Разграничение доступа к функциям АРМ пользователя на основе категорий (ролей) пользователя реализовано следующим образом:
– разработчиком ТПК «РАБИС-НП» поддерживается системный справочник функций («задач») ПК «РКЦ РАБИС-НП», в котором для каждой функции определены перечни подсистем и категорий пользователей, для которых эти функции вправе выполняться;
– состав функций, доступных из главного меню АРМ пользователя, конфигурируется администраторами ПО подсистемы при настройке АРМ;
– при регистрации пользователя подсистемы администратор информационной безопасности закрепляет его за конкретным (предварительно сконфигурированным администратором ПО) АРМ, и назначает этому пользователю одну или несколько категорий;
– при запуске АРМ, организующая программа (xpress.exe) выполняет аутентификацию пользователя (по имени и паролю), определяет пользователя и закрепленный за ним АРМ, набор функций главного меню АРМ и набор категорий, назначенных данному пользователю. Перед выводом главного меню АРМ пользователю, организующая программа выполняет по системному справочнику функций проверку соответствия функций, включенных в состав АРМ, назначенным категориям пользователя. Функций, для выполнения которых у пользователя отсутствуют необходимые категории, показываются в меню АРМ как неактивные, и их запуск пользователем блокируется.
Пользовательские программы АРМ работают с серверной (общей для всей подсистемы) и пользовательскими базами данных, функционирующими на сервере подсистемы под управлением СУБД MSSQL.
Разграничение доступа при подключении пользовательских процессов АРМ к базам данных подсистемы УБР обеспечивается штатными средствами парольной аутентификации СУБД. Для предотвращения возможности подключения пользователей к базам данных в обход приложений ПК РКЦ РАБИС-НП, реальный пароль для подключения пользователя подсистемы к СУБД вычисляется приложением по определенному алгоритму из двух частей. Первая часть пароля (пользовательская) соответствует значению пароля пользователя для входа в АРМ. Другая часть пароля (системная) представляет собой псевдослучайную маску, хранимую и предоставляемую приложениям РАБИС-НП сервисом аутентификации.
Для разграничения доступа пользователей подсистемы к транспортным сервисам УТП, при конфигурировании транспортного канала подключения пользователя «оператор ЛТС» к транспортной станции УТП должны использоваться средства взаимной аутентификации клиента и транспортной станции УТП, в соответствии с документацией на УТП БР.
Вход пользователя в АРМ подсистемы УБР РАБИС-НП производится с помощью bat- файла запуска АРМ, выполняющего:
– формирование необходимого окружения;
– вызов организующей программы АРМ xpress.exe.
Формирование окружения состоит в присвоении значений необходимым переменным окружения.
Работа средств парольной аутентификации пользователей подсистемы УБР РАБИС-НП основана на использовании прикладного сервиса аутентификации в качестве единственного средства получения прикладными программами АРМ необходимых для их функционирования конфигурационных данных о подсистеме и пользователе. Сервис аутентификации (исполняемый модуль task807.exe) функционирует на сервере подсистемы с полномочиями специального пользователя «mservice» и обеспечивает:
– защиту (изоляцию) конфигурационных данных подсистемы и аутентификационных данных пользователей от прикладных пользовательских процессов;
– парольную аутентификацию и авторизацию пользователей подсистемы;
– предоставление необходимых конфигурационных данных о подсистеме и полномочиях авторизованного пользователя для процессов (прикладных программ) АРМ;
– предоставление процессам авторизованного пользователя дополнительной части парольной информации для подключения к используемым этими процессами базам данных (в СУБД MSSQL);
– разграничение доступа пользователей к функциям АРМ;
– разграничение доступа к модификации конфигурационных данных подсистемы и аутентификационных данных пользователей для процессов авторизованных пользователей, в соответствии с правилами разграничения доступа подсистемы.
На первом этапе взаимодействия организующей или прикладной программы АРМ («клиент») с сервисом аутентификации («сервер») выполняется процедура аутентификации пользователя:
– клиент получает из переменной окружения SERVICES_FILE полный путь к файлу с параметрами подключения к прикладным сервисам РАБИС-НП, выбирает параметры для подключения к сервису аутентификации (секция AUTHSERVER, после чего устанавливает сетевое соединение с этим сервисом и согласовывает с ним протокол обмена данными;
– сервис аутентификации генерирует случайную маску, ассоциирует ее с данным клиентским соединением и передает ее клиенту;
– клиент запрашивает ввод параметров аутентификации (идентификатор и пароль) у пользователя, вычисляет хэш от связки имени и пароля пользователя, маскирует этот хэш полученной от сервера маской и передает маскированный хэш сервису аутентификации;
– сервис аутентификации, используя ассоциированную с данным соединением маску, восстанавливает значение клиентского хэша; выполняет аутентификацию клиента (сравнивает полученное значение клиентского хэша с зарегистрированным аутентификационным значением); в случае успеха, создает контекст пользователя (ассоциированный с данным клиентским соединением) и сообщает клиенту об успешной его аутентификации.
Примечание. Прикладные программы ТПК РАБИС-НП могут также использовать параметры аутентификации, полученные от родительского процесса (например, от организующей программы xpress.exe).
После получения от сервиса аутентификации сообщения об успешной аутентификации клиентский процесс может использовать установленное соединение для обращения к сервису аутентификации с запросами на получение необходимых конфигурационных данных или на их модификации. Обработка этих запросов выполняется в соответствии с правилами разграничения доступа с учетом зарегистрированной категории (роли) аутентифицированного в данном соединении пользователя.
При первом входе пользователя в систему, либо при наличии признака аннулирования пароля, в качестве значения пароля пользователя принимается значение, равное идентификатору пользователя.
Принудительная смена пароля инициируется при выполнении одного из следующих условий: первый вход пользователя в систему; установлен признак аннулирования пароля пользователя; истек срок действительности пароля.
Признаки аннулирования пароля пользователя и признаки необходимости смены пароля для пользователей могут устанавливаться администраторами информационной безопасности.
Количество попыток ввода пользователем корректного пароля программно ограничено тремя неудачными попытками (для противодействия средствам автоматизированного подбора паролей), после которых процедура входа в АРМ завершает работу.
При попытках установки пользователем нового значения пароля программно проверяется выполнение следующих требований к «качеству» пароля:
– длина пароля должна быть не менее 8 символов;
– в пароле должны присутствовать хотя бы один алфавитный символ, хотя бы один цифровой и хотя бы один специальный;
– хотя бы один из алфавитных символов должен отличаться регистром (SHIFT) от остальных;
– пароль не должен совпадать с идентификатором пользователя;
– вновь устанавливаемое значение пароля не должно совпадать с пятью предыдущими значениями пароля.
При невыполнении этих условий, на экран выводятся соответствующие комментарии и подсказки.
Для функционирующих в непрерывном автоматическом режиме АРМ оператора СД КЦОИ, АРМ оператора ВЭО и МЭР, а также АРМ контролера ЭС подсистем ОИТУ КЦОИ, реализована возможность т.н. «группового режима» работы их операторов, учитывающего специфику работы персонала дежурных смен КЦОИ. В «групповом режиме» автоматическая работа АРМ производится от имени оператора, первым запустившего АРМ, а требующие вмешательства оператора управляющие функции могут выполняться свободным оператором дежурной смены, если он зарегистрирован для работы на этом АРМ с соответствующей категорией (ролью). Выполнение критичных управляющих воздействий операторами этих АРМ регистрируется в регистрационном журнале с указанием имени конкретного оператора, для чего каждая такая операция предваряется запросом имени и пароля оператора АРМ для выполнения его аутентификации и авторизации. При отрицательных результатах аутентификации или авторизации пользователя, выполнение данной операции блокируется, с регистрацией попытки НСД в журнале.
«Групповой режим» работы пользователей указанных АРМ может устанавливаться администраторами ИБ подсистем ОИТУ КЦОИ, с учётом политики безопасности и организационно-технических мер защиты, реализуемых в КЦОИ. По умолчанию действует «индивидуальный» режим работы этих АРМ, при котором смена пользователей должна сопровождаться перезапуском АРМ (с повторным коннектом к БД и инициализацией ключевой информации).
В подсистемах УБР, ТУ, ТЦОИ, ОИТУ КЦОИ РАБИС-НП регистрация действий пользователей выполняется специальным сервисом регистрации, функционирующим на сервере подсистемы. Прикладные процессы, обрабатывая события, подлежащие регистрации, вызывают функцию регистрации, передавая ей необходимые атрибуты. Функция регистрации обращается к сервису регистрации, который осуществляет буферизацию поступающих к нему обращений и их запись в файл оперативного регистрационного журнала.