Как контролировать сисадмина?

[Странник 6]

Эпоха информационных технологий в роде человеческом началась, наверное, вместе с появлением Адама и Евы, но лишь к концу двадцатого – началу двадцать первого века нашей эры стала в явном виде просматриваться возможность перехвата управления лицом, не имеющим законных прав, но знающим пароль администратора. По сути своей это конечно уходящая корнями в метаисторию теория суда, что даёт заговорщику возможность довести свой замысел до такой стадии, когда всё станет очевидно всем и каждому, а значит и запирательства злодею не помогут. Разумеется, что бы вести себя так, нужно как минимум знать всё наперёд, быть неуязвимым ни для какого оружия да ещё обладать совершенно безграничными могуществом и властью. Однако человек такими силами не обладает, а CAD/CAM/CAE/PDM вкупе с MS Office и Google затягивают современного ремесленника всё сильнее и сильнее.

Хакеру конечно по силам только подсмотреть и напакостить, но системный администратор уже сейчас вполне объективно должен концентрировать у себя всю постановку ПО на компьютеры, а значит и права администрирования серверов и рабочих мест. В том числе иметь полный доступ в электронные хранилища технической документации, финансовые и кадровые базы данных. Как же исключить возможность ситуации, когда в один нескучный день команды по предприятию вместо реального директора будет раздавать кто-то другой, сумевший узнать или сменить код доступа? Есть что либо кроме жалобы в более властную структуру с последующим прибытием на разборки крепких ребят из ОМОН/ФСБ?

[IBV 112]

Никак. Только грамотный подбор кадров. Иначе останется возможность только исправлять уже созданную ситуацию. С ОМОНом или как-то по-другому.

По-моему такая ситуация сродни терроризму. С ним тоже серьёзно бороться почти нереально. Поди знай, что у человека в голове? Если он готовит гадость молча, то ничего и не узнаешь пока он эту гадость уже не сделает.

[Di-mann 1 547]

Хакеру конечно по силам только подсмотреть и напакостить, но системный администратор уже сейчас вполне объективно должен концентрировать у себя всю постановку ПО на компьютеры, а значит и права администрирования серверов и рабочих мест. В том числе иметь полный доступ в электронные хранилища технической документации, финансовые и кадровые базы данных.

Не совсем так, администратором компа на работе являюсь я один, удалённого администрирования у нас нет. Раньше даже доступ к расшареным папкам был лишь по разрешённым IP, но потом сменили ан. вир. При этом никто не запретит хранить инфу в запароленом архиве. Это к тому-же, страховка от обманов при расчёте

[ssv22 16]

Вспомните фильм "Парк Юрского периода". Если кто смотрел :-)

Что там сисадмин натворил...

Ну, правда, в фильме он же был вроде и разработчиком...

[Di-mann 1 547]

Это уже пройденный этап, по мере роста числа сотрудников и требований к качеству информационной системы удалённое администрирование появится обязательно. Обычно тут движет необходимость единообразия систем, а так же противодействие геймерству.

Сотрудников за компом у нас под сотню, ( во всей конторе). И первым буду против введения удалённого администрирования у нас в отделе. Нельзя хранить все яйца в одной корзине. А вот запароленый архив и удалённому админу не по зубам.

[labslo 0]

например так:

системный админстратор отвечает только за общесистемные функции, на базы данных свой админ. На двух больших предприятиях где я работал именно так.

Финансовые БД там свой админ.

Кадры, зарплата - свой админ.

документооборот - свой админ.

[Lex TD 8]

на предприятии, где я раньше работал, админ сам информацию защищал, сам потом ее и вынес, вывод: платить админу надо столько сколько он просит.

[ssv22 16]

на предприятии, где я раньше работал, админ сам информацию защищал, сам потом ее и вынес, вывод: платить админу надо столько сколько он просит.

рано или поздно ему (сисадмину) кто-то НЕ с этого предприятия предложит больше...

[IBV 112]

Итак, пока видятся только 2 пути и оба административные, и оба классические:

-кадры решают всё

-разделяй и властвуй

Однако гарантии не может дать ни один из них...

Странник,

не совсем так. Правильнее объединить оба эти подхода в одно целое т.к. они ничуть не противоречат друг другу, а прекрасно дополняют друг друга.

[ART 511]

А еще проще обратиться к специалистам по защите электронной информации. Ситуация проста, как с налоговой - платим денежку и спим спокойно. Существуют всевозможные методы защиты данных от простого шифрования в Windows, до специальных программ шифрования и распределения по серверам, так что ваш админ даже если сможет утащить все сервера, без ключа на зашифрованном носителе ничего открыть не сможет. Вы как пользователь не будете ощущать действия этих программ, они работают тихо и не заметно, не грузят не тормозят ничего. Что бы не было возможности снять данные с терминала(то есть с вашей машины) можно легко настроить шифрование в Windows.

Как всегда все упирается в деньги.

Я работал с одним заказчиком у него был договор с такого рода фирмой, система была устроенна так что инженер не мог послать мне даже байта информации без соответствующей процедуры проверки.

[IBV 112]

Это всё здорово конечно, но даже из банков информацию крадут. А уж они защищены качественно. И главная проблема тут - человек. Какая разница откуда он с вашей фирмы или с другой?

Я так понял, что Странник поднял тему защиты от захвата компьтерных систем именно в плане человеческого фактора. Или я что-то не так понял?

[ART 511]

Это всё здорово конечно, но даже из банков информацию крадут. А уж они защищены качественно. И главная проблема тут - человек. Какая разница откуда он с вашей фирмы или с другой?

