Книги, научные публикации
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В БИЗНЕСЕ ПОДХОД К АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ УЧЁТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ А.В. Боганов, эксперт, ООО ИБС.
Адрес: 127434, Москва, Дмитровское ш., д. 9 Б, e-mail: aboganov@ibs.ru В статье рассматривается задача организации эффективного управления учетными за писями сотрудников компании на объектно-ролевой основе, централизованного распределения прав доступа к информационной системе, а также проведения регулярного аудита соответ ствия установленным правилам распределения привилегий.
Ключевые слова: управление идентификацией, управление рисками, управление личными счетами, распределенные информационные системы, управление информационными системами предприятия.
Постановка задачи стеме (например, поставщик, подрядчик, клиент, сотрудник компании, специалист внешнего пред процессе своей деятельности по предостав приятия - провайдера услуг), изменяют их приви лению бизнесу услуг информационных тех легии при смене должности, запрещают им доступ Внологий подразделения информатизации к информационной системе, в случае увольнения с обеспечивают непрерывность функционирования предприятия. Пользователи системы могут забыть корпоративной информационной системы требуе выделенные им учётные записи, в результате чего мого качества [1]. При этом устанавливаются и в необходимо производить действия по их сбросу и дальнейшем поддерживаются права доступа поль назначению новых записей. Изменяется состав и зователей информационной системы к ее объектам количество сотрудников на предприятии, изме (серверам, хранилищам данных, операционным няются их роли и функции в системе, внедряются системам, программным приложениям и др.). Для новые и снимаются с эксплуатации старые объ этого пользователям назначают индивидуальные екты инфраструктуры информационных техноло учётные записи с учётом их ролей и функций в си гий. Таким образом, деятельность по управлению БИЗНЕС-ИНФОРМАТИКА №3(09)Ц2009 г.
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В БИЗНЕСЕ учётными записями пользователей корпоративной Административное Системный управление администратор информационной системы требует значительных Добавить Управление Изменить трудозатрат в процессе всего жизненного цикла Сотрудник Удалить доступом системы. Так, в соответствии со статистическими Добавить Менеджер по Управление Изменить данными, от 25% до 30% направляемых в службу Подрядчик кадрам Удалить сотрудниками поддержки запросов являются просьбой сбросить Добавить Управление Изменить забытый пароль [2].
Удалить поставщиками Исследование, результаты которого представле Добавить Управление Изменить ны в настоящей работе, относятся к проблеме ми Удалить приложениями нимизации производительных ресурсов по управ- Добавить Поставщик Менеджер по Изменить Internet закупкам Удалить лению информационной системой предприятия [3]. Целью работы является изложение подхода к Добавить Изменить E-mail назначению учётных записей пользователям систе Удалить мы на основе централизованного управления. Добавить Управление Изменить Удалить клиентами Клиент Менеджер по работе с Способ централизованного управления учетными клиентами записями Рис. 1. Организация управления доступом Создание систем управления информационны пользователей к ресурсам ми системами в настоящее время осуществляется Объектно-ролевая основа данного способа за с учётом рекомендаций ITIL1. На основе моделей процессов управления ИТСМ (ITSM)2 разрабаты- ключается в установлении причинно-следственной ваются и внедряются автоматизированные проце- связи между учётными записями, уровнями полно дуры управления инцидентами, проблемами, изме- мочий пользователей и конкретными объектами информационной системы. Например, на каждом нениями и конфигурациями. Создаются системы предприятии имеется штатно-должностное распи мониторинга и управления вычислительными и сание, в котором прописаны обязанности, выпол транспортными ресурсами, системы управления няемые пользователем. Исходя из обозначенных рисками, разрабатываются планы восстановления обязанностей, можно сформировать список объ после сбоев. Однако, по мнению автора, уделяется недостаточно внимания системно-техническим ре- ектов, необходимых пользователю, а так же обо шениям по восстановлению информации о ключе- значить уровень его доступа к данным объектам вых сотрудниках и их доступа к объектам информа- и на основе полученных данных создать шаблоны заведения учетных записей и правила проведения ционной системы [4]. Помимо этого, предприятию аудита [5]. Способ централизованного управления сегодня необходимо иметь комплексное решение, позволяющее контролировать деятельность долж- учетными записями пользователей обеспечивает:
