Пояснительная записка (1206700)
Текст из файла
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
федеральное государственное бюджетное образовательное учреждение
высшего образования
«Дальневосточный государственный университет путей сообщения»
(ДВГУПС)
Кафедра: «Информационные технологии и системы»
К ЗАЩИТЕ ДОПУСТИТЬ
Зав. кафедрой
___________________ М.А. Попов,
«___» ___________ 2017 г.
РАЗРАБОТКА АВТОМАТИЗИРОВАННОГО КОМПЛЕКСА КОНТРОЛЯ ПОЛНОМОЧИЙ ДОСТУПА СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА ИНФОРМАЦИОННОЙ СИСТЕМЫ
Пояснительная записка к выпускной квалификационной работе бакалавра
ВКР 10.03.01 24Б ПЗ
Студент гр. 24б М.Е. Иванов
Руководитель Е.В. Рак
старший преподаватель
Нормоконтроль В.И. Шестухина
доцент, к.п.н., доцент
Хабаровск –2017
Abstract
In the thesis the task of developing a software product for controlling the access rights of access subjects to objects of access of the information system is investigated.
As part of the project development, the existing methods of access delimitation and the problems associated with their use are analyzed. The goal of the project is to solve the problem of using discretionary access. The design of the software product consists of a functional model in the form of usage diagrams, classes, sequences and components.
On the basis of the project, a prototype of the product was built and tested.
Содержание
Введение 4
1 Аналитическое обоснование 6
1.1 Основные определения 6
1.2 Исследование предметной области 8
1.3 Решение проблемы использования дискреционного метода разграничения доступа 17
2 Проектирование программного модуля ПБИ–3 20
2.1 Диаграммы вариантов использования 21
2.2 Диаграммы классов 26
2.3 Диаграммы последовательности 30
2.4 Диаграмма компонентов 35
3 Выбор программных средств 39
3.1 Язык программирования 40
3.2 Среда разработки 40
4 Руководство по эксплуатации 42
4.1 Системные требования 42
4.2 Начало работы с программой 42
4.3 Главная форма 43
4.4 Проверка пользователей 46
4.5 Проверка директорий 48
4.6 Проверка прав пользователей 50
Список используемых источников 54
Введение
На сегодняшний день достаточно большое внимание уделяется безопасности информации и вопросы защиты информации приобретают все большее и большее значение. При этом при реализации различных способы и методов противодействия угрозам информации, необходимо максимально облегчить работу по администрированию безопасности. Для этого большинством информационных систем используются стандартные подходы, имеющиеся в операционной системе. Это подходы, реализующие дискреционный, мандатный и ролевой методы разграничения доступа. В данной работе будет рассматриваться дискреционный метод разграничения доступа.
Дискреционный метод разграничения доступа иногда также называется избирательным управлением доступом, контролируемым управлением доступом, разграничительным управлением доступом. Позволяет управлять доступом субъектов к объектам на основе списков управления доступом. Под дискреционным контролем понимается, что владелец объекта сам может указывать, кто имеет доступ к объекту и вид этого доступа.
Для управления доступа к объектам дискреционный метод использует идентификационную информацию объекта и список доступа, который содержит субъекты и ассоциированные с ними типы доступа. Во время запроса доступа к объекту, система производит поиск субъекта в списке прав доступа объекта, и, в случае, если субъект там присутствует и разрешённый тип доступа включает требуемый тип, разрешает доступ. В противном случае запрещает доступ.
Благодаря своей гибкости, дискреционный метод разграничения доступа позволяет производить более точную настройку доступа к каждому объекту. Тем не менее, он имеет значительный недостаток, который заключается в том, что для полной настройки информационной системы затрачивается большое количество времени, также больших временных затрат требует контроль и поддержание этих настроек в актуальном состоянии.
Различают закрытую и открытую систему дискреционного доступа. Под закрытой системой понимается такая система, в которой изначально объект никому не доступен и список разрешений описывается в списке прав доступа. Под открытой – та, в которой к объектам все имеют полный доступ, а в списке доступа описывается список ограничений.
Целью выпускной квалификационной работы является проектирование и разработка программного продукта для контроля корректной настройки дискреционного метода доступа в информационной системе предприятия. Продукт должен упростить использование стандартных средств операционной системы Windows для проверки настроек дискреционного метода доступа. Стандартным средством операционной системы является ручное открытие свойств каждого объекта, просмотр настроек и сравнение с настройками, указанными в организационно–распорядительной документации предприятия. Учитывая что настройкой и контролем корректности настройки на предприятии занимается ограниченный круг лиц процедура контроля корректности настройки дискреционного метода разграничения доступа может занимать несколько дней. Также в процессе контроля не исключены ошибки из–за человеческого фактора. Исходя из этого данный программный продукт актуален для рассматриваемого предприятия.
Выпускная квалификационная работа состоит из трех основных глав, заключения и списка используемых источников.
В первой главе производится исследование предметной области, выявляются основные проблемы и пути их решения.
Во второй главе приведен порядок разработки архитектуры программного обеспечения для дальнейшей ее реализации.
В третьей главе описано руководство по эксплуатации реализуемого программного продукта.
1 Аналитическое обоснование
1.1 Основные определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности субъекта доступа в информационной системе).
Доступ к информации, составляющей коммерческую тайну, – ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
Идентификация – присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация, составляющая коммерческую тайну, – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно–технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Обладатель информации, составляющей коммерческую тайну, – лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Объект доступа – единица информативного ресурса информационной системы (файл, техническое средство, узел сети, линия (канал) связи, мобильное устройство, программа, том, каталог, запись и иные объекты), доступ к которой регламентируется правилами разграничения доступа и по отношению к которой субъекты доступа выполняют операции.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь – лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной системе или использующее результаты ее функционирования.
Субъект доступа – пользователь, процесс, выполняющий операции (действия) над объектами доступа и действия которых регламентируются правилами разграничения доступа.
Управление доступом – ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа.
1.2 Исследование предметной области
Предметная область будет рассмотрена на примере предприятия ООО «Гефест – Хабаровск». Основным видом деятельности предприятия является осуществление торгово – экономической деятельности как внутри страны, так и за рубежом.
Состав персонала организации:
-
генеральный директор;
-
заместитель директора;
-
администратор информационной системы;
-
отдел бухгалтерии;
-
отдел кадров;
-
менеджеры.
Персонал организации обрабатывает информацию, относящуюся к коммерческой тайне и персональным данным. Генеральный директор и заместитель директора имеют доступ ко всей информации, хранящейся и обрабатываемой информационной системой предприятия. Администратор информационной системы отвечает за настройку и поддержание работоспособности информационной системы, он также имеет доступ ко всей информации. Отдел кадров обрабатывает персональные данные сотрудников предприятия. Отдел бухгалтерии занимается обработкой персональных данных сотрудников предприятия, персональных данных клиентов предприятия, информацию, относящуюся к коммерческой тайне. Менеджеры в процессе работы с клиентами обрабатывают персональные данные клиентов и информацию, относящуюся к коммерческой тайне, связанную с договорами купли–продажи.
Деятельность организации связана с обработкой и хранением информации, относящейся к коммерческой тайне. Требования, предъявляемые к охране информации, относящейся к коммерческой тайне указаны в федеральном законе от 29.07.2004 N 98–ФЗ (ред. от 12.03.2014) "О коммерческой тайне". Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 статьи 10 «Охрана конфиденциальности информации». В части 1 этой статьи указано что меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
-
определение перечня информации, составляющей коммерческую тайну;
-
ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
-
учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
-
регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско–правовых договоров.
Кроме информации, относящейся к коммерческой тайне, в информационной системе предприятия хранится и обрабатывается большой объем персональных данных клиентов и сотрудников. Отношения, связанные с обработкой персональных данных с использованием средств автоматизации регулируются Федеральным законом от 27.07.2006 N 152–ФЗ (ред. от 22.02.2017) "О персональных данных". Меры по обеспечению безопасности персональных данных при их обработке указаны в статье 19 данного закона. В данной статье представлены такие меры, как:
-
оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
-
обеспечение безопасности персональных данных достигается, в частности:
-
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
-
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
-
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
-
учетом машинных носителей персональных данных;
-
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
-
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
-
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Организационные и технические меры по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, которые необходимо применять в соответствии с пунктом 2 статьи 19 Федерального закона № 152, указаны в приказе ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Требования к защите персональных данных содержатся в приказе ФСТЭК от 11 февраля 2013г №17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Так как состав мер защиты 17 и 21 приказа ФСТЭК совпадают, а в соответствии с 17 приказом, требования к защите персональных данных могут применятся для защиты персональных данных, содержащихся в негосударственных информационных системах, для рассмотрения необходимых мер, обратимся к 17 приказу ФСТЭК. В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных информационных системах. Также в документе не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Защита информации, содержащейся в государственной информационной системе, обеспечивается путем выполнения обладателем информации (заказчиком) и (или) оператором требований к организации защиты информации, содержащейся в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе.
Для рассматриваемого приказа ФСТЭК существует методический документ «Меры защиты информации в государственных информационных системах». Этот методический документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, а также определяет содержание мер защиты информации и правила их реализации. В методическом документе не рассматриваются содержание, правила выбора и реализации мер защиты информации, связанных с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Принятие таких мер защиты информации обеспечивается в соответствии с законодательством Российской Федерации.
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
