Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности

Скачать 0.87 Mb.

Название	Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности
страница	8/11
Тип	Документы

rykovodstvo.ru > Руководство ремонт > Документы

1 2 3 4 5 6 7 8 9 10 11

Реализация администраторской части портала

Администраторская часть приложения предоставляет следующий функционал:

Возможность создавать, изменять, удалять следующие объекты системы: новости, объявления, мероприятия, информационные страницы.
Присвоение ролей пользователям.
Просмотр активности пользователей (количество подключений, время и ip-адрес текущего и прошлого подключения).

Для доступа в администраторский интерфейс пользователь должен обладать ролью admin и пройти дополнительную аутентификацию, точно такую же, как и в сервисе расчетных листов. Ему будет выдана сессия и он сможет войти, после перехода в другую часть сайта сессия обнуляется.

Для реализации администраторского интерфейса было использовано популярное расширение RailsAdmin и настроено под требуемый функционал. (см. Приложение 2 Рисунок . Администраторская часть)

Реализация раздела «Личная переписка»

Пользователям доступна возможность общения между собой на портале посредством личной переписки. Для этого пользователь переходит в соответствующий раздел «Сообщения», видит список диалогов, в которых он участвует. Если нужного диалога нет, то он нажимает на кнопку «Создать сообщение», выбирает адресатов, вводит содержимое и нажимает «Отправить». (см. Приложение 2 Рисунок . Список диалогов, Рисунок . Диалог с пользователем)

При входе в диалог и получении сообщений производится проверка, является ли этот пользователь участником диалога, если нет, то генерируется ошибка «Not Found».

def check_acess

begin

@dialog = Dialog.find(params[:id])

rescue

raise ActionController::RoutingError.new('Not Found')

end

unless @dialog.include_user? current_user

raise ActionController::RoutingError.new('Not Found')

end

end

Для того чтобы злоумышленник не смог нарушить конфиденциальность переписки путем анализа сетевого трафика, весь процесс переписки осуществляется через защищенное соединение, используя сертификат безопасности, подписанный центром сертификации в организации.

Меры защиты, примененные при разработке компонент системы

В ходе разработки ИС были применены следующие меры защиты.

Сервер:

Идентификация и аутентификация пользователей.
Доступ по ssh и sftp.
Через ssh нет возможности зайти через учетную запись root.
Блокирование попыток перебора пароля.
Создан пользователь с ограниченными правами с домашней директорией.
Запуск веб-сервера осуществляется из-под созданного пользователя.
Проект располагается в директории пользователя.
Kerberos-аутентификация к веб-серверу.
Защищенное соединение к веб-серверу, используя сертификат, подписанный центром сертификации организации.

База данных:

Идентификация и аутентификация пользователей.
Логин подключения к базе данных находится в конфигурационных файлах приложения.
Для логина подключения выделены минимально необходимые права.
Пароли пользователей хранятся в виде хэша с содержанием соли.

Приложение:

Идентификация и аутентификация пользователей.
Разграничение прав доступа.
Дополнительная аутентификация в особо важных частях портала (предоставление расчетного листа, администраторская часть).
Логирование действий пользователя.
Фиксирование времени, ip-адреса вошедшего пользователя.
Фильтрация пользовательского ввода и вывода.
Включение токена безопасности в POST-запросы.
Доступ к конфиденциальной информации через защищенное соединение.

На основе анализа угроз были определены следующие актуальные угрозы:

Угроза НСД с применением стандартных функций операционной системы, СУБД, прикладной программы.
Угроза «Анализа сетевого трафика».
Угроза выявления паролей.

Меры защиты для угрозы НСД с применением стандартных функций операционной системы, СУБД, прикладной программы:

Идентификация и аутентификация пользователей при входе в СУБД и на сервер.
Идентификация и аутентификация пользователей при входе в портал на основе учетной записи Windows.
Разграничение прав доступа на портале.
Фильтрация пользовательского ввода и вывода.
Дополнительная аутентификация к особо важным частям портала.

Меры защиты для угрозы «Анализа сетевого трафика»:

Доступ к конфиденциальным данным на портале через защищенное соединение.

Меры защиты для угрозы выявления паролей:

Блокирование перебора паролей при попытках доступа к серверу через ssh.
Блокирование перебора паролей на портале для доступа в особо важную часть.
Использование защищенного соединения против перехвата пароля по сети.
Пароли пользователей хранятся в виде хэша с содержанием соли.

1 2 3 4 5 6 7 8 9 10 11

Похожие:

	Федеральное государственное бюджетное образовательное учреждение... Разработка распределенной системы автоматизированного обнаружения уязвимостей в программном обеспечении		Федеральное государственное бюджетное образовательное учреждение... Базовая модель угроз безопасности персональных данных и Методика определения актуальных угроз 29
	Федеральное государственное бюджетное образовательное учреждение... ...		Федеральное государственное бюджетное образовательное учреждение... В данной работе описан процесс разработки и реализации проекта аттестации автоматизированной системы
	Федеральное государственное бюджетное образовательное учреждение... Все больше информации различного рода становится общедоступной, но информация – это не всегда благо и некоторые данные могут также...		Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Федеральное государственное бюджетное образовательное учреждение... Дисциплина «Сети и Интернет-технологии» относится к вариативной части Профессионального цикла ( В. 17)		Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	«Тюменский государственный университет» Список профессорско-преподавательского... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования		«донской государственный технический университет» (дгту) Кафедра «Иностранные языки» Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Федеральное государственное бюджетное образовательное учреждение... Министерство образования и науки российской федерации федеральное государственное бюджетное образовательное учреждение высшего профессионального...		Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования		Федеральное государственное бюджетное образовательное учреждение... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
	Учебное пособие под редакцией проф. С. Н. Гаражи Ставрополь 2017... Федеральное государственное бюджетное образовательное учреждение высшего образования «ставропольский государственный медицинский...		Кафедра физического воспитания Федеральное государственное бюджетное образовательное учреждение высшего образования «Новгородский государственный университет имени...

Руководство, инструкция по применению

rykovodstvo.ru

Реализация администраторской части портала

Реализация раздела «Личная переписка»

Меры защиты, примененные при разработке компонент системы

Похожие: