9 Разграничение прав доступа и программа «Менеджер безопасности»
9.1 Назначение программы
Для ограничения возможностей несанкционированного доступа в МЦКРС «ФАНТОМ» введена подсистема ограничения прав доступа. В рамках ограничения прав доступа все пользователи МЦКРС «ФАНТОМ» условно разделяются на несколько категорий. Каждой из категорий пользователей присваивается отдельное парольное слово по которому определяется принадлежность пользователя к той или иной группе. Кроме пароля для каждой категории пользователей запоминается информация о том, какие операции в МЦКРС «ФАНТОМ» разрешены для данной категории, а выполнение каких операций запрещено. В зависимости от категории пользователя ограничивается выполнение следующих операций:
удаления фонограмм;
просмотра и редактирования текстовых расшифровок фонограмм;
редактирования этикеток фонограмм;
распечатки текстовых расшифровок фонограмм;
экспорта фонограмм;
архивации фонограмм и работы с архивами фонограмм;
прослушивания сквозного канала;
изменения режимов работы канала записи;
установка фильтра в списке фонограмм;
доступ к станциям сети;
завершение работы программы.
В начале своей работы пользователь должен пройти процедуру регистрации в системе - ввести данный ему администратором пароль, в зависимости от которого некоторые операции в системе будут разрешены, а некоторые запрещены.
Модель безопасности комплекса «ФАНТОМ» построена на основе системы безопасности операционной системы Windows 2000. Основной ее целью является контроль и управление доступом к объектам операционной среды.
Комплекс «ФАНТОМ» поддерживает доменную структуру Windows 2000, XP Professional Еdition, Windows 2003 Server, поэтому пользователь имеет одинаковые права доступа (и возможности работы), войдя в операционную систему под своим именем с любого компьютера, включенного в домен.
Модель безопасности комплекса «ФАНТОМ» является запретно-ориентированной для всех пользователей (за исключением локального Администратора), поэтому при добавлении нового пользователя, все его права запрещены и назначить необходимые из них может администратор с помощью программы «Менеджер безопасности».
9.2 Общие определения
Монитор безопасности операционной системы Windows 2000 (для XP Professional Еdition, Windows 2003 Server -аналогично). Основной целью монитора безопасности Windows 2000 является контроль и управление доступом к объектам операционной системы Windows 2000. Монитор безопасности хранит информацию для каждого пользователя, группы пользователей и объекта. Он может идентифицировать попытки доступа, которые сделаны непосредственно пользователем, или те, которые сделаны косвенно программой или другим процессом, выполняющимся в интересах пользователя. Кроме того, монитор безопасности определяет не только права, но и способ доступа. Администратор может назначать права пользователям и группам, разрешать или запрещать доступ к отдельным объектам. Например, по отношению к определенному файлу пользователю могут быть назначены следующие разрешения:
Read (чтение)
Delete (удаление)
Write (запись)
Change Permission (изменение разрешения)
Execute (выполнение)
Take ownership (захват прав на объект)
No access (запрет доступа)
Пользователь — оператор, который имеет право работать с комплексом «ФАНТОМ». Каждый пользователь имеет уникальные имя и пароль. Имя и пароль используются для входа в операционную систему Windows 2000; при этом операционная среда «ФАНТОМ» проверяет права доступа пользователя к объектам операционной среды.
Канал — источник сигнала. Каждому каналу присваивается одна и только одна категория. Всем фонограммам и их атрибутам, записанным на данном канале, присваивается соответствующая этому каналу категория.
Запись — это фонограмма со своими атрибутами. Атрибуты, которые присваиваются записи (время начала, время окончания, принадлежность к категории, телефонный номер и т. д.), определяются режимом работы, типом канала и общими настройками операционной среды «ФАНТОМ».
База данных — множество всех записей комплекса «ФАНТОМ».
Привилегии пользователя — это общие права доступа к записям. В операционной среде «ФАНТОМ» определены 4 привилегии:
Привилегия прослушивать записи.
Привилегия удалять записи.
Привилегия копировать записи.
Привилегия изменять атрибуты записей.
Каждому пользователю назначается уникальный набор привилегий. Запрет или разрешение, определяемое привилегией, относится сразу ко всем записям.
Запрет, определяемый привилегией, сильнее, чем разрешения, определяемые правами пользователя.
Напротив, разрешение, определяемое привилегией, слабее, чем запрет, определяемый правами пользователя.
Т.е., если у пользователя запрещена привилегия прослушивать записи, то невозможно дать право прослушивать какую-нибудь запись. Напротив, если у пользователя для данной записи запрещено право прослушивания, а привилегия прослушивания разрешена, то прослушивание будет запрещено. Это суть запретно-ориентированной модели безопасности.
Категория записей — это множество записей с одинаковыми правами доступа для определенного пользователя. Каждая запись принадлежит одной и только одной категории. Категория присваивается записи при ее создании и впоследствии может быть изменена при работе с Базой данных пользователем, у которого есть право изменять категории записей. Количество категорий, которое можно определить, практически не ограничено (больше 4 млрд.).
Права пользователя — это набор разрешений/запрещений действий по отношению к данной категории записей. В операционной среде «ФАНТОМ» определены шесть прав доступа:
Право просматривать записи. То есть пользователь видит записи данной категории в программе «НАВИГАТОР».
Право удалять записи. Пользователь может удалять записи, которые он видит в программе «НАВИГАТОР».
Право копировать записи. Это право позволяет конвертировать записи из программы «НАВИГАТОР» в стандартный мультимедиа Wav-формат.
Право прослушивать записи. Это право позволяет прослушивать записи в программе «НАВИГАТОР».
Право изменять настройки каналов. Пользователь может менять режимы работы и настройки каналов в программе «МОНИТОР».
Право просматривать каналы. Пользователь просматривает каналы в программе «МОНИТОР».
Администратор операционной системы— самый привилегированный пользователь, который имеет полный доступ ко всем ресурсам Windows и операционной среды «ФАНТОМ». Администратор добавляет/удаляет пользователей, назначает категории каналам и записям, определяет привилегии пользователей и определяет права доступа каждого пользователя к категориям записей.
Предопределенные группы пользователей
Windows 2000 (XP Professional Еdition):
Administrators (администраторы) – ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав .
Backup operator (операторы архива) - члены этой группы могут архивировать и восстанавливать файлы в ОС независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.
Guests (гости) - эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам ОС. Члены этой группы могут завершать работу ОС.
Power Users (опытные пользователи) – члены этой группы могут создавать учетные записи пользователей но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать и с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий.
Replicators (копирующий) – членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи.
Users (пользователи) – члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу ОС или блокировать компьютер. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер.
Рекомендуется создавать учетные записи новых пользователей в группах Administrators и Users.
Привилегии групп пользователей приведены в таблице 9.1.
Привилегии групп пользователей
Если «ФАНТОМ» работает в домене Windows 2000(XP Professional Еdition, Windows 2003 Server), то существует 3 предопределенных имени пользователя, которые игнорируются защитой операционной среды «ФАНТОМ», т.е. все права для этих пользователей запрещены:
Domain Admins
Domain Users
Domain Guests
Таблица 9.1.
