1.66M

Лекция14_МКТ

1.

№ 14 дәріс
Мәліметтер қорын басқару
жүйелерінің ақпараттық
қауіпсіздігі
Жоспар:
1. Пайдаланушыларды анықтау және аутентификациялау.
2. Қол жеткізуді басқару
3. Пайдаланушылардың негізгі санаттары
4. Артықшылық түрлері
5. Қол жеткізу құқықтарының иерархиясы.
6. Қауіпсіздік белгілері және мәжбүрлі қол жетімділікті басқару
7. МҚБЖ-да деректердің тұтастығын сақтау
8. Жоғары дайындықты қолдау құралдары.

2.

Мәліметтер қорын басқару жүйелері үлкен көлемдегі ақпаратты
сақтаудың басым құралына айналды. Кейбір дамыған ақпараттық
қосымшалар операциялық жүйелердің файлдық құрылымдарына емес,
клиент/сервер технологиясында орындалған көппайдаланушы МҚБЖ-ға
сүйенеді. Осыған байланысты МҚБЖ және де ең алдымен олардың
серверлік компоненттерінің ақпараттық қауіпсіздігін қамтамасыз ету
тұтастай алғанда ұйымның қауіпсіздігі үшін шешуші мәнге ие болады.
МҚБЖ үшін ақпараттық қауіпсіздіктің барлық үш негізгі аспектісі
маңызды – құпиялылық, тұтастық және қолжетімділік. Көрсетілген
ұғымдар мен құралдарды суреттеу үшін INGRES, Informix және Oracle
МҚБЖ пайдаланылады.

3.

Пайдаланушыларды анықтау және
аутентификациялау
1
Әдетте МҚБЖ–да пайдаланушылардың түпнұсқалығын
анықтау және тексеру үшін операциялық жүйенің тиісті
механизмдері немесе SQL – CONNECT операторы қолданылады.
Мысалы, МҚБЖ Oracle жағдайында CONNECT операторы келесі
түрге ие:
CONNECT пайдаланушы [/құпия сөз] [@мәліметтер_қоры];
Қалай болғанда да, мәліметтер қорының серверімен жұмыс
сеансы басталған кезде пайдаланушы өз атымен анықталады, ал
пароль аутентификация құралы ретінде қызмет етеді. Бұл процестің
егжей-тегжейлері қосымшаның клиенттік бөлігін іске асырумен
анықталады.

4.

Қол жеткізуді басқару
2
Әдетте, МҚБЖ-да объектінің иесі оған қол жеткізу құқығын (көбінесе
артықшылықтар) өз қалауы бойынша берген кезде қол жеткізуді ерікті
басқару
қолданылады.
Артықшылықтар
субъектілерге
(жеке
пайдаланушыларға), топтарға, рөлдерге немесе барлық пайдаланушыларға
берілуі мүмкін.
Топ – пайдаланушылардың аталған жиынтығы. Субъектілерді топтарға
біріктіру мәліметтер қорын басқаруды жеңілдетеді және әдетте ұйымның
ресми немесе нақты құрылымына негізінде құрылады. Әр пайдаланушы
бірнеше топқа кіре алады. Пайдаланушы мәліметтер қорымен жұмыс істеу
сеансын қандай да бір жолмен бастағанда, ол өз топтарының қайсысы
атынан жұмыс істейтінін көрсете алады. Сонымен қатар, пайдаланушы үшін
әдетте болжамды топ анықталады.

5.

2
Рөл – бұл артықшылықтардың тағы бір ықтимал атаулы
тасымалдаушысы. Рұқсат етілген пайдаланушылар тізімі рөлмен
байланысты емес-оның орнына рөлдер парольдермен қорғалған.
Мәліметтер қорымен сеанс басталған кезде пайдаланылған рөлді
(әдетте жалаушалар немесе баламалы механизм арқылы) және егер
бар болса, оның паролін анықтауға болады. Рөлдік
артықшылықтар
пайдаланушылар
мен
топтардың
артықшылықтарынан басым болады. Басқаша айтқанда,
пайдаланушы субъект ретінде белгілі бір рөлі бар қосымшалармен
өңделетін объектілерге қол жеткізу құқығына ие болуы міндетті
емес.

6.

Пайдаланушылардың негізгі санаттары
3
МҚБЖ пайдаланушыларын үш санатқа бөлуге болады:
мәліметтер қоры серверінің әкімшісі. Серверді орнату, конфигурациялау,
пайдаланушыларды, топтарды, рөлдерді тіркеу және т. б. Тікелей немесе жанама түрде
ол басқа пайдаланушылардың барлық артықшылықтарына ие немесе ие бола алады.
Мәліметтер қорының әкімшілері. Бұл санатқа мәліметтер базасын құрған кез-келген
пайдаланушы кіреді, сондықтан оның иесі болып табылады. Басқа пайдаланушыларға
қорға және ондағы объектілерге қол жеткізуге мүмкіндік бере алады. Қор әкімшісі оны
сақтауға және қалпына келтіруге жауап береді. Негізінде ұйымда көптеген мәліметтер
қорының әкімшілері болуы мүмкін.
басқа (ақырғы) пайдаланушылар. Олар өздеріне бөлінген артықшылықтар шеңберінде
қорда сақталған мәліметтермен жұмыс істейді.
Әр түрлі мәліметтер қорын басқаруды әр түрлі адамдарға тапсыру тек осы қорлар
тәуелсіз болған кезде және оларға қатысты артықшылықтарды бөлу немесе сақтық көшірме
жасау туралы келісілген саясат жүргізудің қажеті болмаған кезде ғана мағынасы бар. Бұл
жағдайда әкімшілердің әрқайсысы қажеттілік бойынша жеткілікті біледі.

7.

Артықшылық түрлері
4
МҚБЖ-дағы артықшылықтарды екі санатқа бөлуге
болады:
1. қауіпсіздік артықшылықтары
2. қол жетімділік артықшылықтары.
Қауіпсіздік артықшылықтары әкімшілік әрекеттерді
орындауға
мүмкіндік
береді.
Қол
жеткізу
артықшылықтары, атауына сәйкес, субъектілердің белгілі
бір объектілерге қол жеткізу құқығын анықтайды.

8.

Қауіпсіздік артықшылықтары
4
Қауіпсіздік артықшылықтары әрқашан белгілі бір пайдаланушыға (топқа, рөлге
немесе барлығына емес) оны құру немесе сипаттамаларын өзгерту кезінде бөлінеді.
Мұндай бес артықшылық бар:
security – МҚБЖ қауіпсіздігін басқару және пайдаланушылардың іс-әрекеттерін
қадағалау құқығы. Мұндай артықшыққа ие пайдаланушы кез-келген мәліметтер
қорына қосыла алады, пайдаланушылардың, топтардың және рөлдердің
сипаттамаларын жасай алады, жоя алады және өзгерте алады, мәліметтер базасына
кіру құқығын басқа пайдаланушыларға бере алады, тіркеу ақпаратының жазбасын
басқара алады, басқа пайдаланушылардың сұраныстарын қадағалай алады және
соңында басқа пайдаланушылардың атынан командаларды орындай алады. security
артықшылығы дерекқор серверінің әкімшісіне, сондай-ақ ақпараттық қауіпсіздікке
дербес жауапты тұлғаға қажет. Бұл артықшылықты басқа пайдаланушыларға беру
(мысалы, дерекқор әкімшілері) дерекқор серверін қорғаудағы ықтимал әлсіз
жақтардың санын көбейтеді.

9.

4
createdb – мәліметтер базасын құру және жою құқығы. Бұл артықшылық,
сервер әкімшісінен басқа, жеке мәліметтер базасының әкімшілері ретінде
тағайындалған пайдаланушыларға ие болуы керек.
operator – дәстүрлі түрде оператордың құзыретіне жататын әрекеттерді
орындау құқығы. Бұл серверді іске қосу және тоқтату, ақпаратты сақтау
және қалпына келтіру туралы. Сервер әкімшілері мен мәліметтер
базасынан басқа, амалдық жүйенің әкімшісіне де осы артықшылық
берген жөн.
maintain_locations – мәліметтер қоры мен операциялық жүйенің
орналасуын басқару құқығы.
trace – ретке келтіру трассасының жалауларының күйін өзгерту құқығы.
Бұл артықшылық дерекқор серверінің әкімшісіне және күрделі, түсініксіз
жағдайларды талдау кезінде басқа білетін пайдаланушыларға пайдалы.

10.

