Лекция 11. Защита данных |
воскресенье 7 Июль, 2019 |
Отмена привилегий на объекты БД
Команда имеет структуру, аналогичную REVOKE.
Многократно предоставленные привилегии должны быть отменены всеми.
Каскадный эффект при отмене привилегий.
REVOKE {ALL PRINILEGES | privileges_list } ON DB_object
FROM {PUBLIC | {user | role}...} [CASCADE | RESTRICT];
Пример:
REVOKE ALL PRIVILEGES ON ROOM FROM Smith, Jane
CASCADE;
ФКН НАУ |
11 |
Лекция 11. Защита данных |
воскресенье 7 Июль, 2019 |
Условия предоставления привилегий
Иногда оказывается полезным специфицировать условия, при выполнении которых пользователям предоставляются указываемые права доступа. Примеры:
временные характеристики, например, специфицируемые права доступа действуют только между 16 и 17 часами первого понедельника каждого месяца;
локализация компьютеров в локальной сети, например, специфицируемые права доступа действуют только для компьютеров, установленных в плановом отделе.
Вбольшинстве СУБД нет явных возможностей по описанию таких дополнительных условий по ограничению прав доступа. Все они должны быть реализованы в конкретной прикладной системе,
если в этом имеется необходимость
ФКН НАУ |
12 |
Лекция 11. Защита данных |
воскресенье 7 Июль, 2019 |
Идентификация и подтверждение подлинности
Перед началом работы с базой данных пользователь должен идентифицировать себя. Для этого указывается имя пользователя. Кроме того, учитывая, что имя пользователя может носить общедоступный характер, пользователь также должен подтвердить подлинность указанного имени, введя пароль, который известен только системе и самому пользователю.
В общем случае эти два шага – идентификация и подтверждение подлинности – выполняются однократно при подключении к базе данных и остаются в силе до окончания сеанса работы с базой данных конкретного пользователя
ФКН НАУ |
13 |
Лекция 11. Защита данных |
воскресенье 7 Июль, 2019 |
Ведение журнала доступа
Регистрация ВСЕХ попыток подключения к системе БД, включая и безуспешные. Эта регистрация должна быть максимально полной (кто подключался или пытался подключиться, с какого терминала или узла сети, в какое время и т.д.) ;
Регистрация действий пользователей по использованию ВСЕХ ресурсов системы, включая и данные, а также других действий и событий, которые тем или иным образом могут повлиять на защиту данных .
Предоставление администратору возможности просмотра ВСЕХ собранных данных и их анализа, выявления опасных с точки зрения системы защиты событий, установления их причины и пользователей, ответственных за нарушение политики безопасности.
ФКН НАУ |
14 |
Лекция 11. Защита данных |
воскресенье 7 Июль, 2019 |
Обход системы защиты
К носителям данных базы данных можно получить доступ в обход системы защиты. неадекватно изменить их содержимое или даже уничтожить их .
Наиболее эффективными средствами борьбы с такой угрозой является использование методов шифровки (криптографии).
В идеальном случае используемый метод шифровки должен быть таким, чтобы либо "затраты" на дешифровку превосходили "выигрыш" от доступа к данным, либо чтобы время дешифровки превосходило время, на протяжении которого данные рассматриваются как секретные .
В системах с распределенными базами данных опасность представляют различные формы перехвата передаваемых данных.
ФКН НАУ |
15 |