• تمایز حقوق دسترسی در شبکه، فضای دیسک مشترک در شبکه محلی. تمایز حقوق دسترسی و احراز هویت کاربران

    در تمرین توسعه وب خود، اغلب با موقعیت هایی مواجه می شدم که در آن مشتریان هدف خاصی را تعیین می کنند، یعنی جداسازی بخش هایی از پنل مدیریت در مورد دسترسی به کاربران خاص. در همان زمان، توسعه این ماژول در چارچوب یک سیستم قابل گسترش، یعنی با تعداد غیر ثابت ماژول هایی که دسترسی به آنها سازماندهی شده است، و بر این اساس، تعداد نامحدودی از کاربران سیستم انجام شد.

    خوب به تنهایی این موضوعبسیار سنگین است و نیاز به زمان معینی برای تجزیه و تحلیل و فرمول بندی مسئله دارد.

    در متن این مقاله، ما در زمینه چند چکیده توسعه خواهیم داد سیستم اطلاعات، با زیرساخت و معماری خاص خود، در حالی که این سیستم این امکان را برای کاربر فراهم می کند که عملکرد را گسترش دهد، یعنی ماژول های جدید را نصب کند و بر این اساس حقوق دسترسی به آنها را برای یک یا آن کاربر ثبت شده به عنوان مدیر سیستم تنظیم کند.

    اجازه دهید ابتدا معماری سیستم مدولار را در شبه سیستم انتخابی خود مورد بحث قرار دهیم.

    همه ماژول ها به عنوان درج های متصل به سند اصلی (فایل فهرست) ارائه می شوند. درخواست ماژول از رشته پرس و جو QUERY_STRING می آید و نام افزونه به عنوان آرگومان act ارسال می شود. در نقطه ای از فهرست فایل، این پارامتر بازیابی و پردازش می شود. پس از آن، در صورتی که کاربر دارای حقوق کافی برای دسترسی به ماژول در زمینه خواندن باشد، وجود ماژول مشخص شده در query string بررسی می شود و در صورت وجود، به فایل index متصل می شود.

    من فقط به "زمینه خواندن" اشاره نکردم، زیرا سیستم ما وجود دو زمینه را برای کار با سیستم فرض می کند، یعنی خواندن و نوشتن. در عین حال، خواندن دسترسی مستقیم به ماژول و بخش هایی از آن را که نیازی به تغییر در ساختار داده در پایگاه داده ندارند، فرض می کند. تحت رکورد، قرار است مستقیماً تغییراتی در اطلاعات ذخیره شده در پایگاه داده ایجاد کند.

    برای پیاده سازی این مکانیسم، مقدار را بررسی می کنیم متغیر رشتهدرخواست «do»، که در خود ماژول پردازش می‌شود و حاوی اطلاعاتی در مورد اینکه کدام بخش از ماژول برای اعطای دسترسی به کاربر ضروری است.

    مقدار do ثابت خواهد شد، این متغیر مقادیر زیر را خواهد گرفت:

    • اصلی - بخش اصلی ماژول (موجود در زمینه خواندن)
    • پیکربندی - بخش پیکربندی ماژول (در متن ورودی موجود است)
    • ایجاد - انجام برخی اقدامات برای افزودن اطلاعات به پایگاه داده (موجود در زمینه رکورد)
    • حذف - دسترسی به بخشی که امکان حذف برخی از اطلاعات را در زمینه این ماژول فراهم می کند (در زمینه رکورد موجود است)
    • ویرایش - دسترسی به اطلاعات ویرایش در زمینه ماژول (موجود در زمینه رکورد)

    به طور کلی، این لیست را می توان افزایش داد، در حالی که همه چیز فقط به مقیاس پروژه و نیازهای آن برای عملکرد بستگی دارد.

    اکنون مستقیماً در مورد ماژول ها. علاوه بر وجود فیزیکی یک ماژول خاص در زمینه فایل سیستم پروژه، ماژول نیز باید به یک جدول پایگاه داده ویژه اضافه شود که حاوی اطلاعات مربوط به همه ماژول های موجود در سیستم باشد. افزودن و تغییر داده های این جدول معمولاً مستقیماً در زمینه ماژول ها یعنی در هنگام نصب آنها در سیستم انجام می شود. با این حال، این در حال حاضر تعمیق در اصول نگاه کردن به سیستم های توسعه پذیر است، که ما در زمان دیگری در مورد آن صحبت خواهیم کرد، و بنابراین، ما خود را محدود می کنیم به روز رسانی دستیو اضافه کردن داده ها در مورد ماژول ها.

    بنابراین، یک رکورد در مورد یک ماژول سیستم حاوی اطلاعات زیر است: شناسه انگلیسی نام ماژول، که با مقدار متغیر محیطی GET یکسان است - عمل (ماژول مستقیماً در برابر آن درخواست می شود)، شناسه ماژول روسی، که در لیست ماژول ها استفاده می شود.

    علاوه بر ماژول ها، دو جدول دیگر نیز خواهیم داشت، یعنی جدولی که داده های مربوط به پروفایل های حقوق دسترسی را ذخیره می کند و جدولی با اطلاعات مستقیم کاربران.

    جدول نمایه امنیتی تنها از سه فیلد تشکیل شده است - یک شناسه نمایه (مقدار عددی شناسه رکورد)، یک شناسه ماژول متنی (در نظر گرفته شده برای کاربران)، و همچنین یک برچسب متنی خاص که حاوی اطلاعاتی در مورد حقوق کاربر در زمینه هر یک از ماژول ها است.

    خوب، بیایید به این ساختار خاص نگاه کنیم. این خواهد بود: [ module_indefier: + \: + \;] *

    یعنی لیستی از جفت ها وجود دارد: نام ماژول ":" مجوزهای خواندن "، مجوزهای نوشتن ";". در این حالت، این برچسب در زمان تغییر در حقوق دسترسی کاربر به سیستم به روز می شود. اگر اطلاعاتی در مورد ماژولی که در این برچسب گنجانده نشده است در سیستم ظاهر می شود، فقط باید مراحل ویرایش را انجام دهید و داده ها به طور خودکار ذخیره می شوند.

    اکنون باقی مانده است که ساختار یک جدول پایگاه داده را در نظر بگیریم و می توانیم اجرای قسمت الگوریتمی یعنی جدول با اطلاعات کاربران سیستم را آغاز کنیم، زیرا تخصیص حقوق دسترسی به آنها وظیفه اصلی ماست.

    من هیچ چیز اضافی به آن اضافه نمی کنم، بلکه فقط آنچه در زمینه موضوع این مقاله استفاده خواهد شد. جدول کاربر شامل فیلدهای زیر خواهد بود: شناسه کاربری (شماره شمار)، ورود به سیستم، رمز عبور (هش رمز اصلی)، نمایه امنیتی کاربر (شناسه گروه کاربر، نسبت به حقوق موجود در سیستم)، و تمام. به نظر من این اطلاعات برای اجرای این وظیفه کاملاً کافی است و من قبلاً این فرصت را فراهم می کنم که همه افزونه های دیگر را خودمان انجام دهیم.

    بنابراین، ما ساختار را مورد بحث قرار دادیم، و، امیدوارم، همه از قبل ایده‌ای در مورد نحوه اجرای وظیفه تعیین شده در موضوع مقاله داشته باشند. اکنون کد SQL کمکی جداول توضیح داده شده در بالا را ارائه می دهم و پس از آن بلافاصله به اجرای الگوریتم بررسی حقوق دسترسی کاربر و همچنین ایجاد و تغییر پروفایل های دسترسی می پردازم. بعد از هر ماژول جداگانه، در مورد هر گونه سؤالی که خوانندگان ممکن است داشته باشند، به تفصیل بحث خواهیم کرد.

    جدول ماژول ها:

    ایجاد جدول «ماژول‌ها» («id» bigint(20) NOT NULL auto_increment، «indefier» دسته‌بندی متن utf8_unicode_ci NOT NULL، «عنوان» تجمیع متن utf8_unicode_ci NOT NULL، PRIMARY KEY («id») =utf8 COLLATE=utf8_unicode_ci ;

    جدول "گروه های_ایمن":

    ایجاد جدول «گروه‌های_ایمن» («id» bigint(20) NOT NULL auto increment، «title» collate text utf8_unicode_ci NOT NULL, «perms» collate text utf8_unicode_ci NOT NULL, PRIMARY KEY (`INAUE=REULT_INCH)Y AR=utf8 COLLATE=utf8_unicode_ ci;

    جدول «کاربران».

    ایجاد جدول «کاربران» («id» bigint(20) NOT NULL auto_increment، «login» ترکیب متن utf8_unicode_ci NOT NULL، «passwd» تجمیع متن utf8_unicode_ci NOT NULL، `groupId` int(1) NOT NULLE AUTO_INCREMENT=1 پیش فرض CH ARSET=utf8 COLLATE=utf8_unicode_ci ;

    temp=array(); $this->temp["_result"]=0; $this->temp["_uid"]=explode("::",$_COOKIE["site_hash"]); $this->temp["_uid"]=$this->temp["_uid"]; $this->temp["_gid"]=$this->getUserSecurityAccess($this->temp["_uid"]); $this->temp["_conn_id"]=mysql_connect("host","user","passwd"); mysql_select_db("پایگاه داده"); $this->temp["_q1"]=mysql_query("SELECT perms" ."FROM `secure_groups`" ."WHERE id=".$this->temp["_gid"]); $this->temp["_access_stamp"]=mysql_fetch_assoc($this->temp["_q1"]); $this->temp["_access_stamp"]=$this->temp["_access_stamp"]["perms"]; $this->temp["_access_stamp"]=explode(";",$this->temp["_access_stamp"]); $this->temp["_access_stamp"]=array_slice($this->temp["_access_stamp"],0,-1); foreach($this->temp["_access_stamp"] as $this->temp["v"])($this->temp["_mod_access"]=explode(":",$this->temp["v"]); "_mod_indefier"]==$module)( $this->temp[ "_perms"]=explode(","$this->temp["_mod_access"]); switch($act)( case "r": $this->temp["_result"]=($this->"$this->temp $:w=0;mps" ["_result"]=($this->temp["_perms"]==1)؟ 1:0; break; ) break; ) ) mysql_close($conn_id); بازگشت $this->temp["_result"]; ) ) ?>

    این کلاس توابعی را پیاده سازی می کند که برای اجرای کار الگوریتمی توضیح داده شده در بالا طراحی شده اند. اکنون هر تابع را جداگانه مورد بحث قرار می دهیم.

    تابع safe::getUserId().

    با استفاده از این تابع، منظور ما این است که در طول مجوز کاربر در سیستم در متغیر محیطی$_COOKIE روی متغیر "site_hash" تنظیم شده است که شامل شناسه کاربر در سیستم و یک هش برای تأیید صحت آن در سیستم است. تابع به سادگی مقدار شناسه را حذف می کند و مقدار آن را به عنوان خروجی برمی گرداند.

    عملکرد امن::getUserSecurityAccess($id)

    در خروجی عملکرد داده شدهشناسه نمایه امنیتی کاربر فعلی در سیستم را برمی گرداند.

    عملکرد safe::checkUserPermission($module,$act)).

    یک پرس و جو به پایگاه داده در مورد حقوق کاربر برای انجام اقدامات خواندن / نوشتن در زمینه ماژول ارسال شده به عنوان یک پارامتر انجام می شود.

    تنها توضیح رویه ایجاد متغیر در محیط $_COOKIE باقی مانده است و می توان موضوع مقاله را حل شده در نظر گرفت.

    روال مجوز مانند وارد کردن اطلاعات شخصی کاربر (ورود به سیستم و رمز عبور) به نظر می رسد فرم خاص، پس از ارسال، داده های ارسال شده توسط کاربر طبق روش تابع checkAuthData() پردازش می شود و در صورت صحیح بودن داده ها، داده های کاربر در قالب یک کوکی رکورد برای مدتی ذخیره می شود. مجموعه کاربر، یا در صورت عدم وجود مقدار معین برای دوره پیش فرض.

    برای بررسی صحت داده‌های ذخیره‌شده در متغیر محیطی $_COOKIE، از تابع EatCookie() استفاده می‌کنیم که داده‌ها را تأیید می‌کند و نتیجه اعتبارسنجی بولی (درست - نادرست) را برمی‌گرداند.

    من فرمی برای ارسال ارائه نمی کنم، زیرا بخشی از تئوری برنامه نویسی نیست، فقط شناسه های فیلد را مشخص می کنم.

    • "ulogin" - ورود کاربر
    • "upasswd" - رمز عبور کاربر
    • "زمان" - زمان جلسه تنظیم شده توسط کاربر (از 1 تا 5 ساعت)
    • "auth" - نام دکمه ارسال

    در اینجا، به طور کلی، این همه است. فقط تلاش، آزمایش، اشتباه کردن و یافتن راه حل باقی می ماند که من کاملاً آن را به شما واگذار می کنم.

    امیدوارم به زودی همدیگر را ملاقات کنیم و برای کسانی که در رابطه با مقاله از من سوالی دارند و نه تنها - به [ایمیل محافظت شده]، روی هر دو [ایمیل محافظت شده].

    با احترام، کارپنکو کریل، رئیس بخش فناوری اطلاعات موسسه تولیدات صنعتی و صنعتی.


    در وسعت روسیه، بسیاری از شرکت ها و شرکت های کوچک کارکنان خود را ندارند. مدیر سیستمبه صورت دائمی یا هر از گاهی می آیند. این شرکت در حال رشد است و دیر یا زود یک پوشه مشترک در شبکه، جایی که هر کسی می تواند هر کاری که می خواهد انجام دهد، کافی نیست. به کنترل دسترسی برای کاربران یا گروه های کاربری مختلف در پلت فرم MS Windows نیاز دارد. لینوکس و مدیران با تجربه لطفا مقاله را مطالعه نکنید.

    اکثر بهترین گزینه- یک مدیر مجرب استخدام کنید و به فکر خرید سرور باشید. یک مدیر مجرب در محل تصمیم می گیرد که آیا ام اس را افزایش دهد یا خیر ویندوز سروربا اکتیو دایرکتورییا از چیزی از دنیای لینوکس استفاده کنید.

    اما این مقاله برای کسانی نوشته شده است که فعلاً بدون استفاده از مدرن تصمیم گرفته اند به تنهایی رنج ببرند راه حل های نرم افزاری. من سعی خواهم کرد حداقل نحوه اجرای صحیح تمایز حقوق را توضیح دهم.

