Возможности разграничения прав доступа к сети. Локальная компьютерная сеть
Автоматизированная система АСОМИ предусматривает возможность гибкого разграничения прав доступа пользователей к хранимой метрологической информации. Такой подход обеспечивает защиту хранящейся и обрабатываемой информации, а именно:
- ограничение прав на чтение, изменение или уничтожение;
- возможность хранения и передачи информации между объектами АСОМИ в виде, значительно затрудняющем ее распознавание при несанкционированном доступе или техническом обслуживании (в частности, с использованием технологий шифрования);
- обеспечение целостности информации, а также доступности информации для органов управления и уполномоченных пользователей;
- исключение утечки информации при обработке и передаче между объектами вычислительной техники.
Разграничение доступа для пользователей системы АСОМИ реализовано в разрезе следующих групп сущностей: отчетность и операционные данные (протоколы) справочные данные, журналы истории (логирование действий пользователя и данные по истории изменений сущностей), учетные данные (карточки СИ). Рассмотрим далее подробно каждую из групп.
Доступ к учетным данным определяется через следующие концептуальные понятия:
- Лицо, ответственное за обработку текущего статуса средства измерения - это сотрудник предприятия, который в текущем статусе СИ должен выполнить определенные этим статусом действия и перевести СИ в последующий статус в рамках рабочего цикла одной из метрологических работ. Определяется из параметров текущего статуса СИ. Например, таким лицом является лицо, исполняющее роль диспетчера (далее по тексту Диспетчер), принявшее СИ для выполнения ремонта и обязанное его затем передать лицу, исполняющему роль исполнителя ремонта (далее по тексту Исполнитель ремонта).
- Материально-ответственное за СИ лицо - это сотрудник предприятия, который несет материальную ответственность за средство измерения или эксплуатирует его. Определяется в учетной карточке СИ. Как правило, таким лицом является мастер, в ведении которого находится это СИ.
- Руководители "первых двух" лиц - буквально по определению. Определяются из организационной структуры предприятия по следующему принципу: они являются руководителями лиц из первых двух категорий "Лицо, ответственное за обработку текущего статуса СИ" и "Материально-ответственное за СИ лицо"; либо они являются руководителями вышестоящего подразделения предприятия, в состав которого входит (подчиняется) структурное подразделение, где исполнителями работают лица из первых двух категорий. В рамках АСОМИ этот концептуальный принцип приводит к тому, что информация о СИ доступна как всем вышестоящим руководителям Метролога, так и всем вышестоящим руководителям исполнителей тех или иных МР (например, начальник цеха имеет доступ к информации о СИ, за которые ответственны его мастера).
- Лицо, ответственное за метрологический надзор и контроль - это, например, сотрудник поверочного, ремонтного подразделения или метролог структурного подразделения, исполняющий обязанности по надзору и контролю. В соответствии с его обязанностями, он вправе иметь доступ на чтение учетной информации обо всех СИ, закрепленных за ним.
Таким образом, те сотрудники предприятия, которые попадают в одну из четырех (возможно, сразу в несколько) вышеперечисленных категорий, по отношению к конкретному СИ имеют возможность видеть на своем рабочем месте информацию о текущем статусе каждого СИ и, соответственно, данные учетной карточки СИ, включая данные об истории метрологических работ.
При этом сотрудник предприятия, который в данный момент времени ответственен за обработку текущего статуса СИ, имеет право изменять информацию СИ, связанную с этим статусом, и переводить СИ в последующий статус, соответствующий выполняемому рабочему циклу МР, но не имеет права влиять на историю переходов по Диаграмме статусов СИ.
Теперь рассмотрим Правила и порядок доступа к справочным данным. Такие функции как просмотр и использование справочных данных для выполнения своих обязанностей по метрологическому обеспечению доступны всем пользователям АСОМИ.
При этом доступ на пополнение и редактирование справочных данных разрешается только сотрудникам предприятия, исполняющим в системе АСОМИ роль администратора или контролера. Они полностью ответственны за актуальность и корректность информации, содержащейся в справочниках. При заполнении справочников, касающихся структуры прав доступа в АСОМИ, используются данные из справочников, входящих в справочный блок "Структура прав доступа в АСОМИ". При заполнении специфических (дополнительных) справочников используются данные из НТД (нормативно-технической документации) на СИ, данных Госреестра СИ, допущенных к применению на территории РФ, других достоверных источников.
