Введение в системы БД (542480), страница 160
Текст из файла (страница 160)
(Хотя для ограничений целостности стандарт языка БС(Ь, наоборот, предусматривает присвоение имен. Подробности приводятся в главе 8.) 3. СВЕАТЕ Ч1ЕИ ЯЯРРВ АБ БЕЬЕСТ Б.Я((, Я.ЯНАМЕ, Я,БТАТОБ, Я.С1ТХ РВОМ Я ГНЕВЕ ЕХ1ЯТЯ ( ЯЕЬЕСТ * РВОМ БР МНЕВЕ ЕХ1ЯТЯ ( ЯЕЬЕСТ Я РВОМ Р 626 Часть К Дополнительные аспекты ИНЕКЕ Б.ЯО = БР.Б() АИО ЯР.РО = Р.Р() АМО Р.СХТХ = 'Вове' ) ) ; Собственно предоставление привилегий выполняется с помощью следующего опе- ратора ОВАМТ. ОВАМТ ЯЕЬЕСТ ОМ ЯЯРРК ТО 01очапп1 З 4.
СКЕАТЕ ЧТЕМ ЯБО АЯ БЕЗВЕСТ Б.ЯО, ( БЕЬЕСТ ЯОМ (БР.ОТХ) РВОМ БР ИНЕКЕ ЯР.БО = Я.ЯО ] АБ ЯО РВОМ Я з Собственно предоставление привилегий выполняется с помощью следующего опе- ратора ОВАМТ. ЯВАМТ ЯЕЪЕСТ ОМ ЯЯЦ ТО РЫе1 ; В примере 5 из раздела (б.2 демонстрируется предоставление контекстно-зависимых полномочий. В языке БС)(. поддерживается несколько не имеющих аргументов встроенных функций: СНККЕМТ ОБЕМ, СОККЕМТ НАТЕ, СОККЕМТ Т1МЕ и т.д., каждая из которых, помимо всего прочего, может быть использована и для определения контекстно-зависимых представлений. (Обратите внимание, что в языке БС)Ь не поддерживается аналог оператора ОАХ(), используемого в исходном варианте примера 5.) Ниже приводится пример создания такого представления.
СКЕЙТЕ Ч1ЕИ Я М1МЕ ТО Р1ЧЕ АЯ ЯЕЬЕСТ Я.БО, Я.МАМЕ, Я.ЯТАТОБ, Б.С1ТХ РВОМ Б ИНЕКЕ СОККЕМТ Т1МЕ > Т1МЕ '09зООзОО' АМО СНККЕМТ ТЕМЕ < ТХМЕ '17зООзОО' Соответствующий оператор ОВАМТ выглядит так. ЯКАЕТ НЕВЕСТ, ОРОАТЕ ( ЯТАТНЯ ) ОМ Б М1МЕ ТО Р1ЧЕ ТО Рагс)зав1п9 З Обратите внимание, что представление Б М1МЕ ТО Р1ЧЕ демонстрирует очень странный тип представлений, так как его содержимое меняется со временем, причем даже в том случае, когда данные в базе вовсе ие изменялись. Более того, представление, в определение которого встроен оператор СОККЕМТ ОЯЕК, может (а точнее, скорее всего, обязательно будет) иметь разное содержание для различных пользователей.
Такие "представления" действительно отличаются от традиционных представлений, поскольку по сути они являются параиелзризованныхзи. Предпочтительнее было бы, по крайней мере концептуально, разрешить пользователям определять собственные (потенциально параметризованные) функции, оперирующие значениями в виде переменных-отношений, и рассматривать "представления", подобные Б М1МЕ ТО Р1ЧЕ, в качестве особых случаев таких функций.
627 Глава 16. Защита Данных Как бы там ни было, приведенные выше примеры хорошо иллюстрируют тот факт, что механизм представлений косвенно обеспечивает важные функции защиты данных ("косвенно" потому, что этот механизм включен в систему для достижения совсем других целей). Более того, значительная часть процедуры контроля прав доступа (в том числе зависящая от конкретных значений) может быть выполнена еще на этапе компиляции, а не во время выполнения, что позволяет достичь существенного выигрыша в производительности. Тем не менее подходу с использованием представлений для организации защиты также свойственны определенные недостатки.
В частности, некоторому пользователю в одно и то же время могут потребоваться разные права доступа в отношении разных подмножеств ланных одной и той же таблицы. В качестве примера можно привести сложность реализации приложения, в котором пользователю разрешается просматривать и распечатывать данные о деталях из Лондона, и дополнительно разрешается обновлять данные о некоторых из них (например, только о красных деталях) непосредственно в процессе просмотра. Операторы ОКА) (Т и КЕУОКЕ Механизм представлений языка БОЬ позволяет концептуально разделять базу данных на части таким образом, чтобы важная информация была скрыта от несанкционированных пользователей.
Однако этот механизм не позволяет указывать тот набор операций, которые разрешается применять в отношении данных частей санкг)ионированным пользователям. Подобная задача (как было показано выше) решается с помощью оператора ЯКАНТ. Обратите внимание, что в языке БОЬ создателю любого объекта автоматически предоставляются все привилегии в отношении этого объекта. Например, создателю таблицы Т автоматически разрешается выбирать (ЗЕЬЕСТ), вставлять (1НЗЕВТ), обновлять (ОРОАТЕ), удалять (ОЕЬЕТЕ) таблицу Т и ссылаться (КЕРЕВЕНСЕЗ) на нее (ниже эти привилегии разьясняются подробнее). Более того, привилегии в каждом случае даются "с правом их передачи", т.е. обладатель некоторых полномочий в подобном случае имеет право предоставить их и другим пользователям. Ниже приводится общий синтаксис оператора ЯКАЕТ.
ЯКАЕТ <список привилегийэ ОН <объект> ТО <список идеитификаторов пользователейэ ( Н1ТН ОВАНТ ОРТ10Н ) Пояснения ° Допустимыми значениями параметра <список привилегий> могут быть ключевые слова ОБАЯВ (использование), ЯЕЬЕСТ (выборка), 1НЯЕКТ (вставка), ОРОАТЕ (обновление), ОЕЬЕТЕ (удаленне) и ВЕРЕКЕНСЕЯ (ссылка)~. Привилегия ОЗАЯЕ необходима для получения права использования некоторого конкретного БОЬ- домена, привилегия ВЕРЕКЕНСЕЯ вЂ” для получения права обращаться к указанной таблице при задании ограничений целостности. Назначение остальных привнле- После добавления в стандарт в )99б году понятия "постоянно «ранимые модули" (Рог«анели 3(огсс) Моди(ел — РЕМ) появилась новая приви1егия ЕХЕСУХЕ (яыполнение). б28 Часть р: дополнительные аспекты гий очевидно.
Однако следует отметить, что привилегии 1ИЯЕКТ и ОРОАТЕ [но ие привилегия ЯЕЬЕСТ, что весьма странно) могут задаваться для конкретных указанных столбцов таблиц. Замечание. Также допустимо ключевое слово А1Ь РВ1Ч1ЬЕЯЕЯ (все привилегии), но семантика его использования не столь проста, как кажется [4Д 9]. ° В качестве значения параметра <объект> может использоваться выражение ВОМА1М <имя домена> или выражение ТАВЬЕ <иия таблицн>.
Замечание. В данном контексте — в отличие от большинства других случаев— ключевое слово ТАВЬЕ (которое на самом деле не является обязательным) о~носится как к представлениям, так и к базовым таблицам. ° Значением параметра <список идентификаторов пользователей> может быть ключевое слово РОВЬ1С, обозначающее всех пользователей, которые известны системе. ° Если задана опция И1ТН 6ВАМТ ОРТ10М, значит, перечисленные пользователи наделяются особыми полномочиями в отношении указанного объекта — правом передачи полномочий.
Это означает, что им разрешается предоставлять такие же полномочия другим пользователям. Безусловно, опция И1ТН 6ВАИТ ОРТ10И может указываться только в том случае, когда задающий оператор 6ВАМТ пользователь сам обладает необходимыми полномочиями. Если пользователь А наделяет некоторыми полномочиями пользователя В, то впоследствии он может отменить эти полномочия пользователя В. Отмена полномочий выполняется с помощью оператора КЕЧОКЕ с приведенным ниже синтаксисом. КЕЧОКЕ [ 6ВАМТ ОРТ10М ГОК ] <список привилегий> ОМ <обзект> ГНОМ <списак идентификаторов пользователей> <опция> ; Здесь фраза 6ВАМТ ОРТ10М ГОК означает, что отменяется только право передачи указанных привилегий, предоставленное ранее этим пользователям. Значения параметров <слисак привилегий>, <объект> и <список идентификаторов пользователей> аналогичны значениям параметра оператора 6ВАИТ.
Значениями параметра <опция> могут быть ключевые слова КЕБТК1СТ (отклонить) и САБСАРЕ [каскадно). Ниже приведены некоторые примеры использования этого оператора. 1. ВЕЧОКЕ ЯЕЬЕСТ ОМ Я ГНОИ Юасциев, Алле, Сйаг1еу КЕЯТК1СТ ; 2. КЕЧОКЕ БЕЬЕСТ, 1МБЕВТ, ОРОАТЕ [БМАМЕ, ЯТАТОБ], ОЕЬЕТЕ ОМ ЬЯ ГНОМ Рал, МЬайа САВСКОЕ; 3. ВЕЧОКЕ ЯЕЬЕСТ ОМ ЯЯРРВ ГНОМ 61очалл1 КЕБТК1СТ ; 4. ВЕЧОКЕ ЯЕЬЕСТ ОМ ББО ГНОМ ГЫе1 КЕЯТВ1СТ ; Рассмотрим назначение ключевых слов КЕЯТК1СТ и САЯСАОЕ. Допустим, что р является некоторой привилегией для некоторого объекта и пользователь А предоставляет привилегию р пользователю В, который, в свою очередь, предоставляет ее пользователю С.
629 Гпана ]б. Защита данньп Что произойдет, если теперь пользователь А отменит привилегию р для пользователя В? Если эта отмена состоится, то привилегия р у пользователя С останется "покинутой"„поскольку она была производной от привилегии р пользователя В, который уже не обладает ею. Основное назначение ключевых слов ЕЕЯТЕ1СТ и САЯСАВЕ состоит в предотвращении ситуаций возникновения покинутых привилегий. При задании ключевого слова АЕЯТА1СТ запрещается выполнять операцию отмены привилегии, если она приводит к появлению покинутой привилегии.
Ключевое слово САБСАВЕ указывает на необхолимость последовательной отмены всех привилегий, производных от отменяемой. Наконец, при удалении домена, базовой таблицы, столбца или представления автоматически будут удалены также все привилегии, предоставленные в отношении этих объектов со стороны всех пользователей. 1б.7. Резюме В этой главе рассматривались различные аспекты проблемы защиты базы данных. Во введении были показаны различия между понятиями защиты и целостнасзни. Так, под защитой подразумевается контроль за тем, разрешено ли санкционированным пользователям выполнять предпринимаемые ими действия, тогда как под целостностью понимается проверка корректности этих действий. Иначе говоря, под зашитой понимается заизи и а данных от несанкционированного дастуиа, изменения или разруизения. Зашита обеспечивается подсистемой защиты СУБД, проверяющей соответствие всех поступающих запросов существующим ограничениям защиты, которые сохраняются в системном каталоге.
Сначала были рассмотрены избирательные схемы зашиты, в которых доступ к конкретному объекту определялся владельцем объекта. Для каждого ограничения безопасности в избирательной схеме задаются имя, множество привилегий (ВЕТА1ЕЧЕ, ВРВАТЕ и т.д.), соответствующая переменная- отношение (т.е, данные, к которым применимы указанные ограничения) и множество пользователей. Такие правила могут применяться для организации управления как зависящего, так и не зависящего от конкретных значений, а также для статистически-обобщенного и контекстно-зависимого управления.
Для регистрации попыток нарушения зашиты может использоваться контрольное слежение за выполнением операций. В данной главе было представлено краткое описание метода реализации избирательной схемы зашиты на основе механизма модификации запроса. Впервые эта технология была применена в прототипе системы 1ХОКЕЯ с использованием средств языка Я1)ЕЕ.
Далее кратко рассматривались методы мандатного управления, согласно которым каждый объект должен обладать некоторым классификационным уровнем (или грифом), а каждому пользователю должен быть присвоен определенный уровень допуска. Помимо описания правил доступа для ~акой схемы, кратко рассматривалась классификация мер безопасности, регламентированная Министерством обороны США 116.19), [16.20).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
