Резниченко Валерий Анатольевич Организация баз данных и знаний

Лекция 11. Защита данных

Национальный авиационный университет Факультет компьютерных наук

Кафедра инженерии программного обеспечения

СОДЕРЖАНИЕ

Система защиты

Управление правами доступа

Механизмы обеспечения защиты

Автоматическое ведение журналов

Обход системы защиты

Безопасность данных

Под безопасностью данных в базе понимают защиту данных от случайного или преднамеренного доступа к ним лиц, не имеющих на это права, от несанкционированного раскрытия, изменения или разрушения.

Комплекс мер по поддержанию безопасности:

Организационно-методические мероприятия.

Правовые и юридические меры .

Технические средства защиты .

Программные средства защиты .

Система защиты

Система защиты – это совокупность мер, предпринимаемых в системе баз данных для обеспечения требуемого уровня безопасности.

Методы обеспечения защиты:

Избирательный метод защиты предполагает, что пользователи имеют различные права по доступу к различным объектам базы данных. Разные пользователи могут иметь разные права доступа к одним и тем же объектам. Избирательный метод более гибкий,

Обязательный метод предполагает, что каждому объекту базы данных присваивается некоторый уровень секретности, а каждому пользователю присваивается некоторый уровень доступа.

Управление правами доступа

Определить права доступа тех или иных лиц – это означает зафиксировать по отношению к ним следующую информацию:

кому предоставляются права доступа;

условия предоставления прав доступа;

объекты, на которые распространяются права доступа;

операции, относительно которых ограничивается доступ;

возможность передачи прав доступа другим лицам

Защита данных

Механизмы обеспечения защиты

Регистрация пользователей и ролей.

Управление правами доступа.

Идентификация и подтверждение подлинности.

Автоматическое ведение журналов.

Шифровка данных.

Создание пользователей

Любой пользователь для получения доступа к базе данных должен быть зарегистрирован в системе под определенным именем и определенным паролем.

Регистрация необходима для того, чтобы знать с кем имеет дело система в текущий момент работы.

Пользователь - это не только конкретное лицо, но и любой источник, который в состоянии обратиться к базе данных (программа, операционная система, Интернет-приложение и т.д.)

CREATE USER user {UDENTIFIED BY password|EXTERNALLY};

DROP USER user [CASCADE];

Создание ролей

Роль - это совокупность привилегий (прав) которые могут предоставляться группам пользователей или другим ролям.

Роли введены для того, чтобы можно было описывать ситуацию, когда группы пользователей имеют одинаковые функциональные обязанности, а значит они могут иметь одинаковые полномочия по работе с БД

Можно присвоить привилегии ролям, а затем «приписывать» пользователей к тем или иным ролям. Когда пользователь отнесен к роли, он получает привилегии этой роли

CREATE ROLE role {UDENTIFIED BY password|EXTERNALLY};

DROP ROLE role;

Предоставление и отмена ролей пользователям или ролям

Роль может предоставляться ВСЕМ, конкретному пользователю или другой роли. Приписываемый роли пользователь или другая роль может получить право на ее администрирование.

GRANT role_list TO {PUBLIC |{user | role}... } [WITH ADMIN OPTION];

REVOKE role_list FROM {PUBLIC |{user | role}... }

Примеры:

GRANT SpecialRole TO Smith WITH ADMIN OPTION;

GRANT SpecialRole TO AccountGraoupRole;

GRANT SpecialRole TO PUBLIC;

Предоставление привилегий на объекты БД

Указывается КТО имеет право выполнять определенные ОПЕРАЦИИ над ОБЪЕКТАМИ БД

А также возможность передачи полученных прав другим

GRANT {ALL PRINILEGES | privileges_list } ON DB_object

TO {PUBLIC | {user | role}...} [WITH GRANT OPTION];

Примеры:

GRANT SELECT, UPDATE ON TEACHER TO Smith, Jane;

GRANT ALL PRIVILEGES ON ROOM TO Ann WITH GRANT OPTION; GRANT SELECT ON LECTURE TO PUBLIC;

GRANT RERFERENCES(SBJNO), UPDATE ON SUBJECT TO Kate;