ВУЗ: Томский государственный университет систем управления и радиоэлектроники
Категория: Учебное пособие
Дисциплина: Базы данных
Добавлен: 28.11.2018
Просмотров: 7020
Скачиваний: 47
121
выполнять над объектом. Операции могут быть простыми, такими как добавле-
ние данных, удаление данных, обновление данных, а могут представлять собой
хранимые процедуры, содержащие множество различных действий.
Кроме ограничений на действия с данными для субъектов безопасности
субъекту могут даваться разрешения на операции выдачи прав или введение
ограничений на действия с данными других субъектов. Это особо тонкая ра-
бота, требующая вдумчивого подхода. Достаточно случайно дать дополни-
тельные права какому-либо пользователю, и он сам сможет расширить свои
права для работы с данными или создать нового пользователя с расширенными
правами.
Для упрощения работы с большим количеством пользователей использу-
ется понятие роли (или группы пользователей). На пользователя, являющегося
членом данной роли, распространяются все разрешения или запреты, присво-
енные данной роли. Таким образом, для того чтобы дать разрешение на вы-
полнения каких-либо операций над данными для большого количества поль-
зователей, достаточно объединить их в одной роли, а затем разрешить эти
действия для роли. Обычно роли создают для выполнения каких-либо сходных
действий. Например, можно создать роль «Бухгалтер» и присоединить к ней
всех бухгалтеров предприятия. После этого можно легко управлять целой груп-
пой пользователей [15].
5.4 Дополнительные инструменты защиты БД
К дополнительным средствам защиты БД можно отнести целый ряд ин-
струментов, доступных для администраторов и программистов в различных
СУБД: шифрование, средства контроля вводимых значений, протоколирование
и аудит, тестирование различных аспектов безопасности БД и т. д.
1. Шифрование.
Одним из наиболее мощных средств обеспечения конфиденциальности
данных является шифрование. Шифрование данных (всей базы или отдельных
таблиц) применяют для того, чтобы в случае попадания файлов базы данных к
злоумышленнику процесс извлечения информации из файлов был крайне за-
труднителен. Кроме шифрования файлов БД иногда применяется шифрование
исходных текстов программ, которое позволяет скрыть от несанкцио-
нированного пользователя описание соответствующих алгоритмов. Шифрова-
ние также целесообразно использовать в системах, передающих данные по от-
122
крытым каналам связи, с целью невозможности извлечения информации из пе-
рехваченных данных.
2. Средства контроля вводимых значений.
Во многих СУБД для предотвращения случайных ситуаций ввода некор-
ректных данных используются специальные средства контроля. Редактируя БД,
пользователь может случайно ввести такие значения, которые не соответствуют
типу поля, в которое это значение вводится. Например, в числовое поле пользо-
ватель пытается занести текстовую информацию. В этом случае СУБД с помо-
щью средств контроля значений блокирует ввод и сообщает пользователю об
ошибке звуковым сигналом, изменением цвета вводимых символов или другим
способом.
Средства повышения достоверности вводимых значений в СУБД служат
для более глубокого контроля, связанного с семантикой обрабатываемых дан-
ных. Они обычно обеспечивают возможность при создании таблицы указывать
следующие ограничения на значения: минимальное и максимальное значения;
значение, принимаемое по умолчанию (если нет ввода), требование обязатель-
ного ввода; задание маски (шаблона) ввода; указание дополнительной свероч-
ной таблицы, по которой ведется контроль вводимых значений и т. д.
Более совершенной формой организации контроля достоверности инфор-
мации в БД является разработка хранимых процедур. Механизм хранимых про-
цедур применяется в БД, размещенных на сервере. Сами хранимые процедуры
представляют собой программы, алгоритмы которых предусматривают выпол-
нение некоторых функций (в том числе контрольных) над данными. Процедуры
хранятся вместе с данными и при необходимости вызываются из приложений
либо при наступлении некоторых событий в БД [3].
3. Протоколирование и аудит.
Зачастую помогает обеспечить защищенность данных наличие в системе
протоколирования (запись в журнал) всех действий, которые совершают поль-
зователи. Администратор может отслеживать все действия пользователей и вы-
являть возникающие на их основе проблемы. Кроме протоколирования для ана-
лиза накопленных данных используется аудит. Аудит – это периодический или
в реальном времени анализ накопленных данных по активности пользователей.
Аудит может выявить нештатные ситуации и сигнализировать о них админи-
страторам системы. Под нештатными ситуациями понимается целый набор со-
бытий, которые могут свидетельствовать о возможных угрозах системе (сете-
вые атаки, попытки подобрать пароль и т. п.).
123
4. Тестирование системы.
Необходимо периодически проводить тщательное тестирование инфор-
мационной системы и базы данных на предмет уязвимостей и на предмет кри-
тических ситуаций (при большой нагрузке, больших объемах обрабатываемой
информации и т. п.), а также на предмет ввода заведомо неправильной инфор-
мации [15].
· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·
Контрольные вопросы по главе 5
· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·
1. Дайте определение термину «безопасность БД».
2. Перечислите основные критерии классификации угроз БД.
3. Назовите угрозы конфиденциальности информации.
4. Что такое идентификация?
5. Перечислите основные способы аутентификации.
124
Заключение
Базы данных являются основой большинства действующих информаци-
онных систем, а информация, накопленная в различных базах данных, лежит в
основе развития многих процессов в современном обществе. Таким образом,
важность и значимость инструментов управления базами данных определяют
серьезные требования к квалификации специалистов, занимающихся проекти-
рованием, управлением, а также взаимодействием с информационными систе-
мами в любой предметной области. При возрастающем объеме информации и
сложности операций работы с данными проблема понимания эффективного
управления хранением, доступом и обработкой информации становится всё бо-
лее значимой.
Изучив пособие, вы освоите основные принципы функционирования и
проектирования баз данных, которые могут позволить в дальнейшем применить
её в рамках информационной системы.
125
Литература
1. Информатика. Базовый курс / под ред. С. В. Симоновича. – 2-е изд. –
СПб. : Питер, 2005. – 640 с.: ил.
2. Глушаков С. В. Базы данных : учеб. курс / С. В. Глушаков, Д. В. Ло-
мотько. – Харьков : Фолио; М. : ООО «Издательство АСТ», 2002. –
504 с.
3. Хомоненко А. Д. Базы данных : учебник для высших учебных заведе-
ний / А. Д. Хомоненко, В. М. Цыганков, М. Г. Мальцев ; под ред.
проф. А. Д. Хомоненко. – 4-е изд., доп. и перераб. – СПб. : КОРОНА
принт, 2004. – 736 с.
4. Гарсиа-Молина Г. Системы баз данных. Полный курс / Г. Гарсиа-
Молина, Дж. Ульман, Дж. Уидом. – Б. м. : Вильямс, 2003. – 1088 с.
5. Марков А. С. Базы данных. Введение в теорию и методологию : учеб-
ник / А. С. Марков, К. Ю. Лисовский. − М. : Финансы и статистика,
2006. − 512 с.: ил.
6. Дейт К. Дж. Введение в системы баз данных / К. Дж. Дейт ; пер. с
англ. – 8-е изд. – М. : Вильямс, 2005. – 1328 с.
7. Кузин А. В. Базы данных : учеб. пособие для студ. высш. учеб. заве-
дений / А. В. Кузин, С. В. Левонисова. – 2-е изд., стер. – М. : ИЦ
«Академия», 2008. – 320 с.
8. Карпова Т. С. Базы данных: модели, разработка, реализация /
Т. С. Карпова – СПб. : Питер, 2002. – 304 с.
9. Бекаревич Ю. Б. Самоучитель Access 2010 / Ю. Б. Бекаревич,
Н. В. Пушкина – СПб. : БХВ-Петербург, 2011. – 432 с.: ил.
10. Кузнецов М. В. MySQL 5 / М. В. Кузнецов, И. В. Симдянов. – СПб. :
БХВ-Петербург, 2010. – 1024 с.: ил.
11. Реализация языка SQL в MySQL [Электронный ресурс]. – Режим до-
ступа: http://www.sql.ru/docs/mysql/rus_ref/sql.shtml (дата обращения:
14.12.2017).
12. Дунаев В. В. Базы данных. Язык SQL / В. В. Дунаев. – СПб. : БХВ-
Петербург, 2006. – 288 с.
13. Гвоздева Т. В. Проектирование информационных систем / Т. В. Гвоз-
дева, Б. А. Баллод. – Ростов н/Д : Феникс, 2009. – 512 с.