Назарова А. Обновленный механизм разграничения доступа

новые разработки
Обновленный механизм
разграничения доступа
Как известно, одним из важнейших требований, предъявляемых к автоматизированным банковским системам
в настоящее время, является наличие гибкого и удобного инструмента по разграничению прав доступа пользователей к объектам системы.
В АБС RS-Bank v. 5.0 основные
правила разграничения доступа были заложены практически в момент ее рождения
и с тех пор постоянно расширялись и совершенствовались. Однако, несмотря на все
попытки разработчиков привести систему разграничения
доступа в соответствие с веяниями времени, функционал
АБС развивался и совершенствовался быстрее, и в какой‑то момент стало понятно,
что дальнейшая доработка существующего механизма бессмысленна. Решение задачи
усложняло и то, что у многих
кредитных организаций абсолютно разные технологии работы, и, соответственно, разные требования к разграничению прав. Для решения этой
проблемы был необходим
принципиально иной подход –
новый механизм, ставший
следующим шагом в развитии
АБС RS-Bank версии 5.5.
26
RS-CLUB ЯНВАРЬ–АПРЕЛЬ 2012
Очередная ступень
в эволюции
АБС RS-Bank v. 5.5
Анна Назарова
руководитель
проекта
«Расчетный банк»
Департамента
банковского ПО
RS-Bank
Уровни доступа в АБС
После длительной проработки
в RS-Bank v. 5.50.003 был реализован новый механизм разграничения доступа
для основных объектов Учетного ядра,
который определяет правила доступа пользователей к объектам системы,
а также ограничивает выполнение действий над этими объектами.
Обновленный механизм разграничения доступа.
Очередная ступень в эволюции АБС RS-Bank v. 5.5
Новый механизм предусматривает:
единые принципы разграничения
доступа к основным объектам Учетного
ядра;
возможность настраивать правила
доступа в одном месте;
гибкую настройку прав доступа
для пользователей – не только для каждого вида объекта, но и для каждого экземпляра объекта;
возможность
быстрой
передачи прав от одного пользователя другому посредством нового
режима – «Заместители».
Напомним, что раньше в системе
доступом к объектам управлял атрибут
пользователя «Уровень доступа», причем
этих уровней было только пять: «Администратор», «Главный бухгалтер», «Управляющий», «Начальник отдела» и «Операционист». Для каждого из них были
жестко прописаны права на все объекты
системы, и изменить существующий порядок было невозможно. Разве что слегка расширить имеющиеся права посредством настроек реестра, параметров
выполнения системных модулей и пр.
В новом механизме разграничения
прав для подсистем Учетного ядра понятие «уровень доступа» модифицировано: теперь оно не столько предполагает
определенный список прав конкретного пользователя, сколько определяет
возможность гибкой настройки для него
прав доступа к объектам.
Чтобы не потерять преимущества быстрой настройки прав через установку
соответствующего уровня доступа, в новом механизме оставлены (с некоторыми изменениями) следующие уровни
доступа:
1. «Администратор СБ». Необходимость
ввода данного уровня доступа обусловлена в первую очередь требованиями
Банка России по обеспечению информационной безопасности банковской
системы. Пользователь с уровнем доступа «Администратор СБ» может работать
только со справочниками пользователей и журналом операций. Он должен
иметь служебные полномочия и технические возможности для контроля
за действиями администраторов АБС
новые разработки
В новом механизме разграничения прав
для подсистем Учетного ядра понятие
«уровень доступа» модифицировано:
теперь оно не столько предполагает
определенный список прав конкретного
пользователя, сколько определяет
возможность гибкой настройки для него
прав доступа к объектам
Рис. 1.
Список пользователей
системы
(без вмешательства в их работу) и пользователей, а также полномочия (а при возможности и технические средства)
по настройке для каждого пользователя параметров системы, определяющих
права доступа к информации. Другие
действия, связанные с финансовыми операциями и процедурами в системе, «Администратору СБ» недоступны.
В дистрибутив RS-Bank v. 5.50.003 добавлен новый пользователь 9998 «Администратор системы безопасности»,
имеющий уровень доступа «Администратор СБ». Именно его полномочия позволяют работать со списком и группами
пользователей и настраивать им права.
2.«Администратор АБС» имеет доступ
ко всем данным системы за исключением тех, которыми может оперировать
ЯНВАРЬ–АПРЕЛЬ 2012 RS-CLUB
27
новые разработки
«Администратор СБ». В дистрибутиве
системы пользователь «Администратор
АБС» обозначен номером 9999. В отличие
от предыдущих версий системы, пользователь 9999 теперь не может выполнять
абсолютно все действия, так как работа
с пользователями и настройка прав ему
запрещена (за это отвечает пользователь
9998).
3. «Ревизор». Уровень открывает доступ ко всем данным системы, но только
на просмотр.
4. «Пользователь АБС». Это принципиально новый уровень доступа, в соответствии с которым права определяются
исходя из правил, заданных для пользователя или группы подчиненных. Здесь
как раз включается новый механизм разграничения доступа, открывающий широкие возможности по настройке прав
для групп пользователей.
