Учебное пособие Для студентов университетов Специальностей «Информатика», «Прикладная математика»



Pdf көрінісі
бет65/177
Дата15.02.2022
өлшемі2,58 Mb.
#25567
түріУчебное пособие
1   ...   61   62   63   64   65   66   67   68   ...   177
9.2. КОМПЬЮТЕРНЫЕ СРЕДСТВА ЗАЩИТЫ 
Несмотря на широкий диапазон компьютерных средств контроля, об-
щий уровень защищенности СУБД определяется возможностями исполь-
зуемой операционной системы, поскольку эти два компонента работают 
в тесной связи между собой. Обычно применяются перечисленные ниже 
типы средств контроля. 
1.  Авторизация пользователей. 
2.  Представления. 
3.  Резервное копирование и восстановление. 
4.  Поддержка целостности. 
5.  Шифрование. 
6.  Вспомогательные процедуры. 
 
80


 
Авторизация 
–  это  предоставление  прав  (или  привилегий),  позво-
ляющих их владельцу иметь законный доступ к системе или к ее объек-
там. 
Средства  авторизации пользователей  могут быть встроены непосред-
ственно  в  программное  обеспечение  и  управлять  не  только  предостав-
ленными  пользователям  правами  доступа  к  системе  или  объектам,  но  и 
набором  операций,  которые  пользователи  могут  выполнять  с  каждым 
доступным  ему  объектом.  Термин  «владелец»  в  определении  может 
представлять пользователя-человека или программу. Термин «объект» – 
таблицу данных, представление, приложение, процедуру или любой дру-
гой объект, который может быть создан в рамках системы. В некоторых 
системах все предоставляемые субъекту права должны быть явно указа-
ны для каждого из объектов, к которым этот субъект должен обращаться. 
Процесс  авторизации  включает  аутентификацию  субъектов,  требующих 
получения доступа к объектам. 
Аутентификация – механизм  определения  того,  является  ли  пользо-
ватель тем, за кого себя выдает. 
За  предоставление  пользователям  доступа  к  компьютерной  системе 
обычно  отвечает  системный  администратор,  в  обязанности  которого 
входит создание учетных записей пользователей. Каждому пользователю 
присваивается  уникальный  идентификатор,  который  используется  опе-
рационной системой для того, чтобы определить, кто есть кто. С каждым 
идентификатором связывается пароль, выбираемый пользователем и из-
вестный  операционной  системе.  При  регистрации  пользователь  должен 
предоставлять системе свой пароль для аутентификации. 
Подобная процедура позволяет организовать контролируемый доступ 
к компьютерной системе, но не обязательно предоставляет право доступа 
к СУБД или иной прикладной программе. Для получения пользователем 
права доступа к СУБД может использоваться отдельная подобная проце-
дура.  Ответственность  за  предоставление  прав  доступа  к  СУБД  обычно 
несет администратор базы данных (АБД), в обязанности которого входит 
создание  индивидуальных  идентификаторов  пользователей,  на  этот  раз 
уже  в  среде  самой  СУБД.  Каждый  из  идентификаторов  пользователей 
СУБД  также  связывается  с  паролем,  который  должен  быть  известен 
только  данному  пользователю.  Этот  пароль  будет  использоваться  под-
программами СУБД для идентификации данного пользователя. 
Некоторые СУБД поддерживают списки разрешенных идентификато-
ров  пользователей  и  паролей,  отличающиеся  от  аналогичного  списка, 
поддерживаемого  ОС.  Другие  типы  СУБД  поддерживают  списки,  эле-
менты которых приведены в соответствие существующим спискам поль-
 
81


 
зователей  операционной  системы  и  выполняют  регистрацию,  исходя  из 
текущего идентификатора пользователя, указанного им при регистрации 
в системе. Это предотвращает попытки пользователей зарегистрировать-
ся в среде СУБД под идентификатором, отличным от того, который они 
использовали при регистрации в системе.  
Использование  паролей  является  наиболее  распространенным  мето-
дом  аутентификации  пользователей.  Однако  этот  подход  не  дает  абсо-
лютной гарантии, что данный пользователь является именно тем, за кого 
себя выдает. 
Как  только  пользователь  получит  право  доступа  к  СУБД,  ему  могут 
автоматически предоставляться различные другие привилегии, связанные 
с  его  идентификатором.  В  частности,  эти  привилегии  могут  включать 
разрешение на доступ к определенным БД, таблицам, представлениям и 
индексам или же право запуска различных утилит СУБД. Некоторые ти-
пы  СУБД  функционируют  как  закрытые  системы,  поэтому  пользовате-
лям помимо разрешения на доступ к самой СУБД потребуется иметь от-
дельные разрешения и на доступ к конкретным ее объектам. Эти разре-
шения  выдаются  либо  АБД,  либо  владельцами  определенных  объектов 
системы. В противоположность этому открытые системы по умолчанию 
предоставляют авторизированным пользователям полный доступ ко всем 
объектам  БД.  В  этом  случае  привилегии  устанавливаются  посредством 
явной отмены тех или иных прав конкретных пользователей. Типы при-
вилегий, которые могут быть предоставлены авторизированным субъек-
там, включают, например, право доступа к указанным БД, право выборки 
данных, право создания таблиц и других объектов. 
Некоторыми  объектами  в  среде  СУБД  владеет  сама  СУБД.  Обычно 
это  владение  организуется  посредством  использования  специального 
идентификатора особого суперпользователя – например, с именем Data-
base Administrator. Как  правило,  владение  некоторым  объектом  предос-
тавляет  его  владельцу  весь  возможный  набор  привилегий  в  отношении 
этого  объекта.  Это  правило  применяется  ко  всем  авторизированным 
пользователям, получающим права владения определенными объектами. 
Любой  вновь  созданный  объект  автоматически  передается  во  владение 
его  создателю,  который  и  получает  весь  возможный  набор  привилегий 
для  данного  объекта.  Тем  не  менее,  хотя  пользователь  может  быть  вла-
дельцем  некоторого представления, единственной привилегией,  которая 
будет  предоставлена  ему  в  отношении  этого  объекта,  может  оказаться 
право  выборки  данных  из  этого  представления.  Принадлежащие  вла-
дельцу  привилегии  могут  быть  переданы  им  другим  авторизированным 
пользователям. В некоторых типах СУБД всякий раз, когда пользовате-
 
82


 
лю  предоставляется  определенная  привилегия,  дополнительно  может 
указываться,  передается  ли  ему  право  предоставлять  эту  привилегию 
другим  пользователям  (уже  от  имени  этого  пользователя).  Естественно, 
что в этом случае СУБД должна контролировать всю цепочку предостав-
ления  привилегий  пользователям  с  указанием  того,  кто  именно  ее  пре-
доставил,  что  позволит  поддерживать  корректность  всего  набора  уста-
новленных  в  системе  привилегий.  В  частности,  эта  информация  будет 
необходима в случае отмены предоставленных ранее привилегий для ор-
ганизации  каскадного  распространения  вносимых  изменений  среди  це-
почки пользователей. 
Если СУБД поддерживает несколько различных типов идентификато-
ров авторизации, с каждым из существующих типов могут быть связаны 
различные  приоритеты.  В  частности,  если  СУБД  поддерживает  исполь-
зование идентификаторов как отдельных пользователей, так и их групп, 
то, как правило, идентификатор пользователя будет иметь более высокий 
приоритет, чем идентификатор группы. 
Очень  важно  освоить  все  механизмы  авторизации  и  другие  средства 
защиты,  предоставляемые  целевой  СУБД.  Это  особенно  важно  для  тех 
систем,  в  которых  существуют  различные  типы  идентификаторов  и  до-
пускается  передача  права  присвоения  привилегий.  Это  позволит  кор-
ректно выбирать типы привилегий, предоставляемых отдельным пользо-
вателям, исходя из исполняемых ими обязанностей и набора используе-
мых прикладных программ. 


Достарыңызбен бөлісу:
1   ...   61   62   63   64   65   66   67   68   ...   177




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет