надання суб'єкту певного рівня прав і повноважень при використанні системою.
Аутентифікація - це процедура верифікації приналежності ідентифікатора суб'єкту. Аутентифікація проводиться на підставі того чи іншого секретного елемента (аутентифікатора), яким розташовують як суб'єкт, так і система. Зазвичай система розташовує не самим аутентифікатором, а деякою інформацією про нього, на підставі якої приймається рішення про адекватність суб'єкта ідентифікатору.
Перед початком інтерактивного сеансу роботи більшість ОС запитують у користувача його ім'я та пароль. Введене ім'я є ідентифікатором користувача, а його пароль - аутентифікатором. ОС зазвичай зберігає не сам пароль, а його хеш-суму, забезпечуючи, тим самим, практичну неможливість відновлення пароля.
Розробка політик доступу до даних
При розробці політик доступу до даних файлового сховища необхідно вибрати режим безпеки Samba:
. Загальний рівень безпеки (share) - дозволяє клієнтам підключатися до ресурсу без надання імені користувача і пароля.
. Режим безпеки користувача (user) - вимагає від клієнта надати ім'я користувача та пароль для підключення до ресурсу, облікові записи користувачів Samba відокремлені від системних облікових записів.
. Режим безпеки домену (domain) - дозволяє серверу Samba представлятися клієнтам Windows первинним доменним контролером (PDC), резервним доменним контролером (BDC) або сервером-членом домену (DMS).
. Режим безпеки ADS - дозволяє серверу Samba приєднатися до домену Active Directory як рідному.
Оптимальним режимом безпеки з проходженням аутентифікації в відсутність Active Directory є режим безпеки користувача. На користувальницькою рівні безпеки якщо сервер приймає пару ім'я користувача/пароль, то клієнт отримує можливість доступу до загальних ресурсів без вказівки пароля надалі. Клієнт очікує, що всі права доступу відповідають імені користувача/паролем, зазначеним при ініціалізації сесії.
У даному режимі безпеки облікові записи користувачів Samba відокремлені від системних облікових записів, але пакет libpam-smbpass синхронізує системних користувачів та паролі користувача базою Samba.
Таким чином, настройка політик доступу проводиться за допомогою роботи з групами користувачів в системі і призначення прав на каталоги. Список користувачів і груп користувачів з призначеними правами доступу наведено в таблиці 4. Знаходження користувача в додатковій групі позначає наявність доступу до відповідного каталогу відділу. UID - це унікальний в межах системи ідентифікатор користувача, його значення дорівнює GID - універсальному в межах системи код...
