Сети компьютеров в вашем офисе

       

Ограничение доступа к ресурсам сети


Теперь вы знаете, что локальная сеть предоставляет в коллективное пользование различные ресурсы, такие как сетевые принтеры, дисковую память, подключенную к файл-серверам, почтовые серверы и так далее.

Когда в сети всего несколько пользователей, часто все они имеют равные возможности для работы с сетевыми ресурсами. Например, любой пользователь может выполнять печать на сетевом принтере, отправлять факс или записывать данные на диски файл-сервера.

Однако в крупных фирмах в сети могут работать несколько групп пользователей, имеющих различный "круг интересов". В этом случае администрация может захотеть ограничить доступ тех или иных пользователей (или групп пользователей) к некоторым ресурсам. Более того, на дисках файл-сервера или сервера СУБД может находиться конфиденциальная информация, которая должна быть доступна далеко не для всех.

Сетевые операционные системы имеют собственные средства разграничения доступа, более или менее мощные.

Одноранговые операционные системы, типа Microsoft Windows for Workgroups, содержат только простейшие средства. Пользователь может разрешить или запретить обращение других пользователей к своему локальному диску или принтеру, предоставлять доступ на чтение и на запись по предъявлению пароля (для разрешения доступа на чтение и запись можно использовать разные пароли).

В большинстве случаев при небольшом количестве пользователей такие простейшие средства разграничения доступа достаточны. Если же к защите данных предъявляются повышенные требования, для файл-сервера следует использовать более сложную сетевую операционную систему, такую как Novell NetWare версии 3.12.

В последнем случае администратор сети может организовать разграничение доступа к дискам файл-сервера на уровне каталогов и файлов. Расскажем об этом подробнее.

Все пользователи объединяются администратором в группы, причем любой пользователь может входить в несколько групп (а может не входить ни в одну из них).

Для каждой группы администратор сети устанавливает права доступа к каталогам и файлам.
Группе можно присвоить отдельно права на чтение, на просмотр содержимого каталогов, на запись, на удаление, права на изменение прав для других групп и пользователей.

Если группа пользователей имеет какие-либо права на доступ к файлам и каталогам, все пользователи, входящие в эту группу, также имеют эти права. Однако администратор сети может назначить некоторым пользователям индивидуальные права, большие или меньшие по сравнению с правами группы, в которую этот пользователь входит.

Примечательно, что если пользователь Novell NetWare не имеет прав на просмотр содержимого каталога, то он ни при каких условиях не увидит, какие каталоги и файлы находятся в "запретных" для него каталогах. Здесь выполняется принцип: то что ты не знаешь, тебе не помешает. Поэтому если пользователь не имеет никаких прав в каталоге, он просто не будет знать, что такой каталог существует на дисках файл-сервера (удобный способ прятать каталог GAMES от руководства, не правда ли?).

Аналогично можно организовать доступ к сетевому принтеру.

Что же касается разграничения доступа к информации, хранящейся в СУБД, то здесь лучше всего использовать специально предназначенные для этого средства, входящие в состав СУБД.

Заметим, что обычно пользователи "не видят" диски сервера СУБД так, как они видят диски файл-сервера. И, следовательно, они не могут скопировать файлы данных на свои локальные диски с тайной мыслью прочитать запретную для них информацию. Доступ к данным выполняется при помощи специальных запросов к серверу СУБД, а уж сервер СУБД сам решает, какие данные можно посылать конкретному пользователю, а какие - нет.

В этом кратком обзоре средств защиты мы только коснулись основных моментов, более подробное знакомство еще впереди.


Содержание раздела