Таким образом, в новом механизме
«Уровень доступа» – это атрибут для пользователя, показывающий, как будет определяться доступ к объектам (рис. 1, с. 27).
Например, если задан уровень доступа
«Администратор АБС», «Администратор
СБ» или «Ревизор», то правила доступа
берутся из предустановленного набора правил, определенных для конкретного уровня доступа (менять эти правила пользователь не может, поскольку
они «зашиты» в системе), а вот если задан уровень доступа «Пользователь
АБС», то правила доступа формируются
из правил, установленных для его группы или подчиненных.
«Пользователь АБС» обязательно должен входить хотя бы в одну группу пользователей, так как задавать права доступа
он может именно для группы.
Рис. 3.
Панель для настройки
прав
Рис. 2.
Источники прав
для пользователя
Пользователь
Передача прав
(от «замещаемого»)
28
RS-CLUB ЯНВАРЬ–АПРЕЛЬ 2012
Рассмотрим подробнее, как именно
настраивается доступ с помощью нового механизма разграничения.
Установка прав доступа
Группа пользователя
Передача прав
(от «подчиненного»)
Настройка доступа
Как уже было отмечено выше, источниками прав доступа для пользователя
могут быть (рис. 2):
права, заданные для группы, в которую входит пользователь;
права, действующие для «подчиненного» пользователя или для «замещаемого» пользователя.
В первом случае права группы будут
распространяться и на пользователя.
Во втором – пользователь будет наделен правами от пользователей, которые
заданы для него в качестве подчиненных
(в качестве подчиненных пользователей
можно указывать пользователей в любом
порядке или даже группу пользователей)
и замещаемых (посредством нового механизма «Заместитель», о котором более
подробно мы расскажем ниже).
В текущей реализации системы задать права согласно новому механизму
разграничения доступа можно к следующим объектам Учетного ядра:
лицевым счетам;
документам;
субъектам
операциям для контроля;
Картотеке 1;
Картотеке 2;
справочникам.
Обновленный механизм разграничения доступа.
Очередная ступень в эволюции АБС RS-Bank v. 5.5
Делается это следующим образом:
для группы пользователя по [Alt + F6] вызывается режим «Правила доступа к объектам…», в левой части панели выбирается нужный объект системы или его
реквизит, в правой указывается для него
разрешение или запрет на возможные
действия. Дополнительно можно указать
условия применения, при которых данный запрет или разрешение будет учитываться системой (рис. 3).
Важно отметить, что если раньше
возможность работы с тем или иным
объектом определялась, исходя из принадлежности объекта пользователю,
то теперь можно разрешать или запрещать доступ, опираясь и на другие характеристики объектов. Так, для объекта
«Лицевые счета» предусмотрены параметры «Тип счета», «Балансовый счет»,
«Клиент» и др. Все эти параметры задаются в панели «Условия применения».
Есть возможность указать и неявно
заданные параметры – так называемые
Рис. 4.
Группы пользователей
новые разработки
обобщающие условия применения.
Они вводятся внизу панели и распространяются на все уже заданные условия для действий с одинаковыми разрешениями или запретами. Например,
с помощью обобщающих условий можно обеспечить доступ к объектам только тем пользователям, за которыми эти
объекты закреплены, или только тем,
кто входит в группу пользователя.
Чтобы облегчить работу администратора, в дистрибутив системы включены готовые группы с предустановленными правами доступа (рис. 4).
В частности, туда вошли группы «Операционисты, работающие с рублями»,
«Операционисты, работающие с валютой» и пр. Каждая из групп содержит базовый набор правил доступа, поэтому
для наделения правами нового пользователя достаточно поместить его в одну
из этих групп.
Предусматривается возможность
скопировать установленные права одной группы в другую группу пользователей. Для этого предназначена специальная процедура копирования
прав, которая вызывается клавишами
[Ctrl + F5] (рис. 5).
Определение прав
Рис. 5.
Копирование прав
Как же система будет определять,
разрешено или нет конкретному пользователю то или иное действие над ее объектом? В этом ей поможет реализованный в АБС единый блок контроля (рис. 6,
с. 30), ответственный за все действия
по проверке прав на работу с объектами.
В блоке контроля прописаны объекты системы, для которых можно настраивать права доступа (лицевые
счета, документы, субъекты и т. п.), значимые реквизиты и возможные действия для каждого объекта.
Право доступа для пользователя определяется на основе объединения разрешений и запретов, указанных
для групп, в которые он входит, а также
разрешений для подчиненных и замещаемых пользователей. Все явно заданные правила для пользователя последовательно собираются и группируются
по источнику.
ЯНВАРЬ–АПРЕЛЬ 2012 RS-CLUB
29
новые разработки
Группы
пользователя
Пользователь
«Подчиненные»
пользователя
Блок
контроля
Действие
над объектом
запрещено
Действие
над объектом
разрешено
Рис. 6.
Определение доступа
Как же система будет определять,
разрешено или нет конкретному
пользователю то или иное действие
над ее объектом? В этом ей поможет
реализованный в АБС единый блок
контроля, ответственный за все действия
по проверке прав на работу с объектами
Первый блок правил – это правила,
наследуемые от групп, в которые входит
пользователь. Приоритет в определении
прав у данного блока наивысший, а значит, поиск запретов и разрешений здесь
будет производиться прежде всего.
Во второй блок входят правила, наследуемые от подчиненных и замещаемых пользователей. Его приоритет низший. При этом от подчиненных
и замещаемых пользователей передаются только разрешения, а запреты, если их нет в первом блоке правил,
не учитываются.
В объединенном перечне прав выполняется поиск явно заданного запрета на требуемое действие. Здесь возможны следующие варианты:
Найден явный запрет. Тогда доступ
к экземпляру объекта или действие
над ним запрещается. Причем реакция
30
RS-CLUB ЯНВАРЬ–АПРЕЛЬ 2012
системы на запрет зависит от самого
действия и объекта / реквизита. Например, если указанное действие – просмотр реквизита объекта, то содержимое такого реквизита будет скрыто:
вместо реальных символов будут отображаться дефисы («-----»). Это позволит обеспечить конфиденциальность
информации, если необходимо разрешить работу пользователя с объектом,
но при этом некоторые данные объекта сделать для него недоступными даже
для просмотра (рис. 7). К числу таких
«секретных» сведений могут относиться, в частности, остаток лицевого счета
или паспортные данные субъекта.
Обнаружен запрет на отображение
объекта в списке (в частности, в списке, вызываемом по [F3]). В этом случае
запись с данным объектом будет отсутствовать. Если же запрет касается таких действий, как ввод лицевого счета,
проводка документа и т. п., то пользователь получит сообщение «У Вас нет прав
для выполнения данной операции».
В объединенном перечне прав явный запрет на выполняемое действие
отсутствует. Тогда выполняется поиск
явно заданного разрешения, и, если оно
найдено, доступ к экземпляру объекта
разрешается. А если обнаружить такого
не удастся, это будет означать, что ни одного правила не задано, соответственно,
действие будет запрещено.
Режим «Заместитель»
Рис. 7.
Примеры
отображения
запретов
Нередко случается, что один сотрудник временно отсутствует, и необходимо срочно передать все его обязанности другому сотруднику – заместителю.
Здесь как раз пригодится новый удобный
Обновленный механизм разграничения доступа.
Очередная ступень в эволюции АБС RS-Bank v. 5.5
Пользовательзаместитель
Замещаемый
пользователь
Передача прав
(«замещение»)
на период времени
режим для назначения временных прав,
получивший название «Заместитель».
В нем необходимо указать замещаемого
сотрудника и назначить ему заместителя (рис. 8). При этом все права «отсутствующего» сотрудника распространяются на сотрудника-заместителя.
Для одного замещаемого можно
установить несколько заместителей
и, наоборот, – несколько замещаемых
для одного заместителя (рис. 9).
При вводе заместителя можно поставить отметку «Возможность входа в систему под профилем отсутствующего». В этом
случае при входе систему у пользователязаместителя будет выбор, под каким профилем ему работать в АБС: под собственным или под профилем пользователя,
которого он замещает (рис. 10).
Войдя в систему под профилем замещаемого пользователя, заместитель
обнаружит меню системы и пользовательские права, доступные отсутствующему сотруднику. При этом маркировка
всех объектов осуществляется номером замещаемого пользователя (например, при проводке документа в нем будет
указан номер не заместителя, а именно
Рис. 8.
Замещение
пользователей
Рис. 10.
Вход заместителя
в систему
Рис. 9.
Работа в режиме
«Заместитель»
новые разработки
замещаемого пользователя). В то же время в журнале операций, напротив, все
действия регистрируются за номером
заместителя, а не пользователя, под профилем которого он работал. Таким образом, по журналу всегда можно будет отследить, кто на самом деле совершил те
или иные действия в системе.
Если при вводе заместителя флаг
«Возможность входа в систему под профилем отсутствующего» установлен
не был, то заместитель всегда входит
в систему только под своим профилем,
но при этом ему дополнительно даются
те же разрешения в системе, что и у сотрудника, которого он замещает.
***
Создание нового механизма разграничения прав доступа – это поистине революционный шаг, значительно
расширяющий возможности системы
RS-Bank v. 5.5 и позволяющий гораздо
эффективнее организовать работу пользователей АБС. Разумеется, мы будем
и дальше его совершенствовать. Планируются доработки с целью повышения
гибкости и удобства нового функционала для удовлетворения индивидуальных
потребностей кредитных организаций.
В частности, будет расширен список
объектов Учетного ядра, доступ к которым станет настраиваться по‑новому.
Будет реализовано заимствование меню
при замещении пользователя. Появится возможность устанавливать права
доступа со стороны объектов (и экземпляров объектов), а не только со стороны пользователей.
ЯНВАРЬ–АПРЕЛЬ 2012 RS-CLUB
31