KWA ;

Mpango wa udhibiti wa ufikiaji wa lazima

Mbinu za udhibiti wa ufikiaji wa lazima hutumiwa kwa hifadhidata ambazo habari iliyohifadhiwa ina muundo tuli na thabiti, ambao ni wa kawaida, kwa mfano, wa mashirika fulani ya kijeshi au ya serikali. Wazo la msingi ni kwamba kila kitu cha data kimepewa kiwango fulani cha uainishaji (au uainishaji wa usalama unaohitajika, kwa mfano "Siri ya Juu", "Siri", "Kwa Matumizi Rasmi", n.k.), na kila mtumiaji anapewa usalama uliowekwa alama. kiwango cha kibali , sawa na viwango vya uainishaji vilivyopo. Inachukuliwa kuwa viwango hivi vinaunda mfumo mkali wa hierarkia (kwa mfano, "Siri ya Juu"> "Siri" > "Kwa Matumizi Rasmi", nk). Kisha, kwa kuzingatia masharti haya, sheria mbili rahisi sana zinaweza kutengenezwa, kwanza zilizopendekezwa na Bell na La Padula.

• 1. Mtumiaji naweza sampuli ya data kutoka kwa kitu j ikiwa tu kiwango chake cha usalama ni kikubwa kuliko au sawa na kiwango cha uainishaji wa kitu j (mali rahisi ya usalama).
• 2. Mtumiaji naweza kurekebisha kitu j ikiwa tu kiwango chake cha kibali ni sawa na kiwango cha uainishaji wa kitu j (mali ya nyota).

Sheria ya kwanza ni dhahiri kabisa, wakati ya pili inahitaji maelezo ya ziada. Kwanza kabisa, inapaswa kuzingatiwa kuwa njia nyingine ya kuunda sheria ya pili ni: "Kwa ufafanuzi, habari yoyote iliyorekodiwa na mtumiaji hupata kiwango cha uainishaji ambacho ni sawa na kiwango cha kibali cha mtumiaji i." Sheria kama hiyo ni muhimu, kwa mfano, kuzuia kurekodi data ya siri na mtumiaji aliye na kiwango cha ufikiaji

"Siri", kwa faili yenye kiwango cha chini cha uainishaji, ambacho kitakiuka mfumo mzima wa usiri.

Usimbaji fiche wa data

Hapo awali, ilichukuliwa kuwa mtumiaji fulani hasidi alikuwa akijaribu kuingia kwenye hifadhidata kinyume cha sheria kwa kutumia zana za kawaida za ufikiaji zinazopatikana kwenye mfumo. Sasa tunapaswa kuzingatia kesi ambapo anajaribu kupenya bypassing database mfumo, i.e. kusogeza kwa mwili media ya hifadhi ya nje au kuunganisha kwenye laini ya mawasiliano. Njia bora zaidi ya kupambana na vitisho vile ni usimbaji fiche wa data, i.e. kuhifadhi na usambazaji wa data muhimu hasa katika fomu iliyosimbwa.

Ili kujifunza dhana za msingi za usimbaji fiche wa data, unahitaji kutambulisha dhana mpya. Data asili (isiyosimbwa) inaitwa maandishi wazi.

Nakala wazi imesimbwa kwa kutumia algorithm maalum ya usimbaji. Ingizo la algoriti kama hiyo ni maandishi wazi na ufunguo wa usimbaji fiche, na matokeo ni aina iliyobadilishwa ya maandishi wazi, inayoitwa ciphertext. Maelezo ya algoriti ya usimbaji fiche yanaweza kuchapishwa, lakini ufunguo wa usimbaji fiche haujafichuliwa kamwe. Ni maandishi yaliyosimbwa, isiyoeleweka kwa mtu yeyote ambaye hana ufunguo wa usimbaji, ambayo huhifadhiwa kwenye hifadhidata na kupitishwa kupitia laini ya mawasiliano.

Mfano 5.1. Acha kamba ifuatayo itolewe kama maandishi wazi.

AS KINGFISHERS CATCH FIRE (Kwa urahisi wa uwasilishaji, data hapa inachukuliwa kuwa na nafasi pekee na herufi kubwa.) Zaidi ya hayo, chukulia kuwa ufunguo wa usimbaji fiche ni mfuatano ufuatao.

Algorithm ya usimbaji fiche iliyotumiwa imefafanuliwa hapa chini.

1. Gawanya maandishi wazi katika vizuizi ambavyo urefu wake ni sawa na urefu wa ufunguo wa usimbaji fiche.

AS+KINGU NGFIS WAKE+ CATA +MOTO

• (Hapa nafasi zinaonyeshwa kwa ishara "+".)
• 2. Badilisha kila herufi ya maandishi kwa nambari kamili katika safu 00-26, ukitumia 00 kwa nafasi, 01,... kwa A, na 26 kwa Z. Matokeo yake ni mfuatano wa nambari zifuatazo.
• 0119001109 1407060919 0805181900 0301200308 0006091805
• 3. Rudia hatua ya 2 kwa ufunguo wa usimbuaji, na kusababisha safu ifuatayo ya nambari.
• 0512091520
• 4. Sasa fanya jumla ya thamani zilizowekwa kwa kila herufi katika kila safu ya maandishi wazi na zile zinazolingana zilizobadilishwa kwa herufi muhimu za usimbaji, na kwa kila jumla ya maadili haya mawili, bainisha na uandike salio la mgawanyiko. kwa 27.
• 5. Badilisha kila nambari kwenye mstari wa chini wa hatua ya 4 na alama ya maandishi inayolingana.

FDIZB SSOXL MQ+GT HMBRA ERRFY

Ikiwa ufunguo wa usimbuaji unajulikana, basi utaratibu wa usimbuaji katika mfano huu unaweza kufanywa kwa urahisi kabisa. Swali ni jinsi ilivyo vigumu kwa mtumiaji haramu kubainisha ufunguo wa usimbaji fiche kutokana na maandishi wazi na maandishi ya siri. Katika mfano huu rahisi, hii si vigumu sana kukamilisha, lakini ni wazi kwamba mipango ngumu zaidi ya usimbuaji inaweza kuendelezwa. Kwa hakika, mpango wa usimbaji fiche unapaswa kuwa kiasi kwamba juhudi inayotumika kusimbua ni kubwa mara nyingi kuliko faida iliyopatikana. (Kwa kweli, maoni haya yanatumika kwa vipengele vyote vya tatizo la usalama, yaani, gharama ya kujaribu kuharibu mfumo wa usalama inapaswa kuwa ya juu zaidi kuliko faida inayowezekana kutoka kwa hili.) Lengo kuu la utafutaji wa mipango kama hiyo linapaswa kuzingatiwa. mpango ambao msanidi wake mwenyewe, akiwa na vibadala vilivyo wazi na vilivyosimbwa vya sehemu sawa ya maandishi, hawezi kubainisha ufunguo na kwa hivyo kusimbua sehemu nyingine ya maandishi ya siri.

Usimamizi wa usalama kawaida hufanywa katika viwango vitatu:

• * kiwango cha hifadhidata;
• * kiwango cha mfumo wa uendeshaji;
• * kiwango cha mtandao.

Katika kiwango cha mfumo wa uendeshaji, msimamizi wa hifadhidata (DBA) lazima awe na haki za kuunda na kufuta faili zinazohusiana na hifadhidata. Kinyume chake, watumiaji wa kawaida hawapaswi kuwa na haki hizo. Rejelea hati za kawaida za Oracle kwa maelezo ya usalama ya kiwango cha mfumo wa uendeshaji. Katika mashirika mengi makubwa, DBA au msimamizi wa usalama wa hifadhidata hufanya kazi kwa karibu na wasimamizi wa mfumo wa kompyuta ili kuratibu juhudi za kuunda mahitaji na mazoea ya usalama.

Mahitaji ya usalama ya hifadhidata huelezea taratibu za kutoa ufikiaji wa hifadhidata kwa kumpa kila mtumiaji jozi ya jina la mtumiaji/nenosiri. Mahitaji pia yanaweza kupunguza kiasi cha rasilimali (nafasi ya diski na muda wa CPU) iliyotengwa kwa mtumiaji mmoja na kubainisha haja ya kukagua vitendo vya mtumiaji. Usalama wa kiwango cha hifadhidata pia hutoa udhibiti wa ufikiaji kwa vitu maalum vya schema ya hifadhidata.

Habari ya uendeshaji wa kampuni ya ndani, data ya kibinafsi ya wafanyikazi, habari ya kifedha, habari ya mteja na mteja, miliki, utafiti wa soko, uchambuzi wa mshindani, habari ya malipo - hizi ni aina za habari ambazo wahalifu wa mtandao mara nyingi huvutiwa nazo, na karibu kila wakati huhifadhiwa ndani. hifadhidata za ushirika.

Umuhimu na thamani ya habari hii husababisha hitaji la kulinda sio tu vipengele vya miundombinu, lakini pia hifadhidata zenyewe. Wacha tujaribu kutafakari kwa kina na kupanga maswala ya usalama ya mifumo mbali mbali ya usimamizi wa hifadhidata (DBMS) kwa kuzingatia vitisho vipya, mwelekeo wa jumla katika ukuzaji wa usalama wa habari na jukumu lao linaloongezeka na anuwai.

Karibu wazalishaji wote wakuu wa DBMS ni mdogo katika kuendeleza dhana ya usiri, uadilifu na upatikanaji wa data, na matendo yao yanalenga hasa kuondokana na udhaifu uliopo na unaojulikana tayari, kutekeleza mifano ya msingi ya upatikanaji na kushughulikia masuala maalum kwa DBMS fulani. Mbinu hii hutoa suluhu kwa matatizo mahususi, lakini haichangii kuibuka kwa dhana ya jumla ya usalama kwa aina ya programu kama vile DBMS. Hii inatatiza sana kazi ya kuhakikisha usalama wa maghala ya data katika biashara.

Historia ya maendeleo ya DBMS

Kihistoria, maendeleo ya mifumo ya usalama ya hifadhidata ilitokea kwa kujibu vitendo vya washambuliaji. Mabadiliko haya pia yametokana na mageuzi ya jumla ya hifadhidata kutoka kwa ufumbuzi wa mfumo mkuu hadi hifadhi ya wingu.

Njia zifuatazo za usanifu zinaweza kutofautishwa:

• ufikiaji kamili wa watumiaji wote kwenye seva ya hifadhidata;
• kugawanya watumiaji katika watu wanaoaminika na kuaminiwa kiasi kwa njia za DBMS;
• kuanzishwa kwa mfumo wa ukaguzi (magogo ya vitendo vya mtumiaji) kwa kutumia zana za DBMS;
• kuanzishwa kwa usimbaji fiche wa data; kuhamisha zana za uthibitishaji nje ya DBMS kwa mifumo ya uendeshaji na vifaa vya kati; kukataa kwa msimamizi wa data anayeaminika kikamilifu.

Kuanzishwa kwa hatua za usalama katika kukabiliana na vitisho haitoi ulinzi dhidi ya mbinu mpya za mashambulizi na hujenga mtazamo uliogawanyika wa tatizo la usalama yenyewe.

