Руководство администратора информационно
advertisement
Государственное автономное учреждение «Республиканский центр инфокоммуникационных технологий» Закрытое акционерное общество «Прогноз» Руководство администратора информационно-аналитической системы Ситуационного центра Президента Республики Саха (Якутия) Якутск 2011 2 СОДЕРЖАНИЕ 1. ВВЕДЕНИЕ .......................................................................................................................................................... 3 2. ПРОГРАММНЫЕ МОДУЛИ АДМИНИСТРИРОВАНИЯ ........................................................................ 5 2.1. НАЗНАЧЕНИЕ .............................................................................................................................................. 5 2.2. РАСПОЛОЖЕНИЕ ........................................................................................................................................ 5 2.3. ПОСЛЕДОВАТЕЛЬНОСТЬ ДЕЙСТВИЙ ................................................................................................... 5 Создание справочника НСИ................................................................................................................... 5 Ведение НСИ ......................................................................................................................................... 10 Ведение базы данных ............................................................................................................................ 22 Ведение рубрикатора показателей .................................................................................................... 30 Администрирование объектов системы ........................................................................................... 33 Ведение пользователей системы ........................................................................................................ 41 Ведение групп пользователей .............................................................................................................. 45 Менеджер безопасности ..................................................................................................................... 52 Подсистема сбора данных ................................................................................................................ 168 Ввод условно-эталонных данных .................................................................................................... 168 Загрузка бюджетных данных ......................................................................................................... 170 Загрузка налоговых данных.............................................................................................................. 170 Загрузка данных по распоряжению №806...................................................................................... 170 Просмотр протокола доступа к объектам системы .................................................................. 171 3 1. Введение Областью применения ИАС СЦ Президента РС(Я) являются процессы принятия и выработки решений органов исполнительной власти субъекта РФ в вопросах регионального управления социально-экономическим развитием. ИАС СЦ Президента РС(Я) имеет инструментальные возможности обеспечения: Мониторинга, анализа и прогнозирования социально-экономического развития субъекта РФ; Программно-информационного взаимодействия территориальных органов, федеральных органов государственной власти, органов исполнительной власти Субъекта РФ, органов местного самоуправления; Защиты, конфиденциальности и целостности коллективных информационных ресурсов ИАС СЦ Президента РС(Я). Уровень подготовки персонала, необходимого для работы с ИАС СЦ Президента РС(Я), предполагает наличие двух типов пользователей: администраторы и пользователи. Администраторы Администраторы осуществляют поддержку корректного функционирования ИАС СЦ ПРЕЗИДЕНТА РС(Я) (из специалистов, обладающих знаниями в области информационных и сетевых платформ, на которых реализовано ИАС СЦ Президента РС(Я), а также опытом администрирования баз данных). Администраторы должны обеспечивать решение следующих основных задач: поддержка бесперебойной работы аппаратного обеспечения в штатном режиме, содержание и обслуживание технической и коммуникационной части ИАС СЦ Президента РС(Я); текущее консультирование пользователей по вопросам работы с ИАС СЦ Президента РС(Я); обеспечение регламентного наполнения базы данных ИАС СЦ Президента РС(Я) исходной информацией из внешних источников (при наличии реализованных модулей загрузки данных); инсталляция дополнительных мест ИАС СЦ Президента РС(Я); поддержка регламентных операций ИАС СЦ Президента РС(Я): администрирование, резервное копирование (архивация) и поддержка в рабочем состоянии ИАС СЦ Президента РС(Я) на сервере и рабочих местах; 4 обновление ИАС СЦ Президента РС(Я), протоколирование и при необходимости исправление ошибок (при консультировании разработчика); тестирование обновленной функциональности перед вводом в эксплуатацию; формирование перечня замечаний и ошибок и передача их Заказчику; послегарантийное сопровождение ресурсов ИАС СЦ Президента РС(Я), модификация и разработка новой функциональности. Пользователи Категории пользователей ИАС СЦ Президента РС(Я): операторы ИАС СЦ Президента РС(Я), поддерживающие выполнение регламентных операций контроля ввода и загрузки-выгрузки данных; специалисты-аналитики, использующие функциональные возможности программного продукта в своей непосредственной деятельности; лица, принимающие решения, которым предоставляется необходимая информация. При работе с системой пользователь должен обладать знаниями предметной области, навыками работы с операционной системой Microsoft Windows, а также пройти текущее обучение по работе с ИАС СЦ Президента РС(Я). Для работы с системой необходимо ознакомиться эксплуатационной документации: Администраторы Описание организации информационной базы; Руководство администратора. Пользователи Руководство пользователя; Типовые методики мониторинга и анализа. со следующим набором 5 2. Программные модули администрирования 2.1. НАЗНАЧЕНИЕ Задача предназначена для обеспечения регламентированного доступа к открытой информации ИАС СЦ Президента РС(Я) посредством поддержки выполнения следующих функций: формирование групп и отдельных пользователей; формирование списка пользователей; распределение прав доступа к элементам справочников и данным ЦХД; распределение прав доступа к объектам ИАС СЦ Президента РС(Я), в том числе через Интернет; модификация элементов справочников; просмотр протокола доступа к объектам ИАС СЦ Президента РС(Я). 2.2. РАСПОЛОЖЕНИЕ Раздел «ПОДСИСТЕМА АДМИНИСТРИРОВАНИЯ». 2.3. ПОСЛЕДОВАТЕЛЬНОСТЬ ДЕЙСТВИЙ Создание справочника НСИ Для того чтобы создать справочник НСИ, необходимо выполнить следующие действия: Работа с инструментальной панелью Инструментальная панель (Рисунок 2.3.1) предназначена для осуществления различных операций с элементами или объектами ИАС СЦ Президента РС(Я). Рисунок 2.3.1 – Инструментальная панель. Описание функциональности кнопок представлено в таблице 1. Таблица 1 Кнопка Наименование «Создать» «Удалить» Функциональность Позволяет создать папку либо справочник. Позволяет удалить папку либо 6 Кнопка Наименование Функциональность справочник. «Структура» Позволяет открыть окно «Редактирование справочника». «Субъекты Позволяет открыть окно безопасности» «Субъекты безопасности». «Обновить» «Выгрузить » «Загрузить» Позволяет обновить описание справочников НСИ. Позволяет выгрузить из системы описание справочника в xml-формате. Позволяет загрузить в систему описание справочника в xml-формате. Шаг 1.Запуск задачи Перейти к разделу «Подсистема администрирования». Выбрать каталог «Ведение нормативно-справочной информации». Запустить задачу «Описание справочников НСИ», после чего на экране должна отобразиться следующая форма (Рисунок 2.3.2). 7 Рисунок 2.3.2 – Задача «Описание справочников НСИ». Шаг 2.Создание справочника Выбрать в форме «Описание справочников НСИ» пункт главного меню «Справочник». Выбрать подпункт меню «Добавить» и выбрать из списка пункт «Справочник». После чего справочник создастся автоматически, и на экране отобразится окно, представленное на рисунке 2.3.3. Для завершения процесса создания справочника нажмите на кнопку «Сохранить». 8 Рисунок 2.3.3 – Редактирование структуры справочника. Кнопки «Добавить», «Редактировать» и «Удалить» используются для создания, редактирования и удаления полей справочника. Чтобы создать поле, нужно: Выбрать необходимый справочник в дереве объектов формы «Описание справочников НСИ»; Нажать на кнопку «Добавить» и выбрать тип атрибута, который необходимо добавить; На экране отобразится окно следующего вида (Рисунок 2.3.4): 9 Рисунок 2.3.4 – Создание поля справочника. В данном окне необходимо: Ввести наименование, идентификатор, указать тип атрибута, тип данных, задать возможность содержания в поле пустых значений, множественных значений, указать скрытый ли это будет атрибут; Нажать на кнопку «ОК». Чтобы отредактировать параметры какого-либо поля справочника необходимо выполнить следующие действия: В списке полей справочника выбрать поле для редактирования; Нажать на кнопку «Изменить»; В появившемся окне задать требуемые параметры и нажать на кнопку «ОК». Чтобы удалить одно из полей справочника необходимо: В списке полей справочника выбрать поле, которое следует удалить; Нажать на кнопку «Удалить», после чего появится окно подтверждения удаления, в котором нужно выбрать положительный ответ. Шаг 3. Редактирование справочников Для редактирования справочника необходимо: Выбрать из списка тот справочник, параметры которого требуется изменить; 10 Выбрать в форме «Описание справочников НСИ» пункт главного меню «Редактировать». Выбрать подпункт меню «Структура». После выполнения всех операций, связанных с редактированием справочника, следует нажать на кнопку «Сохранить». Создание, удаление и редактирование полей справочника было описано в п.2.3.1. Шаг 4.Удаление справочников Для того чтобы удалить справочник из ИАС СЦ Президента РС(Я), нужно выбрать его в иерархическом списке справочников, затем нажать на кнопку «Удалить». После чего появится системное окно, которое запрашивает подтверждение на удаление. Рисунок 2.3.5 –Окно «Подтверждение». Ведение НСИ Задача ведения нормативно-справочной информации предназначена для создания, редактирования, удаления, а также поиска элементов справочников ИАС СЦ Президента РС(Я). Для выполнения этой задачи необходимо последовательно открыть раздел «Подсистема администрирования», выбрать каталог «Ведение нормативно-справочной информации», затем запустить задачу «Ведение НСИ» (Рисунок 2.3.6). 11 Рисунок 2.3.6 – Задача «Ведение НСИ». Шаг 1. Поиск элемента справочника Для того чтобы найти нужный элемент в иерархическом списке элементов справочника необходимо выполнить следующие действия: Выбрать необходимый справочник, иерархическом списке справочников; элемент которого вы хотите найти в 12 Рисунок 2.3.7 – Задача «Ведение НСИ». Нажать на кнопку функциональной панели «Поиск элемента» ; В появившемся окне ввести часть наименования элемента, который необходимо найти (Рисунок 2.3.8). Рисунок 2.3.8 – Поиск элемента в справочнике. Если поиск завершен успешно, то данный элемент будет отмечен в иерархическом списке элементов справочника. Шаг 2. Создание элемента справочника Для создания нового элемента справочника необходимо выполнить следующие действия: В списке элементов справочника необходимо выбрать элемент, который будет «родителем» для создаваемого элемента (если справочник имеет иерархию); 13 Нажать на кнопку «Добавить элемент справочника» зависимости от типа и вида справочника может , после чего на экране в отобразиться одно из представленных ниже окон (Рисунок 2.3.9, Рисунок 2.3.10); Рисунок 2.3.9 – Свойства элемента справочника. Рисунок 2.3.10 – Свойства элемента справочника. Указать необходимые параметры создаваемого элемента. Выбор параметров изменяется в зависимости от типа справочника. Для сохранения элемента в справочнике следует нажать на кнопку «ОК». Операции удаления и редактирования элемента справочника возможны лишь в том случае, если элемент справочника был создан пользователем. Шаг 3. Редактирование элементов справочника Для редактирования элемента справочника нужно: Отметить элемент в перечне элементов справочника; Нажать на кнопку «Редактировать элемент» ; Внести необходимые изменения в параметры редактируемого элемента; Нажать на кнопку «ОК». Используя кнопки «Переместить вверх», «Переместить вниз» и «На уровень вверх» можно редактировать порядок следования элементов справочника. Шаг 4. Удаление элемента из справочника 14 Чтобы удалить элемент справочника необходимо выполнить следующие действия: Отметить элемент в перечне элементов справочника; Нажать на кнопку «Удалить» . Шаг 5. Определение прав доступа Для того чтобы определить права доступа к элементу справочника, необходимо выполнить следующие действия: Отметить элемент в перечне элементов справочника; Нажать на кнопку «Определить права доступа» , после чего на экране отобразится окно «Права доступа»(Рисунок 2.3.11). Рисунок 2.3.11 – Окно «Права доступа». Установить с помощью переключателя тип права доступа (Рисунок 2.3.12); Рисунок 2.3.12 – Панель «Права доступа». Установить с помощью переключателя тип субъекта безопасности (Рисунок 2.3.13); 15 Рисунок 2.3.13 – Панель «Субъекты безопасности». Затем выделить необходимых пользователей (групп пользователей) в списке пользователей (групп пользователей)(Рисунок 2.3.14); Рисунок 2.3.14 – Список пользователей. В правом окне выделить элементы справочника, на которые будут распространяться права доступа (Рисунок 2.3.15); 16 Рисунок 2.3.15 –Элементы справочника. Для сохранения настроек «Права доступа» следует нажать на кнопку «Сохранить». В данном окне имеется возможность копирования прав доступа одного пользователя. Для того чтобы скопировать права доступа одного пользователя (группы пользователей) и применить их к другому пользователю (другой группе) необходимо произвести следующие действия: Выбрать в списке пользователя либо группу пользователей, чьи права будут копироваться; Нажать на кнопку «Копировать», расположенную на панели над областью «Элементы справочника»(Рисунок 2.3.16); 17 Рисунок 2.3.16 – Окно «Права доступа». Затем выбрать пользователя или группу пользователей, к которым будет применена данная настройка; Для полной замены имеющихся настроек у выбранного пользователя следует выбрать пункт меню «Заменить» (Рисунок 2.3.17). Если необходимо применить скопированные параметры к имеющимся у данного пользователя, то следует выбрать пункт меню «Добавить» (Рисунок 2.3.17). 18 Рисунок 2.3.17 – Окно «Права доступа». Для окончательного применения внесенных изменений следует нажать на кнопку «Сохранить». При настройке прав доступа имеется возможность копирования настроек специализированный файл. Для этого необходимо нажать на копку «Сохранить в в файл» (Рисунок 2.3.18). Далее в диалоговом окне «Сохранить как» ввести наименование файла и нажать на кнопку «Сохранить». По-умолчанию, файл будет сохранен в папку «Мои документы», при желании место положения файла может быть изменено с помощью проводника. 19 Рисунок 2.3.18 – Окно «Права доступа». Для того чтобы осуществить загрузку настроек прав доступа из специального файла необходимо выбрать из меню «Загрузить из файла» команду «Добавить» или «Заменить» (Рисунок 2.3.19). Далее в открывшемся диалоговом окне «Открыть» выбрать файл с настройками и нажать на кнопку «Открыть». Для полной замены имеющихся настроек прав доступа у выбранного пользователя следует выбрать пункт меню «Заменить», для добавления к имеющимся правам - пункт меню «Добавить». 20 Рисунок 2.3.19 – Окно «Права доступа». Шаг 6. Выгрузка элементов справочника Для того чтобы осуществить выгрузку элементов справочника, необходимо выполнить следующие действия: Отметить справочник в списке; Нажать на кнопку «Выгрузка элементов» , после чего на экране отобразится окно «Форма выгрузки справочника»(Рисунок 2.3.20). 21 Рисунок 2.3.20 – Форма выгрузки справочника. Отметить экспортируемые атрибуты; Затем нажать на кнопку «Обзор», после чего откроется диалоговое окно «Сохранить как…»; Рисунок 2.3.21 – Окно «Сохранить как…». 22 Указать путь, куда будет сохранен файл выгруженный файл. При необходимости в данном окне можно переименовать файл. По окончании работы с окном следует нажать на кнопку «Сохранить»; Нажать на кнопку «ОК» формы. Ведение базы данных Основное назначение задачи заключается в ведении справочника социально- экономических показателей, а именно, создание показателей в той или иной разрезности для последующего использования в различных задачах. Шаг 1.Запуск задачи Для запуска задачи необходимо выполнить следующие действия: Перейти к разделу «Подсистема администрирования»; Выбрать каталог «Ведение базы данных»; Запустить задачу «Ведение базы данных»; На экране отобразится окно следующего вида (Рисунок 2.3.22): Рисунок 2.3.22 – Ведение базы данных. Окно задачи «Ведение базы данных» состоит из следующих элементов: 23 функциональной панели – содержит управляющие кнопки; иерархического списка показателей справочника – представляет полный перечень показателей в иерархическом виде; информационной части окна – отображает наименование показателя, его разрезность, а также дополнительную информацию в виде комментария (зависит от выбранного вида отображения). Виды отображения списка показателей Для того чтобы выбрать вид отображения показателей, необходимо нажать на кнопку «Способ отображения» функциональной панели и выбрать в выпадающем меню один из пунктов: Рисунок 2.3.23 – Способ отображения. основной перечень показателей – включает отображение перечня показателей, отражает вхождение показателей в измерения ИАС СЦ ПРЕЗИДЕНТА РС(Я); 24 Рисунок 2.3.24 – Способ отображения «Основной перечень показателей». показатели со структурой - включает отображение перечня показателей, отражает структуру показателей; 25 Рисунок 2.3.25 – Способ отображения «Показатели со структурой». источники данных – включает отображение источников данных. 26 Рисунок 2.3.26 – Способ отображения «Источники данных». Шаг 2.Создание показателя Для того чтобы создать показатель и определить его разрез, необходимо выполнить следующие действия: Выбрать способ отображения «Показатели со структурой»; В иерархическом списке выбрать показатель или папку с показателями, к которым будет привязан вновь создаваемый показатель; Нажать на кнопку функциональной панели «Создать» и выбрать в меню подпункт «Показатель»; На экране отобразится окно создания показателей (Рисунок 2.3.27); 27 Рисунок 2.3.27 – Создание показателя. В диалоговом окне «Свойства показателя» следует выбрать показатель. Ввести наименование показателя вручную. Ввод наименования показателя можно осуществить с помощью кнопки «Сформировать наименование», если уже были выбраны значения по показателю и единицы измерения. Выбрать единицу измерения, после чего определить его разрез. При формировании разрезности показателя можно использовать ранее созданную в системе либо создать новую. Если используем ранее созданную разрезность, то следует установить переключатель в положение «Созданная ранее размерность» и выбрать ее из раскрывающегося списка. 28 Рисунок 2.3.28 – Свойства показателя. Если в базе данных нет подходящей разрезности для размещения нового показателя, то автоматически сформируется новая структура для хранения значений нового показателя (Рисунок 2.3.29). Для этого следует установить переключатель в положение «Новая разрезность». 29 Рисунок 2.3.29 – Свойства показателя. Если при создании разрезности необходимо добавить дополнительный элемент, то следует нажать на кнопку «Добавить», отобразится окно «Выбор справочника» (Рисунок 2.3.30). Рисунок 2.3.30 – Окно «Выбор справочника». Для того чтобы удалить элемент разрезности следует выделить его и нажать на кнопку «Удалить». 