Модернизация системы информационной безопасности БТИ

Раньше единственным поддерживаемым Windows скриптовым языком был командный язык DOS. Но его возможности  довольно бедны по сравнению с VBScript и JScript. Хотя командный язык DOS по прежнему поддерживается, современные ActiveX-скрипты позволяют решать более сложные задачи.

Cкрипт может  принимать решения на основе  использования полноценных операторов If/Else. Сценарий может выполнять  один набор команд, если данное  условие истинно, или другой  набор, если условие ложно.

Другое свойство Windows Scripting Host заключается в том, что скрипты могут исполняться вне браузера. Достаточно кликнуть по файлу с текстом скрипта или ввести его название в командной строке, чтобы запустить его на исполнение. Windows Scripting Host не требователен к памяти и прекрасно годится для автоматизации Windows. Что вполне удовлетворяет требованиям к разрабатываемому программному средству.

VBScript и JScript уже  встроены в ОС Windows, что позволяет сэкономить на среде разработки программного средства.

По сравнению  с различными программистскими изысками писать скрипты для Windows Scripting Host относительно просто. Средой для разработки скриптов является обычный текстовый редактор. После написание нужного вам сктрипта, необходимо сохранить файл с расширением .vbs для VBScript или .js для JScript. Запуск скриптов - тоже несложная задача. Есть несколько способов. Самый простой - командная строка DOS и аналогичная версия Windows Scripting Host, CSCRIPT.ЕXE. Эта версия позволяет контролировать исполнение скрипта с помощью параметров командной строки.

Одни и те же функциональные возможности, предусмотренные  в языках VBScript и JavaScript, некоторые  пользователи считают достоинством, а некоторые - недостатком в зависимости от того, на какие технологии они ориентируются. VBScript тяготеет к технологиям Microsoft, JavaScript - к Netscape. Исходя из этого для разработки программного средства для разграничения доступа пользователей и групп, работающего в ОС Microsoft Windows, выбор очевиден, это VBScript. В таблице 3.2 представлен сравнительный анализ скриптовых языков программирования VBScript и JavaScript.

 

Таблица 3.2 –  Сравнительный анализ скриптовых языков прогаммирования

Параметры	VBScript 2.0	JavaScript 1.2
Работа  с массивами
Сортировка	+	+
Преобразование  массива в строковую переменную	+	+
Операторы
Сравнения (<, >, <=, >=, <>)	+	+
Логические  и булевы (AND, OR, XOR)	+	+
Равенство и  неравенство объектов	+	+
Слияние строк	+	+
Математические  операции
Сравнение объектов	+	+
Работа  со строковыми переменными
Извлечение подстрок	+	+
Извлечение  части строки с определенной позиции	+	-
Разбиение строки	+	+
Сравнение с  применением фильтров	+	-
Поиск и замена внутри строки	+	-
Управление  форматом вывода строки	+	-
Операции ввода  и вывода
Чтение и  запись текстовых файлов	+	-

 

Visual Basic Scripting Edition (обычно просто VBScript) – скриптовый язык программирования, интерпретируемый компонентом Windows Script Host. Данный язык широко используется при создании скриптов в операционных системах семейства Microsoft Windows.

VBScript был создан  компанией Microsoft как замена устаревшему пакетному языку, интерпретируемому приложением command.com.

Скрипты на языке VBScript чаще всего используются в следующих  областях, использующих продукцию Microsoft:

• автоматизация администрирования систем Windows;
• серверный программный код в страницах ASP;
• клиентские скрипты в браузере Internet Explorer.

Такой тип сценариев  обычно используется для:

• создания сложных сценариев;
• использования объектов из других приложений и библиотек;
• скрытия окон в ходе выполнения сценария;
• шифрования логики сценария.

В основном VBS-сценарии применяются для обработки данных, управления системой, работы с учетными записями пользователей и компьютеров, взаимодействия с офисными приложениями, работы с базами данными и прочих сложных задач.

Сценарии не компилируются, а интерпретируются. То есть для обработки скрипта в системе должен присутствовать интерпретатор языка VBS, и таких интерпретаторов в Windows два: оконный WScript и консольный CScript, оба интерпретатора это Windows Script Host (WSH)/26/.

 

5. Характеристика разработанной программы для назначения прав доступа

 

Итогом разработки стало программное средство для назначения прав доступа.

Данное программное  средство предназначено для назначения прав доступа пользователям и  группам, состоящим в АD, путем предварительного сопоставления списка групп и пользователей со списком каталогов и категорий прав. программное средство может применять в организациях имеющих структуру аналогичную ФГУП.

Программное средство состоит из трех взаимосвязанных модулей:

dost.bat – основная часть программного средства;

sop.vbs – модуль получения пользователей и групп состоящих в АD; их с каталогами и правами доступа.

Схема связи  модулей и рабочих файлов приведена  на рисунке 3.8.

dost.bat

Данный модуль представляет собой основную часть  программного средства. В этом модуле реализованы следующие функции программного для разграничения прав доступа:

1. Установка времени запуска
2. Получение списка каталогов на сервере и его сравнение с listK.txt
3. Назначение прав доступа

Первая функция  реализована средствами стандартного планировщика Microsoft Windows в командной строке.

аt 13:30 с:\ dost.bat

Данная строка является первой строкой в модуле dost.bat. принцип работы её заключается  в следующем: как только наступает  заданное время, в нашем случае 13:30, запускается основная часть программного средства – dost.bat.

Вторая функция представляет собой простой вывод списка каталогов и входящих в них подкаталогов, реализованная функцией командной строки dir:

dir D:\  /S /А:D /B

 

 

Рисунок 3.8 – Схема связи модулей и рабочих файлов

 

После получения списка всех каталогов и подкаталогов происходит редактирование полученного списка, путем удаления списка каталогов, глубина которых более 3 подкаталогов. Так каким образом получается список формата:

 D:\отдел\пользователь

При первом запуске  программного средства данный список сохраняется в текстовый файл listK.txt. При повторных запусках происходит сравнение полученного списка каталогов со списком в файле listK.txt, в случае несовпадения, происходит дозапись listK.txt.

После дозаписи в файл listK.txt, происходит вызов второго модуля программного средства.

Полученные  списки пользователей и групп  записываются в итоговый файл listUF.txt, путем добавления записи имени пользователя к его каталогу. Таким образом, получается некий массив состоящий из двух столбцов и n строк. Значение строк первого столбца в дальнейшем будет является значением переменной i, а значение сток второго столбца значением переменной j. Данные переменный в дальнешем будут использоваться для автоматического назначения прав доступа. Но для того что бы ни произошло ошибки при отсутствии этого текстового файла, необходимо его дождаться. Для этого используется условный цикл «goto»:

if exist c:\ listUF.txt goto go

sleep 10

goto test

:go

В результате работы данной программной конструкции  будет проходить проверка на появления  файла listUF.txt в корне диска «С»  с интервалом 10 секунд, после того как файл появится, будет выполнено действие, указанное после метки go, у нас это редактирование таблицы доступа АСL. При желание можно сократить интервал проверки, изменив значение sleep.

Третья функция, главная и финальная, реализована  встроенной программной просмотра и управления прав доступа cаcls.exe.

cacls d:\ %%i /T /G %%j:C /P director:R admin:F

В данной строке происходит применение прав j пользователя на i ресурс, и жесткая установка прав чтения и полного доступа на все ресурсы директора и системного администратора, соответственно. Назначение прав производится в цикле «for», т.е. права назначаются перебором всех каталогов и пользователей, согласно разработанной модели разграничения доступа в пункте 3.1. Значение переменных i и j хранится в текстовом файле listUF.txt.

sop.vbs

Модуль sop.vbs предназначен для возврата списка пользователей и групп состоящих АD, в результате запроса. Для возврата списка в данном модуле формируется запрос к АD, но перед этим модуль производит ещё один запрос для определения имени домена и организационной единицы. Предварительный запрос происходит динамически, что придает программному средству адаптируемость в использовании. Результат со списком пользователей и групп помещается во временный файл, из которого производится дозапись в файл listUF.txt.

 

3.6 Интеграция разработанного программного средства в систему ПО АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ»

 

Интеграция  программного средства проходит в три этапа.

1. Предварительная настройка.
2. Запуск программного средства.
3. Проверка появления рабочих файлов.

На первом этапе  производится настройка программного средства непосредственным изменением некоторых значений программного кода, а именно:

• задание времени ежедневного запуска программного средства, изменением значения времени запуска пакетного файла;
• прописывание пути расположения модулей программного средства и рабочих файлов, в случае если производится запуск не с корня системного диска «C»;
• прописывание пути расположения корневого каталога, в котором располагаются ресурсы подлежащие защите;
• прописывание пути хранения рабочих и временных файлов.

Все остальные  настойки производятся динамически сами программным средством.

На втором этапе  производится запуск программного средства, путем старта модуля dost.bаt. старт данного модуля производится двойным щелчком правой кнопки манипулятора по этому файлу.

На третьем  этапе производится проверка создания рабочих файлов, программное средство должно автоматически создать два рабочих файла:

1. listK.txt
2. listUF.txt

после выполнения этих трех этапов, программное средство автоматически будет проверять  появление новых каталогов, определять пользователей создавших эти каталоги и устанавливать права доступа в установленное по расписанию время.

 

7. Разработка инструкции программиста и пользователя 

 

Разработка  структуры и содержание документов «Руководство пользователя» и «Руководство программиста» описаны в ГОСТ 19.506-79 и ГОСТ 19.503-79* соответственно.

Согласно этим государственным стандартам были разработаны  «Руководство пользователя» и «Руководство программиста», которые представлены ниже.

 

Руководство пользователя

1. Назначение программы
1. Функциональное назначение программы

Программное средство предназначено для перекрытия недостатка системы информационной безопасности АСОД ФГУП «Ростехинвентаризация –  Федеральное БТИ».

2. Эксплуатационное назначение программы

С помощью данного  программного продукта производится автоматизированное разграничение прав доступа пользователей и групп состоящих в домене АD.

2. Условия выполнения программы
1. Минимальный состав аппаратных средств

Для работы программного средства необходимы следующие аппаратные средства и их характеристики:

• Непосредственно файловый сервер, на котором располагаются ресурсы подлежащие защите от НСД;
• Видеотерминал;
• Манипулятор;
• Клавиатура;
• Наличие сетевого адаптера.

 Требования  к техническим характеристикам  сервера:

• Минимальная частота процессора – 133МГц;
• Минимальный объем оперативной памяти – 128МБ;
• Пространство на диске для – 10МБ.
2. Минимальный состав программных средств