Phần 4: BẢO MẬT (SECURITY)

Trong CyberStation, bảo mật được xây dựng dựa trên hai công cụ chính hoạt động song song để kiểm soát quyền truy cập của người dùng vào hệ thống:

1. Security Groups (Nhóm bảo mật): Xác định quyền truy cập cho các lớp đối tượng (ví dụ: tất cả các cửa, tất cả các điểm nhiệt độ). Đây là lớp bảo mật cấp cao, áp dụng cho toàn bộ hệ thống.

2. SecurityLevel Objects (Đối tượng cấp bảo mật): Xác định quyền truy cập cho các đối tượng cá nhân hoặc container cụ thể (ví dụ: một cửa cụ thể, một thư mục chứa các điểm HVAC). Đây là lớp bảo mật chi tiết, áp dụng cho từng đối tượng riêng lẻ.

Nguyên tắc quan trọng: Object-level security (SecurityLevel) chỉ có thể hạn chế thêm quyền đã được cấp bởi Security Groups, không thể cấp quyền mà Security Groups đã từ chối.

4.1. Security Groups (Nhóm bảo mật)

Security Group là một danh mục các quyền truy cập vào các ứng dụng và editor của CyberStation. Người quản trị hệ thống thiết lập các nhóm này và gán người dùng vào nhóm phù hợp với vai trò của họ (ví dụ: Quản trị viên, Bảo vệ, Kỹ thuật viên HVAC).

4.1.1. Truy cập và Cấu hình Security Groups

1. Nhấp chuột phải vào biểu tượng Continuum trong khay hệ thống (tool tray).

2. Chọn Security từ popup menu. Cửa sổ Security editor sẽ xuất hiện.

4.1.2. Tab Group Names

Tab này dùng để hiển thị và đổi tên các Security Groups.

Cảnh báo: Nếu giảm số lượng nhóm hiển thị, người dùng thuộc các nhóm bị ẩn sẽ mất toàn bộ quyền truy cập CyberStation.

4.1.3. Tab Actions

Tab này hiển thị danh sách các hành động (actions) và tab editor cho từng lớp đối tượng, và cho phép bạn gán quyền truy cập cho các Security Groups.

<center> <img src=”security_actions_tab.png” alt=”Security Editor – Actions Tab” style=”width:80%;”> </center>

Cấu trúc của tab Actions:

• Mở rộng thư mục Classes để xem danh sách các lớp đối tượng (Area, Door, InfinityInput, v.v.).

• Mở rộng một lớp đối tượng để xem các hành động (Create, Edit, Delete, View, Change Out of Service, Send To Text File) và các tab trong editor của lớp đó.

• Các biểu tượng khóa/mở khóa đại diện cho các Security Groups được hiển thị theo cột.

Di chuyển chuột qua biểu tượng để xem tên nhóm và hành động tương ứng.

4.1.4. Gán và Xóa Quyền cho Security Groups

4.1.5. Sao chép Quyền Giữa các Security Groups

1. Trong tab Actions, nhấp chuột phải vào biểu tượng của nhóm nguồn.

2. Chọn Copy Group.

3. Nhấp chuột phải vào biểu tượng của nhóm đích.

4. Chọn Paste Group.

5. Chỉnh sửa thêm nếu cần.

4.1.6. Xuất và Nhập Cấu hình Security Groups

• Xuất (Export): Trong tab Actions, nhấp chuột phải vào bất kỳ vùng trống nào, chọn Export All. Lưu file với phần mở rộng .SDF.

• Nhập (Import):

  • Một nhóm: Nhấp chuột phải vào biểu tượng của nhóm đích, chọn Import Group, chọn file .SDF.

  • Tất cả nhóm: Nhấp chuột phải vào vùng trống, chọn Import All, chọn file .SDF.

4.2. SecurityLevel Objects (Đối tượng cấp bảo mật)

SecurityLevel objects cho phép bạn tùy chỉnh quyền truy cập ở cấp độ đối tượng riêng lẻ. Bạn tạo một SecurityLevel object, định nghĩa quyền bên trong nó, sau đó “gắn” nó vào một hoặc nhiều đối tượng CyberStation cụ thể.

4.2.1. Tạo SecurityLevel Object

1. Trong Continuum Explorer, nhấp chuột phải vào Root.

2. Chọn New > SecurityLevel.

3. Đặt tên cho đối tượng và nhấp Create.

4.2.2. Định nghĩa Quyền trong SecurityLevel Editor

Mở SecurityLevel object vừa tạo. Cửa sổ editor xuất hiện với các tab tương tự như Security editor.

• Security Tab: Tương tự tab Actions của Security editor, nhưng các quyền được định nghĩa ở đây sẽ áp dụng cho các đối tượng cụ thể mà SecurityLevel này được gắn vào.