30 После настройки всех параметров необходимо нажать на кнопку «Сохранить». Шаг 3. Редактирование показателя Для того чтобы изменить заданные ранее параметры показателя необходимо выполнить следующие действия: Выбрать показатель из списка показателей; Выполнить команду контекстного меню выбранного показателя «Редактировать» (Error! Reference source not found.) или нажать на кнопку «Редактировать» ; После выполнения команды «Редактировать» на экране отобразится окно свойств элемента справочника (Error! Reference source not found.); Далее можно изменить необходимые свойства выбранного элемента и нажать на кнопку «ОК». Шаг 4.Удаление показателя Для того чтобы удалить элемент справочника необходимо выполнить следующие действия: Выбрать показатель из иерархического списка показателей; Нажать на кнопку функциональной панели «Удалить» либо выбрать пункт контекстного меню «Удалить». Ведение рубрикатора показателей Задача «Ведение рубрикатора показателей системы» предназначена для формирования перечня показателей, использующихся в различных задачах ИАС СЦ ПРЕЗИДЕНТА РС(Я), путем формирования динамических рядов. Для редактирования рубрикатора показателей для задачи необходимо выполнить следующие действия: Шаг 1. Запуск задачи Перейти к разделу «Подсистема администрирования»; Выбрать каталог «Рубрикатор показателей»; Запустить задачу «Ведение рубрикатора показателей системы»; На экране отобразится первая страница мастера формирования перечня показателей (Рисунок 2.3.31), затем нажать на кнопку «Далее». 31 Рисунок 2.3.31 – Первая страница мастера формирования перечня показателей. Шаг 2. Определение структуры данных для редактирования На второй странице мастера предлагается выбрать существующий виртуальный куб для редактирования (Рисунок 2.3.32). Рисунок 2.3.32 – Вторая страница мастера формирования перечня показателей. Для поиска, смены наименования или удаления структур данных необходимо воспользоваться контекстным меню (вызывается правой кнопкой мыши) и выбрать соответствующий пункт. Шаг 3. Выбор перечня показателей для задачи Перейти к следующей странице мастера, нажав на кнопку «Далее», после чего на экране отобразится третья страница мастера (Рисунок 2.3.33). 32 Рисунок 2.3.33 – Выбор перечня показателей для задачи. На данном этапе следует отметить показатели, которые должны входить в задачу и нажать на кнопку «Далее». Шаг 4. Определение структуры данных На экране отобразится следующая страница мастера формирования перечня показателей (Рисунок 2.3.34). 33 Рисунок 2.3.34 – Определение структуры данных. На данном этапе следует определиться со структурой данных. С помощью механизма «Drag-&-Drop» выбрать измерения, которые будут отображены в ЦХД, затем нажать на кнопку «Далее», после чего на экране отобразится следующая страница мастера (Рисунок 2.3.35). Рисунок 2.3.35 – Формирование динамического ряда. Шаг 5. Формирование динамического ряда На данном этапе требуется перенести в правую часть те показатели, которые будут использоваться в задаче и нажать на кнопку «Далее». Шаг 6. Завершение работы На заключительной странице мастера следует нажать на кнопку «Готово». Все изменения, произведенные в рубрикаторе, будут отображены в ЦХД. Администрирование объектов системы Данная задача предназначена для управления объектами системы, а именно, подключения объектов к разделам главной формы, удаления объектов, выстраивания порядка следования элементов системы. Также задача используется для раздачи прав пользователям на объекты системы. 34 Шаг 1. Запуск задачи Для запуска задачи необходимо перейти в раздел «Подсистема администрирования», выбрать подраздел «Объекты системы» и запустить форму «Администрирование объектов системы». После чего на экране отобразится следующее окно (Рисунок 2.3.36). Рисунок 2.3.36 – Форма «Объекты системы». Шаг 2.Подключение объекта к системе Для того чтобы подключить объект к системе, необходимо выполнить следующие действия: Указать каталог, к которому будет привязан новый объект; Нажать на кнопку функциональной панели «Добавить», после чего на экране отобразится окно настройки параметров подключаемого объекта (Рисунок 2.3.37); 35 Рисунок 2.3.37 – Форма «Свойства элемента справочника». Необходимо задать следующие параметры подключаемого объекта: Наименование – ввести наименование объекта; Тип объекта (папка, отчет, раздел, форма, рабочее пространство, экспресс-отчет); Идентификатор объекта – указать идентификатор подключаемого объекта; Права доступа – указать пользователей, которым будет доступен данный объект. Права доступа для каждого пользователя были определены ранее. Примечание; Признак ввод данных – указать 1, если отчет реализован для ввода данных. После указания необходимых свойств подключаемого объекта следует нажать на кнопку «ОК». Шаг 3. Изменение параметров объекта главной формы Чтобы изменить параметры уже подключенного к главной форме объекта необходимо выполнить следующие действия: Выбрать объект из общего перечня объектов, подключенных к системе; Нажать кнопку функциональной панели «Редактировать элемент справочника»; На экране отобразится окно редактирования свойств объекта системы (Рисунок 2.3.38); 36 Рисунок 2.3.38 – Форма «Свойства элемента справочника». Изменить необходимые свойства объекта или задать новые; Нажать на кнопку «ОК». Шаг 4. Удаление объекта из списков объектов главной формы Для удаления объектов, подключенных к главной форме, необходимо выполнить следующие действия: Выбрать нужный объект в перечне объектов, подключенных к главной форме; Нажать на кнопку функциональной панели «Удалить». Если объект не является папкой, то будет удален также объект метаданных, соответствующий элементу справочника объектов главной формы. Если у пользователя недостаточно прав доступа для удаления объекта метаданных, привязанного к элементу справочника объектов главной формы, объект удалён не будет. Шаг 5. Копирование объекта в список объектов главной формы Для осуществления копирования объекта в списке объектов, подключенных к главной форме необходимо выполнить следующие действия: Выбрать нужный объект в перечне объектов, подключенных к главной форме; Нажать на кнопку функциональной панели «Копировать». Копирование доступно только для объектов типа «Отчет». Предназначено для создания новых отчетов на базе аналогичных. Шаг 6 Разграничение прав доступа на объекты Для того чтобы определить права доступа к объекту системы необходимо выполнить следующие действия: Отметить объект в перечне объектов системы; 37 Нажать на кнопку «Права доступа» , после чего на экране отобразится окно «Права доступа»(Рисунок 2.3.39). Рисунок 2.3.39 – Окно «Права доступа». Установить с помощью переключателя тип субъекта безопасности (Рисунок 2.3.40); Рисунок 2.3.40 – Панель «Субъекты безопасности». Затем выделить необходимых пользователей (групп пользователей) в списке пользователей (групп пользователей) (Рисунок 2.3.41); 38 Рисунок 2.3.41 – Список пользователей. В правом окне выделить объекты системы, на которые будут распространяться права доступа (Рисунок 2.3.42); Рисунок 2.3.42 –Элементы справочника. Для сохранения настроек «Права доступа» следует нажать на кнопку «Сохранить». Для того чтобы скопировать права доступа одного пользователя (группы пользователей) и применить их к другому пользователю (другой группе) необходимо произвести следующие действия: Выбрать в списке пользователя либо группу пользователей, чьи права будут копироваться; Нажать на кнопку «Копировать», расположенную на панели над областью «Элементы справочника»(Рисунок 2.3.43); 39 Рисунок 2.3.43 – Окно «Права доступа». Затем выбрать пользователя или группу пользователей, к которым будут применены скопированные права доступа; Для полной замены имеющихся настроек прав доступа у выбранного пользователя следует выбрать пункт меню «Заменить»(Рисунок 2.3.44), для добавления к имеющимся правам - пункт меню «Добавить» (Рисунок 2.3.44). Рисунок 2.3.44 – Окно «Права доступа». Для окончательного применения внесенных изменений следует нажать на кнопку «Сохранить». При настройке прав доступа имеется возможность копирования настроек в специализированный файл. Для этого необходимо нажать на копку «Сохранить в файл» (Рисунок 2.3.45). Далее в диалоговом окне «Сохранить как» ввести наименование файла и нажать на кнопку «Сохранить». По-умолчанию, файл будет сохранен в папку «Мои 40 документы», при желании место положения файла может быть изменено с помощью проводника. Рисунок 2.3.45 – Окно «Права доступа». Для того чтобы осуществить загрузку настроек прав доступа из специального файла необходимо выбрать из меню «Загрузить из файла» команду «Добавить» или «Заменить». Далее в открывшемся диалоговом окне «Открыть» выбрать файл с настройками и нажать на кнопку «Открыть». Для полной замены имеющихся настроек прав доступа у выбранного пользователя следует выбрать пункт меню «Заменить», для добавления к имеющимся правам - пункт меню «Добавить». Шаг 7. Редактирование объекта в списке объектов главной формы Чтобы отредактировать объект метаданных, соответствующий элементу в списке объектов, подключенных к главной форме, необходимо выполнить следующие действия: Выбрать нужный объект в перечне объектов подключенных к главной форме; Нажать на кнопку функциональной панели «Редактировать объект»; Затем откроется конструктор регламентных отчетов АК «Прогноз 5». Редактирование отчета осуществляется стандартными средствами, реализованными в системе АК «Прогноз 5».Более подробно информацию о редактировании элементов приведено справке на аналитический комплекс «Прогноз 5». Для перехода к справочной системе комплекса необходимо перейти в раздел «Пользователи системы», запустить форму «Менеджер безопасности», выбрать пункт главного меню «Справка», раскрыть регламентных отчетов. элемент Руководство пользователя/Конструктор 41 Рисунок 2.3.46 – Конструктор регламентных отчетов. Редактирование объекта метаданных доступно только для объектов типа «Отчет». Используя кнопки «Вверх», «Вниз» и «На уровень вверх» можно редактировать порядок следования элементов справочника. Ведение пользователей системы Задача предназначена для создания, редактирования и удаления пользователей ИАС СЦ ПРЕЗИДЕНТА РС(Я). Для запуска задачи необходимо перейти в раздел «Подсистема администрирования», выбрать каталог «Пользователи системы» и запустить задачу «Ведение пользователей системы». После чего на экране отобразится следующее окно (Рисунок 2.3.47). 42 Рисунок 2.3.47 – Пользователи системы. Задача состоит из следующих компонентов: Кнопка меню «Пользователь»; Панели инструментов; Списка пользователей системы, представленного в табличном виде. Для того чтобы создать пользователя системы, необходимо выполнить следующие действия (Рисунок 2.3.471): Нажать на кнопку функциональной панели «Добавить пользователя», после чего на экране отобразится окно создания пользователей: 43 Рисунок 2.3.48 – Создание пользователя системы. На данном этапе необходимо на закладке «Свойства пользователя» задать имя создаваемого пользователя, его идентификатор и пароль для входа в систему, а также при необходимости можно включить дополнительные опции (потребовать смену пароля при следующем входе в систему, подключаемый с сервера). На вкладке «Объекты доступа» с помощью отметки следует указать доступные для данного пользователя объекты. После того как все необходимые параметры заданы, следует нажать на кнопку «ОК». Для того чтобы сменить настройки уже существующего пользователя системы, необходимо выполнить следующие действия: Выбрать пользователя из списка; Нажать на кнопку функциональной панели «Редактировать пользователя», на экране отобразится окно редактирования параметров выбранного пользователя (Рисунок 2.3.49). 44 Рисунок 2.3.49 –Редактирование пользователя системы. Задать новые параметры или изменить старые, после чего нажать на кнопку «ОК». Для того чтобы удалить существующего пользователя системы необходимо выполнить следующие действия: Выбрать пользователя из списка; Нажать на кнопку функциональной панели «Удалить пользователя», на экране отобразится окно «Подтверждение» (Рисунок 2.3.50). Рисунок 2.3.50 – Окно «Подтверждение». Для удаления необходимо дать положительный ответ. Затем откроется окно «Авторизация в БД», в котором следует ввести имя пользователя на сервере, обладающего правами администрирования пользователей и пароль. 45 Рисунок 2.3.51 – Окно «Авторизация в БД». После чего пользователь будет успешно удален. Ведение групп пользователей Задача предназначена для создания, редактирования и удаления групп пользователей ТИС МИП РС. Для запуска задачи необходимо перейти в раздел «Подсистема администрирования», выбрать подраздел «Пользователи системы» и запустить форму «Ведение пользователей». После чего на экране отобразится следующее окно (Рисунок 2.3.47). групп 46 Рисунок 2.3.52 – Форма «Группы системы». Форма состоит из следующих компонентов: Кнопка меню «Группа»; Панели инструментов; Списка групп пользователей системы, представленного в табличном виде. Для того чтобы создать группу пользователей системы, необходимо выполнить следующие действия (Рисунок 2.3.47): Выбрать пункт «Создать» меню «Группы», после чего на экране отобразится окно добавление группы: 47 Рисунок 2.3.53 –Окно «Добавление группы». На данном этапе необходимо задать наименование группы, его описание, а также при необходимости можно включить дополнительные опции (потребовать смену пароля при следующем входе в систему, подключаемый с сервера). На вкладке «Объекты доступа» с помощью отметки следует указать доступные для данной группы объекты. После того как все необходимые параметры заданы, следует нажать на кнопку «ОК». Для того чтобы сменить настройки уже существующей группы пользователей системы, необходимо выполнить следующие действия: Выбрать группу пользователей из списка; Нажать на кнопку функциональной панели «Редактировать», на экране отобразится окно редактирования параметров выбранной группы пользователя (Рисунок 2.3.54). 48 Рисунок 2.3.54 – Окно «Редактирование группы». Задать новые параметры или изменить старые, после чего нажать на кнопку «ОК». Для того чтобы удалить существующую группу пользователей системы необходимо выполнить следующие действия: Выбрать группу пользователей из списка; Нажать на кнопку функциональной панели «Удалить», на экране отобразится окно «Подтверждение» (Рисунок 2.3.55). Рисунок 2.3.55 – Окно «Подтверждение». 49 Для удаления необходимо дать положительный ответ. Затем откроется окно «Авторизация в БД», в котором следует ввести имя пользователя на сервере, обладающего правами администрирования пользователей и пароль. Рисунок 2.3.56 – Окно «Авторизация в БД». После чего пользователь будет успешно удален. Для того чтобы добавить доменную группу необходимо выполнить следующие действия: Выбрать команду «Добавить доменную группу» меню «Группы», после чего на экране отобразится окно «Выбор групп»; 50 Рисунок 2.3.57 – Окно «Выбор групп». Ввести наименование пользователя и нажать на кнопку «Проверить». Если данный субъект будет найден в домене, то в области «Список пользователей» будет выведено его наименование, в противном случае будет открыто окно (Рисунок 2.3.58) Рисунок 2.3.58 – Окно «Выбор групп». После того как необходимые пользователи добавлены в список, следует нажать на кнопку «ОК», после чего появится диалог создания учетных записей (Рисунок 2.3.59); 51 Рисунок 2.3.59 – Окно «Создание учетных записей». Примечание. Данный диалог не появится для пользователей, которые уже были созданы в репозитории АК «Прогноз-5». В диалоговом окне «Создание учетных записей» осуществляется настройка следующих параметров: Создавать на сервере БД. При установке флага «Создать на сервере БД» добавляемая группа будет создана на сервере БД, при этом будет выдан запрос имени и пароля пользователя, обладающего правами создания пользователей: Авторизация в базе данных. По умолчанию данный флаг . Раздать права на уровне СУБД. При установке флага «Раздать права на уровне СУБД» для добавляемой группы будет произведена раздача прав на уровне СУБД, для этого будет выдан запрос имени и пароля пользователя, обладающего правами создания таблиц: Авторизация в базе данных. Применить во всех подобных случаях. При установке флага «Применить во всех подобных случаях» для всех добавляемых доменных групп в репозиторий АК «Прогноз-5» будут выполнены выбранные действия без дополнительных запросов. По умолчанию данный флаг установлен. При нажатии кнопки «ОК» будет продолжен процесс добавления доменных групп с выбранными параметрами создания их в репозитории АК «Прогноз-5», нажатие кнопки «Отмена» приведет к прерыванию процесса добавления групп. Примечание. При использовании «Интегрированной доменной аутентификации» (определяется в Параметрах репозитория) добавление доменной группы позволяет всем ее 52 пользователям использовать привилегии (права доступа) данной группы, при этом не обязательно, чтобы пользователи группы были созданы в АК «Прогноз-5» и на сервере. Менеджер безопасности Задача предназначена обеспечения защиты от несанкционированного доступа к прикладным системам, методы разграничения доступа субъектов к объектам прикладных систем, принципы аутентификации субъектов, аудита их действий в системе, контроля целостности программной системы и информации в ней хранящейся. Для запуска задачи необходимо перейти в раздел «Подсистема администрирования», выбрать каталог «Пользователи системы» и запустить задачу «Менеджер безопасности». Менеджер безопасности определяет комплекс средств, обеспечивающих защиту от несанкционированного доступа к прикладным системам, методы разграничения доступа субъектов к объектам прикладных систем, принципы аутентификации субъектов, аудита их действий в системе, контроля целостности программной системы и информации в ней хранящейся. Подсистема безопасности отвечает за три важнейших системных процесса: регистрацию пользователей в системе, контроль доступа пользователей к объектам системы и аудит доступа пользователей к объектам системы. Также подсистема безопасности хранит и реализует политику безопасности, установленную администратором системы. Субъектами модели безопасности являются лица (пользователи) или группы лиц, действия которых регламентируются правилами разграничения доступа. К субъектам системы относятся пользователи и группы пользователей. Объектами модели безопасности являются единицы информационных ресурсов прикладных систем, доступ к которым регламентируется правилами разграничения доступа. К объектам модели безопасности комплекса относятся все объекты метабаз прикладных систем: папки, таблицы, запросы, представления, измерения, стандартные и виртуальные кубы, формы, отчёты, рабочие пространства и т.д. В системе определен набор действий, которые классифицируются административные, к ним относятся: Управление политикой безопасности; Управление пользователями и группами пользователей системы; Управление правами доступа и уровнями безопасности для объектов системы; Работа с протоколом доступа. См. также: как 53 Запуск менеджера безопасности Основные разделы менеджера безопасности Администрирование Протокол доступа Мониторинг нарушений защиты Обновление объектов репозитория Политика безопасности Проверка целостности комплекса Контрольные суммы 2.3.8.1 Запуск Менеджера безопасности Запуск Менеджера безопасности можно произвести следующими способами: при выполнении команды главного меню «Сервис - Менеджер безопасности»; при запуске файла Adm.exe из папки установки комплекса. При разделении ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что прикладному администратору доступны только разделы Пользователи и Протокол доступа. См. также: Главное меню Главное окно Редактор политик Общая политика Администратор информационной безопасности 2.3.8.2 Окно менеджера безопасности Окно «Менеджер безопасности» выглядит следующим образом: 54 Рисунок 2.3.60 – Окно «Менеджер безопасности». Окно «Менеджер безопасности» включает в себя: Главное меню; Панели инструментов; Панель навигации - предназначена для переключения между разделами менеджера безопасности; Строку состояния. См. также: Запуск менеджера безопасности Основные разделы менеджера безопасности 2.3.8.3 Главное меню Главное меню состоит из нескольких дочерних меню. Состав команд главного меню зависит от выбранного раздела Менеджера безопасности. Список дочерних меню главного меню, присутствующих во всех разделах Менеджера безопасности включает: Меню «Репозиторий» В меню «Репозиторий» находятся пункты меню, предназначенные для настройки соединения с базой метаданных. Таблица 2 55 Команда Подключить Краткое описание Вызывает диалоговое окно подключения к базе метаданных Отключить Закрывает текущий сеанс подключения к базе метаданных Обновить Обновляет содержание текущего раздела Пользовательские Вызывает настройки Очистить кэш сборок диалоговое окно редактора пользовательских настроек Очищает кэш сборок комплекса, которые хранятся на жестком диске Применить политику безопасности Обновление Применяет заданные настройки политики безопасности Редактор политик Открывает выпадающее меню для работы с обновлением объектов репозитория Обновление объектов репозитория Рассчитать контрольные суммы Произвести проверку контрольной суммы Выход Открывает окно «Расчет контрольной суммы». Контрольные суммы Открывает окно, в котором необходимо указать файл сохраненной контрольной суммы. Контрольные суммы Закрывает окно Менеджера безопасности Меню «Окно» Меню «Окно» содержит пункты, отвечающие за настройку отображения окон менеджера безопасности. Таблица 3 Команда Расположить Краткое описание Расположить все открытые окна горизонтально горизонтально Расположить вертикально Расположить все открытые окна вертикально 56 Расположить Расположить все открытые окна каскадом каскадом Упорядочить Упорядочить значки свернутых окон значки Предыдущее окно Показать предыдущее открытое окно Менеджера безопасности Следующее окно Показать следующие открытое окно Менеджера безопасности Восстановить Восстановить окно Менеджера безопасности Свернуть Свернуть текущее окно Менеджера безопасности Развернуть Развернуть окно Менеджера безопасности до максимально возможного размера Закрыть Закрыть текущее окно Менеджера безопасности Список окон Список доступных окон Менеджера безопасности и возможность переключения между ними Закрыть все окна Закрывает все открытые объекты Меню «Справка» Меню «Справка» содержит пункты, содержащие справочную информацию. Таблица 4 Команда Краткое описание Содержание Показать содержание справочной системы Указатель Показать указатель справочной системы Поиск Показать окно поиска по справочной системе Веб-сайт Открыть Веб-сайт компании «ПРОГНОЗ» компании «ПРОГНОЗ» О программе... Показать окно «О программе...» Список дополнительных меню включает: Меню «Правка» - доступно только для раздела «Навигатор»; 57 Таблица 5 Команд Краткое описание а Поиск Открывает диалоговое окно поиска объектов Поиск объекта Меню «Вид» - доступно для разделов «Навигатор», «Протокол доступа» и «Мониторинг нарушений защиты»; Меню «Вид» для разделов «Навигатор», «Протокол доступа» и «Мониторинг нарушений защиты» имеет различный состав команд. Для раздела «Навигатор»: Таблица 6 Команд Краткое описание а Крупные Отображает значки элементов окна навигации крупными значки Мелкие Отображает значки элементов окна навигации мелкими значки Список Отображает значки элементов окна навигации в виде списка Таблица Отображает значки элементов окна навигации в виде таблицы Упорядочить Переключает способ сортировки списка объектов в Навигаторе Просмотр прав доступа Открывает выпадающее меню для настройки наглядного просмотра прав доступа объектов Для раздела «Протокол доступа»: Таблица 7 Команда Линейный Краткое описание Включает линейный режим: отображает сведения о 58 вид событиях в виде таблицы. Просмотр протокола доступа Древовидный вид Включает древовидный режим: отображает сведения о событиях в виде дерева Просмотр протокола доступа Обновить Обновляет протокол доступа Информация Представляет информацию о выбранном событии в о событии протоколе доступа в отдельном окне Информация о событии Для раздела «Мониторинг нарушений защиты»: Таблица 8 Команд Краткое описание а Информация о событии Представляет информацию о выбранном событии протокола нарушения безопасности в отдельном окне Информация о событии Меню «Объект» - доступно только для раздела «Навигатор»; Таблица 9 Команд Краткое описание а Права доступа Открывает диалог «Параметры управления доступом... » Объекты администрирования Добавить в Установка данного флага позволяет при создании обновление обновления автоматически добавлять объект в структуру обновления. Структура главного окна Свойства Вызывает окно свойств выбранного объекта. Стандартные свойства объекта Меню «Пользователь» - используется в разделе «Пользователи»; 59 Меню «Пользователь» содержит пункты, предназначенные для создания и редактирования пользователей: Таблица 10 Команда Создать пользователя Краткое описание Открывает диалоговое окно «Свойства пользователя» для создания нового пользователя. Свойства пользователя Добавить доменного пользователя Удалить Открывает диалог для добавления доменного пользователя. Создание доменного пользователя Удаляет выбранного пользователя Удаление пользователя Обновить Открывает диалоговое окно «Авторизация в БД» для обновления пользователя. Обновление пользователя Обновить всех Обновляет права всех пользователей Обновление пользователя Свойства Открывает диалоговое окно «Свойства пользователя» для редактирования прав пользователя. Свойства пользователя Меню «Группа» - используется в разделе «Группы»; Меню «Группа» содержит пункты, предназначенные для создания и редактирования групп пользователей: Таблица 11 Команда Создать группу Краткое описание Открывает диалоговое окно «Свойства группы» для создания новой группы пользователей. Создание группы Добавить доменную группу Открывает диалог для добавления доменной группы Создание доменной группы 60 Удалить Удаляет выбранную группу Удаление группы Свойства Открывает диалоговое окно «Свойства группы» выбранной группы. Свойства группы Меню «Привилегия» - используется в разделе «Привилегии»; Меню «Привилегия» содержит пункты, предназначенные для создания и редактирования привилегий: Таблица 12 Команда Обладатели привилегий Краткое описание Открывает диалоговое окно «Обладатели привилегий». Привилегии Меню «Аудит» - используется в разделе «Аудит»; Таблица 13 Команда Настроить разрешения… Вести полный аудит Вести аудит общих Краткое описание Открывает диалог для настройки разрешений. Настройка разрешений Включает ведение полного аудита. Аудит Включает ведение аудита только общих операций. Аудит операций Отключить аудит Вести Выключает ведение полного аудита Аудит Включает ведение истории «Полного доступа» полную историю Отключить историю Выключает ведение истории «Полного доступа» 61 Примечание. Пункты меню будут недоступны, в случае если в списке нет выделенных типов объектов. Меню «Протокол доступа» - используется в разделе «Протокол доступа». Меню «Протокол доступа» содержит пункты, предназначенные для настройки внешнего вида окна «Протокол доступа»: Таблица 14 Команда Просмотр Краткое описание Открывает протокол, сохраненный в файл сохраненного в Просмотр сохраненного протокола доступа файл Сохранить Сохраняет протокол доступа в файл. Сохранение протокола доступа в файл Очистить Очищает содержимое протокола доступа. Очистка протокола доступа Фильтрация Открывает диалоговое окно «Фильтрация данных протокола доступа». Фильтрация протокола Поиск Открывает диалоговое окно «Поиск». Поиск в протоколе доступа См. также: Главное меню 2.3.8.4 Панели инструментов Панели инструментов выглядят следующим образом: Рисунок 2.3.61 – Панель инструментов Примечание. Панель «Репозиторий» доступна только для раздела Навигатор. Таблица 15 62 Иконка Команда Подключить Пояснение команды Вызывает диалоговое окно подключения к базе метаданных. Отключить Закрывает текущий сеанс подключения к базе метаданных. Обновить Обновляет содержание текущего раздела. Рекомендуется использовать при одновременной работе нескольких пользователей. Применить Применяет заданные настройки политики политику безопасности безопасности Редактор политик Назад Позволяет переместиться к предыдущему Alt + Left объекту. Вперед Позволяет переместиться к следующему Alt + Right объекту. Вверх Позволяет перейти на уровень вверх по иерархии папок раздела. Поиск Вызывает диалоговое окно поиска объектов. Поиск объекта Крупные Отображает значки элементов окна навигации значки крупными. См. также: Управление видом окна Навигатора объектов Мелкие значки Отображает значки элементов окна навигации мелкими. См. также: Управление видом окна Навигатора объектов Список Отображает значки элементов окна навигации в виде списка. См. также: Управление видом окна Навигатора 63 объектов Свойства Вызывает окно свойств выбранного объекта. объекта См. также: Стандартные свойства объекта См. также: Главное окно 2.3.8.5 Основные разделы менеджера безопасности Основные разделы Менеджера безопасности отображаются на панели навигации, которая используется для переключения между разделами. Менеджер безопасности содержит следующие разделы: Навигатор Раздел «Навигатор» используется для просмотра и редактирования прав доступа объектов модели безопасности. Также можно просмотреть свойства и права доступа для объектов. Навигатор объектов выглядит следующим образом: Рисунок 2.3.62 – Окно «Менеджер безопасности». Навигатор. Работа с объектами осуществляется с помощью контекстного и главного меню. 64 Примечание. В дереве объектов пункты контекстного меню идентичны пунктам главного меню «Правка». Примечание. В списке объектов пункты контекстного меню идентичны пунктам главного меню «Объект». Раздел включает в себя: Дерево папок - предназначено для отображения иерархии объектов и папок; Список объектов - предназначен для отображения объектов, расположенных в выбранной папке. Пользователи Пользователи - это субъекты Менеджера безопасности, наделенные определенными правами для работы с объектами системы. Раздел «Пользователи» выглядит следующим образом: Рисунок 2.3.63 – Окно «Менеджер безопасности». Пользователи. Функциональность данного раздела менеджера безопасности позволяет проводить такие операции как создание, редактирование и удаление пользователей системы. Более подробную информацию можно найти в разделе "Пользователи". Группы Группа пользователей - это совокупность пользователей, имеющих одинаковые права. Раздел «Группы» выглядит следующим образом: 65 Рисунок 2.3.64 – Окно «Менеджер безопасности». Группы. Функциональность данного раздела менеджера безопасности позволяет проводить такие операции как создание, редактирование и удаление групп пользователей системы. Более подробную информацию можно найти в разделе "Группы". Привилегии Раздел «Привилегии» используется для распределения привилегий между пользователями системы. Рисунок 2.3.65 – Окно «Менеджер безопасности». Привилегии. Добавление и удаление привилегий осуществляется в окне «Обладатели привилегий»: См. Привилегии 66 Мандатный доступ Раздел «Мандатный доступ» используется для присвоения объектам и субъектам системы безопасности меток доступа. Окно «Мандатный доступ» выглядит следующим образом: Рисунок 2.3.66 – Окно «Менеджер безопасности». Мандатный доступ. Подробно: Мандатный доступ. Редактор политик Раздел «Редактор политик» используется для определения правил, определяющих методы и степень защиты прикладной системы. Окно «Редактор политик» выглядит следующим образом: 67 Рисунок 2.3.67 – Окно «Менеджер безопасности». Редактор политик. Подробно: Редактор политик. Аудит Раздел «Аудит» используется для проведения настроек аудита действий пользователей в системе и записи информации о производимых действиях. Главное окно раздела «Аудит» выглядит следующим образом: Рисунок 2.3.68 – Окно «Менеджер безопасности». Аудит. Подробно: Аудит. 68 Протокол доступа Раздел «Протокол доступа» используется для отслеживания работы пользователей, используя протокол доступа к базе, который ведется системой. Окно «Протокол доступа» выглядит следующим образом: Рисунок 2.3.69 – Окно «Менеджер безопасности». Протокол доступа. Подробно: Протокол доступа. Мониторинг нарушений защиты Раздел «Мониторинг нарушений защиты» используется для отслеживания текущих попыток нарушения защиты системы. В протоколе нарушений защиты отображаются записи с неудачными входами в систему и с неудачными действиями над объектами, в результате отсутствия каких-либо прав. Нарушения фиксируются, только когда данный раздел открыт. При закрытия раздела записи не сохраняются. Примечание. Все события можно просмотреть в протоколе доступа. Окно «Мониторинг нарушений защиты» выглядит следующим образом: 69 Подробно: Мониторинг нарушений защиты. Сервис Данный раздел предназначен для контроля целостности политики безопасности: проверка механизма блокировки пользователей и работа с резервными копиями политики безопасности. Рисунок 2.3.70 – Окно «Менеджер безопасности». Сервис. Подробно: Сервис. 70 Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором, необходимо помнить, что прикладному администратору в менеджере безопасности будут доступны только разделы «Пользователи» и «Протокол доступа», а администратору информационной безопасности все разделы, но в разделе «Пользователи» будут не доступны операции создания, обновления и удаления пользователей, а также смена пароля пользователя. Подробно:Администратор информационной безопасности См. также: Окно менеджера безопасности 2.3.8.6 Администрирование Подсистема администрирования представляет собой компонент системы, несущий функциональность по созданию, удалению и управлению учетными записями пользователей и групп безопасности; раздаче прав пользователям и группам системы; а также контроля допустимости выполнения действий пользователями и доступа к объектам системы на основе прав доступа, и аудита контроля использования прав. В подсистеме администрирования информацию о правах доступа подразделяют на: Привилегии пользователей - общие действия в системе, которые может (или не может) выполнять пользователь системы. Например, формирование и отправка Edifact-сообщений средствами почтового модуля, создание нового пользователя системы, раздача прав пользователям и т.д.; Права на объекты - действия над объектами системы, которые может (или не может) выполнять пользователь системы. Например, открытие регистра или документа на чтение, модификация данных регистра или документа и т.д. Носителями прав и привилегий являются пользователи системы и группы безопасности. Контроль действий пользователя в системе представляет собой проверку наличия привилегии, необходимой для осуществления соответствующего действия. Контроль доступа пользователей к объектам и выполнения действий над объектами представляет собой проверку наличия прав, необходимых для выполнения соответствующих действий над объектами. См. также: Субъекты модели безопасности Группы Пользователи Объекты администрирования 71 убъекты модели безопасности Субъектами модели безопасности являются пользователи и группы. См. также: Объекты администрирования Пользователи Группы 2.3.8.7 Группы пользователей Группы пользователей, как и отдельные пользователи, являются субъектами модели безопасности системы. Основное назначение групп - это объединение нескольких пользователей под одним учетным именем с целью унифицированного управления правами доступа для них. Группе, как и отдельным пользователям, могут назначаться определенные права доступа. В этом случае назначенные права распространяются на всех членов группы и являются дополнительными к их индивидуальным правам. Права любого пользователя системы являются объединением прав самого пользователя и всех групп, в которые он входит. При выборе в окне менеджера безопасности на панели навигации «Группы» будет отражен список имеющихся групп пользователей: Рисунок 2.3.71 – Окно «Менеджер безопасности». Группы. Создание группы Создание доменной группы Свойства группы 72 Редактирование группы Удаление группы См. также: Администрирование 2. 3.8.7.1. Создание группы Создание группы пользователей происходит: при выполнении команды контекстного меню «Создать группу»; при выполнении команды главного меню «Группа - Создать группу». При выполнении одного из действий будет открыт диалог «Свойства группы». См. также: Группы 2. 3.8.7.2. Создание доменной группы Примечание. Доменные группы можно создавать только для репозитория, который использует тип СУБД MSSQL. Примечание. Доменные группы нельзя создать, если используется разделение ролей между администратором информационной безопасности и прикладным администратором: См. Общая политика. Для создания группы пользователей из текущего домена следует: выполнить команду главного меню «Группа - Создать доменную группу»; выполнить команду контекстного меню «Создать доменную группу» для пустого пространства списка. При выполнении одного из действий будет открыт диалог выбора доменных групп: 73 Рисунок 2.3.72 – Окно «Выбор групп». Выбрав необходимые группы пользователей, следует нажать на кнопку «Ок», после чего появится диалог создания учетных записей: Рисунок 2.3.73 – Окно «Создание учетных записей». Примечание. Данный диалог не появится для групп, которые уже были созданы в репозитории АК «ПРОГНОЗ». При установке флага «Создать на сервере БД» добавляемая группа будет создана на сервере БД, при этом будет выдан запрос имени и пароля пользователя, обладающего правами создания пользователей: Авторизация в базе данных. По умолчанию данный флаг снят. При установке флага «Раздать права на уровне СУБД» для добавляемой группы будет произведена раздача прав на уровне СУБД, для этого будет выдан запрос имени и пароля пользователя, обладающего правами создания таблиц: Авторизация в базе данных. 74 При установке флага «Применить во всех подобных случаях» для всех добавляемых доменных групп в репозиторий АК «ПРОГНОЗ» будут выполнены выбранные действия без дополнительных запросов. По умолчанию данный флаг установлен. При нажатии кнопки «ОК» будет продолжен процесс добавления доменных групп с выбранными параметрами создания их в репозитории АК «ПРОГНОЗ», нажатие кнопки «Отмена» приведет к прерыванию процесса добавления групп. Примечание. При использовании «Интегрированной доменной аутентификации» (определяется в Параметрах репозитория) добавление доменной группы позволяет всем ее пользователям использовать привилегии (права доступа) данной группы, при этом не обязательно, чтобы пользователи группы были созданы в АК «ПРОГНОЗ» и на сервере. См. также: Группы 2. 3.8.7.3. Свойства группы Окно «Свойства группы» содержит следующие закладки: Общие свойства Члены группы 75 Общие свойства Рисунок 2.3.74 – Окно «Свойства группы». Закладка «Общие свойства». На данной закладке определяются: Наименование группы; Описание - краткий комментарий к создаваемой группе. Члены группы На данной закладке определяются субъекты безопасности, которые будут входить в создаваемую группу. Закладка выглядит следующим образом: 76 Рисунок 2.3.75 – Окно «Свойства группы». Закладка «Члены группы». Для добавления пользователя в группу следует нажать на кнопку «Добавить», после чего будет открыт стандартный диалог Выбор групп и пользователей. Примечание. Если при добавлении члена группы был выбран доменный пользователь(группа), который не создан в АК «ПРОГНОЗ», то будет запушен процесс создания данного доменного пользователя (Создание доменной группы). Для удаления одного или нескольких выбранных пользователей из группы следует нажать на кнопку «Удалить». См. также: Группы 2. 3.8.7.4. Редактирование группы пользователей Для редактирования свойств выбранной группы следует: 77 выполнить команду контекстного меню «Свойства»; выполнить команду главного меню «Группы - Свойства»; произвести двойной щелчок левой кнопкой мыши. После выполнения одного из действий будет открыто окно «Свойства группы», в котором следует внести требуемые изменения. См. также: Группы 2. 3.8.7.5. Удаление группы пользователей Удаление одной или нескольких выбранных групп пользователей осуществляется: при выполнении команды контекстного меню «Удалить»; при выполнении команды главного меню «Группа - Удалить». После выполнения одного из действий появится диалог подтверждения производимого действия: Рисунок 2.3.76 – Окно «Подтверждение». При выборе положительного ответа выбранные группы будут удалены, в противном случае - нет. Примечание. Удаление группы возможно только в том случае, если она не является встроенной группой модели безопасности. См. также: Создание группы пользователей 2.3.8.8 Пользователи Для того чтобы каждый пользователь мог идентифицироваться системой (входить в схему, просматривать в ней данные, выполнять различные операции), он должен быть предварительно зарегистрирован в разделе «Пользователи» блока «Менеджер безопасности». 78 Для этого должен быть создан объект «Пользователь». При выборе на панели навигации «Пользователи», в окне менеджера безопасности будет отражен список учетных записей пользователей: Рисунок 2.3.77 – Окно «Менеджер безопасности». Пользователи. Около каждого пользователя изображена иконка выводится другая иконка - , у заблокированных пользователей . Создание пользователя Создание доменного пользователя Редактирование пользователя Свойства пользователя Удаление пользователя Обновление пользователя Смена пароля пользователя Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что администратору информационной безопасности в данном разделе будут не доступны операции создания, обновления и удаления пользователей, а прикладному администратору не доступна операция смены пароля пользователя (Администратор информационной безопасности). См. также: Администрирование Политика безопасности Редактор политик 79 2. 3.8.8.1. Создание пользователя Создание пользователя можно осуществить следующими способами: при выполнении команды контекстного меню «Создать пользователя» при выполнении команды главного меню «Пользователь - Создать пользователя». Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что создавать новых пользователей может только прикладной администратор. И при создании нового пользователя в окне «Свойства пользователя» будет отображена только закладка «Общие свойства», все остальные закладки доступны только администратору информационной безопасности. См. также: Создание доменного пользователя Пользователи 2. 3.8.8.2. Создание доменного пользователя Примечание. Доменных пользователей нельзя создать, если используется разделение ролей между администратором информационной безопасности и прикладным администратором: См. Общая политика. Создание пользователя из текущего домена в репозитории АК «ПРОГНОЗ» можно осуществить следующими способами: при выполнении команды главного меню «Пользователь - Добавить доменного пользователя»; при выполнении команды контекстного меню «Добавить доменного пользователя» для пустого пространства списка. После выполнения одного из действий появляется диалог выбора доменного пользователя: 80 Рисунок 2.3.78 – Окно «Выбор пользователей». Выбрав необходимых пользователей, следует нажать на кнопку «Ок», после чего появится диалог создания учетных записей: Рисунок 2.3.79 – Окно «Создание учетных записей». Примечание. Данный диалог не появится для пользователей, которые уже были созданы в репозитории АК «ПРОГНОЗ». При установке флага «Создать на сервере БД» добавляемый пользователь будет создан на сервере БД, при этом будет выдан запрос имени и пароля пользователя, обладающего правами создания пользователей: Авторизация в базе данных. По умолчанию данный флаг снят. При установке флага «Раздать права на уровне СУБД» для добавляемого пользователя будет произведена раздача прав на уровне СУБД, для этого будет выдан запрос имени и пароля пользователя, обладающего правами создания таблиц: Авторизация в базе данных. 81 При установке флага «Применить во всех подобных случаях» для всех добавляемых доменных пользователей в репозиторий АК «ПРОГНОЗ» будут выполнены выбранные действия без дополнительных запросов. По умолчанию данный флаг установлен. При нажатии кнопки «ОК» будет продолжен процесс добавления доменных пользователей с выбранными параметрами создания их в репозитории АК «ПРОГНОЗ», нажатие кнопки «Отмена» приведет к прерыванию процесса добавления доменных пользователей. Примечание. Доменные пользователи также будут добавлены в список пользователей, если произошло их добавление в группу или в список обладателей привилегий. См. также: Пользователи 2. 3.8.8.3. Редактирование пользователя Редактирование пользователя осуществляется в диалоговом окне «Свойства пользователя», которое вызывается следующими способами: при выполнении команды контекстного меню «Свойства» для выбранного пользователя; при выполнении команды главного меню «Пользователь - Свойства». Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что прикладному администратору доступны только «Общие свойства», а настройки членства в группах, времени доступа и мандатного доступа доступны только администратору информационной безопасности. См. также: Пользователи 2. 3.8.8.4. Свойства пользователя К свойствам пользователя относятся такие параметры как: наименование, описание, пароль, членство в группах, категории доступа, время доступа. Свойства пользователя определяются на этапе создания пользователя с помощью диалогового окна «Свойства пользователя», также с помощью данного окна происходит изменение параметров пользователя. Окно «Свойства пользователя» содержит следующие закладки: Общие свойства; Членство в группах; 82 Мандатный доступ; Управление доступом. Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что закладки «Членство в группах», «Мандатный доступ», «Управление доступом» доступны только администратору информационной безопасности. См. также: Пользователи Политика безопасности Редактор политик Общие свойства Закладка «Общие свойства» выглядит следующим образом: Рисунок 2.3.80 – Окно «Свойства пользователя». Закладка «Общие свойства». 83 Примечание. В случае если окно свойств открыто для доменного пользователя, то не доступны опции, связанные с изменением пароля. Примечание. В случае разделения ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что для прикладного администратора: - при просмотре свойств уже имеющегося пользователя будут не доступны для редактирования все флаги, поля «Пароль» и «Подтверждение пароля»; - при создании пользователя будут не доступны все флаги, кроме «Подключаемый с сервера»; для администратора информационной безопасности при просмотре свойств уже имеющегося пользователя будет не доступным для редактирования поле «Объект автозапуска». На данной закладке определяются следующие атрибуты: Пользователь В данное поле заносится учетное имя, которое будет вводиться при входе в систему. Учетное имя задается только последовательностью букв латинского алфавита, цифр и знаков `_`, начинающейся с буквы или с цифры. Данное поле доступно для редактирования только при создании пользователя. Полное наименование Полное наименование - полное имя пользователя (обыкновенная строка символов). Описание В данное поле заносится краткий комментарий, который задается по желанию пользователя (администратора). Объект автозапуска В данном поле определяется объект, который будет автоматически запускаться при входе пользователя в систему. Пароль В данное поле необходимо ввести пароль - учетные данные, которые позволяют аутентифицировать пользователя при входе в систему. Пароль может начинаться с цифры. Подтверждение пароля Подтверждение пароля - введение подтверждения пароля необходимо для того, чтобы убедиться в достоверности набора пароля. 84 Потребовать смену пароля при следующем входе в систему Если установлен данный флаг, то при попытке пользователя войти в систему появится окно смены пароля. Операция выполняется только один раз при первом входе в систему пользователя. Запретить смену пароля пользователем В случае установки данного флага в навигаторе объектов для пользователя будет отсутствовать в главном меню «Сервис» пункт «Смена пароля». Срок действия пароля не ограничен Срок действия пароля не ограничен - не реализовано. Находится в стадии разработки. Отключить учетную запись Отключить учетную запись - не реализовано. Находится в стадии разработки. Заблокировать учетную запись При установке данного флага вход в систему под этим пользователем будет невозможен, пока он не будет разблокирован. В списке пользователей менеджера безопасности у заблокированных пользователей выводится другая иконка: . Заданные параметры будут использоваться созданным пользователем при соединении с базой. Также пользователь будет заблокирован (данный флаг будет автоматически установлен), в случае если при входе в систему были использованы все неудачные попытки ввода пароля (См. Запуск комплекса, Парольная политика ). Подключаемый с сервера Данный флаг доступен только при создании пользователя и только пользователям, имеющим привилегию создания пользователей (Привилегии). При установке данного флага пользователь физически не создается (и физически не удаляется), то есть используется уже существующий пользователь на сервере. При установке данного флага необходимо в поле «Наименование» указывать идентификатор пользователя, который должен совпадать с идентификатором пользователя на сервере. При установке данного флага поля «Пароль» и «Подтверждение пароля» становятся недоступными. Возможность смены пароля пользователя остается и производится через пункт меню «Смена пароля». 85 См. также: Свойства пользователя Членство в группах На данной закладке определяется, в какие группы пользователей будет входить создаваемый пользователь. На закладке «Членство в группах» определяются список групп и описание каждой группы. Рисунок 2.3.81 – Окно «Свойства пользователя». Закладка «Членство в группах». Один пользователь может входить в несколько групп. Права такого пользователя получаются путем объединения прав групп, в которые он входит. 86 Для добавления группы в список следует нажать кнопку «Добавить», после чего будет открыт диалог Выбор групп и пользователей. Для удаления одной или нескольких выбранных групп из списка следует нажать на кнопку «Удалить». См. также: Пользователи Свойства пользователя Мандатный доступ На закладке «Мандатный доступ» отображается список категорий, каждому из которых присваиваются определенные уровни доступа, которые ограничивают возможность работы пользователя с объектом (редактирование, удаление и т.д.) в зависимости от статуса, присвоенного пользователю. 87 Рисунок 2.3.82 – Окно «Свойства пользователя». Закладка «Мандатный доступ». Чтобы присвоить уровень доступа каждой категории, необходимо выделить одну из категорий в списке категорий доступа и в комбинированном списке «Уровни доступа» выбрать нужный уровень. См. также: Свойства пользователя Управление доступом На данной закладке определяются параметры доступа пользователя в систему. По умолчанию пользователю доступ в систему разрешен в любое время, с любых рабочих станции, IP и MAC-адресов. 88 В случае если для пользователя было настроено время доступа, то во время работы с комплексом об окончании времени доступа будет выдано предупреждающее сообщение один раз за 15 минут и второй раз за 5 минут до окончания времени. Закладка «Управление доступом» выглядит следующим образом: Рисунок 2.3.83 – Окно «Свойства пользователя». Закладка «Управление доступом». Данная закладка содержит несколько групп для настройки параметров доступа: Доступ запрещен В данной группе отображается время, когда пользователю доступ в систему запрещен. Список «Дни недели» отображает разграничение времени доступа по дням недели. 89 Список «Периоды» отображает набор периодов и дат, когда пользователю запрещено (или частично запрещено) работать с системой (например, на период болезни или отпуска). Для настройки доступа по дням недели следует нажать на кнопку «Редактировать», расположенную ниже списка «Дни недели», после чего будет открыто окно: Рисунок 2.3.84 – Окно «Разграничение доступа пользователя в систему по времени». В данном окне отображается таблица по дням недели и времени суток. Одна ячейка - это один час доступа в определенный день недели, начиная с указанного часа. Для разграничения времени доступа следует выделить необходимый диапазон ячеек и нажать на соответствующую кнопку: «Разрешить» - разрешает вход в систему в выбранное время, ячейки будут выделены зеленым цветом; «Запретить» - запрещает вход в систему в выбранное время, ячейки будут выделены красным цветом. При нажатии на кнопку «Разрешено всегда» для пользователя будет разрешен доступ в любое время, все ячейки будут выделены зеленым цветом. При нажатии на кнопку «Запрещено всегда» для пользователя будет всегда запрещен доступ, все ячейки будут выделены красным цветом. Для задания времени доступа по определенным датам следует нажать на кнопку «Дополнительно», после чего будет открыто окно следующего вида: 90 Рисунок 2.3.85 – Окно «Установка времени доступа». Примечание. Также вызвать данное окно можно, нажав на кнопку «Редактировать», расположенную ниже списка «Периоды». Необходимо помнить, что установка времени доступа по определенным датам имеет больший приоритет по сравнению со временем доступа по дням недели. Для добавления диапазона дат следует нажать на кнопку «Добавить». В открывшемся окне следует задать начальную и конечную даты: Рисунок 2.3.86 – Окно «Редактирование периода». Добавленный диапазон будет отображен в нижней части окна в таблице с временем суток. Настройка доступа осуществляется аналогично настройке доступа по дням недели, приведенной выше. 91 Для редактирования выделенного диапазона дат используется кнопка «Редактировать», после нажатия на которую будет открыто окно «Редактирование периода», приведенное выше. Для удаления выделенного диапазона дат следует нажать на кнопку «Удалить». Созданные диапазоны дат будут отображены на закладке «Управление доступом» в списке «Периоды». Разрешенные рабочие места В данной группе можно сформировать для пользователя список рабочих станций, IPадресов и MAC-адресов, с которых ему будет разрешен доступ в систему. По умолчанию доступ разрешен с любых рабочих станции, IP и MAC-адресов. Рабочие станции В данном списке содержатся рабочие станции, с которых разрешен доступ для пользователя. Для добавления рабочей станции следует выполнить одно из следующих действий: нажать кнопку «Добавить», расположенную ниже списка «Рабочие станции»; выполнить пункт «Добавить» контекстного меню списка «Рабочие станции»; перевести фокус ввода в список «Рабочие станции» и нажать клавишу «Insert»;. После чего будет открыто окно: 92 Рисунок 2.3.87 – Окно «Выбор рабочих станций». В окне «Выбор рабочих станций» необходимо отметить флагами те рабочие станции, с которых необходимо разрешить доступ. При отметке домена, все рабочие станции, относящиеся к домену, будут отмечены. Для работы с флагами доступно контекстное меню: Отметить все - устанавливает отметку для всех рабочих станций; Снять отметку - снимает отметку со всех рабочих станций; Отметить уровень - устанавливает отметку для всех рабочих станций, расположенных на одном уровне с указанной рабочей станцией; Снять отметку с уровня - снимает отметку со всех рабочих станций, расположенных на одном уровне с указанной рабочей станцией; Отметить подчиненные - устанавливает отметку для всех дочерних рабочих станций; Снять отметку с подчиненных - снимает отметку со всех дочерних выбранной рабочей станции; Развернуть всю иерархию - разворачивает иерархию списка; Свернуть все иерархию - сворачивает иерархию списка; 93 Для поиска рабочей станции следует нажать на клавишу «F3», после чего будет открыто стандартное окно поиска: Рисунок 2.3.88 – Окно «Поиск». Существует возможность добавления рабочей станции вручную. Для этого нужно в поле «Другая» указать путь к рабочей станции в виде: «Домен/Рабочая_станция», после чего нажать на кнопку «Добавить». После нажатия кнопки «Разрешить доступ» отмеченные рабочие станции будут добавлены в список разрешенных, в противном случае этого не произойдет. В списке «Рабочие станции» возможна множественная отметка с зажатой клавишей «Ctrl». Для выделения всех элементов списка, необходимо выполнить пункт контекстного меню «Выделить все» или нажать сочетание клавиш «Ctrl+A». Для удаления выбранных рабочих станции из списка следует выполнить одно из следующих действий: нажать кнопку «Удалить»; выполнить пункт «Удалить» контекстного меню списка; нажать клавишу «Delete». После этого будет отображен диалог подтверждения операции. Для удаления всех станций из списка следует выполнить пункт контекстного меню «Очистить», после выполнения команды выдается диалог подтверждения операции. IP-адреса В данном списке содержатся IP-адреса, с которых разрешен доступ для пользователя. Для добавления IP-адреса следует выполнить одно из следующих действий: нажать кнопку «Добавить», расположенную ниже списка «IP-адреса»; выполнить пункт «Добавить» контекстного меню списка «IP-адреса»; перевести фокус ввода в список «IP-адреса» и нажать клавишу «Insert»; дважды щелкнуть мышкой по пустому пространству списка «IP-адреса». 94 После этого в список будет добавлен новый элемент с маской для ввода IP-адреса: Рисунок 2.3.89 – Окно «IP - адреса». IP-адрес состоит из четырех групп десятичных чисел, разделенных точками. Первая группа должна содержать число в диапазоне от 1 до 223, остальные группы должны содержать числа в диапазоне от 0 до 255. В случае ввода некорректного значения, будет выдано соответствующее сообщение: Рисунок 2.3.90 – Окно «Ошибка». После ввода IP-адреса, для подтверждения необходимо нажать клавишу «Enter», либо перевести фокус ввода на другой компонент. Для отказа от ввода IP-адреса необходимо нажать на клавишу «Esc». Для редактирования IP-адреса, выбранного из списка, необходимо выполнить пункт контекстного меню «Редактировать». Для подтверждения изменений необходимо нажать клавишу «Enter», либо перевести фокус ввода на другой компонент, для отказа от изменений нажать на клавишу «Esc». В списке «IP-адреса» возможна множественная отметка с зажатой клавишей «Ctrl». Для выделения всех элементов списка, необходимо выполнить пункт контекстного меню «Выделить все» или нажать сочетание клавиш «Ctrl+A». Для удаления выбранных IP-адресов из списка следует выполнить одно из действий: нажать кнопку «Удалить», расположенную ниже списка; выполнить пункт «Удалить» контекстного меню списка; нажать клавишу «Delete». После этого будет отображен диалог подтверждения операции. 95 Для удаления всех IP-адресов из списка следует выполнить пункт контекстного меню «Очистить», после выполнения команды выдается диалог подтверждения операции. MAC-адреса В данном списке содержатся MAC-адреса, с которых разрешен доступ для пользователя. Работа со списком «MAC-адреса» аналогична работе со списком «IP-адреса». Отличие заключается в различных форматах ввода IP и MAC-адресов. При добавлении нового MAC-адреса, в список будет добавлен новый элемент с соответствующей маской: Рисунок 2.3.91 – Окно «MAC - адреса». MAC-адрес состоит из шести групп шестнадцатеричных чисел, разделенных знаком «-» (тире). Допускается ввод только числовых значений и следующих символов: «A», «B», «C», «D», «E», «F». Ограничить число сеансов Данный флаг позволяет определить предельное число сеансов для пользователя. По умолчанию флаг снят, и число сеансов не ограничено. При установке флага следует задать количество сеансов. См. также: Свойства пользователя 2. 3.8.8.5. Удаление пользователя Удаление «Пользователя» осуществляется следующими способами: при выполнении команды контекстного меню «Удалить» для выбранного пользователя; при выполнении команды главного меню «Пользователь - Удалить». При выполнении одного из действий появится диалог подтверждения выполняемых действий: 96 Рисунок 2.3.92 – Окно «Подтверждение». При выборе положительного ответа выбранный пользователь будет удален, в противном случае нет. Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что удалять пользователей может только прикладной администратор. См. также: Пользователи 2. 3.8.8.6. Обновление пользователя Операция обновления пользователей необходима для обновления прав пользователей на уровне СУБД. Существует возможность обновления как одного пользователя, так и всех пользователей одновременно. Для обновления пользователя следует выполнить: команду главного меню «Пользователь - Обновить» или «Пользователь - Обновить всех» (для обновления всех пользователей); команду контекстного меню выбранного пользователя «Обновить». После выполнения одного из действий будет открыто диалоговое окно «Авторизация в БД»: 97 Рисунок 2.3.93 – Окно «Авторизация в БД». Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что обновление пользователей может осуществлять только прикладной администратор. См. также: Пользователи 2. 3.8.8.7. Смена пароля пользователя Для изменения пароля пользователя необходимо выполнить команду контекстного меню пользователя «Сменить пароль». Рисунок 2.3.94 – Окно «Смена пароля». 98 В появившемся окне необходимо ввести новый пароль и подтверждение введенного пароля. Пароль может начинаться с цифры. В случае успешной смены пароля будет выдано соответствующее информационное сообщение: Рисунок 2.3.95 – Окно «Системное сообщение». Примечание. Нельзя изменить пароль для доменного пользователя. Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором необходимо помнить, что операция смены пароля пользователя доступна только администратору информационной безопасности. См. также: Пользователи Объектами модели безопасности являются единицы или группы информационных ресурсов прикладных систем, доступ к которым регламентируется правилами разграничения доступа. К объектам модели безопасности комплекса относятся все объекты метабаз прикладных систем: папки, таблицы, запросы, представления, измерения, стандартные и виртуальные кубы, формы, отчёты, рабочие пространства и т.д. 2. 3.8.8.8. Параметры управления доступом Для эффективной координации работы с базой данных, обеспечения сохранности и целостности данных в свойствах каждого объекта определены права доступа и уровни безопасности. Установка прав доступа для объекта производится в диалоговом окне «Параметры управления доступом для ...». Вызов данного окна можно произвести на закладке «Навигатор» менеджера безопасности или в окне Навигатора объектов: при выполнении пункта контекстного меню «Права доступа»; при выполнении пункта главного меню «Объект - Права доступа»; Окно «Параметры управления доступом для ...» выглядит следующим образом: 99 Рисунок 2.3.96 – Окно «Параметры управления доступом». Данное окно в зависимости от настроенной политики безопасности может содержать следующие закладки: Дискреционный контроль Мандатный доступ Аудит Эффективные права Метки безопасности При вызове окна «Параметры управления доступом для ...» для группы выбранных объектов будут доступны только закладки «Дискреционный контроль» и/или «Мандатный доступ» в зависимости от настроенной политики безопасности. Перед открытием данного окна всегда выдается сообщение, в котором сообщается, что при определении прав эти же права будут установлены для всех выбранных объектов. Если для выбранных объектов права доступа различны, то в сообщении также будет отражен данный факт, например: 100 Рисунок 2.3.97 – Окно «Параметры управления доступом». Закладка «Дискреционный контроль». См. также: Дополнительные параметры безопасности 2. 3.8.8.9. Закладка «Дискреционный контроль» Данная закладка будет отображена в окне «Параметры управления доступом для ...» в случае если используется дискреционный метод разграничения доступа (Методы разграничения прав). Закладка «Дискреционный контроль» выглядит следующим образом: Рисунок 2.3.98 – Окно «Параметры управления доступом». Закладка «Дискреционный контроль». 101 На данной закладке в поле «Группы или пользователи» отображается список субъектов безопасности (Субъекты модели безопасности), которые имеют право производить какие-либо действия над объектами. При выборе субъекта ниже в области «Разрешения» будет отражен список обобщенных прав доступа, которые могут быть изменены для каждого субъекта безопасности в отдельности. Для удаления субъекта безопасности следует воспользоваться кнопкой «Удалить». Добавление субъектов безопасности осуществляется с помощью кнопки «Добавить», при нажатии на которую появится окно «Выбор групп и пользователей». После добавления субъекта безопасности, необходимо определить его права в области «Разрешения», в которой необходимо расставить флаги напротив выбранных операций. Возможна установка флагов «Разрешено» и «Запрещено». Операция запрета имеет более высокий приоритет. Примечание. В случае если пользователю запрещена операция чтения объекта, то данный объект не будет отображен в навигаторе объектов (для данного пользователя), а также на закладках «Состоит из»/«Входит в» при запросе свойств для тех объектов, которые используют объект либо используются им. (Данные закладки отображаются в окне «Свойства объекта»: См. «Стандартные свойства объекта»). Примечание. В случае если пользователю запрещены некоторые операции над объектами, то в навигаторе объектов для данного пользователя будут отсутствовать соответствующие пункты меню. Например, если у пользователя нет прав на «Удаление»/«Запись» объекта, то у него будут отсутствовать пункты меню «Редактировать»/ «Удалить»/ «Вырезать». При нажатии на кнопку «Дополнительно» будет открыто окно, в котором можно задать особые права или параметры (См. Дополнительные параметры безопасности). Установка флага «Применить по иерархии папок и на объекты в папках» позволяет распространить права объекта на дочерние папки и объекты. Флаг «Наследовать разрешения от родительского объекта» включает режим наследования прав объекта от родительского объекта, в результате права объекта становятся идентичными правам родительского объекта. Флаг «Настроить права на связанные объекты...» позволяет настроить права на все объекты, которые используются данным объектом и которые используют данный объект. В случае если данный флаг установлен, то после нажатия кнопки «ОK» будет открыто окно «Настройка прав доступа на связанные объекты...». 102 Примечание. Данный флаг будет отсутствовать, в случае если у объекта нет связанных объектов или диалог вызван для нескольких объектов. См. также: Объекты администрирования Дополнительные параметры безопасности Для определения особых прав или параметров необходимо нажать на кнопку «Дополнительно» на закладке «Дискреционный контроль». После чего будет открыто окно «Дополнительные параметры безопасности»: В окне «Дополнительные параметры безопасности» возможно добавление, изменение и удаление прав доступа к объектам. В окне отображаются следующие параметры: Тип разрешения - определяется, какая операция используется - либо «Разрешено», либо «Запрещено». Наименование - наименование субъекта безопасности, которому устанавливаются права на доступ к объектам. Права - перечисляется набор прав, установленных для данного субъекта безопасности. SID - уникальный идентификатор субъекта безопасности. Для добавления разрешения следует нажать на кнопку «Добавить», после чего появится диалог «Выбор групп и пользователей». После выбора субъекта безопасности следует нажать на кнопку «OК», после чего будет открыто окно «Элемент разрешений»: 103 Рисунок 2.3.99 – Окно «Элемент разрешений». В данном окне отображается наименование выбранного субъекта безопасности и список детализированных прав для данного типа объектов. Для разрешения или запрета выполнения определенных действий над объектом необходимо установить соответствующие флаги напротив выбранных операций. Операция запрета имеет более высокий приоритет. После нажатия на кнопку «Ок» добавляемый субъект будет добавлен в список разрешений. Изменение прав доступа для выбранного субъекта осуществляется в окне «Элемент разрешений», вызов которого осуществляется либо при нажатии кнопки «Редактировать», либо при двойном щелчке кнопкой мыши. См. также: Объекты администрирования 2. 3.8.8.10. Закладка «Мандатный доступ» Данная закладка будет отображена в окне «Параметры управления доступом для ...» в случае если используется мандатный метод разграничения доступа (Методы разграничения прав). 104 На данной закладке определяется уровень конфиденциальности для объекта, который ограничивает возможность работы пользователя с объектом в зависимости от статуса, присвоенного пользователю. Закладка «Мандатный доступ» выглядит следующим образом: Рисунок 2.3.100 – Окно «Параметры управления доступом». Закладка «Мандатный доступ». В списке «Категории» будут отображены все категории доступа, созданные на странице менеджера безопасности Мандатный доступ. В столбце «Уровень доступа» из раскрывающегося списка для каждой категории выбирается значение уровня доступа для объекта. Флаг «Настроить права на связанные объекты...» позволяет настроить права на все объекты, которые используются данным объектом и которые используют данный объект. В случае если данный флаг установлен, то после нажатия кнопки «ОK» будет открыто окно «Настройка прав доступа на связанные объекты...». 105 Примечание. Данный флаг будет отсутствовать, в случае если у объекта нет связных объектов или диалог вызван для нескольких объектов. См. также: Объекты администрирования Мандатный метод разграничения доступа 2. 3.8.8.11. Закладка «Аудит» Данная закладка предназначена для гибкой настройки аудита действий определенного субъекта безопасности над объектом, для которого данная закладка открыта. Примечание. Данная закладка не будет отображена в окне «Параметры управления доступом для ...», в случае если окно вызвано для нескольких объектов. Закладка «Аудит» выглядит следующим образом: Рисунок 2.3.101 – Окно «Параметры управления доступом». Закладка «Аудит». Добавление субъектов безопасности осуществляется с помощью кнопки «Добавить», при нажатии на которую появится окно «Выбор групп и пользователей». 106 Для добавленного субъекта безопасности необходимо определить протоколируемые события установкой соответствующих флагов в списке «Журналируемые события». Отмеченные события будут записываться в Протокол доступа. Для установки флагов можно воспользоваться пунктами контекстного меню: Отметить все - устанавливает флаги для всех событий; Сбросить все - снимает все установленные флаги. Для выделения операций в списке можно использовать пункты контекстного меню: Выделить все - выделяет все события; Снять выделение - снимает выделение. При нажатии на кнопку «Отметить все» будут установлены флаги для всех событий. В списке операций присутствует строка «Специфические операции», которая позволяет видеть, настроен ли аудит на специфические операции для данного объекта. Для настройки аудита по специфическим операциям следует нажать на кнопку «Специфические операции». Примечание. Данная кнопка будет недоступна, в случае если для данного типа объектов не предусмотрены специфические операции (Типы событий). После нажатия кнопки будет открыто «Настройка разрешений», например: 107 Рисунок 2.3.102 – Окно «Настройка разрешений». Для протоколирования выбранных действий необходимо напротив них установить флаги. В списке возможна множественная отметка событий. Для разных типов объектов список специфических операций отличается (Типы событий). В списке событий доступно контекстное меню, описанное выше. При нажатии на кнопку «Очистить все» все установленные флаги будут сняты. Для применения настроенного аудита по специфическим операциям следует нажать на кнопку «ОК», после чего диалог закрывается, и в списке журналируемых событий в строке «Специфические операции» будет обновлено состояние флажка. При нажатии на кнопку «Отмена» диалог специфических операций закрывается без сохранения внесенных изменений. См. также: Объекты администрирования Аудит 2. 3.8.8.12. Закладка «Эффективные права» Данная закладка предназначена для просмотра имеющихся прав у субъекта безопасности на выполнение определенных действий над объектом, для которого данная закладка открыта. Закладка «Эффективные права» выглядит следующим образом: 108 Рисунок 2.3.103 – Окно «Параметры управления доступом». Закладка «Эффективные права». В поле «Группа или пользователь» следует указать группу или конкретного пользователя, для которого требуется просмотреть права. Наименование субъекта безопасности можно ввести вручную или с помощью диалога «Выбор групп и пользователей», вызов которого производится при нажатии на кнопку «Выбрать». Примечание. Если введенное наименование в поле не является именем субъекта безопасности, то поле будет подсвечено розовым цветом. В области «Назначенные разрешения» будет отображен список возможных операций над объектом. Напротив действий, на которые выбранный субъект имеет разрешение, будут установлены флаги. Примечание. Данная закладка не будет отображена в окне «Параметры управления доступом для ...», в случае если окно вызвано для нескольких объектов. См. также: Объекты администрирования 109 2. 3.8.8.13. Закладка «Метки безопасности» Данная закладка будет отображена только для следующих объектов: стандартный и вычисляемый справочник, справочник НСИ, составной справочник НСИ. Метки безопасности предназначены для определения гибкого доступа к элементам справочника. Закладка «Метки безопасности» выглядит следующим образом: Рисунок 2.3.104 – Окно «Параметры управления доступом». Закладка «Метки безопасности». С помощью меток безопасности формируется битовая маска безопасности, в соответствии с которой будут разрешены/запрещены определенные действия над элементами справочника. Каждому субъекту безопасности ставится в соответствие номер бита, который соответствует порядку следования субъектов в списке, если нумерацию начинать с нуля. 110 Примечание. Для справочника НСИ и составного справочника НСИ битовая маска безопасности формируется автоматически при работе с интерфейсом: Описание справочника, Работа с элементами. Для стандартного и вычисляемого справочника маску необходимо формировать вручную: Атрибуты справочника. Для добавления субъекта безопасности следует нажать на кнопку «Добавить», после чего появится диалог «Выбор групп и пользователей». Для удаления выбранного субъекта из списка следует нажать на кнопку «Удалить». Примечание. Следует помнить, что при удалении субъекта безопасности номера битов у оставшихся субъектов не изменяются. Рекомендуется не удалять субъекты, а заменять их. Для замены субъекта безопасности на другой следует нажать на кнопку «Заменить», после чего будет открыто окно «Выбор групп и пользователей». См. также: Объекты администрирования 2. 3.8.8.14. Настройка прав доступа на связанные объекты Данный диалог будет открыт, если на одной из закладок «Дискреционный контроль» или «Мандатный доступ» был установлен флаг «Настроить права на связанные объекты...» и была нажата кнопка «ОК». 111 Рисунок 2.3.105 – Окно «Настройка прав доступа на связанные объекты». Закладка «Дискреционный анализ». В поле «Объект» отображается имя объекта, связанные объекты которого рассматриваются (далее исходный объект). В зависимости от настроенной политики безопасности (см. Методы разграничения прав) диалог может содержать закладки: Дискреционный контроль В поле «Субъект безопасности» следует выбрать субъект безопасности, для которого необходимо установить права доступа на связанные объекты. Список «Данный объект зависит от следующих объектов» отражает все зависимые объекты (по иерархии вниз). Список «Следующие объекты зависят от данного объекта» отражает все зависящие объекты (по иерархии вверх). 112 В столбце «Несовпадающие права» выводятся права объекта, несовпадающие с правами исходного объекта. Необходимо отметить флагами те объекты, права которых должны совпадать с правами исходного объекта. Красным будут отмечены объекты, права которых не совпадают с правами исходного объекта. Для таких объектов флаги будут установлены автоматически. Сравнение прав производится для выбранного субъекта безопасности. Мандатный доступ Рисунок 2.3.106 – Окно «Настройка прав доступа на связанные объекты». Закладка «Мандатный доступ». В поле «Права исходного объекта» через точку с запятой отображаются метки всех категорий безопасности для исходного объекта. При наведении курсора мыши на данное поле 113 отображается всплывающая подсказка на случай, когда все категории не входят в отведенное для них пространство. Список «Данный объект зависит от следующих объектов» отражает все зависимые объекты (по иерархии вниз). Список «Следующие объекты зависят от данного объекта» отражает все зависящие объекты (по иерархии вверх). В столбце «Несовпадающие метки» выводятся метки безопасности объекта, несовпадающие с метками исходного объекта, в виде «Наименование категории: наименование уровня». Необходимо отметить флагами те объекты, метки которых должны совпадать с метками исходного объекта. Красным будут отмечены объекты, метки которых не совпадают с метками исходного объекта. Для таких объектов флаги будут установлены автоматически. При нажатии кнопки «Права доступа» для выбранного объекта из списка будет открыто окно «Параметры управления доступом для...», в котором можно просмотреть и/или изменить права доступа для выбранного объекта. При нажатии кнопки «Применить права» права отмеченных объектов будут изменены в соответствии с правами исходного объекта. При этом будет выдано сообщение, в котором необходимо подтвердить производимое действие: Рисунок 2.3.107 – Окно «Подтверждение». При положительном ответе права будут изменены, в противном случае - нет. При нажатии на кнопку «Закрыть» диалог будет закрыт. В случае если в каком-либо из списков отмечены объекты, права которых отличны от прав исходного объекта, то выдается подтверждение производимого действия: 114 Рисунок 2.3.108 – Окно «Подтверждение». При положительном ответе права отмеченных объектов будут изменены и диалог закрыт, при отрицательном - диалог закрывается без изменений прав. См. также: Дискреционный контроль Объекты администрирования 2.3.8.9 Выбор групп и пользователей Данный диалог используется при работе с параметрами управления доступом, при добавлении пользователей в группы, при добавлении обладателей привилегий и т.д. Диалог «Выбор групп пользователей» выглядит следующим образом: Рисунок 2.3.109 – Окно «Выбор групп и пользователей». В окне отображается список групп и пользователей. Для упрощения поиска необходимого субъекта безопасности возможна фильтрация списка, для этого необходимо установить соответствующие флаги и/или переключатели в области группировки «Фильтр»: 115 Все субъекты безопасности - при установке данного флага в списке будут отображаться все субъекты безопасности; Группы - при установке данного флага в списке будут отображаться только группы пользователей; Пользователи - при установке данного флага в списке будут отображаться только пользователи; Установка флага «Отображать доменных пользователей» позволяет отображать в списке пользователей (группы) текущего домена; Установка флага «Отображать пользователей СУБД» позволяет отображать в списке пользователей СУБД. Для добавления в список выбранных пользователей и/или групп следует нажать на кнопку «ОК», при нажатии на кнопку «Отмена» процесс добавления будет прерван. 2.3.8.10 Политика безопасности Политика безопасности - набор правил, определяющих методы, степень защиты прикладной системы и регламентирующих права доступа к объектам системы. Политика безопасности содержит параметры, имеющие глобальное воздействие на степень защиты системы. Определение степени защиты для отдельных объектов производится путем изменения их списков контроля доступа и меток доступа. См.также: Методы разграничения прав Привилегии Мандатный доступ Редактор политик Аудит Сервис 2. 3.8.10.1. Методы разграничения прав Менеджер безопасности комплекса реализует два принципиально различных метода разграничения доступа: дискреционный и мандатный. По умолчанию, эти два метода взаимно дополняют друг друга. Но если нет надобности, любой из них может быть отключен установкой соответствующих параметров на странице «Редактор политик». 116 См.также: Дискреционный метод разграничения безопасности Мандатный метод разграничения доступа Редактор политик 2. 3.8.10.2. Дискреционный метод разграничения доступа Дискреционный метод разграничения доступа основан на использовании списков контроля доступа, назначаемых каждому объекту системы. Для каждого объекта определяются права доступа. Каждому праву доступа соответствует некоторое действие, которое субъект безопасности может совершать с объектом. К правам доступа относятся: право на просмотр объекта, право на изменение объекта, право на удаление объекта и т. д. Для каждого класса объектов определяется собственный набор прав доступа, применимых к данному классу объектов. Список контроля доступа представляет собой массив из элементов контроля доступа и определяет полномочия субъектов относительно данного объекта. Список контроля доступа объекта может иметь несколько элементов, определяющих полномочия одного объекта. В этом случае права доступа аккумулируются из наборов прав доступа отдельных элементов. При этом снятие прав имеет приоритет над их присвоением. Это означает, что если список контроля доступа содержит два элемента, в одном из которых определенное право присваивается субъекту, а в другом отнимается, то, в итоге, после аккумуляции прав, данный субъект не будет иметь этого права доступа к объекту. Механизм контроля доступа Перед совершением пользователем определенного действия над объектом система проверяет у него, а так же у групп, членом которых он является, наличие соответствующего права, просматривая список контроля доступа; также проверяется, является ли пользователь обладателем привилегий, которые разрешают данное действие. В случае наличия такого права (у пользователя или у группы) система разрешает выполнение действий, в противном случае запрос отклоняется. Запрет всегда имеет приоритет над разрешением. См. также: Методы разграничения прав 117 2. 3.8.10.3. Мандатный метод разграничения доступа Мандатный метод разграничения доступа основан на присвоении объектам и субъектам системы меток доступа. Метки доступа объектов определяют степень секретности информации в них хранящейся. Метки доступа субъектов определяют категории секретности информации, к которой они имеют доступ. Метки доступа для субъектов задаются в окне «Свойства пользователя», для объектов в окне «Параметры управления доступом». При использовании мандатного метода разграничения доступа вся информация, хранящаяся в системе, классифицируется по категориям секретности. Возможно использование как одной категории, так и нескольких. Каждая категория может содержать произвольное количество уровней секретности. Категории могут быть как иерархическими, так и неиерархическими. В иерархической категории более высокий уровень секретности автоматически включает уровни секретности более низкого уровня. В неиерархической категории области действий уровней секретности не пересекаются. Механизм контроля доступа Мандатный контроль определяет только возможность чтения и изменения объекта (права на удаление объекта с помощью мандатного доступа не определяются). К изменению объекта относятся все операции, каким - либо образом меняющие содержимое объекта или права доступа к нему. Субъект может производить операцию чтения над объектом: Для иерархических категорий - только в случае, когда метка доступа объекта больше метки доступа пользователя, исключая случай, когда метка доступа пользователя равна нулю; Для неиерархических категорий - только в случае равенства меток доступа объекта и пользователя. Субъект может производить операцию записи в объект только тогда, когда метки доступа объекта (для всех категорий) совпадают с метками доступа пользователя. Пример Допустим, имеется три уровня безопасности для иерархической категории: 0 – Доступ запрещен 118 1 – Для служебного пользования 2 – Ограниченный доступ 3 – Свободный доступ И три пользователя, с уровнями конфиденциальности: Пользователь1 – Для служебного пользования(1) Пользователь2 – Ограниченный доступ(2) Пользователь3 – Свободный доступ(3) Тогда структуру системы можно представить в виде диаграммы: Где, сектора – пользователи системы: – Пользователь 1 – Пользователь 2 – Пользователь 3 А окружности символизируют собой уровни конфиденциальности с соответствующими метками критичности. Таким образом, получается, что в данной системе: Пользователь1 с уровнем доступа «Для служебного пользования(1)» имеет доступ ко всем объектам, кроме объектов, имеющих уровень конфиденциальности «Доступ запрещен(0)», то есть к объектам уровней «Для служебного пользования(1)», «Ограниченный доступ (2)» и «Свободный доступ(3)». Пользователи2 с уровнем конфиденциальности «Ограниченный доступ(2)» могут иметь доступ только к объектам с уровнем конфиденциальности «Ограниченный доступ(2)» и «Свободный доступ(3)». Пользователи3 с уровнем конфиденциальности «Свободный доступ (3)»могут иметь доступ только к объектам с уровнем конфиденциальности «Свободный доступ (3)». Уровень конфиденциальности «0 – Доступ запрещен» является специфичным уровнем. Если он установлен для пользователя, то этот пользователь не сможет получить доступ ни к 119 одному объекту схемы. Если этот уровень установлен для объекта, то ни один из пользователей не сможет получить доступа к данному объекту. Для получения доступа к объекту с нулевым уровнем конфиденциальности, необходимо сначала изменить для него уровень конфиденциальности. См. также: Методы разграничения прав Мандатный доступ 2.3.8.11 Мандатный доступ В окне «Мандатный доступ» менеджера безопасности располагаются: Список категорий секретности - В списке категорий отображаются - наименование категории и тип категории. Возможно создание иерархических и неиерархических категорий. Список уровней безопасности - В списке «Уровни» отображаются наименование уровня и метка критичности. Подробно о метках доступа и категориях секретности: Мандатный метод разграничения доступа. Рисунок 2.3.110 – Окно «Менеджер безопасности». Мандатный доступ.0 Добавление категорий секретности Добавление категорий секретности происходит с помощью кнопки «Добавить» в поле «Категории», при этом появится окно «Параметры категории»: 120 Рисунок 2.3.111 – Окно «Параметры категории». В этом окне определяются следующие параметры: Наименование - название создаваемой категории секретности. Определяется администратором, исходя из назначения данной категории. Тип категории - определяется тип категории секретности, возможно два варианта: Иерархическая (флаг «Иерархическая» установлен); Неиерархическая (флаг «Иерархическая» снят). Добавление уровня безопасности Для добавления уровней безопасности необходимо выделить в списке «Категории» необходимую категорию нажатием на ней левой кнопки мыши, при этом станет активным поле «Уровни», в котором с помощью кнопки «Добавить» необходимо вызвать окно «Параметры уровня безопасности»: Рисунок 2.3.112 – Окно «Параметры уровня безопасности». В этом окне определяются следующие параметры: Наименование - название создаваемого уровня безопасности. Определяется администратором, исходя из назначения данного уровня. Метка критичности - числовое значение, которое должно быть уникальным в пределах списка уровней безопасности. 121 Маркировать объекты при экспорте и печати - Маркировка выводимых на печать (или экспортируемых) объектов штампом № 1 в соответствии с Инструкцией № 0126-87. Разрешить экспорт объектов - данный флаг по умолчанию установлен и разрешает экспорт объектов, соответствующих данному уровню безопасности. При снятии флага данная возможность будет заблокирована. Разрешить печать объектов - данный флаг по умолчанию установлен и разрешает печать объектов, соответствующих данному уровню безопасности. При снятии флага данная возможность будет заблокирована. См. также: Привилегии 2.3.8.12 Привилегии В окне «Привилегии» отображается список всех возможных привилегий системы. Возле каждой привилегии перечислены пользователи, которые обладают данной привилегией. Окно «Привилегии» блока «Менеджер безопасности» выглядит следующим образом: Рисунок 2.3.113 – Окно «Менеджер безопасности». Привилегии. В окне «Привилегии» отображены следующие привилегии: Таблица 16 122 Описание (привилегии) Возможные операции Вход в систему Вход в систему. Право чтения и открытия Право чтения всех объектов. всех объектов в навигаторе. Изменение метки безопасности и списка контроля Изменение безопасности (мандатный контроль); доступа любого объекта. Просмотр всех объектов в навигаторе. метки Изменение списка доступа любого объекта (Дискреционный контроль); Чтение дескриптора объектов. Раздача прав на объекты. Изменение прав пользователей, раздача паролей, Изменение прав субъектов безопасности; изменение политики. Раздача привилегий; Изменение политики безопасности (Действия только в менеджере безопасности, исключая страницу Протокол доступа). Просмотр протокола Просмотр протокола доступа. доступа. Очистка протокола доступа. Очистка протокола доступа. Создание, Создание, удаление пользователей. При удаление пользователей создании пользователя отображена только закладка «Общие свойства» Изначально всеми привилегиями обладает группа «Администраторы», группа «Пользователи» обладает только привилегией «Вход в систему». В дальнейшем распределение привилегий осуществляется прикладным (или администратором информационной безопасности в случае его наличия). Для определения обладателей выбранной в списке привилегии следует: выполнить команду главного меню «Привилегия - Обладатели привилегий»; выполнить команду контекстного меню «Обладатели привилегий»; 123 произвести двойной щелчок кнопкой мыши. После выполнения одного из действий будет открыто окно «Обладатели привилегий»: Рисунок 2.3.114 – Окно «Обладатели привилегий». Для добавления обладателей привилегий следует нажать кнопку «Добавить», после чего появится диалог «Выбор групп и пользователей» Для удаления одного или нескольких обладателей следует нажать кнопку «Удалить». При нажатии кнопки «Ok» выбранный субъект безопасности будет занесен в список «Обладатели привилегий». Примечание. В случае если в качестве обладателя привилегий был выбран доменный пользователь(группа), который не создан в АК «ПРОГНОЗ», то будет запушен процесс создания данного доменного пользователя (Создание доменной группы). См. также: Методы разграничения прав 2.3.8.13 Редактор политик В диалоговом окне «Редактор политик» производится настройка политики безопасности. 124 Рисунок 2.3.115 – Окно «Менеджер безопасности». Редактор политик. Окно содержит две закладки: Общая политика Парольная политика Для применения заданных настроек политики безопасности следует: выполнить пункт главного меню «Репозиторий - Применить политику безопасности»; нажать на кнопку панели инструментов. При попытке перехода в другой раздел менеджера (или при его закрытии), в случае если параметры политики безопасности были изменены, то будет выдан запрос о применении политики: Рисунок 2.3.116 – Окно «Подтверждение». При положительном ответе изменения политики будут сохранены и осуществлено действие: переход к другому разделу или закрытие менеджера безопасности. При 125 отрицательном ответе будет осуществлен переход к другому разделу или закрытие менеджера безопасности без сохранения изменений политики. Нажатие на кнопку «Отмена» приводит к отмене перехода к другому разделу или отмене закрытия менеджера безопасности. 2. 3.8.13.1. Общая политика Данная закладка имеет следующий вид: Рисунок 2.3.117 – Окно «Редактор политик». Закладка «Общая политика». Администратор информационной безопасности В данном поле содержится информация о разделении ролей между администратором информационной безопасности (АИБ) и прикладным администратором (ПА). Если режим не активирован, то в данном поле будет отображаться кнопка «Активировать», если активирован «Деактивировать». Для активации режима необходимо нажать кнопку «Активировать». Для деактивации режима необходимо нажать кнопку «Деактивировать». При разделении ролей прикладному администратору в менеджере безопасности будут доступны только разделы Протокол доступа и Пользователи, причем в разделе Пользователи будет не доступна операция смены пароля пользователя, а для АИБ будут доступны все разделы, но в разделе Пользователи будут не доступны операции создания, обновления и удаления пользователей. 126 При активации/деактивации АИБ и при наличии не сохраненных изменений в политике безопасности будет выдан запрос на их применение, например: Рисунок 2.3.118 – Окно «Подтверждение». При положительном ответе изменения в политике безопасности будут сохранены и после чего запущен процесс активации/деактивации АИБ. При отрицательном ответе будет произведена отмена активации/деактивации АИБа. Подробно: Администратор информационной безопасности Механизмы контроля доступа По умолчанию метод разграничения доступа установлен как «Дискреционный доступ». При необходимости можно установить «Мандатный доступ». Возможно одновременное использование этих методов разграничения доступа. При отсутствии необходимости любой из них или оба могут быть отключены снятием соответствующих флагов. Флаг «Разрешить копирование в буфер обмена и копирование экрана» по умолчанию установлен и разрешает копирование в буфер обмена и копирование экрана. Снятие флага данные возможности блокирует. Установка флага «Очистка памяти» позволяет освобождаемую память перезаписывать 0лями. Флаг «Разрешить расширенные возможности работы с БД и внешними файлами» по умолчанию установлен. Снятие данного флага позволяет блокировать средства среды разработки в АК «Прогноз», при помощи которых опытные пользователи могут производить экспорт данных из хранилища комплекса. Будет заблокировано выполнение системной сборки Dal, класса File в системной сборке IO, компонента UIQuery. Также не будут выполнены методы: для интерфейса IFile: Open AppendBinary AppendText 127 OpenBinaryReader OpenTextReader OpenBinaryWriter OpenTextWriter для интерфейса IFileStream: Create для интерфейса IFileInfo: Open AppendBinary AppendText OpenBinaryReader OpenTextReader OpenBinaryWriter OpenTextWriter Объект автозапуска по умолчанию В данном поле определяется объект автозапуска из раскрывающегося списка объектов репозитория. При входе в схему выбранный объект автоматически запускается. Если при входе в систему необходимо чтобы открылся весь репозиторий, а не объект автозапуска, нужно в окне регистрации при нажатии кнопки «Ok», удерживать на клавиатуре клавишу «Shift». Примечание. Данная настройка работает только при ролевой авторизации (Параметры репозитория). Пороговые значения объема протокола доступа При достижении пороговых значений администратору системы будут выданы предупреждающие сообщения. Для задания пороговых значений следует установить флаг «Пороговые значения объема протокола доступа», а затем задать значения первого и второго пороговых значений. При задании значений необходимо помнить, что первое пороговое значение должно быть больше второго. При каждом входе в менеджер безопасности пользователя, имеющего привилегию «Очистка протокола доступа», проверяется, достиг ли объем протокола доступа пороговых 128 значений. В случае если было достигнуто пороговое значение, выдается соответствующее сообщение: Рисунок 2.3.119 – Окно «Подтверждение». При положительном ответе будет запущен процесс Очистки протокола доступа, в противном случае - нет. Разграничение прав для рабочих станций В данной области можно создать список станций, с которых будет запрещен доступ к текущему репозиторию. Для добавления станции, с которой будет запрещен доступ, следует нажать на кнопку «Добавить» или выполнить пункт контекстного меню «Добавить рабочую станцию», после чего будет открыто окно: Рисунок 2.3.120 – Окно «Выбор рабочей станции». 129 В окне «Выбор рабочих станций» необходимо отметить флагами те рабочие станции, с которых необходимо запретить доступ. При отметке домена, все рабочие станции относящиеся к домену будут отмечены. Для работы с отметкой доступно контекстное меню: Отметить все - устанавливает отметку для всех рабочих станций; Снять отметку - снимает отметку со всех рабочих станций; Отметить уровень - устанавливает отметку для всех рабочих станций, расположенных на одном уровне с указанной рабочей станцией; Снять отметку с уровня - снимает отметку со всех рабочих станций, расположенных на одном уровне с указанной рабочей станцией; Отметить подчиненные - устанавливает отметку для всех дочерних рабочих станций; Снять отметку с подчиненных - снимает отметку со всех дочерних выбранной рабочей станции; Развернуть всю иерархию - разворачивает иерархию списка; Свернуть все иерархию - сворачивает иерархию списка; Для поиска рабочей станции следует нажать на клавишу «F3», после чего будет открыто стандартное окно поиска: Рисунок 2.3.121 – Окно «Поиск». Существует возможность добавления рабочей станции вручную. Для этого нужно в поле «Другая» указать путь к рабочей станции в виде: «Домен/Рабочая_станция», после чего нажать на кнопку «Добавить». После нажатия кнопки «Запретить доступ» отмеченные флагами рабочие станции будут добавлены в список запрещенных, в противном случае этого не произойдет. 130 Для удаления выбранной рабочей станции из списка следует нажать на кнопку «Удалить» или выполнить одноименный пункт контекстного меню, после выполнения команды выдается диалог подтверждения операции. Для удаления всех станций из списка следует нажать на кнопку «Очистить» или выполнить пункт контекстного меню «Очистить список», после выполнения команды выдается диалог подтверждения операции. Для применения заданных настроек политики следует: выполнить пункт главного меню «Репозиторий - Применить безопасности»; нажать на кнопку панели инструментов. См. также: Редактор политик 2. 3.8.13.2. Парольная политика На данной закладке определяются настройки парольной политики: Рисунок 2.3.122 – Окно «Редактор политик». Закладка «Парольная политика». политику 131 Возможна настройка следующих параметров: Количество неудачных попыток Данный параметр задает число неудачных попыток, после которого происходит блокировка пользователя и выдача соответствующего сообщения (См. Запуск комплекса). Данный параметр является защитой от подбора паролей. Минимальная длина пароля (символов) Данный параметр задает ограничение на минимальную длину пароля в символах. Максимальный срок действия (дней) Данный параметр определяет максимальный срок действия пароля. Запретить совпадение имени пользователя и пароля При установке данного флага пароль пользователя и имя должны быть различными. Запретить совпадение идентификатора пользователя и пароля Установка флага позволяет проверять различия пароля и идентификатора пользователя. Запретить использование пароля из одинаковых символов При установке данного флага пароль пользователя не может состоять из одинаковых символов. Пароль должен содержать одну цифру, одну букву и один спецсимвол При установке данного флага пароль должен содержать хотя бы одну цифру, букву и спецсимвол. Минимальное отличие старого пароля от нового (символов) Данный параметр определяет ограничение на совпадение старого и нового пароля пользователя. Количество символов задается в редакторе напротив флага. Максимальное количество повторяющихся символов Установка флага позволяет использовать в пароле заданное количество повторяющихся символов. Количество символов задается в редакторе напротив флага. Проверять пароль на вхождение запрещенных строк При установке данного флага будет доступно поле, в котором отражены (если таковые есть) запрещенные строки. Проверка пароля происходит при его смене (Смена пароля пользователя). Для добавления запрещенной строки необходимо нажать на кнопку «Добавить», в открывшемся окне необходимо указать текст запрещенной строки: 132 Рисунок 2.3.123 – Окно «Запрещенная строка». Для редактирования уже существующей запрещенной строки необходимо ее выбрать и нажать на кнопку «Редактировать». Появится окно аналогичное вышеприведенному окну, в котором необходимо внести изменения. Для удаления запрещенной строки необходимо ее выбрать и нажать на кнопку «Удалить». Для применения заданных настроек парольной политики следует: выполнить пункт главного меню «Репозиторий - Применить политику безопасности»; нажать на кнопку панели инструментов. См. также: Редактор политик 2. 3.8.13.3. Администратор информационной безопасности При разделении ролей между администратором информационной безопасности (АИБ) и прикладным администратором (ПА) в менеджере безопасности ПА будут доступны только разделы Протокол доступа и Пользователи, причем в разделе Пользователи будет недоступна операция смены пароля пользователя, а для АИБ будут доступны все разделы, но в разделе Пользователи будут не доступны операции создания, обновления и удаления пользователей. При активации режима разделения ролей привилегии раздаются следующим образом: Для АИБ будут даны следующие привилегии: Изменение прав пользователей, раздача ролей, изменение политики Изменение метки безопасности и списка контроля доступа любого объекта. Просмотр всех объектов в навигаторе Очистка протокола доступа Просмотр протокола доступа 133 При этом из первых трех привилегий все остальные субъекты исключаются. Для прикладного администратора будут даны привилегии: Право чтения и открытия всех объектов; Просмотр протокола доступа; Создание, удаление пользователей; Для активации режима разделения ролей между администратором информационной безопасности (АИБ) и прикладным администратором (ПА) необходимо нажать кнопку «Активировать» на закладке «Общая политика». Примечание. При активации/деактивации АИБ и при наличии не сохраненных изменений в политике безопасности будет выдан запрос на их применение. Рисунок 2.3.124 – Окно «Подтверждение». При положительном ответе изменения в политике безопасности будут сохранены и после чего запущен процесс активации/деактивации АИБ. При отрицательном ответе будет произведена отмена активации/деактивации АИБа. Если в схеме существует пользователь с учетной записью *_ISA ( где * - ИМЯСХЕМЫ), то он будет использован в качестве администратора информационной безопасности и в случае успешной активации будет выдано сообщение: Рисунок 2.3.125 – Окно «Информация». Если в схеме нет такого пользователя, то будет открыто окно «Свойства пользователя» для создания пользователя с учетной записью *_ISA ( где * - ИМЯСХЕМЫ), после создания которого будет запущен процесс активации и будет выдано сообщение, приведенное выше. После нажатия кнопки «ОК» изменения вступят в силу, режим считается активированным. Вход в систему стандартным образом (запуск Studio.exe или P5.exe) будет 134 осуществляться только под именем прикладного администратора, под именем администратора информационной безопасности зайти в систему нельзя. Рабочим местом администратора информационной безопасности является Менеджер безопасности, запущенный с adm.exe, который расположен в папке с установленным комплексом АК «ПРОГНОЗ». Активация не будет выполнена, если в процессе активации возникли проблемы, связанные с созданием пользователя (ISA) или раздачей прав на системные таблицы для него: Рисунок 2.3.126 – Окно «Ошибка». Следует повторить активацию администратора информационной безопасности. Также активация может быть выполнена с ошибками, в случае если возникли проблемы при перераспределении прав пользователей: Рисунок 2.3.127 – Окно «Ошибка». В таком случае для корректной работы необходимо обновить пользователей на уровне СУБД. Для деактивации режима необходимо запустить Adm.exe, который расположен в папке с установленным комплексом АК «ПРОГНОЗ». После его запуска появится окно регистрации, где необходимо указать ученую запись администратора информационной безопасности, ввести его пароль и нажать кнопку «Ок». В открывшемся окне Менеджера безопасности в диалоговом окне «Редактор политик» требуется нажать кнопку «Деактивировать». После чего появится диалог подтверждения выполняемых действий: Рисунок 2.3.128 – Окно «Подтверждение». 135 При положительном ответе будет запущен процесс деактивации. В случае успешного завершения будет выдано о информационное сообщение: Рисунок 2.3.129 – Окно «Информация». После нажатия на кнопку окно Менеджера безопасности будет закрыто и режим разделения ролей между администратором информационной безопасности и прикладным администратором считается деактивированным. Также деактивация может быть выполнена с ошибками: Рисунок 2.3.130 – Окно «Ошибка». В таком случае для корректной работы необходимо обновить пользователей на уровне СУБД. См. также: Запуск менеджера безопасности Редактор политик Общая политика Пользователи 2.3.8.14 Аудит Система может производить автоматический аудит действий субъектов в системе и записывать информацию о производимых действиях в системный журнал аудита (протокол доступа). Журнал доступен для просмотра только администраторам системы. Главное окно раздела «Аудит» выглядит следующим образом: 136 Рисунок 2.3.131 – Окно «Менеджер безопасности». Аудит. Журналируемые события делятся на общие, которые можно производить над всеми типами объектов, и специфические, которые можно производить только с определенным типом объектов (Типы событий). Для классов объектов можно: настроить полный аудит, то есть протоколирование общих и специфических операций; включить аудит только общих операций; определить набор операций, которые будут протоколироваться. Для каждого типа объекта можно вести историю только по операциям: изменение объекта, изменение прав, удаление объекта. При ведении полной истории будет сохраняться история изменений объекта по всем этим операциям. Примечание. Просмотр истории для объекта осуществляется в окне «Версии объекта». В данном разделе отображается таблица, содержащая следующие столбцы: Тип объекта - содержащий все возможные типы объектов системы; Вести аудит - отображает перечень действий, которые заносятся в протокол доступа; Вести историю - отображает перечень действий, по которым ведется история изменений объекта. 137 Для определения набора операций, которые будут протоколироваться, следует выбрать один или несколько типов объектов в списке и: произвести двойной щелчок основной кнопкой мыши; выполнить пункт главного меню «Аудит - Настроить разрешения»; выполнить пункт контекстного меню «Настроить разрешения». После выполнения одного из действий будет открыто окно «Настройка разрешений...», в котором следует задать настройки аудита и истории. Для включения полного аудита для выбранных типов объектов следует выполнить: пункт главного меню «Аудит - Вести полный аудит»; пункт контекстного меню «Вести полный аудит». После выполнения одного из действий ведение полного аудита будет включено. Для включения аудита только по общим операциям для выбранных типов объектов следует выполнить: пункт главного меню «Аудит - Вести аудит общих операций»; пункт контекстного меню «Вести аудит общих операций». После выполнения одного из действий будет включено ведение аудита только по общим операциям. Для выключения аудита для выбранных типов объектов следует выполнить: пункт главного меню «Аудит - Отключить аудит»; пункт контекстного меню «Отключить аудит». После выполнения одного из действий ведение аудита будет отключено. Для включения/выключения ведения истории полного доступа для выбранных типов объектов следует выполнить: пункт главного меню «Аудит - Вести полную историю/Отключить историю»; пункт контекстного меню «Вести полную историю/Отключить историю». После выполнения одного из действий ведение истории будет включено/выключено. 138 Примечание. Также настроить ведение истории можно в диалоге «Настройка разрешений...». Для выделения элементов списка можно использовать пункты контекстного меню: Выделить все - будут выделены все элементы списка; Обратить выделение - имеющееся выделение будет инвертировано (изменение состояния элементов списка на обратное); Снять выделение - выделение будет снято со всех элементов списка. См. также: Политика безопасности Настройка протокола доступа 2. 3.8.14.1. Настройка разрешений Вызов данного диалога производится из раздела «Аудит» менеджера безопасности. Диалог «Настройка разрешений...» выглядит следующим образом: Рисунок 2.3.132 – Окно «Настройка разрешений». 139 В верху окна будет указано для каких типов объектов производится настройка аудита и истории. В окне отображается список общих операций, которые могут протоколироваться и по которым может вестись история. Примечание. В случае если диалог был вызван для некоторого набора классов объектов и в случае если разрешения по операциям различаются, то соответствующие флажки затеняются. Для протоколирования выбранных действий необходимо напротив них в столбце «Аудит» установить флаги. Для ведения истории по выбранным операциям следует напротив них в столбце «История» установить флаги. Примечание. Просмотр истории для объекта осуществляется в окне «Версии объекта». Флаги можно устанавливать/снимать с помощью: мыши; пунктов контекстного меню «Аудит» и «История» соответственно, которые содержат выпадающее меню: Включить - устанавливает флаги; Отключить - снимает флаги; Обратить состояние - состояние будет инвертировано (изменено на противоположное). Для выделения операций в списке можно использовать контекстное меню: Выделить все - все элементы списка операций будут выделены; Обратить выделение - состояние выделения будет инвертировано (изменено на противоположное). При нажатии на кнопку «Очистить все» будут сняты все установленные флаги. В списке общих операций будет присутствовать строка «Специфические операции», которая позволяет видеть, настроен ли аудит на специфические операции для данного класса объектов. Примечание. Строка и кнопка «Специфические операции» будут отображены в окне, только если диалог был вызван для одного типа объектов. Для настройки аудита по специфическим операциям следует нажать на кнопку «Специфические операции». 140 Примечание. Данная кнопка будет недоступна, в случае если для данного типа объектов не предусмотрены специфические операции (Типы событий). После нажатия кнопки будет открыто «Настройка разрешений», например: Рисунок 2.3.133 – Окно «Настройка разрешений». Для протоколирования выбранных действий необходимо установить флаги напротив. Работа с диалогом идентична работе в предыдущем диалоге. Для разных типов объектов список специфических операций отличается (Типы событий). Для применения настроенного аудита по специфическим операциям следует нажать на кнопку «ОК», после чего диалог закрывается, и в диалоге с общими операциями в строке «Специфические операции» будет обновлено состояние флажка. При нажатии на кнопку «Отмена» диалог специфических операций закрывается без сохранения внесенных изменений. Для применения настроек аудита по всем операциям в диалоге с общими операциями следует нажать на кнопку «ОК», в противном случае изменения применены не будут. См. также: Аудит 141 Протокол доступа 2.3.8.15 Сервис Данный раздел предназначен для контроля целостности политики безопасности: проверка механизма блокировки пользователей и работа с резервными копиями политики безопасности. Рисунок 2.3.134 – Окно «Менеджер безопасности». Сервис. Примечание. При разделении ролей между администратором информационной безопасности и прикладным администратором, необходимо помнить, что данный раздел будет доступен только для администратора информационной безопасности (Администратор информационной безопасности). Проверка механизма блокировки пользователей Данная функция позволяет настроить проверку служебного пользователя «p4audit», который необходим для корректной работы процедуры аудита пользователей. Вследствие неправильного создания пользователя «p4audit», переустановки схем или действий злоумышленников система безопасности может не функционировать должным образом, поэтому необходима проверка механизма аудита пользователей. 142 Примечание. Пользователь «p4audit» создается при подготовке серверной части СУБД. Установка флага «Проверять при каждом входе в систему» приводит к проверке механизма блокировки пользователей при каждом входе администратора в менеджер безопасности. В случае обнаружения ошибок будет выдано соответствующее сообщение. Примечание. Состояние данного флага хранится в реестре. При нажатии на кнопку «Проверить сейчас» происходит проверка механизма блокировки пользователей в данный момент. По результату проверки будет выдано соответствующее сообщение. Резервное копирование политики безопасности В данной группе осуществляется работа с резервными копиями политики безопасности. В резервную копию попадает политика безопасности, настройки аудита, информация о группах и пользователях, о правах доступа на объекты. Для создания резервной копии следует нажать на кнопку «Сохранить резервную копию», после чего будет открыто окно, в котором следует указать имя и путь сохранения файла. Имя по умолчанию формируется автоматически: имя схемы [дата в формате, заданном на клиентском месте]. Резервный файл сохраняется с расширением *.p5p. При нажатии на кнопку «Сохранить» резервная копия будет сохранена, в противном случае - нет. Рисунок 2.3.135 – Окно «Сохранить». 143 Для восстановления политики безопасности следует нажать на кнопку «Восстановить из резервной копии», после чего будет открыто окно, в котором следует указать месторасположение файла политики безопасности (*.p5p). При нажатии кнопки «Открыть» будет запущен процесс восстановления политики безопасности из файла, в противном случае нет. Рисунок 2.3.136 – Окно «Открыть». Примечание. Операции по копированию и восстановлению политики безопасности протоколируются. Примечание. При восстановлении политики безопасности проверяется наличие отличий текущей и восстанавливаемой версий политики, в случае если изменений нет, то восстановление политики проводиться не будет. В процессе восстановления политики безопасности происходит восстановление пользователей/групп. В случае если в восстанавливаемой копии найден пользователь или группа, которые отсутствуют в текущей версии политики безопасности, то будет выдан запрос на восстановление (создание) этого пользователя или группы: 144 Рисунок 2.3.137 – Окно «Восстановление группы или пользователя». В случае если выбрана опция «Восстановить», то после нажатия кнопки «Продолжить» будет запрошен пароль системного администратора и администратора сервера БД (Авторизация в БД) для восстановления пользователя/группы. В случае если выбрана опция «Не восстанавливать», то после нажатия кнопки «Продолжить» пользователь/группа восстановлены не будут. При установке флага «Применить во всех подобных случаях» для всех добавляемых пользователей/групп будут выполнены выбранные действия без дополнительных запросов. По умолчанию данный флаг снят. После восстановления политики информационной безопасности будет выдан запрос на обновление пользователей: Рисунок 2.3.138 – Окно «Подтверждение». В случае положительного ответа происходит запуск механизма обновления пользователей. В случае успешного обновления пользователей или после нажатия кнопки «Нет», будет выдано сообщение о завершении восстановления политики безопасности: 145 Рисунок 2.3.139 – Окно «Информация». При нажатии на кнопку «Результаты» происходит раскрытие/закрытие подробной информации о выполненных действиях над пользователями: Рисунок 2.3.140 – Окно «Информация». Кнопка «Скопировать в буфер обмена» позволяет скопировать информацию из таблицы в буфер обмена. При нажатии на кнопку «Закрыть» данный диалог будет закрыт. См. также: Политика безопасности 2.3.8.16 Протокол доступа Администратор может отслеживать работу пользователей, используя протокол доступа к базе, который ведется системой. В протоколе доступа отражаются выбранные события, время и дата происхождения событий, тип событий, имена объектов, имена пользователей. Окно «Протокол доступа» выглядит следующим образом: 146 Рисунок 2.3.141 – Окно «Менеджер безопасности». Протокол доступа. Протокол доступа по умолчанию представлен в виде таблицы, содержащей следующие поля: Объект - наименование объекта, к которому обращается пользователь; Идентификатор - идентификатор объекта, к которому обращается пользователь; Уровень доступа - отображает наименование уровня безопасности объекта. Данное поле будет присутствовать, если используется мандатный метод разграничения доступа (см. также: Редактор политик); Время - дата и время выполнения операции; Операция - тип произошедшего события (Типы событий); Результат - отображает результат выполнения действия: успешно/неуспешно; Примечание. В случае если обращение к дочернему объекту завершилось неуспешно, то результат обращения ко всем родительским объектам также считается неуспешным. Рабочая станция - рабочая станция, с которой осуществлялся доступ к объекту; Пользователь ОС - пользователь операционной системы, осуществляющий доступ к объекту; Пользователь АК - пользователь аналитического комплекса, осуществляющий доступ к объекту; IP адрес - IP адрес рабочей станции, с которой осуществлялся доступ к объекту; 147 Примечание - в данном поле отображается информация об изменяемых настройках: Добавление, удаление, изменение групп (включение пользователей в группу); Добавление, удаление, изменение пользователей (изменение наименования, смена пароля, и пр.); Выдача или забирание привилегий; Изменение мандатной политики: удаление/добавление/изменение категорий доступа, удаление/добавление/изменение уровней категорий доступа; Изменение политик в редакторе политик: включение/отключение АИБа, включение/отключение дискреционного/мандатного контроля доступа, изменение в парольной политике, объекта по умолчанию; Изменение прав доступа с указанием информации о предыдущих и назначенных правах (были/стали). Также примечание будет содержать информацию о изменении состояния флага «Наследовать разрешения от родительского объекта» (Дискреционный контроль); Изменение аудита объектов; Путь к файлу: при сохранении/применении политики безопасности в/из файла; при сохранении протокола доступа в файл; при работе с обновлением. В рамках раздела «Протокол доступа» возможно осуществление следующих действий: Просмотр протокола доступа; Фильтрация протокола Поиск в протоколе доступа Сохранение протокола доступа в файл Просмотр сохраненного протокола доступа Очистка протокола доступа См. также: Настройка протокола доступа Аудит Общая политика 148 2. 3.8.16.1. Просмотр протокола доступа Для просмотра протокола доступа следует на панели навигации выбрать раздел «Протокол доступа». Вид отображения прокола доступа может осуществляться в двух режимах: линейном и древовидном. Линейный режим просмотра протокола доступа В линейном режиме сведения о событиях отображаются в виде таблицы. Все поля таблицы заполняются для всех объектов репозитория. Рисунок 2.3.142 – Окно «Менеджер безопасности». Протокол доступа. Древовидный режим просмотра протокола доступа В древовидном режиме сведения о событиях отображаются в виде дерева, вершиной которого является репозиторий, к которому обращается пользователь. Потомками дерева являются объекты данного репозитория. В данном режиме просмотра протокола поля таблицы «Рабочая станция», «Пользователь ОС», «Пользователь АК», «IP адрес», «Примечание», заполняются только для вершины дерева. 149 Рисунок 2.3.143 – Окно «Менеджер безопасности». Протокол доступа. Выбор вида производится при установке соответствующего переключателя в главном меню «Вид» (Главное меню). При любом режиме просмотра, в нижнем - левом углу (на панели состояния) отображается количество записей в протоколе доступа. Для удобного просмотра всей информации о выбранном событии предусмотрено окно «Информация о событии». Для включения отображения данного окна следует установить флаг «Информация о событии» в главном меню «Вид» (Главное меню). По умолчанию окно располагается в нижней части окна менеджера безопасности. См. также: Типы событий, отображаемых в протоколе доступа Поиск в протоколе доступа Фильтрация протокола 2. 3.8.16.2. Типы событий, отображаемых в протоколе доступа В протоколе доступа для разных типов объектов могут отображаться разные типы событий. Таблица 17 Операция Класс объекта Содержание поля 150 «Примечание» протокола доступа Вход и выход из В случае неудачной попытки входа системы в систему будет указан текст сообщения об ошибке, полученный от СУБД. Чтение все Изменение все Изменение прав все Указывается информация о предыдущих и назначенных правах (были/стали). Информация о изменении состояния флага «Наследовать разрешения от родительского объекта» (Дискреционный контроль); Удаление все Чтение все дескриптора Изменение все дескриптора Чтение все параметров Изменение все параметров Чтение все метаданных Изменение все метаданных Печать все Экспорт все 151 Импорт все Создание все Чтение Обновление обновления Будет указан путь к файлу, который был использован для открытия обновления. Запись Обновление обновления Будет указан путь к файлу, в который было произведено сохранение обновления. Применение Обновление обновления Будет указан путь к файлу, который был использован для обновления. Открытие База данных соединения Извлечение данных Таблица, Представление, Журнал, Присоединенная таблица, Стандартный куб, Вычисляемый куб, Представление-куб, Виртуальный куб, Куб ADOMD, Автоматический куб, Загрузчик в куб, Каталог показателей, Показатель Вставка данных Таблица, Представление, Журнал, Присоединенная таблица Изменение данных Таблица, Представление, Журнал, Присоединенная таблица 152 Удаление данных Таблица, Представление, Журнал, Присоединенная таблица Передача прав на данные Таблица, Представление, Журнал, Присоединенная таблица Изменение структуры таблицы Таблица, Представление, Журнал, Присоединенная таблица Сохранение данных Стандартный куб, Вычисляемый куб, Представление-куб, Виртуальный куб, Куб ADOMD, Автоматический куб, Загрузчик в куб, Каталог показателей, Показатель Чтение формул Вычисляемый куб Сохранение Вычисляемый куб формул Выполнение Процедура Изменение текста Процедура Передача прав Процедура Чтение элементов Справочник НСИ, справочника Составной справочник НСИ Изменение Справочник НСИ, элементов Составной справочник справочника НСИ 153 Добавление Справочник НСИ, элементов в Составной справочник справочник НСИ Удаление Справочник НСИ, элементов из Составной справочник справочника НСИ Чтение политики Политика безопасности Изменение политики Политика безопасности Добавление, удаление, изменение групп (включение пользователей в группу). Добавление, удаление, изменение пользователей (изменение наименования, смена пароля, и пр.). Выдача или забирание привилегий. Изменение мандатной политики: удаление/добавление/изменение категорий доступа, удаление/добавление/изменение уровней категорий доступа. Изменение политик в редакторе политик: включение/отключение АИБа, включение/отключение дискреционного/мандатного контроля доступа, изменение в парольной политике, объекта по умолчанию. Изменение аудита объектов. Сохранение контура политики безопасности Политика безопасности Будет указан путь к файлу, в который была сохранена политика. 154 Применение Политика контура политики безопасности Будет указан путь к файлу, из которого была восстановлена безопасности политика. Сохранение Протокол доступа Будет указан путь к файлу, в который был сохранен протокол. См. также: Протокол доступа 2. 3.8.16.3. Поиск в протоколе доступа Функция «Поиск объектов» необходима для упрощения поиска необходимых пользователю объектов Протокола доступа. Поиск объектов Протокола доступа осуществляется с помощью диалогового окна «Поиск», которое вызывается при выполнении команды главного меню «Вид - Поиск» раздела «Протокол доступа». Окно «Поиск» выглядит следующим образом: Рисунок 2.3.144 – Окно «Поиск». В появившемся окне можно установить следующие параметры поиска: Искать - идентификатор (или его часть) искомого объекта. Направление поиска: Искать вверх Искать вниз Кроме этого можно определить следующие параметры: Различать регистр - установка данного флага определяет, будет ли учитываться регистр введенного в поле «Искать» текста, Только целые слова - в результате поиска будут отображаться только объекты, содержащие целые слова, совпадающие с искомым словом. 155 Для запуска процедуры поиска необходимо нажать на кнопку «ОК», при использовании кнопки «Отмена» окно «Поиск» будет закрыто, процедура поиска приостановлена. См. также: Протокол доступа Просмотр протокола доступа 2. 3.8.16.4. Информация о событии Данное окно предусмотрено для удобного просмотра всей информации о выбранном событии в списке. Окно можно использовать в разделах «Протокол доступа» и «Мониторинг нарушений защиты». Для включения/выключения отображения окна следует установить/снять флаг «Информация о событии» в главном меню «Вид» (Главное меню). По умолчанию окно располагается в нижней части окна менеджера безопасности. Рисунок 2.3.145 – Окно «Информация о событии». В окне в текстовом виде отображается информация о текущей выделенной записи протокола доступа или протокола нарушения безопасности. Для копирования информации в буфер обмена следует: выполнить пункт контекстного меню «Копировать»; нажать сочетание клавиш Ctrl+C или Ctrl+Ins 156 Примечание. Операция копирования будет доступной, только если в политике безопасности установлен флаг «Разрешить копирование в буфер обмена и копирование экрана» (Редактор политик). 2. 3.8.16.5. Сохранение протокола доступа в файл Для сохранения журнала протокола доступа в файл необходимо выполнить пункт главного меню «Протокол доступа - Сохранить». В открывшемся окне необходимо указать имя и месторасположение файла: Рисунок 2.3.146 – Окно «Сохранить». При нажатии на кнопку «Сохранить» файл будет сохранен, в противном случае нет. См. также: Протокол доступа 2. 3.8.16.6. Фильтрация протокола Для настройки фильтрации протокола доступа следует выполнить команду главного меню «Протокол доступа - Фильтрация». Окно настройки фильтрации выглядит следующим образом: 157 Рисунок 2.3.147 – Окно «Фильтрация данных протокола доступа». В списке «Условия фильтрации» отображается список всех условий. Каждое условие имеет свой профиль, который просматривается (а также настраиваются) в списке «Описание условия фильтрации». Для добавления условия фильтрации следует нажать на кнопку «Создать», после чего будет открыто диалоговое окно «Редактирование условия фильтрации». Для редактирования выбранного условия следует нажать на кнопку «Редактировать», после чего будет открыто окно «Редактирование условия фильтрации». Также отредактировать выбранное условие можно в списке «Описание условия фильтрации» производя щелчки по гиперссылкам. При щелчке по гиперссылкам некоторых описаний будут выдаваться окна с настройкой дополнительных параметров (См. Список условий). Кнопка «Копировать» используется для копирования условия выбранного из списка. При нажатии на кнопку «По умолчанию» все настроенные параметры условия будут изменены так, что в протокол доступа будут попадать все события. Для удаления выбранного условия фильтрации следует нажать на кнопку «Удалить». 2. 3.8.16.7. Список условий Показывать записи с определенной/до определенной даты 158 Устанавливает период времени, за который будут отображаться записи в протоколе доступа. При настройке дат выдается окно: Рисунок 2.3.148 – Окно «Дата». Показывать/Не показывать неудачные входы в систему Определяет необходимость отображения в протоколе доступа неудачных входов в систему. Показывать/Не показывать успешные входы в систему Определяет необходимость отображения в протоколе доступа успешных входов в систему. Показывать/Не показывать запрещенные операции Определяет необходимость отображения в протоколе доступа запрещенных операций. Показывать/Не показывать разрешенные операции Определяет необходимость отображения в протоколе доступа разрешенных операций. Показывать только указанных (всех) пользователей АК При настройке данного условия будет открыт диалог, содержащий список пользователей комплекса, например: 159 Рисунок 2.3.149 – Окно «Параметры фильтрации». Следует отметить флагами тех пользователей, действия которых необходимо отображать в протоколе доступа. При нажатии на кнопку «Отметить все» флаги будут установлены для всех имеющихся пользователей, при нажатии на кнопку «Снять отметку» все флаги будут сняты. При нажатии кнопки «ОК» настроенные параметры условия будут сохранены, в противном случае - нет. Показывать только указанных (всех) пользователей ОС При настройке данного условия будет открыт диалог выбора пользователей операционной системы: 160 Рисунок 2.3.150 – Окно «Параметры фильтрации». Следует отметить флагами тех пользователей, действия которых необходимо отображать в протоколе доступа. При нажатии на кнопку «Отметить все» флаги будут установлены для всех имеющихся пользователей, при нажатии на кнопку «Снять отметку» все флаги будут сняты. При нажатии кнопки «ОК» настроенные параметры условия будут сохранены, в противном случае - нет. Показывать только указанные (все) рабочие станции При настройке данного условия будет открыт диалог выбора рабочих станций: 161 Рисунок 2.3.151 – Окно «Параметры фильтрации». Следует отметить флагами те рабочие станции, действия с которых будут отображены в протоколе доступа. При нажатии на кнопку «Отметить все» флаги будут установлены для всех имеющихся рабочих станций, при нажатии на кнопку «Снять отметку» все флаги будут сняты. При нажатии кнопки «ОК» настроенные параметры условия будут сохранены, в противном случае - нет. Показывать только указанные (все) операции При настройке данного условия будет открыт диалог выбора операций: 162 Рисунок 2.3.152 – Окно «Параметры фильтрации». Следует отметить флагами те операции, информация о которых будет отображаться в протоколе доступа. При выборе операций следует учитывать, что операции могут быть привязаны к определенному классу объектов(Типы событий). При нажатии на кнопку «Отметить все» флаги будут установлены для всех операций, при нажатии на кнопку «Снять отметку» все флаги будут сняты. При нажатии кнопки «ОК» настроенные параметры условия будут сохранены, в противном случае - нет. Показывать только указанные (все) классы При настройке данного условия будет открыт диалог выбора классов: 163 Рисунок 2.3.153 – Окно «Параметры фильтрации». Следует отметить флагами те классы объектов, информация о которых будет отображаться в протоколе доступа. Примечание. При выборе классов следует учитывать настроенные параметры фильтрации на операции, так как операции могут быть привязаны к определенному классу объектов (Типы событий). При нажатии на кнопку «Отметить все» флаги будут установлены для всех имеющихся классов, при нажатии на кнопку «Снять отметку» все флаги будут сняты. При нажатии кнопки «ОК» настроенные параметры условия будут сохранены, в противном случае - нет. См. также: Просмотр протокола доступа 2. 3.8.16.8. Редактирование условия фильтрации При редактировании или создании условия фильтрации будет открыто диалоговое окно: 164 Рисунок 2.3.154 – Окно «Редактирование условия фильтрации». С помощью установки переключателя и/или флага необходимо определить одну из операций объединения с предыдущим условием, возможные варианты: Объединять по логическому ИЛИ (OR) Объединять по логическому И (AND) Объединять по логическому ИЛИ (OR) с добавление отрицания условия (NOT) Объединять по логическому И (AND) с добавление отрицания условия (NOT) После определения операции объединения следует определить список условий с помощью установки соответствующих флагов. При установке некоторых флагов будут выдаваться окна с настройкой дополнительных параметров (См. Список условий). При нажатии кнопки «ОК», условие фильтрации будет отредактировано/добавлено в список. См. также: Фильтрация протокола 165 2. 3.8.16.9. Просмотр сохраненного протокола доступа Для просмотра сохраненного протокола доступа в файл необходимо выполнить пункт главного меню «Протокол доступа - Просмотр сохраненного в файл...». В открывшемся окне необходимо указать файл и его месторасположение: Рисунок 2.3.155 – Окно «Открыть». При нажатии на кнопку «Открыть» файл будет открыт, в противном случае нет. См. также: Протокол доступа 2. 3.8.16.10. Очистка протокола доступа Очистка протокола доступа осуществляется с помощью команды главного меню «Протокол доступа - Очистить», после чего появляется диалог: Рисунок 2.3.156 – Окно «Очистка протокола доступа». 166 С помощью переключателя определяется один из вариантов очищения протокола: Удалить все записи - будут удалены все записи протокола; Удалить записи до указанной даты - следует указать дату, будут удалены все записи только до указанной даты. Перед началом очистки будет предложена возможность сохранения протокола в файл. Операция очистки производится только в случае успешного сохранения протокола в файл. После очистки, в протокол будет помещена запись, индицирующая очистку. Пункт меню «Протокол доступа - Очистить» не будет отображаться, если пользователю разрешен только просмотр протокола. При разделении ролей между администратором информационной безопасности и прикладным администратором, данный пункт будет доступен только для администратора информационной безопасности. См. также: Протокол доступа Редактор политик Администратор информационной безопасности 2. 3.8.16.11. Настройка протокола доступа Настройка протокола доступа осуществляется в разделе «Аудит» путем формирования списка операций, выполняемых над объектами, которые будут заноситься в протокол доступа. Список протоколируемых действий формируется в окне «Настройка разрешений» для каждого типа объектов репозитория. Также формирование списка действий, заносимых в протокол доступа, может осуществляться для конкретного объекта репозитория. Следует для объекта открыть диалог «Права доступа» и перейти на закладку «Аудит», где сформировать список протоколируемых действий. См. также: Протокол доступа 167 2.3.8.17 Мониторинг нарушений защиты Администратор может отслеживать текущие попытки нарушения защиты системы. В протоколе нарушений защиты отображаются записи с неудачными входами в систему и с неудачными действиями над объектами, в результате отсутствия каких-либо прав. Нарушения фиксируются, только когда данный раздел открыт. При закрытии раздела записи не сохраняются. Примечание. Все события можно просмотреть в протоколе доступа. Окно «Мониторинг нарушений защиты» выглядит следующим образом: Для каждого нарушения отображаются следующие параметры: Рабочая станция - имя компьютера, с которого было совершено нарушение; Пользователь ОС - имя пользователя, который попытался нарушить защиту; Пользователь АК - имя пользователя АК; Объект - наименование объекта репозитория, при работе с которым были нарушены права (пустая строка, если нарушение возникло при входе в систему); Идентификатор - идентификатор объекта репозитория, при работе с которым были нарушены права (пустая строка, если нарушение возникло при входе в систему); Операция - операция, которая привела к нарушению защиты; Время - время возникновения нарушения; Примечание - отображает дополнительную информацию о нарушении. Для удобного просмотра всей информации о выбранном событии предусмотрено окно «Информация о событии». Для включения отображения данного окна следует установить флаг «Информация о событии» в главном меню «Вид» (Главное меню). 168 По умолчанию окно располагается в нижней части окна менеджера безопасности. См. также: Протокол доступа Подсистема сбора данных Задача предназначена для: загрузки данных в источники данных ИАС СЦ Президента РС(Я) из файлов формата XML; выгрузки данных из источников данных ИАС СЦ Президента РС(Я) в файлы формата XML; формирование запросов для выгрузки данных; формирования макетов-шаблонов для сбора данных; контроля загружаемых данных; рассылки файлов адресатам по электронной почте. Для запуска задачи необходимо перейти к разделу «Подсистема администрирования», выбрать каталог «Модули сбора и загрузки данных» и запустить задачу «Подсистема сбора данных». Более детальное описание работы с данным разделом приведено в документе «Руководство пользователя» п.4.3.1. Ввод условно-эталонных данных Задача «Ввод условно-эталонных данных» предназначена для хранения условноэталонной (контрольной) информации, используемой для проверки данных при импорте из файлов xml-формата в задаче «Подсистема сбора данных». Шаг 1. Запуск задачи Для запуска задачи необходимо перейти к разделу «Подсистема администрирования», выбрать каталог «Модули сбора и загрузки данных» и запустить задачу «Ввод условноэталонных данных». 169 Рисунок 2.3.157 – Ввод условно-эталонных данных. Шаг 2.Выбор листа Задача «Ввод условно-эталонных данных» состоит из: Листа «Ввод данных». Листа «Перенос данных». Листа «Ввод данных по показателю». Диаграммы. Для отображения необходимой таблицы следует в раскрывающемся списке «Листы отчета» на панели настроек выбрать соответствующий лист. Шаг 3. Установка отчётного периода (года) После открытия отчета необходимо выбрать период в раскрывающемся списке «Период», который располагается на панели настроек. Шаг 4. Установка показателя В раскрывающемся списке «Показатели» необходимо выбрать показатели, по которым будет вводиться информация. 170 Шаг 5. Установка вида данных В раскрывающемся списке «Вид данных» необходимо выбрать вид данных, по которому будет вводиться информация. Шаг 6. Установка территории В раскрывающемся списке «Территории» необходимо выбрать территории, по которым будет вводиться информация. Шаг 7. Установка источника данных В раскрывающемся списке «Источник данных» необходимо выбрать вид данных, по которому будет вводиться информация. Данная вкладка становится активной при выборе листа «Перенос данных». После того как параметры были установлены следует нажать на кнопку «Обновить отчет». Загрузка бюджетных данных Задача «Модуль загрузки бюджетных данных на основе распространенных СУБД и форматов, применяемых в финансовых ведомствах субъектов РФ» предназначена для загрузки данных в таблицу. Для запуска задачи необходимо перейти в раздел «Подсистема администрирования», блок «Модули сбора и загрузки данных». Более детальное описание работы с данным разделом приведено в документе «Руководство пользователя» п.4.3.2. Загрузка налоговых данных Задача «Настроенный модуль загрузки налоговых данных по разработанному формату и протоколу обмена» предназначена для автоматической загрузки данных из налоговой службы. Для запуска задачи необходимо перейти в раздел «Подсистема администрирования», блок «Модули сбора и загрузки данных». Более детальное описание работы с данным разделом приведено в документе «Руководство пользователя» п.4.3.3. Загрузка данных по распоряжению №806 Задача «Настроенный модуль данных по распоряжению №806» предназначена для автоматической загрузки данных по показателям распоряжения Правительства №806. 171 Для запуска задачи необходимо перейти в раздел «Подсистема администрирования», блок «Модули сбора и загрузки данных». Более детальное описание работы с данным разделом приведено в документе «Руководство пользователя» п.4.3.15. Просмотр протокола доступа к объектам системы Задача предназначена для просмотра протокола доступа к объектам ИАС СЦ ПРЕЗИДЕНТА РС(Я). Для запуска задачи необходимо перейти в раздел «Подсистема администрирования», выбрать каталог «Протокол доступа» и запустить задачу «Протокол доступа к объектам системы». Более детально работа с протоколом доступа описана в блоке «Менеджер безопасности» п.2.3.8.17.