Разграничение прав доступа к информации Системы

Версия 14:13, 9 октября 2008

Защита от несанкционированного подключения к ASB-серверу и перехвата данных

Подключиться к ASB-серверу может только авторизованный пользователь. Первое, что делает ASB-сервер при подключении клиента - определяет, под какой учетной записью выполняется подключение, и аутентифицирует (т.е. проверяет подлинность) пользователя. Не вдаваясь в подробности можно отметить, что аутентификация пользователя основана на проверке пароля, хотя сам пароль при этом по сети не передается. Далее выполняется авторизация подключения, т.е. выяснение, разрешено ли данному пользователю подключиться к ASB-серверу. Все узлы сети с точки зрения ASB-сервера делятся на три зоны безопасности, в которых действуют разные разрешения на подключение.

Разделение на зоны безопасности описано в файле настроек ASB-сервера asbsrv.ini списками разрешений на подключение в разделах "ASBP Server\Bind Addresses" и "HTTP Server\Bind Addresses". Изменять списки разрешений на подключение настоятельно не рекомендуется. Вопрос почти всегда можно решить включением пользователя в соответствующую группу.

В зоне безопасности "Интернет" для связи между клиентом и сервером применяются SSL-версии протоколов ASBP и HTTP, называемые ASBPS и HTTPS, чем достигается аутентификация сервера и шифрование обмена данными во избежание перехвата информации посторонними лицами.

Зона локальный компьютер, т.е. собственно сервер

• Подключение по протоколу ASBP разрешено только членам группы AP_Users.
• Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.

Зона локальная сеть, т.е. сеть Вашего предприятия

• Подключение по протоколу ASBP разрешено только членам группы AP_Users.
• Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.

Зона Интернет, т.е. все остальные узлы

• Подключение по протоколу ASBP разрешено только членам группы AP_InetUsers.
• Подключение по протоколу HTTP разрешено только членам группы AP_InetHTTPAccess.

Защита файлов и каталогов на уровне файловой системы

Сетевые разрешения

Сетевые разрешения назначаются в связи с открытием общего доступа к папке и действуют только при обращении из сети (не действуют при обращении непосредственно с сервера). Посмотреть или изменить сетевые разрешения на сервере можно в Проводнике, позиционировавшись на общую папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Доступ", а затем нажав кнопку "Разрешения". Сетевые разрешения распространяются на общую папку, а также на все вложенные в нее папки и файлы. После установки Системы на сервере всем пользователям разрешен полный доступ ко всем общим папкам АвтоПарка и ASB. И это не представляет проблемы, поскольку в Windows 2000 имеется гораздо более гибкий инструмент файловой безопасности: разрешения NTFS.

Разрешения NTFS

Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам.

В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом.

Здесь: System (или Local System) - встроенная учетная запись под которой выполняются службы операционной системы; администраторы - встроенная локальная группа "Администраторы", в состав которой автоматически входят и администраторы домена. Внимание! Изменение описанных разрешений, в том числе изменение значения флагов наследования, может привести к непредсказуемым последствиям. Утилита "Разрешения NTFS" из папки "Восстановление настроек по умолчанию" позволяет восстановить описанные выше разрешения.

Разрешения на файлы базы данных проекта

Назначаются с помощью утилиты LIM. Согласно принадлежности текущего пользователя к той или иной группе, определяются его возможности доступа к информации. На любой файл базы данных можно определить следующие права:

Виды разрешений (прав)

• Права на чтение информации:
  • S (Scan) - чтение, НО без визуального просмотра. Применяется в случаях, когда пользователь должен вводить данные или производить расчеты, требующие ПРОГРАММНОГО доступа к информации из данного файла, однако нежелателен прямой просмотр этой информации. Типичным примером является файл, содержащий тарифные ставки и оклады - информация из него может быть необходима, скажем, при вводе первичного документа, но смотреть на оклады оператору незачем.
  • V (View) - визуальный просмотр. Позволяет просматривать данные файла. Назначается вместе со Scan.
• Права на изменение информации, обычно, предоставляются все три права:
  • I (Insert) - вставка новых записей.
  • R (Replace) - модификация имеющихся записей.
  • D (Delete) - удаление записей.
  • C (Clean) - очистка файла в целом. Применяется ТОЛЬКО для системных целей. НЕ ИСПОЛЬЗОВАТЬ!
• Права на доступ к архивной части файла:
  • A (ArcRead) - чтение данных, находящихся в архивной части файла. Предоставляют пользователям, которым необходима информация за прошлые периоды и/или возможность изменять коды в некоторых справочниках.
  • W (arcWrite) - запись данных в архивную часть файла. Предоставляют пользователю, который выполняет процедуру разделения файлов.

Работа с утилитой LIM

Основные клавиши управления:

• "Стрелки" - перемещение по текущему списку
• Tab - перемещение между элементами окна
• Enter - выбор текущей строки списка и/или текущей управляющей кнопки - переход на следующий уровень
• Esc - отмена/закрытие текущего окна - переход на предыдущий уровень
• Ins - вставка в текущий список новых элементов
• F12 - установка "метки" в списке.

Типичные процедуры:

• Просмотр информации о том, в какие группы файлов входит какой-либо конкретный файл:
  • Выбрать пункт главного меню - "Информация о файлах"
  • С помощью стрелок и/или набором имени найти нужный файл.
  • Смотреть имена групп файлов, отображенные справа.
  • С помощью клавиши Esc "подняться" до главного меню
• Включение конкретного файла в конкретную группу файлов:
  • Выбрать пункт главного меню - "Группы файлов"
  • С помощью стрелок и/или набором имени найти нужную группу файлов и выбрать ее
  • В раскрывшемся окне "Члены группы файлов" нажать Ins или выбрать кнопку "Добавить"
  • С помощью стрелок и/или набором имени найти нужный файл и выбрать его с помощью клавиши Enter
  • С помощью клавиши Esc "подняться" до главного меню.

Стандартные группы файлов

• USERS_MV Общие (модификация). Должна включать файлы SES, SYSLOGA, SYSLOGD, SYSLOG_, USER, lsStore
• USERS_SV Общие (просмотр). Должна включать файлы Calendar, Firm, FirmPro, Man, ManPro, MathEAN, Month, MyFirm, OwnDPro, OwnData, OwnDataH, Pool, PoolVal, Property

Группе пользователей AP_Users необходимо назначить права SVIRD на группу файлов USERS_MV, права SV на группу USERS_SV, права S на файл SYSLOG

Сокрытие части отчетов

Часть отчетов (файлы *.rep), которые должны быть доступны для изготовления и просмотра только ограниченному кругу пользователей (обычно, это зарплатные формы - справки, расчетные листы и т.п.) можно скрыть следующим образом:

• Создать папку на сервере C:\AutoPark\SRP (где SRP - сокращение SecretRePorts), внутри нее подпапку $$ для непериодических форм.
• Группу пользователей AP_Users лишить прав на папку C:\AutoPark\SRP.
• Группам пользователей, которым разрешено видеть скрытые отчеты, дать права на C:\AutoPark\SRP.
• В файле <ИмяПроекта>.red настроить путь к отчетам, просмотр которых должен быть ограничен, на папку SRP. Пример:

AvPay21_??.rep = rep\$$
AvPay22_??.rep = rep\$$
AvPay04_??.rep = rep\$$
AvPay??_??.rep = srp\$$
_??_????.rep = srp
slp_????.rep = srp
sal_????.rep = srp
psts*_??.rep = srp\$$
pats*_??.rep = srp\$$
money_??.rep = srp\$$
pdday_??.rep = srp\$$
pdoc*_??.rep = srp\$$
_??.rep = rep\$$
_??01.rep = rep\01
и т.д....

• Уже имеющиеся готовые отчеты, просмотр которых должен быть ограничен, переносятся в каталог J:\SRR.