Barbara, Borbála
-6 °C
3 °C

Biztonságos termék - biztonságos üzem III/III.

2003.01.28. 13:31
Cikksorozatunk eddigi részeiben a termék megtervezésétől, elkészítésén át a telepítésig terjedő életútjának biztonsági vetületeit tekintettük át. Sorozatzáró cikkünkben az üzemeltetéssel kapcsolatos legfontosabb tudnivalókat igyekszünk összefoglalni.
Üzemeltetési hibák

A rendszergazdákból sokszor tör fel sóhajként az a kívánság, hogy "bárcsak ne lennének felhasználók!". Hát igen. Vannak olyan felhasználók, akik mindig megtalálják azt az egyetlen kis apróságot, ami éppen nem megy, vagy, ha megy is, nem úgy. De legalábbis képesek olyan problémát okozni, amire még lázálmában se gondol senki.

Többnyire azok képesek a legképtelenebb helyzeteket létrehozni, akiknek az ismeretei meglehetősen korlátoltak a rendszerre, illetve a rendszer biztonságára vonatkozóan. Ezen elsősorban csak a megfelelő szintű képzések segíthetnek.

A felhasználók által okozott galibák száma az által is jelentősen csökkenhet, ha a rendszerek üzenetei, felhasználói felületei számukra is érthetőek. Sajnos számos esetben okoz adatvesztést a nyelvismeret hiánya. Sok cég ugyanis elvből előnyben részesíti az angol szoftverváltozatokat a magyarokkal szemben, nem számolva azzal, hogy a nyelvet nem ismerő felhasználók számára nem marad más hátra, mint az ismeretlen helyzetek "hályogkovács" módjára történő kezelése: "Másodjára mindig az OK gombra szoktam kattintani! Ja, hogy most mást kérdezett?"_

Az üzemeltetési hibák jó része persze nem kenhető egyértelműen a felhasználókra. Igen komoly felelősség terheli ugyanis a rendszerüzemeltetőket a megfelelő szabályok kialakításának, betartásának, betartatásának, és a velük kapcsolatos beállítások megadásának gyakori elmulasztása miatt.

Állandó gondot jelent a jogosultságok és jelszavak kérdésköre a különféle cégeknél. Ki, miért kaphasson ilyen, vagy olyan jogosultságot, mennyi időre, felülvizsgálják-e rendszeres időközönként a megszerzett jogokat, stb.?

Jellemző probléma, hogy a magasabb beosztású vezetők a vállalati hierarchiában betöltött helyük alapján egyre több és több jogot követelnek maguknak, indokolatlan veszélyeknek kitéve ezáltal a rendszert.

Persze nem csak a magasabb beosztásúak tekintik státuszszimbólumnak a nagyobb jogosultságot. A rendszergazdák többsége sem használ kisebb jogköröket biztosító bejelentkezési lehetőségeket, ha semmi sem indokolja a teljes körű beavatkozási lehetőséget.

A másik probléma ebben a témakörben a jogosultságok halmozódása, egymásra rakódása. Ez abból adódik, hogy bizonyos feladatokat csak nagyobb, vagy más irányú jogosultsultságok birtokában lehet elvégezni. Az extra feladatok alkalmával megszerzett jogokat többnyire soha senki nem vizsgálja felül, illetve vonja vissza. Így sok esetben az sem ritka, hogy idővel a titkárnő jogai kezdenek a rendszergazdáéhoz hasonlítani.

A jogosultságok kiadását, használatát, és felülvizsgálatát tehát mindenképpen szabályozni kell. Önmagában persze ez sem elég, hiszen a jogkörök valóságos elválasztása, és megőrzése csak akkor valósítható meg, ha minden felhasználó saját belépéssel rendelkezik, nem osztja meg azt senkivel, jelszavai pedig biztonságosak.

Itt érkeztünk el a másik legkényesebb területhez, a jelszavak kérdéséhez. Meg kell követelni, és megfelelő szabályok révén gondoskodni is kell arról, hogy minden jelszó elegendően hosszú legyen, bizonyos időközönként le legyenek cserélve, tartalmukat pedig ne lehessen kitalálni. Míg az előbbi kettőre van rendszereszköz, az utóbbira igen nehéz valódi megoldást találni.

Fontos dolog megjegyezni, hogy a rendszerek biztonságát érintő fenyegetettségek nagyobbik része belülről érkezik, illetve belső hatások teszik lehetővé a külső támadások létrejöttét.

A felhasználó által telepített ilyen-olyan eredetű programok, beállítások, általa meglátogatott webcímek, részére küldött levelek sok esetben aláaknázhatják a teljes rendszer biztonságát. Ennek elkerülésére, de legalábbis hatásainak mérséklésére megfelelő szabályrendszert kell kialakítani, és gondoskodni kell annak oktatásáról, betartásáról, betartatásáról.

Az ilyen irányú károk mérséklése érdekében vírusvédelmi rendszereket, megfelelő házirend beállításokat és egyéb finom szabályozásokat kell telepíteni, és megadni a rendszer minden pontján.

Háromrészes cikksorozatunk végén meg kell hogy állapítsuk, a leírtak csak a legfontosabb területeit fedik le a biztonságos rendszerek létrehozásának és üzemeltetésének. Mivel az informatika és vele együtt a biztonság területe is napról napra változik, mindent meg kell tenni az újabb és újabb ismeretek mihamarabbi gyakorlatba vonásáért. Ez pedig önképzés és továbbképzések nélkül szinte reménytelen feladat. A legismertebb és legnagyobb szoftvergyártók az utóbbi hónapokban igen sok, és összetett biztonsági célú képzéssel rukkoltak elő a rendszerprogramoktól a fejlesztőeszközökön keresztül az irodai szoftverek üzemeltetéséig bezárólag.

Reméljük, hogy a növekvő figyelemmel arányosan növekszik majd a rendszerek biztonsága is.