Правила и порядок доступа к отчетности и операционным данным (протоколам) организован следующим образом. Доступ к реализованной в АСОМИ стандартной отчетности организуется по ролям в системе. При этом для каждой должности указывается тот перечень стандартных отчетов (выборка из общего перечня всех стандартных отчетов АСОМИ), которые может формировать со своего рабочего места сотрудник, занимающий данную должность.
В рамках отчетности может быть организован доступ к специальным функциям. Примером такой функции может являться поиск и получение информации о любом из учтенных в системе СИ по различным его параметрам, к примеру, мастер будет иметь возможность вывести в виде отчета список всех СИ, зарегистрированных в АСОМИ, для того, чтобы, например, подыскать варианты замены своего СИ на такое же СИ, которое находится на консервации в соседнем цехе.
Доступ к операционным данным (протоколам работы пользователей) разрешен только Администраторам АСОМИ и Главному метрологу предприятия.
Правила и порядок назначения и изменения доступа к информационным данным могут быть назначены или изменены только Администратором АСОМИ.
Если Вас заинтересовал данный продукт или возникли вопросы,
которые Вы хотели бы задать, пишите:
Разграничение доступа в информационной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями .
Задача разграничения доступа: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т. е. защита информации от нарушителя среди допущенного к ней персонала.
При этом деление информации может производиться по степени важности, секретности, по функциональному назначению, по документам и т. д.
Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д. должны быть технически и организационно отделены от основных задач системы. Информационная система в целом, а также комплекс средств автоматизации и организация их обслуживания должны быть построены следующим образом:
Техническое обслуживание комплекса средств автоматизации в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;
Функции обеспечения безопасности информации должны выполняться специальным подразделением в организации -- владельце комплекса средств автоматизации, компьютерной сети, автоматизированной системы управления или информационной системы в целом;
Организация доступа пользователей к устройствам памяти (хранения) информационной системы должна обеспечивать возможность разграничения доступа к информации, хранящейся на них, с достаточной степенью детализации и в соответствии с заданными уровнями (политиками) полномочий пользователей;
Регистрация и документирование технологической и оперативной информации должны быть разделены.
Разграничение доступа пользователей-потребителей информационной системы может осуществляться также по следующим параметрам:
По виду, характеру, назначению, степени важности и секретности информации;
Условному номеру терминала;
Времени обработки и др.
Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом информационной системы. А конкретное разграничение при эксплуатации системы устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.
В указанных целях при проектировании и планировании эксплуатации базового информационного и вычислительного комплекса с учетом комплекса средств автоматизации производятся:
Разработка или адаптация операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти вычислительного комплекса;
Изоляция областей доступа;
Разделение базы данных на группы;
Процедуры контроля перечисленных функций.
При проектировании и эксплуатации комплекса средств автоматизации, автоматизированной системы управления и информационной системы в целом (сети) на их базе производятся:
Разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данного комплекса средств автоматизации, так и информационной системы в целом;
Разработка аппаратных средств идентификации и аутентификации пользователя;
Разработка программных средств контроля и управления разграничением доступа;
Разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.
В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и комплекса средств автоматизации. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители - электронные ключи или карточки.
Разделение привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
Задача указанного метода -- существенно затруднить преднамеренный перехват информации нарушителем. Примером такого доступа может быть сейф с несколькими ключами, замок которого открывается только при наличии всех ключей. Аналогично в информационной системе может быть предусмотрен механизм разделения привилегий при доступе к особо важным данным с помощью кодов паролей.
Данный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.
Сочетание двойного криптографического преобразования информации и метода разделения привилегий позволяет обеспечить высокоэффективную защиту информации от преднамеренного несанкционированного доступа.
Кроме того, при наличии дефицита в средствах, а также в целях постоянного контроля доступа к ценной информации со стороны администрации потребителя информационной системы в некоторых случаях возможен вариант использования права на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его заместителя или представителя службы безопасности информации. При этом информация выдается только на дисплей руководителя, а на дисплей подчиненного -- только информация о факте ее вызова .
Управление доступом к информации в сети передачи и в автоматизированной системе управления
Управление доступом к информации в сети передачи осуществляется при ее подготовке, в процессе эксплуатации и завершения работ.
