Разграничение прав доступа в сети

Обеспечить информационную безопасность позволяет разграничение прав доступа пользователей к рабочим документам и приложениям. Каждый сотрудник получает возможность работать только с теми ресурсами, которые ему необходимы, при этом все документы защищены от случайного или намеренного просмотра или изменения.

В настоящее время на рынке представлены ряд программ, обеспечивающих, в частности, контроль и управление доступом в Интернет, защиту пользователей и сети предприятия, учет трафика, антивирусную защиту и контентную фильтрацию web-трафика. Условно их можно разделить на несколько категорий:

Бесплатные программы, которые можно скачать из Интернета. Но, как правило, такие программы предназначены для решения отдельных задач. Есть программы для сбора статистики, но они не имеют возможности обработки данных по разным параметрам. И наоборот, есть программы для ограничения ресурсов, которые не имеют функции сбора статистики, и т.д.

В качестве примера можно привести программу BWMeter, предназначенную для графического отображения и подсчета трафика, который передается по локальной сети. При помощи утилиты можно выполнять подсчет переданных пакетов, а также выяснить, куда и откуда они направляются, по какому протоколу и к какому порту.

Платные решения по защите и контролю над корпоративной информацией можно приобрести на компакт-дисках в том же Интернете. Профессиональные решения такого рода от известных зарубежных производителей, как правило, отвечают всем вышеперечисленным требованиям, но являются дорогостоящими. К этой категории относят такие программы, как Kerio WinRoute Firewall, Ideco ICS Standard Edition, прокси-сервер UserGate, Windows Svr Ent 2008.

Аппаратно-программные комплексы для контроля интернет-подключения. Они удобны тем, что по своей функциональности ориентированы именно на конечного пользователя, т. е. на компании любого уровня, отвечают всем требованиям и удобны в эксплуатации. Главное их преимущество в том, что вам не потребуется подбирать оборудование и устанавливать программу. Аппаратно-программный комплекс или просто сервер подключается к сети, настраивается под ее особенности и работает. В качестве примера можно привести программный комплекс Интернет Контроль Сервер 2.x, который устанавливается на компьютер и отделяет корпоративную сеть от Интернета, контролируя все информационные потоки и осуществляя учет трафика между сетью учреждения и Интернетом.

К задачам разграничения прав доступа в сети можно отнести:

· 1. Распределение пользователей по группам и создание учетной записи для каждой группы и пользователя в отдельности.

· 2. Авторизация пользователей.

· 3. Запрет доступа к определенным объектам.

· 4. Задание ограничений потребления ресурсов Интернета.

Для того чтобы распределить пользователей по группам, необходимо создать структуру пользователей с помощью анализа организации, допустим выделить все отделы, продумать признаки для выделения групп пользователей. Например, возможна следующая структура: планово-финансовый отдел, бухгалтерия, отдел кадров и делопроизводства и т.п. Для выделенных отделов нужно создать группы и внутри их создать пользователей или же поступить иначе — создавать пользователей без групп. В принципе особой разницы здесь нет. Единственным плюсом создания групп является возможность отслеживать потребление по группе в целом. С помощью профилей доступа можно без труда задать одинаковые права доступа для отдельных пользователей, не объединенных в группы. Конечно, для групп необходимость создания профиля доступа отпадает.

Как работает авторизация пользователей? При открытии нового окна браузера и запросе ресурса из Интернета пользователь получает окно с запросом логина и пароля. В этом окне следует ввести логин и пароль данного пользователя, которые были заданы ему при создании. Если логин и пароль верны — пользователь получает доступ к Интернету.

Для реализации запрета доступа к определенным объектам нужно создать систему блокировок, которая работает согласно следующему примеру:

Все пользователи (запрещен www.yandex.ru)

Пользователь 1

Группа 1 (запрещен www.google.com)

Пользователь 2

Группа 3 (запрещен www.auto.ru)

Пользователь 3

При такой структуре «пользователю 3» будут запрещены все три ресурса (www.yandex.ru, www.google.com и www.auto.ru), «пользователю 2» лишь два верхних — Яндекс и Google, «Пользователь 1» будет иметь доступ к любому ресурсу, кроме www.yandex.ru.