    قبل از شروع، می خواهم به چند نکته اشاره کنم:

    • هر سیستم عاملی "تشخیص" و "متمایز" مردم واقعیاز طریق حساب های آنها باید به این صورت باشد: یک نفر = یک حساب.
    • این مقاله وضعیتی را شرح می دهد که این شرکت مدیر خود را ندارد و به عنوان مثال MS Windows Server خریداری نشده است. هر MS Windows معمولی به طور همزمان به بیش از 10 نفر برای WinXP و 20 نفر برای Win7 از طریق شبکه خدمات ارائه نمی دهد. این کار توسط مایکروسافت عمدا انجام می شود تا ویندوز کلاینت در سراسر جاده اجرا نشود. سرورهای ویندوزو شما کسب و کار مایکروسافت را خراب نکردید. عدد 10-20 را به خاطر بسپارید و وقتی شرکت شما بیش از 10-20 نفر دارد، باید به فکر خرید MS Windows Server باشید یا از شخصی بخواهید که یک سرور رایگان لینوکس سامبا برای شما راه اندازی کند که چنین محدودیتی ندارد.
    • از آنجایی که شما یک ادمین شایسته ندارید، کامپیوتر معمولی شما با یک کلاینت MS Windows وانمود می کند که چنین است سرور فایل. برای دسترسی به فایل های به اشتراک گذاشته شده، مجبور خواهید شد حساب های کاربری آن را از رایانه های دیگر کپی کنید. به عبارت دیگر، اگر حسابدار Olya با حساب olya در PC1 وجود داشته باشد، در این "سرور" (از این پس WinServer نامیده می شود) باید ایجاد کنید حساب olya با رمز عبور مشابه در PC1.
    • مردم می آیند و می روند. جابجایی پرسنل همه جا هست و اگر شما، آن بیچاره ای که ادمین نیستید و برای پشتیبانی از مسائل IT شرکت (اجباری) منصوب شده اید، در اینجا توصیه هایی برای شما داریم. حساب هایی بسازید که به یک فرد مرتبط نباشد.ایجاد برای مدیران - manager1، manager2. برای حسابداران - buh1، buh2. یا چیزی مشابه آیا آن شخص رفته است؟ دیگری اگر از manager1 استفاده کند توهین نمی شود. موافقم، این بهتر از استفاده از حساب olya برای Semyon است، زیرا خراب است یا کسی نیست که آن را دوباره انجام دهد و همه چیز برای 100 سال کار می کند.
    • کلماتی مانند: "یک رمز عبور برای پوشه" را فراموش کنید. زمان هایی که رمز عبور بر روی منابع تحمیل می شد مدت هاست که از بین رفته است. فلسفه کار با منابع مختلف تغییر کرده است. اکنون کاربر با استفاده از یک حساب کاربری (شناسایی) وارد سیستم خود می شود و با رمز عبور خود (احراز هویت) خود را تأیید می کند و به او اجازه دسترسی به تمام منابع مجاز داده می شود. یک بار وارد سیستم شدید و به همه چیز دسترسی پیدا کردید - این چیزی است که باید به خاطر بسپارید.
    • توصیه می شود اقدامات زیر را از حساب داخلی Administrator یا از اولین حساب در سیستم انجام دهید که به طور پیش فرض در گروه Administrators قرار دارد.

    آشپزی.

    در Explorer، دسترسی ساده شده به چیزهایی را که نیاز داریم حذف کنید.

    • MS ویندوز XP.ابزارهای منو - گزینه های پوشه - مشاهده. علامت را بردارید از جادوگر به اشتراک گذاری استفاده کنید
    • MS ویندوز 7. Alt را فشار دهید. ابزارهای منو - گزینه های پوشه - مشاهده. علامت را بردارید ساده استفاده کنید دسترسی عمومیبه فایل ها.

    یک پوشه در رایانه WinServer خود ایجاد کنید که دارایی شما را در قالب فایل های سفارش، قراردادها و غیره ذخیره می کند. برای من، به عنوان مثال، C:\access\ خواهد بود. پوشه باید روی یک پارتیشن NTFS ایجاد شود.

    دسترسی شبکه.

    بر این مرحلهنیاز به از طریق شبکه در دسترس قرار دهید(اشتراک - اشتراک گذاری) پوشه ای برای سایر کاربران برای کار با آن در رایانه های خود از این شبکه محلی.

    و مهم ترین چیز! پوشه را با اجازه کامل برای همه به اشتراک بگذارید!بله بله! درست شنیدی اما در مورد کنترل دسترسی چطور؟

    ما به همه اجازه می دهیم تا از طریق شبکه محلی به پوشه متصل شوند، اما دسترسی را با استفاده از امنیت ذخیره شده در فایل محدود می کنیم. سیستم NTFSجایی که دایرکتوری ما در آن قرار دارد.

    • MS ویندوز XP.بر پوشه مورد نظر(C:\dostup\) کلیک راست کرده و روی Properties کلیک کنید. برگه دسترسی - دسترسی کامل.
    • MS ویندوز 7.در پوشه مورد نظر (C:\dostup\) کلیک راست کرده و روی Properties کلیک کنید. برگه دسترسی - تنظیمات پیشرفته. تیک بزنید این پوشه را به اشتراک بگذار. یادداشت را پر کنید ما مجوز را فشار می دهیم. گروه Everyone باید شبکه درستی داشته باشد دسترسی کامل.

    کاربران و گروه های امنیتی

    شما باید حساب های کاربری لازم را ایجاد کنید. من به شما یادآوری می کنم که اگر در تعداد شما کامپیوترهای شخصیحساب های کاربری متفاوتی استفاده می شود، همه آنها باید در "سرور" شما و با رمزهای عبور یکسان ایجاد شوند. تنها در صورتی می توان از این امر جلوگیری کرد که یک ادمین و رایانه های شایسته در اکتیو دایرکتوری داشته باشید. نه؟ سپس با زحمت حسابی ایجاد کنید.

    • MS ویندوز XP.
      کاربران و گروه های محلی - کاربران. کنش منو - کاربر جدید.
    • MS ویندوز 7.کنترل پنل - ابزارهای اداری - مدیریت کامپیوتر.
      کاربران و گروه های محلی - کاربران. عملکرد منو - ایجاد کاربر.

    حالا نوبت مهم ترین چیز است - گروه ها! گروه‌ها به شما امکان می‌دهند حساب‌های کاربری را وارد کنید و با صدور حقوق و کنترل دسترسی، دستکاری‌ها را ساده کنید.

    کمی بعد، "تحمیل حقوق" بر دایرکتوری ها و فایل ها توضیح داده خواهد شد، اما در حال حاضر نکته اصلی درک یک فکر است. حقوق پوشه‌ها یا فایل‌ها به گروه‌ها اعطا می‌شود که می‌توان آن‌ها را به صورت مجازی با کانتینرها مقایسه کرد. و گروه ها قبلاً حقوق حساب های موجود در آنها را "انتقال" می کنند. یعنی باید در سطح گروه ها فکر کنید نه در سطح حساب های فردی.

    • MS ویندوز XP.کنترل پنل - ابزارهای اداری - مدیریت کامپیوتر.
    • MS ویندوز 7.کنترل پنل - ابزارهای اداری - مدیریت کامپیوتر.
      کاربران و گروه های محلی - گروه ها. کنش منو - ایجاد گروه.

    باید در آن گنجانده شود گروه های مورد نظرحساب های مورد نیاز به عنوان مثال، روی گروه حسابداران، کلیک راست کرده و آنجا به گروه اضافه کنیدیا Properties و در آنجا دکمه Add را بزنید. در زمینه نام اشیاء را برای انتخاب وارد کنیدنام حساب مورد نیاز را وارد کرده و کلیک کنید نام ها را بررسی کنید. اگر همه چیز درست باشد، حساب به شکل SERVER NAME\account تغییر می کند. در شکل بالا، حساب buh3 به WINSERVER\buh3 فرستاده شده است.

    بنابراین گروه های لازم ایجاد می شوند و حساب های کاربری در گروه های لازم قرار می گیرند. اما قبل از مرحله تخصیص حقوق به پوشه ها و فایل ها با استفاده از گروه ها، می خواهم چند نکته را مورد بحث قرار دهم.

    اگر گروهی یک اکانت داشته باشد، آیا ارزش آن را دارد که با یک گروه زحمت بکشیم؟ به نظر من ارزشش را دارد! این گروه انعطاف پذیری و مانور می دهد. فردا به شخص B دیگری نیاز خواهید داشت تا همان حقوق را بدهد شخص خاصیبا حساب A. شما فقط حساب B را به گروهی که A از قبل وجود دارد اضافه کنید و تمام!

    وقتی مجوزها به گروه ها داده می شود تا افراد، بسیار آسان تر است. شما فقط باید گروه ها را دستکاری کنید و حساب های لازم را در آنها بگنجانید.

    حقوق دسترسی.

    توصیه می شود اقدامات زیر را از حساب داخلی Administrator یا از اولین حساب در سیستم انجام دهید که به طور پیش فرض در گروه Administrators قرار دارد.

    بنابراین ما به مرحله ای رسیدیم که جادوی محدود کردن حقوق دسترسی برای گروه های مختلف به طور مستقیم و از طریق آنها برای کاربران (به طور دقیق تر، به حساب های آنها) رخ می دهد.

    بنابراین، ما یک دایرکتوری در C:\dostup\ داریم که قبلاً آن را برای همه کارمندان از طریق شبکه در دسترس قرار داده‌ایم. به عنوان مثال، در دایرکتوری C:\dostup\، اجازه دهید پوشه های Contracts, Orders, Accounting for MC را ایجاد کنیم. فرض کنید یک کار برای انجام دادن وجود دارد:

    • پوشه توافقنامه باید برای حسابداران فقط خواندنی باشد. برای گروهی از مدیران بخوانید و بنویسید.
    • پوشه مرکز حسابداری باید برای خواندن و نوشتن حسابداران در دسترس باشد. گروه مدیران دسترسی ندارد.
    • پوشه Orders باید برای حسابداران و مدیران فقط خواندنی باشد.

    در پوشه موافقتنامه، کلیک راست کرده و در آنجا تب Properties - Security را کلیک کنید. می بینیم که برخی از گروه ها و کاربران قبلاً به آن دسترسی دارند. این حقوق از والد dostup\ به ارث رسیده است که به نوبه خود از والد C به ارث رسیده است:

    ما این وراثت حقوق را قطع می کنیم و حقوق لیست خواسته های خود را به آنها اختصاص می دهیم.

    روی دکمه Advanced - Permissions tab - دکمه کلیک کنید تغییر مجوزها.

    ابتدا ارث بردن حقوق از والدین را قطع می کنیم.علامت را بردارید مجوزهای به ارث رسیده از اشیاء والد را اضافه کنید.به ما اخطار داده می شود که مجوزهای والدین شامل نمی شود این شی(V این مورداین پوشه قرارداد است). انتخاب: لغو یا حذف یا اضافه کردن. روی افزودن کلیک کنید و حقوق والدین به ارث ما خواهد ماند، اما حقوق والدین دیگر شامل حال ما نخواهد شد. به عبارت دیگر، اگر در آینده حقوق دسترسی والدین (پوشه dostup) تغییر کند، این امر بر پوشه فرزند توافقنامه تأثیری نخواهد داشت. در زمینه اطلاع رسانی کنید به ارث رسیده ازهزینه ها ارثی نیست. این ارتباط است والد - فرزندپاره شده

    اکنون حقوق اضافی را با دقت حذف می کنیم و ترک می کنیم دسترسی کاملبرای مدیران و سیستم بیایید هر کدام را به نوبه خود بگیریم تایید شده استو فقط کاربرانو با دکمه Delete آن را حذف کنید.

    دکمه افزودن در این پنجره گزینه های اضافیامنیتبرای مدیران با تجربه در نظر گرفته شده است که می توانند مجوزهای ویژه و ویژه را تنظیم کنند. هدف این مقاله دانش یک کاربر با تجربه است.

    کادر را تیک می زنیم همه مجوزهای یک شی فرزند را با مجوزهای به ارث رسیده از این شی جایگزین کنیدو روی OK کلیک کنید. ما به عقب برمی گردیم و دوباره اوکی برای بازگشت به دید سادهخواص.

    این پنجره دستیابی به آنچه می خواهید را آسان تر می کند.دکمه ویرایش پنجره «مجوزهای گروه» را باز می کند.

    روی افزودن کلیک کنید. در یک پنجره جدید، Accountants را بنویسید و روی "Check Names" - OK کلیک کنید. به طور پیش فرض، دسترسی "خواندن" به شکل ساده شده داده می شود. چک باکس های ستون Allow به طور خودکار روی "خواندن و اجرا"، "فهرست محتویات پوشه"، "خواندن" تنظیم می شوند. ما به این راضی هستیم و OK را کلیک می کنیم.

    اکنون، طبق شرایط ما، باید مجوز خواندن و نوشتن را برای گروه مدیران اعطا کنیم. اگر در پنجره Properties هستیم، دوباره Change - Add - Drive in Managers - Check names. کادرهای ویرایش و نوشتن را در ستون Allow اضافه کنید.

    حالا باید همه چیز را بررسی کنیم!

    فکر را دنبال کنید. ما دستور داده ایم که پوشه Contract از والد dostup خود به ارث نمی برد. پوشه‌ها و فایل‌های فرزند را در پوشه موافقتنامه سفارش داد تا از آن حقوق به ارث ببرند.

    ما حقوق دسترسی زیر را بر روی پوشه توافقنامه ها اعمال کرده ایم: گروه حسابداران فقط باید فایل ها را بخواند و پوشه های داخل آن را باز کند و گروه مدیران باید فایل ها را ایجاد، اصلاح و پوشه ایجاد کند.

    بنابراین، اگر یک فایل سند در دایرکتوری Contract ایجاد شود، مجوزهایی از والد خود خواهد داشت. کاربرانی که حساب های شخصی خود را دارند از طریق گروه های خود به این فایل ها و دایرکتوری ها دسترسی خواهند داشت.

    به پوشه Contracts بروید و یک فایل آزمایشی contract1.txt ایجاد کنید

    روی آن کلیک راست کرده و در آنجا تب Properties - Security - Advanced - Valid Permissions وجود دارد.

    روی Select کلیک کنید و حساب هر حسابداری را بنویسید، مثلا buh1. ما به وضوح می‌توانیم ببینیم که buh1 مجوزهایی از گروه حسابداران خود دریافت کرده است، که مجوزهای مربوط به پوشه قراردادهای مادر را خوانده است، که مجوزهای خود را به اشیاء فرزند خود "انتشار" می‌کند.

