Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Под понятием внутреннего информационного ресурса, применительно к использованию Web-технологий, предлагается понимать логически связанную совокупность HTML-страниц (статических или динамических) с едиными правами доступа. Проверка полномочий в этом случае осуществляется только при попытке доступа к первой странице ресурса, в дальнейшем, при навигации внутри ресурса, контролируются только внешние по отношению к нему ссылки. Содержимое HTML-страниц может быть статическим или динамическим - как результат выполнения соответствующих приложений или прямых действий пользователей. Концепция внутренних информационных ресурсов позволяет реализовать средствами сервера доступа широкие возмолшости по предоставлению пользователям нормативно-справочной и другой информации с гарантированным разграничением доступа. Каталог информационных ресурсов содержит информацию, определяющую наименование ресурсов, их структуру, содержание (множество HTML-страниц), последовательность перехода и т.п. Кроме того, при реализации функции управления правами доступа к ресурсам на основе привилегий каталог информационных ресурсов должен иметь определенные для каждого ресурса (группы ресурсов) системы привилегии доступа.
14. Каталог прав доступа
Каталог прав доступа включает информацию, определяющую соответствие пользователей и ресурсов при реализации прямого соответствия прав. Для каждого пользователя (и/или группы пользователей) существует список доступных ресурсов (или групп ресурсов) с указанием типов доступа к ресурсу (чтение, запись, удаление, запуск и т.п.). При каждой попытке доступа пользователя к ресурсу производится проверка полномочий, и доступ либо разрешается, либо запрещается с регистрацией данного события в журнале попыток несанкционированного доступа. Данный каталог может быть реализован по принципу Kerberos 5 или SESAME.
Система доступа к ресурсам информационной системы
429
15. Каталог активных сеансов и журнал регистрации
Каталог сеансов и журнал регистрации представляют собой регистрационные журналы (динамический и статический соответственно), где хранится информация о состоянии системы, фиксируемых событиях регистрации пользователей, доступа к ресурсам, попыток несанкционированного доступа. Каталог сеансов, кроме этого, содержит динамически обновляемую информацию об активных в настоящий момент пользователях и процессах, выполняющихся в системе. Данные каталога сеансов и журнала регистрации используются для динамического мониторинга системы и получения статистических отчетов о ее работе, активности пользователей, доступе к тем или иным ресурсам (рис. П.2.3).
Средства администрирования и мониторинга
-ти—I-пг
Каталог информационных ресурсов
Каталог пользователей
Средства аутентификации
Каталог вычислительных ресурсов(приложений)
MH<f
Информационные ресурсы (folders)
Взаимодействия сеанса пользователя
Взаимодействия сеанса административного управления
Каталог активных сеансов
Журнал статистики и регистрации
Приложение
Рис. П.2.3. Взаимодействие компонентов в рамках каталога активных сеансов
430
Приложение 2
16- Общий алгоритм работы сервера доступа к ресурсам корпоративной ИС
Общий алгоритм работы системы можно разделить на несколько этапов:
1. Аутентификация.
2. Доступ к приложению.
3. Доступ к информационному ресурсу.
4. Завершение работы.
Фаза регистрации начинается с момента подключения абонента к ресурсам Web-сервера и получения приглашения на ввод аутентифицирующей информации. Наряду с приглашением на ввод данных аутентификации на WWW-клиент может быть скопировано обновленное ПО аутентификации. После введения пользователем требуемых данных производится их прием сервером доступа, проверка подлинности, целостности данных и корректности подключения. В случае правильности принятых данных (соответствия хранящимся в каталоге пользователей данным аутентификации) пользователь регистрируется в системе, о чем производится запись в журнал регистрации и формируется соответствующая запись в каталоге сеансов. Пользователю передается динамически сформированная HTML-страница с перечнем доступных ему информационных и вычислительных ресурсов (приложений) в соответствии с его правами доступа.
Доступ к нужному приложению осуществляется путем запроса соответствующего указателя ресурса (URL). После проверки полномочий пользователя управление передается на запрашиваемый ресурс. Доступ к ресурсу фиксируется в журнале регистрации и каталоге сеансов. Дальнейшая работа с приложением может происходить без участия средств сервера доступа, однако моменты запуска и окончания прилолсения должны отслеживаться сервером доступа и фиксироваться в журнале. Результатом работы приложения могут быть HTML-документы, которые передаются через Web-сервер пользователю непосредственно для интерпретации WWW-клиентом или же записываются в соответствующий информационный ресурс с проверкой прав доступа. В дальнейшем эта информация может быть получена пользователем (необязательно тем, которым она была занесена в информационный ресурс) из соответствующего информационного ресурса.
