Weight Loss Program

Комплексне рішення для автоматизації підприємства

Управління фінансовими ресурсами, грошовими потоками, завдання логістики (управління закупівлями, запасами, продажами).

Организация безопасности системы ИС-ПРО



Система ИС-ПРО соответствует архитектуре «Клиент - Сервер» и использует единую систему управления базами данных (СУБД) Microsoft SQL Server или Oracle.
В системе ИС-ПРО используется одна «системная» база данных для хранения системных данных и одна или несколько баз данных «предприятий» для хранения данных предприятий (для каждого предприятия отдельная база данных).


Доступ к базам данных
Доступ пользователей к базам данных ИС-ПРО осуществляется только через дополнительное программное обеспечение - Сервер приложений ИС-ПРО.
Сервер приложений ИС-ПРО предназначен для доступа к СУБД и защиты системы ИС‑ПРО от нелицензионного использования, а также синхронизации работы станций, управления сессиями пользователей и блокирования ресурсов.
Сервер приложений ИС-ПРО представлен в виде службы и работает от имени пользователя с правами администратора компьютера или домена.
Доступ к базам данных ИС-ПРО осуществляется от имени пользователя СУБД с соответствующими правами.

MS SQL Server. У данной учетной записи должны быть права "public" и "db_owner" на базы данных ИС-ПРО. Кроме того, если предполагается создавать базы данных используя интерфейс ИС-про, учетная запись должна обладать серверной ролью "dbcreator".
Oracle. У данной учетной записи должны быть следующие привилегии:

GRANT DROP ANY PROCEDURE TO ;
GRANT ALTER ANY INDEX TO ;
GRANT ALTER ANY PROCEDURE TO ;
GRANT ALTER ANY SEQUENCE TO ;
GRANT ALTER ANY TABLE TO ;
GRANT ALTER ANY TRIGGER TO ;
GRANT ALTER SESSION TO ;
GRANT ALTER USER TO ;
GRANT ANALYZE ANY TO ;
GRANT COMMENT ANY TABLE TO ;
GRANT CREATE ANY INDEX TO ;
GRANT CREATE ANY INDEXTYPE TO ;
GRANT CREATE ANY PROCEDURE TO ;
GRANT CREATE ANY SEQUENCE TO ;
GRANT CREATE ANY TABLE TO ;
GRANT CREATE ANY TRIGGER TO ;
GRANT CREATE ANY TYPE TO ;
GRANT CREATE ANY VIEW TO ;
GRANT CREATE INDEXTYPE TO ;
GRANT CREATE MATERIALIZED VIEW TO ;
GRANT CREATE SEQUENCE TO ;
GRANT CREATE SESSION TO ;
GRANT CREATE TABLE TO ;
GRANT CREATE VIEW TO ;
GRANT DELETE ANY TABLE TO ;
GRANT DROP ANY INDEX TO ;
GRANT DROP ANY INDEXTYPE TO ;
GRANT DROP ANY SEQUENCE TO ;
GRANT DROP ANY TABLE TO ;
GRANT DROP ANY TRIGGER TO ;
GRANT DROP ANY TYPE TO ;
GRANT DROP ANY VIEW TO ;
GRANT EXECUTE ANY INDEXTYPE TO ;
GRANT EXECUTE ANY PROCEDURE TO ;
GRANT EXECUTE ANY TYPE TO ;
GRANT GLOBAL QUERY REWRITE TO ;
GRANT INSERT ANY TABLE TO ;
GRANT LOCK ANY TABLE TO ;
GRANT QUERY REWRITE TO ;
GRANT SELECT ANY SEQUENCE TO ;
GRANT SELECT ANY TABLE TO ;
GRANT UPDATE ANY TABLE TO ;

Если пользователь СУБД, от имени которого выполняется соединение Сервера приложений ИС-ПРО с СУБД, был создан в процессе установки серверной части ИС-ПРО - то ему автоматически были назначены все необходимые права.
Пароль пользователя СУБД хранится в зашифрованном виде в *.ini файле каталога Сервера приложений ИС-ПРО. Информация о данных учетной записи пользователя СУБД не доступна для пользователей ИС-ПРО и не может быть использована со злым умыслом.


Доступ на каталоги серверной части ИС-ПРО
Для работы в системе ИС-ПРО должны быть установлены права доступа на чтение и модификацию на следующие каталоги серверной части ИС-ПРО: Dat, Dos, Ext, Rep, Tmp, XML.
На каталоги (включая подкаталоги): AppServer, Cfg, Dfm, Dll, Doc, Hlp, Htm, Pic, Remote, SQL, Station, Station_t, Tools, Win, Wstay достаточно установить права доступа только на чтение для всех пользователей.
Примечание. На каталог Dos может быть предоставлен доступ только на чтение, но на файл msgprot.txt должны быть установлены права на чтение и модификацию. Пользователю, от имени которого производится установка и работа службы сервера приложений ИС-ПРО, должны быть предоставлены права доступа на чтение и модификацию на каталог Dos. Пользователю, от имени которого производится восстановление резервных копий, а также создание и удаление пустых/рабочих предприятий, должны быть предоставлены права доступа на чтение и модификацию на каталог Dos.
На каталог Rep может быть предоставлен доступ только на чтение, но пользователю, от имени которого производится создание и разработка пользовательских отчетов должны быть предоставлены права доступа на чтение и модификацию.


Доступ к данным в системе ИС-ПРО
Доступ к данным настраивается каждому пользователю индивидуально согласно требований и прав доступа на уровне всех модулей системы ИС-ПРО.


Авторизация
пользователей в системе ИС-ПРО
Авторизация пользователей в системе ИС-ПРО осуществляется одним из перечисленных способов:
  • с помощью логина и пароля учетной записи пользователя ИС-ПРО.
  • с помощью электронного сертификата. Предварительно в «параметрах системы» администратором ИС-ПРО должен быть выбран тип электронного сертификата. Файлы сертификатов сопоставляется индивидуально каждому пользователю ИС‑ПРО, которые будут использовать «авторизацию по сертификату». При авторизации пользователь указывает файл ключа и пароль к своему сертификату. При соответствии ключа и пароля сертификату пользователь успешно авторизируется в системе ИС-ПРО.
  • с использованием авторизации Windows. Предварительно в «параметрах системы» администратором ИС-ПРО должен быть включен параметр «Использование авторизации Windows». Если логин текущего пользователя Windows соответствует пользователю ИС-ПРО - то при запуске рабочей станции вход в систему будет выполнен без запроса авторизации ИС-ПРО.


Настройка Firewall
Для работы с ИС-ПРО необходимо настроить или отключить встроенный в Windows Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall) или любой другой Firewall на клиентском ПК (рабочая станция ИС-ПРО), а также и на сервере (серверная часть ИС-ПРО, служба сервера приложений ИС-ПРО, СУБД).
В зависимости от используемой СУБД должны быть открыты следующие порты: TCP1433, UDP1434 (SQL) или TCP1521 (Oracle). В зависимости от версии ИС-ПРО, а также от количества обрабатываемых серверных частей ИС-ПРО службой сервера приложений ИС-ПРО должны быть открыты следующие порты: 17784, 17785, 17786 (ИС-ПРО 7.07) /  18784, 18785, 18786 (ИС-ПРО 7.08) / 19784, 19785, 19786 (ИС-ПРО 7.09) / 10000, 10001, ... (ИС-ПРО 7.10) / 11000, 11001, ... (ИС-ПРО 7.11). Каждый процесс серверной части ИС-ПРО работает на отдельном порту. Порты устанавливаются в процессе установки Сервера приложений ИС-ПРО и могут отличаться от приведенных портов по умолчанию.


Права доступа для обновления системы ИС-ПРО
Обновление системы ИС-ПРО необходимо устанавливать от имени учетной записи с правами администратора компьютера или домена. Для данной учетной записи должны быть предоставлены полные права доступа на весь каталог серверной части ИС-ПРО. В процессе установки обновления необходимо указать логин и пароль учетной записи пользователя СУБД с правами записи в базы данных ИС-ПРО.


Права для восстановления резервной копии
Восстановление резервной копии доступно только пользователю ИС-ПРО принадлежащему роли Администратор. В процессе восстановления резервной копии для создания новой базы данных, в которую будет производиться восстановление данных, необходимо указать учетную запись и пароль администратора СУБД.
Google+