При подготовке сети передачи информации и автоматизированной системы управления к эксплуатации управление доступом заключается в выполнении следующих функций:
Уточнении задач и распределении функций элементов сети и автоматизированной система управления и обслуживающего персонала;
Контроле ввода адресных таблиц в элементы сети;
Вводе таблиц полномочий элементов сети, пользователей, процессов и т. д.;
Проверке функционирования систем шифрования и контроля полномочий.
В процессе эксплуатации управление доступом предполагает:
Контроль соблюдения полномочий элементами сети, процессами, пользователями и т. д.; своевременное обнаружение и блокировку несанкционированного доступа;
Контроль соблюдения правил шифрования данных и применения ключей шифрования;
Сбор, регистрацию и документирование информации о несанкционированном доступе с указанием места, даты и времени события;
Регистрацию, документирование и контроль всех обращений к информации, подлежащей защите, с указанием даты, времени и данных отправителя и получателя информации;
Изменение и ввод при необходимости новых полномочий элементов сети, процессов, терминалов и пользователей;
Проведение организационных мероприятий по защите информации в сети передачи и автоматизированной системе управления.
В простейшем случае управление доступом может служить для определения того, разрешено или нет пользователю иметь доступ к некоторому элементу сети. Повышая избирательность управления доступом можно добиться того, чтобы доступ к отдельным элементам сети для отдельных пользователей и элементов сети разрешался или запрещался независимо от других. И наконец, механизмы управления доступом можно расширить так, чтобы они охватывали объекты внутри элемента сети, например процессы или файлы.
Нарушение полномочий выражается:
В обращении с запросом или выдаче отправителем команд, не предусмотренных в списке получателей элемента сети;
Несовпадении значений предъявленного и хранимого на объекте-получателе паролей;
Получении им зашифрованной информации, не поддающейся расшифровке, и т. д.
Во всех перечисленных случаях дальнейшая обработка и передача данных кодограмм прекращается, и на объект управления безопасностью информации автоматически передается сообщение о факте несанкционированного доступа, его характере, имени объекта-отправителя, дате и времени события. Каждый случай несанкционированного доступа регистрируется и документируется на объекте-получателе и объекте управления доступом в сети передачи информации и автоматизированной системе управления. После получения сообщения о несанкционированном доступе служба безопасности информации производит расследование случившегося и устанавливает причину события. Если причина события случайная, решение вопроса поручается службе обеспечения надежности, если преднамеренная - выполняются соответствующие указания должностной инструкции, разработанной данной организацией или фирмой-владельцем сети передачи информации и автоматизированной системы управления .
Управление доступом может быть трех видов:
Централизованное управление. Установление полномочий производится администрацией организации или фирмы-владельца автоматизированной системы управления, сети или информационной системы в целом. Ввод и контроль полномочий осуществляется представителем службы безопасности информации с соответствующего объекта управления;
Иерархическое децентрализованное управление. Центральная организация, осуществляющая установление полномочий, может передавать некоторые свои полномочия подчиненным организациям, сохраняя за собой право отменить или пересмотреть решения подчиненной организации или лица;
Индивидуальное управление. В этой ситуации не существует статической иерархии в управлении распределением полномочий. Отдельному лицу может быть разрешено создавать свою информацию, гарантируя при этом ее защиту от несанкционированного доступа. Владелец информации может по своему усмотрению открыть доступ к ней другим пользователям, включая передачу права собственности. Все указанные виды управления могут применяться одновременно в зависимости от характера деятельности и задач организации-владельца автоматизированной системы управления, сети или информационной системы в целом.
При централизованном контроле полномочий на терминале возможно отображение структуры автоматизированной системы управления, сети или информационной системы в целом. При этом каждому элементу автоматизированной системы управления, сети или информационной системы присваивается имя или номер, при отображении которых вводятся по каждому элементу следующие признаки его состояния: «введен - не введен в состав системы», «исправен - неисправен» и «нет несанкционированного доступа - есть несанкционированный доступ».
Современные средства отображения позволяют реализовать эти признаки в различных вариантах, удобных для операторов.
Функции контроля и управления безопасностью информации в автоматизированной системе управления (сети) можно возложить на оператора автоматизированного рабочего места системы безопасности информации комплекса средств автоматизации обработки информации, являющегося управляющим объектом автоматизированной системы управления (сети).
В последние годы на российском рынке приобретают популярность корпоративные (частные) цифровые сети связи, ранее в основном использовавшиеся для передачи секретной информации в оборонных отраслях промышленности. Основное назначение таких сетей -- обеспечить закрытой связью абонентов, связанных корпоративными интересами .