ностных лиц внутри процессов управления. На- автоматическое создание на основе шаблона пример, наблюдаются случаи, когда пользова- новой учетной записи пользователя с учетом его должностных привилегий, а так же политик компа тель направляет обращение в службу поддержки с нии и стандартов обеспечения безопасности;
просьбой выделения доступа к объекту, с которым автоматическое назначение паролей на доступ он не имеет права работать. Решение же о допуске принимает специалист первой линии поддерж- к новым объектам;
ки на основе только своих знаний о полномочи- синхронизацию паролей к различным объ ектам, обеспечивая единую точку доступа ко всем ях этого пользователя. В то же время необходимо приложениям информационной среды;
знать, что за разрешением о доступе обращаются самостоятельный сброс пароля пользователями именно те пользователи, которые имеют на это и самостоятельное определение ими нового паро право. Централизованное управление учетными ля, с одновременным распространением новых па записями пользователей на объектно-ролевой ролей на все объекты;
основе позволяет решить данную задачу. Типовая схема организации такого управления представле- регулярный аудит учетных записей пользовате лей на соответствие действующим правилам;
на ниже (рис. 1).
ITIL (IT Infrastructure Library) - ИТИЛ (Библиотека Инфраструктуры ИТ), ИТСМ (ITSM) - Information Technology Service Management, ИТСМ (ИТ сервис-менеджмент) БИЗНЕС-ИНФОРМАТИКА №3(09)Ц2009 г.
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В БИЗНЕСЕ прямую автоматическую корректировку прав Точка идентификации пользователя размеща доступа на основе проведенного аудита;
ется в зоне открытого доступа, она отвечает за по автоматическое оповещение ответственных стоянный контроль взаимодействия пользователя лиц о подозрительных операциях над объектами;
с объектом, производя проверку прав доступа в со консолидацию и синхронизацию информации ответствии с локальным списком, в котором указа об учетных записях пользователей;
ны пользователи и их привилегии [6]. Изначально автоматический сбор информации об объекте, локальный список прав доступа формируется ад кто и на каком уровне имеет к нему доступ;
министратором системы на Сервере управления генерацию отчетных данных.
идентификацией, далее в автоматическом режиме список распространяется на все необходимые Точ Система централизованного управления ки идентификации. По команде со стороны Сервера учетными записями управления идентификацией списки Точек иден тификации регулярно синхронизируются с инфор Вариант построения системы централизованного мацией, имеющейся в Центральном хранилище, на управления учетными записями, представлен ниже случай если пользователь самостоятельно изменит (рис. 2).
свой пароль. В функционал Точки идентификации Администратор доступа заложен механизм самостоятельного сброса пароля Пользователи Сервер пользователем, например, пользователю необходи управления мо будет ответить на заранее сформулированный идентификацией Хранилище политик/учетных вопрос (дата бракосочетания с супругом, день рож записей дения тети и т. п.). При введении пользователем Точка идентификации правильного ответа, ему на почтовый адрес будет выслан новый пароль, произойдет автоматическая смена паролей на всех объектах, с которыми взаи модействует пользователь. В Точке идентификации накапливается историческая информация о дей ствиях пользователя, произведенных над объектом.
При следующей синхронизации, проводимой по команде с Сервера управления идентификацией, историческая информация и информация с новы ми паролями будет перезаписана в Центральном Рис. 2. Система централизованного управления хранилище. Такой односторонний алгоритм обме учетными записями на информацией между Точкой идентификации и Система управления учетными записями пользо- Сервером управления идентификацией призван повысить безопасность обмена данными. Точка вателей состоит из следующих частей:
Точка идентификации1 пользователя. Обеспечи- идентификации выдает информацию, зашифро вает выполнение функций повседневного контроля ванную по определенному алгоритму, только по доступа;
команде Сервера управления идентификацией.
