Современные информационные технологии/4. Информационная
безопасность
К.т.н. Даненова Г.Т., Краюшкина А.Ю.
Карагандинский государственный университет, Казахстан
Access. Безопасность
Различного
рода приложения, особенно те, к которым обращаются многие пользователи, должны
быть надежно защищены. Лишенное необходимой защиты приложение может стать как
легкой добычей ненасытных хакеров, так и жертвой неумелых экспериментов
неопытных пользователей. И все же, несмотря на широкий спектр возможностей,
предлагаемых Jet, вопросами безопасности часто
пренебрегают или же используют те из них, которые не дают должного эффекта при
работе с базами данных Access. Отчасти
эти недоразумения возникают вследствие того, что довольно часто сама структура
формирования системы безопасности по отношению к базе данных содержит много
неясностей. Отсутствуют четкие инструкции по организации защиты, а те возможности
по защите, которыми располагает Jet, сильно
отличаются от возможностей систем управления базами данных, используемых в настоящее
время и в прошлом.
Для обеспечения безопасности приложений
базы данных в Access 2000 имеется две возможности:
• Установка пароля базы данных
• Безопасность, основанная на
использовании рабочих групп
Безопасность,
основанная на использовании паролей
Установка пароля для базы
данных позволяет быстро и легко обезопасить файл MDB. После использования этой возможности (путем выбора
команд Tools | Security | Set Database Password (Сервис
| Защита | Задать пароль базы данных) в специально открытой базе данных), всем
пользователям присваивается одинаковый пароль. При открытии файла MDB каждому
пользователю поступает запрос о вводе пароля базы данных. Для всех
пользователей пароль един, и каждому, кому он известен, открыт доступ в базу
данных. Легко представить себе, насколько будет затруднена работа с базой
данных, если пароль и привилегии будут общими для всех пользователей. Кроме
того, если пароль вдруг будет забыт, восстановить его невозможно. И, наконец,
применение пароля для базы данных препятствует использованию репликации. Сам
по себе пароль для базы данных не является лучшим способом защиты серьезного приложения,
рассчитанного на использование большим количеством пользователей. Такого рода
пароли удобно использовать в сочетании с обеспечением безопасности рабочей
группы.
Прежде, чем перейти к рассмотрению
следующего пункта, следует отметить, что установить пароль для базы данных значительно
легче, чем организовать безопасность на основе рабочих групп
Безопасность,
основанная на рабочих группах
Если пароль для базы данных
основывается на содержимом базы данных (это значит, что каждая база данных
защищена на уровне отдельного файла или набора файлов, независимо от личности
пользователя), то Access/Jet предусматривает организацию защиты, учитывая то,
каким образом идентифицирован пользователь внутри определенной рабочей группы.
При этом подобная идентификация в полной мере определяет возможности
пользователя. В этой довольно сложной и гибкой структуре организации безопасности
именно идентификация пользователя внутри рабочей группы играет главную роль в
функционировании всей системы безопасности. При обращении к этой системе, опирающейся
на идентификацию пользователя, последний определяется единственным путем. К
тому же он получает только ему свойственные права доступа к базе данных или к
объектам, содержащимся в ней. Можно заключить, что предстоящее рассмотрение
файлов рабочих групп, рабочих сред и групп представляет собой освещение
различных аспектов создания и организации прав доступа пользователей.
Администрирование системы, основанной на
пользователях, осуществляется не с помощью Access или Jet, а с помощью
файла рабочей группы (system, mdw). Файл рабочей группы включает в себя информацию,
связанную с аспектами реализации безопасности для пользователей и групп
пользователей, причем вопросы защиты освещаются с учетом использования Access/Jet. При работе
с Access всегда учитываются вопросы безопасности, даже если
это внешне не проявляется. Файл рабочей группы используется всегда, даже если
его функционирование и незаметно.
При установке подобной системы безопасности (с
возможностями отдельного администрирования) учитывается тот факт, что отдельные
группы пользователей могут обладать доступом к различным приложениям баз
данных, безопасность и администрирование которых обеспечиваются с помощью
одного централизованного файла безопасности. Файл MDW, используемый для базы
данных, определяет и рабочую группу. Рабочая группа представляет собой объединение
пользователей, их групп и баз данных, которые могут быть использованы
совместно. Таким образом, для функционирования системы безопасности должна
существовать рабочая группа. В ней может находиться один пользователь или
несколько, но файл рабочей группы должен быть установлен.
Файл рабочей группы представляет собой
специально зашифрованную базу данных, содержащую следующую информацию: имена
пользователей, пароли пользователей, персональные идентификаторы пользователей
(PID), параметры для пользователей (установки для панели
инструментов и некоторые опции, заданные по умолчанию).
Литература:
1. Вихорев С.В., Кобцев Р.Ю.,
Как узнать – откуда напасть или откуда исходит угроза безопасности информации
// Конфидент, №2, 2001.
2. Симонов С. Анализ рисков, управление
рисками // Информационный бюллетень Jet Info № 1(68). 1999. с. 1-28.
3.
ISO/IEC 17799, Information technology – Code of
practice for information security management, 2000