    ما manager2 را امتحان می کنیم و به وضوح می بینیم که مدیر دسترسی خواندن و نوشتن دارد، زیرا در گروه Managers گنجانده شده است که چنین حقوقی را برای این پوشه می دهد.

    دقیقاً به همین ترتیب، بر اساس قیاس با پوشه موافقتنامه، حقوق دسترسی برای پوشه های دیگر، طبق شرایط مرجع شما، اعمال می شود.

    نتیجه.

    • از پارتیشن های NTFS استفاده کنید.
    • هنگام محدود کردن دسترسی به پوشه ها (و فایل ها)، سپس گروه ها را دستکاری کنید.
    • برای هر کاربر حساب ایجاد کنید. 1 نفر = 1 حساب
    • اضافه کردن حساب ها به گروه ها یک حساب کاربری می تواند به طور همزمان عضو گروه های مختلف باشد. اگر یک حساب در بیش از یک گروه باشد و هر گروهی چیزی را اجازه دهد، آن حساب مجاز خواهد بود.
    • ستون Deny (حقوق منع) بر Allow اولویت دارد. اگر یک حساب در چند گروه باشد و یک گروه چیزی را ممنوع کند و گروهی دیگر اجازه دهد، حساب مسدود می شود.
    • اگر می‌خواهید دسترسی این گروه را لغو کنید، حسابی را از یک گروه حذف کنید.
    • به فکر استخدام یک ادمین باشید و او را با پول توهین نکنید.

    سوالات را در نظرات بپرسید و بپرسید، تصحیح کنید.

    فیلم نشان می دهد مورد خاص، زمانی که شما فقط نیاز دارید دسترسی به یک پوشه را رد کنید، با استفاده از این واقعیت که قوانین انکار بر قوانین مجاز اولویت دارند.

    کنترل دسترسی

    یک سیستم خودکار بسته به پیچیدگی و وظایف انجام شده می تواند در اتاق ها، طبقات، ساختمان های یک، دو، سه و غیره قرار گیرد. به دلیل تفاوت در مسئولیت های عملکردی و کار با اسناد مختلفایجاد تمایز در دسترسی کاربران به محل کار، تجهیزات و اطلاعات آنها ضروری است. این امر با قرار دادن محل‌های کار کاربر در اتاق‌های جداگانه که با انواع قفل‌ها بسته شده‌اند، تضمین می‌شود درهای ورودیبا سنسورهای دزدگیر نصب شده بر روی آنها و یا استفاده از وسایل مخصوص سیستم اتوماتیککنترل دسترسی به محل توسط توکن ها یا کارت هایی با کد فردی صاحب آن، که در حافظه آن ثبت شده است.

    کنترل دسترسی در سیستم خودکارشامل تقسیم اطلاعات در گردش در آن به بخش ها و سازماندهی دسترسی به آن توسط مقامات مطابق با وظایف و اختیارات عملکردی آنها است. وظیفه چنین تمایز دسترسی به اطلاعات کاهش تعداد مقاماتی است که در انجام وظایف خود با آن مرتبط نیستند، یعنی. محافظت از اطلاعات در برابر نفوذگر در میان کاربران قانونی

    وظیفه اصلی کنترل دسترسی و تمایز (CCRD) مسدود کردن غیرمجاز، کنترل و تمایز دسترسی مجاز به اطلاعات محافظت شده است. در عین حال، تعیین حدود دسترسی به اطلاعات و نرم افزار برای پردازش آن باید مطابق با وظایف و اختیارات عملکردی مقامات کاربر، پرسنل تعمیر و نگهداری و مدیران کار انجام شود.

    اصل اساسی ساخت SCRD این است که فقط چنین دسترسی هایی به اطلاعات مجاز و انجام می شود که حاوی علائم مناسب قدرت های مجاز باشد. برای این منظور، شناسایی و احراز هویت کاربران، دستگاه ها و غیره، تقسیم اطلاعات و عملکردهای پردازش آن مطابق با الزامات تعیین شده برای کنترل دسترسی، نصب و ورود حقوق کاربر انجام می شود.

    تقسیم اطلاعات و عملکردهای پردازش آن معمولاً بر اساس معیارهای زیر انجام می شود:

    به ترتیب اهمیت؛

    با توجه به میزان محرمانه بودن؛

    با عملکردهای انجام شده توسط کاربران، دستگاه ها؛

    با نام مدارک؛

    بر اساس انواع اسناد؛

    بر اساس نوع داده؛

    با نام حجم ها، فایل ها، آرایه ها، رکوردها.

    با نام کاربری؛

    با توابع پردازش اطلاعات: خواندن، نوشتن، اجرا.

    بر اساس ساعت روز

    با توجه به اینکه دسترسی از ابزارهای فنی مختلف انجام می شود، می توان با محدود کردن دسترسی به تحدید حدود شروع کرد. وسایل فنیبا قرار دادن آنها در اتاق های جداگانه. کلیه عملکردهای مقدماتی برای تعمیر و نگهداری تجهیزات، تعمیر، پیشگیری، راه اندازی مجدد نرم افزارو سایرین از نظر فنی و سازمانی از وظایف اصلی سیستم جدا شوند. مجموعه ابزارهای اتوماسیون و سازماندهی نگهداری آن باید به شرح زیر ساخته شود:

    تعمیر و نگهداری IS در طول عملیات باید توسط پرسنل فنی ویژه بدون دسترسی به اطلاعات مورد حفاظت انجام شود.

    وظایف امنیت اطلاعات باید توسط یک واحد ویژه در سازمانی که دارای IP است انجام شود. شبکه کامپیوترییا ACS؛

    سازماندهی دسترسی کاربر به حافظه IS باید امکان تمایز دسترسی به اطلاعات ذخیره شده در آن را با درجه کافی از جزئیات و مطابق با سطوح مشخص شده از اختیارات کاربر فراهم کند.

    ثبت و مستندات فناورانه و اطلاعات عملیاتیباید جدا شود.

    به عنوان شناسه های شخصی برای پیاده سازی تمایز، استفاده از کدهای رمز عبور که در حافظه و IS کاربر ذخیره می شود، گسترده است. برای کمک به کاربر در سیستم هایی با نیازهای افزایش یافته، مقادیر زیادی از کدهای رمز عبور در رسانه های خاص ثبت می شود - کلیدهای الکترونیکی، توکن ها، کارت های هوشمند و غیره

    امکان اساسی تمایز بین پارامترهای مشخص شدهباید توسط پروژه IS ارائه شود. و یک تمایز خاص در عملکرد IS توسط مصرف کننده ایجاد می شود و توسط واحد او که مسئول امنیت اطلاعات است وارد سیستم می شود.

    برای این منظور، هنگام طراحی ابزارهای محاسباتی برای ساخت IS، موارد زیر انجام می شود:

    توسعه سیستم عاملبا قابلیت اجرای کنترل دسترسی به اطلاعات ذخیره شده در حافظه رایانه، رایانه شخصی، سرور؛

    جداسازی مناطق دسترسی؛

    تقسیم پایگاه داده به گروه ها؛

    رویه های کنترل برای توابع فهرست شده.

