###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Разграничение прав доступа в сети, общее дисковое пространство в локальной сети. Разграничение прав доступа пользователей к информации

    30.08.2019 Звуковые устройства

    После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс называется разграничением (логическим управлением) доступа.

    Обычно полномочия субъекта представляются: списком ресурсов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, информация, логические устройства, объем памяти, время процессора, приоритет и т. д.

    Обычно выделяют следующие методы разграничения доступа:

    Разграничение доступа по спискам;

    Использование матрицы установления полномочий;

    Парольное разграничение доступа.

    При разграничении доступа по спискам задаются соответствия:

    Каждому пользователю – список ресурсов и прав доступа к ним или

    Каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.

    Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в большинстве ОС и СУБД.

    Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице (см. таблицу 2.7) строками являются идентификаторы субъектов, имеющих доступ в АС, а столбцами – объекты (информационные ресурсы) АС. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую информационную структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.

    Таблица 2.7

    Фрагмент матрицы установления полномочий

    Программа

    Пользователь 1

    Пользователь 2

    w c 9:00 до 17:00

    c – создание, d – удаление, r – чтение, w – запись, e – выполнение.

    Данный метод предоставляет более унифицированный и удобный подход, т. к. вся информация о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и не совсем оптимальное использование ресурсов (большинство клеток – пустые).

    Разграничения доступа по уровням секретности и категориям состоят в том, что ресурсы АС разделяются в соответствии с уровнями секретности или категорий.

    При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем он имеет.

    При разграничении по категориям задается и контролируется ранг категории, соответствующей пользователю. Соответственно, все ресурсы АС декомпозируют по уровню важности, причем определенному уровню соответствует некоторый ранг персонала (типа: руководитель, администратор, пользователь).

    Парольное разграничение, очевидно, представляет использование методов доступа субъектов к объектам по паролю. При этом используются все методы парольной защиты . Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы используют в исключительных ситуациях.

    На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.

    В завершении подраздела заметим, что руководящие документы могут регламентировать два вида (принципа) разграничения доступа:

    Дискретное управление доступом;

    Мандатное управление доступом.

    Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.

    Мандатное управление доступом регламентирует разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Иначе, для реализации мандатного управления доступом каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. Ясно, что методы разграничения доступа по уровням секретности и категориям являются примерами мандатного управления доступом.

    Автоматизированная система АСОМИ предусматривает возможность гибкого разграничения прав доступа пользователей к хранимой метрологической информации. Такой подход обеспечивает защиту хранящейся и обрабатываемой информации, а именно:

    • ограничение прав на чтение, изменение или уничтожение;
    • возможность хранения и передачи информации между объектами АСОМИ в виде, значительно затрудняющем ее распознавание при несанкционированном доступе или техническом обслуживании (в частности, с использованием технологий шифрования);
    • обеспечение целостности информации, а также доступности информации для органов управления и уполномоченных пользователей;
    • исключение утечки информации при обработке и передаче между объектами вычислительной техники.

    Разграничение доступа для пользователей системы АСОМИ реализовано в разрезе следующих групп сущностей: отчетность и операционные данные (протоколы) справочные данные, журналы истории (логирование действий пользователя и данные по истории изменений сущностей), учетные данные (карточки СИ). Рассмотрим далее подробно каждую из групп.

    Доступ к учетным данным определяется через следующие концептуальные понятия:

    • Лицо, ответственное за обработку текущего статуса средства измерения - это сотрудник предприятия, который в текущем статусе СИ должен выполнить определенные этим статусом действия и перевести СИ в последующий статус в рамках рабочего цикла одной из метрологических работ. Определяется из параметров текущего статуса СИ. Например, таким лицом является лицо, исполняющее роль диспетчера (далее по тексту Диспетчер), принявшее СИ для выполнения ремонта и обязанное его затем передать лицу, исполняющему роль исполнителя ремонта (далее по тексту Исполнитель ремонта).
    • Материально-ответственное за СИ лицо - это сотрудник предприятия, который несет материальную ответственность за средство измерения или эксплуатирует его. Определяется в учетной карточке СИ. Как правило, таким лицом является мастер, в ведении которого находится это СИ.
    • Руководители "первых двух" лиц - буквально по определению. Определяются из организационной структуры предприятия по следующему принципу: они являются руководителями лиц из первых двух категорий "Лицо, ответственное за обработку текущего статуса СИ" и "Материально-ответственное за СИ лицо"; либо они являются руководителями вышестоящего подразделения предприятия, в состав которого входит (подчиняется) структурное подразделение, где исполнителями работают лица из первых двух категорий. В рамках АСОМИ этот концептуальный принцип приводит к тому, что информация о СИ доступна как всем вышестоящим руководителям Метролога, так и всем вышестоящим руководителям исполнителей тех или иных МР (например, начальник цеха имеет доступ к информации о СИ, за которые ответственны его мастера).
    • Лицо, ответственное за метрологический надзор и контроль - это, например, сотрудник поверочного, ремонтного подразделения или метролог структурного подразделения, исполняющий обязанности по надзору и контролю. В соответствии с его обязанностями, он вправе иметь доступ на чтение учетной информации обо всех СИ, закрепленных за ним.

    Таким образом, те сотрудники предприятия, которые попадают в одну из четырех (возможно, сразу в несколько) вышеперечисленных категорий, по отношению к конкретному СИ имеют возможность видеть на своем рабочем месте информацию о текущем статусе каждого СИ и, соответственно, данные учетной карточки СИ, включая данные об истории метрологических работ.

