Безопасность приложений

Существует несколько методов обеспечения безопасности доступных через Web приложений. Требуемый подход может зависеть от множества факторов, и задействовать один или несколько методов организации безопасности.



Метод 1: защита паролем


Среда обеспечивает возможность создания Групп пользователей и отдельных Пользователей, принадлежащих к группе. Каждая группа (операторы, диспетчеры, служба тех. обслуживания) обладает различными уровнями доступа и функциональными возможностями. Для каждого пользователя можно определить индивидуальный пароль.



Как дополнение, Группы обладают дополнительными настройками, такими как минимально допустимая длина пароля, срок жизни пароля, электронная подпись для объектов с динамическими свойствами, авто блокировка аккаунтов (блокировка после нескольких неудачных попыток входа в систему), и блокировка пользовательского аккаунта (временная блокировка, например на время отпуска служащего).



Если приложение обладает своей системой безопасности, то принцип защиты паролем будет действовать и на станции тонкого клиента. Когда пользователь со станции тонкого клиента попытается подключиться к веб серверу, он будет вынужден ввести имя пользователя и пароль для входа в систему. Если введённые параметры окажутся недействительными, то вход в систему будет заблокирован.



Внутри самого приложения различные динамические свойства объектов, экраны могут иметь разный уровень доступа к ним. Текущий зарегистрированный в системе пользователь должен обладать необходимыми привилегиями, чтобы получить доступ к желаемым объектам или экранам. Ниже приведена иллюстрация, которая может служить шаблоном определения уровней доступа по группам пользователей.



Для более подробной информации см. Система Безопасности.



Метод 2: блокирование команд тонких клиентов


Среда IWS предполагает обмен данными между тонким клиентом и сервером данных в обоих направлениях. Однако иногда, в целях повышения безопасности, становится разумным разрешить тонкому клиенту только просматривать находящиеся на сервере данные и заблокировать все возможности обратного ответа (от клиента).


В диалоге настроек проекта (Проект > Настройки Проекта > Закладка Web, Project > Settings Web tab) находится опция «Запретить команды удалённого клиента» (Disable Remote Client Commands). Активация этой опции приведёт к блокировке всех команд посылаемых тонким клиентом серверу. Связь происходит в одностороннем режиме (от сервера к тонкому клиенту):



Метод 3: Встроенный брандмауэр

Этот метод основывается на фильтрации пытающихся получить доступ пользователей по IP адресам их станций. Когда тонкий клиент предпринимает попытку подключиться к станции сервера, сервер проверяет его IP адрес и сверяет его со списком авторизированных на доступ к приложению пользователей. Интервал авторизированных IP адресов можно задать, нажав кнопку «IP безопасность» (IP Security) закладки Web диалога настроек проекта.




Метод 4: Защищённые соединения


При использовании тоннельного шлюза становится возможной передача зашифрованных данных между сервером данных, веб сервером и тонким клиентом по высоконадёжному 128-битному стандарту шифрования RC6. Для активации SSL нужно:


  1. В среде разработки IWS зайти на закладку Web диалога настроек приложения (Проект > Настройки Проекта > Закладка Web). Нажать кнопку «Дополнительно» (Advanced). В открывшемся диалоге разрешить использование тоннельного шлюза (Web Tunneling Gateway). Использовать опцию SSL и ввести в расположенное рядом поле порт 442. Нажать ОК.



  1. На станции веб сервера активировать возможности SSL и проверить действительность сертификата авторизации.


  1. Убедиться в активации SSL на станции тонкого клиента.


  1. Провести все настройки по использованию WTG.



Метод 5: VPN


VPN (Virtual Private Network) виртуальная частная сеть. Сеть называется виртуальной, поскольку на самом деле для передачи данных от одной станции к другой используется Интернет. Но поскольку сеть использует методы шифрования данных и прочие механизмы защиты, её по праву можно назвать частной сетью. Безопасность в таких сетях заложена в основу из работы, однако при этом и стоимость использования этих сетей значительно больше, по сравнению с использованием обычной Интернет сети.


Created with the Freeware Edition of HelpNDoc: Free CHM Help documentation generator