|
Защита информации
Потребность в защите информации
зависит от рода выполняемой вами работы и от чувствительности информации ,
которой вы управляете. Однако все хотят секретности и чувства безопасности,
которое появляется вместе с обоснованной уверенностью в том, что они не могут
стать жертвой нарушения защиты информации. Так же, как вы можете изготавливать
приспособления, помогающие сделать ваш дом менее привлекательным для грабителей,
так и каждый пользователь может сделать приспособления, которые помогают
поддерживать секретность и безопасность его работы. Любая компьютерная система
требует некоторого рода защиты. Уровни защиты включают в себя физическую защиту
(центрального процессора, дисков и терминалов), защиту файлов, защиту процессов
и всей работающей системы. В многопользовательской среде еще более важно
усиливать защиту. Каждый пользователь имеет право засекречивать и защищать свою
среду и свои файлы. Ни один компьютер не имеет стопроцентной защиты. Ваша среда
лишь настолько защищена, насколько вы сделали ее таковой. Защитные мероприятия
могут достигать такой степени, что начинают мешать свободному обмену идеями и
затруднять использование гибкости системы или исследование ее новых аспектов.
Лично я считаю, что пользователи должны иметь свободу делать все, что они хотят,
пока это не вредит системе или другим пользователям. Сервер Exchange позволяет использовать
разнообразные средства, чтобы сохранить неприкосновенной важную информацию.
Среди них: проверка прав пользователя на доступ к
информационным ресурсам, включая почтовые ящики, общие папки, почтовые шлюзы и
т.п.; расширенные средства защиты, такие как
шифрование и цифровая подпись сообщений; Контроль доступа к
объектам каталога и информационных хранилищ в Exchange производится на основе
). Список доступа содержит
перечень идентификаторов пользователей домена Windows NT. С каждым
пользовательским идентификатором ассоциирован набор привилегий, определяющих,
какие действия способен выполнить конкретный пользователь над данным объектом.
Ниже приведен список привилегий, поддерживаемых сервером Exchange:
), например вложенные пользовательские контейнеры;
), например добавлять адресатов в список рассылки;
), например изменять название улицы или отображаемое имя в
свойствах пользовательского ящика; право производить посылку от имени данного объекта
( право выполнять регистрацию в почтовом ящике,
выполнять посылку и прием сообщений ( право выполнять репликацию каталога ( изменять набор
привилегий для текущего объекта ( ), например, без данной
привилегии администратор может создавать новых пользователей, но не имеет права
изменять списки доступа к существующим почтовым ящикам. ролями ), дает право создавать новые
объекты каталога, удалять и модифицировать существующие, но не позволяет
модифицировать для них списки доступа; ), дополнительно к правам
администратора позволяет изменять текущие списки доступа на объекты;
), предназначена для
использования только сервисом Exchange Server, имеет полный набор прав на
объект; ), дает право на
получение доступа к почтовому ящику и назначение прав другим пользователям на
доступ к содержимому этого ящика. В случае, когда требуемый или
достаточный набор прав не может быть обеспечен ни одной стандартной ролью,
пользователю можно назначить нестандартный набор привилегий (роль
). Примером использования специального набора привилегий может
являться случай настройки RAS-коннектора между двумя площадками. В этом случае
достаточный набор привилегий, которым должен обладать звонящий агент передачи
сообщений (MTA) - право Send As и Mailbox Owner на контейнере серверов
принимающей стороны. В зависимости от типа объекта, набор привилегий может
наследоваться всеми или только некоторыми объектами, находящимися в каталоге на
нижних уровнях иерархии. организация ,
пользователи с правами на этот объект могут менять только отображаемое имя
организации, привилегии не наследуются другими объектами иерархии;
, пользователи с правами на этот
объект могут манипулировать объектами уровня площадки и контейнерами адресатов.
Привилегии автоматически наследуются всеми вложенными, за исключением объекта
, пользователи с
правами на этот объект могут управлять всеми настройками текущей площадки, как-
то таблицы маршрутизации, соединения, мониторы, серверы и т.д. Привилегии
автоматически наследуются объектами нижних уровней, за исключением контейнеров
адресатов, которые наследуют набор привилегий объекта
площадка. Такая схема наследования позволяет разделить функции между
несколькими администраторами, одни из которых отвечают за ведение базы
пользователей и общие папки организации, другие обеспечивают взаимодействие
серверов в пределах площадки и сопряжение с внешним миром, включая шлюзы в
другие почтовые системы и синхронизацию каталога в рамках организации.
Следует иметь ввиду, что если все функции администрирования должны
выполняться одним лицом, то ему необходимо назначить соответствующие привилегии
на каждом из трех указанных объектов. При инсталляции первого сервера площадки
администратор, выполняющий установку, автоматически получает права Permissions
Admin. на упомянутые объекты. Отдельно следует упомянуть о назначении
привилегий на общие папки. Как и для прочих объектов каталога, для общих папок
поддерживаются списки доступа и роли, однако назначение прав пользователям
происходит на основе учетных записей в доменах Windows NT, а не на основе
записей в глобальной адресной книге. Это позволяет пользователям, относящимся к
различным площадкам организации выполнять над данными, находящимися в локальных
репликах общих папок, действия, предписанные администратором.
(Create Items), дает право пользователю помещать новые сообщения в папку;
создание подпапок владелец папки (Folder Contact), получает
уведомления о конфликтах и разрешает их, обычные пользователи посылают данному
пользователю пожелания и рекомендации;
(Folder Visible), позволяет пользователю видеть данную папку при просмотре
иерархии общих папок; (Delete), дает
право пользователю удалять сообщения. (None), не дает пользователю права
выполнять действие над сообщениями; (Own), дает
пользователю право выполнять действие над сообщениями, созданные им сами;
(All), дает пользователю право выполнять действие над
сообщениями, созданными другими пользователями. Для упрощения задачи
назначения полномочий на общие папки, в сервере Exchange предусмотрен набор
стандартных ролей: (Owner), дает право
пользователю назначать привилегии другим пользователям, манипулировать
сообщениями в папке и вложенными папками, назначать способы представления папки
(folder Views), а так же удалять саму папку и все в нее вложенные;
(Publishing Editor), дает право
пользователю создавать, редактировать и удалять любые сообщения и создавать
подпапки; (Publishing Author), дает право пользователю создавать, редактировать
и удалять созданные им сообщения и создавать подпапки; роль (Nonediting Author), в
отличие от автора не имеет права редактировать сообщения, но имеет право удалять
собственные; (Reviewer), дает право
пользователю только просматривать сообщения, созданные другими пользователями;
никто Кроме пользователей в глобальной адресной
книге, права могут быть назначены псевдопользователю Anonymous, представляющему
клиентов, использующих анонимный режим доступа к общим папкам, например при
обращении к серверу Exchange из клиентских программ чтения новостей Internet.
Здесь под аутентификацией понимается:
процесс установления подлинности пакетов, передаваемых между
сервером и рабочей станцией. Права по отношению к файлу
(каталогу) определяют, какие операции пользователь может выполнить с файлом
(каталогом). Администратор может для каждого клиента сети определить права по
отношению к любому сетевому файлу или каталогу. Атрибуты определяют некоторые
системные свойства файлов (каталогов). Они могут быть назначены администратором
для любого сетевого файла или каталога. знать свой идентификатор и пароль для
подключения к сети, файл должен иметь атрибут, разрешающий запись данных.