• Universal Unlock Folder: Một thư mục đặc biệt trong cây Classes. Khi bạn khóa (lock) một nhóm bảo mật trong thư mục này, nhóm đó sẽ bị từ chối mọi quyền truy cập vào tất cả các đối tượng mà SecurityLevel này được gắn vào, bất kể các cài đặt khác. Đây là cách nhanh chóng để vô hiệu hóa hoàn toàn một nhóm trên một tập hợp đối tượng.

4.2.3. Gắn SecurityLevel Object vào Đối tượng

1. Mở editor của đối tượng bạn muốn gắn SecurityLevel (ví dụ: một Door object, một Folder).

2. Chọn tab SecurityLevel (có trong hầu hết các editor).

3. Trong danh sách, nhấp chọn SecurityLevel object bạn muốn gắn.

4. Nhấp OK.

   • Để gỡ bỏ, nhấp chuột phải vào SecurityLevel đã chọn và chọn Clear Selection.

4.2.4. Xem Danh sách Đối tượng được Kiểm soát bởi SecurityLevel

1. Mở SecurityLevel object trong editor.

2. Chọn tab Attached Objects. Danh sách tất cả các đối tượng CyberStation đang được gắn SecurityLevel này sẽ hiển thị.

4.2.5. Sao chép Quyền từ Security Editor vào SecurityLevel Object

1. Trong Security editor (truy cập từ biểu tượng Continuum), nhấp chuột phải vào vùng trống trong tab Actions, chọn Copy All.

2. Mở SecurityLevel object cần dán.

3. Trong tab Security, nhấp chuột phải vào vùng trống, chọn Paste All.

4. Chỉnh sửa các quyền cho phù hợp với đối tượng cụ thể.

4.3. Bảo mật Cấp Thư mục và Thiết bị (Folder and Device Level – FDL Security)

FDL Security là một chiến lược áp dụng SecurityLevel objects cho các container (thư mục hoặc thiết bị) để tất cả các đối tượng con bên trong kế thừa quyền truy cập đó. Điều này giúp quản lý bảo mật hiệu quả khi hệ thống có hàng nghìn đối tượng.

4.3.1. Nguyên tắc

• Vai trò (Roles): Phân loại người dùng (Quản trị, Bảo vệ, Bảo trì).

• Phân vùng (Partitions): Phân chia địa điểm (Tòa nhà A, Tòa nhà B).

• Nhóm bảo mật (Security Groups): Kết hợp Vai trò và Phân vùng.

  • Số lượng nhóm = Số lượng vai trò × Số lượng phân vùng

4.3.2. Ví dụ Thực tế

Giả sử có 2 tòa nhà (Building A, Building B) và 3 vai trò (Admin, Guard, Maintenance).

1. Tạo Security Groups (trong Security editor): BldgAAdmin, BldgBAdmin, BldgAGuard, BldgBGuard, BldgAMain, BldgBMain.

2. Gán quyền: Đặt quyền dựa trên vai trò (ví dụ: tất cả Guard có cùng quyền).

3. Tạo User objects: Gán mỗi user vào nhóm bảo mật tương ứng với tòa nhà và vai trò của họ.

4. Tạo Folder: BuildingA, BuildingB.

5. Tạo SecurityLevel objects: BldgAAccess, BldgBAccess.

   • Trong BldgAAccess, Mở khóa (unlock) cho các nhóm BldgAAdmin, BldgAGuard, BldgAMain.

   • Trong BldgAAccess, Khóa (lock) cho các nhóm BldgBAdmin, BldgBGuard, BldgBMain.

6. Gắn SecurityLevel: Gắn BldgAAccess vào folder BuildingA, và BldgBAccess vào folder BuildingB.

7. Đặt đối tượng: Đặt tất cả các đối tượng thuộc Tòa nhà A vào folder BuildingA, Tòa nhà B vào folder BuildingB.

4.3.3. Ảnh hưởng của FDL Security lên các Chức năng

4.4. Tổng kết các Hành động Bảo mật Thường gặp

Tổng kết Phần 4

Phần này đã trình bày chi tiết hệ thống bảo mật hai lớp của CyberStation:

• Security Groups: Quản lý quyền truy cập ở cấp độ lớp đối tượng, áp dụng cho toàn hệ thống.

• SecurityLevel Objects: Cung cấp khả năng kiểm soát chi tiết ở cấp độ đối tượng cá nhân hoặc container (FDL Security).

• Các bước cấu hình: Tạo nhóm, gán quyền, sao chép, xuất/nhập, tạo SecurityLevel và gắn vào đối tượng.

• Chiến lược FDL Security: Phân chia hệ thống theo vai trò và phân vùng để quản lý bảo mật hiệu quả.

Việc kết hợp linh hoạt hai công cụ này cho phép bạn xây dựng một hệ thống bảo mật vừa toàn diện, vừa chi tiết, đáp ứng mọi yêu cầu về quyền truy cập trong tòa nhà của bạn.