характеризуються значною гнучкістю.
· У разі виборчого управління, навпаки, кожному об'єкту даних присвоюється певний класифікаційний рівень, а кожен користувач має деяким рівнем допуску. При такому підході доступом до певного об'єкту даних володіють тільки користувачі з відповідним рівнем допуску.
· Для реалізації виборчого принципу передбачені наступні методи. У базу даних вводиться новий тип об'єктів БД - це користувачі. Кожному користувачеві в БД присвоюється унікальний ідентифікатор. Для додаткового захисту кожен користувач крім унікального ідентифікатора постачається унікальним паролем, причому якщо ідентифікатори користувачів в системі доступні системному адміністратору, то паролі користувачів зберігаються найчастіше в спеціальному кодованому вигляді і відомі тільки самим користувачам.
· Користувачі можуть бути об'єднані в спеціальні групи користувачів. Один користувач може входити в кілька груп. У стандарті вводиться поняття групи PUBLIC, для якої повинен бути визначений мінімальний стандартний набір прав. За умовчанням передбачається, що кожен новостворюваний користувач, якщо спеціально не вказано інше, відноситься до групи PUBLIC.
· Привілеї або повноваження користувачів або груп - це набір дій (операцій), які вони можуть виконувати над об'єктами БД.
· В останніх версіях ряду комерційних СУБД з'явилося поняття «ролі». Роль - це пойменований набір повноважень. Існує ряд стандартних ролей, які визначені в момент встановлення сервера баз даних. І є можливість створювати нові ролі, групуючи в них довільні повноваження. Введення ролей дозволяє спростити управління привілеями користувачів, структурувати цей процес. Крім того, введення ролей не пов'язане з конкретними користувачами, тому ролі можуть бути визначені і сконфігуровані до того, як визначені користувачі системи.
· Користувачеві може бути призначена одна або декілька ролей.
· Об'єктами БД, які підлягають захисту, є всі об'єкти, збережені в БД: таблиці, представлення, збережені процедури і тригери. Для кожного типу об'єктів є свої дії, тому для кожного типу об'єктів можуть бути визначені різні права доступу.
На самому елементарному рівні концепції забезпечення безпеки баз даних виключно прості. Необхідно підтримувати два фундаментальні принципи: перевірку повноважень і перевірку автентичності (аутентифікацію).
Перевірка повноважень заснована на тому, що кожному користувачеві або процесу інформаційної системи відповідає набір дій, які він може виконувати по відношенню до певних об'єктів. Перевірка справжності означає достовірне підтвердження того, що користувач або процес, який намагається виконати санкціонована дія, дійсно той, за кого він себе видає.
Система призначення повноважень має в деякому роді ієрархічний характер. Найвищими правами і повноваженнями володіє системний адміністратор або адміністратор сервера БД. Традиційно тільки цей тип користувачів може створювати інших користувачів і наділяти їх певними повноваженнями.
СУБД в своїх системних каталогах зберігає як опис самих користувачів, так і опис їх привілеїв по відношенню до всіх об'єктів.
Стандартні способи захисту
Захист з використанням пароля БД
Даний спосіб захисту дозволяє встановити пароль на відкриття БД, для всіх користувачів. Для його створення необхідно відкрити файл БД в «монопольному» режимі і вибрати пункт меню Сервіс/Захист/Визначити пароль бази даних. Для роботи з такою базою даних в MS Access буде потрібно вводити пароль. Ось приклад роботи з файлом БД, використовуючи DAO або ADO.
Public Sub TestDAO () mWS As DAO. WorkspacemDB As DAO. DatabasemWS=DBEngine. Workspaces (0) mDB=mWS. OpenDatabase _
(«C: a97.mdb», True, True, »; pwd=123») SubSub TestADO () CnDB As New ADODB. Connection. Open «Provider=Microsoft. Jet.OLEDB.4.0 » amp; _
«; Data Source=C: a97.mdb » amp; _
«; Jet OLEDB: Database Password=123 »Sub
Це самий не надійний спосіб захисту баз даних. Існує достатня кількість безкоштовних і платних утиліт, що відображають пароль. У тому числі доступні исходники коду на VB дозволяють прочитати такий пароль. У втім не все так погано. Існує оригінальна модифікація цього способу захисту, про який мова піде нижче.
Захист з використанням пароля користувача
Даний спосіб дозволяє ввести додатковий рівень обмежень, пов'язаних з роботою БД Access. Заснований на створенні файлу робочих груп, в якому визначаються імена користувачів, їхні паролі і права на...
