Phần II: vấn đề an toàn trong mạng máy tính
3.3.4. Xỏc định trỏch nhiệm của người sử dụng mạng
• Ai được quyền dựng tài nguyờn mạng
Ta phải liệt kờ tất cả người dựng cần truy nhập tới tài nguyờn mạng. Khụng nhất thiết liệt kờ toàn bộ người dựng. Nếu phõn nhúm cho người dựng thỡ việc liệt kờ sẽ đơn giản hơn. Đồng thời ta cũng phải liệt kờ một nhúm đặc biệt gọi là cỏc người dựng bờn ngoài, đú là những người truy nhập từ một trạm đơn lẻ hoặc từ một mạng khỏc.
• Sử dụng tài nguyờn thế nào cho đỳng
Sau khi xỏc định những người dựng được phộp truy nhập tài nguyờn mạng, chỳng ta phải tiếp tục xỏc định xem cỏc tài nguyờn đú sẽ được dựng như thế nào. Như vậy ta phải đề ra đường lối cho từng lớp người sử dụng như: Những nhà phỏt triển phần mềm, sinh viờn, những người sử dụng ngoài.
Sau đõy là một số điều khoản cần cú cho đường lối chỉ đạo chung:
-Sử dụng tài khoản người khỏc cú được phộp khụng ?
-Cú được phộp dựng chương trỡnh tỡm mật khẩu khụng ?
-Cú được phộp ngắt một dịch vụ khụng ?
-Cú được sửa đổi một tệp khụng thuộc sở hữu nhưng lại cú quyền ghi khụng ?
-Cú được phộp cho người khỏc dựng tài khoản riờng khụng ? • Ai cú quyền cấp phỏt truy nhập
Chớnh sỏch an ninh mạng phải xỏc định rừ ai cú quyền cấp phỏt dịch vụ cho người dựng. Đồng thời cũng phải xỏc định những kiểu truy nhập mà người dựng cú thể cấp phỏt lại. Nếu đó biết ai là người cú quyền cấp phỏt truy nhập thỡ ta cú thể biết được kiểu truy nhập đú được cấp phỏt, biết được người dựng cú được cấp phỏt quỏ quyền hạn khụng. Ta phải cõn nhắc hai điều sau:
-Truy nhập dịch vụ cú được cấp phỏt từ một điểm trung tõm khụng?
-Phương thức nào được dựng để tạo tài khoản mới và kết thỳc truy nhập? Nếu một tổ chức lớn mà khụng tập trung thỡ tất nhiờn là cú nhiều điểm trung tõm để cấp phỏt truy nhập, mỗi điểm trung tõm phải chịu trỏch nhiệm cho tất cả cỏc phần mà nú cấp phỏt truy nhập.
• Người dựng cú quyền hạn và trỏch nhiệm gỡ
Sau đõy là danh sỏch cỏc điều khoản ỏp dụng cho người dựng:
-Phải tuõn thủ mọi đường lối liờn quan đến việc sử dụng mạng.
-Phải chịu phạt nếu vi phạm những gỡ được coi là lạm dụng tài nguyờn, ảnh hưởng đến hoạt động hệ thống.
-Người dựng cú được phộp chia sẻ tài khoản khụng ?
-Người dựng cú được phộp tiết lộ mật khẩu để người khỏc làm việc hộ mỡnh khụng ?
-Tuõn theo mọi chớnh sỏch về mật khẩu bao gồm: thời hạn thay đổi mật khẩu, những yờu cầu đối với mật khẩu ...
-Người dựng cú trỏch nhiệm sao lưu dữ liệu của mỡnh khụng hay đõy là trỏch nhiệm của người quản trị ?
-Hậu quả của việc người dựng tiết lộ cỏc thụng tin độc quyền, người này sẽ bị phạt thế nào ?
-Đảm bảo cỏc điều khoản về tớnh riờng tư của thư tớn điện tử. • Người quản trị hệ thống cú quyền hạn và trỏch nhiệm gỡ
Người quản trị hệ thống thường xuyờn phải thu thập thụng tin về cỏc tệp trong cỏc thư mục riờng của người dựng để tỡm hiểu cỏc vấn đề hệ thống. Ngược lại, người dựng phải giữ gỡn bớ mật riờng tư về thụng tin của họ. Vỡ thế mà chớnh sỏch mạng phải xỏc định xem người quản trị cú được phộp kiểm tra thư mục của người dựng khi cú vi phạm an ninh hay khụng. Nếu an ninh cú nguy cơ thỡ người quản trị phải cú khả năng linh hoạt để giải quyết vấn đề. Cũn cỏc điều khoản cú liờn quan khỏc như sau:
Người quản trị hệ thống cú được theo dừi hay đọc cỏc tệp của người dựng với bất cứ lý do gỡ hay khụng ?
Người quản trị mạng cú quyền kiểm tra giao thụng mạng và giao thụng đến trạm hay khụng ?
Người dựng, người quản trị hệ thống, cỏc tổ chức cú trỏch nhiệm phỏp lý nào đối với việc truy nhập trỏi phộp tới dữ liệu riờng tư của người khỏc, của tổ chức khỏc?
• Làm gỡ với cỏc thụng tin quan trọng
Theo quan điểm an ninh, cỏc dữ liệu cực kỳ quan trọng phải được hạn chế, chỉ một số ớt mỏy và ớt người cú thể truy nhập. Trước khi cấp phỏt truy nhập cho một người dựng, phải cõn nhắc xem nếu anh ta cú khả năng đú thỡ anh ta cú thể thu được cỏc truy nhập khỏc khụng ? Ngoài ra cũng phải bỏo cho người dựng biết là dịch vụ nào tương ứng với việc lưu trữ thụng tin quan trọng của anh ta.
