Порядок и параметры для создания новой БД в СУБД Линтер
При создании новой БД необходимо определить значение следующих параметров: имя БД, псевдоним, протокол для доступа через сеть, порт сетевого протокола, путь к каталогу БД, предполагаемое максимальное значение страниц и колонок, максимальное количество пользователей, пароль администратора БД, тип старта ядра (автоматический, ручной), владелец (система, пользователь)
Алгоритм настройки параметров ядра: выделить максимально возможное количество виртуальной памяти с разделениями ее на пул ядра (для своей работы) и пул сортировки (для сортировки) 2 к 1
Сторожевая задержка – задержка проверки ядром СУБД «живучести клиентов»
Запись на диск не откладывая
Регистрировать обращения
Вопрос 31
Сетевые возможности Линтер, режимы обработки транзакций
Транзакция – группа операций, которая выполняется как неделимое целое
Режимы обработки транзакций Линтер
Пессимистичный – высокая вероятность конфликтов. Каждый запрос на изменение блокирует записи в таблице. Другие запросы ожидают
Оптимистичный – все запросы выполняются, но перед записью на диск СУБД проверяет попытку изменения одной и той же записи 2мя пользователями
Автофиксация – каждые изменения записываются на диск без задержек
Вопрос 32
Возможности СУБД Линтер по защите информации, обрабатываемой в БД
Аутинтификация пользователей
Разграничение пользователей
Аудит событий
Контроль доступа с удаленных станций
Очистка оперативной и внешней памяти
Вопрос 33
Средства разграничения доступа пользователей к данным СУБД Линтер. Дискреционное и мандатное разграничение доступа
Категории пользователей в БД:
Администраторы БД – категория DBA, управляет созданием БД, конфигурированием, регистрацией пользователей
Превелигированные пользователи – категория RESOURSE . Это пользователи, которые имеют право на создание собственных объектов БД и управление доступа к ним
Пользователи БД – категория CONNECT оперируют объектами по доступу
SELECT - выборка
INSERT - добавление
DELETE - удаление
UPDATE – обновление
В СУБД Линтер метки безопасности присваиваются всем пользователям и отдельным строкам таблиц. Дискреционные правила работают всегда, мандатных может и не быть
Отношения между субъектами контроля и объектами доступа основаны на двух принципах:
1. дискреционный принцип – для каждой пары «субъект-объект» можно задать явное и недвусмысленное перечисление возможных действий субъекта по отношению к объекту. Например, для пользователя А можно задать действия по отношению к таблице В. Например, если действие DELETE не установлено, то пользователь А не сможет удалять данные из таблицы B.
2. мандатный принцип – контроль доступа осуществляется на основе сравнения меток безопасности объектов и субъектов, например, пользователь с меткой безопасности «Для служебного пользования» не сможет получить доступ к данным с меткой «Секретно», хотя доступ к таблице,в которой могут оказаться данные разного уровня секретности, ему не запрещен.
Дискреционный принцип является стандартным способом разграничения доступа в реляционных СУБД. Наличие средств мандатного разграничения доступа в СУБД ЛИНТЕР является требованием для соответствия 2 классу защищенности АС.
Авторизация пользователей
Пользователи – это субъекты БД. Каждая БД ЛИНТЕР имеет, как минимум, одного пользователя. Информация о пользователях БД хранится в системной таблице полномочий. Доступ пользователя к БД возможен только после прохождения процедуры авторизации доступа, в ходе которой пользователь должен предъявить свое регистрационное имя и пароль.
В СУБД ЛИНТЕР каждому пользователю, при его создании администратором БД, назначается одна из трех возможных категорий:
1. Connect-категория. Предоставляет пользователю наименьшие права: доступ к БД с возможностью подавать SQL–запросы на манипулирование данными;
2. Resource-категория. Предоставляет пользователю все права Connect-категории, а также право изменять схему БД (создавать/удалять/изменять структуру объектов БД) и передавать другим пользователям права на свои объекты;
3. DBA-категория. Предоставляет пользователю уровень администратора БД с максимальными правами, включающими права Resource-категории и право создавать новых пользователей БД.
Привилегии
Каждому пользователю предоставляются определённые права при работе с чужими объектами БД – привилегии. Предоставлять другим пользователям привилегии доступа к своим объектам БД (таблице, хранимой процедуре, триггеру) может только владелец этого объекта. Привилегии устанавливают степень свободы данного пользователя при манипулировании чужими данными, например,
- SELECT – читать данные;
- INSERT – добавлять новые данные; и др.
Поскольку роли упрощают управление привилегиями, то привилегии обычно назначаются ролям, а не конкретным пользователям.
Роли
Некоторая совокупность прав дискреционного доступа может быть создана и назначена без привязки к конкретному пользователю. Такая именованная совокупность прав называется ролью. После создания роли и присвоения ей прав она может быть назначена любому количеству пользователей, а каждому пользователю, в свою очередь, может быть назначено любое количество ролей.
Мандатная защита
Мандатный принцип защиты информации основан на понятии метка безопасности или метка доступа. Метка доступа в СУБД ЛИНТЕР состоит из трех составляющих: метка группы пользователя и два уровня доступа.
Уровень доступа представляет собой идентификатор, соответствующий числовому значению в диапазоне от 1 до 10. Два уровня доступа отражают ограничения на действия, связанные с чтением и модификацией данных: уровень доступа на чтение – RAL (Read Access Level) и уровень доступа на запись – WAL (Write Access Level).
Метками доступа снабжается информация всех уровней – от таблицы до столбца и записи, включая значения полей записи, т.е. уровни доступа являются характеристикой этих данных. Поэтому свой собственный уровень доступа может иметь даже отдельное значение конкретного атрибута конкретной строки таблицы. Это позволяет, в частности, защитить какие-то конкретные строки или даже отдельные ячейки таблицы, пометив их как секретные в таблице, которая в целом секретной не является.
Метки доступа являются неотъемлемой частью самих данных и физически хранятся вместе с данными. Все субъекты доступа также снабжаются метками. При проверке доступа субъекта к конкретному объекту СУБД осуществляет дополнительную проверку и отвергает действие субъекта при отсутствии у него соответствующих прав.
Согласно правилам мандатного доступа, пользователь не увидит данных, секретность которых превышает его уровень доступа, и не сможет понизить секретность доступной ему информации ниже назначенного ему уровня доверия, даже если он получит возможность видеть и модифицировать данные по дискреционному принципу.
При установленной мандатной защите уровни доступа субъекта и объекта БД контролируются СУБД ЛИНТЕР при попытке получения любого доступа субъекта к объекту.
В итоге, при подаче к БД одного и того же запроса пользователи, имеющие разные уровни доступа, увидят различные результаты.
Шифрация базы данных
В СУБД ЛИНТЕР предусмотрена защита данных от физической кражи БД, которая целиком шифруется при помощи современных алгоритмов. Таким образом, даже при наличии физического доступа к файлам БД, злоумышленник не получит доступа к секретной ин-формации. Применение оптимизированных алгоритмов шифрации и управления буферным пулом обеспечивают минимальное падение производительности.
Дата добавления: 2018-08-06; просмотров: 481; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!