• Ağda erişim haklarının farklılaştırılması, yerel ağda paylaşılan disk alanı. Erişim haklarının farklılaştırılması ve kullanıcıların kimlik doğrulaması

    Web geliştirme pratiğimde, müşterilerin belirli bir hedef belirledikleri durumlarla çok sık karşılaştım, yani yönetici panelinin belirli kullanıcılara erişilebilirlik ile ilgili bölümlerinin ayrılması. Aynı zamanda, bu modülün geliştirilmesi genişletilebilir bir sistem bağlamında, yani erişimin organize edildiği sabit sayıda modül ve buna bağlı olarak sınırsız sayıda sistem kullanıcısı ile gerçekleştirildi.

    peki kendi başıma bu konu oldukça ağırdır ve sorunu analiz etmek ve formüle etmek için belirli bir süre gerektirir.

    Bu makale bağlamında, bazı soyut içerikler bağlamında gelişeceğiz. bilgi sistemi, kendi altyapısı ve mimarisi ile, bu sistem kullanıcıya işlevselliği genişletme, yani yeni modüller kurma ve buna göre sistem yöneticisi olarak kayıtlı bir veya başka bir kullanıcının bunlara erişim haklarını ayarlama fırsatı sağlar.

    İlk önce modüler sistemin mimarisini, seçtiğimiz sözde sistem üzerinde tartışalım.

    Tüm modüller, ana belgeye (dizin dosyası) bağlı ekler olarak sunulur. Modül isteği, QUERY_STRING sorgu dizesinden gelir ve eylem bağımsız değişkeni olarak eklenti adı iletilir. Dosya dizininin bir noktasında bu parametre alınır ve işlenir. Bundan sonra, kullanıcı okuma bağlamında modüle erişmek için yeterli haklara sahipse, sorgu dizesinde belirtilen modülün varlığı kontrol edilir ve varsa indeks dosyasına bağlanır.

    Sadece "okuma bağlamından" bahsetmedim, çünkü sistemimiz sistemle çalışmak için okuma ve yazma olmak üzere iki bağlamın varlığını varsayar. Aynı zamanda okuma, modüle ve onun veritabanındaki veri yapısında değişiklik gerektirmeyen bölümlerine doğrudan erişim anlamına gelir. Kayıt altında, veritabanında depolanan bilgilerde doğrudan değişiklik yapması gerekiyor.

    Bu mekanizmayı uygulamak için değeri kontrol edeceğiz dizi değişkeni modülün kendisinde işlenen ve kullanıcıya erişim izni vermek için modülün hangi bölümüne ihtiyaç duyulduğu hakkında bilgi taşıyan `do` isteği.

    do değeri sabitlenecek, bu değişken aşağıdaki değerleri alacaktır:

    • ana - modülün ana kısmı (okuma bağlamında mevcuttur)
    • config - modül yapılandırma bölümü (giriş bağlamında mevcuttur)
    • oluştur - veritabanına bilgi eklemek için bazı eylemler gerçekleştirin (kayıt bağlamında mevcuttur)
    • sil - bu modül bağlamında bazı bilgileri silme olanağı sağlayan bir bölüme erişim (kayıt bağlamında mevcuttur)
    • düzenleme - modül bağlamında düzenleme bilgilerine erişim (kayıt bağlamında mevcuttur)

    Genel olarak, bu liste artırılabilir, ancak her şey yalnızca projenin ölçeğine ve işlevsellik gereksinimlerine bağlıdır.

    Şimdi doğrudan modüller hakkında. Belirli bir modülün projenin dosya sistemi bağlamında fiziksel olarak bulunmasına ek olarak, modülün ayrıca sistemdeki tüm mevcut modüller hakkında bilgi içerecek özel bir veritabanı tablosuna eklenmesi gerekir. Bu tablonun verilerinin eklenmesi ve değiştirilmesi genellikle doğrudan modüller bağlamında, yani sisteme kurulumları sırasında yapılır. Bununla birlikte, bu, başka bir zaman hakkında konuşacağımız genişletilebilir sistemlere bakma ilkelerinde bir derinleşmedir ve bu nedenle kendimizi bunlarla sınırlayacağız. elle güncelleme ve modüller hakkında veri ekleme.

    Böylece, bir sistem modülüyle ilgili bir kayıt aşağıdaki bilgileri içerecektir: GET ortam değişkeninin değeriyle aynı olacak olan modül adının İngilizce tanımlayıcısı - act (modül doğrudan ona karşı talep edilecektir), Rusça modül modül listesinde kullanılacak tanımlayıcı.

    Modüllere ek olarak, erişim hakları profilleri ile ilgili verileri depolayacak bir tablo ve doğrudan kullanıcılar hakkında bilgi içeren bir tablo olmak üzere iki tablomuz daha olacak.

    Güvenlik profili tablosu yalnızca üç alandan oluşacaktır - bir profil tanımlayıcısı (kayıt tanımlayıcısının sayısal değeri), bir metin modülü tanımlayıcısı (kullanıcılar için tasarlanmıştır) ve kullanıcı hakları hakkında bilgi içeren özel olarak oluşturulmuş bir metin etiketi. modüllerin her birinin bağlamı.

    Peki, bu özel yapıya bakalım. Şöyle olacaktır: [ module_indefier: + \: + \;] *

    Yani, çiftlerin bir listesi vardır: modül adı ":" okuma izinleri "," yazma izinleri ";". Bu durumda, bu etiket, kullanıcının sisteme erişim haklarındaki değişiklikler sırasında güncellenir. Sistemde bu etikette yer almayan bir modül hakkında bilgi görünürse, düzenleme prosedürünü gerçekleştirmeniz yeterlidir ve veriler otomatik olarak kaydedilir.

    Şimdi bize sadece bir veritabanı tablosunun yapısını düşünmek kalıyor ve algoritmik kısmı, yani sistem kullanıcıları hakkında bilgi içeren tabloyu uygulamaya başlayabiliriz, çünkü onlara erişim hakları atamak bizim ana görevimizdir.

    Buna fazladan bir şey eklemeyeceğim, sadece bu makalenin konusu bağlamında kullanılacakları. Kullanıcı tablosu şu alanları içerecektir: kullanıcı kimliği (sayısal sayaç), oturum açma adı, parola (orijinal parolanın karması), kullanıcı güvenlik profili (sistemdeki haklara göre kullanıcı grubu kimliği) ve hepsi bu kadar. Bana öyle geliyor ki bu bilgi görevi gerçekleştirmemiz için oldukça yeterli ve ben zaten diğer tüm eklentileri kendimiz yapma fırsatı sağlıyorum.

    Bu yüzden yapıyı tartıştık ve umarım herkesin makalenin başlığında belirtilen görevi nasıl uygulayacağımıza dair bir fikri vardır. Şimdi yukarıda açıklanan tabloların yardımcı SQL kodunu vereceğim, ardından hemen kullanıcı erişim haklarını kontrol etmek ve erişim profilleri oluşturmak ve değiştirmek için algoritmanın uygulanmasına geçeceğim. Her bir modülden sonra, okuyucuların sahip olabileceği tüm soruları ayrıntılı olarak tartışacağız.

