Роли решают всё

Самые лучшие бизнес-процессы, которые отвечают современным требованиям, не принесут успеха без контролируемого, точного, своевременного управления идентификационными данными людей и ресурсов, распределенных по всему предприятию. Для компаний с тысячами пользователей, сотнями функциональных обязанностей и множеством профилей доступа управление учётными записями, разрешениями и их взаимосвязями является сложной задачей, которую нереально выполнить небольшой группе администраторов и офицеров безопасности.


Олег Павленко, технический директор представительства Novell в Украине

Контроль доступа на основе ролей (RBAC, Role-Based Access Control) широко используется для управления пользовательскими привилегиями в пределах единой системы или отдельного приложения и на сегодняшний день является наилучшей практикой построения систем разграничения доступа авторизованных пользователей.

Одну из лучших реализаций RBAC предоставляет компания Novell в своём решении Identity Manager на базе компонента Role Based Provisioning Module, построенного в соответствии с концепциями ролевого управления стандарта National Institute of Standards and Technology (NIST) ANSI 359-2005 (
http://csrc.nist.gov/rbac/).

Novell Identity Manager организует защищенное управление доступом пользователей к корпоративным системам на ролевой основе в соответствии с постоянно меняющимися функциональными обязанностями и рабочими потребностями. Использование Identity Manager предоставляет возможность управления идентификационными данными на протяжении всего жизненного цикла "пользователя" в различных системах и приложениях.

Роли создаются внутри организации для различных рабочих функций и ассоциируются с электронными ролями Novell Identity Manager. Определенным ролям присваиваются полномочия на ресурсы, необходимые для выполнения тех или иных задач или операций. Ресурсами являются описанные в терминах Provisioning Module доступы к отдельным системам и приложениям или их наборам. В организациях с гетерогенной ИТ-инфраструктурой, которые используют множество систем и приложений, порождающих тысячи ролей, Identity Manager позволяет создавать иерархию ролей, наследующих привилегии других уровней. Например, верхний ролевой уровень может быть ассоциирован с владельцами бизнес-ресурса и позволять последним не только участвовать в разграничении привилегий, но и играть решающую роль в процедурах согласования доступа к этому ресурсу.

Так как привилегии не назначаются пользователям непосредственно, а приобретаются ими только через роли, управление индивидуальными правами пользователя по сути превращается в простое присвоение ему ролей. Это значительно упрощает операции управления доступами, реализует безошибочный процесс администрирования даже с использованием слабоквалифицированного ИТ-персонала.

Штатным сотрудникам могут назначаться фиксированные роли, через которые они получают соответствующие привилегии, необходимые для выполнения базовых функциональных обязанностей. Присвоение таких ролей обеспечивается мгновенной регистрацией пользователя и синхронизацией необходимых атрибутов его учётной записи в описанных ролью системах. Право назначения дополнительных ролей, потребность в которых может возникнуть, например, при участии сотрудника в дополнительных проектах, временном исполнении обязанностей и т.д., может быть делегировано ответственным лицам (к примеру, непосредственному руководителю).

Таким образом, достаточно сложные задачи распределения доступа к ИТ-ресурсам могут быть переданы на уровень бизнеса и исполняться без участия системных администраторов. Привлекательной в Identity Manager является также возможность построения децентрализованного управления с делегированием ряда полномочий, например, на уровень ИТ-отделов филиалов или отделений.

Если в ходе выполнения своих функциональных обязанностей сотруднику потребуются дополнительные права доступа к каким-либо системам, то последний сможет самостоятельно оформить электронную заявку на дополнительный доступ к разрешённым ему политикой безопасности ресурсам. После прохождения в Identity Manager заранее сконфигурированной процедуры согласования (утверждения возможности доступа ответственными лицами, в частности, начальником отдела, работником службы безопасности) пользователь получает доступ к ИТ-ресурсам.

При использовании разветвлённой иерархии ролей существует опасность наследования разрешений от противоположных (конфликтных) ролей, что может привести к получению пользователем нежелательных привилегий. Во избежание таких ситуаций Provisioning Module поставляет подсистему SoD (ограничения разделения обязанностей), предоставляющую возможность предварительного определения (например, работником отдела безопасности) списка противоречивых назначений привилегий к системам и приложениям. Если даже запрос конфликтных привилегий был утверждён уполномоченными лицами в процессе согласования, такое назначение будет всегда ограничено по времени и специальным образом помечено в отчётах.


Одну из лучших реализаций RBAC предоставляет компания Novell в своем решении Identity Manager на базе компонента Role Based Provisioning Module, построенного в соответствии с концепциями ролевого управления стандарта National Institute of Standards and Technology (NIST) ANSI 359-2005

Работа подсистем Identity Manager фиксируется в базе поставляемого в комплекте ПО Novell Audit. Кроме этого, доступны мгновенные отчёты, позволяющие ответить на следующие вопросы:

  • Кто ассоциирован с конкретной ролью?
  • Какими доступами (ролями) пользуется пользователь?
  • Какие у роли подчинённые роли?
  • Есть ли у роли конфликтные роли?
  • Текущее состояние конфликтов по ролям?
  • У кого в ближайшее время заканчивается период использования доступа, предоставляемого ролью с временным ограничением?
  • Какой ролевой доступ запрошен конкретным пользователем?

Таким образом, развёртывание Novell Identity Manager позволит:

реализовать принятую в организации политику безопасности при организации доступов к ИТ-ресурсам;

  • активно вовлекать бизнес в процесс предоставления доступа к критичным ИТ-ресурсам на базе ролевого управления и процедур согласования;
  • перевести на электронные формы процедуры согласования доступа к ресурсам с последующим автоматическим изменением профилей доступа без участия администраторов систем;
  • создавать ограничения разделения обязанностей (SoD) для управления возможными конфликтами между назначениями ролей;
  • автоматизировать создание учётных записей в различных системах и приложениях, устраняя необходимость ручного дублирования данных и ошибки при поддержке их актуальности;
  • динамично изменять права доступа при изменении статуса или роли сотрудника в организации;
  • мгновенно ликвидировать права доступа во всех системах при прекращении взаимоотношений организации с сотрудником;
  • кардинально уменьшить стоимость и влияние человеческого фактора на процесс управления доступами.
2008.03.17
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".