Слайд 3
Доступ к информации – ознакомление с информацией и
ее обработка.
Субъект доступа – лицо или процесс, действия которого
регламентируются правилами разграничения доступа.
Объект доступа – информационная единица АС, доступ к которой регламентируется правилами разграничения доступа.
(объектом может быть все что угодно, содержащее конечную информацию:база данных, таблица, строка, столбец и т.д.)
Слайд 4
Правила разграничения доступа - совокупность правил, регламентирующих права
субъектов доступа к объектам доступа.
Санкционированный доступ - доступ к
информации в соответствии с правилами разграничения доступа.
Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа в любом проявлении или реализации.
Слайд 5
Идентификатор доступа - уникальный признак объекта или субъекта
доступа.
Пароль - идентификатор субъекта, который является его секретом.
Слайд 6
Работа с БД
Разрыв соединения
Процесс получения доступа пользователя к
БД в СУБД
Пользователь должен подключиться к БД
В случае разрыва
соединения: транзакция откатывается, пользователь переподключается.
Слайд 7
Модели разграничения доступа
Слайд 8
Дискреционное управление доступам — разграничение доступа между поименованными
субъектами и поименованными объектами.
Слайд 9
Ролевая управление доступом
Ролевое разграничение доступа представляет собой развитие
политики дискреционного разграничения доступа, при этом права доступа субъектов
системы на объекты группируются с учетом специфики их применения, образуя роли.
Слайд 10
Мандатное управление доступом предполагает назначение объекту метки секретности,
а субъекту – уровня допуска.
Доступ субъектов к объектам
в этой модели снижает производительность компьютерной системы, т.к. проверка прав доступа должна производиться при любой операции с объектом, а не только при его открытии, как в дискреционной модели.
Слайд 11
Управление пользователями
После проектирования логической структуры базы данных, связей
между таблицами, ограничений целостности и других структур необходимо определить
круг пользователей, которые будут иметь доступ к базе данных.
Слайд 12
В большинстве СУБД двухуровневая схема ограничения доступа к
данным:
1. создание учетной записи пользователя, для подключения к серверу
(но не получения прав)
2. определение полномочий (уровней доступа) относительно каждой БД в СУБД.
Максим А. Сопов
Слайд 13
Роль – «объект» СУБД, определяющий уровень доступа субъектов
к объектам СУБД.
Роль делиться на 2 группы:
1. на уровне
сервера;
2. на уровне БД.
Слайд 14
Роль – «объект» СУБД, определяющий уровень доступа субъектов
к объектам СУБД.
Роль делиться на 2 группы:
1. на уровне
сервера:
- аутентификация;
- учетная запись;
- встроенная роль сервера.
2. на уровне БД:
- пользователь БД;
- фиксированная роль БД;
- пользовательская роль БД.
Слайд 15
Для создания пользователя следует предпринять следующие шаги:
1. Создать в базе
данных учетную запись пользователя, указав для него пароль и принятое по умолчанию
имя базы данных
2. Добавить этого пользователя во все необходимые базы данных.
3. Предоставить ему в каждой базе данных соответствующие привилегии .
Максим А. Сопов
Слайд 16
Стандартные процедуры
Создание новой учетной записи может быть произведено с
помощью системной хранимой процедуры:
sp_addlogin
[@login=] 'учетная_запись'
[, [@password=] 'пароль']
[, [@defdb=] 'база_данных_по_умолчанию']
Слайд 17
Пользователь, который создает объект в базе данных (таблицу,
хранимую процедуру, просмотр), становится его владельцем.
Владелец объекта (database object owner dbo)
имеет все права доступа к созданному им объекту.
Чтобы пользователь мог создать объект, владелец базы данных (dbo) должен предоставить ему соответствующие права.
Полное имя создаваемого объекта включает в себя имя создавшего его пользователя .
Слайд 18
Передача прав владения от одного пользователя другому с помощью процедуры:
sp_changeobjectowner
[@objname=]
‘имя_объекта’
[@newowner=] ‘имя_владельца’
Слайд 19
Роль позволяет объединить в одну группу пользователей, выполняющих одинаковые функции.
В
SQL Server реализовано два вида стандартных ролей: на уровне сервера
и на уровне баз данных.
Слайд 20
Фиксированные роли сервера:
- sysadmin с правом выполнения любых функций SQL-сервера.
Фиксированные роли базы
данных:
- db_owner с правом полного доступа к базе данных;
- db_accessadmin с правом добавления и удаления пользователей.
Слайд 21
Роли базы данных позволяют объединять пользователей в одну административную единицу и
работать с ней как с обычным пользователем.
Можно назначить права доступа к объектам
базы данных для конкретной роли, при этом автоматически все члены этой роли наделяются одинаковыми правами.
Слайд 22
создание новой роли:
sp_addrole
[@rolename=] 'имя_роли'
[, [@ownername=] 'имя_владельца']
добавление пользователя к роли:
sp_addrolemember
[@rolename=]
'имя_роли',
[@membername=] 'имя_пользователя'
Слайд 23
удаление пользователя из роли:
sp_droprolemember
[@rolename=] 'имя_роли',
[@membername=] 'имя_пользователя'
удаление роли:
sp_droprole
[@rolename=] 'имя_роли'
![Передача прав владения от одного пользователя другому с помощью процедуры:sp_changeobjectowner [@objname=] ‘имя_объекта’ [@newowner=] ‘имя_владельца’](/img/tmb/15/1463470/4d0860d92adfdac000e9b5ebefe2f2e9-720x.jpg "Управление доступом к базе данных. (Лекция 3)")
![создание новой роли:sp_addrole [@rolename=] 'имя_роли' [, [@ownername=] 'имя_владельца']добавление пользователя к роли:sp_addrolemember [@rolename=] 'имя_роли', [@membername=] 'имя_пользователя'](/img/tmb/15/1463470/95047489e7a515f6843784c5ad75bea3-720x.jpg "Управление доступом к базе данных. (Лекция 3)")
![удаление пользователя из роли:sp_droprolemember [@rolename=] 'имя_роли', [@membername=] 'имя_пользователя'удаление роли: sp_droprole [@rolename=] 'имя_роли'](/img/tmb/15/1463470/68341aec041d20dc4cc1833f3448a39e-720x.jpg "Управление доступом к базе данных. (Лекция 3)")