Сервер управления идентификацией. Обеспечи- Кроме того, в Точке идентификации могут быть вает выполнение функций по управлению учетны- реализованы функции по блокированию вредонос ми записями пользователей (создание, изменение, ных программ и выявлению аномалий протоколов.
удаление), по настройке правил определения паро- Одним из ключевых элементов эффективной лей и аудита соответствия;
системы управления учетными записями является Центральное хранилище, база данных. Содержит обладание единой точкой отслеживания привиле политики (как собственные правила предприятия, гий доступа пользователей ко всем объектам ИТ так и стандарты типа HIPAA, SOX404, Basel II, инфраструктуры. Консолидация идентификаци CIS), информацию об учетных записях пользовате онных данных снижает сложность управления кор лей и объектах с паролями, информацию по аудиту поративной информационной системой и обеспе соответствия, а так же отчетные данные.
чивает службу поддержки наиболее актуальными Точка идентификации - межсетевой экран, шлюз, либо в случае, когда имеется широкая полоса пропускания в каналах связи, программный агент, устанавливаемый на все контролируемые объекты.
БИЗНЕС-ИНФОРМАТИКА №3(09)Ц2009 г.
Серверы Service Desk Другие системы Виртуальная среда Хранилища данных Сетевые устройства Управление активами Средства мониторинга Управление мощностями ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В БИЗНЕСЕ идентификационными данными, а так же обеспе- кальным управлением на каждой площадке очень чивает возможность автоматизированного выделе- трудно определить владельцев учетных записей или ния пользователям необходимых объектов с учетом скорректировать данные учетные записи с именем действующих правил и политик. пользователя. Процесс будет являться сложным и Центральное хранилище обеспечивает хранение длительным, а оставшиеся не используемые учет информации, описывающей объекты и пользовате- ные записи будут являться уязвимостями системы, лей, связанные с ними роли, привилегии, вместе с используемыми бывшими пользователями в ко информацией о деятельности пользователей и дан- рыстных целях;
ными по проведенному аудиту, а так же шаблоны наличие у пользователя несоответствующе учетных записей, политики, правила, стандарты го уровня полномочий, как указывалось в начале и рекомендации по проведению аудита. Система статьи, пользователи перемещаются внутри пред управления учетными записями с единым храни- приятия, переезжают в другие региональные пред лищем данных обеспечивает: ставительства, переходят на вышестоящие должно оперативный обзор всех деталей учетной запи- сти или же просто переходят в другой департамент, си пользователя, вне зависимости от доступности в таких случаях необходимо вносить изменение в управляемой системы;
учетные записи. В случае использования централи генерацию единых отчетов по идентификаци- зованной системы управления учетными записями онным данным различных управляемых систем;
на объектно-ролевой основе пользователь, сме возможность согласования изменений учетных нивший должность, сменит и свою роль, а значит, записей и, при необходимости, отмены не соответ- уровень полномочий для него будет изменен авто ствующих изменений. матически;
Сервер управления идентификацией является соответствие имеющихся учетных записей пра основным инструментом настройки и управления вилам и стандартам. Контроль таких параметров системой. При помощи него происходит конфигу- как длина, частота смены повторяемость пароля, рирование Точек идентификации и правил аудита. при выявлении несоответствий, производится ав Сервер управления идентификацией на регуляр- томатическая корреляция с правилами.
ной основе производит аудит локальных учетных Для управляемых систем указывается правило записей объектов на соответствие политикам и или стандарт соответствия, некая эталонная кон стандартам. При обнаружении выявленных не- фигурация. Сервер управления идентификацией соответствий происходит их автоматическое ис- по заданному расписанию или по команде прово правление, с одновременным уведомлением от- дит проверку параметров, входящих в правило или ветственных лиц. Алгоритм проведения аудита стандарт. При обнаружении несоответствия выяс соответствия и автоматической корреляции при- няется, не является ли данное несоответствие допу веден ниже. (рис. 3). стимым исключением из правила, если да, то про верка производиться дальше, если несоответствие критично для системы, производится корреляция параметра. После завершения аудита формируется отчет с указанием всех исправленных параметров.
В случае если автоматическая корреляция привела к сбою в работе системы, либо к неправильному функционированию, администратор, прямо из от чета, может произвести возврат параметра к ис ходному состоянию.
Оценка эффективности применения способа Рис. 3. Алгоритм проведения аудита Оценку эффективности применения рассмотрен ного в работе способа рассмотрим на приведённом В процессе аудита проверяется:
ниже примере.
наличие не используемых учетных записей. Хо На предприятии с персоналом в 1000 человек ко рошей практикой является удаление всех учетных эффициент текучести кадров составляет 10%, а ко записей пользователя при его увольнении, однако эффициент набора нового персонала при приросте большинство предприятий ее не придерживаются, предприятия - 5%. При приеме нового пользова в разветвленной информационной системе с ло БИЗНЕС-ИНФОРМАТИКА №3(09)Ц2009 г.
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В БИЗНЕСЕ теля организуется доступ к 7 объектам. Заведение 4 005 000 рублей. При этом следует учитывать, что учетных записей пользователей вручную составля- в формулу расчетов не включены затраты пред ет по времени 2 рабочих дня. Ежегодные издержки приятия на труд специалистов службы поддержки, предприятия при обеспечении новому пользовате- которые производят настройку прав доступа поль лю рабочих ресурсов рассчитывается по формуле: зователей к объектам, а так же вероятность ошиб ки, внесенной ими во время монотонного ручного, труда. Учёт этих затрат ещё более увеличит сумму где: издержек. Другим важным следствием применения n - количество новых пользователей (текучесть способа является упрощение кадрового учета на кадров + прирост пользователей);
предприятии, достигаемого за счёт автоматизации t - количество дней, необходимых для выделения работы с идентификационной информацией.
объектов;
Таким образом, система управления учётными s - сумма средней зарплаты пользователя в день;
записями пользователей, построенная на объектно p - процент восполнения издержек при работе ролевой основе с централизованным управлением, пользователя после обеспечения ресурсами. Пред- позволяет:
положим, что это 50%. снизить издержки предприятия;
Проводя необходимые вычисления с помощью значительно уменьшить нагрузку на персонал приведённой выше формулы, получим, что из-за службы поддержки;
текучести кадров предприятие теряет 300 000 ру- исключить или резко уменьшить вероятность блей в год. Для случая, когда это же предприятие внесения ошибки.
имеет представительство в каждом регионе Россий- Представленный в настоящем докладе подход ис ской Федерации, с числом пользователей в каждом пользуется автором в проектах в области информа из офисов 150 человек, сумма потерь возрастает до ционных технологий.
Литература 1. Данилин А., Слюсаренко А. Архитектура и стратегия. Инь и Янь информационных технологий предприятия. Интернет-Университет Информационных Технологий. Москва 2005.
2. Gartner Presentation, Service Desk Futures in People, Process, Technology, by David Coyle, November 28-December 1, 2006.
3. Шабанов А.П. Подход к оценке производительных ресурсов информационных систем. - М., 2009 / Сборник тезисов докладов первой научно-практической конференции Информационные бизнес системы.
4. Bob Cormier, Forrester Consulting. The total Economic Impact of the BMC User Administration and Provisioning Solution. BMC Software, Inc. November 17, 5. Аракелян М. А., Боганов А. В., Шабанов А. П. Способ автоматической идентификации сотрудников для доступа к информационным ресурсам предприятия.
6. Тархов А. Система многофакторной аутентификации. БИЗНЕС-ИНФОРМАТИКА №3(09)Ц2009 г.