    "modüller" tablosu:

    CREATE TABLE 'modules' ('id' bigint(20) NULL DEĞİL auto_increment, 'indefier' metin harmanla utf8_unicode_ci NULL DEĞİL, 'title' metin harmanla utf8_unicode_ci NULL DEĞİL, BİRİNCİL ANAHTAR ('id')) ENGINE=MyISAM AUTO_INCREMENT=1 VARSAYILAN CHARSET=utf8 COLLATE=utf8_unicode_ci;

    "güvenli_gruplar" tablosu:

    CREATE TABLE `secure_groups` (`id` bigint(20) NULL DEĞİL auto_increment, `title` metin harmanla utf8_unicode_ci NULL DEĞİL, `perms` metin harmanla utf8_unicode_ci NULL DEĞİL, BİRİNCİL ANAHTAR (`id`)) ENGINE=MyISAM AUTO_INCREMENT=1 VARSAYILAN CHARSET=utf8 COLLATE=utf8_unicode_ci ;

    "kullanıcılar" tablosu

    CREATE TABLE `users` (`id` bigint(20) NULL DEĞİL auto_increment, `login` metin harmanla utf8_unicode_ci NULL DEĞİL, `passwd` metin harmanla utf8_unicode_ci NULL DEĞİL, `groupId` int(1) NULL DEĞİL varsayılan "0", BİRİNCİL KEY (`id`)) ENGINE=MyISAM AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci ;

    sıcaklık=dizi(); $this->temp["_result"]=0; $this->temp["_uid"]=explode("::",$_COOKIE["site_hash"]); $this->temp["_uid"]=$this->temp["_uid"]; $this->temp["_gid"]=$this->getUserSecurityAccess($this->temp["_uid"]); $this->temp["_conn_id"]=mysql_connect("host","user","passwd"); mysql_select_db("veritabanı"); $this->temp["_q1"]=mysql_query("izinleri SEÇ" ."FROM `secure_groups`" ."WHERE id=".$this->temp["_gid"]); $this->temp["_access_stamp"]=mysql_fetch_assoc($this->temp["_q1"]); $this->temp["_access_stamp"]=$this->temp["_access_stamp"]["perms"]; $this->temp["_access_stamp"]=explode(";",$this->temp["_access_stamp"]); $this->temp["_access_stamp"]=array_slice($this->temp["_access_stamp"],0,-1); foreach($this->temp["_access_stamp"] as $this->temp["v"])( $this->temp["_mod_access"]=explode(":",$this->temp["v) "]); $this->temp["_mod_indefier"]=$this->temp["_mod_access"]; if($this->temp["_mod_indefier"]==$module)( $this->temp[ "_perms"]=explode(",",$this->temp["_mod_access"]); switch($act)( case "r": $this->temp["_result"]=($this-> temp["_perms"]==1)?1:0; break; case "w": $this->temp["_result"]=($this->temp["_perms"]==1)?1 :0; ara; ) ara; ) ) mysql_close($conn_id); $this->temp["_result"] döndürür; ) ) ?>

    Bu sınıf, yukarıda açıklanan algoritmik görevi uygulamak için tasarlanmış işlevleri uygular. Şimdi her işlevi ayrı ayrı tartışacağız.

    secure::getUserId() işlevi

    Bu işlevi kullanarak, kullanıcının sistemdeki yetkilendirmesi sırasında şunu kastediyoruz: Çevre değişkeni$_COOKIE, sistemdeki kullanıcı kimliğinden ve sistemdeki gerçekliğini doğrulamak için bir karmadan oluşan `site_hash` değişkenine ayarlandı. İşlev, tanımlayıcının değerini basitçe kaldırır ve değerini çıktı olarak döndürür.

    güvenli işlev::getUserSecurityAccess($id)

    çıkışta verilen fonksiyon sistemdeki geçerli kullanıcının güvenlik profili kimliğini döndürür.

    secure::checkUserPermission($module,$act)) işlevi

    Parametre olarak geçirilen modül bağlamında kullanıcının okuma/yazma işlemlerini gerçekleştirme hakları ile ilgili veri tabanına sorgulama yapılır.

    Sadece $_COOKIE ortamında bir değişken oluşturma prosedürünü açıklamak için kalır ve makalenin konusu çözülmüş olarak kabul edilebilir.

    Yetkilendirme prosedürü, kullanıcının kişisel verilerini (oturum açma adı ve şifre) girmek gibi görünecektir. özel biçim gönderdikten sonra kullanıcı tarafından iletilen veriler checkAuthData() işlevinin yöntemine göre işlenecek ve veriler doğruysa kullanıcı verileri bir süre boyunca kayıt çerezi şeklinde saklanacaktır. kullanıcı seti veya varsayılan süre için belirli bir değerin olmaması durumunda.

    $_COOKIE ortam değişkeninde depolanan verilerin gerçekliğini kontrol etmek için, bir boole doğrulama sonucu (doğru - yanlış) döndürerek verileri doğrulayacak olan EatCookie() işlevini kullanacağız.

    Göndermek için bir form sağlamıyorum, çünkü bu programlama teorisinin bir parçası değil, sadece alan tanımlayıcılarını belirtiyorum.

    • "ulogin" - kullanıcı girişi
    • upasswd - kullanıcı şifresi
    • `stime` - kullanıcı tarafından ayarlanan oturum süresi (1 ila 5 saat arası)
    • "auth" - düğme adını gönder

    Burada, genel olarak, hepsi bu. Geriye sadece denemek, denemek, hata yapmak ve bir çözüm bulmak kalıyor ki bunu tamamen size bırakıyorum.

    Umarım yakında görüşürüz ve makaleyle ilgili bana bir sorusu olanlar için, sadece - yazmakla kalmayıp [e-posta korumalı], her ikisinde de [e-posta korumalı]

    Saygılarımla, Endüstriyel ve Endüstriyel Üretim Enstitüsü Bilişim Departmanı Başkanı Karpenko Kirill.


    Rusya'nın enginliğinde, birçok firma ve küçük işletmenin kendi personeli yoktur. sistem yöneticisi kalıcı olarak veya zaman zaman geliyor. Şirket büyüyor ve er ya da geç ağda herkesin istediğini yapabileceği bir paylaşımlı klasör yeterli olmuyor. MS Windows platformunda farklı kullanıcılar veya kullanıcı grupları için erişim kontrolü gerektirir. Linuxoid'ler ve deneyimli yöneticiler, lütfen makaleyi okumayın.

    En en iyi seçenek- deneyimli bir yönetici kiralayın ve bir sunucu satın almayı düşünün. Olay yerindeki deneyimli bir yönetici, MS'nin yükseltilip yükseltilmeyeceğine karar verecektir. Windows Serverİle Aktif Dizin veya Linux dünyasından bir şey kullanın.

    Ancak bu makale, modern kullanmadan şimdilik kendi başlarına acı çekmeye karar vermiş olanlar için yazılmıştır. Yazılım çözümleri. En azından hakların farklılaştırılmasının nasıl doğru bir şekilde uygulanacağını açıklamaya çalışacağım.

    Başlamadan önce birkaç noktayı özetlemek istiyorum:

    • Herhangi bir işletim sistemi "tanır" ve "ayırt eder" gerçek insanlar hesapları aracılığıyla. Bu şöyle olmalı: bir kişi = bir hesap.
    • Makalede firmanın kendi yöneticisinin olmaması ve örneğin MS Windows Server'ın satın alınmamış olması durumu anlatılmaktadır. Herhangi bir sıradan MS Windows, aynı anda ağ üzerinden WinXP için en fazla 10 kişiye ve Win7 için 20 kişiye hizmet verir. Bu, Microsoft tarafından kasıtlı olarak yapılır, böylece istemci Windows yolun karşısına geçmez. Windows sunucuları ve Microsoft'un işini mahvetmedin. 10-20 sayısını hatırlayın ve şirketinizde 10-20'den fazla kişi olduğunda, MS Windows Server almayı düşünmeniz veya birinden sizin için bu tür kısıtlamaları olmayan ücretsiz bir Linux Samba sunucusu kurmasını istemeniz gerekecektir.
    • Yetkili bir yöneticiniz olmadığı için, bir MS Windows istemcisine sahip normal bilgisayarınız, dosya sunucusu. Paylaşılan dosyalara erişmek için kullanıcı hesaplarını diğer bilgisayarlardan çoğaltmak zorunda kalacaksınız. Başka bir deyişle, PC1'de olya hesabına sahip bir muhasebeci Olya varsa, o zaman bu "sunucuda" (bundan sonra WinServer olarak anılacaktır) oluşturmanız gerekir. hesap olya PC1'deki ile aynı şifre ile.
    • İnsanlar gelir ve gider. Personel devri her yerdedir ve siz, yönetici olmayan ve şirketin BT sorunlarını desteklemekle görevlendirilen (zorlanan) zavallı kişiyseniz, işte size bazı tavsiyeler. Bir bireye bağlı olmayan hesaplar oluşturun. Yöneticiler için oluşturun - yönetici1, yönetici2. Muhasebeciler için - buh1, buh2. Veya benzeri. Kişi ayrıldı mı? Bir başkası menajer1'i kullanırsa alınmaz. Katılıyorum, bu Semyon için olya hesabını kullanmaktan daha iyidir, çünkü kırılmıştır veya yeniden yapacak kimse yoktur ve her şey 100 yıldır çalışmaktadır.
    • "Klasör için bir şifre oluşturun" gibi kelimeleri unutun. Kaynaklara bir şifrenin dayatıldığı zamanlar çoktan geride kaldı. Çeşitli kaynaklarla çalışma felsefesi değişti. Artık kullanıcı, bir hesap (tanımlama) kullanarak sisteminde oturum açar, parolasıyla (kimlik doğrulama) kendini onaylar ve kendisine izin verilen tüm kaynaklara erişim hakkı verilir. Bir kez oturum açtınız ve her şeye eriştiniz - hatırlamanız gereken şey bu.
    • Aşağıdaki eylemleri yerleşik Yönetici hesabından veya varsayılan olarak Yöneticiler grubuna dahil olan sistemdeki ilk hesaptan gerçekleştirmeniz önerilir.

    Yemek pişirmek.

    Explorer'da, ihtiyacımız olan şeylere basitleştirilmiş erişimi kaldırın.

    • MS Windows XP. Menü Araçları - Klasör Seçenekleri - Görünüm. işaretini kaldır Paylaşım Sihirbazını Kullanın
    • MS Windows 7. Alt'a basın. Menü Araçları - Klasör Seçenekleri - Görünüm. işaretini kaldır Basit kullan genel erişim dosyalara.

    WinServer bilgisayarınızda servetinizi sipariş dosyaları, sözleşmeler vb. biçiminde depolayacak bir klasör oluşturun. Benim için örnek olarak C:\access\ olacaktır. Klasör bir NTFS bölümünde oluşturulmalıdır.

    Ağ Girişi.

    Açık bu aşama gerek ağ üzerinden kullanılabilir hale getirmek(paylaş - paylaş) diğer kullanıcıların kendi bilgisayarlarında çalışması için bir klasör yerel ağ.

    Ve en önemli şey! Klasörü herkes için tam izinle paylaşın! Evet evet! Doğru duydun. Peki ya erişim kontrolü?

    Herkesin yerel ağ üzerinden klasöre bağlanmasına izin veriyoruz, ANCAK dosyada saklanan güvenlik aracılığıyla erişimi kısıtlayacağız. NTFS sistemi dizinimizin bulunduğu yer.

    • MS Windows XP. Açık istenen klasör(C:\dostup\) sağ tıklayın ve orada Özellikler. Erişim sekmesi - Tam erişim.
    • MS Windows 7.İstenen klasörde (C:\dostup\) sağ tıklayın ve orada Özellikler'i tıklayın. Erişim sekmesi - Gelişmiş ayarlar. İşaret koy Bu dosyayı paylaş. Notu doldurun. İzin'e basıyoruz. Herkes grubu ağ hakkına sahip olmalıdır Tam erişim.

    Kullanıcılar ve güvenlik grupları.

    Gerekli kullanıcı hesaplarını oluşturmanız gerekir. Size hatırlatırım, eğer sayısız kişisel bilgisayarlar farklı kullanıcı hesapları kullanılıyorsa, hepsinin "sunucunuz" üzerinde ve aynı parolalarla oluşturulmuş olması gerekir. Bu, yalnızca yetkin bir yöneticiniz ve Active Directory'de bilgisayarlarınız varsa önlenebilir. HAYIR? Sonra özenle hesaplar oluşturun.

    • MS Windows XP.
      Yerel Kullanıcılar ve Gruplar - Kullanıcılar. Menü Eylemi - Yeni kullanıcı.
    • MS Windows 7. Denetim Masası - Yönetimsel Araçlar - Bilgisayar Yönetimi.
      Yerel Kullanıcılar ve Gruplar - Kullanıcılar. Menü İşlemi - Kullanıcı oluşturun.

    Şimdi sıra en önemli şeye geldi - gruplar! Gruplar, kullanıcı hesaplarını dahil etmenize ve hakların verilmesi ve erişim kontrolü ile manipülasyonları basitleştirmenize olanak tanır.

    Biraz sonra dizinler ve dosyalar üzerindeki "hakların dayatılması" açıklanacak, ancak şimdilik asıl önemli olan bir düşünceyi anlamak. Klasörlere veya dosyalara ilişkin haklar, mecazi olarak kapsayıcılarla karşılaştırılabilecek gruplara verilecektir. Ve gruplar, kendilerine dahil olan hesapların haklarını zaten "aktaracak". Yani, bireysel hesaplar düzeyinde değil, gruplar düzeyinde düşünmeniz gerekir.

    • MS Windows XP. Denetim Masası - Yönetimsel Araçlar - Bilgisayar Yönetimi.
    • MS Windows 7. Denetim Masası - Yönetimsel Araçlar - Bilgisayar Yönetimi.
      Yerel Kullanıcılar ve Gruplar - Gruplar. Menü İşlemi - Grup oluşturun.

    dahil edilmelidir istenen gruplar gerekli hesaplar Örneğin, Muhasebeciler grubunda sağ tıklayın ve orada Gruba ekle veya Özellikler ve orada Ekle düğmesi. sahada Seçilecek nesnelerin adlarını girin gerekli hesabın adını girin ve tıklayın İsimleri kontrol et. Her şey doğruysa, hesap SUNUCU ADI\hesap biçiminde değişecektir. Yukarıdaki şekilde, buh3 hesabı WINSERVER\buh3'e atılmıştır.

    Böylece gerekli gruplar oluşturulur ve kullanıcı hesapları gerekli gruplara dahil edilir. Ancak grupları kullanarak klasörlere ve dosyalara hak atama aşamasına geçmeden önce birkaç noktaya değinmek istiyorum.

    Bir hesabı olacaksa bir grupla uğraşmaya değer mi? Bence buna değer! Grup esneklik ve manevra kabiliyeti verir. Yarın başka bir B kişisine aynı hakları vermeniz gerekecek. belirli kişi A hesabıyla. A'nın zaten var olduğu gruba B hesabını eklersiniz, o kadar!

    İzinler bireyler yerine gruplara verildiğinde çok daha kolay. Sadece grupları manipüle etmeniz ve gerekli hesapları bunlara dahil etmeniz gerekiyor.

    Erişim hakları.

    Aşağıdaki eylemleri yerleşik Yönetici hesabından veya varsayılan olarak Yöneticiler grubuna dahil olan sistemdeki ilk hesaptan gerçekleştirmeniz önerilir.

    Böylece, çeşitli gruplar için erişim haklarını sınırlama sihrinin doğrudan ve onlar aracılığıyla kullanıcılara (daha doğrusu hesaplarına) gerçekleştiği aşamaya geldik.

    Bu nedenle, C:\dostup\ konumunda ağ üzerindeki tüm çalışanların erişimine açtığımız bir dizinimiz var. C:\dostup\ dizini içerisinde örnek olması açısından MC için Sözleşmeler, Siparişler, Muhasebe klasörlerini oluşturalım. Yapılacak bir görev olduğunu varsayalım:

    • Sözleşme klasörü, Muhasebeciler için salt okunur olmalıdır. Bir grup Yönetici için okuyun ve yazın.
    • Muhasebe Merkezi klasörü, Muhasebecilerin okuması ve yazması için mevcut olmalıdır. Yöneticiler grubunun erişimi yoktur.
    • Siparişler klasörü, Muhasebeciler ve Yöneticiler için salt okunur olmalıdır.

    Sözleşme klasöründe, sağ tıklayın ve orada Özellikler - Güvenlik sekmesi. Bazı grupların ve kullanıcıların buna zaten erişimi olduğunu görüyoruz. Bu haklar, üst dostup\'tan devralındı ​​ve bu da, üst C'den devralındı:

    Bu hak mirasını keseceğiz ve Wishlist haklarımızı devredeceğiz.

    Gelişmiş düğmesi - İzinler sekmesi - düğmesine tıklayın İzinleri değiştir.

    İlk olarak, ebeveynden hakların mirasını kesiyoruz.İşareti kaldır Üst nesnelerden devralınan izinleri ekleyin. Ebeveyn izinlerinin aşağıdakiler için geçerli olmayacağı konusunda uyarılacağız: bu nesne(V bu durum bu, Sözleşme klasörüdür). Seçim: İptal veya Kaldır veya Ekle. Ekle'ye tıklayın ve ebeveynden gelen haklar bizim mirasımız olarak kalacak, ancak ebeveynin hakları artık bizim için geçerli olmayacak. Başka bir deyişle, ileride ebeveynin (dostup klasörü) erişim hakları değiştirilirse, bu Sözleşmenin alt klasörünü etkilemeyecektir. Alandaki uyarı miras alınan maliyetler miras alınmadı. bağlantı budur ebeveyn - çocuk yırtık

    Şimdi ekstra hakları dikkatlice kaldırıyoruz, Tam erişim Yöneticiler ve Sistem için. Sırayla hepsini alalım doğrulandı ve sadece Kullanıcılar ve Sil butonu ile siliniz.

    Bu pencerede düğme ekle Ekstra seçenekler güvenliközel, özel izinler ayarlayabilecek deneyimli yöneticiler için tasarlanmıştır. Makale, deneyimli bir kullanıcının bilgisine yöneliktir.

    kutucuğu işaretliyoruz Bir alt nesnenin tüm izinlerini bu nesneden devralınan izinlerle değiştir ve Tamam'ı tıklayın. Geri dönüyoruz ve tekrar geri dönmek için Tamam düz görüşÖzellikler.

    Bu pencere, istediğinizi elde etmeyi kolaylaştıracaktır. Düzenle düğmesi "Grup İzinleri" penceresini getirecektir.

    Ekle'yi tıklayın. Yeni bir pencerede Muhasebeciler yazın ve "Adları Kontrol Et" - Tamam'ı tıklayın. Varsayılan olarak, "okuma" erişimi basitleştirilmiş bir biçimde verilir. İzin Ver sütunundaki onay kutuları otomatik olarak "Oku ve yürüt", "Klasör içeriğini listele", "Oku" olarak ayarlanır. Bundan memnunuz ve Tamam'a tıklayın.

    Şimdi iş tanımımıza göre Managers grubuna okuma ve yazma izni vermemiz gerekiyor. Özellikler penceresindeysek, Yöneticiler - Adları kontrol et bölümünde tekrar Değiştir - Ekle - sür. İzin Ver sütununa Düzenle ve Yaz onay kutularını ekleyin.

    Şimdi her şeyi kontrol etmemiz gerekiyor!

    Düşünceyi takip et. Sözleşme klasörünün dostup ebeveyninden miras almamasını emrettik. Sözleşme klasörü içindeki alt klasörler ve dosyalar, hakları ondan devralacak şekilde sıralandı.

    Sözleşmeler klasörüne aşağıdaki erişim haklarını koyduk: Muhasebeciler grubu yalnızca dosyaları okumalı ve içindeki klasörleri açmalı ve Yöneticiler grubu dosya oluşturmalı, değiştirmeli ve klasörler oluşturmalıdır.

    Bu nedenle, Sözleşme dizini içinde bir belge dosyası oluşturulursa, ebeveyninden izinlere sahip olacaktır. Kendi hesapları olan kullanıcılar, bu tür dosya ve dizinlere grupları aracılığıyla erişeceklerdir.

    Sözleşmeler klasörüne gidin ve bir test dosyası sözleşme1.txt oluşturun

    Üzerine sağ tıklayın ve orada Özellikler - Güvenlik sekmesi - Gelişmiş - Geçerli İzinler sekmesi var.

    Seç'e tıklayın ve herhangi bir muhasebecinin hesabını yazın, örneğin buh1. Buh1'e, izinlerini alt nesnelerine "yayan" üst Sözleşmeler klasörüne okuma izinleri olan kendi grubu Muhasebecilerinden izin verildiğini açıkça görebiliriz.

    Manager2'yi deniyoruz ve bu klasör için bu tür hakları veren Yöneticiler grubuna dahil olduğu için yöneticinin okuma ve yazma erişimi aldığını açıkça görüyoruz.

    Aynı şekilde, Sözleşme klasörüne benzetilerek, diğer klasörler için sizin görev tanımınıza göre erişim hakları uygulanır.

    Sonuç.

    • NTFS bölümlerini kullanın.
    • Klasörlere (ve dosyalara) erişimi sınırlandırırken grupları değiştirin.
    • Her kullanıcı için hesap oluşturun. 1 kişi = 1 hesap.
    • Gruplara hesap ekleyin. Bir hesap aynı anda farklı grupların üyesi olabilir. Bir hesap birden fazla gruptaysa ve herhangi bir grup bir şeye izin veriyorsa, o hesaba izin verilir.
    • Reddet sütunu (hakları yasaklayan), İzin Ver'den önceliklidir. Bir hesap birden fazla gruptaysa ve bir grup bir şeyi yasaklar ve başka bir grup buna izin verirse, hesap yasaklanır.
    • Bu grubun verdiği erişimi iptal etmek istiyorsanız, bir gruptan bir hesabı kaldırın.
    • Bir yönetici tutmayı düşünün ve onu parayla gücendirmeyin.

    Yorumlarda sorular sorun ve sorun, düzeltin.

    Görüntüler gösteriyor özel durum, bir klasöre erişimi reddetmeniz gerektiğinde, reddetme kurallarının izin verme kurallarına göre öncelikli olduğu gerçeğinden yararlanarak.

    Giriş kontrolu.

    Otomatikleştirilmiş bir sistem, karmaşıklığına ve gerçekleştirilen görevlere bağlı olarak bir, iki, üç, vb. odalara, katlara, binalara yerleştirilebilir. İşlevsel sorumluluklardaki farklılık nedeniyle ve birlikte çalışmak çeşitli belgeler kullanıcıların işyerlerine, ekipmanlarına ve bilgilerine erişimlerinin farklılaştırılmasının sağlanması gerekmektedir. Bu, kullanıcı işyerlerinin çeşitli kilitlerle kapatılmış ayrı odalara yerleştirilmesiyle sağlanır. giriş kapılarıüzerlerine takılı hırsız alarm sensörleri veya özel kullanımı ile otomatik sistem hafızasına kaydedilen, sahibinin bireysel kodunu içeren jetonlar veya kartlarla tesislere erişim kontrolü.

    erişim kontrolü otomatik sistem içinde dolaşan bilgilerin bölümlere ayrılmasından ve işlevsel görev ve yetkilerine uygun olarak yetkililer tarafından bu bilgilere erişimin düzenlenmesinden oluşur. Bilgiye erişimin bu şekilde farklılaştırılmasının görevi, görevlerini yerine getirirken onunla ilgili olmayan yetkililerin sayısını azaltmaktır, yani. meşru kullanıcılar arasındaki bir davetsiz misafirden bilgileri korumak.

    Erişim denetimi ve farklılaştırmanın (CCRD) ana görevi, yetkisiz erişimin engellenmesi, korunacak bilgiye yetkili erişimin kontrolü ve farklılaştırılmasıdır. Aynı zamanda, bilgi ve yazılımın işlenmesi için erişimin sınırlandırılması, kullanıcı yetkililerinin, bakım personelinin ve iş yöneticilerinin fonksiyonel görev ve yetkilerine uygun olarak yapılmalıdır.

    SCRD'nin yapısının temel ilkesi, yalnızca izin verilen yetkilerin uygun işaretlerini içeren bilgilere erişime izin verilmesi ve gerçekleştirilmesidir. Bu amaçlar için, kullanıcıların, cihazların vb. tanımlanması ve kimlik doğrulaması, bilgilerin bölünmesi ve erişim kontrolü için belirlenmiş gerekliliklere uygun olarak işlenmesi işlevleri, kurulum ve kullanıcı haklarının girilmesi gerçekleştirilir.

    Bilginin bölünmesi ve işlenmesinin işlevleri genellikle aşağıdaki kriterlere göre gerçekleştirilir:

    önem sırasına göre;

    Gizlilik derecesine göre;

    Kullanıcılar tarafından gerçekleştirilen işlevlere göre, cihazlar;

    Belgelerin adına göre;

    Belge türlerine göre;

    Veri türüne göre;

    Ciltler, dosyalar, diziler, kayıtlar adıyla;

    Kullanıcı adına göre;

    Bilgi işleme işlevlerine göre: okuma, yazma, yürütme;

    Günün saatine göre.

    Erişimin çeşitli teknik yollarla gerçekleştirildiği göz önünde bulundurularak, erişimi sınırlandırarak sınırlandırmaya başlamak mümkündür. teknik araçlar ayrı odalara yerleştirerek. Ekipman bakımı, onarımı, önlenmesi, yeniden başlatılması için tüm hazırlık işlevleri yazılım ve diğerleri teknik ve organizasyonel olarak sistemin ana görevlerinden ayrılmalıdır. Otomasyon araçları kompleksi ve bakımının organizasyonu aşağıdaki gibi inşa edilmelidir:

    İşletme sırasında IS'nin bakımı, korumaya tabi bilgilere erişim olmaksızın özel teknik personel tarafından yapılmalıdır;

    Bilgi güvenliği fonksiyonları IP'nin sahibi olan kuruluşta özel bir birim tarafından yürütülmeli, bilgisayar ağı veya ACS;

    IS belleğine kullanıcı erişiminin organizasyonu, içinde depolanan bilgilere erişimi, yeterli derecede ayrıntıyla ve belirtilen kullanıcı yetki seviyelerine uygun olarak ayırt etme yeteneği sağlamalıdır;

    Teknolojik ve operasyon bilgisi ayrılmalıdır.

    Farklılaştırmanın uygulanması için kişisel tanımlayıcılar olarak, kullanıcının hafızasında ve IS'de saklanan şifre kodlarının kullanımı yaygındır. Kullanıcıya artan gereksinimlere sahip sistemlerde yardımcı olmak için, özel ortamlara büyük değerlerde şifre kodları kaydedilir - elektronik anahtarlar, jetonlar, akıllı kartlar vb.

    Aralarında ayrım yapmanın temel olasılığı belirtilen parametreler IS projesi tarafından sağlanmalıdır. BS'nin işleyişindeki belirli bir ayrım ise tüketici tarafından belirlenir ve bilgi güvenliğinden sorumlu birimi tarafından sisteme girilir.

