Ako riadiť prístup k citlivým informáciám

13. 08. 2008 | 6/2008 | Comments [0]

Určite si každý z nás  dobre pamätá posledné prípady úniku mobilných čísel od operátorov, keď na verejnosť presiakli aj čísla pracovníkov Slovenskej informačnej služby. Takéto straty citlivých údajov často spôsobujú nespokojní pracovníci firiem, ktorí si pred svojím dobrovoľným či nedobrovoľným odchodom usilujú prilepšiť alebo poškodiť dobré meno ich zamestnávateľa, pričom využívajú svoje známe prístupy do informačných systémov.

Ako riadiť prístup kcitlivým informáciám?Určite si každý z nás dobre pamätá posledné prípady úniku mobilných čísel od operátorov, keď na verejnosť presiakli aj čísla pracovníkov Slovenskej informačnej služby. Takéto straty citlivých údajov často spôsobujú nespokojní pracovníci firiem, ktorí si pred svojím dobrovoľným či nedobrovoľným odchodom usilujú prilepšiť alebo poškodiť dobré meno ich zamestnávateľa, pričom využívajú svoje, resp. im známe prístupy do informačných systémov.Je možné odstrániť či minimalizovať takéto riziko? Ako zabezpečiť rýchle odňatie alebo zmenu prístupov do informačných systémov zamestnávateľa či firmy? Ako chrániť autentifikačné údaje? Takéto otázky CIO riešia už niekoľko rokov, ak nie desaťročí. Otázne je ich uplatnenie v zmysle požiadaviek a komplexnosť riešenia. Jedným zo spôsobov riešenia je správa prístupov do systému na centralizovanom mieste a riešenie bezpečnej autentifikácie používateľov.

LDAP, Active directory a problematika Adresárových služieb

Prvým stupňom takýchto riešení sú adresárové služby. Ide o úložisko používateľských účtov, voči ktorému sa ostatné aplikácie dokážu overovať. Jednoduchá a pritom geniálna myšlienka. Ako to vyzerá v skutočností? Viacero koncových systémov, ktoré pôvodne na autentifikáciu používateľov využívali internú databázu, sa začne pýtať centralizovanej autorizačnej databázy, ktorá je autoritatívnym zdrojom, či daný užívateľ existuje a aké má heslo. Mohlo by sa zdať, že problém je vyriešený . Ak niekto končí, zrušíme mu účet v centralizovanom úložisku. Bohužiaľ, takéto riešenie má niekoľko vážnych obmedzení. Prvým z nich je, či koncový systém takýto forward účtov podporuje a druhým, podstatne väčším, je bezpečnostné politika systémov. Tretím obmedzením je flexibilita zmeny práv do systémov pri zmene pozície pracovníka. Preto sa celá myšlienka musela posunúť podstatne ďalej, keďže riešenie problematiky iba formou adresárových služieb je takmer nemožné.

Viac vpriloženom pdf

Image gallery

PDF attachement

Download PDF version of article


Write review