32
- кейбір пайдаланушыларға кестелерге тікелей кіру рұқсаты берілмеу
тиіс, бірақ бұл кестелерге қолданбалы бағдарламаның сұхбатына кіруге
рұқсат беріледі.
Әр реляционды МББЖ мәліметтерге кіру рұқсатының сызбасы
шамамен бірдей болып келеді және үш қағида бойынша негізделеді:
- МББЖ пайдаланушылары негізгі әрекет етуші және мәліметтерге
рұқсатты алуға пиғылдары бар тұлғалар болып есептеледі. МББЖ нақты бір
пайдаланушының атынан мәліметтер базасына операциялар жүргізеді,
басқаша айтқанда, кестелерге жолдарды қосады(INSERT), жолдарды
жояды(DELETE),
кестелердің
жолдарындағы
мәліметтерді
жаңартады(UPDATE),(бұл, нақты пайдаланушының нақты мәліметтер
базасының объектісіне нақты операцияларды жүргізуге құқығының бар-
жоқтығына байланысты);
- кіру рұқсатының нысанасы - мәліметтер базасының элементтері,
басқаруға болатын кіру рұқсаты(кіру рұқсатын беру немесе кіру рұқсатынан
қорғау), (әдетте кіру рұқсатының нысаналары болып кестелер табылады,
алайда, мәліметтер базасының басқа нысаналары да болуы мүмкін, мысалы,
формалар, есептер, қолданбалы бағдарламалар және т.б.);
- артықшылық (priveleges) - пайдаланушыға нақты нысаналармен
жұмыс істеуге рұқсат үшін берілетін операциялар.
Осылайша МББЖ кіру рұқсатын қуаттау артықшылықтардың
көмегімен жүзеге асырылады. Артықшылықтарды орнату мен бақылау -
мәліметтер базасының әкімгерінің міндеті.
Артықшылықтар SQL тілінің арнайы операторлармен орнатылады
және жойылады - GRANT(тапсыру) және REVOKE(қайтарып алу). GRANT
операторы көрсетілген кестеге кіру рұқсатын алатын және нақты
артықшылықтарды алатыннақты пайдаланушыны белгілейді.
МББЖ нақты пайдаланушысы бірегей сәйкестендіргіш бойынша танып
айырылады. Мәліметтер базасына кез-келген әрекеттер, кез-келген SQL
тілінің операторы құпиялы түрде емес, нақты пайдаланушының атынан
жұмыс атқарады. Пайдаланушының сәйкестендірушісі мәліметтер базасының
нысаналарын нақты жеке тұлға немесе тұлғалардың тобы үшін анықтайды.
Алайда, ол оның SQL нақты операторымен байланыс механизмі жайлы еш
хабар бермейді. Бұл үшін МББЖ көбінесе мәліметтер базасымен жұмыс
сеансы қолданылады. Компьютер-клиенттегі алдыңғы бағдарламаларды қосу
үшін
(мысалы,
интерактивті
SQL)
пайдаланушы
МББЖ-не
өз
сәйкестендірушісі мен құпиясөзін хабарлауы тиіс. Осыдан кейнгі орындалған
мәліметтер базасына операциялар МББЖ бағдарламаны іске қосқан нақты
пайдаланушымен байланыстырады.
Кейбір МБҚЖ (Oracle, SYbase, InterBase) өз құпиясөз жүйесін
қолданады, ал басқалары(Ingres, Informix, MS SQL Server) пайдаланушының
операциялық жүйеден алынған сәйкестендірушісі мен құпиясөзін қоданады.
33
Әкімшіліктендіру
үрдісін
жеңілдету
үшін
үлкен
көлемдегі
пайдаланушыларды топтарға жинақтайды. Пайдаланушыларды топтарға
жинақтаудың үш тәсілін қарастыруға болады:
- жеке тұлғалардың жалпы топтарының мәліметтер базасына кіру
рұқсаты үшін тек бір сәйкестендіруші қолданылады. Бұл әкімгердің міндетін
жеңілдетеді, себебі, артықшылықты бұл «жинақталған» пайдаланушы үшін
бір рет орнатса жеткілікті. Алайда, мұндай тәсіл, негізінде, қарауға рұқсат
береді, мүмкін іске қосуға, бірақ қандай жағдай болмасын, жою мен
жаңартуға рұқсат бермейді. Сәйкестендіруші (құпиясөз) көпшілікке анық
болған жағдайда бөтен тұлғалардың рұқсатсыз кіру қауіпсіздігі туындайды.
- жеке нақты тұлғаға бірегей сәйкестендіруші беріледі. Бұл жағдайда,
мәліметтер базасының әкімгері, әр пайдаланушы өз жеке артықшылықтарын
алуға мүмкіндіктерін қамтамасыз етуі керек. Егер мәліметтер базасын
пайдаланушылардың саны көбейсе, әкімгердің артықшылықтарды бақылау
жұмысы қиындай түсуі мүмкін. Ұйымда 100 пайдаланушы болса, бұл
міндетті орындауға өте көп көңіл бөлінеді;
- қолдау, пайдаланушының сәйкестендірушісі ғана емес, сондай-ақ,
пайдаланушылардың топ сәйкестендірушісі. Әр пайдаланушының өз
сәйкестендірушісінен
басқа
топ
сәйкестендірушісі
бар.
Әдетте
пайдаланушылардың топтары ұйымның құрылымдық бөлімшелеріне,
мәселен, бөлімге сәйкес келеді. Артықшылықтар тек жеке пайдаланушыға
ғана емес, сондай-ақ, топтарға да беріледі.
Мәліметтерді қорғаудың бірден-бір мәселесінің туындау себебі -
мәліметтер базасымен қолданбалы бағдарламалармен қоса, оларды іске
қосатын пайдаланушылар да жұмыс істейді. Пайдаланушылардың кейбір
қолданбалы бағдарламаларды іске қосу қажеттілігі көптеген жағдайда
қауіпсіздік сызбасының бұзылуына әкеп соғады. Мәліметтер базасына кіру
рұқсатының арнайы артықшылықтары жоқ пайдаланушы бұл жағдайда
осындай артықшылықтары бар қолданбалы бағдарламаларды іске қосуы
мүмкін.
Ingres және Oracle МББЖ-де бұл шешім рөлдер (role) механизмімен
қаматамасыз етіледі. Рөл дегеніміз мәліметтер базасында сақталатын аталған
нысана.
Рөл
мәліметтер
базасына,
кестелерге
кірудің
соңғы
артықшылықатарын алу үшін нақты қолданбалы бағдарламаен байланысады.
Рөл мәліметтер базасының әкімгерімен құрылады және жойылады, оған
нақты анықталған құпиясөз берілуі мүмкін. Рөл құрылған мезеттен бастап
мәліметтер базасына кіру рұқсатының артықшылығын алуға болады.
Заманауи ақпараттық жүйелер басқа да қауіпсіздік сызбасын
қамтамасыз етеді - кіру рұқсатына міндетті түрдегі және мәжбүрлі
бақылау(mandatory access control). Ол мәліметтердің иесі түсінігінен пайда
болған бас тартуға негізделген және мәліметтерді құру кезінде берілетін
қауіпсіздік белгілеріне сүйенеді(security labels). Әр белгі қауіпсіздіктің кейбір
деңгейіне сәйкес келеді. Белгілер мәліметтерді жіктеу үшін қызмет етеді.