Қол жетімділік артықшылықтары
4
Қол жетімділік артықшылықтарын пайдаланушыларға, топтарға, тиісті объектілердің иесінің (ол
дерекқор әкімшісі) немесе security артықшылығының иесінің (әдетте дерекқор серверінің әкімшісі)
рөлдеріне бөледі. Топтар мен рөлдерге артықшылықтар бермес бұрын, оларды (топтар мен рөлдер) құру
керек. Мұндай әрекеттерді жасаған кезде субъектілер мен олардың артықшылықтары туралы мәліметтер
сақталатын iidbdb дерекқорына қосылу болуы керек. Қол жеткізу артықшылықтарын олар жататын
объектілердің түрлеріне сәйкес бөлуге болады:
кестелер мен көріністер
процедуралар
мәліметтер қоры
деректер қорының сервері
оқиғалар.
Кестелер мен көріністерге қатысты келесі қол жеткізу құқықтарын басқаруға болады:
SELECT – деректерді іріктеу құқығы
INSERT – деректерді қосу құқығы
DELETE – деректерді жою құқығы
UPDATE – деректерді жаңарту құқығы (жаңартуға рұқсат етілген белгілі бір бағандарды көрсетуге болады)
REFERENCES – берілген кестеге сілтеме жасайтын сыртқы кілттерді пайдалану құқығы (белгілі бір
бағандарды көрсетуге болады).

11.

Қол жеткізу құқықтарының иерархиясы
.
4
МҚБЖ қолжетімділігін басқару құралдары қолжетімділікті шектеудің мынадай түрлерін іске
асыруға мүмкіндік береді:
операциялық шектеулер
мәндер бойынша шектеулер (ұсыну механизмі есебінен);
ресурстарға шектеулер (мәліметтерер қорына қол жеткізу артықшылықтары есебінен).
Сұранысты өңдеу кезінде МҚБЖ алдымен объектілерге қол жеткізу құқығын тексереді. Егер
операциялық шектеулер бұзылған болса, тиісті диагностиканы беретін сұраныс қабылданбайды.
Мәндерге шектеулерді бұзу тек нәтижелік жолдардың санына ғана әсер етеді; бұл жағдайда ешқандай
диагностика берілмейді.
Ақырында, алдыңғы екі шектеуді ескергеннен кейін, сұраныс оптимизаторға өңделуге түседі. Егер
ол ресурстарға шектеулердің асып кеткенін анықтаса, тиісті диагностика беріле отырып, сұраныс
қабылданбайды. Артықшылықтар иерархиясын басқа көзқараспен қарауға болады. Әрбір
пайдаланушының өзінікінен басқа, PUBLIC артықшылықтары бар. Сонымен қатар, ол әртүрлі топтарға
кіріп, белгілі бір рөлдері бар қосымшаларды іске қоса алады.
Авторизация иерархиясы МҚБЖ үшін келесідей болады:
рөл (жоғары басымдық)
пайдаланушы
топ
PUBLIC (төменгі басымдық)

12.

Қауіпсіздік белгілері және мәжбүрлі қол
жетімділікті басқару
5
Қолжетімділікті ерікті басқару құралдары авторизацияланған пайдаланушының құпия
ақпаратты заңды түрде алуына, содан кейін оны басқа авторизацияланбаған пайдаланушыларға қол
жетімді етуіне кедергі бола алмайды. Бұлай екенін түсіну қиын емес. Қолжетімділікті ерікті түрде
басқарған кезде артықшылықтар деректерден бөлек болады. Нәтижесінде, деректер
"иесіздендірілген" болып шығады және оларды кез-келген адамға, тіпті МҚБЖ-ның өзі арқылы
беруге ештеңе кедергі болмайды. Бұл нұсқаны практикада қолдану тек операциялық жүйемен және
сол қауіпсіздік деңгейіндегі басқа бағдарламалық жасақтама компоненттерімен үйлескенде ғана
мағынасы бар.
МҚБЖ-да әрбір реляциялық кестеге кесте жолдарының қауіпсіздік белгілері бар баған жанама
түрде қосылады. Қауіпсіздік белгісі үш компоненттен тұрады:
Құпиялылық деңгейі. Бұл компоненттің мағынасы қосымшаға байланысты. Атап айтқанда, "өте
құпия" мен "құпия емес"деңгейлерінің дәстүрлі спектрі мүмкін.
Санаттар. Санат ұғымы деректерді "бөлімдерге" бөлуге және осылайша қауіпсіздік жүйесінің
сенімділігін арттыруға мүмкіндік береді. Коммерциялық қосымшаларда "қаржы", "кадрлар",
"материалдық құндылықтар" және т. б. Санаттар бола алады.
Облыс. Бұл ақпаратты бөлімдерге бөлудің қосымша құралы. Практикада "облыс" компоненті,
мысалы, мәліметтер кіретін елді білдіретін, нақты географиялық мағынаға ие болуы мүмкін.

13.

