Bảo mật của hệ thống

I/ Phân quyền trong quản trị hệ thống : 1) Quản trị viên : Ngồi vai trò người quản trị mạng (supervisor) của mang nội bộ LAN, cần có một người giữ vai trò quản trị viên. Quản trị viên có nhiệm vụ theo dõi vận hành của chương trình ở mức vĩ mô và làm đầu mối để quan hệ với nhóm lập trình trong việc phát triển hệ thống. Các công việc của quản trị viên bao gồm : • Phân công, phân quyền hệ thống. • Chỉnh định các thông số chung của hê thống. • Bảo...
Nội dung trích xuất từ tài liệu:
Bảo mật của hệ thống BẢO MẬT CỦA HỆ THỐNGI/ Phân quyền trong quản trị hệ thống : 1) Quản trị viên : Ngồi vai trò người quản trị mạng (supervisor) của mang nội bộ LAN, cần có mộtngười giữ vai trò quản trị viên. Quản trị viên có nhiệm vụ theo dõi vận hành của chươngtrình ở mức vĩ mô và làm đầu mối để quan hệ với nhóm lập trình trong việc phát triển hệthống. Các công việc của quản trị viên bao gồm : • Phân công, phân quyền hệ thống. • Chỉnh định các thông số chung của hê thống. • Bảo trì và kiểm sốt tồn bộ hoạt động. • Đề ra các phương hướng cải tiến, phát triển hệ thống. Trong một cơ quan có qui mô nhỏ: Quản trị mạng và quản trị viên có thể là 1 người. Quản trị viên có tồn quyền trên tất cả các phân hệ. 2) Các quản trị viên phân hệ : Ngồi vai trò quản trị viên (chung), cần có các nhân viên giữ vai trò quản trị viênphân hệ. Quản trị viên phân hệ có nhiệm vụ : • Quản lý các tự điển (danh mục) do phân hệ quản lý. • Chỉnh định các thông số chung của hê thống. • Bảo trì và kiểm sốt tồn bộ hoạt động. • Đề ra các phương hướng cải tiến, phát triển phân hệ. Ngồi ra còn có nhiệm vụ phân công, phân quyền một vài loại hình công việc trongphân hệ (nếu có). Ví dụ: Có hay không cho phép một nhập liệu viên quyền đăng ký môn học quá sĩ sốcho phép v.v... Một phân hệ có thể cử 1 hoặc nhiều quản trị viên tùy theo qui mô dữ liệu. Một user cũng có thể được phân công quản lý nhiều phân hệ khác nhau. Phân hệ Thông Tin Phục Vụ Lãnh Đạo không cần quản trị viên phân hệ. Quản trị viên phân hệ có tồn quyền trên phân hệ do mình phụ trách và có quyền ghitrên thư mục DBFFMEM 3) Các user sử dụng các phân hệ : Các user trên một phân hệ có thể chia làm 3 mức : • Mức không có quyền khai thác. • Mức có quyền khai thác ở chế độ Chỉ Đọc (Read Only). • Mức có quyền khai thác ở chế độ Đọc/Ghi (Read/Write). 4) Phân quyền mức mạng : Việc phân quyền trên các thư mục và các file của hệ thống là rất cần thiết, nó bảođảm cho việc bảo mật và an tồn dữ liệu của hệ thống. Mỗi một người sử dụng hệ thống được cấp 1 username duy nhất (thường là tênthường gọi của người đó: DUNG, NGA, ...). Quản trị viên có tên mặc định là HTQL. Không thể thay đổi. Quản trị viên muốn vận hành chương trình bình thường như các người sử dụng khácthì cần có thêm một username khác. Quản trị viên có đầy đủ các quyền hạn trên thư mục của hệ thống và có quyền cấpquyền (mức mạng) cho các thành viên trong nhóm. Người quản trị mạng (supervisor) tạo một nhóm (group) mà thành viên là các ngườisử dụng hệ thống. Người quản trị mạng (supervisor) tạo thêm nhiều nhóm nhỏ theo các phân hệ (12phân hệ), đặt tên nhóm này trùng tên với các phân hệ cho dễ nhớ (QLSV, DIEM ...). Thêmthành viên của nhóm là tất cả các cá nhân có quyền nhập liệu trên phân hệ tương ứng.Lưu ý: Một cá nhân có thể là thành viên của nhiều nhóm. Người quản trị mạng (supervisor) phân quyền dữ liệu trên máy chủ như sau : • Thư mục VFW chỉ được cấp quyền chỉ đọc (Read Only) cho tất cả các người sử dụng hệ thống. • Thư mục ...DBF chỉ được cấp quyền ghi/đọc (Read & Write) cho các thành viên của nhóm thuộc phân hệ tương ứng. Các users/groups thuộc nhóm khác chỉ được cấp quyền chỉ đọc (Read Only) hoặc thậm chí có thể không có quyền đọc. • Thư mục ...DBFFMEM phân quyền ghi/đọc (Read & Write) cho tất cả các quản trị viên. 17 • Thư mục ...DBFUSER phân quyền ghi/đọc (Read & Write) cho tất cả các người sử dụng hệ thống. Mạng ngang hàng có chế độ phân quyền rất đơn giản, vì vậy sẽ không bảo đảm độtin cậy cần thiết. Nên dùng mạng Windows 2000, Windows NT . 5) Các ngoại lệ khi phân quyền mức mạng : 5.1. Ngoại lệ 1 : Khi phân quyền đăng ký môn học cho nhóm Đăng ký môn học, ngồi thư mụcDBFDKMH, phải phân quyền ghi trên thư mục gốc và thư mục tương ứng của học kỳđăng ký của phân hệ DIEM (DBFDIEM và DBFDIEM). Sau khi đã hồn thànhviệc đăng ký (trước khi nhập điểm chính thức), phải thu hồi quyền ghi trên phân hệ điểm. 5.2. Ngoại lệ 2 : Nếu sử dụng việc nhập điểm qua file trung gian, người nhập điểm được phân quyềnghi trên tất cả các file của phân hệ DBFDIEM, ngoại trừ fileDBFDIEM\DIEM.DBF 5.3. Ngoại lệ 3 : Cần cấp quyền ghi/đọc (Read & Write) cho các nhập liệu viên phân hệ Học phí TàiVụ (QLTV) trên file MHOADON.DBF (có ở tất cả các học kỳ, thuộc phân hệ Đăng kýMôn Học (DKMH)).Lưu ý quan trọng : Mặc dù về nguyên tắc, user nhập liệu được phân quyền ghi trên tồn bộphân hệ, tuy nhiên do có chức năng khóa sự thay đổi số liệu trên học kỳ, vì vậy đối với cáchọc kỳ được khóa, n ...