Kwa kuzingatia vipengele vile vya mabadiliko, idadi kubwa ya zana za usalama tofauti zimeonekana na zipo, ambazo hatimaye zilisababisha ukosefu wa ufahamu wa usalama wa kina wa data. Hakuna njia ya kawaida ya usalama wa ghala la data. Kutabiri mashambulizi ya siku zijazo na kuendeleza mifumo ya ulinzi pia inakuwa vigumu zaidi. Aidha, kwa mifumo mingi, mashambulizi ambayo yamejulikana kwa muda mrefu yanabaki kuwa muhimu, na mafunzo ya wataalam wa usalama inakuwa ngumu zaidi.

Shida za kisasa za usalama wa hifadhidata

Orodha ya udhaifu mkuu wa DBMS haijapata mabadiliko makubwa katika miaka ya hivi karibuni. Baada ya kuchambua zana za usalama za DBMS, usanifu wa hifadhidata, udhaifu unaojulikana na matukio ya usalama, tunaweza kutambua sababu zifuatazo za hali hii:

• Watengenezaji wakubwa tu ndio wanaochukua maswala ya usalama kwa umakini;
• watengenezaji programu wa hifadhidata, waandaaji programu na wasimamizi hawazingatii maswala ya usalama;
• mizani tofauti na aina za data zilizohifadhiwa zinahitaji mbinu tofauti za usalama;
• DBMS tofauti hutumia miundo tofauti ya lugha kufikia data iliyopangwa kulingana na modeli sawa;
• Aina mpya na miundo ya hifadhi ya data inajitokeza.

Athari nyingi husalia kuwa muhimu kwa sababu ya kutozingatia au kutojua kwa wasimamizi wa mfumo wa hifadhidata kuhusu masuala ya usalama. Kwa mfano, sindano rahisi za SQL zinatumika sana leo dhidi ya programu mbali mbali za wavuti ambazo hazizingatii vya kutosha data ya pembejeo ya hoja.

Matumizi ya zana mbalimbali za usalama wa habari ni maelewano ya kifedha kwa shirika: kuanzishwa kwa bidhaa salama zaidi na uteuzi wa wafanyakazi wenye ujuzi zaidi unahitaji gharama kubwa zaidi. Vipengele vya usalama mara nyingi vinaweza kuathiri vibaya utendakazi wa DBMS.

Matatizo haya yanazidishwa na ujio na matumizi makubwa ya DBMS zisizo za uhusiano, ambazo zinafanya kazi kwa mfano tofauti wa data, lakini zimejengwa kwa kanuni sawa na za uhusiano. Aina mbalimbali za suluhu za kisasa za NoSQL husababisha aina mbalimbali za data zinazotumiwa na kutia ukungu mpaka wa dhana ya hifadhidata.

Matokeo ya matatizo haya na ukosefu wa mbinu zinazofanana ni hali ya sasa ya usalama. Mifumo mingi ya NoSQL hukosa sio tu njia za usalama zinazokubalika kwa ujumla kama vile usimbaji fiche, usaidizi wa uadilifu wa data na ukaguzi wa data, lakini hata njia zilizotengenezwa za uthibitishaji wa mtumiaji.

Vipengele vya ulinzi wa hifadhidata

Uhifadhi wa data unajumuisha vipengele viwili: data iliyohifadhiwa (database yenyewe) na programu za usimamizi (DBMS).

Kuhakikisha usalama wa habari iliyohifadhiwa, hasa, haiwezekani bila kuhakikisha usimamizi salama wa data. Kulingana na hili, udhaifu wote wa DBMS na masuala ya usalama yanaweza kugawanywa katika makundi mawili: data-tegemezi na data-huru.

Udhaifu kujitegemea kutoka kwa data pia ni kawaida kwa aina zingine zote za programu. Sababu yao, kwa mfano, inaweza kuwa sasisho za programu zisizofaa, kuwepo kwa kazi zisizotumiwa, au sifa za kutosha za wasimamizi wa programu.

Vipengele vingi vya usalama wa DBMS vinategemea data. Wakati huo huo udhaifu mwingi zinategemea data kwa njia isiyo ya moja kwa moja. Kwa mfano, DBMS nyingi huauni hoja za data kwa kutumia baadhi ya lugha ya hoji iliyo na seti za vitendakazi vinavyoweza kufikiwa na mtumiaji (ambazo, kwa upande wake, zinaweza pia kuchukuliwa kuwa waendeshaji wa lugha ya hoja) au vitendaji kiholela katika lugha ya programu.

Usanifu wa lugha zinazotumiwa, angalau kwa lugha maalum na seti za vipengele vinavyohusika, inahusiana moja kwa moja na mfano wa data unaotumiwa kuhifadhi habari. Kwa hivyo, mfano huamua sifa za lugha na uwepo wa udhaifu fulani ndani yake. Zaidi ya hayo, udhaifu huo, kwa mfano, sindano, hufanywa tofauti (sindano ya sql, sindano ya java) kulingana na sintaksia ya lugha.

Mahitaji ya usalama wa hifadhidata

Kulingana na mgawanyiko wa udhaifu, inawezekana kutofautisha kati ya data-tegemezi na hatua za kujitegemea data ili kuhakikisha usalama wa vifaa vya kuhifadhi habari.

Data huru Mahitaji yafuatayo ya mfumo salama wa hifadhidata yanaweza kutajwa:

• Inafanya kazi katika mazingira ya kuaminika.

Mazingira yanayoaminika yanapaswa kueleweka kama miundombinu ya biashara na mifumo yake ya ulinzi iliyoamuliwa na sera za usalama. Kwa hivyo, tunazungumza juu ya utendaji wa DBMS kwa mujibu wa sheria za usalama zinazotumika kwa mifumo mingine yote ya biashara.

• Shirika la usalama wa kimwili wa faili za data.

Mahitaji ya usalama halisi ya faili za data za DBMS kwa ujumla sio tofauti na mahitaji yanayotumika kwa mtumiaji mwingine yeyote na faili za programu.

• Kuandaa usanidi salama na wa kisasa wa DBMS.

Sharti hili linajumuisha majukumu ya jumla ya usalama kama vile kusasisha masasisho, kuzima vipengele ambavyo havijatumiwa, au kudumisha sera madhubuti ya nenosiri.

Mahitaji yafuatayo yanaweza kuitwa tegemezi data:

• Usalama wa programu ya mtumiaji.

Hii inajumuisha majukumu ya kujenga miingiliano salama na mbinu za kufikia data.

• Salama shirika na ufanye kazi na data.

Suala la shirika na usimamizi wa data ni muhimu katika mifumo ya kuhifadhi habari. Eneo hili linajumuisha majukumu ya kupanga data yenye udhibiti wa uadilifu na matatizo mengine ya usalama mahususi ya DBMS. Kwa kweli, jukumu hili linajumuisha sehemu kubwa ya udhaifu unaotegemea data na ulinzi dhidi yao.

Vipengele vya msingi vya kuunda hifadhidata salama

Ili kutatua matatizo yaliyotambuliwa ya kuhakikisha usalama wa habari wa DBMS, ni muhimu kuhama kutoka kwa njia ya kufunga udhaifu hadi mbinu jumuishi ili kuhakikisha usalama wa hifadhi za habari. Hatua kuu za mpito huu zinapaswa kuwa masharti yafuatayo.

• Ukuzaji wa njia kamili za kuhakikisha usalama wa ghala za data katika biashara.

Uundaji wa mbinu ngumu itawawezesha kutumika katika maendeleo na utekelezaji wa maghala ya data na programu maalum. Kufuatia mbinu ya kina kutakuruhusu kuepuka hitilafu nyingi za usimamizi wa DBMS na kujilinda kutokana na udhaifu unaojulikana zaidi leo.

• Tathmini na uainishaji wa vitisho na udhaifu wa DBMS.

Uainishaji wa vitisho na udhaifu wa DBMS utaziruhusu kupangwa kwa uchambuzi na ulinzi unaofuata, na utawawezesha wataalamu wa usalama kubaini uhusiano kati ya udhaifu na sababu za kutokea kwao. Matokeo yake, wakati wa kuanzisha utaratibu maalum katika DBMS, wasimamizi na watengenezaji watakuwa na fursa ya kutambua na kutabiri vitisho vinavyohusishwa nayo na kuandaa hatua zinazofaa za usalama mapema.

• Maendeleo ya mifumo ya usalama ya kawaida.

Usanifu wa mbinu na lugha za kufanya kazi na data itafanya iwezekanavyo kuunda zana za usalama zinazotumika kwa DBMS tofauti. Kwa sasa, wanaweza tu kuwa mbinu au kinadharia, kwani, kwa bahati mbaya, kuibuka kwa zana za usalama za programu zilizopangwa tayari kwa kiasi kikubwa inategemea wazalishaji na watengenezaji wa DBMS na hamu yao ya kuunda na kufuata viwango.

kuhusu mwandishi

Maxim Sovetkin alihitimu kutoka Kitivo cha Mechanics na Hisabati cha Chuo Kikuu cha Jimbo la Belarusi na amekuwa akifanya kazi katika Itransition kwa zaidi ya miaka saba. Leo yeye ni mhandisi anayeongoza wa mifumo, anayehusika na muundo, ukuzaji na usaidizi wa miundombinu ya kampuni ya IT.

Tuma kazi yako nzuri katika msingi wa maarifa ni rahisi. Tumia fomu iliyo hapa chini

Wanafunzi, wanafunzi waliohitimu, wanasayansi wachanga wanaotumia msingi wa maarifa katika masomo na kazi zao watakushukuru sana.

Iliyotumwa kwenye http://www.allbest.ru/

Utangulizi

Maisha ya kisasa hayawezi kufikiria bila usimamizi mzuri. Jamii muhimu ni mifumo ya usindikaji wa habari, ambayo ufanisi wa biashara yoyote au taasisi inategemea sana. Mfumo kama huo unapaswa:

hakikisha kupokea ripoti za jumla na/au za kina juu ya matokeo ya kazi;

kuruhusu kwa urahisi kuamua mwenendo katika viashiria muhimu zaidi;

kuhakikisha kwamba taarifa muhimu kwa wakati inapokelewa bila ucheleweshaji mkubwa;

kufanya kwa usahihi na uchambuzi kamili data.

DBMS za kisasa ni programu tumizi za Windows, kwani mazingira yaliyotolewa hukuruhusu kutumia kikamilifu uwezo kompyuta binafsi kuliko mazingira ya DOS. Kupungua kwa gharama ya Kompyuta zenye utendaji wa juu sio tu kumesababisha mabadiliko makubwa kwa mazingira ya Windows, ambapo msanidi programu anaweza kuwa na wasiwasi kidogo juu ya ugawaji wa rasilimali, lakini pia imefanya programu ya Kompyuta kwa ujumla na DBMSs haswa kutokuwa muhimu sana. rasilimali za vifaa vya kompyuta. Miongoni mwa wawakilishi mashuhuri wa mifumo ya usimamizi wa hifadhidata ni: Njia ya Lotus, Ufikiaji wa Microsoft, Borland dBase, Borland Paradox, Microsoft Visual FoxPro, Microsoft Visual Msingi, pamoja na hifadhidata za Microsoft Seva ya SQL na Oracle, inayotumika katika programu zilizojengwa kwa kutumia teknolojia ya seva ya mteja.

Tatizo la kuhakikisha usalama wa habari ni mojawapo ya muhimu zaidi wakati wa kujenga muundo wa habari wa kuaminika wa taasisi kulingana na kompyuta. Suala hili linahusu ulinzi wa data halisi na programu za mfumo, na ulinzi dhidi ya ufikiaji usioidhinishwa wa data inayotumwa kupitia njia za mawasiliano na iliyo kwenye vifaa vya kuhifadhi, kutokana na shughuli za wote wawili. watu wasioidhinishwa, na programu maalum za virusi. Kwa hivyo, dhana ya ulinzi wa data inajumuisha masuala ya kudumisha uadilifu wa data na kusimamia upatikanaji wa data (idhini).

Kipengele cha kiteknolojia cha suala hili kinahusishwa na aina mbalimbali za vikwazo vinavyoungwa mkono na muundo wa DBMS na lazima kupatikana kwa mtumiaji. Hizi ni pamoja na:

Kuzuia kusasishwa kwa sifa fulani ili kudumisha uwiano unaohitajika kati ya maadili yao ya zamani na mpya;

Vizuizi ambavyo vinahitaji kudumisha maadili ya uwanja wa kiashiria katika safu fulani;

Vikwazo vinavyohusishwa na tegemezi maalum za utendakazi.

Kwa kawaida, katika DBMS, lugha ya ghiliba ya data tayari inajumuisha vipengele muhimu vya kutekeleza vikwazo vilivyoainishwa. Tatizo la kuhakikisha uidhinishaji wa matumizi ya data ni utata, lakini hasa inashughulikia masuala ya kulinda data kutoka kwa urekebishaji au uharibifu usiohitajika, na pia kutoka kwa usomaji usioidhinishwa.

Katika kazi hii, ninagusa mambo makuu ya usalama wa hifadhidata, utekelezaji wao kwa kutumia mifano ya DBMS maalum, na vile vile. upande wa kisheria suala hili.

Ulinzi wa data. Dhana ya usalama wa habari

habari ya ulinzi ufikiaji usioidhinishwa

Ulinzi wa habari ni seti ya hatua zinazolenga kuhakikisha vipengele muhimu zaidi usalama wa habari (uadilifu, upatikanaji na, ikiwa ni lazima, usiri wa habari na rasilimali zinazotumika kwa kuingiza, kuhifadhi, kuchakata na kusambaza data).

Mfumo unasemekana kuwa salama ikiwa, kwa kutumia maunzi na programu zinazofaa, unadhibiti ufikiaji wa habari ili watu walioidhinishwa ipasavyo tu, au michakato inayofanya kazi kwa niaba yao, wawe na haki ya kusoma, kuandika, kuunda na kufuta habari.

Kwa wazi, hakuna mifumo salama kabisa, na hapa tunazungumzia mfumo wa kuaminika kwa maana ya "mfumo unaoweza kuaminiwa" (kama mtu anaweza kuaminiwa). Mfumo unachukuliwa kuwa wa kuaminika ikiwa unatumia vifaa vya kutosha na programu inahakikisha usindikaji wa wakati mmoja wa habari za viwango tofauti vya usiri na kikundi cha watumiaji bila kukiuka haki za ufikiaji.

Vigezo kuu vya kutathmini uaminifu ni: sera ya usalama na udhamini.

Sera ya usalama, kuwa sehemu inayotumika ya ulinzi (pamoja na uchanganuzi vitisho vinavyowezekana na uteuzi wa hatua zinazofaa za kupinga), huonyesha seti ya sheria, kanuni na kanuni za tabia ambazo shirika fulani hutumia wakati wa kuchakata, kulinda na kusambaza habari.

Uchaguzi wa njia maalum za kuhakikisha usalama wa mfumo unafanywa kwa mujibu wa sera ya usalama iliyoandaliwa.

Uhakikisho, kuwa kipengele cha ulinzi, huonyesha kiwango cha uaminifu ambacho kinaweza kuwekwa katika usanifu na utekelezaji wa mfumo (kwa maneno mengine, inaonyesha jinsi kwa usahihi taratibu zinazohakikisha usalama wa mfumo huchaguliwa).

Mfumo unaotegemewa lazima urekodi matukio yote yanayohusiana na usalama yanayotokea (utaratibu wa ukataji miti unaowajibika lazima utumike, ukisaidiwa na uchanganuzi wa taarifa zilizohifadhiwa, yaani ukaguzi).

Wakati wa kutathmini kiwango cha dhamana ambayo mfumo unaweza kuzingatiwa kuwa wa kuaminika, mahali pa kati huchukuliwa na msingi wa kuaminika (unaoaminika) wa kompyuta. Msingi wa kompyuta unaoaminika (TFE) ni seti kamili ya mbinu za ulinzi mfumo wa kompyuta, ambayo hutumiwa kutekeleza sera inayofaa ya usalama.

Kuegemea kwa DVB inategemea tu utekelezaji wake na usahihi wa data iliyoingizwa (kwa mfano, data juu ya uaminifu wa watumiaji iliyoamuliwa na utawala).

Mpaka wa DVB huunda eneo la usalama. Vipengele vya DVB ziko ndani ya mpaka huu lazima ziwe za kuaminika (kwa hiyo, kutathmini uaminifu wa mfumo wa kompyuta, inatosha kuzingatia tu DVB yake). Vipengele vilivyo nje ya eneo la usalama kwa ujumla hazihitajiki kuaminika. Walakini, hii haipaswi kuathiri usalama wa mfumo. Kwa kuwa sasa hutumiwa sana mifumo iliyosambazwa usindikaji wa data, basi "mzunguko wa usalama" unaeleweka kama mpaka wa mali ya shirika fulani ambalo mfumo huu upo. Kisha, kwa mfano, kile kilicho ndani ya mpaka huu kinachukuliwa kuwa cha kuaminika. Kupitia mfumo wa lango unaoweza kustahimili mazingira yanayoweza kutegemewa na pengine hata ya uhasama, mawasiliano kuvuka mpaka huu hufanywa.

Udhibiti wa kuruhusiwa kwa masomo yanayofanya shughuli fulani kwenye vitu, yaani, kazi ya ufuatiliaji, inafanywa na msingi wa kuaminika wa kompyuta. Kila wakati mtumiaji anapata programu au data, mfuatiliaji huangalia uhalali wa ya rufaa hii(uthabiti wa vitendo vya mtumiaji maalum na orodha ya vitendo vinavyoruhusiwa kwake). Utekelezaji wa ufuatiliaji wa simu huitwa msingi wa usalama, kwa msingi ambao wote mifumo ya ulinzi mifumo. Kiini cha usalama lazima kihakikishe kutobadilika kwake.

Kulinda Kompyuta yako dhidi ya ufikiaji usioidhinishwa

Kama inavyoonyesha mazoezi, ufikiaji usioidhinishwa (UNA) unaleta mojawapo ya vitisho vikali zaidi kwa upataji hasidi wa taarifa zinazolindwa katika ASOD ya kisasa. Inaweza kuonekana kuwa ya kushangaza, kwa Kompyuta hatari ya tishio hili huongezeka ikilinganishwa na kompyuta kubwa, ambayo inawezeshwa na hali zifuatazo zilizopo:

1) idadi kubwa ya Kompyuta ziko moja kwa moja kwenye vyumba vya kazi vya wataalam, ambayo hutengeneza hali nzuri za ufikiaji wao na watu wasioidhinishwa;

2) Kompyuta nyingi hutumika kama njia ya pamoja ya usindikaji wa habari, ambayo huondoa uwajibikaji, pamoja na ulinzi wa habari;

3) Kompyuta za kisasa zina vifaa vya anatoa za LMD zisizoweza kutolewa ambazo ni nyingi sana uwezo mkubwa, na habari juu yao huhifadhiwa hata katika hali isiyo na nguvu;

4) Anatoa za GMD zinazalishwa kwa wingi kiasi kwamba tayari zinatumika kwa kusambaza habari kwa njia sawa na vyombo vya habari vya karatasi;

5) Hapo awali PC ziliundwa kama vile tiba ya kibinafsi otomatiki ya usindikaji wa habari, na kwa hivyo hawakuwa na vifaa maalum vya ulinzi dhidi ya ufikiaji usioidhinishwa.

Kulingana na yaliyo hapo juu, watumiaji hao wanaotaka kudumisha usiri wa taarifa zao wanapaswa kuchukua tahadhari maalum ili kuandaa Kompyuta wanayotumia kwa ulinzi bora dhidi ya ufikiaji usioidhinishwa.

Njia kuu za kulinda PC kutoka kwa ufikiaji usioidhinishwa zinaweza kuwakilishwa na orodha ifuatayo:

1) ulinzi wa kimwili wa PC na vyombo vya habari vya kuhifadhi;

2) kitambulisho (uthibitishaji) wa watumiaji na vipengele vya usindikaji wa habari vinavyotumiwa;

3) kizuizi cha upatikanaji wa vipengele vya habari iliyohifadhiwa;

4) kufungwa kwa siri ya habari iliyohifadhiwa iliyohifadhiwa kwenye vyombo vya habari (data archiving);

5) kufungwa kwa siri ya habari iliyolindwa wakati wa usindikaji wake wa moja kwa moja;

6) usajili wa ufikiaji wote wa habari iliyolindwa. Maudhui ya jumla na mbinu za kutumia taratibu zilizoorodheshwa zimeainishwa hapa chini.

Ulinzi wa habari katika hifadhidata

DBMS za kisasa zinaunga mkono mojawapo ya mbinu mbili za kawaida za usalama wa data: mbinu ya kuchagua na mbinu ya lazima. Katika mbinu zote mbili, kitengo cha data au "kitu cha data" ambacho usalama lazima uundwe kinaweza kuwa hifadhidata nzima au kitu chochote ndani ya hifadhidata.

Mbinu hizi mbili hutofautiana katika sifa zifuatazo:

Katika kesi ya udhibiti wa kuchagua, mtumiaji fulani ana haki mbalimbali (mapendeleo au mamlaka) wakati wa kufanya kazi na vitu hivi. Watumiaji mbalimbali inaweza kuwa na haki tofauti za ufikiaji kwa kitu kimoja. Haki za kupiga kura zina sifa ya kubadilika sana.

Katika kesi ya udhibiti wa kuchagua, kinyume chake, kila kitu cha data kinapewa kiwango fulani cha uainishaji, na kila mtumiaji ana kiwango fulani cha kibali. Kwa mbinu hii, watumiaji walio na kiwango sahihi cha usalama pekee ndio wanaoweza kufikia kitu mahususi cha data.

Ili kutekeleza kanuni ya uchaguzi, kuna masharti mbinu zifuatazo. Imeingia kwenye hifadhidata aina mpya vitu vya hifadhidata ni watumiaji. Kila mtumiaji katika hifadhidata amepewa kitambulisho cha kipekee. Kwa ulinzi wa ziada Kila mtumiaji, pamoja na kitambulisho cha kipekee, hupewa nywila ya kipekee, na ikiwa vitambulisho vya watumiaji kwenye mfumo vinapatikana kwa msimamizi wa mfumo, basi nywila za mtumiaji mara nyingi huhifadhiwa katika fomu maalum iliyosimbwa na inajulikana kwa watumiaji tu. wenyewe.

Watumiaji wanaweza kuunganishwa katika vikundi maalum vya watumiaji. Mtumiaji mmoja anaweza kuwa wa vikundi kadhaa. Kiwango kinatanguliza dhana ya kundi la UMMA, ambalo kiwango cha chini kabisa cha haki lazima kifafanuliwe. Kwa chaguo-msingi, inachukuliwa kuwa kila mtumiaji mpya aliyeundwa, isipokuwa ikiwa imebainishwa vinginevyo, ni wa kundi la UMMA.

Haki au mamlaka ya watumiaji au vikundi ni seti ya vitendo (operesheni) ambazo wanaweza kufanya kwenye vitu vya hifadhidata.

KATIKA matoleo ya hivi karibuni Idadi ya DBMS za kibiashara zimeanzisha dhana ya "majukumu". Jukumu ni seti iliyopewa jina la ruhusa. Kuna idadi ya majukumu ya kawaida ambayo hufafanuliwa wakati seva ya hifadhidata imesakinishwa. Na inawezekana kuunda majukumu mapya, kuweka nguvu za kiholela ndani yao. Utangulizi wa majukumu hukuruhusu kurahisisha usimamizi wa haki za mtumiaji na kuunda mchakato huu. Kwa kuongeza, utangulizi wa majukumu hauhusiani na watumiaji maalum, hivyo majukumu yanaweza kufafanuliwa na kusanidiwa kabla ya watumiaji wa mfumo kufafanuliwa.

Mtumiaji anaweza kupewa jukumu moja au zaidi.

Vitu vya hifadhidata ambavyo viko chini ya ulinzi ni vitu vyote vilivyohifadhiwa kwenye hifadhidata: majedwali, maoni, taratibu zilizohifadhiwa na vichochezi. Kila aina ya kitu ina vitendo vyake, kwa hivyo haki tofauti za ufikiaji zinaweza kufafanuliwa kwa kila aina ya kitu.

Katika kiwango cha msingi zaidi, dhana za usalama wa hifadhidata ni rahisi sana. Kuna kanuni mbili za kimsingi zinazohitaji kuungwa mkono: stakabadhi na uthibitishaji.

Ukaguzi wa ruhusa unatokana na ukweli kwamba kila mtumiaji au mchakato mfumo wa habari inalingana na seti ya vitendo ambayo inaweza kufanya kuhusiana na vitu fulani. Uthibitishaji unamaanisha kuthibitisha kwa uhakika kwamba mtumiaji au mchakato unaojaribu kutekeleza kitendo kilichoidhinishwa ndiye unadai kuwa.

Mfumo wa kupeana mamlaka ni wa hali ya juu kwa kiasi fulani. Ina haki na mamlaka ya juu zaidi Msimamizi wa Mfumo au msimamizi wa seva ya hifadhidata. Kijadi, aina hii ya mtumiaji pekee ndiye anayeweza kuunda watumiaji wengine na kuwapa ruhusa fulani.

DBMS katika saraka za mfumo wake huhifadhi maelezo ya watumiaji wenyewe na maelezo ya haki zao kuhusiana na vitu vyote.

Zaidi ya hayo, mpango wa kutoa mamlaka hujengwa kulingana na kanuni ifuatayo. Kila kitu kwenye hifadhidata kina mmiliki - mtumiaji aliyeunda kitu hicho. Mmiliki wa kitu ana haki na mamlaka yote kwa kitu hiki, ikiwa ni pamoja na haki ya kuwapa watumiaji wengine ruhusa ya kufanya kazi na kifaa hiki au kuchukua ruhusa zilizotolewa hapo awali kutoka kwa watumiaji.

Katika idadi ya DBMS, ngazi inayofuata ya uongozi wa watumiaji huletwa - huyu ndiye msimamizi wa hifadhidata. Katika DBMS hizi, seva moja inaweza kudhibiti DBMS nyingi (kwa mfano, MS SQL Server, Sybase). Oracle DBMS hutumia usanifu wa msingi mmoja, kwa hivyo wazo la subschema huletwa hapo - sehemu. mpango wa jumla DB na ingiza mtumiaji ambaye ana ufikiaji wa subschema. Kiwango cha SQL hakifafanui amri ya uundaji wa mtumiaji, lakini karibu na DBMS zote za kibiashara unaweza kuunda mtumiaji sio tu kwa maingiliano, lakini pia kwa utaratibu kwa kutumia taratibu maalum zilizohifadhiwa. Hata hivyo, kufanya operesheni hii, mtumiaji lazima awe na haki ya kuendesha utaratibu wa mfumo unaofaa.

Kiwango cha SQL kinafafanua kauli mbili: GRANT na KUBATILISHA, ambazo hutoa na kubatilisha mapendeleo, mtawalia.

Taarifa ya ruzuku ya upendeleo ina muundo ufuatao:

RUZUKU (<список действий | ALL PRIVILEGES }

WASHA<имя_объекта>KWAMBA (<имя_пользователя>] UMMA )

Hapa orodha ya vitendo inafafanua seti ya vitendo kutoka kwa orodha halali ya vitendo kwenye kitu cha aina fulani.

Kigezo cha ALL PRIVILEGES kinaonyesha kuwa vitendo vyote vinavyoruhusiwa kwa vitu vya aina hii vinaruhusiwa.

<имя_обьекта>-- hubainisha jina la kitu maalum: jedwali, mtazamo, utaratibu uliohifadhiwa, kichochezi.

<имя_пользователя>au UMMA huamua ni nani anayepewa mapendeleo haya.

Parameta ya WITH GRANT OPTION ni ya hiari na huamua hali ambayo sio tu haki za vitendo vilivyoainishwa huhamishwa, lakini pia haki ya kuhamisha haki hizi kwa watumiaji wengine. Katika kesi hii, mtumiaji anaweza kuhamisha haki tu ndani ya upeo wa vitendo vyake vinavyoruhusiwa.

Hebu tuchunguze mfano, tuseme tuna watumiaji watatu wenye majina ya kipekee kabisa userl, user2 na user3. Wote ni watumiaji wa hifadhidata moja.

Mtumiaji1 aliunda kipengee cha Tab1, yeye ndiye mmiliki wa kitu hiki na anaweza kuhamisha haki za kufanya kazi na kifaa hiki kwa watumiaji wengine. Wacha tuseme kwamba mtumiaji2 ni mendeshaji ambaye lazima aingize data kwenye Tab1 (kwa mfano, jedwali la maagizo mapya), na mtumiaji 3 ni bosi mkubwa (kwa mfano, meneja wa idara) ambaye lazima apitie data iliyoingizwa mara kwa mara.

Kwa kitu cha aina ya jedwali, orodha kamili ya vitendo halali ni seti ya shughuli nne: CHAGUA, INGIA, FUTA, USASISHA. Katika kesi hii, operesheni ya sasisho inaweza kupunguzwa kwa safu kadhaa.

Umbizo la jumla la taarifa ya upendeleo wa kitu cha aina ya jedwali litakuwa na sintaksia ifuatayo:

RUZUKU ([.INSERT][,IMEFUTWA[.SASISHA (<список столбцов>)]) WASHA<имя таблицы>

KWAMBA (<имя_пользователя>UMMA)

Basi itakuwa sawa kufanya kazi zifuatazo:

KWA mtumiaji2 TOA CHAGUA

Kazi hizi zinamaanisha kuwa mtumiaji2 ana haki ya kuingiza safu mlalo mpya pekee katika uhusiano wa Tab1>, na mtumiaji3 ana haki ya kutazama safu mlalo zote katika jedwali la Tab1.

Wakati wa kugawa haki za ufikiaji kwa operesheni ya urekebishaji, unaweza kutaja safu wima ambazo mtumiaji anaweza kubadilisha. Hebu tufikiri kwamba meneja wa idara ana haki ya kubadilisha bei ya huduma zinazotolewa. Wacha tufikirie kuwa bei imewekwa kwenye safu ya COST ya Tab1 ya jedwali. Halafu utendakazi wa kupeana upendeleo kwa mtumiaji3 unaweza kubadilika na kuonekana kama hii:

TOA UCHAGUZI. SASISHA (GHARAMA) KWENYE Kichupo cha1 KWA mtumiaji3

Ikiwa mtumiaji wetu1 atachukulia kuwa mtumiaji4 anaweza kuchukua nafasi yake ikiwa hayupo, basi anaweza kumpa mtumiaji huyu haki zote za kufanya kazi na jedwali iliyoundwa Tab1.

PEWA HUDUMA YOTE

KWA mtumiaji4 NA CHAGUO LA RUZUKU

Katika kesi hii, mtumiaji4 anaweza kupeana marupurupu ya kufanya kazi na jedwali la Tab1 kwa kukosekana kwa mmiliki wa kitu cha mtumiaji1. Kwa hivyo, ikiwa mtumiaji mpya wa mtumiaji5 anaonekana, anaweza kumpa haki za kuingiza safu mpya kwenye meza na amri.

KWENYE Tab1 HADI mtumiaji5

Ikiwa, wakati wa kuhamisha mamlaka, seti ya shughuli kwenye kitu ni mdogo, basi mtumiaji ambaye mamlaka haya yanahamishiwa anaweza kuhamisha kwa mtumiaji mwingine tu mamlaka ambayo anayo, au sehemu ya mamlaka haya. Kwa hivyo, ikiwa mtumiaji4 amekabidhiwa mamlaka yafuatayo:

TOA UCHAGUZI. UPDATE. FUTA

KWA mtumiaji4 NA CHAGUO LA RUZUKU,

basi mtumiaji4 hataweza kukabidhi ruhusa za kuingiza data kwa mtumiaji5, kwa sababu operesheni hii haijajumuishwa kwenye orodha ya wale wanaoruhusiwa kwake.

Mbali na kugawa moja kwa moja haki za kufanya kazi na meza njia ya ufanisi ulinzi wa data inaweza kuwa uundaji wa maoni ambayo yatakuwa na safu wima muhimu tu kwa kazi ya mtumiaji maalum na kutoa haki za kufanya kazi na mtazamo huu kwa mtumiaji.

Kwa sababu mionekano inaweza kulingana na maswali ya muhtasari, utendakazi wa urekebishaji hauruhusiwi kwenye mionekano hii, na kwa hivyo seti ya vitendo halali vya maoni kama hayo ni mdogo kwa operesheni ya CHAGUA. Ikiwa maoni yanalingana na uteuzi kutoka kwa jedwali la msingi, basi shughuli zote 4 zitakuwa halali kwa mwonekano kama huo: CHAGUA, INGIZA, SASISHA na UFUTE.

Ili kubatilisha upendeleo uliokabidhiwa hapo awali, kiwango cha SQL kinafafanua TAARIFA YA REVOKE. Opereta ya upendeleo ya kubatilisha ina syntax ifuatayo:

BATISHA (<список операций | ALL PRIVILEGES} ON <имя_объекта>

KUTOKA (<список пользователей | PUBLIC } {CASCADE | RESTRICT }

Chaguo za CASCADE au RESTRICT huamua jinsi upendeleo unapaswa kubatilishwa. Chaguo la CASCADE hubatilisha mapendeleo ya sio tu ya mtumiaji ambaye alirejelewa moja kwa moja katika taarifa ya GRANT wakati upendeleo ulitolewa, lakini pia watumiaji wote ambao mtumiaji huyo aliwapa mapendeleo kwa kutumia CHAGUO LA RUZUKU.

Kwa mfano, wakati wa kutumia operesheni:

FUTA MARADHI YOTE - KWENYE Tab1 HADI user4 CASCADE

haki za mtumiaji5, ambaye mtumiaji4 aliweza kumpa haki, pia zitabatilishwa.

