Warszawa dn. 03.12.2009

WOJSKOWA AKADEMIA TECHNICZNA

Dokumentacja projektowa z

przedmiotu: Ochrona i Bezpieczeństwo

Danych

Wykonujący :

Michał Werner

Bartosz Wiśniewski

Kamil Kurek

Tomasz Talewicz

gr. I6B3S1

1.

Treść zadania

Dla wybranej przez siebie dowolnej organizacji opracować system

dostępu do bazy danych o party na macierzowym modelu dostępu do

danych z uwzględnieniem uwierzytelniania użytkownika na podstawie

hasła i jednej z następujących (do wyboru) metod kontroli dostępu do

danych: uznaniowej (DAC), obowiązkowej (MAC) lub opartej na rolach

(RBAC). W ramach rozwiązania zadania należy:

•

opracować koncepcję systemu,

•

wykonać projekt systemu,

•

zaimplementować w dowolnym języku oraz przetestować utworzony

system dostępu do bazy danych.

1.

Opis organizacji

W ramach realizacji projektu będziemy zajmować się tworzeniem

Akademickiego Systemu Obsługi Studentów (ASOS). System ma za

zadanie ułatwić użytkownikowi realizację jego najczęstszych zadań –

zarówno jeżeli chodzi o studenta, pracownika dydaktycznego czy też

pracownika dziekanatu. Może to być np. planowanie planu zajęć przez

studenta, zamieszczanie prezentacji z wykładów przez wykładowcę czy

też sprawdzanie stanu zaległych opłat przez pracownika księgowości.

Wszystko to ma się naturalnie odbywać zgodnie z określonymi zasadami

bezpieczeństwa dostępu do danych.

W ramach organizacji jaką jest uczelnia wyższa, wyróżniamy

następujące stanowiska, które będą miały istotne znaczenie z punktu

widzenia tworzonego systemu bezpieczeństwa danych:

lp.

Stanowisko

1

Kandydat

2

Student

3

Pracownik naukowo-dydaktyczny

4

Pracownik inżynieryjno-techniczny

5

Pracownik dziekanatu

6

Dziekan

7

Pracownik działu finansowego

8

Pracownik biura przepustek

9

Portier

ASOS będzie wykorzystywał metodę kontroli dostępu do danych opartą

na rolach (RBAC). Wszystkie zdefiniowane role jakie mogą zostać

przypisane użytkownikom systemu zostaną przedstawione w punkcie 4.

2.

Projekt bazy danych

Projekt bazy danych został wykonany przy użyciu darmowego narzędzia

jakim jest MySQL Workbench 5.1.

Rys. 1. Projekt bazy danych dla systemu ASOS

Również za pomocą MySQL Workbench 5.1 wygenerowany został

skrypt tworzący wszystkie tabele, wraz z przykładowymi danymi. W

związku z tym, iż objętość skryptu jest stosunkowo duża, jego treść nie

została zamieszczona w dokumentacji. Ponadto aplikacja ASOS jest w

budowie, przez co dane w bazie danych są na chwilę obecną niepełne.

Obsługa bazy danych odbywa się poprzez wykorzystanie innego, także

darmowego narzędzia – SQL Developer.

Rys. 2. Zrzut ekranu z programu SQL Developer. Po prawej stronie widoczne jest

połączenie z bazą danych MySQL wraz z listą utworzonych tabel przy pomocy

wygenerowanego wcześniej skryptu.

W prezentowanym rozwiązaniu przyjęliśmy, że wszystkie dane

występujące w systemie ASOS, które mają podlegać prawom dostępu,

będą reprezentowane przez usługi funkcjonalne jakie użytkownik, o

określonej roli, może wykonać bądź też nie.

Prawa dostępu do wykonania usług są definiowane w tabeli Access.

Dostęp do określonych zasobów jest uzależniony od tego czy dana rola

ma prawo do wykonania danej usługi systemowej - tabela Services.

3.

Charakterystyka informacyjna stanowisk

Poniżej zaprezentowano tabelę z wykazem stanowisk oraz ról jakie

mogą

zostać

przypisane

użytkownikom

pełniącym

określone

stanowiska:

Stanowisko

Role

Kandydat

Kandydat

Student

Student

Pracownik naukowo-dydaktyczny

Wykładowca

Asystent

Pracownik inżynieryjno techniczny

Administrator systemu

Konserwator systemu

Programista

Pracownik dziekanatu

Kierownik dziekanatu

Referent

Planista

Referent ds. studenckich

Dziekan

Dziekan wydziału

Prodziekan ds. studenckich

Pracownik działu finansowego

Kierownik działu finansowego

Referent księgowy

Pracownik biura przepustek

Pracownik biura przepustek

Portier

Portier

Dane jakie są niezbędne do wykonywania określonych zadań przez

użytkowników przedstawia kolejna tabela, zawierająca już nie wykaz

stanowisk lecz wykaz ról jakie mogą zostać przypisane użytkownikom

systemu pełniącym różne stanowiska.

Przyjmujemy następujące oznaczenia:

•

- gdy użytkownik nie ma jakichkolwiek praw dostępu do określonych

danych

•

0 gdy użytkownik ma prawa odczytu danych

•

1 gdy użytkownik ma prawa odczytu z zapisem danych

Materiały

do

wykładów

Wiadomości

Oceny z

zaliczeń

Oceny ze

sprawozdań

Plan

zajęć

Zaliczenia Opłaty

Materiały

z zajęć

Aktualności

Pisma do

dziekanatu

Przypomnienia

Dane

osobiste

Ogłoszenia

Kandydat

-

-

-

-

0

-

0

-

0

0

1

1

-

Student

0

1

0

0

1

0

0

0

0

0

1

1

1

Pracownik

naukowo-

dydaktyczny

Wykładowca

1

1

1

-

0

1

-

-

0

0

1

1

-

Asystent

-

1

-

1

0

-

-

1

0

0

1

1

-

Pracownik

inżynieryjno-

techniczny

Adm.

Systemu

1

1

1

1

1

1

1

1

1

1

1

1

1

Kons.

Systemu

1

1

-

-

1

-

-

1

1

-

1

1

1

Programista

0

1

0

0

1

0

0

0

1

0

1

1

0

Pracownik

dziekanatu

Kierownik

dziekanatu

-

1

1

-

0

0

0

-

0

0

1

1

0

Referent

-

1

-

-

0

-

-

-

1

1

1

1

-

Planista

-

1

-

-

1

-

-

-

0

-

1

1

-

Referent ds.
studenckich

-

1

0

-

0

-

-

-

1

1

1

1

-

Pracownik

działu

finansowego

Kierownik

działu

finansowego

-

1

-

-

0

-

0

-

0

0

1

1

-

Referent

księgowy

-

1

-

-

0

-

1

-

1

1

1

1

-

Pracownik biura

przepustek

-

1

-

-

0

-

-

-

1

-

1

1

-

Portier

-

-

-

-

0

-

-

-

0

-

1

1

-

Dodatkowe założenia dotyczące np. czasu w jakim użytkownik o danej roli może

wykonać wybraną usługę, są definiowane przez dodatkową kolumnę w tabeli

Access

o nazwie assertion. W kolumnie assertion będą umieszczane wywołania

dodatkowych procedur np. takiej, która sprawdzi czas odwołania się do danej

usługi. Na podstawie tego prawo dostępu danej roli zostanie przyznane bądź też

nie.