Также стоит отметить, что у каждого из пользователей из примера выше должно быть явно прописано разрешение на доступ к любым (!) ресурсам. Нарушения работы не произойдет, так как к нему также применятся правила вышестоящих групп. То есть с учетом этого пример будет выглядеть так.

Все пользователи (запрещен www.yandex.ru)

Пользователь 1 (разрешено все)

Группа 1 (запрещен www.google.com)

Пользователь 2 (разрешено все)

Группа 3 (запрещен www.auto.ru)

Пользователь 3 (разрешено все)

Последовательность добавления правил влияет на приоритет действия правил (чем выше расположено правило, тем выше его приоритет перед остальными).

Администратору сети может потребоваться задать некоторый набор запрещаю- щих/разрешающих правил для целого набора пользователей, которые располагаются в разных группах. Для того чтобы ему не приходилось вручную добавлять данный набор правил отдельно для каждого пользователя, существует возможность создать так называемый профиль доступа с соответствующим набором правил и затем добавить его в список правил доступа для каждого отдельного пользователя.

Как уже было сказано, Интернет -— это платный и публичный ресурс. Поэтому большое значение имеют экономия денежных средств образовательного учреждения и, кроме того, ограничение пропускной способности канала для конкретных пользователей с целью более справедливого распределения емкости канала по всем пользователям. Для этого следует задать ограничения потребления ресурсов Интернета.

В этой связи вводится следующая характеристика: предельный объем потребления трафика (квота), при превышении которого администратор сети может принять различные карательные меры.

Отследив динамику потребления трафика пользователями, администратор сети может определить средний предельный объем трафика, при превышении которого можно, например, без предупреждения отключить нарушившего правила пользователя от сети Интернет.

Ни один администратор сети учебного заведения не разрешит обычным пользователям (студентам) на практических занятиях осуществлять вышеописанные функции разграничения прав доступа в сети. Однако на обычном учебном или домашнем компьютере можно рассмотреть, в частности, процесс создания учетной записи. Дело в том, что достаточно часто складываются ситуации, когда на одном компьютере работают несколько человек, и в этом случае можно сделать так, чтобы у каждого пользователя были свои настройки Windows. Кроме того, можно одним пользователям предоставить возможность устанавливать новое программное обеспечение, а другим — запретить. Также имеется возможность запретить использовать какие-то программы на компьютере.

Существуют три типа учетных записей. Каждый тип дает пользователю разные возможности управления компьютером:

· - обычные учетные записи пользователей предназначены для повседневной работы;

· - учетные записи администратора предоставляют полный контроль над компьютером и применяются только в необходимых случаях;

· - учетные записи гостя предназначены для временного доступа к компьютеру.

Говоря другими словами, при входе в Windows с использованием обычной

учетной записи можно выполнять те же действия, что и с учетной записью администратора, но для внесения изменений, влияющих на всех пользователей компьютера (например, для установки программного обеспечения или изменения параметров безопасности), в ОС Windows может запрашиваться пароль администратора.

Для создания новой учетной записи следует выполнить команду Пуск/Панель управления/Учетные записи пользователей и семейная безопасность. Откроется окно, представленное на рис. 126.

Рис. 126. Внешний вид окна Учетные записи

Выберем пункт Добавление и удаление учетных записей пользователей. В

появившемся окне (рис. 127) следует выбрать пункт Создание учетной записи.

Рис. 127. Окно выбора учетной записи

Рис. 128. Указываем имя учетной записи

Далее требуется указать имя учетной записи и права доступа (Администратор или Обычный доступ), которыми должен будет обладать владелец создаваемой учетной записи (рис. 128), и нажать кнопку Создание учетной записи.

Учетная запись создана, и теперь следует ее настроить. Для этого выполняем двойной щелчок мыши на созданной учетной записи.

В окне, представленном на рис. 129, имеются следующие пункты:

· 1. Изменение имени учетной записи.

· 2. Создание пароля.

· 3. Изменение рисунка.

· 4. Установить родительский контроль.

· 5. Изменение типа учетной записи.

· 6. Управление другой учетной записью.

Рис. 129. Окно Внесение изменений в учетную запись

Прокомментируем некоторые из них. Во-первых, после создания учетной записи необходимо создать для нее пароль (рис. 130). Использование пароля повышает надежность системы. Поле Введите подсказку для пароля можно не заполнять. После ввода пароля и его дублирования следует нажать на кнопку Создать пароль.

