Вывод информации управления зависимостями



Следующие обзоры словаря данных выдают информацию о прямых зависимостях и об управлении зависимостями:

USER_ \ ALL_ \ DBA_DEPENDENCIES

USER_ \ ALL_ \ DBA_OBJECTS

 

 


117. Политика защиты приложений: роли и управление привилегиями приложений, включение ролей приложений, управление привилегиями и ролями, создание, включение, выключение и удаление ролей, назначение и отзыв привилегий и ролей.

 

Политику защиты необходимо разрабатывать для каждого приложения.

Роли и управление привилегиями приложений.Чтобы упростить управление привилегиями приложений, для каждого приложения необходимо создать роль и назначить ей все привилегии, требуемые для выполнения приложения.

Группирование привилегий приложения в одну роль облегчает управление привилегиями. Возможности:

· можно назначать пользователям, работающим с приложением, одну роль, а не множество индивидуальных привилегий;

· Если нужно изменить привилегии, ассоциированные с приложением, это необходимо сделать лишь с привилегиями, назначенными одной роли, а не с привилегиями, которые были назначены всем пользователям этого приложения;

· можно определить, какие привилегии необходимы для выполнения конкретного приложения, опросив обзоры словаря данных;

· можно определить, какие пользователи имеют привилегии для тех или иных приложений, опросив обзор словаря данных.

Включение ролей приложений.Каждый пользователь может использовать много приложений и ассоциированных ролей. Необходимо разрешать пользователю лишь те привилегии, которые ассоциированы с ролью текущего (с которым работает) приложения.

Инструменты разовых запросов, такие как SQL*Plus, позволяют пользователю запустить любое предложение SQL, в том числе, включить или выключить любую роль, назначенную этому пользователю. Это может создать серьезную проблему защиты; если не принять необходимых мер предосторожности, пользователь какого-нибудь приложения может преднамеренно или непреднамеренно выполнить операции SQL, разрушительные для таблиц базы данных, используя в инструменте разовых запросов те привилегии, которые он получил через роль приложения. Чтобы избежать потенциальных проблем такого типа, используют следующие политики для ролей приложений:

1. Каждое приложение должно иметь несколько различных ролей:

· Одна роль должна содержать все привилегии, необходимые для успешной работы приложения;

· Другая роль должна содержать только неразрушающие привилегии, ассоциированные с приложением.

2. При своем запуске каждое приложение должно выдавать команду, включающую одну из ролей, ассоциированных с этим приложением.

3. При завершении работы, каждое приложение должно выключать ранее включенную роль приложения.

4. Пользователям приложения должны быть назначены все необходимые роли этого приложения. Администратор может запретить пользователю использовать данные приложения с инструментами разовых запросов, не назначая этому пользователю даже неразрушающей роли приложения.

Каждое имя пользователя в базе данных считается схемой – доменом защиты, который может содержать объекты схемы. Доступ к базе данных и ее объектам контролируется привилегиями, назначенными каждой схеме. Большинство схем можно рассматривать как имена пользователей, т.е. учетные имена, которые позволяют пользователям соединяться с базой данных и обращаться к объектам в базе данных.

Управление привилегиями и ролями. Необходимо определить какие типы пользователей будут работать с приложением, и какой уровень доступа должен быть позволен этим пользователям для выполнения их задач. Пользователей распределяют по ролевым группам, а затем определяют привилегии, которые должны быть назначены каждой роли приложения. Обычно через роль приложения конечным пользователям назначаются объектные привилегии. Объектная привилегия позволяет пользователю выполнять определенное действие на конкретной таблице, обзоре, последовательности, процедуре, функции или пакете. В зависимости от типа объекта, существуют различные типы объектных привилегий.

Создание роли.Использование роли может быть защищено ассоциированным паролем. Если роль создана без защиты, то она может быть включена или выключена любым пользователем, которому она назначена. В приложениях базы данных обычно используют средства авторизации. Создаваемая роль должна иметь уникальное имя среди существующих имен пользователей и других ролей в базе данных. Роли не содержатся в схемах пользователей. После создания роль не имеет никаких привилегий, ассоциированных с ней. Чтобы ассоциировать привилегии с новой ролью, ей нужно назначить привилегии или другие роли.

Включение и выключение ролей.Для того, чтобы привилегии, ассоциированные с ролью, стали доступными в текущей сессии пользователя, эта роль должна быть включена. В каждый момент времени могут быть включены некоторые, все или ни одной из ролей, назначенных пользователю. Включение ролей никогда не затрагивает тех привилегий, которые были назначены пользователю явно. Умалчиваемая роль - это роль, которая автоматически включается для пользователя, когда он создает сессию. Список умалчиваемых ролей пользователя должен включать те роли, которые соответствуют его типичным служебным обязанностям. Пользователь (или приложение) может явно включить роль с помощью команды SQL SET ROLE.

Удаление ролей.Если удалить роль, то домены защиты всех пользователей и ролей, которым была назначена удаляемая роль, немедленно отразят отсутствие привилегий этой роли. Все роли, косвенно назначавшиеся через удаленную роль, также будут удалены из затрагиваемых доменов защиты. Удаление роли автоматически удаляет ее из списков умалчиваемых ролей всех пользователей.

 

Назначение и отзыв привилегий и ролей.Для назначения системных привилегий и ролей другим ролям и пользователям команда SQL GRANT. Объектные привилегии могут назначаться ролям и пользователям с помощью команды SQL GRANT. Для отзыва системных привилегий и ролей команда SQL REVOKE. Объектные привилегии можно отзывать с помощью команды SQL REVOKE.

 

 


Дата добавления: 2018-02-15; просмотров: 551; Мы поможем в написании вашей работы!

Поделиться с друзьями:






Мы поможем в написании ваших работ!