Лекция Объекты и методы администрирования Административные (организационно-распорядительные) методы управления


Аппаратно-программные средства защиты — связаны с совмест-



бет27/27
Дата20.05.2020
өлшемі283.76 Kb.
түріЛекция
1   ...   19   20   21   22   23   24   25   26   27
4.Аппаратно-программные средства защиты — связаны с совмест-

ным использованием программных и аппаратных средств защиты. Данные средства защиты широко используются при реализации биометрических методов аутентификации пользователей БД.



Аутентификация — проверка идентификатора (подлинности личности) пользователя, обычно осуществляемая перед разрешением доступа к ресурсам БД или пропуска на территорию объекта, в помещение.

5.Криптографические методы зашиты — представляют собой мето-

ды защиты данных с помощью криптографического преобразования, под которым понимается преобразование данных шифрованием.

Шифрование является самым надежным способом защиты данных, так как защищаются сами данные, а не доступ к ним.

Практические приемы шифрования разрабатываются на основе науки «криптология», название которой идет от греческих слов criptos — тайна и logos — слово.

Косновным криптографическим методам зашиты БД относятся:

•шифрование данных с применением алгоритмов асимметричного и симметричного шифровании;

•защита паролем доступа к данным;

•использование электронной цифровой подписи (ЭЦП);

•использование специальной Хэш-функции.

•использование при передаче данных по сети протокола SSL (Secure

Socket Layer) и технологии SET (Secure Electronic Transactions) и другие методы.

129


Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной подписи и служит не только для аутентификации отправителя сообщения, но и для проверки его целостности.

Хэш-функция — это процедура обработки сообщения, в результате действия которой формируется строка символов (дайджест сообщения) фиксированного размера. Малейшие изменения в тексте сообщения приводят к изменению дайджеста при обработке сообщения хэш-функцией. Таким образом, любые искажения, внесенные в текст сообщения, отразятся в дайджесте.

Более подробно перечисленные выше криптографические методы зашиты будут рассмотрены при изучении дисциплины «Корпоративные информационные системы»

Для всех категорий и видов БД одним из самых важных и необходимых методов защиты является разграничение прав доступа пользователей к элементам базы данных и действием (операциям) с данными.

Всамом общем виде требования по разграничению прав доступа формулируются следующим образом:

1.Данные в любой таблице должны быть доступны не всем пользователям, а лишь некоторым из них.

2.Только некоторым пользователям должно быть разрешено обновлять данные в таблицах, в то время как для других допускается лишь выбор данных из этих же таблиц.

3.Для некоторых таблиц необходимо обеспечить выборочный доступ к

еестолбцам (полям).

4.Некоторым пользователям должен быть запрещен непосредственный (через запросы) доступ к таблицам, но разрешен доступ к этим же таблицам в диалоге с прикладной программой.

5.Пользователю предоставляется доступ только к определенным фай-

лам.


Вбольшинстве реальных СУБД, особенно РаСУБД, авторизация доступа осуществляется с помощью привилегий. Установление и контроль привилегий — прерогатива администратора базы данных.

130


Привилегии устанавливаются и отменяются специальными операторами языка SQL — GRANT (РАЗРЕШИТЬ) и REVOKE (ОТМЕНИТЬ). Оператор GRANT указывает конкретного пользователя, который получает конкретные привилегии доступа к указанной таблице. Например, оператор

GRANT SELECT, INSERT ОN Деталь TO Битов

устанавливает привилегии пользователю Битов на выполнение операций выбора и включения над таблицей Деталь. Как видно из примера, оператор GRANT устанавливает соответствие между операциями, пользователем и объектом базы данных (таблицей в данном случае).

Привилегии легко установить, но легко и отменить. Отмена привилегий выполняется оператором REVOKE. Пусть, например, пользователь Битов утратил доверие администратора базы данных и последний решил лишить его привилегий на включение строк в таблицу Деталь. Он сделает это посредством команды SQL:

REVOKE INSERT ON Деталь FROM Битов

Конкретный пользователь СУБД опознается по уникальному идентификатору (user-id). Любое действие над базой данных, любая команда языка SQL выполняется не анонимно, но от имени конкретного пользователя. Идентификатор пользователя определяет набор доступных объектов базы данных для конкретного физического лица или группы лиц. Однако он ничего не сообщает о механизме его связи с конкретным оператором SQL. Например, когда запускается интерактивный SQL, как СУБД узнает, от имени какого пользователя осуществляется доступ к данным? Для этого в большинстве СУБД используется сеанс работы с базой данных. Для запуска на компьютере-клиенте программы переднего плана (например, интерактивного SQL) пользователь должен сообщить СУБД свой идентификатор и пароль. Все операции над базой данных, которые будут выполнены после этого, СУБД свяжет с конкретным пользователем, который запустил программу.

Рассмотренный выше так называемый добровольный или дискреционный контроль доступа (discretionary access control) опирается на то, что владелец

131


данных по собственному усмотрению ограничивает круг пользователей, имеющих доступ к данным, которыми он владеет.



Несмотря на то что в целом этот метод обеспечивает безопасность данных, разработана концепция многоуровневой безопасности, которая, по оценкам экспертов, в ближайшие годы будет использована в большинстве СУБД и других информационных систем. Согласно этой концепции в БД нужно производить обязательный или принудительный контроль доступа (mandatory access control). Принцип данного способа контроля основан на отказе от понятия владельца данных и опирается на так называемые метки безопасности (security labels), которые присваиваются данным при их создании. Каждая из меток соответствует некоторому уровню безопасности. Метки служат для классификации данных по уровням.

22 лекция

Программирование в системах администрирования

Достарыңызбен бөлісу:
1   ...   19   20   21   22   23   24   25   26   27




©engime.org 2020
әкімшілігінің қараңыз

    Басты бет