    При этом сотрудник предприятия, который в данный момент времени ответственен за обработку текущего статуса СИ, имеет право изменять информацию СИ, связанную с этим статусом, и переводить СИ в последующий статус, соответствующий выполняемому рабочему циклу МР, но не имеет права влиять на историю переходов по Диаграмме статусов СИ.

    Теперь рассмотрим Правила и порядок доступа к справочным данным. Такие функции как просмотр и использование справочных данных для выполнения своих обязанностей по метрологическому обеспечению доступны всем пользователям АСОМИ.

    При этом доступ на пополнение и редактирование справочных данных разрешается только сотрудникам предприятия, исполняющим в системе АСОМИ роль администратора или контролера. Они полностью ответственны за актуальность и корректность информации, содержащейся в справочниках. При заполнении справочников, касающихся структуры прав доступа в АСОМИ, используются данные из справочников, входящих в справочный блок "Структура прав доступа в АСОМИ". При заполнении специфических (дополнительных) справочников используются данные из НТД (нормативно-технической документации) на СИ, данных Госреестра СИ, допущенных к применению на территории РФ, других достоверных источников.

    Правила и порядок доступа к отчетности и операционным данным (протоколам) организован следующим образом. Доступ к реализованной в АСОМИ стандартной отчетности организуется по ролям в системе. При этом для каждой должности указывается тот перечень стандартных отчетов (выборка из общего перечня всех стандартных отчетов АСОМИ), которые может формировать со своего рабочего места сотрудник, занимающий данную должность.

    В рамках отчетности может быть организован доступ к специальным функциям. Примером такой функции может являться поиск и получение информации о любом из учтенных в системе СИ по различным его параметрам, к примеру, мастер будет иметь возможность вывести в виде отчета список всех СИ, зарегистрированных в АСОМИ, для того, чтобы, например, подыскать варианты замены своего СИ на такое же СИ, которое находится на консервации в соседнем цехе.

    Доступ к операционным данным (протоколам работы пользователей) разрешен только Администраторам АСОМИ и Главному метрологу предприятия.

    Правила и порядок назначения и изменения доступа к информационным данным могут быть назначены или изменены только Администратором АСОМИ.


    Если Вас заинтересовал данный продукт или возникли вопросы,
    которые Вы хотели бы задать, пишите:

    imbasoft 21 апреля 2016 в 00:04

    Стандарт управления правами доступа к корпоративным файловым информационным ресурсам

    • Информационная безопасность


    Что может быть проще, чем разграничить права на папку в NTFS? Но эта простая задача может превратиться в настоящий кошмар, когда подобных папок сотни, если не тысячи, а изменение прав к одной папке «ломает» права на другие. Чтобы эффективно работать в подобных условиях, требуется определенная договоренность, или стандарт, который бы описывал, как решать подобные задачи. В данной статье мы как раз и рассмотрим один из вариантов подобного стандарта.

    Сфера действия

    Стандарт управления правами доступа к корпоративным файловым информационным ресурсам (далее – Стандарт) регламентирует процессы предоставления доступа к файловым информационным ресурсам, размещенным на компьютерах, работающих под управлением операционных систем семейства Microsoft Windows. Стандарт распространяется на случаи, когда в качестве файловой системы используется NTFS, а в качестве сетевого протокола для совместного доступа к файлам SMB/CIFS.

    Термины и определения

    Информационный ресурс – поименованная совокупность данных, к которой применяются методы и средства обеспечения информационной безопасности (например, разграничение доступа).
    Файловый информационный ресурс – совокупность файлов и папок, хранящихся в каталоге файловой системы (который называется корневым каталогом файлового информационного ресурса), доступ к которой разграничивается.
    Составной файловый информационный ресурс – это файловый информационный ресурс, содержащий в себе один или несколько вложенных файловых информационных ресурсов, отличающихся от данного ресурса правами доступа.
    Вложенный файловый информационный ресурс – это файловый информационный ресурс, входящий в составной информационный ресурс.
    Точка входа в файловый информационный ресурс – каталог файловой системы, к которому предоставляется сетевой доступ (shared folder) и который используется для обеспечения доступа к файловому информационному ресурсу. Данный каталог обычно совпадает с корневым каталогом файлового информационного ресурса, но может быть и вышестоящим.
    Промежуточный каталог – каталог файловой системы, находящийся на пути от точки входа в файловый информационной ресурс к корневому каталогу файлового информационного ресурса. Если точка входа в файловый информационный ресурс является вышестоящим каталогом по отношению к корневому каталогу файлового информационного ресурса, то она также будет являться промежуточным каталогом.
    Группа доступа пользователей – локальная или доменная группа безопасности, содержащая в конечном счете учетные записи пользователей, наделенные одним из вариантов полномочий доступа к файловому информационному ресурсу.

    Основные принципы

    1. Доступ разграничивается только на уровне каталогов. Ограничение доступа к отдельным файлам не проводится.
    2. Назначение прав доступа выполняется на базе групп безопасности. Назначение прав доступа на отдельные учетные записи пользователей не проводится.
    3. Явно запрещающие полномочия доступа (deny permissions) не применяются.
    4. Разграничение прав доступа проводится только на уровне файловой системы. На уровне сетевых протоколов SMB/CIFS права не разграничиваются (Группа «Все» – полномочия «Чтение/Запись» / Everyone – Change).
    5. При настройке сетевого доступа к файловому информационному ресурсу в настройках SMB/CIFS устанавливается опция «Перечисление на основе доступа (Access based enumeration)».
    6. Создание файловых информационных ресурсов на рабочих станциях пользователей недопустимо.
    7. Не рекомендуется размещать файловые информационные ресурсы на системных разделах серверов.
    8. Не рекомендуется создавать несколько точек входа в файловый информационный ресурс.
    9. Следует по возможности избегать создание вложенных файловых информационных ресурсов, а в случаях, когда имена файлов или каталогов содержат конфиденциальную информацию, это вовсе недопустимо