С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.
Идентификация -- процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.
Аутентификация -- процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).
Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.
Авторизация -- процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если.система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены. Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.
Администрирование -- регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting -- все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором .
Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации. Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена IP-адреса может легко разрушить механизм аутентификации. Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.
При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры -- обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.
Пароль -- это то, что знает пользователь и другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.
Персональный идентификационный номер PIN (Personal Identification Number) является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.
Динамический (одноразовый) пароль - это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.
Система запрос-ответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.
Сертификаты и цифровые подписи. Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией. В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней .
Таким образом, можно сделать выводы, что перед тем как начать строить систему защиты информации нужно сначала определить состав защищаемой информации, произвести анализ возможных угроз и выбрать адекватную политику безопасности.
Разграничение доступа
| Наименование параметра | Значение |
| Тема статьи: | Разграничение доступа |
| Рубрика (тематическая категория) | Военное дело |
Рис.8.2. Стоимость и уровень технологий аутентификации
4. Новейшим направлением аутентификации является доказательство подлинности удаленного пользователя по его местоположению . Данный защитный механизм основан на использовании системы космической навигации типа GPS (Global Positioning System) . Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить местоположение пользователя. Аппаратура GPS проста и надежна в использовании и сравнительно недорога. Это позволяет применять ее в случаях, когда авторизованный удаленный пользователь должен находиться в определенном месте.
Суммируя возможности механизмов и средств аутентификации, по уровню информационной безопасности выделим три вида аутентификации : 1) статическую; 2) устойчивую; 3) постоянную.
Статическая аутентификация обеспечивает защиту только от НСД в системах, где нарушитель не может во время сеанса работы прочитать аутентификационную информацию. Примером средства статической аутентификации являются традиционные постоянные пароли. Их эффективность преимущественно зависит от сложности угадывания паролей и от того, насколько хорошо они защищены. Для компрометации статической аутентификации нарушитель может подсмотреть, подобрать, угадать или перехватить аутентификационные данные.
Устойчивая аутентификация использует динамические данные аутентификации, меняющиеся с каждым сеансом работы. Реализациями устойчивой аутентификации являются системы, применяющие одноразовые пароли и электронные подписи. Устойчивая аутентификация обеспечивает защиту от атак, где злоумышленник может перехватить аутентификационную информацию и использовать ее в следующих сеансах работы. При этом устойчивая аутентификация не обеспечивает защиту от активных атак, в ходе которых маскирующийся злоумышленник может оперативно (в течение сеанса аутентификации) перехватить, модифицировать информацию и вставить ее в поток передаваемых данных.
Постоянная аутентификация обеспечивает идентификацию каждого блока передаваемых данных, что предохраняет их от несанкционированной модификации или вставки. Примером реализации указанного вида аутентификации является использование алгоритмов генерации электронных подписей для каждого бита пересылаемой информации.
После выполнения идентификации и аутентификации крайне важно установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс принято называть разграничением (логическим управлением) доступа .
Обычно полномочия субъекта представляются: списком ресурсов, доступным пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов бывают программы, данные, логические устройства, объём памяти, время процессора, приоритет и т.д.
Можно выделить следующие методы разграничения доступа : 1) по спискам; 2) с использованием матрицы установления полномочий; 3) по уровням секретности и категориям; 4) парольное.
1. При разграничении доступа по спискам задаются следующие соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и прав их доступа к данному ресурсу. Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в большинстве ОС и СУБД.
2. Использование матрицы установления полномочий
предполагает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в АС, а столбцами – объекты (информационные ресурсы) АС. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.
Размещено на реф.рф
(табл.8.3). Данный метод предоставляет более унифицированный и удобный подход, так как вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и неоптимальность (большинство клеток – пустые).
Таблица 8.3
Разграничение доступа - понятие и виды. Классификация и особенности категории "Разграничение доступа" 2017, 2018.
На своей практике веб-разработки я очень часто сталкивался с ситуациями, в которых заказчики ставили конкретную цель, а именно о разделении частей админки относительно доступности тем или иным пользователям. При этом разработка данного модуля велась в контексте расширяемой системы, а то есть с нефиксированым числом модулей, к которым организовуется доступ, ну и, соответственно, неограниченным числом пользователей системы.
