Ролевое разграничение доступа
Информация в базе данных системы IT-Enterprise представляет наибольшую ценность для компаний, эксплуатирующих систему. Поэтому вопросы безопасного обращения с информацией – одно из самых важных мест в системе IT-Enterprise.
IT-Enterprise интегрировано с системой безопасности Windows. Пользователю достаточно один раз ввести свой логин и пароль в домене. Права работы в IT-Enterprise он получит на основании своей учетной записи Windows.
В системе IT-Enterprise поддерживается двухфакторная аутентификация. Двухфакторная аутентификация — это дополнительный уровень безопасности, который гарантирует, что доступ к учетной записи пользователя сможет получить только ее владелец, даже если его пароль стал известен кому-то еще.
В качестве второго фактора аутентификации может использоваться один из следующих вариантов:
- Подтверждение номера мобильного телефона
- Подтверждение адреса электронной почты
- Подтверждение секретного ключа Google Authenticator
Когда пользователь входит в систему, то помимо аутентификации по логину и паролю, система попросит его ввести код (однократный пароль), который будет доставлен ему по SMS, E-mail либо из Google Authenticator.
В системе ведется множество журналов. Следующие журналы обеспечивают фиксацию всех действий пользователей с системой IT-Enterprise:
- Журнал работы пользователей. Фиксируется, кто, когда зарегистрировался в системе, какую функцию и когда запустил, сколько проработал и т. п.;
- Журнал корректировок справочников. Фиксируются каскадные удаления и замены в таблицах по изменению глобальных справочников;
- Журнал аудита изменений таблиц базы данных;
- Журнал событий системы. При наступлении заданных событий выполняется запись в журнале. Наполнение журнала зависит от типа события. Есть возможность при наступлении определенных событий рассылки уведомлений на e-mail и на мобильный телефон администратору;
- Журналы регистрации всех сбоев и некорректных завершений работ.
На уровне системы IT-Enterprise доступ к данным и к функциям манипулирования данными предоставляется пользователям на основе ролей. Для каждой группы пользователей (для каждой роли) настраивается перечень доступных для работы модулей, а также функций каждого модуля: только просмотр или модификация, фильтрация данных, ограничения расчетных режимов и т. д. Если модуль и/или функция недоступна для пользователя, модуль/функция не отображается в его главном меню.
Для пользователей и групп доступ к функциям и расчетам предоставляется по заданному расписанию. Для групп предусмотрена возможность создания специализированных модулей, произвольных меню, корректировка существующих меню, добавление и закрытие функций в меню.
Работа отдельного пользователя в системе также может быть параметризована: для разных пользователей задаются различные правила работы, настраивается доступ к тем или иным возможностям системы, а также доступ к тем или иным данным (по подразделениям, группам ресурсов, счетам и т. д.). Для разных групп (ролей) настраивается доступ и правила работы.
Кроме того, отдельные правила работы могут быть заданы в зависимости от компьютера – рабочего места, с которого пользователь работает с системой.