Защита информации в муниципальных информационных системах

6) изменение проведенных  документов;

7) просмотр отчетов.

Пользователь – Техник:

1) просмотр справочников;

2) создание нового справочника;

3) редактирование справочников;

4) чтение документов;

5) редактирование документов;

6) просмотр отчетов.

Для пользователей «Начальник»  и  «Менеджер» только просмотр отчетов.

Администратор базы данных имеет неограниченные права в  рамках данной базы.

Так же для устранения утечки экономической информации на стороне  Microsoft Server 2000 существует возможность разграничения прав доступа к файлам и каталогам.

В аспекте правовой безопасности для идентификации ответственного пользователя при случившихся казусах  системой автоматически ведется  журнал регистрации изменений. В  нем отражаются все факты изменений  данных пользователями. Для отслеживания текущего состояния работы системы  используется монитор пользователей. Он позволяет просмотреть, кто из пользователей в настоящий момент работает с конкретной информационной базой, и в каком режиме.

Для решения проблем безопасности «1С» для SQL на предприятии  задействован режим Row Level Security из MS SQL.

3.5 Организация безопасности 1С для SQL. При помощи Row Level Security и Process Security

 

Авторизация в подсистеме реализации электроэнергии промышленным потребителям происходит следующим  образом:

1) пользователь запускает  «1С». Выбирает пользователя из  списка: Программист, Техник, Бухгалтерия,  Начальник, Менеджер  и вводит  пароль.

2) система через алгоритм MD5 получает HASH-код пароля и сравнивает  его с эталоном в файле users.usr;

3) далее «1С» расшифровывает  из файла 1CV7.DBA через XOR-алгоритм  пользователя SQL и его пароль. Отметим,  пользователи не знают данной  информации;

4) система устанавливает  соединение с MS SQL через данного  пользователя;

5) система смотрит, нет  ли других процессов с «1С». Если есть,  запускается краткая верификация БД, если нет - полная. «1С» проверяет наличие процесса как по sysprocesses, так и через проверку файловой блокировки каталогов пользователя. Если есть приложение с именем «1СV7», но нет файловой блокировки, программа аварийно завершается;

6) краткая верификация  состоит только в проверке  общих параметров БД. Для выполнения  данной операции пользователь  должен быть DBO. Если это не  так, то программа аварийно  завершается;

7) полная верификация  состоит в сравнении структур  таблиц (включая все поля и  индексы) и хранимых процедур  с их описанием в файле 1CV7.DDS. Если есть отличие, «1С» аварийно  завершается. Отметим, для указанных  проверок также требуется иметь  права DBO;

8) после успешного прохождения  верификации «1С» начинает работать  с базой MS SQL. При этом работа идет от лица DBO и секретность контролируется на клиенте самой «1С».

Организация Row Level Security

Суть данного подхода  состоит в том, что пользователь видит не всю таблицу, а только часть строк таблицы. Такая задача разграничения доступа возникает  очень часто. Пример типичных задач:

1) пользователи бухгалтерии  не должны видеть документ  «Счет-фактура» предназначенный  для использования службой Энергосбыта;

2) пользователь «Техник»  не должен видеть документ  «Оплата» предназначенный для  использования в бухгалтерии; 

3) пользователь «Начальник»  должен видеть только отчеты.

Реализация Row Level Security (RLS) построена на базе использования представлений. В системе созданы несколько представлений для разных групп пользователей описанных выше.

RLS очень безопасен, т.к.  контроль доступа делается на  сервере, а не на клиенте. 

Естественно, представления  должны отвечать условиям updateable view. В противном случае представлению будет казаться, что нужно обязательно при операции добавления  подавать значение в колонку indentity.

Организация Process Security

Process Security (PS) позволяет сделать авторизацию соединений не только на базе логина и пароля, а также на основании прочей информации о соединении из sysprocesses. Обычно Process Security применяют для запрещения работы со стандартными средствами анализа базы данных такими как MS Query, SQL Analyzer и др. Кроме того, Process Security обычно проверяет клиентскую машину по хосту и коду сетевой карты. Таким образом, можно привязать вход определенного пользователя к определенной машине.

Process Security может быть объединен с Row Level Security путем использования проверок. Она может делаться одновременно с проверкой SUSER или без этого.

Реализация Row Level Security и Process Security в подсистеме реализации электроэнергии.

1) создаем пользователя  «Техник» и указывает его в  1CV7.DBA;

2) переименовываем все  таблицы в HIDE. Например, Abonent в Abonent HIDE;

3) создаем представления  для всех таблиц;

4) если на таблицу наложен  только PS, то представление будет  выглядеть  так: create view Abonent as select * from Abonent _HIDE where dbo.ivn_CheckSec(). Внутри функции ivn_CheckSec осуществляется проверка процесса через @@spid и login_time;

5) если на таблицу наложен  RLS, то представление будет примерно  следующего вида: create view _ Abonent as select * from _ Abonent _HIDE where SP1005 in dbo.ivn_CheckSC1('SC13'). Внутри функции ivn_CheckSC1 проверяется, какие значения справочника Abonent могут быть в поле «SP1005». Отметим, если на Abonent наложен RLS, то он автоматически распространяется на подчиненные документы;

6) настраиваем полномочия  таким образом: «Технику»  запрещается   доступ ко всем HIDE таблицам и  ненужным ему хранимым процедурам; 

7) добавляем пользователей  подсистемы через NT-логины. Добавляем  NT-логины соответствующие пользователям  подсистемы в БД и включаем  их только в группу public. Данная группа вообще не имеет прав ни на один объект базы, а только на вызов хранимой процедуры менеджера процессов Process Manager;

8) для пользователя «Программист»  с абсолютными правами, назначаем  привязку  к определенной машине  через имя Хоста и код сетевой  карты. 

На мой взгляд, использование  данного метода защиты полностью  исключает рассмотренные способы  взлома базы данных предприятия и  хищения информации. Реализация данного  метода не требует использования  сторонних продуктов, а так же не требует специальных навыков (достаточно навыка администрирования MS SQL Server), следовательно, экономически выгодно и главное надежно для предприятия.

4. Выбор программного  обеспечения для подсистемы реализации  электроэнергии

 

При разработке информационной подсистемы реализации электроэнергии промышленным потребителям операционная система рассматривается как  информационно-вычислительная платформа  системы. Информационно-вычислительная платформа предоставляет среду  выполнения комплексов программ решения функциональных задач информационной подсистемы реализации электроэнергии промышленным потребителям. Рассмотрим одну из наиболее популярных ОС - Windows 2000 server. Прикладные программы в среде Windows 2000 работают в режиме вытесняющей многозадачности. Они изолированы друг от друга и от ядра сетевой ОС (а значит, не могут ей навредить), хотя могут общаться между собой через Clipboard, DDE и OLE. Возможна принудительная выгрузка или временная остановка «зависшего» или нежелательного приложения без всякого ущерба для ОС и остальных приложений. Все это обеспечивает очень хорошую надежность Windows 2000, но требует высоких системных затрат. Ресурсы Windows 2000, в основном динамические: они захватываются по мере надобности (или возможности) и освобождаются, когда необходимость в них отпадает.

Инсталляция Windows 2000 происходит, в основном, автоматически. Система обычно сама находит периферийные устройства. Оператору необходимо только правильно отвечать на задаваемые системой вопросы, которых не очень много. Для дальнейшей переконфигурации сервера также существует множество утилит с удобным интерфейсом.

В качестве системы управления базами данными (СУБД) в разработке принята СУБД Microsoft SQL server. В связи с установкой на предприятии комплекса программ «1С: Предприятие» SQL версия, которая требует установки SQL Server 2000, а в свою очередь SQL Server 2000 устанавливается только на Microsoft Windows 2000 Server. Выбор Microsoft SQL Server в качестве сервера баз данных для продуктов фирмы "1С" был обусловлен рядом причин. Во-первых, это технические преимущества СУБД: в Microsoft SQL Server оптимальным образом сочетаются легкость в установке и администрировании, надежность и отказоустойчивость, мощность и полнофункциональность, а также интеграция с другими продуктами семейства Microsoft BackOffice и многочисленными средствами разработки. Другой важной особенностью является умеренная стоимость, как приобретения, так и эксплуатации. Существенным аргументом послужила популярность этого сервера баз данных, который за последнее время получает широкое распространение при создании клиент-серверных и многоуровневых информационных систем предприятий. Следует отметить достоинства Microsoft SQL server.

СУБД Microsoft SQL server в составе вычислительной платформы информационной подсистемы реализации электроэнергии промышленным потребителям обеспечивает:

1. расширенные возможности при проектировании, создании, модификации и администрировании распределенной базы данных;
2. оперативную обработку и хранение больших объемов данных;
3. поддержку целостности данных;
4. защиту от несанкционированного доступа и восстановление данных;
5. бесконфликтный многопользовательский доступ к данным;
6. поддержку распределенной модели баз данных;
7. поддержка синхронных и асинхронных связей в распределенных базах данных;
8. тиражирование подмножеств базы данных;
9. возможность использования готовых модулей из хранилища базы данных (репозитория);
10. высокую производительность и максимальную продуктивность при работе многих пользователей с базой данных.

В качестве средства разработки информационной подсистемы реализации электроэнергии промышленным потребителям предлагается использование системы  «1С:Предприятие» SQL версия. Система «1С:Предприятие» является универсальной системой автоматизации деятельности предприятия. За счет своей универсальности система «1С:Предприятие» может быть использована для автоматизации самых разных участков экономической деятельности предприятия: учета товарных и материальных средств, взаиморасчетов с контрагентами, расчета заработной платы, расчета амортизации основных средств, бухгалтерского учета по любым разделам и т. д. Основной особенностью системы «1С:Предприятия» является ее конфигурируемость. Собственно система «1С:Предприятие» представляет собой совокупность механизмов, предназначенных для манипулирования различными типами объектов предметной области. Конкретный набор объектов, структуры информационных массивов, алгоритмы обработки информации определяет конкретная конфигурация. Вместе с конфигурацией система «1С:Предприятие» выступает в качестве уже готового к использованию программного продукта, ориентированного на определенные типы предприятий и классы решаемых задач. Конфигурация создается штатными средствами системы. Конфигурация обычно поставляется фирмой «1С» в качестве типовой для конкретной области применения, но может быть изменена, дополнена пользователем системы, а также разработана заново.

В следующей  таблице представлена информация об используемых программных продуктах  и их ценах:

 

 

Таблица 4

№	Наименование ПО	Назначение	Стоимость в  РУБ
1	Windows 2000 server	Сетевая операционная система	16000
2	SQL Server 2000	Сервер БД	10000
3	Windows 2000 server	Операционная система  для рабочих станций	14000
4	Microsoft Office	Комплекс офисных программ	9000
5	1С:Предпприятие	Для разработки подсистемы	12000

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. РАЗРАБОТКА И ПОСТАНОВКА  ЗАДАЧИ

5.1 Цели и задачи проектирования

Целью настоящеей курсовой работы является разработка подсистемы реализации электроэнергии промышленным потребителям. Разработка автоматизированной подсистемы реализации электроэнергии позволит предприятию:

• повысить эффективность управления предприятием за счет обеспечения руководителей и специалистов максимально полной, оперативной и достоверной информацией на основе единого банка данных;
• улучшить делопроизводство при помощи  стандартизации документооборота, автоматизации  наиболее трудоемких его процедур;
• снизить расходы на ведение дел за счет автоматизации процессов обработки информации, изменить характер труда сотрудников, избавляя их от выполнения рутинной работы и давая возможность сосредоточиться на профессионально важных обязанностях.
• обеспечить надежный учет и контроль поступления и расходования денежных средств;
• руководителям среднего и нижнего звена анализировать деятельность своих подразделений и оперативно готовить сводные и аналитические отчеты для руководителя предприятия и смежных отделов;
• гарантировать полную безопасность и целостность данных на всех этапах обработки информации.