Рис. 130. Создание пароля для учетной записи

Установить родительский контроль. Новая функция Windows 7 позволяет назначить время, когда пользователь (ребенок) может пользоваться компьютером, а также определить, какие игры и программы ему будут доступны. С помощью родительского контроля можно:

· - ограничить время, проводимое пользователем (ребенком) за компьютером. Можно ограничить время, в течение которого детям разрешен вход в систему. Для каждого дня недели можно отвести время для входа в систему, даже если пользователь будет работать за компьютером, то произойдет автоматический выход из системы;

· - установить запрет на доступ к отдельным играм. Можно контролировать доступ к играм, выбирать допустимую возрастную категорию, типы содержимого, которые следует блокировать, и устанавливать разрешение или запрет на доступ к отдельным играм или играм, не имеющим категории;

· - установить запрет на использование пользователем (ребенком) отдельных программ.

Для реализации запрета доступа к определенным объектам, в частности к интернет-ресурсам, следует установить дополнительный модуль «Семейная безопасность», расположенный по адресу http://windows. microsoft.com/ru-RU/ windows-live/essentials-other-programs (рис. 131). Однако в этом случае понадобится предварительно получить идентификатор Windows Live ID в службе Windows Live по адресу http://www.home.live.ru.

Установив на компьютере основные компоненты службы Windows Live, можно расширить возможности работы с фотографиями, видео и электронной почтой. Основные компоненты Windows Live бесплатны и включают программу Windows Live Messenger, Фотоальбом и Киностудию. С помощью идентификатора Windows Live ID можно получать доступ ко всем службам Windows Live, в том числе к службам Hotmail, SkyDrive и программе Messenger, один раз выполнив вход.

Рис. 131. Внешний вид страницы Семейная безопасность Windows Live

После регистрации и установки компонента «Семейная безопасность» станут доступны параметры, предназначенные для настроек фильтрации и блокировки интернет-ресурсов, которые, по вашему мнению, нежелательно посещать пользователю. Они включают в себя следующие разделы:

· 1. Web-фильтр.

· 2. Создание отчета о действиях.

· 3. Управление контактами.

· 4. Запросы.

· 5. Ограничения времени.

· 6. Ограничения игр.

· 7. Ограничения программ.

Настройки будут доступны по адресу http://familysafety.live.com, если администратор системы предварительно введет идентификатор Windows Live ID и пароль.

После ввода пароля на экране появится окно с вышеперечисленными параметрами (рис. 132).

Рассмотрим некоторые из параметров.

Web-фильтр. С его помощью можно контролировать, какие типы web-сайтов могут просматривать пользователи (дети), и отслеживать сайты, которые они посещают (рис. 133). В частности, можно разрешить посещение web-ресурсов только из белого списка, добавленные администратором (родителем), блокировать взрослые сайты, разрешить или запретить общение в социальных сетях.

Рис. 132. Параметры для настроек фильтрации и блокировки интернет-ресурсов

Рис. 133. Окно контроля типа сайтов

Списки web-фильтра. С их помощью (рис. 134) можно управлять списком web-сайтов, просмотр которых разрешен или заблокирован для пользователя (ребенка). Составив заранее список конкретных сайтов, администратор (родитель) может разрешить или блокировать к ним доступ.

Ограничения времени. В специальном диалоговом окне (рис. 135) можно выбрать время, когда пользователю (ребенку) разрешено использовать компьютер. В сетке часов белыми прямоугольниками обозначены разрешенные часы доступа к компьютеру, синими — запрещенные.

Рис. 134. Окно списков web-фильтров

Рис. 135. Окно установки ограничения времени использования компьютера

Ограничения игр. Каждая игра имеет свою оценку, т. е. оценку той категории людей, для которой она предназначена, например, игра разрешена для детей от 3 лет, от 6 лет, старше 10 лет и т.д. В соответствии с этими оценками, можно разрешить/запретить ту или иную категорию игр. Окно установки ограничений игр представлено на рис. 136.

Рис. 136. Окно установки ограничений на игры

Ограничения приложений. В соответствующем окне (рис. 137) будут перечислены программы, установленные на компьютере, среди которых можно выбрать те из них, которыми не разрешено пользоваться.