Учетные записи пользователей с распределяемым доступом и привелегиями - ключевая особенность современных умных решений и средств цифровой обработки, причем независимо от того, используется ли для этого мобильное устройство, компьютер или промышленный контроллер.
В первую очередь создается учетная запись администратора, у которого есть все глобальные привилегии, но этот аккаунт должен быть тщательно защищен владельцем от постороннего вмешательства.
Для доступа к устройству нельзя использовать имя пользователя и пароль по умолчанию, устройство должно требовать, чтобы администратор использовал уникальные учетные данные для создания каждого отдельного аккаунта. Учетные данные по умолчанию крайне уязвимы для взлома и могут быть легко получены и использованы любым пользователем, в то время как аккаунт с уникальными данными для доступа защищены гораздо лучше. В случае утери данных для доступа к аккаунту администратора - рекомендуется сделать сброс устройства до заводских настроек и создание новых аккаунтов, вместо восстановления старых.
Аккаунт администратора создается для выдачи учетных записей пользователей и распределения привилегий. Причем для промышленного контроллера авторизованными пользователями могут быть не только люди, но и программы с разрешенным доступом.
Рекомендуется создавать учетные записи только доверенным пользователям, с умом подходить к распределению привилегий, предоставляя лишь те привилегии, которые необходимы для работы в каждом конкретном случае, создавать надежные пароли для аккаунтов и всегда требовать аутентификацию. Тщательное управление аккаунтами пользователей дает администратору полный и детальный контроль за доступом и работой в системе.
Для работы внешних пользователей с устройством требуется обязательное подключение через Интернет. Безопасность соединения в этом случае может обеспечить безопасный порт, который будет шифровать всю передачу данных и предоставлять доступ только аутентифицированным пользователям.
Альтернативный способ - отдельное устройство в сети, которое создаст для внешних пользователей или серверов защищенный туннель виртуальной частной сети (VPN). Внедрение VPN может потребовать вмешательство специализированного IT-персонала, поэтому лучшим вариантом считается выбор устройства со встроенными системами безопасности (в том числе встроенный безопасный VPN-туннель). При этом рекомендуется уделить тщательное внимание правильной настройке безопасного VPN-туннелья и отключать его когда в нем нет необходимости.