Что ж, сама по себе данная тема довольно грузная, и требует определённого времени на анализ и постанувку задачи.
В контексте данной статьи, мы будем вести разработку в контексте некоторой абстрактной информационной системы, со своей инфраструктурой и архитектурой, при этом данная система предоставляет пользователю возможность расширять функционал, а то есть устанавливать новые модули, и соответственно устанавливать права доступа к ним тому либо иному пользователю, зарегистрированному в качестве администратора системы.
Давайте с самого начала обсудим архитектуру модульной системы на выбранной нами псевдо-системе.
Все модули представлены ввиде подключаемых к главному документу (индекс-файлу) вставок. Запрос модуля происходит из строки запроса QUERY_STRING, и название подключаемого модуля передаётся в качестве аргумента act. В некотором месте индекса файла происходит изъятие и обработка данного параметра. После, если у пользователя достаточно прав для доступа к модулю в контексте чтения, происходит проверка существования указанного в строке запроса модуля, и если таковой существует, то происходит его подключение к индекс файлу.
Я не просто так упомянул о "контексте чтения", так как наша системе предполагает существование двух контекстов работы с системой, а именно - чтение и запись. При этом под чтением предполагается непосредственный доступ к модулю и к тем его частям, которые не предполагают внесение изменений в структуру данных в БД. Под записью же предполагается непосредственное внесение изменений в информацию, хранимую в базе данных.
Для воплощения данного механизма мы будет проверять значение переменной строки запроса `do`, которая обрабатывается в самом модуле и носит информацию о том, к какому разделу модуля необходимо предоставить доступ пользовалю.
Значение do буду фиксированными, данная переменная будет принимать следующие значения:
- main - главная часть модуля (доступно в контексте чтения)
- config - раздел настройки модуля (доступно в контексте записи)
- create - произвести некоторые действия, по добавлению информации в БД (доступно в контексте записи)
- delete - доступ к разделу, предоставляющему возможности удалить некоторую информацию, в контексте данного модуля (доступно в контексте записи)
- edit - доступ к редактированию информации в контексте модуля (доступно в контексте записи)
В целом, этот список можно увеличить, при этом всё зависит лишь только от масштабов проекта и его потребностей в функционале.
Теперь непосредственно о модулях. Кроме физического существования некоторого модуля в контексте файловой системы проекта, модуль так же должен быть добавлен в особую таблицу БД, которая будет содержать информацию о всех существующих модулях в системе. Добавление и изменение данных данной таблицы, обычно, производится непосредственно в контексте модулей, а то есть во время их инсталяции в системе. Однако это уже углубление в принципы посмотроения расширяемых систем, о чём мы как-то в другой раз поговорим, и посему, мы ограничимся ручным обновлением и добавлением данных о модулях.
Так, запись о модуле системы будет содержать следующую информацию: английский идентификатор названия модуля, который будет идентичен значению переменной среды GET - act (относительно него будет производится непосредственно запрос модуля), русский идентификатор модуля, который будет использоватся в списке модулей.
Кроме модулей у нас будут ещё две таблицы, а именно таблица в которой будут хранится данные относительно профилей прав доступа и таблица с информацией о пользователях непосредственно.
Таблица профилей безопасности будет состоять всего из трёх полей - идентификатор профиля (числовое значение идентификатора записи), текстый идентификатор модуля (предназначенный для пользователей), а так же особым образом сформированная текстовая метка, содержащая информацию о правах пользователя, в контексте каждого из модулей.
Что ж, давайте рассмотрим эту особую структуру. Она будет следующей: [ module_indefier: + \: + \;] *
То есть идёт список из пар: имя модуля ":" права чтения "," права записи ";". При этом данная метка обновляется в момент внесения изменений о правах доступа пользователя к системе. Если в системе появляется информация о модуле, который не вошёл в данную метку, то стоит просто произвести процедуру редактирования, и данные сохранятся автоматически.
Теперь же нам осталось рассмотреть структуру всего одной таблицы БД, и мы сможем принятся за реализацию алгоритмической части, а именно таблицы с информацией о пользователях системы, ведь назначение им прав доступа и является нашей главной задачей.
Я не буду добавлять ничего лишнего в неё, но лишь то, что будет использоватся в контексте темы данной статьи. Таблица пользователей будет содержать следующие поля: идентифицатор пользователя (числовой счётчик), логин, пароль (хеш оригинального пароля), профиль безопасности пользователя (идетификатор группы пользователя, относительно прав в системе), и всё. Мне кажется этой информации нам с вами вполне хватит, для реализации поставленной задачи, а уже все остальные надстройки я предоставляю возможность сделать самим.
