<<
>>

Управление доступом

Для каждого пользователя система ведет паспорт пользователя, составленный АБД, в котором указан системный идентификационный номер пользователя, имя процедуры подтверждения подлинности, перечень разрешенных для данного пользователя операций.
Паспорт определяет профиль (права) пользователя.

Однако в целом ряде случаев информации о правах пользователя на разрешенные операции оказывается недостаточно для решения вопроса о допустимости выполнения этих операций с конкретными данными. Поэтому каждое групповое данное должно иметь связанный с ним набор ограничений доступа. Этот набор ограничений содержит:

условие, которому должен удовлетворять пользователь, чтобы иметь доступ к этому групповому данному;

пароль, предъявляемый при выборке некоторых комбинаций данных из этого группового данного;

пароль, предъявляемый при модификации этих данных, и т.п.

Система управления БД проверяет, не нарушено ли какое-либо ограничение из набора, и если есть нарушение, то подавляет выполнение операции пользователя, выдает ему в какой-либо форме сигнал ошибки и фиксирует в специальном журнале факт попытки нарушения безопасности данных.

В общем случае для решения вопроса о доступе пользователя к данным в составе СУБД должна быть специальная привилегированная программа, выполняющая проверку запроса пользователя на основании его паспорта, набора ограничений и конкретных значений данных в базе и решает вопрос о разрешении доступа. Поскольку эта программа должна иметь неограниченный (по выборке) доступ к любым данным в базе, АБД должны быть приняты специальные меры защиты этой программы, исключающие возможность ее использования не по назначению.

Алгоритмы подобной программы базируются на аксиоме безопасности и реализуют 14 различных проверок. Аксиома безопасности заключается в следующем.

Если комбинация атрибутов А доступна (запрещена) пользователю X в зависимости от условия 5, то каждая подкомбинация А также доступна (запрещена) пользователю X по условию В.

Состав проверок следующий:

1. Все ли отношения, упомянутые в запросе, доступны пользователю ЛГ?

2. Существует ли упомянутое в запросе отношение, запрещенное для Xе!

3. Все ли поколения, упомянутые в запросе, доступны XI

4. Существует ли упомянутое в запросе поколение, запрещенное для XI

5. Все ли атрибуты, упомянутые в запросе, доступны для XI

6. Существует ли упомянутый в запросе атрибут, запрещенный для X?

7. Все ли комбинации атрибутов, упомянутые в запросе, доступны для X?

8. Существует ли упомянутая в запросе комбинация атрибутов, запрещенная для XI

9. Существует ли квалифицирующее подвыражение, которое ограничивает диапазон значений атрибутов для каждой комбинации чувствительных атрибутов, упомянутых в запросе, и лежат ли их значения внутри диапазона, доступного для XI

10. Существует ли комбинация чувствительных атрибутов, упомянутая в запросе и содержащая подкомбинацию, значения которой ограничиваются квалифицирующими выражениями, и лежат ли их значения внутри диапазона, доступного для Xе!

11. Выполняется ли проверка 7 для X, расширенного косвенными атрибутами пользователя?

12. Выполняется ли проверка 8 для Х9 расширенного косвенными атрибутами пользователя?

13. Выполняется ли проверка 9 для X, расширенного косвенными атрибутами пользователя?

14. Выполняется ли проверка 10 для Х9 расширенного косвенными атрибутами пользователя?

Под косвенными атрибутами в данном случае понимаются атрибуты, имеющиеся в БД, содержащие дополнительную информацию о пользователе X. Например, это информация о том, что пользователь, запросивший анкетные данные о сотрудниках некоторого отдела, является руководителем этого отдела, либо это может быть пароль, указанный пользователем в запросе на доступ, и т.п.

<< | >>
Источник: Григорьев Ю.А., Ревунков Г.И.. Банки данных. 2002

Еще по теме Управление доступом:

  1. Метод Ключ – защита от стресса и доступ к управлению внутренними ресурсами
  2. 3. Доступ к источникам информации.
  3. Статья 1040. Обращение взыскания на имущество, переданное в управление, по требованию кредитора установщика управления
  4. Прямой доступ к информации и предузнавание
  5. Непосредственный доступ и предсказания
  6. § 6. Равный доступ к государственной службе
  7. 2.1.4. Классификация информации по доступу к ней
  8. Ключ доступен каждому.
  9. Прямой доступ к информации (на основе книг Барбары Энн Бреннан).
  10. Принцип обеспечения потерпевшим права на доступ к правосудию и возмещение причиненного преступлением вреда
  11. § 3. Право управления предприятием как особый вид абсолютных прав. Право полного и ограниченного управления (п. 1774-1776)
  12. УПРАВЛЕНИЕ ВРЕМЕНЕМ VERSUS УПРАВЛЕНИЕ СОБОЙ
  13. Статья 200. Незаконные действия с документами на перевод, платежными карточками и иными средствами доступа к банковским счетам, оборудованием для их изготовления
  14. 15.6. Порядок доступа к Архивным фондам и использования архивных документов
  15. § 4. Правопреемство как следствие приобретения права управления предприятием. Условия отчуждения и приобретения права управления предприятием (п. 1777-1782)
  16. Статья 361-2. Несанкционированные сбыт или распространение информации с ограниченным доступом, которая сохраняется в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или на носителях такой информации
  17. Статья 362. Несанкционированные действия с информацией, обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или сохраняется на носителях такой информации, совершенные лицом, имеет право доступа к ней
  18. 2. ИСТОЧНИКИ ИНФОРМАЦИИ. СПЕЦИФИКА И АЛГОРИТМЫ РАБОТЫ С ИСТОЧНИКАМИ ИНФОРМАЦИИ. ДОСТУП К ИСТОЧНИКАМ ИНФОРМАЦИИ. ПРАВОВЫЕ И ЭТИЧЕСКИЕ НОРМЫ РАБОТЫ С ИСТОЧНИКАМИ ИНФОРМАЦИИ.