28 февраля, воскресенье 13:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Учёт привелегий пользователей в системах

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Учёт привелегий пользователей в системах

    Коллеги,

    вот благодаря уважаемому комраду Berckut мы имеем отличную систему учёта СКЗИ. Хотелось бы узнать как вы учитываете права пользователей. Про IDM системы централизованного управления правами я знаю, но мы пока до такого не дорасли. Даже есть фриварные системы, типа Apache Syncope, но опять же, полноценно её фиг внедришь в мелких компаниях, а юзать её просто для учёта - это из пушки по воробушку. Хочется простую системку, где завести всех пользаков, все системы, все возможные привелегии в каждой системе и потом бодренько строить отчёты и проверять права. Я адекватно понимаю, что для больших организаций это не вариант, и там нужно внедрять IDM полноценно, но может есть варианты лёгонькой системы для просто учёта, без организации связи с HR и бизнес-системами?

    Спасибо.


    ps. Эксель, Аксесс по возможности просьба не предлагать.

  • #2
    Ну что-же даже идей ни у кого нету.... От себя добавлю, что перебрал наверное все open-source IDM и HelpDesk решения, там в некоторых это есть или в зачаточных состояниях или в адовомонстровом виде, а вот так чтобы простенько и со вкусом система - пользователь - привелегия - фигу!

    Видать эксель наш выход...

    Комментарий


    • #3
      У меня тоже на эту тему голову болит. Ужё всё перелапатил, но нечего найти не могу, а эксель просто не вывозит.

      Пока склоняюсь к такой мысли: Надо взять систему упраления процессами, в которой можно реализовать заведение заявок (инициализацию экземпляров процессов) пользоватлем, и которая будет по итогам закрытия заявки формировать sql-запрос по внешнюю базу данных, где и будет вестись учёт. Вариантов с ситемой управления процессами вижу 2: Sharepoint и Runa WFE. Первый мне не нравится: то ли я его понять не могу, то ли потому что Microsoft Второй бесплатный, понятный, вроде даже активно развивается - пытаюсь изучать. Брать что-то платное - дорого и есть риск выбросить деньги на ветер, т.к. вполне вероятно, что тема не пойдёт.

      Ещё ИнфраМенеджер и ТрастВерс недавно анонсировали подобную систему:
      http://www.itsec.ru/newstext.php?news_id=96622
      Но думаю по цене рублей в 500 она выйдет минимум - дорого для меня. Банк не большой. Да и ИнфраМенеджер сложноват, надо садить отдельного человека на сопровождение и пользователя надо приучать. Хотя если хорошо разобраться, то весьма неплохой программой окажется.

      Комментарий


      • #4
        День добрый, комрады.
        Я новичок в ИБ, и недавно на форуме.
        А можно узнать про отличную систему учёта СКЗИ предложенную комрадом Berckut

        Комментарий


        • #5
          Berckut, Ты знаешь, твой подход очень понятен, но я как-то об этом не думал. В таком раскладе - бепём простейшую систему HelpDesk опенсорсную и там прикручиваем несколько запросов и рисуем пару отчётов по правам. Нада покуприть, дописать то php шный код и sql не проблема.
          А в HelpDesk ах уже из каробки система одобрений многоуровневых, хранение истории по пользакам и интеграция с AD как правило есть. В общем полюбэ будет лучше чем ёксель.
          Мы ща юзаем HelpDesk в лотусе самописный в каменном веке, но он уже не канает, хочется больше и лучше, но и на что-то монстровое я не готов.

          b00b1ik, что-то я её тоже не вижу, видимо автор убрал из общего доступа.

