Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• путем обращения от WWW-клиента к серверу доступа за необходимыми сервисами (доступ к данным СУБД, обработка данных и т.п.), причем загрузка объектного сервиса на клиентское место может проводиться заранее или осуществляться с Web-сервера (Java-классы, объекты ActiveX и т.д.) в процессе работы.
6- Управление аутентификацией и разграничением доступа
Управление аутентификацией и разграничением доступа является важнейшей функцией, реализуемой сервером доступа, что позволяет говорить об однозначном соответствии между конкретным пользователем и доступным ему множеством ресурсов из состава корпоративной ИС. Такая реализация предполагает наличие единого списка именованных (каким-либо образом) ресурсов и единого списка пользователей. Она может использовать один из следующих методов:
• вся сеть делится на терминальную и серверную подсети;
• для каждого пользователя (и/или группы пользователей) существует список доступных ресурсов (или групп ресурсов) - прямое соответствие;
426
Приложение 2
• для каждого ресурса (группы,ресурсов) определен набор привилегий, обеспечивающих доступ; для каждого пользователя (группа пользователей) также определен присущий им набор привилегий; доступ к ресурсу может быть разрешен только при наличии у пользователя всех привилегий ресурса - косвенное соответствие.
Кроме того, могут быть дополнительно определены различные типы доступа к ресурсам (чтение, запись, удаление, запуск и т.п.), права на использование которых могут заметно различаться. Следует отметить, что в качестве прототипа данной реализации разрешается использовать аутентификацион-ные системы Kerberos 5 или SESAME (www.esat.kuleuven.ac.be/cosic/ sesame3.html) с модификацией, учитывающей разделение терминальной и серверной подсетей. В этом случае такие недостатки Kerberos 5, как необходимость модификации каждого сетевого ресурса (в него должен быть вставлен код аутентификации), могут быть реализованы на сервере доступа, находящемся на границе терминальной и серверной подсетей.
7. Протоколирование сеансов работы абонентов
Функция протоколирования и регистрации предусматривает запись информации о любых действиях пользователей по доступу к ресурсам в статические и динамические журналы, с указанием идентификаторов пользователей, ресурсов, типов доступа, времени, условий, результатов выполнения операций и т.д.
8. Общее централизованное администрирование системы
Функция администрирования предполагает наличие внешнего по отношению к серверу доступа программного компонента, обеспечивающего создание и изменение управляющей информации сервера доступа: списка пользователей, списка ресурсов, каталогов прав доступа и т.д. Каждая функция подсистемы администрирования рассмотрена отдельно.
9. Получение статистической информации о работе пользователей
Функция предусматривает возможность получения на основе данных протоколирования и регистрации статистических отчетов о работе пользователей и системы полностью в форме, удобной для восприятия и последующего анализа.
Система доступа к ресурсам информационной системы
427
10. Информационные объекты и общий алгоритм работы
Основными информационными объектами, используемыми при работе сервера доступа, являются:
• каталог пользователей;
• каталог приложений (вычислительных ресурсов);
• каталог внутренних информационных ресурсов;
• каталог прав доступа;
• каталог активных сеансов;
• журнал регистрации;
• объекты, реализующие концепцию информационных ресурсов (HTML-страницы).
Вопросы конкретной реализации этих объектов здесь не рассматриваются. Наиболее естественным является их исполнение в виде таблиц соответствующей базы данных, размещенной на одном из доступных серверов БД. Доступ к этим ресурсам единого каталога может быть организован по протоколу LDAP.
11. Каталог пользователей
Каталог пользователей содержит информацию, идентифицирующую абонентов системы: код, имя, сведения, используемые в процессе аутентификации, принадлежность к организации или подразделению; данные, определяющие возможные режимы работы, время, место подключения; допустимые имена машин; IP-адреса и т.п. Кроме того, при реализации функции управления правами доступа к ресурсам на основе привилегий каталог пользователей должен содержать определенные для каждого абонента системы привилегии доступа. Пользователи могут быть объединены в группы по различным признакам.
72. Каталог приложений
Каталог приложений (вычислительных ресурсов) содержит информацию, определяющую структуру и содержание существующих в системе приложений. Информация, размещенная в каталоге приложений для каждого объекта, должна однозначно определять условия запуска (адреса, имена программ или иную информацию), возможность использования статических или динамических параметров, время запуска и т.п. Кроме того, при
428
Приложение 2
реализации функции управления правами доступа к ресурсам на основе привилегий каталог приложений должен включать определенные для каждого приложения системы привилегии доступа.
13. Каталог внутренних информационных ресурсов сервера доступа
