Учебное пособие Для студентов университетов Специальностей «Информатика», «Прикладная математика»
жүктеу/скачать 2,58 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- Авторизация
| 9.2. КОМПЬЮТЕРНЫЕ СРЕДСТВА ЗАЩИТЫ
Несмотря на широкий диапазон компьютерных средств контроля, об- щий уровень защищенности СУБД определяется возможностями исполь- зуемой операционной системы, поскольку эти два компонента работают в тесной связи между собой. Обычно применяются перечисленные ниже типы средств контроля. 1. Авторизация пользователей. 2. Представления. 3. Резервное копирование и восстановление. 4. Поддержка целостности. 5. Шифрование. 6. Вспомогательные процедуры. 80 Авторизация – это предоставление прав (или привилегий), позво- ляющих их владельцу иметь законный доступ к системе или к ее объек- там. Средства авторизации пользователей могут быть встроены непосред- ственно в программное обеспечение и управлять не только предостав- ленными пользователям правами доступа к системе или объектам, но и набором операций, которые пользователи могут выполнять с каждым доступным ему объектом. Термин «владелец» в определении может представлять пользователя-человека или программу. Термин «объект» – таблицу данных, представление, приложение, процедуру или любой дру- гой объект, который может быть создан в рамках системы. В некоторых системах все предоставляемые субъекту права должны быть явно указа- ны для каждого из объектов, к которым этот субъект должен обращаться. Процесс авторизации включает аутентификацию субъектов, требующих получения доступа к объектам. Аутентификация – механизм определения того, является ли пользо- ватель тем, за кого себя выдает. За предоставление пользователям доступа к компьютерной системе обычно отвечает системный администратор, в обязанности которого входит создание учетных записей пользователей. Каждому пользователю присваивается уникальный идентификатор, который используется опе- рационной системой для того, чтобы определить, кто есть кто. С каждым идентификатором связывается пароль, выбираемый пользователем и из- вестный операционной системе. При регистрации пользователь должен предоставлять системе свой пароль для аутентификации. Подобная процедура позволяет организовать контролируемый доступ к компьютерной системе, но не обязательно предоставляет право доступа к СУБД или иной прикладной программе. Для получения пользователем права доступа к СУБД может использоваться отдельная подобная проце- дура. Ответственность за предоставление прав доступа к СУБД обычно несет администратор базы данных (АБД), в обязанности которого входит создание индивидуальных идентификаторов пользователей, на этот раз уже в среде самой СУБД. Каждый из идентификаторов пользователей СУБД также связывается с паролем, который должен быть известен только данному пользователю. Этот пароль будет использоваться под- программами СУБД для идентификации данного пользователя. Некоторые СУБД поддерживают списки разрешенных идентификато- ров пользователей и паролей, отличающиеся от аналогичного списка, поддерживаемого ОС. Другие типы СУБД поддерживают списки, эле- менты которых приведены в соответствие существующим спискам поль- 81 зователей операционной системы и выполняют регистрацию, исходя из текущего идентификатора пользователя, указанного им при регистрации в системе. Это предотвращает попытки пользователей зарегистрировать- ся в среде СУБД под идентификатором, отличным от того, который они использовали при регистрации в системе. Использование паролей является наиболее распространенным мето- дом аутентификации пользователей. Однако этот подход не дает абсо- лютной гарантии, что данный пользователь является именно тем, за кого себя выдает. Как только пользователь получит право доступа к СУБД, ему могут автоматически предоставляться различные другие привилегии, связанные с его идентификатором. В частности, эти привилегии могут включать разрешение на доступ к определенным БД, таблицам, представлениям и индексам или же право запуска различных утилит СУБД. Некоторые ти- пы СУБД функционируют как закрытые системы, поэтому пользовате- лям помимо разрешения на доступ к самой СУБД потребуется иметь от- дельные разрешения и на доступ к конкретным ее объектам. Эти разре- шения выдаются либо АБД, либо владельцами определенных объектов системы. В противоположность этому открытые системы по умолчанию предоставляют авторизированным пользователям полный доступ ко всем объектам БД. В этом случае привилегии устанавливаются посредством явной отмены тех или иных прав конкретных пользователей. Типы при- вилегий, которые могут быть предоставлены авторизированным субъек- там, включают, например, право доступа к указанным БД, право выборки данных, право создания таблиц и других объектов. Некоторыми объектами в среде СУБД владеет сама СУБД. Обычно это владение организуется посредством использования специального идентификатора особого суперпользователя – например, с именем Data- base Administrator. Как правило, владение некоторым объектом предос- тавляет его владельцу весь возможный набор привилегий в отношении этого объекта. Это правило применяется ко всем авторизированным пользователям, получающим права владения определенными объектами. Любой вновь созданный объект автоматически передается во владение его создателю, который и получает весь возможный набор привилегий для данного объекта. Тем не менее, хотя пользователь может быть вла- дельцем некоторого представления, единственной привилегией, которая будет предоставлена ему в отношении этого объекта, может оказаться право выборки данных из этого представления. Принадлежащие вла- дельцу привилегии могут быть переданы им другим авторизированным пользователям. В некоторых типах СУБД всякий раз, когда пользовате- 82 лю предоставляется определенная привилегия, дополнительно может указываться, передается ли ему право предоставлять эту привилегию другим пользователям (уже от имени этого пользователя). Естественно, что в этом случае СУБД должна контролировать всю цепочку предостав- ления привилегий пользователям с указанием того, кто именно ее пре- доставил, что позволит поддерживать корректность всего набора уста- новленных в системе привилегий. В частности, эта информация будет необходима в случае отмены предоставленных ранее привилегий для ор- ганизации каскадного распространения вносимых изменений среди це- почки пользователей. Если СУБД поддерживает несколько различных типов идентификато- ров авторизации, с каждым из существующих типов могут быть связаны различные приоритеты. В частности, если СУБД поддерживает исполь- зование идентификаторов как отдельных пользователей, так и их групп, то, как правило, идентификатор пользователя будет иметь более высокий приоритет, чем идентификатор группы. Очень важно освоить все механизмы авторизации и другие средства защиты, предоставляемые целевой СУБД. Это особенно важно для тех систем, в которых существуют различные типы идентификаторов и до- пускается передача права присвоения привилегий. Это позволит кор- ректно выбирать типы привилегий, предоставляемых отдельным пользо- вателям, исходя из исполняемых ими обязанностей и набора используе- мых прикладных программ. жүктеу/скачать 2,58 Mb. Достарыңызбен бөлісу:
|