• Created by Unknown User (anttipea), last modified on 24.5.2016

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Current »

Useimmiten käyttäjien hallinta käyttöjärjestelmissä perustuu käyttäjätunnuksiin, ryhmiin ja niille annettuihin käyttöoikeuksiin. Käyttöoikeudet useimmiten annetaan roolien kuten "ylläpitäjä", "käyttäjä", "Sisällönhaltija" jne perusteella.

Salasanojen hallinnointi

Yksi keskeisiä asioita käyttäjän tunnistuksessa on salasana. Muussa kuin itse automaatiojärjestelmässä on ehdottoman tärkeää että käyttäjien salasanat a.) vanhenevat riittävän usein, b.) vaaditaan riittävän monipuolinen salasana. Nämä molemmat toiminnot ovat hallinnoitavissa salasanoja ylläpitävän palvelun asetuksissa.

Sääntöjä riittävän turvallisen salasanan määrittämiseksi:

  • käyttäjän salasanan tulee vaihtua riittävän usein (pakotettu salasanan vaihto)
  • käyttäjätunnusten tulee olla henkilökohtaisia ja yksilöllisiä; esimerkiksi isoja ja pieniä merkkejä sekä kirjaimia
  • salasanalla tulee olla vähimmäispituus ja sen tulee sisältää määritellyt merkit
  • saman salasanan uudelleenkäyttö tulee estää, salasanaa vaihtaessaan käyttäjä ei saa asettaa uudelleen jo kertaalleen järjestelmässä käyttämäänsä salasanaa

Automaatiojärjestelmät ovat huomattavasti suljetumpia järjestelmiä kuin julkisessa verkossa tai siihen kytköksissä olevat työasemat, esimerkiksi toimiston työasemat. Näinollen automaatiojärjestelmissä usein käytetään yhteisiä ylläpito yms salasanoja yksilöllisten salasanojen ja tunnusten sijaan. Ratkaisu on toisaalta ymmärrettävä järjestelmän luonteen kannalta ja sen kannalta mutta toisaalta se asettaa haasteita tietoturvan suhteen koska yhteisillä tunnuksilla on varsin hankala jäljittää, kuka teki ja mitä ongelman sattuessa. Toisaalta automaatiojärjestelmien käyttäjähallintaa suunniteltaessa tulee varmistaa että salasanapolitiikka ei missään tilanteessa lukitse ylläpitäjää ulos järjestelmästä.

Vahva tunnistus

Uudelleenkäytettävät salasanat ovat useimmiten osoittautuneet tietoturvaltaan riittämättömiksi automaatiojärjestelmien tarpeisiin; niiden murtaminen on lyhyellä tähtäimellä hyvin yksinkertaista. Vahvassa autentikoinnissa käytetään useimmiten jatkuvasti vaihtuvaa, tokeniin perustuvaa salasanaa joka on jokaisella kirjautumiskerralla eri. Käyttäjä saa salasanan omalta hallussaan olevalta älykortilta joka luo joka kirjautumiselle uuden salasanan.

Autentikointiin käytettäviä teknologioita

Useimmissa teollisuuslaitoksissa julkiseen verkkoon kytköksissä olevien koneiden käyttäjätunnukset ja salasanat hallinnoidaan keskitetysti, näinollen myös kirjautuminen järjestelmiin tapahtuu keskitetysti. Tähän on olemassa useita eri tapoja joista yleisimpinä Kerberos ja LDAP.

Tapoja käyttäjätunnusten ja salasanojen hallintaan on useita mutta automaatiomaailmassa yksi yleisimmjistä on Microsoftin kehittämä Active Directory. Rakenteeltaan AD on järjestelmä joka käyttäjätunnusten lisäksi sisältää tietoa verkon resursseista sekä verkkoon kytketyistä laitteista.

Käyttäjänhallintaan liittyviä keskeisiä ehtoja ja suosituksia

Koska käyttäjänhallinnalla on monissa tuotantolaitoksissa ehdoton rooli käyttäjien verkkokäyttäytymisen ja pääsyn määrittelyssä, käyttäjänhallintaa suunniteltaessa tulee huomioida ainakin seuraavat seikat, osa jo listattukin yllä:

  •   riittävä salasanapolitiikka
  •   järjestelmän tulee automaattisesti poistaa tai vähintään deaktoivoida säännöllisesti käyttämättömät käyttäjätunnukset
  •   järjestelmissä tulee käyttä mahdollisimman suppeita käyttäjätunnuksia jatkuvasti käytössä oleville sovelluksille
  •   etuoikeutettujen käyttäjien kuten ylläpitäjä määrä tulee pitää mahdollisimman pienenä
  •   mahdolliset järjestelmän luomat oletus-käyttäjätunnukset tulee vähintään poistaa käytöstä
  •   käyttöoikeudet tulee määritellä mahdollisimman suppeiksi, ei ylimääräisiä käyttöoikeuksia; ennemmin luodaan useampia rooleja kuin annetaan käyttöoikeuksia niitä tarvitsemattomille ryhmien jäsenille
  • No labels
You must log in to comment.