Модернизация системы информационной безопасности БТИ

Для каждого  пользователя определяем каталоги принадлежащие ему:

           (3.10)

И записываются во временный файл К.

После этого  из полученного списка выбираем первый путь каталога , разбиваем его путь на части:

          (3.11)

Далее а,b,c, присваивается номер категории прав доступа:

а=1

b=2

c=3

Если группе соответствует категория прав и i = 1, то производим поиск по а, если i = 2, то поиск по b, если i = 3 то поиск по с, т.е. в переменной х присваиваем значение а или b или с:

             (3.12)

Все полученный результаты дописываем во временный  файл К.

5. Организуем полученные результаты

         (3.13)

После получения  выражения вида (3.13) мы имеем все необходимы данные для назначения прав доступа пользователям k на ресурсы m.

6. Производим запись прав доступа n на каталоги m для пользователей k в таблицу доступа АCL, средствами встроенной утилиты cаcls.exe.

 

3.2 Определение требований к программе разграничения доступа

Во второй главе было принято решение о разработке программного средства управления доступом, которое должно отвечать следующим требованиям.

1. Работа в среде ОС Windows.
2. Высокий уровень надежности назначения прав доступа.
3. Непрерывность работы.
4. Простота в использование.
5. Использование минимальных ресурсов компьютера.
6. Возможность конфигурирования.
7. Минимальные затраты на разработку.

Наиболее высокий  уровень надежности назначения прав можно достигнуть, применяя их на уровне файловой системы. Что в принципе сходно со способом разграничения доступа в АD.

 

3. Разработка алгоритма программы 

 

Для начала необходимо определить перечень функций, которые будет выполнять программный продукт.

1. Установка прав доступа на каталоги, в которых располагаются ресурсы.
2. Проверка появления новых каталогов, по расписанию, в данном случае речь идет о каталогах сотрудников.
3. Динамическое получение пользователей и групп из АD, т.к. аутентификация пользователей происходит через АD.

В соответствии с функциями был разработан алгоритм программного средства управления доступом, который представлен на рисунке 3.5.

Согласно разработанному алгоритму, программное средство работает следующим образом: сначала устанавливается время запуска программы, после чего программа ожидает значения установленного времени, как только значение становится заданному, программа производит запрос списка каталогов, расположенных на файловом сервере. При первом запуске создается файл содержащий список каталогов на сервере. Содержимого данного файла сравнивается с полученным результатом запроса, в случае появления новых каталогов, производится добавление в файл списка каталогов. Далее осуществляется запрос к АD, для получения списка пользователей и групп. После этого производится сопоставление каталогов и пользователей. Результат сопоставления записывается в отдельный файл. Используя результаты сопоставления, записанные в отдельный файл, производится редактирование списков АСL.     

Более подробно рассмотрим процесс сопоставления  и назначения прав пользователям  и группа.

Процесс сопоставления  прав пользователям и группам  осуществляется согласно модели разграничения прав доступа. Алгоритм данного процесса представлен на рисунке 3.6.

Сначала производится загрузка полученных списков групп «k» и пользователей «l». Таким образом, что каждому пользователь «l» входи в группу «k», т.е. записывается в виде массива:

группа1; пользователь 1;

группа1; пользователь 2;

группа1; пользователь n-1;

группа2; пользователь n;

группа2; пользователь n+1;

группа m; пользователь x.

Потом среди  пользователей определяется администратор, имя этого пользователя записывается в отдельную переменную «о», и так же переменной «р» присваивается права доступа «f», что определяет этому пользователю полный доступ на все ресурсы сервера.

 

 

Рисунок 3.5 – Алгоритм программного средства назначения прав доступа

Полученные  результаты поиска администратора записываются в переменный файл с массивом:

группа1; пользователь 1; администратор ; «f» ;

группа1; пользователь 2; администратор ; «f» ;

группа1; пользователь n-1; администратор ; «f» ;

группа2; пользователь n; администратор ; «f» ;

группа2; пользователь n+1; администратор ; «f» ;

группа m; пользователь x; администратор ; «f» ;

Далее по алгоритму  производится обращение к текстовому файлу, содержащему список групп и соответствующих им прав доступа. В случае если файл отсутствует, а это произойдет при первом запуске, то производится создание файла, и загрузка в него списка групп, путем выборки их из переменного файла. после этого файл автоматически открывается, для того чтобы системный администратор записал права для групп пользователей, предварительно продумав, кому что дозволено.

 

 

Рисунок 3.6 – Алгоритм разграничения прав доступа

Теперь имея права групп, производится запись этих прав конкретному пользователю в  массив переменного файла, в завис от вхождения в ту или иную группу. Но так как группы имеют различные права на различные каталоги, т.е. например одной группе полагается доступ лишь к собственному каталогу, а другой группе полагается доступ и к своему каталогу и к каталогам находящимся в корне каталогов, куда собственно и входит личный каталог пользователя состоящего в этой группе (начальник отдела). Поэтому для начала производится выборка, сопоставление пользователям их собственных каталогов и все эти результаты записываются в переменный файл в виде:

группа1; пользователь 1; путь 1; администратор; «f»;

группа1; пользователь 2; путь 2; администратор; «f»;

группа1; пользователь n-1; путь n-1; администратор; «f»;

группа2; пользователь n; путь n; администратор; «f»;

группа2; пользователь n+1; путь n+1; администратор; «f»;

группа m; пользователь x; путь x; администратор; «f»;

Затем пути разбиваются  на уровни вложенности каталогов:

Х:/а/b/c/…

Каждому уровню вложенности соответствует права  на доступ для конкретной группы, т.е. в рассматриваемом предприятии существует 3 группы: директор, начальник отдела, сотрудник (смотрите рисунок 3.2). В зависимости от этого пользователь, состоящий в определенной группе, имеет ряд прав на собственный каталог и другие каталоги, не принадлежащие ему, конечно кроме пользователей являющимися рядовыми сотрудниками. Соответственно независимо от прав на свой каталог, две первые группы имеют права на каталоги, уровни, вложенности которых соответствуют их группе, т.е. у первой группы есть права на каталоги уровень вложенности которых равен «а», и все каталоги ниже этого уровня, второй группе «b» и все каталоги ниже, но в зависимости от отдела. Для начальника все просто, пользователь являющийся начальником имеет права на корневой каталог, а вот для начальников отдела не все так просто, в их полномочия должны входить права на каталоги принадлежащие отделу, начальником которого является пользователь. поэтому производится дополнительная выборка каталогов, на которые имеют права доступа пользователи состоящие в группе начальники отдела. Для этого из пути принадлежащего пользователю, предварительно разбитого на уровни вложенности, в переменную «х» записывается значение уровня вложенности «b» и производится поиск вхождения «х» в список всех каталогов. Теперь мы знаем пути к каталогам, которые находятся в юрисдикции начальников отделов. Теперь осталась только дописать эти пути в массив, путем добавления новой строки в массив и еще дописать соответствующие права доступа для групп:

группа1; пользователь 1; каталог 1; права 1; администратор; «f»;

группа2; пользователь 2; каталог 1; права 2; администратор; «f»;

группа2; пользователь 2; каталог 2; права 2; администратор; «f»;

группа2; пользователь 3; каталог 3; права 2; администратор; «f»;

группа2; пользователь n-1; каталог n-1; права 2; администратор; «f»;

группа2; пользователь n; каталог n; права 2; администратор; «f»;

группа2; пользователь n+1; каталог n+1; права 2; администратор; «f»;

группа 3; пользователь x; каталог x; права 3; администратор; «f»;

Теперь сопоставив пользователей, каталоги, и права  пользователей на каталоги, можно приступа к применению прав доступа. Для этого используется алгоритм применения прав доступа представленный на рисунке 3.7.

Применение прав осуществляется с помощью программы сасls.exe. данная программа встроена в ОС Microsoft Windows. Синтаксис данной программы имеет следующий вид:

cacls имя_файла [/t] [/e] [/c] [/g пользователь: разрешение] [/r пользователь [...]] [/p пользователь: разрешение [...]] [/d пользователь [...]]

 

 

Рисунок 3.7 – Алгоритм применения прав пользователям

 

Параметры

имя_файла 

Обязательный  параметр. Вывод избирательных таблиц управления доступом (DACL) указанных файлов.

/t

Изменение избирательных  таблиц контроля доступа (DACL) указанных файлов в текущем каталоге и всех подкаталогах.

/e

Редактирование избирательной таблицы управления доступом (ACL) вместо ее замены.

/c

Продолжение внесения изменений в избирательные таблицы  управления доступом (ACL) с игнорированием ошибок.

/g пользователь: разрешение

Предоставление  прав доступа указанному пользователю. В следующей таблице перечислены допустимые значения параметра разрешение.

Если пользователи являются доменными пользователями, то необходимо указать домен в  котором состоит пользователь. Для  этого  параметр пользователь записывается в виде:

домен/пользователей.

 

3.4 Выбор среды программирования

 

Для реализации программного средства необходимо определить среду программирования, в которой  будет производиться разработка данного средства.

В настоящее  время развитие программных средств  осуществляется за счет автоматизации выполнения таких стандартных операций, таких как: создание интерфейса, передача управления в зависимости от состояния системы, обработка исключительных ситуаций и т.д.

К основным характеристикам  современных средств разработки программного обеспечения относят:

• поддержка как процедурного, так и объектно-ориентированного 
  стилей программирования;
• наличие "визуальных" средств разработки интерфейса;
• обеспечение доступа к базе данных;
• использование различных методов "визуализации" как модели данных, так и самих данных;
• предоставление средств синхронизации и контроля версий составных частей проекта; эти средства используются при разработке программного обеспечения группой программистов.

Основным критерием  выбора среды программирования и  языка программирования, является то что разрабатываемая программная среда будет работать в операционной среде Windows, что достаточно облегчает выбор.

Программное средство должно выполнять разграничение  доступа с высоким уровнем надежности, а наиболее лучший способ для этого установка прав доступа на уровне файловой системы. На файловом сервере используется ОС Windows Server 2003, у данной ОС файловая система NTFS. Для назначения прав на уровне NTFS в ОС предусмотрена программа, для просмотра и изменения разрешений прав доступа к файлам и каталогам, cаcls.exe.

С помощью cacls.exe можно установить все параметры  безопасности для файловой системы, доступ к которым осуществляется из командной строки (CMD) в проводнике (с этой целью cacls.exe отображает и изменяет списки управления доступом (ACL) файлов). Для создания списка последовательных команд в CMD используются пакетные или batch файлы.

Пакетные или batch файлы это обычные текстовые  файлы, содержащие наборы команд интерпретатора и имеющие расширение bat или cmd (cmd работают только в ОС семейства NT). Редактировать такие файлы можно при помощи блокнота или любого другого текстового редактора.

Но как видно  из алгоритма программного средства, для получения списка пользователей  из АD – осуществляется запрос к АD, и запрос списка каталогов на файловом сервере. Средствами командной строки осуществить данные операции мягко говоря невозможно, поэтому необходимо выбрать дополнительную среду программирования для организации данных запросов.

Наиболее подходящим для данной задачи являются Windows Scripting Host.

Windows Scripting Host (WSH) - новый, независимый от языка скрипт-хост для Win9x и NT, позволяет строить аналоги ВАТ-файлов на Visual Basic Scripting Edition, JScript и других скриптовых языках, например, Active Perl или Python.