МАТЕРИАЛЫ ПО ДИСЦИПЛИНЕ СЕТЕВЫЕ БАЗЫ ДАННЫХ / Дополнительные главы / Chapter12

даж можете указать в политике, что

çþìå

CD163

ать надо только действия пользова-

телей, не работающих в заданном вамирегистрировделе.

DBMS FGA.ADD POLICY(

Obje t s h ma => 'HRM',

Poli y_ ame => 'Emp oyee'

ndition'Monitor_Employee_Tableupdate,'

Audit_ olumn =>

'D par ment <> "HRM"'

Statemen _types =>'Salary',

tñò,îðinsert,аторингункциюразрешенстраницы,обработки.Функциясодержащейdeleteсобытия,UTIL'); _ALERTкинтораяормациюPAGERбудет

åскитсятакжольковажныхдляесоздатьпередачитогда,событияхкогдаспециальную'àäs ì.leîíè

исповызыватьсякритичезюмеМожнользу

Поскольку системы,

ные на базах данных, широко распространены и

ëü

зуются для решенияосноважных задач, перв

значение принимаю

средства

ложения

размещаются на несков,льких

ерах,остепенноепоэ му обеспечентивныеих требез

обеспе

. Ñîçäàí

защищенных баз

и приложений

уетиспок р

ветственных çащитыбезоп сностьие

онечных

льзоровданныхелей. Корпора

áàçû

ïðè-

динац ченияусилий разр ботчик

администра

баз данных, администра оров, îò

è

Îäíà

ìî èòоринга

вызывают дополнительные

òðó

.

ïîльзовпасностите-

основíых задач, связанныхсерв

îé, ýòî èäåíòè èê

Однакорганизациядаж при использов

è передовых

хнологий (например,ация

àöèè

лей. В наст ящее время больш нство системзащитутенти икации

остибаз

уется на паролях.

ä

метрических, про одимых

äíèì

льзователем. Ora le

дде живаетутентидиниктвен

а основ био

данных)

æåëà

÷èâ

свести

минимуму

òèâí é

проце

íóюрегистраци ю. Эта возможностьпобес

äàæ

â

среде.

îлномочия

ли,аннымзатем связать роль с

тельноïî çîâаетсяте ем, чем назначать

изменяòü

Åñòü

озможность задавать

права для

доступа к системным службамчисло

äåëü

б ры полномочий применяются к группаì

й. ораздорпораудобнее на начи

Ñ

пользователем

жно связать нескпольк

ролей. ли и на-

ïрава каждому из тысяч пользов телей индивиду

.

доставляет

использиденти ицировть х нимые представления

процеду ы. Пользователю

ным объектам. Если вам нужен подробный контроëüíîнад полномочиями, вы можете

ïðàâ

работать с этими представлениями

ïðоцедур

и запрещае

ñÿ íåïî

îïðåделенной роëè.

óï

редств

об ащаться к т блицам, содержащим ин ормàмиц ю. Ограничи ь

ê ý

о мы жно, устанавливая свойство Visible

чтобы элементдостоб-

ражалсялементамльк

â òìî

случае,

если с ним работает пользовтак,тель, принадлежащий

CD164

ëàâ

12. Обеспечение защиты б зы данных

данных, т следу-

дствами SSL. Если вам надо

ационныеть тдельные раг

Ши рование

при передаче критически важные да ные, например, номе

ра платежных карзащищаетили иденти ик

ера граждан. Средства обеспе

безопасности

системе Web работают

î î Ora le.

Они предполагают уста

новку ци ровог

серти ик та на сервере

тном тическое ши рование при передачения

т написать

енную проце

у дирозависиания. Надо такжментытща

ïðîäóì òü

сресли вся базасобствуд по щена злодурмышленнико .

размещение ключа. Путем ши рования мо

защитить данные дажтельнов том случае,

Мониторинг

действий польззашителейров

жнодин из самых действенных способов

ых возникпревышающихт . М жнорегистрировисатакж на

обработч ки для подробного мони

ñòâ я, предпринимаемые польз ва

принадлежащими

î

группам.