Следует отметить, что атрибуты файла (каталога) имеют более высокий
приоритет, чем права пользователей по отношению к этому файлу. Новая
инициатива компании Internet Security Systems по обеспечению безопасности
ведущих промышленных предприятий Угрозы, окружающие современные информационные системы, растут с
астрономической скоростью. Состав преступников колеблется от неопытных
недовольных пользователей, ищущих признания, до хорошо организованных
организаций, использующих сложнейшие структурированные атаки для промышленного
шпионажа. Вопросы, касающиеся защиты информации , являлись движущей силой,
стоящей за образованием Комиссии по защите наиболее важных инфраструктур при
Президенте США (United States President's Commission on Critical Infrastructure
Protection). В своих первых материалах комиссия констатировала: "Возможность
нанесения вреда - особенно через информационные сети - является реальной; она
возрастает с угрожающей скоростью, и у нас небольшая защита против этого".
Работы комиссии указывают на необходимость перехода на более высокий уровень
совместного использования информации для улучшения понимания шагов, которые
необходимо предпринять правительственным агентствам и корпорациям Америки для
эффективной защиты сетевых ресурсов. Проект Spotlight (Project Spotlight) -
новая программа, которая решает эти вопросы и представляет первую официальную
инициативу, направленную на информационное обеспечение как частного, так и
общественного секторов о современном состоянии защиты информации.
Организаторами Project Spotlight стали ведущие компании, внесшие уникальный
вклад в области защиты информации : Client/Server Labs, первая испытательная
лаборатория в области информационных технологий для проведения широкомасштабных
проверок предприятия; компания Internet Security Systems, Inc. (ISS), ведущий
поставщик средств адаптивного управления сетевой безопасностью, которые
автоматически обнаруживают и реагируют на нарушения безопасности; META Group,
ведущая фирма, занимающаяся исследованиями и предоставляющая аналитические
услуги в области информационных технологий. "Project Spotlight представляет
первую попытку собрать наиболее важные количественные данные, которые
предоставят более высокий уровень знаний, касающийся защиты от угроз и облегчат
разработку эффективных контрмер по противодействию нарушениям безопасности",
сказал, бывший сенатор и последний со-председатель Консультационного комитета
Комиссии по защите наиболее важных инфраструктур при Президенте. "Цель проекта -
дальнейшее развитие технологий в области зашиты информации , которые позволят
организациям осуществлять более активную защиту систем своего предприятия,
благодаря более высокой осведомленности в вопросах защиты , а также предоставит
методы и решения по управлению рисками". Project Spotlight будет включать
подобранную группу из компаний, входящих в списки Fortune 500 и Global 2000.
Команда Project Spotlight будет заниматься установкой программного обеспечения
по обнаружению атак и анализу защищенности, а также собирать и анализировать
данные об атаках и уязвимостях. Углубленный анализ и соответствующие отчеты
позволят лучше понять возможность использования той или иной уязвимости или
угрозы, имеющих место в информационных системах участников проекта Spotlight.
"Одно из правил American Electronics Associations - оказывать влияние на
Public Policy", - заявила исполнительный директор Южно-Восточного подразделения
AEA Бетти Грей-Роуз (Betty Gray-Rose). "В этом смысле, мы считаем, что Project
Spotlight и преследуемая им цель ознакомления как общественного, так и частного
секторов с современным состоянием в области защиты информации , является
чрезвычайно важной. Кроме того, в том, что касается участников этой компании,
информация , которую они получат о состоянии защиты своей собственной
информационной системы, будет бесценной для них". Реальные данные по
угрозам и уязвимостям, собранные в промышленном секторе - эта информация будет
оцениваться с целью определения ее потенциального воздействия на корпоративные
информационные системы и сети. Специальные данные по уязвимостям - эта
информация позволит участникам проекта своевременно принимать соответствующие
меры по устранению уязвимостей. База данных по уязвимостям и угрозам,
организованная по отраслям промышленности - предназначена для проведения анализа
направления внешних воздействий. Количественный и качественный статистический
анализ - основа для ранжирования и создания предпосылок для будущих инвестиций в
технологию защиты информации. Всесторонний отчет по уязвимостям и угрозам -
сравнение состояния защиты участника проекта с состояниями защиты других
корпораций и промышленных предприятий.
| |