    Модель разграничения доступа

    Доступ пользователей к файловому информационному ресурсу предоставляется путем наделения их одним из вариантов полномочий:
    • Доступ «Только на чтение (R ead O nly)».
    • Доступ «Чтение и запись (R ead & W rite)».
    В подавляющем количестве задач разграничения доступа подобных вариантов полномочий доступа будет достаточно, но при необходимости возможно формирование новых вариантов полномочий, например, «Чтение и запись, кроме удаления (Read & Write without Remove)». Для реализаций новый полномочий необходимо будет уточнить пункт В.3 Таблицы 1, в остальном применение Стандарта останется неизменным.

    Правила именования групп доступа пользователей

    Имена групп доступа пользователей формируются по шаблону:

    FILE-Имя файлового информационного ресурса–аббревиатура полномочий

    Имя файлового информационного ресурса
    должно совпадать с UNC именем ресурса или состоять из имени сервера и локального пути (если сетевой доступ к ресурсу не предоставляется). При необходимости в данном поле допускаются сокращения. Символы «\\» опускаются, а «\» и «:» заменяются на «-».

    Аббревиатуры полномочий :

    • RO - для варианта доступа «Только на чтение (Read Only)»
    • RW - для варианта доступа «Чтение и запись (Read & Write)».
    Пример 1
    Имя группы доступа пользователей, имеющих полномочия «Только чтение» для файлового информационного ресурса с UNC именем \\FILESRV\Report, будет:
    FILE-FILESRV-Report-RO

    Пример 2
    Имя группы доступа пользователей, имеющих полномочия «Чтение и запись» для файлового информационного ресурса, размещенного на сервере TERMSRV по пути D:\UsersData, будет:
    FILE-TERMSRV-D-UsersData-RW

    Шаблон прав доступа к каталогам файлового информационного ресурса

    Таблица 1 – Шаблон NTFS-прав доступа для корневого каталога файлового информационного ресурса.

    Субъекты Права Режим наследования
    отключено
    А) Обязательные права
    Специальная учетная запись:
    «СИСТЕМА (SYSTEM)»
    		 Полный доступ (Full access)

    «Администраторы (Administrators)»
    		 Полный доступ (Full access)
    		 Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Б.1) Полномочия «Только чтение (R ead O nly)»
    Группа доступа пользователей:
    «FILE-Имя ресурса-RO»
    		 Базовые права:
    а) чтение и выполнение (read & execute);
    б) список содержимого папки (list folder contents);
    в) чтение (read);
    		 Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Б.2) Полномочия «Чтение и запись (R ead & W rite)»
    Группа доступа пользователей:
    «FILE-Имя ресурса-RW»
    		 Базовые права:
    а) изменение (modify);
    б) чтение и выполнение (read & execute);
    в) список содержимого папки (list folder contents);
    г) чтение (read);
    д) запись (write);
    		 Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Б.3) Другие полномочия при их наличии
    Группа доступа пользователей:
    «FILE-Имя ресурса-аббревиатура полномочий»
    		 Согласно полномочиям
    		 Для этой папки, ее подпапок и файлов (This folder, subfolders and files)

    Табилца 2 – Шаблон NTFS-прав доступа для промежуточных каталогов файлового информационного ресурса.
    Субъекты
    		Права
    		Режим наследования
    Наследование прав доступа от вышестоящих каталогов включено , но если данный каталог является вышестоящим по отношению к файловым информационным ресурсам и не входит ни в один другой файловый информационный ресурс, то наследование отключено
    А) Обязательные права
    Специальная учетная запись:
    «СИСТЕМА (SYSTEM)»
    		 Полный доступ (Full access)
    		 Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Локальная группа безопасности:
    «Администраторы»
    		 Полный доступ (Full access)
    		 Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
    Б.1) Полномочия «Проход через каталог (TRAVERSE
    Группы доступа пользователей информационных ресурсов, для которых этот каталог является промежуточным
    		 Дополнительные параметры безопасности:
    а) траверс папок / выполнение файлов (travers folder / execute files);
    б) содержимое папки / чтение данных (list folder / read data);
    в) чтение атрибутов (read attributes);
    в) чтение дополнительных атрибутов (read extended attributes);
    г) чтение разрешений (read permissions);
    		 Только для этой папки (This folder only)

    Бизнес процессы управления доступом к файловым информационным ресурсам

    А. Создание файлового информационного ресурса
    При создании файлового информационного ресурса выполняются следующие действия:
    1. Создаются группы доступа пользователей. Если сервер, на котором размещен файловый информационный ресурс, является членом домена, то создаются доменные группы. Если нет, то группы создаются локально на сервере.
    2. На корневой каталог и промежуточные каталоги файлового информационного ресурса назначаются права доступа согласно шаблонам прав доступа.
    3. В группы доступа пользователей добавляются учетные записи пользователей в соответствии с их полномочиями.
    4. При необходимости для файлового информационного ресурса создается сетевая папка (shared folder).
    Б. Предоставление пользователю доступа к файловому информационному ресурсу
    Учетная запись пользователя помещается в соответствующую группу доступа пользователя в зависимости от его полномочий.

    В. Изменение доступа пользователя к файловому информационному ресурсу
    Учетная запись пользователя перемещается в другую группу доступа пользователей в зависимости от указанных полномочий.