Привилегии локальных групп
Windows XP Professional Edition
|
Administrators
|
Power Users
|
Users
|
Guests
|
Everyone
|
Backup operators
|
Привилегии
|
Регистрироваться
локально
|
|
|
|
|
(
|
(
|
Осуществлять доступ
к компьютеру по сети
|
(
|
(
|
|
|
(
|
|
Вступать
во владение файлами
|
(
|
|
|
|
|
|
Управлять журналом
аудита и защиты
|
(
|
|
|
|
|
|
Изменять системное время
|
(
|
(
|
|
|
|
|
Выключать систему
|
(
|
(
|
(
|
|
(
|
(
|
Выключать систему с
удаленного компьютера
|
(
|
(
|
|
|
|
|
Выполнять резервное
копирование файлов и каталогов
|
(
|
|
|
|
|
(
|
Восстанавливать файлы и каталоги
|
(
|
|
|
|
|
(
|
Встроенные возможности
|
Создавать и редактировать
учетные записи пользователей
|
(
|
(
|
|
|
|
|
Создавать и редактировать
локальные группы
|
(
|
(
|
(
|
|
|
|
Назначать привилегии
пользователям
|
(
|
|
|
|
|
|
Запирать рабочую станцию
|
(
|
(
|
|
|
|
|
Отпирать рабочую станцию
|
(
|
|
|
|
|
|
Форматировать жесткий диск
рабочей станции
|
(
|
|
|
|
|
|
Создавать общие группы
|
(
|
(
|
|
|
|
|
Иметь локальный профиль
|
(
|
(
|
(
|
|
|
(
|
Предоставлять каталоги
в совместное использование
|
(
|
(
|
|
|
|
|
Предоставлять принтеры
в совместное использование
|
(
|
(
|
|
|
|
|
9.3 Функции программы
Запуск программы «Менеджер безопасности»
 Программа запускается двойным щелчком левой кнопкой мыши на иконке (изображена слева), находящейся на рабочем столе Windows
После запуска программа предложит ввести пароль локального администратора ОС станции «Сервер базы данных». Введите необходимый пароль и нажмите кнопку «ОК».
О пределение прав доступа пользователей к объектам в программе «МЕНЕДЖЕР БЕЗОПАСНОСТИ»
Дальнейшие настройки доступа пользователя к объектам производятся при помощи программы «Менеджер безопасности» (Security Manager), входящей в комплект программного обеспечения комплекса «ФАНТОМ».
Права работы с программой «Менеджер безопасности» определяются общими настройками защиты Windows XP Professional Еdition (Windows 2000, Windows 2003 Server), т.е. стандартными средствами разграничения доступа к файлам. Рекомендуется разрешить пользоваться программой «Менеджер безопасности» только определенной группе пользователей (например, Администраторам) и запретить всем остальным. Общий вид окна программы:
З начения шести кнопок панели инструментов слева направо:
Кнопка «Запретить все права»
Кнопка «Разрешить все права»
Кнопка «Установить привилегии» пользователя
Кнопка «Изменить права доступа к атрибутам записей базы данных» в программе «Навигатор»
Кнопка «Изменить права доступа к атрибутам каналов» в программе «Монитор»
Кнопка «Установка безопасности каналов»
Кнопка «Добавить пользователя»
Кнопка «Удалить пользователя»
Основное окно программы «Менеджер безопасности» разделено на 3 секции.
В левой секции приведен список пользователей, зарегистрированных для работы с комплексом «ФАНТОМ». Список организован по типу двухуровнего дерева, первый уровень которого – это список групп, определенных в Windows 2000, а второй уровень – это списки пользователей внутри групп. Имена пользователей отображаются в формате:
<�ДОМЕН>\<�Имя пользователя> .
В средней секции перечислены определенные в подсистеме защиты категории. Категория отображается в формате:
<�Иконка (цветной ключ)> <�Имя категории>
Как создать новую категорию, изменить имя категории и цвет иконки описывается в ниже.
В правой секции перечислены все системные права. Напротив описания права проставлены галочки, которые показывают разрешено или запрещено данное право для конкретного пользователя в отношении конкретной категории.
Панель инструментов и строку состояния можно отключить, сняв галочку слева от соответствующей строки в подменю опции «Показать».