Итак, структуру мы обсудили, и, надеюсь, у всех сложилось уже некоторое представление о том, как мы будем реализовывать поставленную в теме статьи задачу. Сейчас я приведу вспомогательный SQL-код таблиц, описанных выше, после чего сразу же перейду к воплощению алгоритма проверки прав доступа пользователя, а так же создания и изменения профилей доступа. После каждого отдельного модуля мы подробно обсудим все вопросы, которые могут возникнуть у читателей.
Таблица `modules`:
CREATE TABLE `modules` (`id` bigint(20) NOT NULL auto_increment, `indefier` text collate utf8_unicode_ci NOT NULL, `title` text collate utf8_unicode_ci NOT NULL, PRIMARY KEY (`id`)) ENGINE=MyISAM AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;
Таблица `secure_groups`:
CREATE TABLE `secure_groups` (`id` bigint(20) NOT NULL auto_increment, `title` text collate utf8_unicode_ci NOT NULL, `perms` text collate utf8_unicode_ci NOT NULL, PRIMARY KEY (`id`)) ENGINE=MyISAM AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci ;
Таблица `users`
CREATE TABLE `users` (`id` bigint(20) NOT NULL auto_increment, `login` text collate utf8_unicode_ci NOT NULL, `passwd` text collate utf8_unicode_ci NOT NULL, `groupId` int(1) NOT NULL default "0", PRIMARY KEY (`id`)) ENGINE=MyISAM AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci ;
temp=array(); $this->temp["_result"]=0; $this->temp["_uid"]=explode("::",$_COOKIE["site_hash"]); $this->temp["_uid"]=$this->temp["_uid"]; $this->temp["_gid"]=$this->getUserSecurityAccess($this->temp["_uid"]); $this->temp["_conn_id"]=mysql_connect("host","user","passwd"); mysql_select_db("database"); $this->temp["_q1"]=mysql_query("SELECT perms" ."FROM `secure_groups`" ."WHERE id=".$this->temp["_gid"]); $this->temp["_access_stamp"]=mysql_fetch_assoc($this->temp["_q1"]); $this->temp["_access_stamp"]=$this->temp["_access_stamp"]["perms"]; $this->temp["_access_stamp"]=explode(";",$this->temp["_access_stamp"]); $this->temp["_access_stamp"]=array_slice($this->temp["_access_stamp"],0,-1); foreach($this->temp["_access_stamp"] as $this->temp["v"]){ $this->temp["_mod_access"]=explode(":",$this->temp["v"]); $this->temp["_mod_indefier"]=$this->temp["_mod_access"]; if($this->temp["_mod_indefier"]==$module){ $this->temp["_perms"]=explode(",",$this->temp["_mod_access"]); switch($act){ case "r": $this->temp["_result"]=($this->temp["_perms"]==1)? 1:0; break; case "w": $this->temp["_result"]=($this->temp["_perms"]==1)? 1:0; break; } break; } } mysql_close($conn_id); return $this->temp["_result"]; } } ?>
Данный класс внедряет функции, предназначенные для воплещения алгоритмического задания, описанного выше. Сейчас мы обсудим каждую функцию отдельно.
Функция secure::getUserId()
Используя данную функцию, мы подразумеваем, что во время авторизации пользователя в системе в переменной среде $_COOKIE была установлена переменная `site_hash`, состоящая из идентификатора пользователя в системе и хеша для проверки аутентичности его в системе. Функция просто изымает значение идентификатора, возращая его значение на выходе.
Функция secure::getUserSecurityAccess($id)
На выходе данная функция возвращает идентификатор профиля безопасности текущего пользователя в системе.
Функция secure::checkUserPermission($module,$act))
Производится запрос к БД, относительно прав пользователя на произведение действий чтения/записи в контексте переданного в качестве параметра модуля.
Осталось лишь описать процедуру формирования переменной в среде $_COOKIE, и тему статьи можно будет считать расскрытой.
Процедура авторизации будет выглядеть ввиде внесения личных данных пользователя (логин и пароль) в специальную форму, после отправки которой произойдёт обработка данных, переданных пользователем, по-методу функции checkAuthData(), и, в случае корректности данных, будет произведено сохранение данных о пользователе ввиде куки записи на период установленный пользователем, либо в отсутствии заданного значение на период по-умолчанию.