    توسعه و اجرای وظایف عملکردی برای محدود کردن و کنترل دسترسی به تجهیزات و اطلاعات در چارچوب این IS و ACS (شبکه) به عنوان یک کل؛

    توسعه ابزار سخت افزاری برای شناسایی و احراز هویت کاربر؛

    توسعه ابزارهای نرم افزاریکنترل و مدیریت کنترل دسترسی؛

    توسعه اسناد عملیاتی جداگانه برای ابزارهای شناسایی، احراز هویت، تمایز و کنترل دسترسی.

    انتخاب علائم خاص کنترل دسترسی و ترکیب آنها مطابق با انجام می شود شرایط مرجعهنگام طراحی نرم افزار برای یک سیستم خودکار.

    اطلاعاتی که باید محافظت شوند باید در مناطق غیر همپوشانی حافظه قرار گیرند. هر یک از این مناطق شامل یک مجموعه است اشیاء اطلاعاتیکه هر کدام مشمول حمایت هستند. حفاظت در این مورد به این واقعیت مربوط می شود که دسترسی به شی اطلاعاتیاز طریق یک ورودی امن عملکرد "محافظت" شامل شناسایی کاربر با نام (یا شماره مشروط) و کد رمز عبور ارائه شده است. در صورت مثبت بودن نتیجه چک با توجه به اختیاراتی که به وی اختصاص داده شده مجاز به دسترسی به اطلاعات می باشد. این رویه ها هر بار که کاربر به درخواست، صدور دستورات و غیره دسترسی پیدا می کند، اجرا می شود. برای اینکه رمز عبور را هر بار تایپ نکنید، راحت است رمز عبور ارائه شده را در یک ویژه ذخیره کنید رسانه فیزیکی(کلید، نقشه)، که در مقابل ورودی به سیستم محاسباتیباید توسط کاربر در یک سوکت مخصوص AWP وارد شود. علاوه بر این، هنگامی که حامل رمز عبور از شکاف حذف شد، ورود بلافاصله مسدود می شود.

    اگر الزامات امنیت اطلاعات برای یک سیستم خاص اجازه استفاده از وارد کردن دستی رمز عبور را می دهد، لازم است مطمئن شوید که رمز عبور ارائه شده در هنگام دسترسی های مکرر در فرآیند کار با اطلاعات در حافظه این ایستگاه کاری وجود دارد. ذخیره سازی در رایانه مرکزی تنها در صورتی مجاز است که با شماره شرطی این ایستگاه کاری مرتبط باشد، یعنی. تمام تماس های بعدی در رایانه مرکزی باید فقط با شماره شرطی ایستگاه کاری که کد رمز ذخیره شده از آن ارائه شده است برای پردازش پذیرفته شود. در پایان کار، امکان دسترسی غیرمجاز از جانبی را حذف کنید کاربران خارجیلازم است دستور مناسب را از ایستگاه کاری وارد کنید که توسط آن رمز عبور قبلی ارائه شده و ذخیره شده پاک می شود. پیامی باید در ایستگاه کاری کاربر در مورد واقعیت حذف نمایش داده شود. برای بررسی آخرین عملیات، تکرار یکی از دسترسی های قبلی بدون رمز عبور و تأیید این موضوع با واکنش منفی سیستم رایانه مفید است.


    معرفی.

    فرمول بندی مسئله.
    اجرای وظیفه.




    پایان رویه


    EndIf



    تابع WiredAuthority (راست)

    درخواست = درخواست جدید;

    Query.Text = "انتخاب کنید

    | ValuesAdditionalRightValue

    Selection.Next();

    بازگشت Selection.Value;

    بازگشت نادرست؛

    EndIf

    EndFunctions


    رویه OnOpen()

    پایان رویه




    نتیجه.
    کتابشناسی - فهرست کتب.
    کاربرد.




    معرفی.

    تا به امروز، در بازار روسیهاتوماسیون حسابداری پیشرو هستند راه حل های کاربردیتوسعه یافته بر اساس پلت فرم توسعه یافته توسط شرکت روسی "1C". بر اساس مطالعات جامعه شناختی منتشر شده در اینترنت، در روسیه و کشورهای مستقل مشترک المنافع، 90 درصد سازمان ها از این سیستم ها برای خودکارسازی حسابداری استفاده می کنند. همچنین، این سیستم ها هیچ گونه مشابهی برای اتوماسیون کامل حسابداری مطابق با RAS ندارند. از آنجایی که حسابداری و گزارش مالیاتی، پردازش و در این گونه سیستم ها ذخیره می شود اطلاعات محرمانههر سازمانی، پس این اطلاعات باید در سطح مناسب محافظت شوند. علاوه بر حسابداری، بسیاری از حوزه‌های حسابداری از طریق این سیستم‌ها خودکار می‌شد (به عنوان مثال، حسابداری پرسنل و حقوق و دستمزد، حسابداری عملیاتی و مدیریتی، حسابداری برای ارتباط با مشتری و غیره).


    فرمول بندی مسئله.

    در این کار، من می‌خواهم روش‌ها و ابزارهای حفاظت از اطلاعات در پایگاه‌های داده‌ای که بر اساس سیستم‌های 1C Enterprise ساخته شده‌اند را شرح دهم.

    که در در حال حاضر 3 نسخه از 1C به طور فعال استفاده می شود، یعنی نسخه های 7.7، 8.1 و 8.2. نسخه 7.7 در حال حاضر منسوخ و منسوخ شده است و من دلیل عملی نمی بینم که این سیستم را به عنوان نمونه در نظر بگیرم. از آنجایی که نسخه 8.2 اخیراً به فروش رسمی رسید، من روی نسخه "1C Enterprise 8.1" تصمیم گرفتم. به عنوان مثال، قبلا توسعه یافته است سیستم آموزشیبرای خودکارسازی وظایف عملیاتی و حسابداری و حقوق و دستمزد.

    زیرا سیستم در شبکه محلی سازمان کار می کند، یا در کامپیوتر محلی، پس حفاظت از این سیستم در برابر حملات احتمالی خارجی بر عهده مدیر شبکه است. در این مثال، من عمدتاً مکانیسم محدود کردن دسترسی به اطلاعات کارکنان خاص سازمان را شرح خواهم داد.

    این سیستمبه شما این امکان را می دهد که کالا را در انبار خریداری کرده و آن را بفروشید، در حالی که امکان ارائه برخی خدمات به خریدار وجود دارد. هنگام انجام معاملات خرید و فروش، سیستم به طور خودکار داده های حسابداری و حسابداری عملیاتی را جمع آوری می کند. همچنین برای اجرای وظایف حسابداری امکان ورود عملیات دستی یعنی. وارد کردن مکاتبات حساب ها با تعیین ابعاد، مقادیر و مبالغ لازم در حساب های مربوطه. برای محاسبه حقوق و دستمزد، سیستم قابلیت وارد کردن حقوق، پاداش، کمک هزینه سفر و غیبت را اجرا می کند.

    برای دسترسی به اشیا باید حقوق زیر را تنظیم کنید:

    ایجاد حقوق مدیریت برای دسترسی کاملبه همه داده ها

    برای رئیس سازمان، حقوق گزارش و حق مشاهده کلیه اسناد اعطا شود.

    حق دسترسی به اسناد و گزارشات حسابداری را برای کارکنان حسابداری فراهم کنید.

    برای کارمندان بخش عملیاتی، حقوق ایجاد اسناد ورودی و خروجی را اعطا کنید، در حالی که هر کارمند می تواند اسناد را فقط برای طرف مقابلی که به عنوان مسئول به آن اختصاص داده شده است ایجاد و مشاهده کند.