          Комментарий


          • #6
            Как это нет, вот же она

            Комментарий


            • #7
              Спасибо большое

              Комментарий


              • #8
                Сообщение от BigMaxTs Посмотреть сообщение
                Berckut, Ты знаешь, твой подход очень понятен, но я как-то об этом не думал. В таком раскладе - бепём простейшую систему HelpDesk опенсорсную и там прикручиваем несколько запросов и рисуем пару отчётов по правам. Нада покуприть, дописать то php шный код и sql не проблема.
                А в HelpDesk ах уже из каробки система одобрений многоуровневых, хранение истории по пользакам и интеграция с AD как правило есть. В общем полюбэ будет лучше чем ёксель.
                Мы ща юзаем HelpDesk в лотусе самописный в каменном веке, но он уже не канает, хочется больше и лучше, но и на что-то монстровое я не готов.
                Просто у меня планы немного большие. Хочу именно систему автоматизации процессов, а не автоматизации задач (типа редмайна) или управления заявками (нелпдеск). Это будет только первый шаг, а дальше, на что фантазии хватит.
                Хелпдеск не сделает реакцию на событие. Например, принимается новый работник. Работница отдела кадров заходит в систему и иницирует процесс принятия нового работника. Когда её процесс отработал и закрылся, то система сама инициировала несколько смежных процессов:
                - создать и присвоить логин для входа в систему;
                - зарегистрировать внутренную электронную почту;
                - предоставить права доступа к сетевой папке подразделения;
                - провесети инструктаж по ИБ и т.д.
                Это всё разные задачи, порою их выполняют разные люди и сейчас делается в ручном режиме.
                А учёт прав по результатам отработки заявки - это только первый этап.
                К тому же в Хелпдеске ты формируешь заявку по нужным тебе критериям и иногда тебе, как пользователю вообще не понятно, что заносить в ту кучу полей, которая есть на форму. А в системе управления процессами он выберет уже "готовую" задачу из типовых. Думать пользователю не надо, вероятность ошибки меньше. Степень отторжения из-за "что за фигню вы тут придумали, нечего не понятно" тоже снижается.

                Комментарий


                • #9
                  Berckut, ты всё правильно говоришь и нормальные IDM системы это всё как раз и делают, только вот когда бабла на них нету, а ситуацию улучшать нужно хоть как-то - вот и получается наколеночное. Я заходил к знакомому за IDM решением, ценник от 2лямов, хорошо хоть рублей.

                  Комментарий


                  • #10
                    Сообщение от BigMaxTs Посмотреть сообщение
                    Berckut, ты всё правильно говоришь и нормальные IDM системы это всё как раз и делают, только вот когда бабла на них нету, а ситуацию улучшать нужно хоть как-то - вот и получается наколеночное. Я заходил к знакомому за IDM решением, ценник от 2лямов, хорошо хоть рублей.
                    О да, именно поэтому всего 2 варианта: Runa WFE или Sharepoint + отдельная база данных для непосредственного хранения информации
                    В принципе, просто систему учёта можно также на Django реализовать. По времени это не много займёт, но в виду конца года даже этого времени сейчас нет

                    Комментарий


                    • #11
                      Сообщение от Berckut Посмотреть сообщение
                      Runa WFE
                      т.е. ты думаешь в этой системе например пройти все шаги по созданию, одобрению и тд, а в конце у тебя создастся пользователь и запишется инфа в базу учёта доступа?

                      Если так, то мегакруто!

                      Комментарий


                      • #12
                        Сообщение от BigMaxTs Посмотреть сообщение
                        т.е. ты думаешь в этой системе например пройти все шаги по созданию, одобрению и тд, а в конце у тебя создастся пользователь и запишется инфа в базу учёта доступа?

                        Если так, то мегакруто!
                        Теоритически это возможно. Практически - админы на это не пойдут. Надо будет системному, по сути малоконтролируемому, пользователю дать права администратора домена. Мне тоже такая идея не очень нравится. Но можно администратору домена выдавать уже готовый скрипт, которые тот запустит от своего имени. Всяко работы меньше.

                        P.S. Можно пока структуру базы данных обсудить. А то получится, как в СКЗИ, когда пришлось дважды таблицы корректировать при переходе на новую версию.

                        Комментарий


                        • #13
                          Сообщение от Berckut Посмотреть сообщение
                          Теоритически это возможно. Практически - админы на это не пойдут. Надо будет системному, по сути малоконтролируемому, пользователю дать права администратора домена. Мне тоже такая идея не очень нравится. Но можно администратору домена выдавать уже готовый скрипт, которые тот запустит от своего имени. Всяко работы меньше.
                          С этим согласен.

                          Сообщение от Berckut Посмотреть сообщение
                          P.S. Можно пока структуру базы данных обсудить. А то получится, как в СКЗИ, когда пришлось дважды таблицы корректировать при переходе на новую версию.
                          Это для целей учёта привелегий? Если да, то начну:
                          1. Подраздел систем
                          1.1Таблица с системами
                          1.2 Таблица возможных прав в системах

                          2. Подраздел пользователей
                          2.1 Таблица пользователей
                          2.2 Таблица пользователь - привелегия (из 1.2)

                          3. Пользователи системы
                          3.1 таблица Пользователей системы

                          4. (Опционально, если делать отдельностоящую систему) Подсистема одобрений доступа
                          4.1 Настройки одобрений по системам
                          4.2 Заявки на одобрения

                          дискасс

                          Комментарий


                          • #14
                            Сообщение от BigMaxTs Посмотреть сообщение
                            С этим согласен.


                            Это для целей учёта привелегий? Если да, то начну:
                            1. Подраздел систем
                            1.1Таблица с системами
                            1.2 Таблица возможных прав в системах

                            2. Подраздел пользователей
                            2.1 Таблица пользователей
                            2.2 Таблица пользователь - привелегия (из 1.2)

                            3. Пользователи системы
                            3.1 таблица Пользователей системы

                            4. (Опционально, если делать отдельностоящую систему) Подсистема одобрений доступа
                            4.1 Настройки одобрений по системам
                            4.2 Заявки на одобрения

                            дискасс
                            На счет привелегий у меня другое мнение. Я планирую сделать шаблоны.
                            Например, шаблон операциониста по обслуживанию юриков
                            1. Перечень прав в АБС
                            2. Перечень прав к сетевым ресурсам
                            3. Эл. почта, система обучения, интернет и т.д. по в кусу
                            4. Обязательное ПО
                            И все.
                            Шаблон утвердить коллегиально, и когда будет формироваться заявка на нового сотрудника, то необходимо будет выбрать нужный шаблон - и все.
                            У руководителя не будет болеть голова, что нужно сотруднику, все описано в шаблоне

                            По мере работы, добавить/изменить шаблоны не составить труда.

                            Мы сейчас стоим перед выбором системы учета заявок. А идею с шаблонами все одобрили (ИТ, руководители подразделений, ИБ, СБ)

                            Комментарий


                            • #15
                              Сообщение от k909 Посмотреть сообщение
                              На счет привелегий у меня другое мнение. Я планирую сделать шаблоны.
                              Например, шаблон операциониста по обслуживанию юриков
                              1. Перечень прав в АБС
                              2. Перечень прав к сетевым ресурсам
                              3. Эл. почта, система обучения, интернет и т.д. по в кусу
                              4. Обязательное ПО
                              И все.
                              Шаблон утвердить коллегиально, и когда будет формироваться заявка на нового сотрудника, то необходимо будет выбрать нужный шаблон - и все.
                              У руководителя не будет болеть голова, что нужно сотруднику, все описано в шаблоне

                              По мере работы, добавить/изменить шаблоны не составить труда.

                              Мы сейчас стоим перед выбором системы учета заявок. А идею с шаблонами все одобрили (ИТ, руководители подразделений, ИБ, СБ)
                              Для такого подхода даю наводку на регламент:
                              http://securitypolicy.ru/index.php/П...изации)

                              Комментарий


                              • #16
                                Сообщение от Berckut Посмотреть сообщение
                                Для такого подхода даю наводку на регламент:
                                http://securitypolicy.ru/index.php/П...изации)
                                Спасибо за наводку
                                У нас регламент готов, дело за софтом...

                                Комментарий

                                Обработка...
                                X