Для проверки аутентичности данных хранимых в переменной среде $_COOKIE, мы будем использовать функцию EatCookie(), которая будет производить валидацию данных, возвращая булевый результат проверки (истина - ложь).
Я не привожу форму для отправки, так как это не часть теории программирования, указав лишь идентификаторы полей.
- `ulogin` - логин пользователя
- `upasswd` - пароль пользователя
- `stime` - время сессии, устанавливаемое пользователем (от 1 до 5 часов)
- `auth` - имя кнопки отправки
Вот, в целом и всё. Осталось лишь пробовать, экспериментировать, ошибатся и находить решение, что я всецело и оставляю вам.
Надеюсь, что мы скоро встретимся, а для тех кто имеет ко мне вопрос в отношении статьи, да и не только - писать на [email protected], либо на [email protected].
С уважением Карпенко Кирилл, глава IT-отдела ИНПП.
Методические указания к практическому занятию № 10
Тема : Разграничение прав доступа в сети, общее дисковое пространство в локальной сети. Защита информации, антивирусная защита.
Количество часов : 2
Цель: научиться разграничивать права доступа в компьютерной сети и пользоваться антивирусной защитой
Задание: Ознакомиться с теоретическими положениями по данной теме, выполнить задания практического занятия, сформулировать вывод.
Отчет должен содержать:
1.Название работы
2.Цель работы
3.Результаты выполнения задания 1, 2, 3, 4, 5, 6
4.Вывод по работе (необходимо указать виды выполняемых работ, достигнутые цели, какие умения и навыки приобретены в ходе ее выполнения)
Методические указания к выполнению:
1. Разграничение прав доступа в сети
Глобальная сеть – это объединения компьютеров, расположенных на удаленном расстоянии, для общего использования мировых информационных ресурсов. На сегодняшний день их насчитывается в мире более 200. Из них наиболее известной и самой популярной является сеть Интернет.
В отличие от локальных сетей в глобальных сетях нет какого-либо единого центра управления. Основу сети составляют десятки и сотни тысяч компьютеров, соединенных теми или иными каналами связи. Каждый компьютер имеет уникальный идентификатор, что позволяет "проложить к нему маршрут" для доставки информации. Обычно в глобальной сети объединяются компьютеры, работающие по разным правилам (имеющие различную архитектуру, системное программное обеспечение и т.д.). Поэтому для передачи информации из одного вида сетей в другой используются шлюзы.
Шлюзы (gateway)– это устройства (компьютеры), служащие для объединения сетей с совершенно различными протоколами обмена.
Протокол обмена – это набор правил (соглашение, стандарт), определяющий принципы обмена данными между различными компьютерами в сети.
Протоколы условно делятся на базовые (более низкого уровня), отвечающие за передачу информации любого типа, и прикладные (более высокого уровня), отвечающие за функционирование специализированных служб.
Главный компьютер сети, который предоставляет доступ к общей базе данных, обеспечивает совместное использование устройств ввода-вывода и взаимодействия пользователей называется сервером.
Компьютер сети, который только использует сетевые ресурсы, но сам свои ресурсы в сеть не отдает, называется клиентом (часто его еще называют рабочей станцией).
Для работы в глобальной сети пользователю необходимо иметь соответствующее аппаратное и программное обеспечение.
Программное обеспечение можно разделить на два класса:
программы-серверы, которые размещаются на узле сети, обслуживающем компьютер пользователя;
программы-клиенты, размещенные на компьютере пользователя и пользующиеся услугами сервера.
Глобальные сети предоставляют пользователям разнообразные услуги: электронная почта, удаленный доступ к любому компьютеру сети, поиск данных и программ и так далее.
2.Задание:
Задание №1. Определите общий ресурс компьютера. Для этого:
В операционной системе Windows найти на рабочем столе значок Сеть.
Открыть папку, где будут видны все компьютеры, которые подключены в одну сеть.
В данном окне появятся все компьютеры, которые подключены к сети.
Открыть один из них. Посмотреть ресурсы компьютера, которыми можно воспользоваться. Такие ресурсы называются общими.