    برای کارمندان بخش پرسنل، فقط به اشیاء لازم برای حقوق و دستمزد دسترسی باز کنید.

    برای همه کارکنان به جز مدیریت، چاپ اسناد پست نشده را ممنوع کنید.

    برای همه کاربران، حقوق مناسب را تنظیم کنید و با استفاده از رمز عبور یا سیستم عامل شناسایی کنید.


    اجرای وظیفه.

    کنترل دسترسی از طریق نقش ها


    مکانیسم نقش به شما امکان می دهد حقوق خواندن، مشاهده، تغییر، حذف، نگه داشتن و غیره را تنظیم کنید. برای هر شی پیکربندی اشیاء پیکربندی دایرکتوری ها هستند (ذخیره اطلاعات پس زمینهبه عنوان مثال، نامگذاری، طرف مقابل، و غیره)، اسناد (طراحی شده برای انعکاس معاملات تجاری، به عنوان مثال، صورتحساب، حقوق و دستمزد، و غیره) و ثبت که هر گونه اطلاعات را جمع آوری می کند. شکل 1 بخشی از اشیاء اصلی در نظر گرفته شده در این مثال را نشان می دهد.

    شکل 1. اشیاء پیکربندی اصلی.

    شما می توانید تعداد نامحدودی نقش در سیستم ایجاد کنید، می توانید برای هر یک از نقش ها حقوقی برای یک شی تعیین کنید و برای هر کاربر می توانید چندین نقش تعیین کنید. هنگام اختصاص دادن چندین نقش به یک کاربر، حقوق او بر اساس قانون زیر تنظیم می شود: یک کنش در صورتی در دسترس است که حداقل در یک نقش مجاز باشد، و یک کنش اگر در همه نقش ها غیرفعال باشد، در دسترس نیست. شما می توانید این یا آن نقش را فقط به صورت بصری و فقط در مرحله پیکربندی پیکربندی اعطا کنید. شما نمی توانید نقش ها را در زمان اجرا تغییر دهید.

    شکل 2 نمونه ای از ایجاد را نشان می دهد حقوق کاملبرای مدیر سیستم


    شکل 2. تنظیم همه حقوق برای یک نقش.


    برای سایر کاربران، باید نصب کنید حقوق لازم، این در شکل 3 نشان داده شده است.


    شکل 3. نمونه ای از تنظیم حقوق برای یک کاربر خاص.


    تحدید حقوق در سطح رکورد.


    مکانیسم تمایز حقوق در سطح سوابق برای تمایز دسترسی به رکوردها در جداول ضروری است. پایگاه اطلاع رسانی، با توجه به معیارهای خاصی. به عنوان مثال، فقط به آن دسته از ورودی‌هایی در فهرست طرف‌های مقابل دسترسی داشته باشید که در آن کاربر فعلی مسئول است. به عنوان مثال، شکل 4 متن برنامه را نشان می دهد که دسترسی کاربر را به سوابق لیست اسناد فاکتور دریافتی محدود می کند.


    شکل 4. نمونه ای از کنترل دسترسی در سطح رکورد.


    کاربر با استفاده از پارامتر جلسه "Current Performer" شناسایی می شود؛ اطلاعات مربوط به کاربران در فهرست "Employees" ذخیره می شود. پارامتر جلسه "مجری فعلی" زمانی تنظیم می شود که برنامه با متن برنامه زیر شروع شود:

    رویه شروع سیستم ()

    SessionParameters.CurrentExecutor= Directories.Employees.FindByCode(Username());

    پایان رویه


    کنترل دسترسی روش های نرم افزاری.


    علاوه بر مکانیسم نقش‌ها، این برنامه می‌تواند دسترسی به داده‌ها را با نوشتن رویه‌ها و توابع به زبان تعبیه‌شده در 1C Enterprise پیکربندی کند. به عنوان مثال توانایی سیستم برای باز کردن یک فرم ( عنصر بصریکه کاربر با آن کار می کند) زمانی که شرایط خاصی برآورده شود، فقط مشاهده است، به عنوان مثال:

    اگر SessionParameters.CurrentUser =

    Directories.Employees.FindBy Name("Ivanov") سپس

    ThisForm.ViewOnly = true;

    EndIf


    بیشتر مثال پیچیدهبه عنوان مکانیزمی عمل می کند که در حالت اجرای برنامه اجازه می دهد تا حقوق لازم را برای کاربر صادر کند، به عنوان مثال، مجوز یا ممنوعیت چاپ اسناد پست نشده. برای اجرای این کار، یک شمارش ایجاد شد که لیستی از حقوق اضافی را ذخیره می کند و یک جدول (ثبت اطلاعات) که مقادیر حقوق اضافی را ذخیره می کند. رویه زیر در ماژول مشترک ایجاد شد که مقدار حق را برای کاربر فعلی دریافت می کند:


    تابع WiredAuthority (راست)

    درخواست = درخواست جدید;

    Query.Text = "انتخاب کنید

    | ValuesAdditionalRightValue

    | RegisterInformation.ValuesAdditionalPermissions AS ValuesAdditionalPermissions

    | ValuesAdditionalRight.Employee = &Employee

    | و ValuesAdditionalRight.Right = &Right";

    Query.SetParameter("Employee",

    SessionParameters.CurrentExecutor)؛

    Request.SetParameter("راست"، راست);

    نتیجه = Request.Run();

    If Not Result.Empty() سپس

    Selection = Result.Select();

    Selection.Next();

    بازگشت Selection.Value;

    بازگشت نادرست؛

    EndIf

    EndFunctions


    در فرم فاکتور سند یک دکمه "چاپ" وجود دارد که مسئول تشکیل فرم چاپی است. این سند. هنگام باز کردن این سند، با استفاده از متن برنامه زیر، در دسترس بودن این دکمه را برای کاربر تنظیم می کنیم:

    رویه OnOpen()

    ElementsForm.BasicActionsForms.Buttons.Print.

    در دسترس بودن = ProvAccessRights (Enumerations.

    حقوق اضافی.چاپ اسناد پست نشده).

    پایان رویه


    تعیین نقش ها و ابزار شناسایی کاربران.


    کاربرانی که مجاز به کار با برنامه هستند در حالت پیکربندی وظیفه ایجاد می شوند یا می توان کاربر را به صورت برنامه نویسی ایجاد کرد. شکل 5 نمونه ای از ایجاد کاربر و انتساب حقوق مناسب به او را نشان می دهد.


    شکل 5. فهرست کاربران، نقش ها و ابزار شناسایی.


    نتیجه.

    در این کار یک مثال نسبتا ساده از یک کار حسابداری و یک مثال ساده از تنظیم حقوق کاربر در این کار در نظر گرفته شد. ولی مثال داده شدهبه شما این امکان را می دهد که قابلیت های سیستم را از نظر تفکیک حقوق که در بسیاری از سازمان ها بسیار مهم است را به صورت بصری نشان دهید و هر کارمند را فقط به اطلاعات مورد نیاز خود دسترسی داشته باشد.

    ضمیمه حاوی تصاویری از برنامه در حین اجرای برنامه است که تنظیمات انجام شده را نشان می دهد.


    کتابشناسی - فهرست کتب.

    Gabets A.P., Goncharov D.I. 1C: Enterprise 8.1. مثال های سادهتوسعه. - M .: LLC "1C-Publishing"؛ سن پترزبورگ: Piter, 2008. - 383 p.: ill. + سی دی رام.

    1C: Enterprise 8.2. راهنمای توسعه دهنده. قسمت 1. - M .: CJSC "1C"، 2009 - 638 p.: ill.

    رادچنکو M.G. 1C: Enterprise 8.1. راهنمای عملیتوسعه دهنده مثال ها و تکنیک های معمولی M.: 1C-Publishing LLC, 2008. 874 p.: ill.

    بلوسف P.S. مواد روش شناختی دوره آموزشی "پیکربندی پلت فرم" 1C: Enterprise 8.1 ". - M .: CJSC "1C"، 2007 - 272 p.: ill.


    کاربرد.

    نمونه ای از تلاش برای ورود غیرمجاز.



    نمونه‌ای از کنترل دسترسی با محدود کردن نقش‌ها، تصویر تلاشی برای باز کردن فهرستی را نشان می‌دهد که کاربر حق خواندن آن را ندارد.

    نمونه ای از تحدید حقوق در سطح رکورد.



    مثال پیاده سازی نرم افزارعدم دسترسی به دکمه "چاپ" در سند "فاکتور".



    پس از انجام شناسایی و احراز هویت، لازم است اقتدار (مجموعه حقوق) موضوع برای کنترل بعدی استفاده مجاز از منابع محاسباتی موجود در AS ایجاد شود. چنین فرآیندی را تمایز (کنترل منطقی) دسترسی می نامند.

    به طور معمول، اقتدار موضوع با موارد زیر نشان داده می شود: فهرستی از منابع در دسترس کاربر، و حقوق دسترسی به هر منبع از فهرست. منابع محاسباتی می توانند برنامه ها، اطلاعات، دستگاه های منطقی، اندازه حافظه، زمان پردازنده، اولویت و غیره باشند.

    معمولاً روش های کنترل دسترسی زیر متمایز می شوند:

    تمایز دسترسی بر اساس لیست ها.

    استفاده از ماتریس مجوز؛

    کنترل دسترسی به رمز عبور

    هنگام محدود کردن دسترسی توسط لیست ها، مطابقت های زیر تنظیم می شود:

    هر کاربر - لیستی از منابع و حقوق دسترسی به آنها یا

    هر منبع دارای فهرستی از کاربران و حقوق دسترسی آنها به این منبع است.

    لیست ها به شما امکان می دهند مجوزها را برای کاربر تنظیم کنید. اضافه کردن مجوزها یا رد کردن صریح دسترسی در اینجا آسان است. لیست ها در اکثر سیستم عامل ها و DBMS ها استفاده می شوند.

    استفاده از ماتریس مجوز به معنای استفاده از ماتریس دسترسی (جدول مرجع) است. در ماتریس مشخص شده (به جدول 2.7 مراجعه کنید)، ردیف ها شناسه موضوعاتی هستند که به AS دسترسی دارند و ستون ها اشیاء (منابع اطلاعاتی) AS هستند. هر عنصر ماتریس می تواند شامل نام و اندازه منبع ارائه شده، حقوق دسترسی (خواندن، نوشتن و غیره)، پیوندی به منبع دیگر باشد. ساختار اطلاعات، مشخص کردن حقوق دسترسی، پیوند به برنامه ای که حقوق دسترسی را کنترل می کند و غیره.

    جدول 2.7

    بخشی از ماتریس مجوز

    برنامه

    کاربر 1

    کاربر 2

    از ساعت 9:00 تا 17:00

    ج - ایجاد، د - حذف، r - خواندن، w - نوشتن، e - اجرا.

    این روش رویکرد یکپارچه‌تر و راحت‌تر را ارائه می‌کند، زیرا تمام اطلاعات مربوط به مجوزها در یک جدول ذخیره می‌شود و نه به‌صورت فهرست‌های ناهمگن. معایب ماتریس، دست و پا گیر بودن احتمالی آن و استفاده بهینه از منابع نیست (بیشتر سلول ها خالی هستند).

    تمایز دسترسی بر اساس سطوح و دسته‌های رازداری شامل این واقعیت است که منابع AS بر اساس سطوح یا دسته‌های رازداری تقسیم می‌شوند.

    هنگام تمایز بر اساس سطح محرمانه، چندین سطح متمایز می شود، به عنوان مثال: دسترسی عمومی، محرمانه، محرمانه، فوق سری. مجوزهای هر کاربر مطابق با حداکثر سطح حریم خصوصی که در آن پذیرفته شده است تنظیم می شود. کاربر به تمام داده هایی که سطح (نوار) ​​رازداری بالاتر از او نیست دسترسی دارد.

    هنگام دسته بندی، رتبه دسته بندی مربوط به کاربر تنظیم و کنترل می شود. بر این اساس، تمام منابع AS با توجه به سطح اهمیت تجزیه می شوند و سطح مشخصی از پرسنل مربوط به سطح خاصی است (مانند: مدیر، مدیر، کاربر).

    تمایز رمز عبور آشکارا نشان دهنده استفاده از روش هایی برای دسترسی به موضوعات به اشیا با رمز عبور است. همه روش ها استفاده می شود حفاظت از رمز عبور. بدیهی است که استفاده مداوم از رمزهای عبور باعث ایجاد ناراحتی برای کاربران و تاخیر زمانی می شود. بنابراین در مواقع استثنایی از این روش ها استفاده می شود.

    در عمل معمولا با هم ترکیب می شوند روش های مختلفکنترل دسترسی به عنوان مثال، سه روش اول حفاظت از رمز عبور را افزایش می دهند.

    در پایان این بخش متذکر می شویم که اسناد حاکم می توانند دو نوع (اصول) کنترل دسترسی را تنظیم کنند:

    کنترل دسترسی گسسته؛

    کنترل دسترسی اجباری

    کنترل دسترسی گسسته محدودیت دسترسی بین موضوعات نامگذاری شده و اشیاء نامگذاری شده است. یک موضوع با یک حق دسترسی خاص می تواند آن حق را به هر موضوع دیگری منتقل کند. این دیدگاه بر اساس روش های تعیین حدود توسط لیست ها یا با استفاده از یک ماتریس سازماندهی شده است.

    کنترل دسترسی اجباری، تمایز دسترسی افراد به اشیاء را بر اساس اطلاعات موجود در اشیاء، که با یک برچسب محرمانه مشخص می شود، و مجوز رسمی (پذیرش) افراد برای دسترسی به اطلاعات این سطح از محرمانگی تنظیم می کند. در غیر این صورت، برای اجرای کنترل دسترسی اجباری، به هر موضوع و هر شی یک برچسب طبقه بندی اختصاص داده می شود که نشان دهنده جایگاه آنها در سلسله مراتب مربوطه است. با این برچسب ها، سطوح طبقه بندی باید به موضوعات و اشیاء که ترکیبی از سطح طبقه بندی سلسله مراتبی و دسته بندی های سلسله مراتبی هستند، اختصاص داده شود. این برچسب ها باید به عنوان مبنایی برای اصل اجباری کنترل دسترسی عمل کنند. واضح است که روش‌های کنترل دسترسی سطح محرمانه و دسته‌بندی نمونه‌هایی از کنترل دسترسی اجباری هستند.

    بیشتر بخوانید: