Bankir.Ru
5 декабря, понедельник 11:47

Объявление

Свернуть

Третья ежегодная конференция-консилиум «ИТ-бюджет банка - 2017»

Показать больше
Показать меньше

состояние обеспечения безопасности в АБС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • состояние обеспечения безопасности в АБС

    Уважаемые господа! Очень интересно, как обстоят дела с безопасностью в АБС. Не могли бы вы поделиться информацией насколько она развита. Ответьте пожалуйста на вопросы, которые помогут уточнить положение дел в этой области.
    1. Название системы
    2. База данных, используемая системой
    3. Система поддерживает многофилиальность кредитной организации
    a. Да
    b. Нет
    c. частично
    4. Какие виды пользователей поддерживает система
    a. Оператор - выполняет набор действий (заданный администратором) в системе
    b. Настройщик системы - наращивает функциональность системы с помощью внутреннего инструментария (в том числе создание новых отчетов)
    c. Администратор системы - раздает права доступа пользователям
    d. Администратор безопасности - осуществляет аудит над действиями пользователей (в том числе администратора), вырабатывает политику безопасности
    e. Пункты c и d и b совмещает администратор системы
    f. Другие варианты (перечислить)
    5. Администратор системы имеет доступ к БД
    a. Под системным логином и паролем
    b. Под другим логином и паролем
    c. Не имеет доступа к БД
    d. Доступ к БД имеют и другие пользователи системы
    e. Пользователи системы не имею доступа к БД
    6. Права доступа зависят от филиала кредитной организации
    a. У каждого филиала свой системный администратор
    b. Объекты, созданные в одном филиале, не доступны в другом
    c. Головной организации доступны все объекты
    d. Другие возможности (перечислить)
    7. Данные в БД хранятся
    a. В открытом виде
    b. В зашифрованном виде
    8. Система поддерживает создание ролей
    a. Для пользователей
    b. Для рабочих мест
    c. Роли не поддерживаются
    9. Права доступа можно задать
    a. на банковские операции
    b. на отчеты
    c. на рабочие места
    d. на пользователей
    e. на объекты системы (счета, вид договоров, договора, карты, др. - перечислить)
    f. на объекты системы с определенными свойствами
    g. на часть банковских операций
    h. на объекты БД (таблицы)
    i. другое – перечислить
    10. В системе ведется аудит действий пользователей
    a. Логи хранятся в БД
    b. Логи хранятся в файле на сервере
    c. Логов не ведется
    d. Логи хранятся на рабочей станции системного администратора
    e. Логи хранятся на рабочей станции администратора безопасности
    11. Аудит может вестись
    a. По всем действиям пользователей (на уровне выполнения операций)
    b. По всем действиям пользователей (на уровне записей в таблицы БД)
    c. По всем действиям администратора
    d. По действиям пользователей, связанным с входом в систему (набран неверный логин и пароль, частота входа в систему, время работы в системе)
    e. По действиям администратора, связанным с заведением/удалением новых пользователей и РМ и раздачей им прав
    f. По действиям настройщиков системы
    g. другое
    12. События, подвергающиеся аудиту настраиваются
    a. Администратором системы
    b. Администратором безопасности (если он не является администратором системы)
    c. Не настраиваются
    d. Силами разработчиков на этапе создания системы
    e. Настройщиком системы
    f. Другое
    13. Обеспечение безопасности информации основано на математической модели
    a. Белла-Лападула
    b. мандатного управления доступом
    c. другой модели (какой?)
    d. не основано на математической модели
    14. Разграничение прав доступа поддерживается
    a. Силами БД
    b. Силами операционной системы
    c. Силами системы (АБС)
    d. Другое
    15. Дополнительные комментарии:

  • #2

    luyboznztelny

    Вы чего свою АБС пишете?
    Дважды досчитал до бесконечности (с)

    Комментарий


    • #3
      Все ему расскажи, все покажи, да еще и дай попробовать
      В каждой программе есть по крайней мере одна ошибка

      Комментарий


      • #4
        Ага, количество желающих ответить не поддается исчислению.
        AlexN

        Комментарий


        • #5
          Я пишу диплом. Интересует текущее состояние дел в этой области. Общее представление имеется, но хотелось бы конкретных данных.