    Г. Блокирование доступа пользователя к файловому информационному ресурсу
    Учетная запись пользователя удаляется из групп доступа пользователей файлового информационного ресурса. Если работник увольняется, то членство в группах не меняется, а блокируется учетная запись целиком.

    Д1. Создание вложенного файлового информационного ресурса. Расширение доступа
    Данная задача возникает, когда к некоторому каталогу файлового информационного ресурса необходимо предоставить доступ дополнительной группе лиц (расширить доступ). При этом выполняются следующие мероприятия:

    1. В группы доступа пользователей вложенного файлового информационного ресурса добавляются группы доступа пользователей вышестоящего составного файлового информационного ресурса.
    Д2. Создание вложенного файлового информационного ресурса. Сужение доступа
    Данная задача возникает, когда к некоторому каталогу файлового информационного ресурса необходимо ограничить доступ и предоставить его только ограниченной группе лиц:
    1. Регистрируется вложенный файловый информационный ресурс (согласно процессу А)
    2. В группы доступа пользователей создаваемого информационного ресурса помещаются те учетные записи пользователей, которым требуется предоставить доступ.
    Е. Изменение модели предоставления доступа к файловому информационному ресурсу
    В случаях, когда к стандартным вариантам полномочий «Только чтение (Read only)» или «Чтение и запись (Read & Write)» необходимо добавить новые типы полномочий, например, «Чтение и запись, кроме удаления (Read & Write without Remove)» выполняют следующие действия:
    1. Организационными (или техническими, но не связанными с изменением прав доступа к каталогам файловой системы) мерами блокируется доступ пользователей к данному и всем вложенным файловым информационным ресурсам.
    2. К корневому каталогу файлового информационного ресурса назначаются новые права доступа, при этом заменяются права доступа для всех дочерних объектов (активируется наследие).
    3. Перенастраиваются права доступа для всех вложенных информационных ресурсов.
    4. Настраиваются промежуточные каталоги для данного и вложенных информационных ресурсов.

    Примеры

    Рассмотрим применение данного стандарта на примере гипотетической организации ООО «ИнфоКриптоСервис», где для централизованного хранения файловых информационных ресурсов выделен сервер с именем «FILESRV». Сервер работает под управлением операционной системы Microsoft Windows Server 2008 R2 и является членом домена Active Directory с FQDN именем «domain.ics» и NetBIOS именем «ICS».

    Подготовка файлового сервера
    На диске «D:» сервера «FILESRV» создаем каталог «D:\SHARE\». Этот каталог будет единой точкой входа во все файловые информационные ресурсы, размещенные на данном сервере. Организуем сетевой доступ к данной папке (используем апплет «Share and Storage Management»):


    Создание файлового информационного ресурса
    Постановка задачи.
    Пусть в составе организации ООО «ИнфоКриптоСервис» имеется Отдел разработки информационных систем в составе: начальника отдела Иванова Сергея Леонидовича ([email protected]), специалиста Маркина Льва Борисовича ([email protected]), и для них нужно организовать файловый информационный ресурс для хранения данных подразделения. Обоим работникам требуется доступ на чтение и запись к данному ресурсу.

    Решение.
    В каталоге «D:\SHARE\» сервера «FILESRV» создадим папку «D:\SHARE\Отдел разработки информационных систем\», которая будет корневым каталогом для файлового информационного ресурса. Также создадим группы доступа пользователей (глобальные группы безопасности домена «ICS») для данного ресурса:

    • «FILE-FILESRV-SHARE-Отд. разр. ИС-RO»
    • «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»
    Настроим права доступа для каталога «D:\SHARE\Отдел разработки информационных систем\»:



    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:(OI)(CI)R


    Каталог D:\SHARE\ является точкой входа и промежуточным каталогом для данного ресурса. Добавим в него права на проход (Traverse) для групп: «FILE-FILESRV-SHARE-Отд. разр. ИС-RO» и «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»


    Дамп NTFS разрешений, полученных командой cacls:


    NT AUTHORITY\SYSTEM:(OI)(CI)F
    BUILTIN\Administrators:(OI)(CI)F

    Поскольку пользователям требуется доступ на чтение и запись, добавим их учетные запаси в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

    Предоставление доступа пользователю к файловому информационному ресурсу
    Постановка задачи.
    Предположим, в отдел разработки приняли еще одного работника – специалиста Егорова Михаила Владимировича ([email protected]), и ему, как и остальным работникам отдела, требуется доступ на чтение и запись к файловому информационному ресурсу отдела.

    Решение.
    Учетную запись работника необходимо добавить в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

    Создание вложенного информационного ресурса. Расширение доступа
    Постановка задачи.
    Предположим, Отдел разработки информационных систем решил улучшить качество взаимодействия с Отделом маркетинга и предоставить руководителю последнего - Кругликовой Наталье Евгеньевне ([email protected]) - доступ на чтение к актуальной документации на продукты, хранящейся в папке «Документация» файлового информационного ресурса Отдела разработки информационных систем.

    Решение.
    Для решения данной задачи необходимо сделать вложенный ресурс «\\FILESRV\share\Отдел разработки информационных систем\Документация», доступ к которому на чтение и запись должен быть (остаться) у всех пользователей, имевших доступ к «\\FILESRV\share\Отдел разработки информационных систем\ и добавиться доступ на чтение для пользователя Кругликовой Натальи Евгеньевне ([email protected])

    В каталоге «D:\SHARE\Отдел разработки информационных систем\» создадим папку «D:\SHARE\Отдел разработки информационных систем\Документация», которая будет корневым каталогом для нового ресурса. Также создадим две группы доступа пользователей:

    • «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO»
    • «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW»
    Настроим права доступа на папку «D:\SHARE\Отдел разработки информационных систем\Документация» следующим образом:


    Дамп NTFS разрешений, полученных командой cacls:

    BUILTIN\Administrators:(OI)(CI)F
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:(OI)(CI)R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:(OI)(CI)C

    Поскольку всем пользователям, имеющим доступ в «\\FILESRV\share\Отдел разработки информационных систем\», необходим аналогичный доступ в \\FILESRV\share\Отдел разработки информационных систем\Документация», то добавим группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RO» в «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO» и «FILE-FILESRV-SHARE-Отд. разр. ИС-RW» в «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW» соответственно. Добавим учетную запись Кругликовой Натальи Евгеньевны ([email protected]) в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW»

    Теперь, если Кругликова Наталья Евгеньевна ([email protected]) обратится по ссылке «\\FILESRV\share\Отдел разработки информационных систем\Документация», то она сможет попасть в интересующую ее папку, но обращаться по полному пути не всегда удобно, поэтому настроим сквозной проход к данной паке от точки входа «\\FILESRV\share\» («D:\SHARE\»). Для этого настроим права доступа на промежуточные каталоги «D:\SHARE\» и «D:\SHARE\Отдел разработки информационных систем\».

    Проведем настройку «D:\SHARE\»:


    Дамп NTFS разрешений, полученных командой cacls:
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:R


    NT AUTHORITY\SYSTEM:(OI)(CI)F
    BUILTIN\Administrators:(OI)(CI)F

    И «D:\SHARE\Отдел разработки информационных систем»:


    Дамп NTFS разрешений, полученных командой cacls:

    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R

    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:(OI)(CI)C
    NT AUTHORITY\SYSTEM:(OI)(CI)F
    BUILTIN\Administrators:(OI)(CI)F

    Создание вложенного информационного ресурса. Сужение доступа
    Постановка задачи
    В целях организации резервного копирования наработок Отдела разработки информационных систем начальнику отдела Иванову Сергею Леонидовичу ([email protected]), в рамках файлового информационного ресурса отдела, понадобилась сетевая папка «Архив», доступ к которой был бы только у него.

    Решение.
    Для решения данной задачи в файловом информационном ресурсе отдела требуется сделать вложенный ресурс «Архив» («\\FILESRV\share\Отдел разработки информационных систем\Архив»), доступ к которому предоставить только начальнику отдела.

    В каталоге «D:\SHARE\Отдел разработки информационных систем\» создадим папку «D:\SHARE\Отдел разработки информационных систем\Архив», которая будет корневым каталогом для нового ресурса. Также создадим две группы доступа пользователей:

    • «FILE-FILESRV-SHARE-Отд. разр. ИС-Архив-RO»
    • «FILE-FILESRV-SHARE-Отд. разр. ИС-Архив-RW»
    Проведем настройки прав доступа на каталоги «D:\SHARE\Отдел разработки информационных систем\Архив»:


    Дамп NTFS разрешений, полученных командой cacls:
    NT AUTHORITY\SYSTEM:(OI)(CI)F
    BUILTIN\Administrators:(OI)(CI)F
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Архив-RO:(OI)(CI)R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Архив-RW:(OI)(CI)C

    «D:\SHARE\Отдел разработки информационных систем»


    Дамп NTFS разрешений, полученных командой cacls:
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R


    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:(OI)(CI)R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:(OI)(CI)C
    NT AUTHORITY\SYSTEM:(OI)(CI)F
    BUILTIN\Administrators:(OI)(CI)F

    И «D:\SHARE\»:


    Дамп NTFS разрешений, полученных командой cacls:
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Архив-RO:R
    ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Архив-RW:R
    NT AUTHORITY\SYSTEM:(OI)(CI)F
    BUILTIN\Administrators:(OI)(CI)F

    Учетную запись пользователя Иванова Сергея Леонидовича ([email protected]) добавим в группу FILE-FILESRV-Отд. раз.ИС-Архив-RW.

    Разграничение доступа в информационной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями .

    Задача разграничения доступа: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т. е. защита информации от нарушителя среди допущенного к ней персонала.

    При этом деление информации может производиться по степени важности, секретности, по функциональному назначению, по документам и т. д.

    Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д. должны быть технически и организационно отделены от основных задач системы. Информационная система в целом, а также комплекс средств автоматизации и организация их обслуживания должны быть построены следующим образом:

    Техническое обслуживание комплекса средств автоматизации в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;

    Функции обеспечения безопасности информации должны выполняться специальным подразделением в организации -- владельце комплекса средств автоматизации, компьютерной сети, автоматизированной системы управления или информационной системы в целом;

    Организация доступа пользователей к устройствам памяти (хранения) информационной системы должна обеспечивать возможность разграничения доступа к информации, хранящейся на них, с достаточной степенью детализации и в соответствии с заданными уровнями (политиками) полномочий пользователей;

    Регистрация и документирование технологической и оперативной информации должны быть разделены.

    Разграничение доступа пользователей-потребителей информационной системы может осуществляться также по следующим параметрам:

    По виду, характеру, назначению, степени важности и секретности информации;

    Условному номеру терминала;

    Времени обработки и др.

    Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом информационной системы. А конкретное разграничение при эксплуатации системы устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.

    В указанных целях при проектировании и планировании эксплуатации базового информационного и вычислительного комплекса с учетом комплекса средств автоматизации производятся:

    Разработка или адаптация операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти вычислительного комплекса;

    Изоляция областей доступа;

    Разделение базы данных на группы;

    Процедуры контроля перечисленных функций.