Kigezo cha RESTRICKT kinaweka kikomo cha kubatilisha upendeleo kwa mtumiaji aliyerejelewa moja kwa moja tu katika taarifa ya BATILISHA. Lakini ikiwa umekabidhi marupurupu, taarifa hii haitatekelezwa. Kwa hivyo, kwa mfano, operesheni:

KUBATISHA MARADHI YOTE KWENYE Tab1 ILI UWEZE KUZUIA mtumiaji4

haitatekelezwa kwa sababu mtumiaji4 amehamisha sehemu ya mamlaka yake kwa mtumiaji5.

Kwa kutumia taarifa ya REVOKE, unaweza kubatilisha haki zote au baadhi tu ya marupurupu uliyopewa hapo awali kwa kufanya kazi na kitu mahususi. Wakati huo huo, kutokana na maelezo ya syntax ya opereta wa kufuta fursa, ni wazi kwamba unaweza kuchukua marupurupu na operator mmoja kutoka kwa watumiaji kadhaa mara moja au kutoka kwa kundi zima la UMMA.

Kwa hivyo, matumizi sahihi ya opereta REVOKE itakuwa:

BATISHA INGIZA KWENYE Kichupo! KWA mtumiaji2.user4 CASCADE

Wakati wa kufanya kazi na vitu vingine, orodha ya shughuli zinazotumiwa katika taarifa za GRANT na KUBATA hubadilika.

Kwa chaguo-msingi, hatua inayolingana na kuendesha (kutekeleza) utaratibu uliohifadhiwa hupewa washiriki wote wa kundi la UMMA.

Ikiwa unataka kubadilisha hali hii, lazima uandike taarifa ya REVOKE baada ya kuunda utaratibu uliohifadhiwa.

BATISHA UTEKELEZAJI KWENYE COUNT_EX HADI KESI YA UMMA Na sasa tunaweza kutoa haki mpya kwa mtumiaji4.

TOA UTEKELEZAJI KWA COUNT_EX KWA mtumiaji4

Msimamizi wa mfumo anaweza kuruhusu mtumiaji fulani kuunda na kurekebisha meza katika hifadhidata fulani. Kisha anaweza kuandika taarifa ya ruzuku kama ifuatavyo:

RUZUKU KUUNDA JEDWALI. ALTER TABLE, DROP TABLE ON OB_LIB TO user1

Katika hali hii, mtumiaji1 anaweza kuunda, kurekebisha, au kufuta majedwali katika hifadhidata ya DB_LIB, lakini hawezi kuruhusu watumiaji wengine kuunda au kurekebisha majedwali katika hifadhidata hii kwa sababu amepewa ruhusa isiyoweza kukabidhiwa.

Katika baadhi ya DBMS, mtumiaji anaweza kupewa haki ya kuunda hifadhidata. Kwa mfano, katika Seva ya MS SQL, msimamizi wa mfumo anaweza kumpa mtumiaji mkuu haki ya kuunda hifadhidata yake mwenyewe kwenye seva hii. Hii inaweza kufanywa kwa amri ifuatayo:

RUZUKU TUNZA HABARI

KWENYE SERVERJ) KWA mtumiaji mkuu

Kulingana na kanuni ya uongozi, mtumiaji mkuu, baada ya kuunda hifadhidata yake mwenyewe, sasa anaweza kutoa haki za kuunda au kubadilisha vitu vyovyote kwenye hifadhidata hii kwa watumiaji wengine. Katika DBMS zinazotumia usanifu wa msingi mmoja, ruhusa kama hizo haziruhusiwi. Kwa mfano, katika Oracle DBMS database moja tu imeundwa kwenye seva, lakini watumiaji wanaweza kufanya kazi katika ngazi ya subschema (sehemu ya meza za database na vitu vinavyohusiana). Kwa hiyo, dhana ya marupurupu ya mfumo huletwa hapo. Kuna mengi yao, marupurupu 80 tofauti.

Ili kuruhusu mtumiaji kuunda vitu ndani ya hifadhidata hii, dhana ya upendeleo wa mfumo hutumiwa, ambayo inaweza kupewa mtumiaji mmoja au zaidi. Wao hutolewa tu kwa vitendo na aina maalum ya kitu. Kwa hivyo, ikiwa wewe, kama msimamizi wa mfumo, umempa mtumiaji haki ya kuunda meza (CREATE TABLE), basi ili kuunda trigger kwenye meza, lazima apewe fursa nyingine ya mfumo CREATE TRIGGER. Mfumo wa usalama katika Oracle unachukuliwa kuwa mojawapo ya nguvu zaidi, lakini hii pia ina upande wa chini - ni ngumu sana. Kwa hiyo, kazi ya usimamizi katika Oracle inahitaji ujuzi mzuri wa semantiki zote za kanuni za kusaidia haki za upatikanaji na utekelezaji wa kimwili wa uwezo huu.

Utekelezaji wa ulinzi katika baadhi ya DBMS

Fikia usanifu wa usalama. Ikiwa una uzoefu na usalama unaotumiwa kwenye seva au kompyuta ya mfumo mkuu, muundo wa usalama katika Ufikiaji utaonekana kuwa unaojulikana kwako. Unaweza kubainisha ni watumiaji gani wamepewa au kukataliwa ufikiaji wa vitu vya hifadhidata. Kwa kuongeza, unaweza kufafanua vikundi vya watumiaji na kutoa ruhusa katika kiwango cha kikundi ili iwe rahisi kujenga ulinzi kwa idadi kubwa ya watumiaji. Mtumiaji anahitaji tu kuwa mwanachama wa kikundi ili kupata haki za ufikiaji zilizokabidhiwa kwake.

Fikia huhifadhi habari za usalama katika sehemu mbili. Wakati wa usakinishaji, Usanidi utaunda faili ya kawaida ya kikundi cha kazi (System.mdw) kwenye folda ya \Program Files\Microsoft Office\0ffice, ambayo hutumiwa kwa chaguo-msingi Ufikiaji unapoanza. Faili hii ina taarifa kuhusu watumiaji na vikundi vyote. Unapounda hifadhidata, Ufikiaji huhifadhi taarifa kuhusu haki zinazotolewa kwa watumiaji na vikundi maalum katika faili ya hifadhidata.

Mahali pa faili ya sasa ya kikundi cha kazi huhifadhiwa kwenye Usajili wa Windows. Unaweza kutumia shirika la Wrkadm.exe (Msimamizi wa Kikundi) kurekebisha faili ya sasa ya kikundi cha kazi au kufafanua faili mpya ya kikundi cha kazi. Unaweza pia kuchagua faili ya kikundi cha kazi unachotaka wakati programu inaendesha kwa kubainisha chaguo sahihi la mstari wa amri katika njia ya mkato ya kuanza.

Ikiwa mara kwa mara unaendesha programu salama iliyoshirikiwa kwenye mtandao, unapaswa kuhakikisha kuwa msimamizi wa mfumo wako anaweka kikundi chako cha kazi chaguo-msingi kama mgao wa faili kwenye folda ya mtandao.

Kila kikundi cha kazi kina kitambulisho cha kipekee cha ndani kinachozalishwa na Ufikiaji wakati kinafafanua faili ya vikundi vya kazi. Hifadhidata yoyote iliyoundwa na mtumiaji wa kikundi "inamilikiwa" na mtumiaji huyo na kikundi cha kazi. Kila mtumiaji na kikundi pia kina kitambulisho cha kipekee cha ndani, lakini inawezekana kunakili kitambulisho sawa cha mtumiaji na kikundi kwenye vikundi vingi vya kazi.

Unapotoa ruhusa ya ufikiaji kwa kitu katika hifadhidata yako, Ufikiaji huhifadhi kitambulisho cha mtumiaji wa ndani au kikundi kwenye hifadhidata pamoja na maelezo ya ufikiaji. Kwa njia hii, haki unazopeana husogezwa na faili ya hifadhidata unapoinakili kwenye folda au kompyuta nyingine.

Shirika la ulinzi

Katika maombi muhimu ya biashara, wakati seva ya DBMS lazima ipatikane kila mara kwa wateja, kazi nyingi za matengenezo ya kuzuia kwenye usaidizi wa hifadhidata lazima zifanywe kwa njia ya mtandao. Seva ya MS SQL ina uwezo wa kuhifadhi data kwa nguvu, yaani, hata wakati data hii inatumiwa na kubadilishwa na wateja. Katika kesi ya hitilafu ya maunzi, kukatika kwa umeme, n.k., utaratibu wa urejeshaji kiotomatiki wa Seva ya MS SQL hurejesha hifadhidata zote katika hali yake ya mwisho bila uingiliaji kati wa msimamizi. Shughuli zote zilizokamilishwa lakini ambazo hazijaripotiwa katika logi ya muamala hutumika kwenye hifadhidata (hii ndiyo hasa kinachotokea wakati wa tukio la chekpoint), na shughuli zinazosubiri, yaani, zile ambazo zilikuwa amilifu wakati wa kutofaulu, huondolewa kwenye kumbukumbu.

Tukizungumzia usanifu linganifu, shughuli za kuhifadhi nakala na kurejesha zinaweza kusawazishwa kwenye nyuzi nyingi na kutekelezwa kwa wakati mmoja, kwa kutumia I/O isiyolingana. Kila kifaa chelezo kimetengewa mkondo wake. Hifadhi nakala sambamba inasaidia hadi vifaa 32 vya chelezo kwa wakati mmoja, ambayo hukuruhusu kuunda haraka nakala za chelezo za hifadhidata kubwa sana. Uwezo wa kuweka nakala rudufu na kurejesha majedwali ya kibinafsi, ambayo tulitaja wakati wa kuangalia Transact-SQL, hukuruhusu kuokoa nafasi na wakati kwa kutonakili hifadhidata nzima kwa baadhi ya vitu vyake. Hata hivyo, kucheleza jedwali moja kunahitaji kufuli ya kipekee juu yake, tofauti na kucheleza hifadhidata nzima au kumbukumbu ya miamala, ambayo inaweza kufanywa bila kujali shughuli za mtumiaji. Hifadhi rudufu zinaweza kupewa muda wa kuhifadhi au tarehe ya mwisho wa matumizi, ambapo nafasi inayochukuliwa na nakala hizi kwenye kifaa haiwezi kutumika kushughulikia hifadhi zingine wakati kifaa kinapoanzishwa. Vifaa vya muda ambavyo si sehemu ya hifadhidata na havina maingizo kwenye jedwali la mfumo wa sysdevices pia vinaweza kutumika kama vifaa vya kuhifadhi nakala:

TANGAZA @kesho char(8)

CHAGUA @tomorrow = CONVERT(char(8), DATEADD(dd, 1, GETDATE()) , 1)

DUMP DATABASE pubs

KWA DISK = "\\ntalexeysh\disk_d\sql_experiments\pubs.dmp"

NA INIT, ILIPOISHA MUDA=@kesho, TAKWIMU

Kwa hifadhidata ndogo, logi yake ya muamala kawaida huhifadhiwa kwenye kifaa sawa na hifadhidata yenyewe na kuhifadhiwa pamoja nayo. Uwekaji kumbukumbu wa miamala unafanywa kwa kutumia kanuni ya kuandika-mbele, ambayo ina maana kwamba mabadiliko yoyote yanaonyeshwa kwanza kwenye logi ya muamala na kisha kuingia kwenye hifadhidata yenyewe. Ikiwa logi ya muamala iko kwenye kifaa tofauti, inawezekana kucheleza logi ya muamala kando.

