- •Контрольна робота
- •Теоретичні відомості
- •1. Об’єкти захисту
- •3. Прикладні засоби забезпечення інформаційної безпеки у підсистемі склад 3.1. Порядок адміністрування користувачів
- •3.2. Реалізація розмежування доступу користувачів до об'єктів підсистеми
- •3.3. Реєстрація дій користувачів підсистем
- •4. Вимоги до адміністративних і організаційно-технічних заходів захисту на об'єктах автоматизації
3. Прикладні засоби забезпечення інформаційної безпеки у підсистемі склад 3.1. Порядок адміністрування користувачів
Реєстрація користувачів підсистем виконується адміністраторами інформаційної безпеки. Реєстрація користувача виконується в два етапи. На етапі попередньої реєстрації виробляється введення первинних атрибутів реєстрованого користувача, призначення ролей і роздруківка приписів: системного адміністратора сервера підсистеми, адміністратору транспортної станції, адміністратору інформаційної безпеки (ІБ). Після отримання підтверджень про виконання адміністраторами суміжних підсистем запропонованих дій, адміністратор ІБ виконує остаточну реєстрацію користувача з наданням можливості роботи.
Після завершення реєстрації користувача, адміністратор інформаційної безпеки повідомляє йому початкові паролі.
Якщо користувач забув свій пароль для входу, він повинен звернутися до адміністратора інформаційної безпеки, що може встановити для нього ознака анулювання забутого пароля. Після установки цієї ознаки пароль користувача збігається з його ідентифікатором, але при першій же спробі входу користувача в систему з таким паролем буде викликана процедура примусової зміни пароля до завантаження головного меню.
3.2. Реалізація розмежування доступу користувачів до об'єктів підсистеми
Розмежування доступу користувачів до файлових даними повинно забезпечуватися засобами розмежування доступу для користувачів і груп користувачів операційної системи WindowsNT/2000/2003 сервера підсистеми. На сервері повинна використовуватися файлова система NTFS. Власником всіх об'єктів файлової структури каталогів з прикладним програмним забезпеченням (з правами доступу "Full Control» до цих об'єктів) має бути системний адміністратор Windows. Всі користувачі реєструються в операційній системі сервера під персональними ідентифікаторами і включаються до групи користувачів у відповідності зі своїми функціональними обов'язками.
Призначення категорій користувачам здійснюється адміністраторами інформаційної безпеки. Одному користувачеві можуть бути призначені кілька категорій, якщо призначувана комбінація категорій не суперечить правилам їх сумісності. Правила сумісності категорій програмно перевіряються при спробі додати адміністратором інформаційної безпеки нової категорії до уже призначеним даному користувачеві раніше. При виявленні несумісності додавання нової категорії не виробляється, з висновком адміністратору відповідного повідомлення.
Користувальницькі програми працюють з серверними і корис-дослідними базами даних, що функціонують на сервері підсистеми під управлінням СУБД.
Розмежування доступу при підключенні користувача процесів до баз даних підсистеми забезпечується штатними засобами парольної аутентифікації СУБД. Для запобігання можливості підключення користувачів до баз даних в обхід програми СКЛАД, реальний пароль для підключення користувача підсистеми до СУБД обчислюється додатком за певним алгоритмом з двох частин. Перша частина пароля відповідає значенню пароля користувача. Інша частина пароля представляє собою псевдовипадкову маску, збережену і надається додатком СКЛАД сервісом аутентифікації.
3.3. Реєстрація дій користувачів підсистем
У підсистемі СКЛАД реєстрація дій користувачів виконується спеціальним сервісом реєстрації, що функціонує на сервері підсистеми. Прикладні процеси, обробляючи події, що підлягають реєстрації, викликають функцію реєстрації, передаючи їй необхідні атрибути. Функція реєстрації звертається до сервісу реєстрації, який здійснює буферизацію надходять до нього звернень та їх запис у файл оперативного реєстраційного журналу.
Останнє поле реєстраційного запису використовується для контролю цілісності і безперервності реєстраційного журналу. Для першого реєстраційного журналу контрольна сума «нульовий» записи приймаються рівними нулю. При закритті поточного журналу і відкритті нового, останню реєстраційну запис - сформує сам сервіс реєстрації. Ця ж запис дублюється в якості першого запису знову відкривається оперативного журналу. У процесі завантаження файлу реєстраційного журналу на перегляд виконується контроль його цілісності по контрольних сумах записів. Результат контролю цілісності реєстраційного журналу виводиться на екран.
При перегляді реєстраційного журналу передбачена можливість фільтрації реєстраційних записів за інтервалами дат і часу, пріоритетам подій, користувачам, завданням, подіям, а також формування необхідних звітів і довідок.