Определение привилегий пользователя
В подменю опции «Доступ» выберите пункт «Привилегии», либо
Щелкните по кнопке «Привилегии» на панели инструментов
Привилегии пользователя определяются в диалоговом окне «Установить привилегии»:
В левой секции окна перечислены все привилегии, а в правой секции перечислены привилегии для выделенного пользователя в основном окне программы «Менеджер безопасности». Кнопками «Добавить все», «Добавить», «Удалить», «Удалить все» можно менять список привилегий выделенного пользователя. После нажатия кнопки «OK» все изменения запоминаются, а после нажатия кнопки «Cancel» (Отменить) все изменения отменяются.
Привилегии изменяются только для пользователя, имя которого выделено курсором в левой секции основного окна программы «Менеджер безопасности». Если необходимо изменить привилегии другого пользователя, то сначала следует выделить имя пользователя в левой секции основного окна «Менеджера безопасности», а затем изменить привилегии этого пользователя.
Определение прав доступа пользователя к категориям
В основном окне программы можно изменять права доступа к категориям для каждого пользователя.
Для этого необходимо:
Выделить системное имя пользователя в левой секции основного окна «Менеджера безопасности».
Выделить в средней секции окна категорию, права доступа к которой мы хотим определить для данного пользователя.
В правой секции окна убрать или проставить галочки напротив соответствующих прав.
При этом, если права пользователя противоречат его привилегиям, то выводится сообщение об ошибке.
Ч тобы разрешить это противоречие, сначала необходимо изменить привилегии пользователя (как описано выше), а затем разрешить права.
С оздание новой категории
Создать новую категорию можно вызвав команду «Создать» из опции основного меню «Категория». В поле «Название категории» записывается имя новой категории. Цвет категории выбирается с помощью стандартного диалогового окна выбора цвета, которое вызывается с помощью кнопки «Изменить».
У даление категории
Удалить существующую категорию можно вызвав команду «Удалить» из опции основного меню «Категория». При этом имя категории удаляется из списка категорий.
После удаления категории всем каналам и записям, принадлежащим удаленной категории присваивается неопределенная категория. Для этой категории все права и привилегии всех пользователей запрещены, поэтому удалить такие записи невозможно.
Перед удалением категории у всех записей, принадлежащих этой категории, рекомендуется удалить категорию.
О пределение прав доступа пользователя к атрибутам записей в базе данных
Для каждого пользователя, зарегистрированного в защищенной подсистеме «ФАНТОМ» можно определить набор атрибутов записей, которые будут видны пользователю при работе с базой данных в программе «НАВИГАТОР». Практически, выбор набора атрибутов, разрешенных пользователю для просмотра, определяет набор колонок, которые будут видны пользователю.
Выбор разрешенного набора атрибутов записей базы данных производится в диалоговом окне «Изменить доступ к атрибутам записи». Это окно можно вызвать либо выбрав пункт «Атрибуты записей для Навигатора» в подменю опции основного меню «Доступ»
и ли щелчком по кнопке на панели инструментов.
В среде «ФАНТОМ» определены 2 права доступа к атрибутам записей базы данных:
З апретить видеть атрибут
Запретить изменять атрибут
Если для пользователя запрещено право видеть некоторый атрибут, то при работе с программой «НАВИГАТОР», он не будет видеть колонку, соответствующую данному атрибуту.
Право «Изменять атрибут» можно разрешить не для всех атрибутов, а только для следующих:
Автоматическое удаление
Комментарий
Категория
Разрешение или запрещение прав доступа к атрибутам производится следующим образом:
Курсором выделяем название атрибута (например, «Комментарий для записи»), затем с помощью кнопок «Запретить видеть атрибут» и «Запретить изменять атрибут» назначаем право доступа к атрибуту.
Кнопки «Разрешить видеть все атрибуты» и «Запретить видеть все атрибуты», разрешают или запрещают право видеть все атрибуты (все колонки) одновременно.
