Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4609 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «МИЭТ»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Итоговый отчёт по практике Группа №1.docx
Скачиваний:
4
Добавлен:
18.08.2019
Размер:
1.86 Mб
Скачать
►Содержание►

Замечания и рекомендации

Ситуация/замечание

Риск

Рекомендация

2.2

 Отсутствие настроек парольной политики у такого пользователя как администратор БД.

Высокий

Для увеличения безопасности доступа, необходимо ввести настройки парольной политики администратору БД.

3.1

Внедрение SQL запроса (SQL injection)

Высокий

Следует добавить фильтр на наличие в параметрах скриптов sql запросов, добавить преобразования типов параметров (если известно, что параметр имеет тип int - т.е. он целого типа, то необходимо преобразование параметра к целому типу), добавить одинарные кавычки в sql запросы к БД для значений атрибутов таблиц БД.

Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса

Система ИРРО создана на платформе «1С-Битрикс», которая имеет дискреционную политику безопасности – политика безопасности, основанная на дискреционном управлении доступом (Discretionary Access Control), которое определяется двумя свойствами:

  • все субъекты и объекты идентифицированы;

  • права доступа субъектов на объекты системы определяются на основании некоторого внешнего по отношению к системе правила.

Основным элементом систем дискреционного разграничения является матрица доступов. Матрица доступов – это матрица размером , строки которой соответствуют субъектам (в нашем случае это столбцы матрицы), а столбцы соответствуют объектам (в нашем случае это строки). При этом каждый элемент матрицы доступов определяет права доступа субъекта s на объект o, где – множество прав доступа.

В системе «1С-Битрикс» используется групповое разграничение прав доступа, которое является развитием политики дискреционного разграничения прав доступа. Под субъектами понимаются группы пользователей, а в качестве объектов выступают операции в системе ИРРО.

В настоящее время в системе ИРРО существуют следующие категории пользователей:

  • администратор;

  • главный оператор;

  • оператор;

  • преподаватель.

Для обеспечения разграничения прав доступа необходима авторизация пользователей на сайте.

При авторизации пользователя в системе происходит обновление ФИО, даты рождения, подразделения пользователя из единой БД пользователей МИЭТ. Единая БД МИЭТ заполняется отделом кадров (для сотрудников) и деканатами (для студентов).

В соответствии с подразделением пользователя в БД МИЭТ в БД ИРРО ему присваивается соответствующая группа Битрикс, находясь в которой он получает набор прав в системе ИРРО.

Так, автоматически свои группы пользователей получают преподаватели в системе. Главной проблемой (риском), которая может возникнуть на этом этапе это ситуация, когда преподаватель работает на нескольких кафедрах. Тогда в БД МИЭТ в поле подразделения ему будет указано слово #MULT# и в системе ИРРО будет не возможно автоматически присвоить данному преподавателю группы пользователей. Это надо будет сделать вручную.

Также вручную пользователям системы ИРРО присваиваются права оператора и главного оператора.

Возможности каждой категории пользователей указаны в «Таблице разделений прав и полномочий в системе». Предоставление прав каждой категории пользователей жестко указано в коде скриптов системы.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности