«Безопасность корпоративных информационных систем» (стр. 6 из 7)
· Вспомогательные таблицы
o Users2Apps
o SQLGroups2Apps
o WinGroups2Apps
o UsersPriorSQLGroups
o UsersPriorWinGroups
Основные таблицы хранят в себе данные о пользователях, приложения и группах на контроллере домена, а также роля на различных SQL серверах. Вспомогательные таблицы обеспечивают связи «многие-ко-многим», которые имеются в системе.
Обращения к таблицам производятся при помощи нескольких десятков хранимых процедур. Использование хранимых процедур, а также SQL-параметров позволяет эффективно защитить приложение от SQL инъекций, которые являются одним из главных путей для взлома web-приложений использующих базы данных, в последнее время. Схема бахзы данных представлена на рисунке.
Приложение состоит из 8 .aspx страниц предназначенных для управления доступом. Обратимся к работе приложения подробнее.
Страница WinGroupsAdd.aspx служит для добавления в систему идентификаторов групп на контроллере домена. Пользователь вводит имя группы. Система производит поиск групп на контроллере домена и предоставляет список похожих по названию групп. Пользователь выбирает нужную группу, если это необходимо вводит текстовое описание этой группы и нажимает на клавишу сохранить. Данные о группе сохраняются в базе данных приложения.
С использованием страницы WinGroupsEdit.aspx пользователь может отредактировать раннее введённую информацию о группе, а именно, её текстовое описание. Кнопка удалить удаляет всю информацию о группе в системе, а также производит механизм удаления пользователей из данной, при условии, что онибыли добавлены туда данной системой. Для проверки служит таблица UserPriorWinGroups.
Страница SQLGroupsAdd.aspx служит для добавления в систему данных для использования групп на SQL сервере. Пользователь вводит имя сервера, название базы данных и роли, в соответствующей базе данных. Если это необходимо, пользователь вводит текстовое описание этой группы и нажимает на клавишу сохранить. Данные о группе сохраняются в базе данных приложения.
С использованием страницы SQLGroupsEdit.aspx пользователь может отредактировать раннее введённую информацию о группе, а именно, её текстовое описание. Остальные поля недоступны для редактирования поскольку для внесения таких изменений необходимо создание новой группы пользователей. Кнопка удалить удаляет всю информацию о группе в системе, а также производит механизм удаления пользователей из данной, при условии, что онибыли добавлены туда данной системой. Для проверки служит таблица UserPriorSQLGroups.
Страница ApplicationAdd.aspx служит для добавления приложений в систему. На данной странице пользователь может ввести название приложения, его текстовое описание, а также выбрать необходимые для работы с этим приложение группы как на SQL серверах, так и на контроллере домена. Выбор производится из соответствующих списков групп, имеющихся в базе данных системы. Кнопка сохранить запомнит соответствующие данные в системе, а кнопка отменить вернёт вас на эту же страницу без выполнения каких либо действий. Только очистит все введённые данные.
Используя ApplicationEdit.aspx, вы можете изменить описание приложения, а также набор нужных для его использования групп. При нажатии кнопки сохранить. Система обновит данные в своей базе данных, а также изменит соответствующим образом права пользователей, имеющих доступ к данному приложению.
Страница UserAdd.aspx предназначена для добавления пользователей в систему. Этот процесс происходит следующим образом. Пользователь вводит полностью или частично имя пользователя, который должен быть добавлен в систему. Производится поиск на контролере домена. После чего пользователю выдаётся список подходящих вариантов имён пользователей. Выбирается искомый пользователь домена и для него выбираются нужные приложения. Кнопка сохранить запомнит соответствующие данные в системе, а кнопка отменить вернёт вас на эту же страницу без выполнения каких либо действий. Только очистит все введённые данные.
Используя UserEdit.aspx пользователь может добавить или удалить право доступа к тем ли и иным приложением, а также удалить пользователя из базы данных приложения.
В данной работе проведён анализ корпоративных информационных систем: их структуры и механизмов обеспечения безопасности. Все корпоративные информационные системы были разделены на 2 класса: сильноинтегрированные системы, яркими представителями которых являются ERP системы, а также слабоинтегрированные системы выстроенные из нескольких десятков отдельных, иногда совершенно не связанных приложений. Управление доступом в абсолютном большинстве из них построено на основе ролевой дискреционной модели разграничения прав пользователей с централизованным управлением доступом.
Проведён анализ существующих угроз для корпоративных информационных систем, а также способов их предотвращения. Статистические данные говорят о том, что главной проблемой нас сегодняшний день является проблема защиты от халатных или преступных действий сотрудников корпорации. Проанализированы методы защиты от таких действий, главным из которых признан метод разграничения доступа пользователей к корпоративной информационной системе.
Проведено исследование существующих способов разграничения доступа и анализ их применимости тех или иных условиях. Выбрана методика, наиболее подходящая для организации разграничения доступа к корпоративным информационным ресурсам Белорусского государственного университета. На базе неё построено приложение, позволяющее управлять доступом пользователей к ресурсам данной корпоративной информационной системе. Оно обеспечивает связь между приложениями, системами управления базами данных и объектами Active Directory. Разработанная система позволяет глобально управлять доступом к разнородным приложениями. Гибкая система управления доступом позволяет ориентировать на себя разработку новых приложений и поддерживает управление уже написанными приложениями без внесения каких-либо изменений в их код.
1. Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. Москва: Горячая Линия-Телеком, 2004.
2. Белов Е.Б. Лось В.П. Основы информационной безопасности. Москва: Горячая Линия-Телеком, 2006.
3. Романец Ю.В. Тимофеев П.А. Защита информации в компьютерных системах и сетях. Москва: Радио и Связь 2001.
4. Ярочкин В.И. - Информационная безопасность Учебник для студентов вузов. — М.: Академический Проект; Гаудеамус.
5. Noel Simpson. Accessing and Manipulating Active Directory with ASP. NET.
6. Joe Kaplan, Ryan Dunn. The .NET Developer's Guide to Directory Services Programming (Microsoft .NET Development Series)
7. Matthew MacDonald. Beginning ASP.NET 1.1 in C#: From Novice to Professional (Novice to Professional).
8. Hank Meyne, Scott Davis Developing Web Applications with ASP.NET and C#.
9. Робин Дьюсон SQL Server 2000. Программирование. Москва: Бином, 2003.
10. П. Шумаков ADO.NET и создание приложений баз данных в среде Microsoft Visual Studio.NET Москва: Диалог-МИФИ, 2004 г.
Предметный указатель к реферату.
A
Active Directory........................................................................................................................................................................... 31, 36
E
ERP.................................................................................................................................................................... 3, 5, 6, 7, 8, 30, 35, 39
M
MRP................................................................................................................................................................................................. 3, 6
А
Атака............................................................................................................................................................................................... 11
Д
Доступность.................................................................................................................................................................................. 10
К
Комплекс средств защиты.......................................................................................................................................................... 11
Конфиденциальность данных......................................................................................................................................................... 9
Н
Несанкционированный доступ к информации............................................................................................................................... 9
О
Объект............................................................................................................................................................................................. 10
П
Политика безопасности................................................................................................................................................................ 11
Правила разграничения доступа.................................................................................................................................................... 9
С
Санкционированный доступ к информации................................................................................................................................... 9
Субъект............................................................................................................................................................................................ 10
У
Ущерб безопасности...................................................................................................................................................................... 10
Уязвимость..................................................................................................................................................................................... 10
Ц
Целостность............................................................................................................................................................................ 10, 12
Интернет ресурсы в предметной области исследования.
1. http://xakep.ru – один из наиболее продвинутых русских сайтов, посвященных анализу уязвимостей информационных систем, их эксплойтов, возможным способам взлома систем и их защиты.
2. http://www.webxakep.ru –сайт посвящен взлому информационных систем, а также мерам по защите от атак.
3. http://msdn.microsoft.com – сайт ориентирован для разработчиков, ориентированных на технологические решения Microsoft, содержит документацию по продуктам этой компании, примеры кода, технические статьи, справочные и учебные материалы, самые последние обновления, расширения, последние новости, форум подписчиков.