          Комментарий


          • #6
            Текущее состояние удовлетворительное. Конкретных данных, с вероятностью 99.9, Вы не получите. Да и судите сами, зачем кому бы то ни было делиться сокровенным, с неким любознательным (студентом?)?
            AlexN

            Комментарий


            • #7
              luyboznztelny
              Действительно, думаю Вам вряд ли кто тут будет серьезно отвечать, ну просто потому, что информация достаточно щепетильная Если Вас это серьезно интересует, попробуйте заглянуть в тему (тут рядом) на предмет кто какую АБС использует, взять оттуда названия и обзвонить отделы продаж означенных там фирм Там вы узнаете не все, конечно, но кое-что думаю Вам расскажут

              Комментарий


              • #8
                luyboznztelny
                Отвечают обычно на вопросы из 5 пунктов, не более. Если больше - даже не дочитывают до конца. Так шта...

                Комментарий


                • #9
                  Когда-то, начиная свой трудовой путь в одном из системных интеграторов, я тоже "писал" диплом, пытаясь определить позиции интегратора по отношению к конкурентам. Этим и прикрывал свои телефонные звонки и письма… Вообще говоря, перечисленные модели безопасности не являются математическими, но – просто моделями информационной безопасности (выбранной политики) или моделями контроля доступа. При этом модели "мандатного управления доступа" не существует. "Математические" – методы анализа политик безопасности. Да, в завершение. Разработчики АБС, как правило, ничего о подобных моделях слыхом, не слыхивали, а ваяли их (АБС) в соответствии со своими личными представлениями о безопасности (зачастую достаточно примитивными).
                  AlexN

                  Комментарий


                  • #10
                    AlexN
                    Честно говоря, я не совсем понимаю такую позицию со стороны банков. Со стороны разработчиков АБС, сокрытие таких данных еще можно как-то объяснить нежеланием признавать наличие "несовершенства" собственных систем. Идеальных систем не бывает в принципе. Я не прошу раскрывать какие-то секреты (типа как часто вы меняете пароль, на какие события ведется аудит и т.п.). Мои вопросы носят чисто "информативный" характер о возможностях системы. Какими преимуществами обладает вопрос: "поддерживает ли система пролонгацию договоров" над "есть ли возможность задания ролей для пользователей"?
                    По моему банкам это должно быть очень интересно. А форум вроде как и создан для того, чтобы делиться информацией.
                    Меня бы устроил и не полный вариант ответов на вопросы, если не жалко)
                    Относительно
                    Вообще говоря, перечисленные модели безопасности не являются математическими, но – просто моделями информационной безопасности (выбранной политики) или моделями контроля доступа. При этом модели "мандатного управления доступа" не существует. "Математические" – методы анализа политик безопасности.
                    могу сказать следующее:
                    МОДЕЛИ ТРАНСФОРМАЦИИ СОСТОЯНИЙ КОНЕЧНОГО АВТОМАТА являются наиболее общими и основаны на описании системы в виде конечного автомата. Модели этого класса позволяют наиболее полно описать процессы защиты информации и их взаимосвязь с технологией обработки информации в АС. В настоящее время известно много моделей данного класса...
                    ...Модель Бэлла-Лападулла или BLP-модель основывается на понятии конечного автомата, описывающего механизм доступа к ресурсам системы...
                    ...Модель мандатного управления доступом (MAC-модель) излагает общий подход к формализации различных методов управления безопасностью посредством мандатов. Достоинством модели является то, что совокупность моделей, описанных в терминах MAC-модели, формирует булеву алгебру с операциями объединения, пересечения и дополнения.
                    очень даже математические (я же не ради праздного любопытства, а диплом пишу)[/B]