Задание № 2.Предоставьте доступ для пользователей локальной сети к папке на своем компьютере, подключенном к локальной сети. Для этого:
В операционной системе Windows открыть окно папки Компьютер и на диске D: создать свою папку. Назвать ее номером своей группы.
Щелкнуть правой кнопкой мыши по значку папки и в контекстном меню папки выберите команду Общий доступ.
Выбрать нужное подменю: Конкретные пользователи
В списке Сеть внизу появится новая папка: поездка 27.07.2016
Если все правильно сделано, то на диске (у вашей папки) появится значок, который показывает, что папка является общей.
Задание №3. Максимальная скорость передачи данных в локальной сети 100 Мбит/с. Сколько страниц текста можно передать за 1 сек, если 1 страница текста содержит 50 строк и на каждой строке - 70 символов?
Решение:
50*70=3500 символов на страницу.
Так как не указано, сколько символов в алфавите, возьмем 1 байт на символ. Итого 3500 байт или (умножить на 8) 28000 бит.
Теперь делим 100,000,000 на 28,000. Получаем 3571.43 страниц.
Решить самостоятельно по следующим данным :
1 страница текста содержит 70 строк и на каждой строке - 50 символов?
Задание №4. Ответьте на вопросы:
Теоретические сведения 2
1. Защита информации, антивирусная защита.
Компьютерный вирус - программа способная самопроизвольно внедряться и внедрять свои копии в другие программы, файлы, системные области компьютера и в вычислительные сети, с целью создания всевозможных помех работе на компьютере.
Признаки заражения:
прекращение работы или неправильная работа ранее функционировавших программ
медленная работа компьютера
невозможность загрузки ОС
исчезновение файлов и каталогов или искажение их содержимого
изменение размеров файлов и их времени модификации
уменьшение размера оперативной памяти
непредусмотренные сообщения, изображения и звуковые сигналы
частые сбои и зависания компьютера и др.
Классификация компьютерных вирусов:
по среде обитания;
по способу заражения;
по воздействию;
по особенностям алгоритма.
По среде обитания
Сетевые – распространяются по различным компьютерным сетям.
Файловые – внедряются в исполняемые модули (COM, EXE).
Загрузочные – внедряются в загрузочные сектора диска или сектора, содержащие программу загрузки диска.
Файлово - загрузочные – внедряются и в загрузочные сектора и в исполняемые модули.
По способу заражения
Резидентные – при заражении оставляет в оперативной памяти компьютера свою резидентную часть, которая потом. перехватывает обращения ОС к объектам заражения.
Нерезидентные – не заражают оперативную память и активны ограниченное время.
По воздействию:
Неопасные – не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках.
Опасные – приводят к различным нарушениям в работе компьютера.
Очень опасные – могут приводить к потере программ, данных, стиранию информации в системных областях дисков.
По особенностям алгоритма:
Черви – вычисляют адреса сетевых компьютеров и отправляют по ним свои копии.
Стелсы – перехватывают обращение ОС к пораженным файлам и секторам и подставляют вместо них чистые области.
Трояны – не способны к самораспространению, но маскируясь под полезную, разрушают загрузочный сектор и файловую систему.
Основные меры по защите от вирусов:
оснастите свой компьютер одной из современных антивирусных программ: Doctor Weber, Norton Antivirus, AVP
постоянно обновляйте антивирусные базы
делайте архивные копии ценной для Вас информации (гибкие диски, CD)
Классификация антивирусного программного обеспечения:
Сканеры (детекторы)
Мониторы
Ревизоры
Сканера . Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов.
Мониторы . Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помощью монитора можно остановить распространение вируса на самой ранней стадии.
Ревизоры. Программы-ревизоры первоначально запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, информацию о структуре каталогов, иногда - объем установленной оперативной памяти.
Для определения наличия вируса в системе программы-ревизоры проверяют созданные ими образы и производят сравнение с текущим состоянием.
2. Задание
Задание №5.Укажите основные антивирусные программы и охарактеризуйте их (достоинства и недостатки, основные особенности)
Задание№6.Проведите проверку своего ПК антивирусными программами.
3. Контрольные вопросы
1.Что такое глобальная сеть?
2.Что такое шлюзы?
3.Что такое протокол обмена?
4.На какие два класса можно разделить программное обеспечение?
5.Что такое компьютерный вирус?
6.Назовите три признаки заражения вирусами ПК?
7.Как классифицируется антивирусное программное обеспечение?
8.Назовите основные меры по защите от вирусов?