5
МҚБЖ-ның әрбір пайдаланушысы сенімділік дәрежесімен сипатталады, ол
сондай-ақ берілген пайдаланушыға тағайындалған қауіпсіздік белгісімен анықталады.
Пайдаланушы деректерге қол жеткізе алады, егер оның сенімділік дәрежесі тиісті
қауіпсіздік белгісінің талаптарын қанағаттандырса. Дәлірек:
пайдаланушының құпиялылық деңгейі деректердің құпиялылық деңгейінен төмен
болмауы керек;
деректер қауіпсіздігі белгісінде берілген Санаттар жиынтығы толығымен
пайдаланушының қауіпсіздік белгісінде болуы керек;
пайдаланушының қауіпсіздік белгісінде берілген облыстар жиынтығы толығымен
деректердің қауіпсіздік белгісінде болуы керек.
Жолдарды қосу немесе өзгерту кезінде олар операцияны бастаған
пайдаланушының қауіпсіздік белгілерін мұра етеді. Осылайша, авторизацияланған
пайдаланушы құпия ақпаратты жалпыға қол жетімді кестеге қайта жазса да, онша
сенімді емес пайдаланушылар оны оқи алмайды.

14.

МҚБЖ-да деректердің тұтастығын сақтау
.
6
Коммерциялық ұйымдар үшін деректердің тұтастығын
қамтамасыз ету құпиялылықты қамтамасыз етуден маңыздылығы,
қалай болғанда да, кем емес. Дерекқорлардың негізгі жаулары
сыртқы зиянкестер емес, аппараттық құралдар, әкімшілер,
қолданбалы бағдарламалар және пайдаланушылар қателері екені
белгілі. Мұндай қателіктерден қорғау - бұл бөлімнің негізгі
тақырыбы. МҚБЖ пайдаланушысының көзқарасы бойынша
деректердің тұтастығын сақтаудың негізгі құралдары шектеулер
мен ережелер болып табылады.

15.

Шектеулер
6
Шектеулер кестелерге немесе жеке бағандарға қатысты болуы мүмкін.
Кесте құру кезінде бағанға шектеулер қойылады. Сілтемелік шектеулер
кестелер арасындағы байланыстардың тұтастығына жауап береді. Мұндай
шектеу бір кестенің бағанындағы немесе бағандар тобындағы әрбір мәннің
басқа кестедегі дәл бір мәнге сәйкес келуін талап етеді.
Барлық түрдегі шектеулерді кесте иесі қояды және кейінгі деректер
операцияларының нәтижесіне әсер етеді. SQL-оператордың орындалуын
аяқтамас бұрын қолда бар шектеулер тексеріледі. Бұзушылықтар анықталған
кезде МҚБЖ қалыптан тыс аяқталғаны туралы сигнал береді және оператор
енгізген өзгерістерді жояды.
Шектеулерді қоюға ғана емес, болдырмауға да болады. Бұл ретте
шектеулер арасында тәуелділіктер болуы мүмкін және олардың біреуін
болдырмау бастапқы шектеулерге тәуелді басқа (сілтемелік) шектеулерді
жоюды талап етуі мүмкін.

16.

Ережелер
6
Ережелер дерекқордағы белгілі бір өзгерістер кезінде берілген әрекеттерді орындауға
мүмкіндік береді. Әдетте әрекет-бұл процедураны шақыру. Ережелер кестелермен
байланыстырылады және осы кестелер өзгерген кезде іске қосылады.
Салыстырмалы қарапайым шарттарды бақылау құралы болып табылатын шектеулерден
айырмашылығы, ережелер дерекқордағы деректер элементтері арасындағы қалағаныңызша
күрделі қатынастарды тексеруге және қолдауға мүмкіндік береді. Шектеулер сияқты, жаппай
көшіру операциялары кезінде ережелерді тексеру өшіріледі.
МҚБЖ тиісті кесте жойылған жағдайларда ережелерді автоматты түрде жоюды қамтамасыз
етеді. Осылайша, кестелер мен ережелер жүйесінің тұтастығы сақталады.
Ақпараттық қауіпсіздік контекстінде кестемен
байланыстырылған ережені тиісті
процедураны орындауға құқығы бар осы кестенің иесі жасай алатынын ескеру маңызды.
Әрекеттері ереженің іске қосылуына себеп болатын пайдаланушы, кестеге қол жеткізудің қажетті
құқықтарына ие болуы керек. Осылайша, ережелер пайдаланушылардың артықшылықтарын
айқын емес түрде кеңейтеді. Мұндай кеңейтулер қатаң әкімшілік бақылауды қажет етеді, өйткені
ереженің немесе қауымдастырылған процедураның шамалы өзгеруі де деректердің қауіпсіздігіне
түбегейлі әсер етуі мүмкін. Күрделі ережелер жүйесіндегі қате, әдетте, болжанбайтын салдарға
әкелуі мүмкін.

17.

Жоғары дайындықты қолдау құралдары.
7
Коммерциялық
қосымшаларда
аппараттық-бағдарламалық
кешендердің жоғары дайындығы маңызды фактор болып табылады.
МҚБЖ-ға қатысты жоғары дайындықты қолдау құралдары
аппараттық
ақауларды,
әсіресе
дискілерге
қатысты
бейтараптандыруды, сондай-ақ қызмет көрсету персоналының
немесе қолданбалы бағдарламалардың қателіктерінен кейін қалпына
келтіруді қамтамасыз етуі керек. Мұндай құралдар басынан бастап
кешеннің архитектурасына салынуы керек. Мысалы, артық дискілік
массивтердің бір немесе басқа түрін пайдалану қажет. Әрине, бұл
аппараттық-бағдарламалық шешімді қымбаттатады, бірақ жұмыс
кезінде ықтимал шығындардан сақтайды.

18.

МҚБЖ-ға тән қауіптер.
7
МҚБЖ-ға тән қауіптердің негізгі көзі мәліметтер қорының
табиғатында жатыр. МҚБЖ-мен өзара әрекеттесудің негізгі құралыSQL тілі-деректерді анықтау мен манипуляциялаудың қуатты
процедуралық емес құралы. Сақталған процедуралар осы
репертуарға басқару құрылымдарын қосады. Ережелер механизмі
күрделі, талдауға қиын әрекеттер тізбегін құруға мүмкіндік береді,
бұл процедураларды орындау құқығын, тіпті қатаң түрде, оған
өкілеттігі болмаса да, жолай айқын емес түрде беруге мүмкіндік
береді. Нәтижесінде, ықтимал зиянкес өз қолдарына қуатты және
ыңғайлы құралдар жинағын алады, ал МҚБЖ-ның барлық дамуы
осы құралдарды одан да күшті және ыңғайлы етуге бағытталған.

19.

Логикалық тұжырымдар арқылы ақпарат алу
7
Көбінесе логикалық қорытынды арқылы дерекқордан стандартты құралдармен
пайдаланушының ала алатын артықшылықтары жоқ ақпаратты алуға болады. Егер
қол жеткізуді басқаруды жүзеге асыру үшін көріністер қолданылса және бұл
көріністер модификацияға мүмкіндік берсе, модификация/кірістіру операциялары
арқылы оларға тікелей қол жеткізуі болмай-ақ негізгі кестелердің мазмұны туралы
ақпарат алуға болады.
Мұндай қауіптермен күресудің негізгі құралы, деректер моделін мұқият
жобалаудан басқа, жолдарды көбейту механизмі болып табылады. Оның мәні мынада:
қауіпсіздік белгісі бастапқы кілттің құрамына анық немесе жасырын түрде қосылады,
соның арқасында кестеде "мазмұнды" кілт өрістерінің мәндері бірдей жолдардың
бірнеше даналарын сақтау мүмкіндігі пайда болады.
Жолдардың көбеюі белгілерді қолдайтын МҚБЖ-да табиғи түрде жүзеге
асырылады, бірақ стандартты SQL құралдарымен қанағаттанарлық шешім алуға
болады.

20.

7
Деректерді біріктіру
Біріктіру – бұл әртүрлі кестелерден заңды түрде алынған деректерді
біріктіру арқылы жаңа ақпарат алу әдісі. Біріктірілген ақпарат оны
құрастырған компоненттердің әрқайсысына қарағанда құпия болуы мүмкін.
Жоғары дайындық әрекеттеріне (қол жетімділік) қастандық.
Егер пайдаланушыға SQL-дің барлық мүмкіндіктері қол жетімді болса,
ол басқа пайдаланушылардың жұмысын оңай қиындата алады (мысалы,
көптеген кестелерді басып алатын ұзақ транзакцияны бастау арқылы). Қазіргі
заманғы көпағынды МҚБЖ серверлері, мысалы, деректерді жаппай жүктеу
операциясының "ең жоғары сағаттарында" іске қосылудан тұратын ең тікелей
шабуылдарды ғана тойтарады. Сүзгі ретінде қолданба серверлерін
пайдаланып, пайдаланушыларға дерекқорға тікелей SQL-қолжетімділікті
ұсынбау ұсынылады.

21.

Назарларыңызға
рахмет!
English     Русский Правила