Kwa kawaida, chelezo za hifadhidata hufanywa mara chache kuliko chelezo za kumbukumbu za miamala. Kwa mfano, kuhifadhi logi ya muamala hufanywa kila siku, na nakala ya chelezo ya hifadhidata nzima inaweza kufanywa mara moja kwa wiki, kwani kuhifadhi kumbukumbu ya shughuli ni haraka sana kwa wakati na inachukua nafasi kidogo kuliko kutupa hifadhidata nzima. Tofauti na hifadhidata ya hifadhidata, dampo la kumbukumbu ya muamala husafisha sehemu isiyotumika ya logi, yaani, shughuli zote ambazo zimekamilika (zilizofanywa au kughairiwa) tangu utupaji wa mwisho, isipokuwa chaguo la NO_TRUNCATE limetumika. Amri ya DUMP TRANSACTION TRUNCATE_ONLY, ambayo husafisha kumbukumbu ya muamala, ni muhimu ikiwa imejaa, ambayo inaweza kudhibitiwa, kwa mfano, na taarifa ya DBCC SQLPERF (LOGSPACE). Ikiwa kiwango cha kufurika cha kumbukumbu ni cha juu sana, unapoifuta, unaweza kukataa kuweka kumbukumbu ya tukio hili lenyewe: DUMP TRANSACTION NO_LOG. Ikiwa kuhifadhi nakala za miamala hakupendezi, unaweza kuwezesha chaguo kufuta shughuli za mwisho zilizokamilishwa kwenye hifadhidata baada ya kutokea kwa tukio la kituo cha ukaguzi. Hatua ya utaratibu wa kuangalia ni mara kwa mara kuandika data kutoka kwa cache hadi kwenye diski ili kuzuia data chafu. Matukio ya aina hii mara kwa mara hutolewa na MS SQL Server au hutokea kwa mpango wa mtumiaji. Kuwasha logi ya kupunguza kwenye chaguo la sehemu ya ukaguzi huhakikisha kuwa kidhibiti cha tukio kinafanya vitendo takriban sawa na amri ya DUMP TRANSACTION TRUNCATE_ONLY katika mzunguko fulani.

Wakati logi ya shughuli inarejeshwa, shughuli zinazofanana zinatumika kwenye hifadhidata. Hii inamaanisha kwamba ikiwa mwanzoni mwa juma nakala ya nakala rudufu ya hifadhidata nzima ilifanywa, na kisha shughuli za kila siku zilihifadhiwa kila siku, basi ikiwa urejesho ni muhimu, hali ya hifadhidata mwanzoni mwa juma inafufuliwa na utupaji wa kumbukumbu za miamala kwa siku zote zinazotangulia wakati wa urejeshaji huvingirishwa humo kwa mpangilio. MS SQL Server 6.5 ina uwezo wa kurejesha data kutoka kwa kumbukumbu ya muamala hadi mahali kiholela kwa wakati (iliyoonyeshwa kwenye kumbukumbu, bila shaka) kwa kutumia amri ya LOAD TRANSACTION STOPAT. au kwenye kidirisha cha kuhifadhi hifadhidata na kurejesha kwa kuchagua chaguo la hadi wakati. Miamala yote iliyo katika dampo hili ambayo imetiwa alama kuwa imekamilika baada ya hatua hii itarejeshwa.

Tulizingatia uwezekano wa kuratibu kazi za kuhifadhi nakala baada ya muda na kutuma ujumbe kwa barua-pepe ikiwa utakamilisha/kukosa kukamilisha wakati wa kujadili Mtendaji wa SQL.

MS SQL Server 6.5 hutoa uwezo wa kuakisi vifaa, kubadili hadi vifaa vinavyoakisiwa kama vile vya msingi, kuzima uakisi na kuharibu kifaa kinachoakisiwa pia "kurusha", i.e. bila kusimamisha utendakazi wa kawaida wa seva ili kuhudumia maombi ya mtumiaji. Kuakisi na kurudia vifaa vya kufanya kazi na MS SQL Server pia inaweza kufanywa kwa kutumia Windows NT, na pia katika kiwango cha vifaa (msaada wa mifumo mbalimbali ya RAID, nk). Inavyoonekana, inapaswa kuzingatiwa kuwa utekelezaji wa hatua ya kwanza ya teknolojia ya nguzo ya WolfPack itasaidia MS SQL Server 6.5 katika makundi ya kushindwa ya nodes mbili. Kutolewa kwa toleo linalofuata la Seva ya MS SQL kunapaswa kuhakikisha kuwa seva katika kundi zinafanya kazi kama seva moja pepe.

Kidhibiti cha Uhamisho hutumika kusafirisha/kuagiza vitu vya hifadhidata na data kwa Seva ya MS SQL kati ya mifumo tofauti ya maunzi, kwa mfano kati ya vichakataji vya Intel na Alpha, na pia kati ya matoleo tofauti ya Seva ya MS SQL, haswa kutoka mapema hadi yale ya baadaye au kati ya matoleo sawa. zile (zinazopatikana katika aina ya 4.x na 6.x). Mara nyingi, muundo wa vitu vya hifadhidata unafanywa kwa kutumia zana anuwai za picha, lakini nyaraka za muundo zinaweza kuhitaji muundo wa vitu sahihi kwa taarifa za DDL. Ili kupata hati zinazoelezea uundaji wa kitu kimoja cha hifadhidata, unaweza kutumia amri ya uhamishaji kutoka kwa menyu ya muktadha wa kitu hicho au uchague darasa la kitu kinachofaa na jina katika Kidhibiti cha Uhamisho. Kwa kuongeza, maudhui ya data yanaweza kupakiwa/kupakuliwa kwa kutumia matumizi ya bcp (tazama Jedwali 1).

Fikia Masuala ya Usalama

Akizungumza kuhusu faida za kuunganishwa na mfumo wa uendeshaji, MS SQL Server hutumia huduma za usalama za Windows NT katika kazi yake. Hebu tukumbushe kwamba Windows NT kwa sasa imethibitishwa kulingana na madarasa ya usalama C2/E3. Seva ya MS SQL inaweza kusanidiwa kufanya kazi katika mojawapo ya njia tatu za usalama. Hali iliyojumuishwa hutumia njia za uthibitishaji za Windows NT ili kuhakikisha usalama wa miunganisho yote ya watumiaji. Katika kesi hii, uaminifu tu, au uthibitishaji, viunganisho (bomba zilizoitwa na multiprotocol) zinaruhusiwa kwa seva. Msimamizi ana uwezo wa kupanga vikundi vya watumiaji wa Windows NT kwa nambari zinazolingana za kitambulisho cha kuingia kwenye Seva ya MS SQL kwa kutumia matumizi ya Kidhibiti Usalama cha SQL. Katika kesi hii, unapoingia kwenye Seva ya MS SQL, jina la kuingia na nenosiri lililotumwa kupitia DB-Library au ODBC hazizingatiwi. Hali ya usalama ya kawaida huchukulia kuwa Seva ya MS SQL itakuwa na kitambulisho chake cha kuingia na nywila zinazolingana. Hali iliyochanganywa hutumia muundo uliounganishwa wakati wa kuanzisha miunganisho ya bomba au protokali nyingi na muundo wa kawaida katika visa vingine vyote.

Seva ya MS SQL hutoa ukaguzi wa upendeleo wa viwango vingi wakati wa kupakia kwenye seva. Kwanza, haki za mtumiaji kuanzisha uunganisho na seva iliyochaguliwa (jina la kuingia na nenosiri) na kufanya kazi za utawala zinatambuliwa: kuunda vifaa na databases, kutoa haki kwa watumiaji wengine, kubadilisha mipangilio ya seva, nk. Msimamizi wa mfumo ana haki za juu zaidi. Katika kiwango cha hifadhidata, kila mtumiaji anayeingia kwenye seva anaweza kuwa na jina la mtumiaji la hifadhidata na haki za kufikia vitu vilivyo ndani yake. Inawezekana kuonyesha vitambulisho kadhaa vya kuingia kwa kila mtumiaji wa hifadhidata, na pia kuchanganya watumiaji katika vikundi kwa urahisi wa usimamizi na ugawaji wa haki sawa. Kuhusiana na vitu vya hifadhidata, mtumiaji anaweza kupewa haki za kufanya shughuli mbalimbali juu yao: kusoma, kuongeza, kufuta, kurekebisha, uadilifu wa kutangaza (DRI), kutekeleza taratibu zilizohifadhiwa, pamoja na haki za kufikia maeneo ya kibinafsi. Ikiwa hii haitoshi, unaweza kuamua maoni, ambayo hapo juu inabaki kuwa kweli. Hatimaye, unaweza kukataa kabisa mtumiaji upatikanaji wa moja kwa moja wa data, na kumwacha tu haki za kutekeleza taratibu zilizohifadhiwa, ambazo zitaelezea hali nzima ya upatikanaji wake kwenye hifadhidata. Taratibu zilizohifadhiwa zinaweza kuundwa kwa chaguo la NA USIMBO, ambalo husimba maandishi ya haraka ya utaratibu, kwa kawaida huhifadhiwa katika syscomments. Haki za kutekeleza baadhi ya amri (kuunda hifadhidata, jedwali, chaguo-msingi, sheria, maoni, taratibu, kuhifadhi hifadhidata na kumbukumbu za miamala) sio mahususi, kwa hivyo hupewa na msimamizi wa mfumo wa seva au mmiliki (muundaji) wa hifadhidata. wakati wa kuhariri hifadhidata. Haki za mtumiaji kwa kawaida husimamiwa katika Kidhibiti Biashara cha SQL, lakini Transact-SQL imehifadhi taratibu (sp_addlogin, sp_password, sp_revokelogin, sp_addalias, sp_adduser) na taarifa (GRANT, REVOKE) ambazo huruhusu uundaji wa mtumiaji, kukabidhi, na kubatilisha haki za vitendo wakati wa kutekeleza hati. Chaguo la ziada la kusimamia haki hutolewa na SQL-DMO tulizojadili hapo juu.

Udhibiti wa Ufikiaji

Usalama wa Seva ya SQL una viwango kadhaa vya usalama:

* mfumo wa uendeshaji;

* hifadhidata;

* kitu cha hifadhidata.

Kwa upande mwingine, utaratibu wa usalama unadhani kuwepo kwa aina nne za watumiaji:

* msimamizi wa mfumo na ufikiaji usio na kikomo;

* Mmiliki wa hifadhidata ambaye ana ufikiaji kamili wa vitu vyote vya hifadhidata;

* mmiliki wa vitu vya hifadhidata;

* Watumiaji wengine ambao lazima wapate idhini ya kufikia vitu vya hifadhidata.

Mtindo wa usalama wa Seva ya SQL unajumuisha vipengele vifuatavyo:

* Aina ya unganisho kwa Seva ya SQL;

* Mtumiaji wa hifadhidata;

* mtumiaji (mgeni);

*majukumu.

Aina ya uunganisho wa SQL Seva

Inapounganishwa (na kulingana na aina ya unganisho), Seva ya SQL inasaidia njia mbili za usalama:

* Njia ya uthibitishaji ya Windows NT;

* modi ya uthibitishaji mchanganyiko.