                    Комментарий


                    • #11
                      Где Вы ЭТО прочли?
                      AlexN

                      Комментарий


                      • #12
                        AlexN
                        ЭТО я даже сдавала И не только в вышеописанном варианте. Просто ЭТО звучит страшнее всего, строго доказано (математическими выкладками). На самом деле есть еще куча других моделей, но они носят больше теоретический характер, тогда как вышеприведенные применяются на практике (конечно в адаптированном варианте). Во всяком случае про матрицу доступа и уровень безопасности все слышали. Например, в БД Oracle, используется модель Белла-Лападулла (кажется ds безопасность - но могу наврать), а структуры с секретной информацией предпочитают модель мандатного управления доступом.

                        Но это уже отклонение от темы. Помогли бы хоть чем-нибудь. А то защита в феврале, а анализа текущего состояния области нету (
                        Не хочется, чтобы такая интересная тема превращалась в ДСП, как и другие топики по безопасности. Тщетно пыталась выудить хоть какую-то полезную информацию... нету. Типа секрет и все тут. Может никто и не защищается? Так все на честности держится?
                        И вообще никому не интересно как АБС поддерживают разграничение доступа? Чувствую, что прийдется от себя что-нибудь наврать

                        Комментарий


                        • #13
                          да, это вопрос как раз для Банкир.ру.........
                          luyboznztelny хоть тут люди и отзывчивые, но в большей мере занимаются практикой, так что точную статистику вряд-ли выложат, а тем более углубляться в дебри теории...

                          Комментарий


                          • #14
                            пупс с +
                            в теорию никто углубляться не просит. пойдем от простого: если не известно какую модель использует АБС, значит она никакую не использует (имеется в виду именно теоретические разработки, на практике же придерживаются какого-то принципа, по крайней мере, я на это надеюсь)
                            Вопрос как раз к практикам адресован!!! Хотя бы на половину вопросов ответить-то можно... пусть не совсем точно (было бы желание). Но лучше какие-то данные, чем никаких.

                            Комментарий


                            • #15
                              luyboznztelny
                              Уважаемая, luyboznztelny, я на 100% уверен, что Вам никто данные по обеспечению безопасности АБС в форуме не даст. Максимум, что Вы можете получить это - то что есть на сайтах разработчиков, но и это Вы не получите здесь, потому что это все уже на сайтах разработчиков есть У вас только один вариант: обратится к офиц. информации разработчика....
                              Что могу сказать в утешение - хорошо что у Вас в дипломе вопросы по безопасности АБС, а не по пластику, задали бы вы вопросы в форуме по subj...

                              Комментарий


                              • #16
                                Отвечаю. Прямо по пунктам.

                                1. Название системы - не придумали еще.

                                2. База данных, используемая системой - Informix

                                3. Система поддерживает многофилиальность кредитной организации
                                a. Да

                                4. Какие виды пользователей поддерживает система
                                f. Другие варианты (перечислить)
                                Да любые, включая собственно саму разработку. Т.е. механизм разграничения прав настраивается согласно пожеланий конечных пользователей системы. Даже наверно согласно их должностных инструкций.

                                5. Администратор системы имеет доступ к БД
                                b. Под другим логином и паролем
                                Группа администраторов системы (так сложилось, что у нас за работой системы следит группа), они же и занимаются разработкой. Каждый под своим логином и работает. Все действия администраторов так же протоколируются, что б потом среди своих крайнего искать. Есть и системный, но мы им пользуемся только в исключительных случаях.
                                d. Доступ к БД имеют и другие пользователи системы
                                Ну а как же еще. Им же работать надо. Только доступ они имеют не к данным, а к написанному внутри базы АПИ.

                                6. Права доступа зависят от филиала кредитной организации
                                d. Другие возможности (перечислить)
                                Была реализована модель безопасности предусматривающая разграничение прав по подраздлелениям. Но не заработала. Люди перемещаются и хотят получать качественное и быстрое обслуживание независимо от места расположения наших подразделений. Поэтому, несмотря на то, что механизм есть, он не востребован. Все операторы видят и работают со всеми счетами. Правда, в связи с этим мы вынуждены были в протоколирование включить в том числе и обращение к функциям просмотра и поиска данных, на всякий случай.

                                7. Данные в БД хранятся
                                a. В открытом виде

                                8. Система поддерживает создание ролей
                                a. Для пользователей
                                Скорее у нас даже не роли, а просто набор прав доступа к операциям.

                                9. Права доступа можно задать
                                a. на банковские операции
                                b. на отчеты - это в разработке. Да и тяжело это очень. Кол-во отчетов уже порядка 500 и продолжает быстро увеличиваться.
                                g. на часть банковских операций - как я уже сказал выше, реализован механизм запрета выполнения операции, если лицевые счета, по каким-либо причинам недоступны выполняющему эту самую операцию.
                                h. на объекты БД (таблицы) - физического доступа к таблицам данных пользователи не имеют вообще. Т.е. прямое выполнение операторов select * from sprlicsch никому не доступно.

                                10. В системе ведется аудит действий пользователей
                                a. Логи хранятся в БД

                                11. Аудит может вестись
                                a. По всем действиям пользователей (на уровне выполнения операций)
                                c. По всем действиям администратора
                                e. По действиям администратора, связанным с заведением/удалением новых пользователей и РМ и раздачей им прав
                                f. По действиям настройщиков системы
                                g. другое
                                Мы стараемся протоколировать вообще все действия. К сожалению действия разработчиков системы протоколированию поддаются плохо. Да и как запротоколируешь выполнение оператора create table?

                                12. События, подвергающиеся аудиту настраиваются
                                d. Силами разработчиков на этапе создания системы
                                f. Другое
                                В программе реализован поиск и просмотр этих самых протоколов. Права на этот просмотр и поиск дадены начальникам всех отделов. Поэтому к каким-либо разборкам косяков нас даже уже и не привлекают.

                                13. Обеспечение безопасности информации основано на математической модели
                                Я по пунктам не понял. Наверно подготовки не хватает. Просто есть действие и есть крыжык в программе, установка которого это самое действие и разрешает. Нет крыжика - нет действия. Есть крыжик - работай. А название и модель - это я не знаю.

                                14. Разграничение прав доступа поддерживается
                                a. Силами БД
                                Причем подчеркну, только силами БД. В клиенте согласно крыжиков системы безопасности мы разрешаем или запрещаем отдельные пункты системы меню, разрешаем или запрещаем отдельные поля данных в экранных формах, но, в любом случае, это только дизайн. Все проверки системы безопасности делаются только в той процедуре внутри базы данных, которая осуществляет запрошенное действияе.

                                15. Дополнительные комментарии:
                                Есть косвенные сведения, что аналогично поступают и другие разработчики АБС. Но подтверждения от самих разработчиков я не получал.

                                ЗЫ Счастливо защититься.
                                Последний раз редактировалось AlexCH; 27.12.2003, 06:05.

                                Комментарий


                                • #17
                                  Уважаемая luyboznztelny
                                  Вы зря открыли новую тему. Надо было этот вопрос кинуть в тему Роль и место служб безопасности банка .
                                  Там толпится куча крутых безопасников (некоторые даже из мест не столь отдаленных.) Они бы вам наверняка помогли. Я уверен, что все Ваши мат. модели они знают назубок, а такие анкеты, как у Вас, у них давно готовы по всем российским (и не только) АБС .
                                  VP

                                  Комментарий


                                  • #18
                                    AlexCH
                                    СПАСИБО огромное!!! Вы мне очень помогли.

                                    Комментарий


                                    • #19
                                      Ладно уж, в честь Праздника и я повеселюсь

                                      1. Название системы - client.exe

                                      2. База данных, используемая системой - BTRIEVE

                                      3. Система поддерживает многофилиальность кредитной организации
                                      b. Нет

                                      4. Какие виды пользователей поддерживает система
                                      f. Другие варианты (перечислить) - есть только "пользователь", работающий в системе, и "разработчик", ее разрабатывающий.

                                      5. Администратор системы имеет доступ к БД
                                      d. Доступ к БД имеют и другие пользователи системы - "и другие" означает - все пользователи

                                      6. Права доступа зависят от филиала кредитной организации
                                      c. Головной организации доступны все объекты

                                      7. Данные в БД хранятся
                                      a. В открытом виде

                                      8. Система поддерживает создание ролей
                                      c. Роли не поддерживаются

                                      9. Права доступа можно задать
                                      i. другое – перечислить - все права пользователей жестко прошиты в программном коде, даже список сетевых имен хранитсе напосредственно в EXE-файле

                                      10. В системе ведется аудит действий пользователей
                                      c. Логов не ведется - хотя, в принципе, можно включить стандартный механизм BTRIEVE

                                      11. Аудит может вестись
                                      g. другое - нет вообще (за редкими исключениями, типа "пользователь, открывший счет" и т.п., прописанными жестко в коде)

                                      12. События, подвергающиеся аудиту настраиваются
                                      d. Силами разработчиков на этапе создания системы

                                      13. Обеспечение безопасности информации основано на математической модели
                                      d. не основано на математической модели

                                      14. Разграничение прав доступа поддерживается
                                      b. Силами операционной системы
                                      c. Силами системы (АБС)

                                      15. Дополнительные комментарии:
                                      И такие вот системы бывают в банках. Правда, это на 1996 год, хотя не исключаю, что и сейчас такие есть.
                                      *Д.Ж*

                                      Комментарий


                                      • #20
                                        luyboznztelny
                                        Я тоже ЭТО сдавал. И не только в российском ВУЗе. Поэтому и спрашиваю, что цитируете. Источники, которыми я пользуюсь, не содержат терминологии "математические модели". Например, (1) Грушо А.А., Тимонина Е.Е. "Теоретические основы защиты информации"; (2) "The CISSP Prep Guide—Mastering the Ten Domains of Computer Security", Ronald L. Krutz, Russell Dean Vines; (3) "Certified Information Systems Security Professional Study Guide", Ed Tittel, Mike Chapple, James Michael Stewart. Какой ВУЗ заканчиваете?
                                        AlexN

                                        Комментарий


                                        • #21
                                          luyboznztelny
                                          Что-то захотелось выступить Дедом Морозом, да еще по отношению к потенциальной Снегурочке, да к тому же дипломнице, спортсменке (далее сами)
                                          1. Название системы - АБС Кворум
                                          2. База данных, используемая системой - Oracle
                                          3. Система поддерживает многофилиальность кредитной организации
                                          a. Да
                                          b. Нет
                                          c. частично - не на единой БД, а на уровне сводной отчетности
                                          4. Какие виды пользователей поддерживает система
                                          a. Оператор - выполняет набор действий (заданный администратором) в системе
                                          b. Настройщик системы - наращивает функциональность системы с помощью внутреннего инструментария (в том числе создание новых отчетов)
                                          c. Администратор системы - раздает права доступа пользователям
                                          d. Администратор безопасности - осуществляет аудит над действиями пользователей (в том числе администратора), вырабатывает политику безопасности
                                          e. Пункты c и d и b совмещает администратор системы
                                          f. Другие варианты (перечислить) - Все кроме d)


                                          5. Администратор системы имеет доступ к БД
                                          a. Под системным логином и паролем
                                          d. Доступ к БД имеют и другие пользователи системы - да

                                          7. Данные в БД хранятся
                                          a. В открытом виде

                                          8. Система поддерживает создание ролей
                                          a. Для пользователей

                                          9. Права доступа можно задать
                                          a. на банковские операции
                                          b. на отчеты
                                          c. на рабочие места
                                          e. на объекты системы (счета, вид договоров, договора, карты, др. - перечислить) - частично
                                          h. на объекты БД (таблицы) - срелствами СУБД
                                          i. другое – на пункты меню в интерфейсе

                                          10. В системе ведется аудит действий пользователей
                                          a. Логи хранятся в БД - не на все действия пользователей, только на некоторые

                                          11. Аудит может вестись
                                          a. По всем действиям пользователей (на уровне выполнения операций)

                                          12. События, подвергающиеся аудиту настраиваются
                                          c. Не настраиваются
                                          d. Силами разработчиков на этапе создания системы
                                          e. Настройщиком системы

                                          13. Обеспечение безопасности информации основано на математической модели
                                          d. не основано на математической модели

                                          14. Разграничение прав доступа поддерживается
                                          a. Силами БД
                                          b. Силами операционной системы
                                          c. Силами системы (АБС)

                                          15. Дополнительные комментарии - желаю успешно защитить диплом

                                          Комментарий


                                          • #22
                                            pvn59
                                            Что, никто не внял уговорам? :-)))
                                            Ещё раз попросить может надо? :-.......... И лучше отдельную тему сделать про места не столь отдалённые и глупых спецов! :-))) Вот же задело и повело-то как, а?!?!? Вспомнился мультик про Короля Льва. Там когда одна Гиена просила другую, сказать "Муфацу". :-..........)) И тут также.... "Специалист по безопасности!" иииии начались плющения!! :-....................)))
                                            luyboznztelny
                                            Вообще вопрос хороший!! И структуризация его очень интересная. Так а это Вам в дипломе для статистики просто надо? Вот бы интересно результаты потом было посмотреть... может опубликуете?
                                            Удача любит подготовленный разум...

                                            Комментарий


                                            • #23
                                              Хэванс_До Вот бы интересно результаты потом было посмотреть
                                              да уж, жутко интересно! статистические выкладки на основе трёх-пяти ответов

                                              Комментарий


                                              • #24
                                                luyboznztelny
                                                используется модель Белла-Лападулла
                                                В чистом виде уже не модно ни Белл-ЛаПадула, ни Кларк-Вильсон, ни дискретка Сейчас модно type enforcement

                                                И вообще никому не интересно как АБС поддерживают разграничение доступа?
                                                Интересно. На собственном опыте могу сказать одно: при разработке АБС о безопасности думают в последнюю очередь. Например, в одной очень хорошей системе, когда возник вопрос "кто имел доступ к состоянию счета NNN за последние 3 недели" (было подозрение на слив инфы по клиенту) оказалось, что ответить на него невозможно - не протоколирует система действия на таком уровне. Плюс наличие доступа к СУБД напрямую (мимо АБС) - тушите свет, концов не найти.
                                                В другой не менее хорошей системе наблюдаю рутовый шелл на консоли. На вопрос (если опустить мат, то вопрос был "немой" ), эксплуататоры разводят руками "а так написано, без прав рута ниче не получается". А больше всего меня добило, что для нормальной рулежки этой системой они рутом ходят по ftp. Занавес
                                                Не, я понимаю, что в системе все-таки главное "шоб работало", но нельзя же так откровенно игнорировать безопасность.
                                                Earl Vlad Drakula. ///

                                                Комментарий


                                                • #25
                                                  hugevlad В другой не менее хорошей системе наблюдаю рутовый шелл на консоли. На вопрос (если опустить мат, то вопрос был "немой" ), эксплуататоры разводят руками "а так написано, без прав рута ниче не получается". А больше всего меня добило, что для нормальной рулежки этой системой они рутом ходят по ftp. Занавес
                                                  Очень интересно, но непонятно. Если можно, для чайников, по-русски?
                                                  В каждой программе есть по крайней мере одна ошибка

                                                  Комментарий


                                                  • #26
                                                    dd
                                                    Почему трёх-пяти? Банкир.ру что-ли единственный ресурс, с которого можно информацию взять? А может это серьёзный анализ будет?!?!?
                                                    hugevlad
                                                    Ну, вот так!!! :-..........) На счёт прямого доступа к базам.... оооочень распространённое явление. Хорошо если этот доступ к оракловским базам, там хоть логи есть (и то не всегда), А если пдфники на файлсерваке... За то, когда показываешь руководству сей беспредел и как его можно поюзать, оооох и востоооргу!!!!
                                                    Удача любит подготовленный разум...

                                                    Комментарий


                                                    • #27
                                                      Хэванс_До За то, когда показываешь руководству сей беспредел и как его можно поюзать, оооох и востоооргу!!!!
                                                      А кто хоть в восторге то???

                                                      Комментарий


                                                      • #28
                                                        WildCat
                                                        Ну кто?!?!? Руководство!!! В "Восторге"!
                                                        Удача любит подготовленный разум...

                                                        Комментарий


                                                        • #29
                                                          luyboznztelny
                                                          Ну раз желающих ответить много, то внесу лепту и от разработчиков:

                                                          1. Название системы
                                                          Не скажу - сами догадайтесь.

                                                          2. База данных, используемая системой
                                                          Oracle 7 - 9

                                                          3. Система поддерживает многофилиальность кредитной организации
                                                          a. Да

                                                          4. Какие виды пользователей поддерживает система
                                                          a. Оператор
                                                          b. Настройщик системы (без настройки отчетов)
                                                          c. Администратор системы + Администратор безопасности
                                                          f. Другие варианты (перечислить)
                                                          .. редактор справочников
                                                          .. Настройщик отчетов
                                                          .. Ну и пара узкоспециальных ролей.

                                                          5. Администратор системы имеет доступ к БД
                                                          Login в БД имеют все пользователи, но набор доступных объектов зависит от роли.
                                                          Администратор не имеет доступа к функциональным данным.

                                                          6. Права доступа зависят от филиала кредитной организации
                                                          d. Другие возможности
                                                          В зависимости от настроек. Объекты одного филиала могут быть как доступны так и недоступны другим.
                                                          Администрирование - единое.

                                                          7. Данные в БД хранятся a. В открытом виде b. В зашифрованном виде
                                                          Опционально

                                                          8. Система поддерживает создание ролей
                                                          b. Для рабочих мест

                                                          9. Права доступа можно задать
                                                          b. на отчеты
                                                          i. другое – перечислить
                                                          Вообще говоря права даются рабочим местам на выполнение операций. При этом права могут быть "условными", то есть зависящими от атрибутов объекта с которым выполняется операция. Операцией является любое воздействие пользователя на систему.
                                                          Кроме того даются права пользователям на рабочие места.

                                                          10. В системе ведется аудит действий пользователей
                                                          a. Логи хранятся в БД

                                                          11. Аудит может вестись
                                                          a. По всем действиям пользователей (на уровне выполнения операций)
                                                          c. По всем действиям администратора
                                                          d. По действиям пользователей, связанным с входом в систему (набран неверный логин и пароль, частота входа в систему, время работы в системе)
                                                          e. По действиям администратора, связанным с заведением/удалением новых пользователей и РМ и раздачей им прав
                                                          f. По действиям настройщиков системы
                                                          g. другое - например, получение отчетов

                                                          12. События, подвергающиеся аудиту настраиваются
                                                          a. Администратором системы
                                                          e. Настройщиком системы

                                                          13. Обеспечение безопасности информации основано на математической модели
                                                          d. не основано на математической модели
                                                          Хотя кто-то его знает - спросить бы у автора.

                                                          14. Разграничение прав доступа поддерживается
                                                          a. Силами БД

                                                          15. Могу где-то наврать (все ж не официальный пресс-релиз)

                                                          Комментарий


                                                          • #30
                                                            Кажется, что девушка luyboznztelny уже здесь не появляется... увы... а то ей здесь столько подарков наготовили...
                                                            Кто следующий?
                                                            Да пребудет с Тобою Великая Сила! ©

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X