Я так понял, что Странник поднял тему защиты от захвата компьтерных систем именно в плане человеческого фактора. Или что-то не так понял?

Банки защитить очень и очень трудно, лишь по той простой причине что есть несколько тысяч клиентских терминалов (клиентов банка), которые физически невозможно защитить. Если вспомнить последнюю атаку на сервера пентагона, то там так же был "пробой" именно с подключением незащищенных терминалов. Конторку Странника с сотней другой компьютеров можно защитить специальными средствами. Комьютеры превращаются в терминалы без внешних носителей. Его админ не будет иметь доступа к информации, фирма же будет контролировать потоки, но так же не будет иметь полного доступа к информации. Полный доступ к информации будут иметь лишь те люди у которых будут спецэлектронные ключи и их дубликаты. Вопрос упирается только в деньги и не малые.

[ART 511]

Странник

Ну извлекут IT-шники из пользовательских компьютеров все дополнительные порты да дисководы... и что с того? Разве простая отвёртка не позволит обойти этот маленький неприятный момент?

Спец терминалы изначально построенны на материнках с которых удалена вся переферия кроме входов для клавы, мыши и сетевой карты. Так что простой отверткой можно будет поковыряться разве что только в ушах, для лучшей слышимости, в реале из такого терминала можно будет выудить только железо винта, ну разве что для помойки . И информация на этом винте будет в зашифрована, а ключ будет находиться на удаленном сервере и это еще в самом простом случае, потому что в терминале может быть установленна аппаратная шифрация и тогда каждый файл будет зашифрован своим ключем. Тогда уж точно будете миллионы лет расшифровывать.

Да и "пупки" таки захотят не десктопы, но ноутбуки с мобильной сетью.

Пупки ваши получат специальные "лапти" и будем радость и счастье.

К тому же, всё одно нужно будет качать из интернета либо с дисков заплатки и сервиспаки и на операционку, и на CAD/CAM/CAE/PDM... вот вам и пути проникновения-оттока информации.

Заплатки будете получать на дисках, сервис паки на операционку также. Накатывание их происходит только после проверки и только с сервера. Такие терминалы никто никогда не подключает у интернету, для интернета устанавливают отдельный сервер и отдельные терминалы. При этом доступ сотрудников к интернету ограничивают. Так что вместо того чтобы надеятся на какого-то админа, крутиться по ночам и думать о катаклизмах вселенского масштаба наймите специалистов. Думаю что при их участии взбрыкивание хитрож.пого админа, будет минимальной потерей для вас только самого этого админа.

[ART 511]

Ну а как же тогда быть с PDM, общей базой данных предприятия и коллективной работой вообще?

Так же как и раньше. Просто вы не будете замечать этих "бойцов невидимого фронта".

[ART 511]

Странник

1. PDM-системы подразумевают наличие:

-центрального хранилища на сервере;

-основной рабочей папки (ОРП) на локальной машине;

-первичного оригинала в произвольном месте на локальной машине (если модель создавалась именно на этом компьютере).

Допустим, на сервере и в ОРП может быть единый шифровальный ключ, но как быть с исходным оригиналом и всякого рода библиотечными элементами (которые тоже должны храниться именно в PDM)?

2. База данных отдела кадров по идее должна служить остовом для пользовательских баз операционной- и PDM-системы, да и проделанные пользователем работы тоже должны как то отражаться в послужном списке у кадровиков, а шифр то у каждой из систем свой. Что делать?

Не думаю что это большие сложности для специалистов. Максимум они допишут нужные модули.

3. Что помешает владеющему ключём операционной системы администратору просто воспользоваться сеансом удалённого рабочего стола?

Ничего. Но вы же не лапоухие ламеры чтобы открывать ему доступ к вашему рабочему столу, с вашим юзер именем и паролем. Даже если у него будут администраторские права это еще не значит, что он сможет что то скачать без ваших аттрибутов (имя пользователя и ваш личный пароль).

Странник

В сети есть несколько книг по данному вопросу. А также очень интересные трактаты о простых системах защиты, а также сложных многоуровневых систем с различными видами алгоритмов защит.

[Diletant 1]

Странник , какой блокбастер вы посмотрели? Я тоже хочу...

[IBV 112]

Diletant

Странник , какой блокбастер вы посмотрели? Я тоже хочу...

Странник может быть и сгустил краски, но вообще-то вряд ли над этой темой стоит прикалываться. Есть очень наглядные жизненные примеры.

[ssv22 16]

Странник , какой блокбастер вы посмотрели? Я тоже хочу...

Так Вы разве еще не ощутили всю СТРАНность собственного положения в континууме пространства-времени???

Вы УЖЕ ТАМ - в блокбастер`е...

Хе-хе, то-ли еще будет...

PS. "Хе-хе" - это я угрюмое/зловещее/угрожающее хихиканье отрабатываю...

Скоро съемки.

Вот забыл: то-ли в триллере, то-ли в рекламе...

[IBV 112]

Коллеги,

Я понимаю - воскресенье, лето, некоторое расслабление перед трудовой неделей,.....

Но давайте с приколами завязывать.

[ssv22 16]

Diletant

Странник может быть и сгустил краски, но вообще-то вряд ли над этой темой стоит прикалываться. Есть очень наглядные жизненные примеры.

... слишком долго я писал ответ - не увидел это сообщение...

Эх-х, наверно буду наказан...

PS. но вроде ветка-то "Флейм"...

ужель и тут свободы не видать??