    Bu amaçlar doğrultusunda, IS oluşturmak için bilgi işlem araçları tasarlanırken aşağıdakiler gerçekleştirilir:

    Gelişim işletim sistemi bir bilgisayarın, PC'nin, sunucunun belleğinde depolanan bilgilere erişim kontrolü uygulama yeteneği ile;

    Erişim alanlarının izolasyonu;

    Veritabanını gruplara ayırma;

    Listelenen işlevler için kontrol prosedürleri.

    Hem bu IS hem de bir bütün olarak ACS (ağ) çerçevesinde ekipman ve bilgilere erişimi sınırlamak ve kontrol etmek için işlevsel görevlerin geliştirilmesi ve uygulanması;

    Kullanıcı tanımlama ve doğrulama için donanım araçlarının geliştirilmesi;

    Gelişim yazılım araçları erişim kontrolünün kontrolü ve yönetimi;

    Tanımlama, kimlik doğrulama, farklılaştırma ve erişim kontrolü araçları için ayrı operasyonel dokümantasyonun geliştirilmesi.

    Belirli erişim kontrol işaretleri ve bunların kombinasyonlarının seçimi, başvuru şartları otomatik bir sistem için yazılım tasarlarken.

    Korunacak bilgi, hafızanın üst üste binmeyen alanlarına yerleştirilmelidir. Bu alanların her biri bir koleksiyon içerir bilgi nesneleri, her biri korumaya tabidir. Bu durumda koruma, erişimin şu gerçeğine bağlıdır: bilgi nesnesi tek bir güvenli giriş aracılığıyla. "Koruma" işlevi, kullanıcının adıyla (veya koşullu numarayla) ve sunulan şifrenin koduyla tanımlanmasını içerir. Kontrol sonucunun olumlu olması halinde kendisine verilen yetkiler dahilinde bilgilere erişmesine izin verilir. Bu prosedürler, kullanıcı her eriştiğinde yürütülür: bir istek, komut verme, vb. Parolayı her seferinde yazmamak için, sunulan parolayı özel bir yerde saklamak uygundur. fiziksel medya girişinin önünde bulunan (anahtar, harita) bilgi işlem sistemi kullanıcı tarafından özel bir AWP soketine takılmalıdır. Ek olarak, şifre taşıyıcı yuvadan kaldırıldığında oturum açma hemen engellenir.

    Belirli bir sistem için bilgi güvenliği gereksinimleri, parolanın manuel olarak girilmesine izin veriyorsa, bilgilerle çalışma sürecinde tekrarlanan erişimler sırasında sunulan parolanın bu iş istasyonunun belleğinde olduğundan emin olunması gerekir. Merkezi bilgisayarda depolamaya, yalnızca bu iş istasyonunun koşullu numarasıyla bağlantılı olması durumunda izin verilir, yani; merkezi bilgisayardaki sonraki tüm çağrılar, yalnızca saklanan şifre kodunun sunulduğu iş istasyonunun koşullu numarası ile işlenmek üzere kabul edilmelidir. İşin sonunda, yandan yetkisiz erişim olasılığını ortadan kaldırmak için dış kullanıcılarönceden sunulan ve saklanan parolanın silindiği iş istasyonundan uygun komutun girilmesi gerekir. Kullanıcının iş istasyonunda silme işlemi hakkında bir mesaj görüntülenmelidir. Son işlemi kontrol etmek için, önceki erişimlerden birini şifre olmadan tekrarlamak ve bunu bilgisayar sisteminin olumsuz tepkisiyle doğrulamak faydalıdır.


    Giriiş.

    Sorunun formülasyonu.
    Görevin uygulanması.




    Prosedürü Bitir


    EndIf;



    İşlev WiredAuthority(Sağ)

    İstek = Yeni İstek;

    Query.Text = "SEÇ

    | DeğerlerEkDoğruDeğer

    Seçim.Sonraki();

    Dönüş Seçimi.Değer;

    yanlış dönüş;

    EndIf;

    Bitiş İşlevleri


    Prosedür Açık()

    Prosedürü Bitir




    Çözüm.
    Kaynakça.
    Başvuru.




    Giriiş.

    bugüne kadar Rusya pazarı muhasebe otomasyonu başı çekiyor uygulamalı çözümler Rus şirketi "1C" tarafından geliştirilen platform temelinde geliştirilmiştir. İnternette yayınlanan sosyolojik araştırmalara göre, Rusya ve BDT ülkelerinde kuruluşların %90'ı muhasebeyi otomatikleştirmek için bu sistemleri kullanıyor. Ayrıca, bu sistemlerin RAS'a göre tam muhasebe otomasyonu için benzerleri yoktur. Çünkü muhasebe ve vergi bildirimi, bu tür sistemlerde işlenmekte ve saklanmaktadır. kesin bilgi herhangi bir kuruluş, o zaman bu bilgiler uygun düzeyde korunmalıdır. Bu sistemler aracılığıyla muhasebenin yanı sıra birçok muhasebe alanı da (örneğin, personel muhasebesi ve bordro, operasyonel ve yönetim muhasebesi, müşteri ilişkileri muhasebesi vb.) otomatize edilmiştir.


    Sorunun formülasyonu.

    Bu çalışmada, 1C Enterprise sistemleri temel alınarak oluşturulmuş veritabanlarındaki bilgileri korumanın yöntemlerini ve araçlarını açıklamak istiyorum.

    İÇİNDE şu anda 1C'nin 3 versiyonu aktif olarak kullanılmaktadır, yani 7.7, 8.1 ve 8.2 versiyonları. Sürüm 7.7 zaten eski ve modası geçmiş ve bu sistemi örnek olarak düşünmek için pratik bir neden göremiyorum. 8.2 sürümü yakın zamanda resmi satışa çıktığından, "1C Enterprise 8.1" sürümünde karar kıldım. Örnek olarak, daha önce geliştirilen Eğitim sistemi operasyonel ve muhasebe ve bordro görevlerini otomatikleştirmek için.

    Çünkü sistem kuruluşun yerel ağında veya yerel bilgisayar, bu durumda bu sistemin olası dış saldırılara karşı korunması ağ yöneticisine aittir. Bu örnekte, esas olarak kuruluşun belirli çalışanlarının bilgilerine erişimi kısıtlama mekanizmasını açıklayacağım.

    Bu sistem depoda mal satın alıp satmanıza olanak sağlarken, alıcıya bazı hizmetler sunmak mümkündür. Alım satım işlemleri yapılırken, sistem otomatik olarak muhasebe ve operasyonel muhasebe verilerini toplar. Ayrıca, muhasebe görevlerinin uygulanması için manuel işlemlere girmek mümkündür, yani. hesapların yazışmalarının girilmesi, ilgili hesaplarda gerekli boyutların, miktarların ve tutarların belirtilmesi. Bordro hesaplama görevi için sistem, bordro, ikramiye, yolluk ve devamsızlık girme becerisini uygular.

    Nesnelere erişmek için aşağıdaki hakları ayarlamanız gerekir:

    Şunun için yönetici hakları oluştur: tam erişim tüm verilere.

    Kuruluşun başkanı için, raporlara ve tüm belgeleri görüntülemeye ilişkin haklar verin.

    Muhasebe çalışanlarına muhasebe belgelerine ve raporlarına erişim hakkı sağlayın.

    Operasyon departmanı çalışanlarına gelen ve giden evrak oluşturma hakkı verilirken, her çalışan sadece sorumlu olduğu karşı taraf için doküman oluşturup görüntüleyebilir.

    Personel departmanı çalışanları için, yalnızca maaş bordrosu için gerekli olan nesnelere açık erişim.

    Yönetim dışındaki tüm çalışanlar için, gönderilmemiş belgelerin yazdırılmasını yasaklayın.

    Tüm kullanıcılar için uygun hakları ayarlayın ve bir parola veya işletim sistemi aracılığıyla tanımlama sağlayın.


    Görevin uygulanması.

    Roller aracılığıyla erişim kontrolü.


    Rol mekanizması, okuma, görüntüleme, değiştirme, silme, tutma vb. hakları ayarlamanıza olanak tanır. her yapılandırma nesnesi için. Konfigürasyon nesneleri dizinlerdir (depolama arkaplan bilgisi, örneğin terminoloji, karşı taraflar vb.), belgeler (ticari işlemleri yansıtmak için tasarlanmış, örneğin fatura, maaş bordrosu vb.) ve herhangi bir bilgi toplayan kayıtlar. Şekil 1, bu örnekte ele alınan ana nesnelerin bir bölümünü göstermektedir.

    Şekil 1. Ana yapılandırma nesneleri.

    Sistemde sınırsız sayıda rol oluşturabilir, her rolde bir nesne için hak belirleyebilir ve her kullanıcı için birden fazla rol belirleyebilirsiniz. Bir kullanıcıya birkaç rol atarken, hakları aşağıdaki kurala göre belirlenir: En az bir rolde izin veriliyorsa bir eylem kullanılabilir ve tüm rollerde devre dışı bırakılmışsa bir eylem kullanılamaz. Şu veya bu rolü yalnızca görsel olarak ve yalnızca yapılandırma yapılandırma aşamasında verebilirsiniz. Çalışma zamanında rolleri değiştiremezsiniz.

    Şekil 2, bir kurulum örneği sunmaktadır. tam haklar sistem yöneticisi için.


    Şekil 2. Bir rol için tüm hakları ayarlama.


    Diğer kullanıcılar için yüklemeniz gerekir gerekli haklar, bu Şekil 3'te gösterilmektedir.


    Şekil 3. Belirli bir kullanıcı için hakları ayarlama örneği.


    Kayıt düzeyinde hakların sınırlandırılması.


    Hakların kayıt düzeyinde farklılaştırılması mekanizması, kayıtlara erişimin tablolar halinde farklılaştırılması için gereklidir. bilgi bankası, belirli kriterlere göre. Örneğin, yalnızca mevcut kullanıcının sorumlu olduğu karşı taraflar dizinindeki girişlere erişim. Örneğin, Şekil 4'te, kullanıcının gelen faturanın belge listesi kayıtlarına erişimini kısıtlayan program metni gösterilmektedir.


    Şekil 4. Kayıt düzeyinde erişim kontrolü örneği.


    Kullanıcı, "Mevcut icracı" oturum parametresi kullanılarak tanımlanır; kullanıcılar hakkındaki bilgiler "Çalışanlar" dizininde saklanır. "Current executor" oturum parametresi, program aşağıdaki program metni ile başladığında ayarlanır:

    Sistem Başlatma Prosedürü()

    SessionParameters.CurrentExecutor= Directoryies.Employees.FindByCode(Username());

    Prosedürü Bitir


    Giriş kontrolu yazılım yöntemleri.


    Roller mekanizmasına ek olarak, program, 1C Enterprise'da yerleşik olan dilde prosedürler ve işlevler yazarak verilere erişimi yapılandırabilir. Bir örnek, sistemin bir form açma yeteneğidir ( görsel öğe kullanıcının birlikte çalıştığı), belirli koşullar karşılandığında salt görüntülenebilir, örneğin:

    SessionParameters.CurrentUser = ise

    Dizinler.Çalışanlar.İsme Göre Bul(“Ivanov”) Sonra

    ThisForm.ViewOnly = doğru;

    EndIf;


    Daha karmaşık örnek program yürütme modunda kullanıcıya gerekli hakları, örneğin gönderilmemiş belgelerin yazdırılmasına izin verilmesi veya yasaklanması gibi izin veren bir mekanizma görevi görür. Bu görevi gerçekleştirmek için, ek hakların bir listesini saklayan bir numaralandırma ve ek hakların değerlerini depolayan bir tablo (Bilgi Kaydı) oluşturuldu. Geçerli kullanıcı için hakkın değerini alan ortak modülde aşağıdaki prosedür oluşturulmuştur:


    İşlev WiredAuthority(Sağ)

    İstek = Yeni İstek;

    Query.Text = "SEÇ

    | DeğerlerEkDoğruDeğer

    | RegisterInformation.ValuesAdditionalPermissions AS ValuesAdditionalPermissions

    | ValuesAdditionalRight.Çalışan = &Çalışan

    | Ve ValuesAdditionalRight.Right = &Right";

    Query.SetParameter("Çalışan",

    SessionParameters.CurrentExecutor);

    Request.SetParameter("Sağ", Sağ);

    Sonuç = Request.Run();

    Result.Empty() Değilse O Zaman

    Seçim = Result.Select();

    Seçim.Sonraki();

    Dönüş Seçimi.Değer;

    yanlış dönüş;

    EndIf;

    Bitiş İşlevleri


    Fatura belgesinin formunda, basılı formun oluşturulmasından sorumlu bir "Yazdır" düğmesi vardır. bu belge. Bu belgeyi açarken, aşağıdaki program metnini kullanarak, kullanıcı için bu düğmenin kullanılabilirliğini ayarlayacağız:

    Prosedür Açık()

    ElementsForm.BasicActionsForms.Buttons.Print.

    Kullanılabilirlik = ProvAccessRights(Enumerations.

    Ek Haklar.Gönderilmemiş Belgelerin Basılması);

    Prosedürü Bitir


    Rollerin atanması ve kullanıcıları tanımlama araçları.


    Programla çalışmasına izin verilen kullanıcılar, görev yapılandırma modunda oluşturulur veya kullanıcı programlı olarak oluşturulabilir. Şekil 5, bir kullanıcı oluşturmanın ve ona uygun hakları atamanın bir örneğini göstermektedir.


    Şekil 5. Kullanıcıların listesi, roller ve tanımlama araçları.


    Çözüm.

    Bu çalışmada, oldukça basit bir muhasebe görevi örneği ve bu görevde kullanıcı haklarını belirlemenin basit bir örneği ele alınmıştır. Ancak verilen örnek birçok kuruluşta çok önemli olan hakların ayrılması açısından sistemin yeteneklerini görsel olarak göstermenize olanak tanır ve her çalışanın yalnızca ihtiyacı olan bilgilere erişmesini sağlar.

    Ek, program çalışırken programın ekran görüntülerini içerir ve yapılan ayarları gösterir.


    Kaynakça.

    Gabets A.P., Goncharov D.I. 1C:Kuruluş 8.1. Basit örnekler gelişim. - M .: LLC "1C-Yayıncılık"; Petersburg: Piter, 2008. - 383 s.: hasta. + CDROM.

    1C:Kuruluş 8.2. Geliştirici Kılavuzu. Bölüm 1. - M .: CJSC "1C", 2009 - 638 s .: hasta.

    Radchenko M.G. 1C:Kuruluş 8.1. pratik rehber geliştirici Örnekler ve tipik teknikler. M.: 1C-Publishing LLC, 2008. 874 s.: hasta.

    Belousov Not: "Platformun yapılandırılması" 1C:Enterprise 8.1 "eğitim kursunun metodolojik materyalleri. - M .: CJSC "1C", 2007 - 272 s .: hasta.


    Başvuru.

    Yetkisiz oturum açma denemesine bir örnek.



    Roller aracılığıyla kısıtlama yoluyla erişim denetiminin bir örneği olan çizim, kullanıcının okuma haklarına sahip olmadığı bir dizini açma girişimini gösterir.

    Kayıt düzeyinde hakların sınırlandırılmasına bir örnek.



    Örnek yazılım uygulaması"Fatura" belgesindeki "Yazdır" düğmesinin erişilememesi.



    Tanımlama ve kimlik doğrulama işlemini gerçekleştirdikten sonra, AS'de bulunan bilgi işlem kaynaklarının yetkili kullanımının müteakip kontrolü için öznenin yetkisini (haklar kümesini) oluşturmak gerekir. Böyle bir sürece erişimin farklılaşması (mantıksal kontrol) denir.

    Tipik olarak, öznenin yetkisi şu şekilde temsil edilir: kullanıcının kullanabileceği kaynakların bir listesi ve listeden her bir kaynağa erişim hakları. Bilgi işlem kaynakları programlar, bilgiler, mantıksal cihazlar, bellek boyutu, işlemci süresi, öncelik vb. olabilir.

    Genellikle, aşağıdaki erişim kontrol yöntemleri ayırt edilir:

    Erişimin listelere göre farklılaştırılması;

    Yetki matrisinin kullanımı;

    Şifre erişim kontrolü.

    Erişimi listelerle sınırlandırırken, aşağıdaki yazışmalar ayarlanır:

    Her kullanıcı - kaynakların bir listesi ve bunlara erişim hakları veya

    Her kaynağın bir kullanıcı listesi ve bu kaynağa erişim hakları vardır.

    Listeler, izinleri kullanıcıya göre ayarlamanıza izin verir. Burada izin eklemek veya erişimi açıkça reddetmek kolaydır. Listeler çoğu işletim sisteminde ve DBMS'de kullanılır.

    Bir yetki matrisinin kullanılması, bir erişim matrisinin (yetki tablosu) kullanımını ifade eder. Belirtilen matriste (bkz. Tablo 2.7), satırlar AS'ye erişimi olan öznelerin tanımlayıcılarıdır ve sütunlar AS'nin nesneleridir (bilgi kaynakları). Matrisin her öğesi, sağlanan kaynağın adını ve boyutunu, erişim haklarını (okuma, yazma vb.), bir başkasına bağlantı içerebilir. bilgi yapısı, erişim haklarını belirleme, erişim haklarını kontrol eden bir programa bağlantı vb.

    Tablo 2.7

    Yetkilendirme matrisinin parçası

    programı

    kullanıcı 1

    kullanıcı 2

    9:00 - 17:00 arası

    c - oluştur, d - sil, r - oku, w - yaz, e - yürüt.

    İzinlerle ilgili tüm bilgiler heterojen listeler biçiminde değil tek bir tabloda saklandığından, bu yöntem daha birleşik ve kullanışlı bir yaklaşım sağlar. Matrisin dezavantajları, olası hantallığı ve kaynakların tam olarak optimal kullanılmamasıdır (hücrelerin çoğu boştur).

    Gizlilik seviyelerine ve kategorilerine göre erişim farklılaştırması, AS kaynaklarının gizlilik seviyelerine veya kategorilerine göre bölünmesinden oluşur.

    Gizlilik düzeyine göre ayrım yaparken, çeşitli düzeyler ayırt edilir, örneğin: genel erişim, gizli, gizli, çok gizli. Her kullanıcının izinleri, kabul edildiği maksimum gizlilik düzeyine göre ayarlanır. Kullanıcı, sahip olduğundan daha yüksek olmayan bir gizlilik düzeyine (çubuğuna) sahip tüm verilere erişebilir.

    Kategorize ederken kategorinin kullanıcıya karşılık gelen sıralaması belirlenir ve kontrol edilir. Buna göre, tüm AS kaynakları önem derecesine göre ayrıştırılır ve belirli bir personel düzeyi, belirli bir düzeye karşılık gelir (yönetici, yönetici, kullanıcı gibi).

    Parola farklılaştırması, açık bir şekilde öznelere nesnelere parolayla erişmek için yöntemlerin kullanımını temsil eder. Tüm yöntemler kullanılır şifre koruması. Açıkçası, sürekli şifre kullanımı kullanıcılar için rahatsızlık ve zaman gecikmeleri yaratır. Bu nedenle, bu yöntemler istisnai durumlarda kullanılır.

    Uygulamada, genellikle birleştirir çeşitli metodlar giriş kontrolu. Örneğin, ilk üç yöntem parola korumasını geliştirir.

    Alt bölümün sonunda, yöneten belgelerin iki tür erişim denetimi (ilke) düzenleyebileceğini not ediyoruz:

    Ayrık erişim kontrolü;

    Zorunlu erişim kontrolü.

    Ayrık erişim kontrolü, adlandırılmış özneler ve adlandırılmış nesneler arasındaki erişimin kısıtlanmasıdır. Belirli bir erişim hakkına sahip bir özne, bu hakkı başka herhangi bir özneye devredebilir. Bu görünüm, listeler veya bir matris kullanılarak sınırlandırma yöntemleri temelinde düzenlenir.

    Zorunlu erişim kontrolü, bir gizlilik etiketi ile karakterize edilen nesnelerde bulunan bilgilere ve bu gizlilik düzeyindeki bilgilere erişim için öznelerin resmi iznine (kabulüne) dayalı olarak, nesnelerin nesnelere erişiminin farklılaşmasını düzenler. Aksi takdirde, zorunlu erişim kontrolünü uygulamak için her özneye ve her nesneye karşılık gelen hiyerarşideki yerlerini yansıtan bir sınıflandırma etiketi atanır. Bu etiketlerle, hiyerarşik sınıflandırma düzeyi ve hiyerarşik kategorilerin kombinasyonları olan konulara ve nesnelere sınıflandırma düzeyleri atanmalıdır. Bu etiketler, zorunlu erişim denetimi ilkesinin temeli olarak hizmet etmelidir. Gizlilik seviyesi ve kategori erişim kontrolü yöntemlerinin zorunlu erişim kontrolü örnekleri olduğu açıktır.

    Devamını oku: