Workbench: Realizacja polityki bezpieczeństwa oparta na rolach

Bartłomiej Pień How to

GENESIS64 zawiera zintegrowane narzędzie do zarządzania bezpieczeństwem aplikacji oraz przyznawania kompetencji zależnie od stanowiska.

Jeżeli chcesz zapewnić użytkownikom w Twojej firmie spójną i jednolitą wizualizację, a jednocześnie mieć pewność że każdy użytkownik ma dostęp do funkcji, których wymaga jego stanowisko to GENESIS64 jest idealnym narzędziem dla Ciebie. GENESIS64 wykorzystuje model bezpieczeństwa, który zapewnia jasno zdefiniowane grupy użytkowników, jak i spersonalizowane ustawienia dla każdego konta. Możesz ustawić indywidualne uprawnienia i dostępu w oparciu o użytkowników i grupy, tworzyć własne ustawienia polityki, które mogą być stosowane wobec użytkowników i grup oraz kontrolować dostęp do poszczególnych aplikacji, funkcji, systemów i innych funkcji w oparciu o harmonogram. Security Server jest usługą, która zapewnia użytkownikom i grupie bezpieczeństwo oparte na zasadach bezpieczeństwa różnych aplikacji i funkcji GENESIS64, oferując skuteczne narzędzia konfigurowania dostępu do aplikacji. Model bezpieczeństwa ocenia prawa użytkowników i grup, w pierwszej kolejności sprawdza uprawnienia użytkownika pomijając uprawnienia grupy. Jeśli jednak dostęp użytkownika nie jest określony, wówczas członkostwo w grupie określa politykę dostępu.  Ustawienia zabezpieczeń są konfigurowane na serwerze bezpieczeństwa przy użyciu Classic Workbench, Workbench lub Workbench-SL. Ustawienia bezpieczeństwa są stosowane w odniesieniu do następujących elementów systemu GENESIS64:

  • działania podejmowane w aplikacjach pakietu GENESIS64,
  • zmiana stanu wyjść procesowych,
  • dostęp do alarmów i plików,
  • polecenia niestandardowe,
  • dostęp do stacji roboczych.

 

Global Settings

Ustawienia globalne służą do konfigurowania polityk, które określaj sposób, w jaki serwer bezpieczeństwa GENESIS64 zarządza kontami w swojej bazie danych. Można również zdefiniować punkty krytyczne i alarmy których nie można edytować bez określonych uprawnień użytkownika. Zakładka General Settings (Ustawienia ogólne) umożliwia dostęp do zasad, które kontrolują sposób, w jaki serwer bezpieczeństwa GENESIS64 zarządza kontami w swojej bazie danych. Możesz wybrać, aby serwer Security Server współpracował z usługami domeny Windows i zapewnił poprawne połączenie z odpowiednią domeną, w jaki sposób nazwa użytkownika konta w bazie danych zabezpieczeń ICONICS jest mapowana na konto w domenie Windows, oraz zapewnić niezbędne dane uwierzytelniające domeny, tak aby GENESIS64 mógł akceptować autoryzację z domeny Windows.Można ustawić politykę, która będzie akceptować aktualne dane uwierzytelniające konta użytkownika systemu Windows, wypełniać okno dialogowe logowania z użytkownikami domen oraz zmieniać tryb zabezpieczeń. Ustawienia przechowywane w bazie danych Security Server są automatycznie synchronizowane z usługą domeny.

 

Policies

Zasady dotyczące konta to zbiór zasad bezpieczeństwa, które można stosować wobec użytkownika lub grupy użytkowników. Możesz tworzyć wiele polityk, ale tylko jedna polityka może być przypisana do jednego użytkownika lub grupy w danym momencie.Korzystając z formularza Polityki konta, użytkownik określa, w jaki sposób należy używać haseł i czy użytkownicy są automatycznie blokowani po serii nieprawidłowych prób logowania. Możesz użyć tych ustawień, aby zwiększyły odporność haseł na złamanie, ustawić politykę automatycznego wylogowania i określić, jak radzić sobie z nieudanymi próbami logowania. Zakładka Time Sheet pozwala na ograniczenie korzystania z aplikacji w zależności od pory dnia, z dokładnością do godziny. Dostęp jest dozwolony w zaznaczonych godzinach, a zablokowany w godzinach nie są zaznaczonych. Poniższy rysunek przedstawia konfigurację, która umożliwia dostęp do danych w godzinach od 8:00 do 17:00 w ciągu pięciodniowego tygodnia pracy.

 

Groups

Grupa pozwala przypisać jednakowe uprawnienia dla użytkowników, którzy mają jednakowe uprawnienia. Użytkownicy mogą należeć jednocześnie do wielu grup, ale grupy nie mogą przypisane do innych grup. Można jednak powielić grupę i wprowadzić w niej odpowiednie zmiany. Grupy muszą mieć niepowtarzalną nazwę. W czasie pracy, jeśli użytkownik należy do wielu grup, stosuje się najmniej restrykcyjne uprawnienia. Z tego powodu przywileje i ograniczenia ustanowione w domyślnej grupie muszą posiadać najmniejsze uprawnienia. Indywidualne konta użytkowników mogą być mniej restrykcyjną politykę bezpieczeństwa niż domyślnie, ale nigdy bardziej restrykcyjną niż domyślna.

 

Users

Użytkownik jest kontem kojarzonym z nazwą, hasłem i pewnymi uprawnieniami, które są albo dozwolone, albo mu odebrane. Wiele z  zakładek uprawnień podzielonych jest na dwie sekcje: sekcja dodawania uprawnień i sekcja odmowy dostępu. W czasie działania, gdy klient GENESIS64 wysyła łańcuch punktów OPC, alarm, plik lub inny obiekt do serwera bezpieczeństwa w celu przetestowania dostępu (przyznany lub odrzucony), listy dodawania i wykluczania są porównywane w sposób opisany poniżej dla każdego aktywnego użytkownika i grupy aż do uzyskania dostępu. W tym przykładzie użyto łańcuchów punktów OPC, ale ta sama logika odnosi się do wszystkich obiektów, które wymagają dostępu.

 

Elmark Automatyka udostępnia wersję demo oprogramowania GENESIS64 w celu osobistego przetestowania funkcjonalności pakietu. Skontaktuj się z nami na ICONICS@elmark.com.pl w celu otrzymania dema lub oferty handlowej.