    При проектировании и эксплуатации комплекса средств автоматизации, автоматизированной системы управления и информационной системы в целом (сети) на их базе производятся:

    Разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данного комплекса средств автоматизации, так и информационной системы в целом;

    Разработка аппаратных средств идентификации и аутентификации пользователя;

    Разработка программных средств контроля и управления разграничением доступа;

    Разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.

    В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и комплекса средств автоматизации. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители - электронные ключи или карточки.

    Разделение привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.

    Задача указанного метода -- существенно затруднить преднамеренный перехват информации нарушителем. Примером такого доступа может быть сейф с несколькими ключами, замок которого открывается только при наличии всех ключей. Аналогично в информационной системе может быть предусмотрен механизм разделения привилегий при доступе к особо важным данным с помощью кодов паролей.

    Данный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.

    Сочетание двойного криптографического преобразования информации и метода разделения привилегий позволяет обеспечить высокоэффективную защиту информации от преднамеренного несанкционированного доступа.

    Кроме того, при наличии дефицита в средствах, а также в целях постоянного контроля доступа к ценной информации со стороны администрации потребителя информационной системы в некоторых случаях возможен вариант использования права на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его заместителя или представителя службы безопасности информации. При этом информация выдается только на дисплей руководителя, а на дисплей подчиненного -- только информация о факте ее вызова .

    Управление доступом к информации в сети передачи и в автоматизированной системе управления

    Управление доступом к информации в сети передачи осуществляется при ее подготовке, в процессе эксплуатации и завершения работ.

    При подготовке сети передачи информации и автоматизированной системы управления к эксплуатации управление доступом заключается в выполнении следующих функций:

    Уточнении задач и распределении функций элементов сети и автоматизированной система управления и обслуживающего персонала;

    Контроле ввода адресных таблиц в элементы сети;

    Вводе таблиц полномочий элементов сети, пользователей, процессов и т. д.;

    Проверке функционирования систем шифрования и контроля полномочий.

    В процессе эксплуатации управление доступом предполагает:

    Контроль соблюдения полномочий элементами сети, процессами, пользователями и т. д.; своевременное обнаружение и блокировку несанкционированного доступа;

    Контроль соблюдения правил шифрования данных и применения ключей шифрования;

    Сбор, регистрацию и документирование информации о несанкционированном доступе с указанием места, даты и времени события;

    Регистрацию, документирование и контроль всех обращений к информации, подлежащей защите, с указанием даты, времени и данных отправителя и получателя информации;

    Изменение и ввод при необходимости новых полномочий элементов сети, процессов, терминалов и пользователей;

    Проведение организационных мероприятий по защите информации в сети передачи и автоматизированной системе управления.

    В простейшем случае управление доступом может служить для определения того, разрешено или нет пользователю иметь доступ к некоторому элементу сети. Повышая избирательность управления доступом можно добиться того, чтобы доступ к отдельным элементам сети для отдельных пользователей и элементов сети разрешался или запрещался независимо от других. И наконец, механизмы управления доступом можно расширить так, чтобы они охватывали объекты внутри элемента сети, например процессы или файлы.

    Нарушение полномочий выражается:

    В обращении с запросом или выдаче отправителем команд, не предусмотренных в списке получателей элемента сети;

    Несовпадении значений предъявленного и хранимого на объекте-получателе паролей;

    Получении им зашифрованной информации, не поддающейся расшифровке, и т. д.

    Во всех перечисленных случаях дальнейшая обработка и передача данных кодограмм прекращается, и на объект управления безопасностью информации автоматически передается сообщение о факте несанкционированного доступа, его характере, имени объекта-отправителя, дате и времени события. Каждый случай несанкционированного доступа регистрируется и документируется на объекте-получателе и объекте управления доступом в сети передачи информации и автоматизированной системе управления. После получения сообщения о несанкционированном доступе служба безопасности информации производит расследование случившегося и устанавливает причину события. Если причина события случайная, решение вопроса поручается службе обеспечения надежности, если преднамеренная - выполняются соответствующие указания должностной инструкции, разработанной данной организацией или фирмой-владельцем сети передачи информации и автоматизированной системы управления .

    Управление доступом может быть трех видов:

    Централизованное управление. Установление полномочий производится администрацией организации или фирмы-владельца автоматизированной системы управления, сети или информационной системы в целом. Ввод и контроль полномочий осуществляется представителем службы безопасности информации с соответствующего объекта управления;

    Иерархическое децентрализованное управление. Центральная организация, осуществляющая установление полномочий, может передавать некоторые свои полномочия подчиненным организациям, сохраняя за собой право отменить или пересмотреть решения подчиненной организации или лица;

    Индивидуальное управление. В этой ситуации не существует статической иерархии в управлении распределением полномочий. Отдельному лицу может быть разрешено создавать свою информацию, гарантируя при этом ее защиту от несанкционированного доступа. Владелец информации может по своему усмотрению открыть доступ к ней другим пользователям, включая передачу права собственности. Все указанные виды управления могут применяться одновременно в зависимости от характера деятельности и задач организации-владельца автоматизированной системы управления, сети или информационной системы в целом.

    При централизованном контроле полномочий на терминале возможно отображение структуры автоматизированной системы управления, сети или информационной системы в целом. При этом каждому элементу автоматизированной системы управления, сети или информационной системы присваивается имя или номер, при отображении которых вводятся по каждому элементу следующие признаки его состояния: «введен - не введен в состав системы», «исправен - неисправен» и «нет несанкционированного доступа - есть несанкционированный доступ».

    Современные средства отображения позволяют реализовать эти признаки в различных вариантах, удобных для операторов.

    Функции контроля и управления безопасностью информации в автоматизированной системе управления (сети) можно возложить на оператора автоматизированного рабочего места системы безопасности информации комплекса средств автоматизации обработки информации, являющегося управляющим объектом автоматизированной системы управления (сети).

    В последние годы на российском рынке приобретают популярность корпоративные (частные) цифровые сети связи, ранее в основном использовавшиеся для передачи секретной информации в оборонных отраслях промышленности. Основное назначение таких сетей -- обеспечить закрытой связью абонентов, связанных корпоративными интересами .

    С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

    Идентификация -- процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

    Аутентификация -- процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).

    Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

    Авторизация -- процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если.система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены. Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.

    Администрирование -- регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting -- все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором .

    Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации. Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена IP-адреса может легко разрушить механизм аутентификации. Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

    При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры -- обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.

    Пароль -- это то, что знает пользователь и другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.

    Персональный идентификационный номер PIN (Personal Identification Number) является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.

    Динамический (одноразовый) пароль - это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

    Система запрос-ответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.

    Сертификаты и цифровые подписи. Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией. В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней .

    Таким образом, можно сделать выводы, что перед тем как начать строить систему защиты информации нужно сначала определить состав защищаемой информации, произвести анализ возможных угроз и выбрать адекватную политику безопасности.


    Введение.

    Постановка задачи.
    Реализация задачи.




    КонецПроцедуры


    КонецЕсли;



    Функция ПровДостПрава(Право)

    Запрос = Новый Запрос;

    Запрос.Текст = "ВЫБРАТЬ

    | ЗначенияДопПрав.Значение

    Выборка.Следующий();

    Возврат Выборка.Значение;

    Возврат Ложь;

    КонецЕсли;

    КонецФункции


    Процедура ПриОткрытии()

    КонецПроцедуры




    Заключение.
    Список литературы.
    Приложение.




    Введение.

    На сегодняшний день, на российском рынке автоматизации учета лидируют прикладные решения разработанные на базе платформы разработанной Российской фирмой «1С». По данным социологических исследований опубликованных в сети Интернет, в России и странах СНГ в 90% организаций для автоматизации учета используются данные системы. Также данные системы не имеют аналогов для полноценной автоматизации бухгалтерского учета по РСБУ. Так как бухгалтерская и налоговая отчетность, обрабатываемая и хранимая в подобных системах составляет из себя конфиденциальную информацию любой организации, то эту информацию необходимо защищать на должном уровне. Кроме бухгалтерского учета, посредством данных систем было автоматизировано много участков учета (например кадровый учет и расчет заработной платы, оперативный и управленческий учет, учет взаимоотношений с клиентами и т.п.).


    Постановка задачи.

    В данной работе, я хочу описать методы и способы защиты информации в базах данных построенных на основе систем «1С Предприятие».

    В настоящий момент активно используются 3 версии «1С», а именно версии 7.7, 8.1 и 8.2. Версия 7.7 уже морально себя изжила и устарела, и я не вижу практического смысла рассматривать данную систему в качестве примера. Так как версия 8.2 поступила в официальную продажу совсем недавно, то я остановился на версии «1С Предприятие 8.1». В качестве примера, была взята разработанная ранее учебная система для автоматизации задач оперативного и бухгалтерского учета и расчета заработной платы.

    Т.к. система работает в локальной сети организации, или на локальном компьютере, то защита данной системы от возможных внешних атак ложится на администратора сети. В данном примере, я в основном опишу механизм разграничения доступа к информации конкретных сотрудников организации.

    Данная система позволяет закупить товар на склад и реализовать его, при этом есть возможность предоставить некоторые услуги покупателю. При проведении операций купли-продажи система автоматически накапливает данные по бухгалтерскому и операционному учету. Также, для реализации задач бухгалтерского учета есть возможность ввода ручных операций, т.е. ввода корреспонденции счетов, указания необходимых аналитик, количества и суммы на соответствующих счетах. Для задачи расчета заработной платы в системе реализована возможность вводу начислений оклада, премии, командировочных начислений и ввода невыходов.

    Необходимо установить следующие права на доступ к объектам:

    Создать права администратора, для полного доступа ко всем данным.

    Для руководителя организации предоставить права к отчетам и права на просмотр всех документов.

    Для работников бухгалтерии предоставить право на доступ к бухгалтерским документам и отчетам.

    Для сотрудников операционного отдела предоставить права на создание приходных и расходных документов, при этом каждый сотрудник может создавать и просматривать документы только по тому контрагенту за которым он закреплен в качестве ответственного.

    Для сотрудников отдела кадров открыть доступ только к объектам необходимым для начисление заработной платы.

    Для всех сотрудников кроме руководства запретить печать не проведенных документов.

    Для всех пользователей установить соответствующие права, и обеспечить идентификацию посредством пароля или средствами операционной системы.


    Реализация задачи.

    Разграничение доступа посредством ролей.


    Механизм ролей позволяет установить права на чтение, просмотр, изменение, удаление, проведение и т.п. для каждого объекта конфигурации. Под объектами конфигурации подразумеваются справочники (хранение справочной информации, например номенклатура, контрагенты и т.п.), документы (предназначены для отражения хозяйственных операций например приходная накладная, начисление заработной платы и т.п.) и регистры, которые накапливают какую-либо информацию. На рисунке 1 изображена часть основных объектов рассматриваемых в данном примере.

    Рисунок 1. Основные объекты конфигурации.

    В системе можно создать неограниченное количество ролей, в каждой роли можно установить права для одного объекта и каждому пользователю можно установить несколько ролей. При назначении нескольких ролей одному пользователю его права устанавливаются исходя из следующего правила: Действие доступно если оно разрешено, хотя бы в одной роли, и действие недоступно, если оно запрещено во всех ролях. Предоставить ту или иную роль можно только визуальным способом, и только на этапе конфигурирования конфигурации. На этапе исполнения изменять роли никак нельзя.

    На рисунке 2 предоставлен пример установления полных прав для администратора системы.


    Рисунок 2. Установка всех прав для роли.


    Для остальных пользователей необходимо установить нужные права, это проиллюстрировано на рисунке 3.


    Рисунок 3. Пример установления прав для конкретного пользователя.


    Разграничение прав на уровне записей.


    Механизм разграничения прав на уровне записей необходим для разграничения доступа к записям, в таблицах информационной базы, по определенным критериям. Например, доступ только к тем записям в справочнике контрагентов, в которых текущий пользователь является ответственным. Для примера на рисунке 4 изображен программный текст, который ограничивает доступ пользователя к записям списка документов приходная накладная.


    Рисунок 4. Пример ограничения доступа на уровне записей.


    Пользователь идентифицируется при помощи параметра сеанса «Текущий исполнитель» информация о пользователях хранится в справочнике «Сотрудники». Параметр сеанса «Текущий исполнитель» устанавливается при запуске программы при помощи следующего программного текста:

    Процедура ПриНачалеРаботыСистемы()

    ПараметрыСеанса.ТекущийИсполнитель= Справочники.Сотрудники.НайтиПоКоду(ИмяПользователя());

    КонецПроцедуры


    Разграничение доступа программными методами.


    Кроме механизма ролей, в программе можно настроить доступ к данным посредством написания процедур и функций на встроенном в «1С Предприятие» языке. В качестве примера можно привести возможность системы открыть форму (визуальный элемент с которым работает пользователь) только для просмотра при выполнении определенных условий, например:

    Если ПараметрыСеанса.ТекущийПользователь =

    Справочники.Сотрудники.НайтиПоНаименованию(«Иванов») Тогда

    ЭтаФорма.ТолькоПросмотр = Истина;

    КонецЕсли;


    Более сложным примером служит механизм, позволяющий в режиме исполнения программы выдавать необходимые права пользователю, например разрешение или запрет печати не проведенных документов. Для реализации данной задачи было создано перечисление, в котором хранится список дополнительных прав, и таблица (Регистр сведений) в которой хранятся значения дополнительных прав. В общем модуле создана следующая процедура, получающая значение права для текущего пользователя:


    Функция ПровДостПрава(Право)

    Запрос = Новый Запрос;

    Запрос.Текст = "ВЫБРАТЬ

    | ЗначенияДопПрав.Значение

    | РегистрСведений.ЗначенияДопПрав КАК ЗначенияДопПрав

    | ЗначенияДопПрав.Сотрудник = &Сотрудник

    | И ЗначенияДопПрав.Право = &Право";

    Запрос.УстановитьПараметр("Сотрудник",

    ПараметрыСеанса.ТекущийИсполнитель);

    Запрос.УстановитьПараметр("Право", Право);

    Результат = Запрос.Выполнить();

    Если Не Результат.Пустой() Тогда

    Выборка = Результат.Выбрать();

    Выборка.Следующий();

    Возврат Выборка.Значение;

    Возврат Ложь;

    КонецЕсли;

    КонецФункции


    На форме документа Расходная накладная есть кнопка «Печать» отвечающая за формирование печатной формы данного документа. При открытии данного документа посредством следующего программного текста установим доступность данной кнопки для пользователя:

    Процедура ПриОткрытии()

    ЭлементыФормы.ОсновныеДействияФормы.Кнопки.Печать.

    Доступность = ПровДостПрава(Перечисления.

    ДопПрава.ПечатьНепроведенныхДокументов);

    КонецПроцедуры


    Назначение ролей и средств идентификации пользователей.


    Пользователи, которым разрешено работать с программой, создаются в режиме конфигурирования задачи, или же пользователя можно создать программно. На рисунке 5 приведен пример создания пользователя и назначения ему соответствующих прав.


    Рисунок 5. Список пользователей, роли и средства идентификации.


    Заключение.

    В данной работе был рассмотрен довольно простой пример учетной задачи, и простой пример настройки прав пользователей в данной задаче. Но данный пример позволяет наглядно проиллюстрировать возможности системы в части разделения прав, что очень актуально во многих организациях, и предоставляет каждому сотруднику дать доступ только к той информации, которая ему необходима.

    В приложении приведены снимки экрана во время работы программы, иллюстрирующие произведенные настройки.


    Список литературы.

    Габец А.П., Гончаров Д.И. 1С:Предприятие 8.1. Простые примеры разработки. – М.: ООО «1С-Паблишинг»; СПБ: Питер, 2008. – 383 с.: ил. + CD-ROM.

    1С:Предприятие 8.2. Руководство разработчика. Часть 1. – М.: ЗАО «1С», 2009 – 638 с.: ил.

    Радченко М.Г. 1С:Предприятие 8.1. Практическое пособие разработчика. Примеры и типовые приемы. М.: ООО «1С-Паблишинг», 2008. 874 с.: ил.

    Белоусов П.С. Методические материалы курса обучения «Конфигурирование платформы «1С:Предприятие 8.1». – М.: ЗАО «1С», 2007 – 272 с.: ил.


    Приложение.

    Пример несанкционированной попытки входа в системы.



    Пример разграничения доступа путем ограничения через роли, на иллюстрации продемонстрирована попытка открыть справочник, на чтение которого у пользователя нет прав.

    Пример разграничения прав на уровне записей.



    Пример программной реализации недоступности кнопки «Печать» в документе «Расходная накладная».