ФУНКЦИИ ОБЕСПЕЧЕНЯ БЕЗОПАСНОСТИ И ЦЕЛОСТНОСТИ ДАННЫХ

DBA должен определить политики, управляющие безопасностью и целостностью. Под безопасностью подразумевается, как сохранность данных, так и их конфиденциальность. Обеспечение сохранность и конфиденциальности данных в БД — функция руководства, обладающего соответствующими полномочиями. Полномочное руководство определяет политику, стандарты безопасности процедуры защиты, гарантирующие безопасность и конфиденциальность информации в БД. BDA участвует в их определении и реализует. Использование интернет-интерфейсов к БД требует чтобы DBA должны совместно с экспертами по безопасности Интернета

Процедуры обеспечения безопасности  включают в себя (но не ограничиваются только этим)

управление доступом пользователей,

определение представлений,

управление доступом к утилитам СУБД

наблюдение за использованием СУБД.

Управление доступом пользователей.

Функция  управление доступом пользователей предназначена для ограничения доступа к базе данных и должна включать, по крайней мере, следующие процедуры:

определение каждого пользователя в базе данных;

назначение пароля каждому пользователю;

определение групп пользователей;

назначение привилегий доступа;

контроль физического доступа.

Определение каждого пользователя в базе данных достигается  на двух уровнях: на уровне операционной системы  и на уровне СУБД.  На уровне операционной системы DBA может потребовать создания регистрационного имени пользователя (logon user ID), которое разрешает пользователю регистрироваться в системе. На уровне СУБД DBA может либо создать другое регистрационное имя пользователя, либо использовать для доступа к СУБД то же самое имя.

Назначение пароля каждому пользователю также может быть выполнено как на уровне операционной системы, так и на уровне СУБД. Назначенный пароль может иметь определенный срок действия. Это позволяет DBA периодически экранировать пользователя от БД и напоминать пользователю о необходимости периодической смены паролей, что затрудняет неавторизованный доступ к БД

Определение групп пользователей обеспечивает сортировку пользователей  по различным группам (ролям) в соответствии с общими требованиями по доступу к БД облегчает работу DBA по контролю и управлению привилегиями доступа отдельных пользователей.

При назначение привилегий доступа DBA определяет права доступа,  для каждой группы пользователей. Например, могут быть ограничены только чтением, авторизованный доступ может включать привилегии READ (чтение), WRITE (запись) и DELETE (удаление). Привилегии доступа в реляционных базах данных назначаются с помощью команд SQL GRANT и REVOKE.

Контроль физического доступа. . Некоторые общеизвестные методы использования физической безопасности в больших базах данных включают в себя: безопасный вход, рабочие станции, защищенные паролем, персональ ные  электронные  идентификационные  карточки,   скрытую  видеосъемку и средства распознавания голоса.

Функция определении  представлений подразумевает замену для пользователей  доступа доступом к промежуточным объектам-представлениям. Что  с одной стороны делает данные более защищенными, с другой предоставляет данные пользователям в более удобном для них виде.

Управление доступом к утилитам СУБД  осуществляется установкой ограничений на использование инструментальных средств СУБД по созданию запросов и отчетов. DBA должен гарантировать, что такой инструментарий будет использован должным образом и только авторизованными лицами.

Наблюдение за использованием СУБД подразумевает ведение документации доступа пользователей к БД. Большинство пакетов  СУБД имеют средства, позволяющие создавать контрольный журнал (audit log), в который автоматически записывается краткое описание операций с БД, выполняемых всеми пользователями. Такие сведения позволяют DBA определять нарушения прав доступа. Контрольный журнал можно настроить на запись всех попыток доступа к базе данных или только неудачных попыток

Ссылка на основную публикацию
Adblock
detector