Функции администратора ИС
ОБЩИЕ ПОЛОЖЕНИЯ
Основные понятия
Информационно-вычислительная система (ИВС) – комплекс программных и аппаратных средств для обеспечения автоматизации производства и других сфер жизнедеятельности человека, включающий в качестве составных частей серверное и сетеобразующее оборудование.
Пользователь ИВС (User)–физическое лицо, имеющее доступ к определенным ресурсам ИС, идентифицируемое учетной записью. Администратор ИС также является пользователем ИС, обладая, в общем случае, неограниченным доступом ко всем ресурсам ИС.
Администратор ИВС (Administrator)–должностное лицо, ответственное за работоспособность и надлежащее функционирование всех частей ИВС.
У администратора большой ИС в подчинении могут находиться администраторы частей и подсистем ИС – например, администратор локально-вычислительной сети, администратор сетевой ОС, администратор базы данных (БД), а также технический персонал. Администратор подсистемы ИС отвечает за работоспособность и надлежащее функционирование вверенных ему компонентов этой подсистемы ИС.
Учетная запись пользователя (Account)– запись в специализированной БД (БД учетных записей), содержащая информацию о пользователе ИС. Используется для идентификации пользователя в системе, проверки полномочий пользователя и обеспечения доступа пользователя к тем или иным ресурсам системы. Характеризуется атрибутами, например имя для входа, пароль, профиль в системе, список принадлежности к группам и т.п. Пароль служит для защиты бюджета от несанкционированного использования.
Регистрация пользователя в системе (Registration)– создание администратором ИС (или другим уполномоченным липом) учетной записи пользователя для данного физического лица.
Аутентификация в системе (Authentication)– процесс установления подлинности пользователя ИС. Он Заключается в предъявлении пользователем своего имени для входа и пароля, а также в проверке системой наличия учетной записи в БД учетных записей пользователей и соответствия указанного пользователем пароля и пароля, хранящегося в БД. После успешной аутентификации в системе для пользователя на время сеанса работы создается дескриптор безопасности, отражающий его цифровой идентификатор в системе, а также принадлежность группам пользователей, профилям и другим объектам системы безопасности.
Ресурсы ИВС (Resources)– физические и логические объекты ИС, имеющие определенную функциональность, доступную для использования. Примеры физических ресурсов – сервер ЛВС, каталог совместного использования на сервере, сетевой принтер; Примеры логических ресурсов – пользователь, группа пользователей, профиль в системе, очередь на печать и т.д.
Совместное использование ресурса (Resourcesharing)– использование ресурса двумя и более пользователями ИВС.
Права доступа к ресурсу (Accessrightstotheresource)– степень свободы действий пользователя (просмотр, использование, владение) по отношению к данному ресурсу. Имеют специфику применительно к разным ресурсам и подсистемам ИС (создание, чтение, запись, удаление файлов и каталогов – для файловой службы; создание, печать документов/управление очередью на печать — для службы печати и т.д.). По определению, администратор ИС имеет полные права на все ресурсы ИС. Администратор части ИС - полные права на ресурсы части ИС. Права доступа на прямую связаны с ответственностью пользователя, которую он несет, пользуясь этими правами.
Назначение прав доступа к ресурсу (User'srightsassignment)– процедура создания в системе специальной записи, с помощью которой учетной записи пользователя или ее аналогу (например, учетной записи группы пользователей) присваиваются определенные права доступа к ресурсу. Назначение прав доступа в современных информационно-вычислительных системах осуществляется через списки управления доступом (AccessControlList/ACL).
Аудит /Контроль использования ресурсов (Audit) – процесс контроля использования ресурсов, включающий возможность ведения журнала попыток доступа к ресурсам. Журнал аудита ведется на основе данных, поступающих от процедур авторизации.
Список управления доступом (AccessControlList /ACL)– в виде отдельных записей хранит информацию о том, кто обладает правами на ресурс и каковы эти права. Например, для одного пользователя в ACL каталога файловой системы могут быть указаны права на чтение, а для другого пользователя – права на чтение и запись.
Авторизация / Проверка прав доступа (Authorization / Rightsverification) – процесс установления системой соответствия запрошенных прав доступа к ресурсу и фактических прав пользователя на ресурс и формирования управляемой реакции: разрешить или отвергнуть доступ пользователя к ресурсу. Например, пользователь выполняет операцию открытия файла на запись (запрашиваемые права), обладая при этом только правом просмотра (фактические права). Система запретит выполнение операции, мотивируя свое поведение недостатком прав у пользователя.
Функции администратора ИС
Администратор ИС обеспечивает надлежащую работоспособность ИС, выполняя определенные функции (или должностные обязанности). К основным функциям администратора относятся:
1. Управление учетными записями пользователей. Включает регистрацию пользователей, контроль использования учетных записей, задание ограничений на использование учетных записей, блокирование временно не использующихся учетных записей, удаление учетных записей.
2. Управление доступом к ресурсам. Включает создание логических и регистрацию физических ресурсов ИС, обеспечение управляемого доступа к ресурсам с помощью списков управления доступом, контроль использования ресурсов.
3. Обеспечение сохранности, секретности и актуальности данных. Включает создание и поддержание нужного количества резервных копий, восстановление при необходимости данных, защиту данных от несанкционированного доступа (путем установки соответствующих прав доступа), своевременное обновление данных.
4. Установка и сопровождение программного и аппаратного обеспечения. Включает установку ОС на серверах и рабочих станциях ИС, установку серверного и клиентского ПО, установку дополнительного аппаратного обеспечения; настройку и контроль работоспособности программного и аппаратного обеспечения.
1.3 «Золотые» правила администратора
1. Никогда не проводи экспериментов на работающей системе. Если это все-таки необходимо, сделай сначала полную резервную копию данных.
2. Никогда не меняй конфигурацию сервера (как аппаратную, так и программную), не сделав предварительно полную резервную копию данных.
3. Всегда документируй свои действия в журнале администратора. Если это возможно – пользуйся встроенными в серверные ОС средствами аудита и журналирования.
4. Если можно переложить часть работы на подчиненного, сделай это. Ноесли ты не уверен, что подчиненный справится с заданием должным образом, сделай это сам.
5. Всегда соотноси назначаемые права с мерой ответственности, связанной с теми или иными правами, т.е. пользователь, имеющий больше прав, берет на себя больше ответственности. Администратор должен обладать полными правами на вверенную ему систему.
6. При работе с ресурсами ИС в качестве пользователя (например, при выполнении таких действий, как редактирование документов, просмотр и отправка почтовых сообщений, разработка ПО и т. п.) используй учетную запись с обычными правами доступа, а не учетную запись администратора.
7. Регулярно меняй пароль учетной записи администратора. Ноне полагайся на свою память - записывай пароль на бумаге и храни в месте с ограниченным доступом посторонних лиц (сейф, от которого ключи только у вас и, может быть, вашего прямого начальника).
Дата добавления: 2015-10-21; просмотров: 6850;