Hali ya uthibitishaji wa Windows NT hutumia usalama wa Windows NT na utaratibu wake wa akaunti. Hali hii inaruhusu Seva ya SQL kutumia jina la mtumiaji na nenosiri ambalo limefafanuliwa katika Windows, na hivyo kupitisha mchakato wa muunganisho wa Seva ya SQL. Kwa njia hii, watumiaji walio na akaunti halali ya Windows wanaweza kuunganisha kwa Seva ya SQL bila kushiriki jina lao la mtumiaji na nenosiri. Mtumiaji anapofikia DBMS, DBMS hupokea maelezo ya jina la mtumiaji na nenosiri kutoka kwa sifa za usalama za mtandao wa mtumiaji wa Windows (ambazo huwekwa mtumiaji anapounganisha kwenye Windows).

Hali ya uthibitishaji mchanganyiko hutumia mifumo yote miwili ya uthibitishaji: Windows na SQL Server. Unapotumia mfumo wa uthibitishaji wa Seva ya SQL, mtumiaji binafsi anayeunganisha kwenye Seva ya SQL lazima atoe jina la mtumiaji na nenosiri, ambalo litalinganishwa na zile zilizohifadhiwa kwenye jedwali la mfumo wa seva. Wakati wa kutumia mfumo wa uthibitishaji wa Windows, watumiaji wanaweza kuunganisha kwenye Seva ya SQL bila kutoa jina la mtumiaji na nenosiri.

Watumiaji wa hifadhidata

Dhana ya mtumiaji wa hifadhidata inarejelea hifadhidata (au hifadhidata) inayoweza kufikiwa na mtumiaji binafsi. Baada ya muunganisho uliofaulu, seva huamua ikiwa mtumiaji huyu ana ruhusa ya kufanya kazi na hifadhidata inayofikiwa.

Isipokuwa tu kwa sheria hii ni mtumiaji mgeni. Mgeni maalum wa jina la mtumiaji huruhusu mtumiaji yeyote aliyeunganishwa kwenye Seva ya SQL kufikia hifadhidata hii. Mtumiaji anayeitwa mgeni amepewa jukumu la umma.

Haki za ufikiaji

Amri zifuatazo hutumiwa kudhibiti haki za ufikiaji katika Seva ya SQL:

*RUZUKU. Inakuruhusu kufanya vitendo na kitu au, kwa amri, kutekeleza;

*FUTA. Inabatilisha haki za ufikiaji kwa kitu au, kwa amri, inazuia kutekelezwa;

*KATAA. Hairuhusu vitendo kutekelezwa kwenye kitu (lakini amri ya REVOKE huondoa tu ruhusa hizi).

Ruhusa za kitu hukuruhusu kudhibiti ufikiaji wa vipengee katika Seva ya SQL kwa kutoa na kubatilisha ruhusa kwenye majedwali, safu wima, maoni na taratibu zilizohifadhiwa. Ili kufanya kitendo fulani kwenye kitu, mtumiaji lazima awe na haki inayofaa ya ufikiaji. Kwa mfano, ikiwa mtumiaji anataka kutekeleza kauli ya SELECT * FROM jedwali, basi lazima awe na ruhusa ya kutekeleza taarifa ya SELECT kwa jedwali la jedwali.

Ruhusa za amri hufafanua wale watumiaji ambao wanaweza kutekeleza vitendo vya usimamizi, kama vile kuunda au kunakili hifadhidata. Zifuatazo ni ruhusa za amri:

TUNZA HABARI -- haki ya kuunda hifadhidata;

TENGENEZA CHAGUO CHAGUO -- haki ya kuunda thamani ya kawaida kwa safu wima ya jedwali;

TENGENEZA UTARATIBU - haki ya kuunda utaratibu uliohifadhiwa.

UNDA NAFASI -- haki ya kuunda goavil kwa safu wima ya jedwali;

CREATE TABLE -- haki ya kuunda jedwali;

TUNZA TAZAMA -- haki ya kuunda mwonekano;

HUDUMA DATABASE -- haki ya kuunda nakala rudufu;

BACKUP TRANSACTION -- haki ya kuunda nakala rudufu ya kumbukumbu ya muamala.

Majukumu

Kukabidhi jukumu kwa mtumiaji humruhusu kutekeleza majukumu yote yanayoruhusiwa na jukumu hilo. Kimsingi, majukumu yanaweka sawa watumiaji ambao wana haki sawa za ufikiaji. Seva ya SQL ina aina zifuatazo za majukumu:

* majukumu ya kiwango cha seva;

* Majukumu ya kiwango cha hifadhidata.

Majukumu ya kiwango cha seva

Majukumu haya hutoa viwango tofauti vya ufikiaji kwa shughuli na kazi za seva*. Majukumu ya kiwango cha seva yamefafanuliwa awali na hufanya kazi ndani ya seva. Hazitegemei hifadhidata maalum na haziwezi kubadilishwa.

Kuna aina zifuatazo za majukumu ya kiwango cha seva katika Seva ya SQL:

Sysadmin - inatoa haki ya kufanya kitendo chochote katika SQL Server;

Serveradmin -- inatoa haki ya kubadilisha vigezo vya Seva ya SQL na kuzima uendeshaji wake;

Setupadmin -- inatoa haki ya kusakinisha mfumo wa urudufishaji na kusimamia utekelezaji wa taratibu zilizohifadhiwa zilizopanuliwa;

Msimamizi wa usalama -- inatoa haki ya kudhibiti vigezo vya akaunti za kuunganisha kwenye seva na kutoa haki za ufikiaji kwa hifadhidata;

Processadmin -- inatoa haki ya kudhibiti utekelezwaji wa michakato katika Seva ya SQL;

Dbcreator - inatoa haki ya kuunda na kurekebisha hifadhidata;

Diskadmin - inatoa haki ya kusimamia faili za hifadhidata kwenye diski.

Majukumu ya kiwango cha hifadhidata

Majukumu ya kiwango cha hifadhidata hukuruhusu kugawa haki kwa hifadhidata mahususi kwa mtumiaji binafsi au kikundi. Majukumu ya kiwango cha hifadhidata yanaweza kupewa akaunti za watumiaji katika hali ya uthibitishaji wa Windows au SQL Server. Majukumu pia yanaweza kuorodheshwa, kwa hivyo akaunti zinaweza kukabidhiwa kikundi cha hali ya juu cha haki za ufikiaji.

Kuna aina tatu za majukumu katika SQL Server:

* majukumu yaliyoainishwa mapema;

* majukumu yaliyoainishwa na mtumiaji;

*majukumu dhahiri.

Majukumu ya kiwango cha hifadhidata ya kawaida yamefafanuliwa mapema. Kila hifadhidata ya Seva ya SQL ina majukumu haya. Wanafanya iwe rahisi na rahisi kuhamisha majukumu.

Majukumu yaliyoainishwa awali ni mahususi ya hifadhidata na hayawezi kubadilishwa. Yafuatayo ni majukumu ya kiwango cha hifadhidata.

db_owner -- inafafanua ufikiaji kamili wa vitu vyote vya hifadhidata, inaweza kufuta na kuunda upya vitu, na kupeana haki za kitu kwa watumiaji wengine. Inashughulikia vipengele vyote vilivyoorodheshwa hapa chini kwa majukumu mengine ya kiwango cha hifadhidata;

db_accessadmin -- hudhibiti ufikiaji wa hifadhidata kwa kuongeza au kuondoa watumiaji katika njia za uthibitishaji;

db_datareader -- inafafanua ufikiaji kamili wa urejeshaji data (kwa kutumia taarifa CHAGUA) kutoka kwa jedwali lolote la hifadhidata. Inakataza utekelezaji wa taarifa za INGIZA, FUTA na USASISHA kwa jedwali lolote la hifadhidata;

db_datawriter -- Inaruhusu INGIA, FUTA na USASISHA taarifa kutekelezwa kwenye jedwali lolote la hifadhidata. Huzuia utekelezaji wa taarifa CHAGUA kwenye jedwali lolote la hifadhidata;

db_ddadmin -- hukuruhusu kuunda, kurekebisha na kufuta vitu vya hifadhidata;

db_securityadmin -- inasimamia mfumo wa usalama wa hifadhidata, na vile vile ugawaji wa ruhusa za kitu na amri na majukumu kwa hifadhidata;

db_backuoperator -- hukuruhusu kuunda chelezo za hifadhidata;

db_denydatareader -- imenyimwa ruhusa ya kutekeleza taarifa CHAGUA kwenye majedwali yote kwenye hifadhidata. Huruhusu watumiaji kurekebisha miundo iliyopo ya jedwali, lakini hairuhusu watumiaji kuunda au kufuta majedwali yaliyopo;

db_denydatawriter -- kukataa ruhusa ya kutekeleza taarifa za urekebishaji data (INGIZA, FUTA na USASISHA) kwa majedwali yoyote ya hifadhidata;

umma -- jukumu lililopewa kiotomatiki mara baada ya kumpa mtumiaji ufikiaji wa hifadhidata.

Majukumu yaliyoainishwa na mtumiaji hukuruhusu kupanga watumiaji katika kikundi na kupeana kila kikundi kazi maalum ya usalama.

Kuna aina mbili za majukumu ya kiwango cha hifadhidata yaliyoainishwa na mtumiaji:

* jukumu la kawaida;

* Jukumu la kiwango cha maombi.

Jukumu la kawaida hutoa mbinu mahususi ya hifadhidata ya kuunda majukumu yaliyoainishwa na mtumiaji. Madhumuni ya kawaida ya jukumu la kawaida ni kupanga watumiaji kimantiki kulingana na haki zao za ufikiaji. Kwa mfano, programu zina aina kadhaa za viwango vya usalama vinavyohusishwa na aina tatu za watumiaji. Mtumiaji mwenye uzoefu anaweza kufanya operesheni yoyote kwenye hifadhidata; mtumiaji wa kawaida anaweza kurekebisha baadhi ya aina za data na kusasisha data; mtumiaji ambaye hajahitimu kwa ujumla amepigwa marufuku kurekebisha aina zozote za data.

Jukumu la kiwango cha programu huruhusu mtumiaji kutekeleza haki za jukumu. Mtumiaji anapokubali jukumu la kiwango cha programu, huchukua jukumu jipya na kuachilia kwa muda haki zingine zote za ufikiaji zilizowekwa kwenye hifadhidata mahususi. Jukumu la safu ya programu linaeleweka katika mazingira ambapo watumiaji huuliza na kurekebisha data kwa kutumia programu ya mteja.

Uchambuzi wa mfumo ni utumiaji wa mbinu ya kimfumo ya usindikaji wa habari maalum na kufanya maamuzi. Kanuni zinazozingatiwa za mbinu ya mifumo pia ni kanuni za uchambuzi wa mifumo.

Wao huongezewa na kanuni maalum zifuatazo:

* uchanganuzi wa mchakato wowote wa kufanya maamuzi unapaswa kuanza na utambuzi na uundaji wazi wa malengo (matokeo ya utendaji yanayotarajiwa), ambayo mara nyingi huamuliwa kwa kuzingatia mfumo wa kiwango cha juu;

* Ni muhimu kuzingatia malengo hayo tu, uwezekano wa kufikia ambao ni p> p0 kwa wakati t.

Kanuni hizi maalum zinaonyesha mkakati fulani wa kimfumo wa uchambuzi, unaohitaji kuzingatia sio tu mfumo yenyewe, lakini pia mazingira ya nje yake (mfumo wa juu au mfumo wa meta), na kufafanua mpaka kati yao.

Matarajio ya maendeleo ya mifumo ya urejeshaji wa taarifa za hali halisi na hifadhidata ni benki za maarifa, dhana mpya ya mfumo wa habari unaotumia matokeo ya utafiti na maendeleo katika uwanja wa akili bandia.

Usalama wa Data katika Oracle 7

Kizuizi cha ufikiaji. Iwapo tuna uhakika kwamba watumiaji walioidhinishwa pekee ndio wanaoweza kuunganisha kwenye hifadhidata yetu na kwamba wanaweza tu kuendesha vijenzi ambavyo wameidhinishwa kwa uwazi kutekeleza, basi tunahitaji kufikiria juu ya kiwango kinachofuata cha usalama—kuzuia ufikiaji wa watumiaji hao kwa data.

Hatua kubwa mbele katika usalama wa data ilikuwa kuanzishwa kwa majukumu katika Oracle7. Kabla ya Oracle7, kila mtumiaji alilazimika kutoa haki za ufikiaji kwa kila kitu cha hifadhidata ambacho waliruhusiwa kutumia. Mchakato huu hurahisishwa kwa kutoa ufikiaji wa mkusanyiko wa vitu kwa jukumu, na kisha kutoa ruhusa ya kutumia jukumu hilo kwa watu wanaofaa. Kwa kutumia amri ya GRANT, tunaweza kuwapa watumiaji haki ya kufanya CHAGUA, INGIZA, SASISHA na KUFUTA shughuli kwenye vipengee vya hifadhidata (kwa mfano, majedwali). Hata hivyo, hii yenyewe haitoi kubadilika sana. Tunaweza kuzuia ufikiaji wa mtumiaji kwa sehemu za jedwali kwa kuigawanya kwa mlalo (kuzuia mtumiaji kwa safu mlalo fulani), kiwima (kumzuia kwa safu wima fulani), au zote mbili kwa usawa na wima. Jinsi ya kufanya hivyo?

Wacha turudi kwenye mfano wetu na jedwali la MALIPO. Hatutaki watumiaji wote kuona safu ya MSHAHARA, na tunataka kupunguza ufikiaji wa watumiaji ili waweze kuona rekodi za wafanyikazi katika idara zao pekee.

Tunaweza kufafanua mwonekano na kuwapa watumiaji idhini ya kufikia mwonekano huo badala ya jedwali la msingi (PAYROLL). Wataweza tu kuuliza data ya jedwali kupitia mwonekano unaozuia ufikiaji wao. Ufafanuzi wa mtazamo kama huo umetolewa hapa chini.

UNDA TAZAMA vjpayroll AS CHAGUA kitambulisho

Payment_period KUTOKA kwa malipo WHERE dept = (CHAGUA idara

KUTOKA kwa mysys_users AMBAPO jina la mtumiaji = MTUMIAJI) NA CHAGUO LA KUANGALIA;

Safu ya MSHAHARA katika mfano huu haijajumuishwa kwenye mwonekano, kwa hivyo mishahara haiwezi kuonekana ndani yake, na kifungu cha WHERE huhakikisha kwamba watumiaji wanaweza tu kuuliza data kutoka kwa jedwali la MALIPO kwa idara yao.

Ifuatayo inapaswa kusemwa juu ya uamuzi huu. Kwanza, tunahitaji kuhakikisha kuwa watumiaji hawawezi kubadilisha idara yao kwa kusasisha thamani ya MYSYSJUSERS na kisha kuuliza rekodi kutoka kwa idara nyingine. Pili, mtazamo huu ungewaruhusu watumiaji kusasisha, kuingiza, na kufuta hata safu mlalo zisizo za idara katika jedwali la PAYROLL ikiwa hatungelemaza utendakazi huu kwa kutumia kifungu cha CHAGUO LA KUANGALIA.

Kumbuka

Mwonekano wa V_PAYROLL hauwezekani kusasishwa kwa sababu safu wima ya MSHAHARA kwa hakika ina kikwazo cha NOT NULL kinachotumika. Hata hivyo, tunapendekeza kutumia CHAGUO LA KUANGALIA kwenye mionekano yote yenye vikwazo kwa sababu toleo la 7.3 limeongeza kwa kiasi kikubwa idadi ya maoni ambayo yanaweza kusasishwa.

Kupunguza utazamaji wa data kupitia maoni hufanya kazi vizuri sana. Lakini kwa jedwali kubwa lenye mahitaji magumu ya usalama, unaweza kulazimika kuunda maoni mengi na kuwa na programu kuamua ni ipi inayohitajika kwa mtumiaji fulani. Haipendekezi kutekeleza hili ndani ya programu, kwa hivyo masuluhisho mengine yanapaswa kuchunguzwa. Tunaweza kujumuisha shughuli zote kwenye jedwali la PAYROLL katika kifurushi kilichohifadhiwa, au tunaweza kuunda vichochezi kadhaa. Hebu tuangalie suluhisho la kwanza.

Kutumia vifurushi

Kifurushi kina njia (taratibu/kazi) zinazokuruhusu kufanya kazi kwenye jedwali au kuuliza safu kutoka kwake. Kwa mtumiaji ambaye ana ruhusa ya kutekeleza kifurushi lakini hana ruhusa ya kufikia jedwali, yaliyomo na muundo wa jedwali hazipatikani moja kwa moja. Mmiliki wa kifurushi ana idhini kamili ya kufikia PAYROLL, lakini mpiga simu hana. Mtumiaji anapotekeleza utaratibu uliohifadhiwa, kimsingi kwa kutumia mwonekano, anatenda kwa idhini ya ufikiaji iliyotolewa kwa mmiliki wake.

Jaribio letu la kwanza la kuunda kifurushi kama hicho linaonyeshwa kwenye Mfano 10.2. Kifurushi cha k_payroll huhakikisha kwamba rekodi zinaweza tu kufutwa na mkuu wa idara na kwamba ni mkuu wa idara pekee ndiye anayeweza kuweka thamani ya safu ya MSHAHARA.

Mfano wa kuunda kifurushi ili kuhakikisha usalama wa ufikiaji wa data

TUNZA AU KUBADILISHA KIFURUSHI k_payroll AS my_dept payroll.dept%TYPE; mgr BOOLEAN;

PROCEDURE del(p_emp_id INTEGER);

PROCEDURE ins (p_emp_id INTEGER, p_name VARCHAR2

P_dept INTEGER, kipindi_cha_malipo VARCHAR2

P_salary INTEGER);

PROCEDURE imesasishwa (p_emp__id INTEGER, p_name VARCHAR2

P_payment_penod VARCHAR2 ,p_mshahara INTEGER);

/UNDA AU KUBADILISHA KIFURUSHI BODY k_payroll AS

mgr_flag payroll.mgr_flag%TYPE;

KUTOKA kwa watumiaji_wa_mysys

WAPI jina la mtumiaji = MTUMIAJI;

FUNCTION kitengo cha ukaguzi (p_emp_id INTEGER) REJESHA BOOLEAN IS

idara ya malipo.dept%TYPE;

CURSOR cjpayroll IS

KUTOKA malipo ya mishahara

WAPI kitambulisho = p_emp_id;

FUNGUA c_payroll ;

FUTA cjpayroll NDANI ya idara;

CLOSE c_payroll;

IF idara<>my_dept BASI

UTARATIBU del (p_emp_id INTEGER) NI

Wakuu wa idara zao pekee ndio wanaweza kuwaondoa wafanyikazi

Maingizo ya meza ya mishahara

IF checkdept(p_emp_id) NA mgr BASI

WAPI kitambulisho = p_emp_id;

lift_application_error (-20001, "Upendeleo Usiotosha"); ENDIF;

Nyaraka zinazofanana

Haja na hitaji la ulinzi wa habari. Aina za vitisho kwa usalama wa teknolojia ya habari na habari. Njia za uvujaji na ufikiaji usioidhinishwa wa habari. Kanuni za muundo wa mfumo wa ulinzi. Wakiukaji wa ndani na nje wa AITU.

mtihani, umeongezwa 04/09/2011


Vipengele vya kihistoria vya kuibuka na maendeleo ya usalama wa habari. Njia za usalama wa habari na uainishaji wao. Aina na kanuni za uendeshaji wa virusi vya kompyuta. Msingi wa kisheria wa kulinda habari kutoka kwa ufikiaji usioidhinishwa.

uwasilishaji, umeongezwa 12/09/2015


Tabia za njia kuu za ulinzi dhidi ya ufikiaji usioidhinishwa. Maendeleo ya sera ya usalama ya mfumo. Ubunifu wa programu kwa matumizi ya zana fulani za usalama wa habari kwenye OS. Yaliyomo katika sehemu kuu za Usajili.

kazi ya maabara, imeongezwa 03/17/2017


Utafiti wa dhana na uainishaji wa aina na njia za ufikiaji usioidhinishwa. Ufafanuzi na mfano wa mshambuliaji. Shirika la usalama wa habari. Uainishaji wa njia za kulinda habari katika mifumo ya kompyuta kutoka kwa vitisho vya bahati mbaya na vya kukusudia.

muhtasari, imeongezwa 03/16/2014


Maendeleo ya kisasa ya mifumo ya udhibiti wa kiotomatiki na ulinzi wa habari. Kazi ya mfumo wa ulinzi wa rejista tatu. Uchaguzi wa mifumo ya ulinzi na sifa zao. Wajibu wa ukiukaji wa usalama wa njia. Mbinu za ulinzi wa hali ya ufikiaji wa moja kwa moja. Mahitaji ya ulinzi wa habari.

muhtasari, imeongezwa 10/29/2010


Mbinu na njia za kulinda data ya habari. Ulinzi dhidi ya ufikiaji usioidhinishwa wa habari. Vipengele vya kulinda mifumo ya kompyuta kwa kutumia njia za cryptography. Vigezo vya kutathmini usalama wa habari na teknolojia ya kompyuta katika nchi za Ulaya.

mtihani, umeongezwa 08/06/2010


Njia za ufikiaji usioidhinishwa, uainishaji wa njia na njia za kulinda habari. Njia za uvujaji wa habari. Miongozo kuu ya ulinzi wa habari katika mfumo wa usimamizi. Hatua za ulinzi wa moja kwa moja wa kompyuta za kibinafsi. Uchambuzi wa usalama wa nodes za mtandao wa ndani "Stroyproekt".

tasnifu, imeongezwa 06/05/2011


Mbinu na njia za kulinda habari kutoka kwa ufikiaji usioidhinishwa. Vipengele vya ulinzi wa habari katika mitandao ya kompyuta. Ulinzi wa kriptografia na sahihi ya dijiti ya kielektroniki. Njia za kulinda habari kutoka kwa virusi vya kompyuta na mashambulizi ya hacker.

muhtasari, imeongezwa 10/23/2011


Njia za ufikiaji usioidhinishwa, uainishaji wa njia na njia za kulinda habari. Uchambuzi wa njia za usalama wa habari kwenye LAN. Utambulisho na uthibitishaji, ukataji miti na ukaguzi, udhibiti wa ufikiaji. Dhana za usalama wa mfumo wa kompyuta.

tasnifu, imeongezwa 04/19/2011


Programu na maunzi kwa ajili ya kulinda kompyuta yako dhidi ya ufikiaji usioidhinishwa. Kufunga kwa umeme "Sable". Mfumo wa usalama wa habari wa SecretNet. Vifaa vya usalama vya habari vya vidole. Usimamizi wa ufunguo wa umma, vituo vya uthibitisho.