Права изменяются только для пользователя, имя которого выделено курсором в левой секции основного окна программы «Менеджер безопасности»
Определение прав доступа пользователя к атрибутам каналов
Для каждого пользователя, зарегистрированного в защищенной подсистеме «ФАНТОМ» можно определить набор атрибутов каналов, которые будут видны пользователю при работе с программой «МОНИТОР». Практически, выбор набора атрибутов, разрешенных пользователю для просмотра, определяет набор колонок, которые будут видны пользователю. Выбор разрешенного набора атрибутов каналов производится в диалоговом окне «Изменить доступ к атрибутам записи».
В  ызывается оно выбором пункта «Атрибуты записей для монитора» в подменю опции основного меню «Доступ»
или нажатием кнопки на панели инструментов.
В операционной среде «ФАНТОМ» определены 2 права доступа к атрибутам записей базы данных:
Запретить видеть атрибут
Запретить изменять атрибут
Если для пользователя запрещено право видеть некоторый атрибут, то при работе с программой «МОНИТОР», он не будет видеть колонку, соответствующую данному атрибуту.
Право «Менять атрибут» можно разрешить не для всех атрибутов, а только для следующих:
Сквозной канал
Имя канала
Настройки канала
Категория канала
Разрешение или запрещение прав доступа к атрибутам производится следующим образом:
Курсором выделяем название атрибута (например, «Имя канала»), затем с помощью кнопок «Запретить видеть атрибут» и «Запретить изменять атрибут» назначается право доступа к атрибуту.
Права изменяются только для пользователя, имя которого выделено курсором в левой секции основного окна программы «Менеджер безопасности»
Кнопки «Разрешить видеть все атрибуты» и «Запретить видеть все атрибуты», разрешают или запрещают право видеть все атрибуты (все колонки) одновременно.
Присвоение каналу определенной категории
Каждому каналу в комплексе «ФАНТОМ» присвоена некоторая категория из списка категорий, определенных в системе. При этом всем записям, которые записаны по этому каналу, автоматически присваивается категория данного канала.
И зменить категорию канала можно в окне «Установка безопасности каналов»:
О но вызывается командой «Каналы» из подменю опции основного меню «Доступ» или нажатием кнопки на панели инструментов
Окно «Установка безопасности каналов» разделено на 2 секции.
В верхней секции «Каналы» приведен список всех каналов. Список представлен в формате:
< Сетевое имя ФАНТОМ>: <�Физический номер канала {0(N-1)}>.<�Имя канала>.
В нижней секции «Категория записей для данного канала» отображается категория выделенного канала в формате:
<�Иконка категории><�Имя категории>
Чтобы изменить категорию канала, необходимо выделить канал, затем из разворачивающегося списка категорий выбрать новую категорию. После нажатия кнопки «OK» все изменения будут запомнены, а если нажать кнопку «Cancel» (Отменить), то все изменения будут отменены.
Изменить категорию канала можно также с помощью программы «Монитор».
Кроме того, в основном меню есть опция «Категория»:
Здесь обозначены все действия, которые можно произвести с категориями.
Д  обавление нового пользователя
Для добавления нового пользователя нажмите на кнопку на панели инструментов.
В появившемся окне выберите необходимого пользователя и нажмите «ОК». Пользователь будет добавлен в базу данных программы «Менеджер безопасности».
Так как модель безопасности комплекса «ФАНТОМ» является запретно-ориентированной для всех пользователей (за исключением локального Администратора), поэтому при добавлении нового пользователя, все его права запрещены. Необходимо назначить необходимые права.
Примечание: Предварительно необходимо выполнить действия по добавлению нового пользователя при помощи стандартной процедуры Windows XP Professional Еdition, Windows 2000 или Windows 2003 Server(см. Приложение В или /1-3/).
Удаление пользователя
Выберите требуемого для удаления из базы данных программы «Менеджер безопасности» пользователя в левой секции основного окна программы «Менеджер безопасности» и нажмите на кнопку  на панели инструментов.
Нажмите кнопку «Да» в окне подтверждения удаления пользователя.
|