выявления пробл м. Вы можете

ть св дения об обычных тра

ранзакциях,

íåê

орый уровень,

транзакциях, при выполнениизакциях,

îð нга. Они позвошибкиляют выявлять

бращения к тьо

ст лбцам данных или дей

При эт м необх димо, с одной стороны,

еспечи

льнымполученпределеннымсв дений, доста ч-

íûõ äëÿ òîãî, ÷ò

решить проблемутелями,а

другой сòоро ы, предот ратить генерацию

слишк м большогобыобъема данных, способных

переполнить

äèñêîâое пространство.

Основные

термины

езюме

CD165

Истина• Âèð óàëü

ая частная база данных (virtual private database VPD)

орениеров.илиADMINàаниекGRANTонтролданныхжь?пройденноголяпозвдостляетпредставляетупа.назнабазечатьматериаласобойправаэUPDATEективныйдляотмедельныханизм,столбцовзаменяющийтаб-

Ïîâ21• WITHлицыКсредствШиманд

3

Защита приложений Ora le

Web путем к дирования передаваемых данных

4

Ê

GRANT ïîзв ляет ограничить доступ к строкам на

и енти икаци

предпол гает ис

льзование SSL.

онных данных пользов телей.

сли вы назначите праваосновпосредственно кон-

5. Системанда

будет более

ííîé,

крет ым пользователямзащищне будете прибегать к помощи ролей.

далнитьих в шим конкурен ам. Для того чтобы

ïîäò ердить или опровергнуть подпро-

Çàïî

пропущенное

подозревать, чт

кто- о читает данные

заказах и

1.

У вас появились снов

çð íèÿ,

использованияòü

.

олько при условиè сговора нескобыльких сотрóä-

2.

операцию можно было провести

Назначаянадоп лномочия ролям, надо учитывать прав ло

, ÷ò

незак нн ю

3.

 îðìå

æíî çà

ать представление

, чтобы проверять, связана

íèê â.

принимать решение об отображенили

4.

текущимпользовпрашивтелем конкретная роль,

Если администра ор

д нных предоставит ам дополнительные привилегии,

или сокрытии

îðìû.

помощью стан

5.

вы сможете использовбазыть

пакет ___ для ши рования данных

даре кц я Enterprise системы Ora le обеспечивает поддержку единственной реги-

тного алгоритмчасти.

страци п сре

ом инструмента _____ .

Варианты

отв дствов

ã íèæ

не является целью использования системы защиты.

1.

Что из перечислен

á

ê

иденциальности.

целостности.

âà) Обеспечение доступа.

CD166

лава 12. Обеспечение защиты б зы данных

произво

.

èê â, íî õ òè-

ployeeПовышениепросмдостатрив òüдительностиимена мера теле оíîв другихзащитысо р д

.

äã)

Все перечисленное выше

н значение системы

2. Âû õ òèòå ïðå

è

пользовтражаеттелям возмож

сть обр ща ься к таблице Em

те, чтобы остальные данные,

держащиеся в таблице, остàâàë ñü íåäîступными.

а) Создание

дстсделавления и присв

пользователю правНаилучшимSELECT поспостноше-

Âàì òàêæ

æíî

ть нексоорые имена нед

ступными.

áîì

ðåø

òü

данную задачу является:

á)

íèþ ê íåìó.

Написаниепре оцедуры обновления,оениек торая включала бы иденти икационные

â)

анные пользователя.

базы данных для ограничения

мации,

Создание

вирту

доступной пользов телючастнойльк

строками, соответствующими егоинтделу.ор

äã)

ание данныхальной продажах.

тключение тех пользователей, кто обра-

М ниторинг

таблице и

3. ВыШих титеровзащиобращениятак,ить тчет

÷òî

его видели тольк

менеджеры. Наилучшим

à)

щается к данным

продажах.

базы данных, которая позв ляла бы пользов -

здание вир у

реш нием являеòñÿ:

созданные ими.

телям просмаòривальнойть тольк

ограничение доступа

á) Ñî

представлен я

еобходимыми данными,

к предст влению и ормировчастнойданные,ие отчета на его базе.

â)

должхранениеполучать страницу,

содержащую имя

льзов теля.

Øè ðîâ

всех данных, использ емых в тчете.

ã

Мониторинг

спользования

тч та; при аждом его выполнении администратор

ä)

Использование утилиты wrap для сокрытия к да, ормирующег

ò÷åò.

4. Äëÿ

ого чтобы предотвратить изменение данныхпо азах

с ормированных дру-

регистрацииИспользов ть.

средства SSL для безопасной передачи

данных.

ãèìè ñî

удниками, надо сделать следующее:

динственной

à)

Ora le Internet Dire tory и реализовзакть механиз

á)â

Создать процедуру, по

ающую обновления

обновавт ляемыхат чески включа-

ющую UserID; процедура,ддерживозможно, будет с ормирована с èспользованием

средств VPD.

все данные

таблице Order.

äã)

Çàøè ðîâà

Создать ролть, к торая

позволит обновлять данные в таблице Order лишь от-

дельным пользователям.

а) Создать

çþìå

CD167

ли для выполнения каждого этападелениене связывязанностей,ть все

5. Для того чтобы средствами защиты системы обеспечить раз

îá

íàäî:

Заши ровразличныеть все данные в базе.

òû, åñëè ýò делает толняетж

ï ñëå

é

п процесса, и

провтменяла бы резуль

á)â

ëè ñ

дним сотру

ì.

яла бы, кто из пользова елей выпо

С здать

дурудникторая

ñî

удник,процекэта

рый работал над

åðвым этапом.

лнить два этапа

министра

îðà

тчиком, чтоподин пользователь

пытается

г) Созда

обраб

äëÿ

робного мониторинга, ко орый оповещал бы ад-

д) Предоставить

ñîîтветствующие системные привилегии твыполько одному сотруд-

процесса.

íèêó.

Упражнения

1. Readwood Realty

поработать над к н игурацией средств защиты Red

Вам необхо

дополни

wood Realty.димоБ льшая часòельноработы, зат

àãèâ

þùåé

отчеты, представ

и таблицы, выпо нена в рамках

рассмотренных данн й глав . По край-

í é

агенты менеджеры имеют озможность

основныельз

ü îðìû. Íåîá

î ìî

ðåшить, следует

ëè óñ

лить защиту нек торых элементиспов; при этом следует помнлениять,

содемере,жит

критически

важной инпримеров,ор ации.

÷òî

азмеры

омпании невелики, менеджеры доверяют агентам и база данных не

1.

óæ

принятые меры защиты, приведенные в табл. 12.3, и сплан р

èç-

Оценитетенциальныепо

выгнебоды

òåðè.

менения. Напишите

льш й документ, объясняющий предлагаемые èзменуйтен я

2. Вам необходимо скорректирпо

òü

тчеты так, чтобы они и влекали данные из

случай, если менеджеры захотят ограничить до

уп в будущем. Отредактируйте

представлений, и назначить

ïðàâ

ëüç

ание этих представлений. Даж

ByCityAndAgent. Ñîç

è ñî

представления для каж ого за

. Åñ-

åñëè

ò÷åò ä

ступен агенту, все рав

егспонадо

оздать на

базе представления на

липросыдля тчетов предусмодайтены

ользовхраните

óáåäитесь,просачт

çà

äëÿ

тчетов AgentSales, CustomerList ListingsAndOffers и Sales

èç

бл. 12.3, и протес

труй е отчеты. Заметьте,параметры,чт надо скорр к ировданныть

указ но имя схемы. Назначьте ïðàâ

тельскиеупа отчетам, ос

овываясь на

èõ

представления и убедиться,

÷ò

имена

олбцов не дублируются. Затем с

äóåò

моди ицировать запрос в составе отчетадостак, чтобы

îí âключал пользоваòåëьские

3. îSalesчЗтчетабеспеàметьте,Create:LISTINGî ;òåì,÷òàê,поичтдобнымы,ькчтобытакойorтороетражающиеисходяYReplaEARонуровеньизвлекаетссылалсяизобразомeданных,Viewсведениязащиты,даннаскAgentSопирсодержащихсяíыееобхскпродажах,Redwoodуйте'опирYYYYlfSalesлькдимоепреуйте')äëÿдстав=представлениеотчетыпотекущегоASтабления.AgentSalesенных12..3,Отредактирпользовагенты.имиЗамените.ДлявдолжнытеляAgentSelfуйтеого.представзапросчтобыполу-

ление

SELECT A

Redwood.AGE TS.AGENTID, Redwood.AGENTS.

N M

FROM

LISTIN .

K NGPRICE,

wood. AL TATUS.SALESTATUS,

AGENTS.FIR

TNAME,

o .LIS I GS,

GID,

.AGENT .WORKPHONE,

D

E,

.LI

NGS.BEGIN I

LISTI.C Y, Re

.PROPERTIES.BEDROOMS

4.

Redwood.PROPERT ES,

RedwooRedw.

US

.PROPERSALE..SALESTAI.ASKINGPR.D)STINGКакUsername)CustomerListSALESTAATUSYIDагенты,USIDYID)GENUS=TCED))==ID=òàêDESC'For=User)и изменеджSale;мените' ерыотчетдолжнытак, чтобыиметь

.ENT

S

NGS.AGAgentsINGTUSUотчета

TIN.

S

LISставлениедля

данный

ANDаналогичныепредставлениеUPPER(RedwoodBYэто.SALESTA.PROPERTIEAGENTïðåSALELIST. .

онСозиспользовдайтеORDERWHERE

в можность выводить

î

на печать. Сделайте о ж самое для двух

íèòå

для отчета SalesByCityAndAgent, но çàìå üòå, ÷òî

запросов в тчете ListingsAndOffers.

вы располагаете времен м, выпо -

SELECT для ролей AgentдействияManager. Чтобы получить список, используйте выра-

âàì

скорректировать представ

Еслиустран

ть дублирование

столбцов.

необхнадодимые для тч та.

Внесите необх димые изменения и лениеуб дитесь, что èзвлекаются только данные,

5. Найдите список

последовательностей для Redwood и назначьте им привилегии

жение

SELECT sequen e name FROM user sequen es;

6.

те в исходную ор

кнопк ,

ïî

çþ

CD169

которой агенты смогли бы о -

крыв ть отчет AgentSelfSales. Запустите исх дную орму

зарегистрир

Добавьт

пользов теля Mar ouxK. Проверьмощьютчет AgentSelfSales. Вывуйтесьдите

ин имениор ацию, отображаемую на экране, на принтер и предъявите преподавателю.

2. Coffee Mer hant

ать средств

защ ты для системы Coffee Mer hant,

снача

Чтобы ск

лап ния небольшая,он игурировней для со

удников

использует я

дна роль. Однакдо

имеет

смысл с з

ть также роль администратора. Она будет использоваться для моди ика-

òü

сновные объекты и

льзовательские роли. Поскольку

î

1.

предыдущих г авах. Открîйте исходную ормуименнозамените Appli ationPath

дайте новую папку. Ск пируйте в

íåå

îðìû

тчеты, созданные вами

идентинек орыхицировтаблиц, которые редко изменяются, а

Countries, Employees

öèèInventory.

èñõî

îðìû.

â

бработчик

2.

æ

пользователей, днойчт и в системе Redwood. Свяжите роль Clerk с Mar ouxK

Создайте дв

ðîëè:

Clerk и CoffeeAdmin. Для проверки вы можете создать тех

è

îëü CoffeeAdmin

CarlingT.

чивсем таблицам (SELECT

,

3.

feeAdmin имеет стандар ный доступ ко

Предоставьте ролям полно

очия, обеспе

ающие доступ к таблицам. оль Cof

). оль Clerk имеет

доступ SELECT ко всем таб

за исключе-

mployee. Ñîî

етствующие пользова

имею правлицам,INSERT, UPDATE

4.

ниемDELETE по отн шению к таблицам Orders телиOrderLines.

трудникам, соответств

, необх димо

извлек ть из таблицы

Ñî

дайте пре

ление ующимдайте роли Clerk

в зможность

доступа только к ука-

Employees данные EmployeeID, FirstName

LastName äëÿ îðìû

ders.

занным

вышедставм

î áöàì.

Измените список

значений в орме

Orders

äëÿ

работы с этим пðå

ë íèåì.

5.

создать синоним длядставсех

орм, представлеíий или последовательностей. Вам

Не забывайте, что

î

çà

îðìû

еобходимо указать имя

õåìû èëè

6.

такж надо назначить обеим просахлям прав

доступа Sele t к последовательности

В отчете QuarterlySalesByState преобразуйте запрос для работы с представ-

seq Orders.

с представ

м надо назначить

7.

Çà

. На данный момент права для

исходную орму. Проверьте рабо у кнопок и повленидение других орм.

леноб

емролям: Clerk и Administrator.

Протест руйте отчеты. Выведите на принтыер ин ормацию, отображаемую на

экране,пуститепредъявите преподавателю.

CD170

лава 12. Обеспечение защиты б зы данных

3. Rowing Ventures

à

защиты тносительно слабы, поск льку дан-

В приложении Rowing Ventures средс

ные не являются критически важными

и ансовая ин ормация тсутствует.

так многдопуститьпроверок, что вне ти изменения нез

метноге, п эт

тически

можно.

зультаты сначала иксируются судьями на бум

соревнов нев

Нельзяени

ëèøü

âîç

изменения результатов

ãîíêè,

â äåíü

àíèé

ïðîâ

äèòñ

âðÿä

жно получить выгжноду. Поэтому

достаточно создать одну

озникновроль назна

áóäü

удастся спуñ я месяц изменить

лектр нную к пию резслучаельтатов,

т этого

вопросов в егда мо

обратиться к э им дпракмументам. Возможн , кому

спорныхоответствующие права, тсозможете поступить следующим

образоì:

òà ü

÷èòü

лномочия так, чтобы пользователи,

е этой роли, могли

таблиц ми

представлениями. Поск лькпринадлежащчисло таб

ö

представленийрабо

-

тельно мàло, имеет смысл

дать для них общедо тупные

синони ы. Если вы имеетносие

Create publi synonym Ra eTimes for

<ñõ ì >.Ra eTimes;

ь запросы

Åñëè ó âàñ í

необходимых

ам придется моди ицир

ouxK,

зарегистр

ся от егопривилегий,имени выполнить необходимые проверки. Не

в ормах

тче ах. Можно назначить новую роль Ra eClerk по

îâàòåëþ Mar

забудьте скорректир вать

Appli ationPath. Òàêæ

надо провери

льзпоследователь-

длите ьное время

после ее ок

чания, т

следует реализовать мониторинг

íîñ

назначить

тветствующие полномочия.

с таблицей

Ra eTimes. Åñëè

оринг

отключен, вы можете написать небольшодействий

Åñ

вас беспокоит

возмож

ость изменения св ден

й о резуль

òàõ

онки через

обработчик, выявляющий

акмонитвнесения изменений в таблицу.

4. Broad loth Clothing

ëüêî

лиц, представлений

ïîñ

В приложении Broad loth использу

довательнос ей. В дан

ì ñ ó÷àå âàì

акжнескнадо

литабо назначить

äîñò

синонимы,

изменить

мы и отчеется

и включить имя

хемы. Поскобщельку прило

ðîëè

права,

орые вы планирлицуете назнпыта

разл чным ролям по

тношению

необхчительноедимости

составьте на отдельной странице поясндъявитетельный тåêñò.

жение досталибоч о сложíîå,

äëÿ

дания ролей и назначения полномочий потребупные

знаст влением

плана. Создай

òàá

, в ко орой будут содержаться все предлага мые

к разным

время.

орогсозчтобы

ться создать

ñå ðîëè,

тесьется-

бъектам. ВместВыв дите

план на печачитьи пре

пр подавограничьтелю. При