э.ғ.д.,профессор Орынбеков А.О., математика
магистрі, аға оқытушы Бурлибаева Ш.М., информатика магистрі,
аға оқытушы Оразымбетова Г.Х.
Деректер
қорының қауіпсіздігіне әсер ететін негізгі
факторларының бірі - қатынауды дұрыс басқару,
яғни есептеу жүйенің деректеріне, программаларына және
құралдарына пайдаланушылардың, программалар мен
процестерінің қатынауын анықтау мен шектеу.
Қатынаудың
басқаруын ұйымдастыруда негізгі екі ұғым қарастырылады: қатынау объектісі
мен қатынау субъектісі.
Қатынау
объектісі- бұл қатынауы, қатынауды шектеу ережелерімен
регламент белгілейтін, автоматтандырылған жүйенің
ақпараттық ресурсының бірлігі болып табылады.
Қатынау
субъектісі- бұл әрекеттері, қатынауды шектеу ережелерімен
регламент белгілейтін, тұлға немесе процесс болып таблады.
MySQL
ДҚБЖ көппайдаланушылық деректер қоры, яғни желіде
көп санды саны пайдаланушыларға бір мәліметтерімен жұмыс
істеуге арналған. MySQL клиент- серверлы
ДҚБЖ. MySQL –дің әр деректер
қорысы бөлек бумада құрылады, сонымен қатар бума
аты деректер қоры атымен бірдей болады. MySQL
деректер қорыда кесте, ұсыныс (қарап шығу), индекс,
процедура немесе функция, триггер, триггер оқиғасы, триггер
тұлғасы сияқты объектілері құрылады. ДҚ
ресурстарына қатынау үшін арнайы клиенттік программалар бар
нақты пайдаланушылар MySQL деректер қорының
субъектілері болып табылады.
MySQL серверіне қатынау
алу үшін клиенттік программаға қосылу параметрлерін орнату
қажет: қосылу керек хост, пайдаланушы аты мен пароль дұрыс
көрсетілсе.
ДҚ
қатынауының 2 кезеңі бар:
қосылудың
верификациясы;
сұраныстардың
верификациясы.
Бірінші
кезеңде егер user кестеде хост пен пайдаланушыдың аты
енгізілгенімен бірдей болған жазба кездессе және пароль, сервер
қосылады.
Сервер
қосылған соң екінші кезең орындалады. Әр бір
түсетін сұраныс үшін сервер оны орындауға сіздің
привилегияныздың жеткілікті екенін тексереді. Привилегиялар туралы
ақпарат привилегиялар кестелерінің кез- келгенінде болу
мүмкін. Привилегиялар кестелерінің өңдеуі GRANT және REVOKE командалар
көмегімен орындалады. Бұл командаларды пайдалану үшін
қолданушының сәйкес привилегиялар болу керек.
Жүйенің
әкімшіліктері төрт қолайлы привилегиялардың деңгейлері
үшін привилегияларды құра және жоя алады:
- глобальды деңгей,
привилегиялар деректер қорының барлығына таратылады
(mysql.user кесте);
- деректер қоры
деңгейі, көрсетілген деректер қорының кестелер мен
жазбаларына таратылады (mysql.db
және mysql.host кестелер);
- кестелер деңгейі,
бір ғана кестенің жазбаларына привилегиялар
таратылады(mysql.tables_priv кесте);
- бағаналар деңгейі, нақты
кестенің көрсетілген бағанаға привилегиялар таратылады
(mysql.columns_priv кесте).
Айта кету
керек, MySQL-да қатынауды дискрециялық бақылау әдісі
іске асырылған, ол қатынау басқару тізімдеріне немесе
қатынау матрицасына негізінде субъектілерінің объектілеріне
қатынауын басқару болып
табылады. Объектінің иесі объектіге қатынауға өзі
рұқсат береді және қатынау түрін
айқындайды. Қатынауды дискрециялық бақылау,
субъектінің идентификациялық ақпаратына және
субъектілердің (немесе субъектілердің топтардың) жиынынан
және олармен қауымдасқан қатынау түрлерінен
(мысалы, оқу, жазба) тұратын объектінің қатынау
тізіміне негізделе, объектілерге субъектілерінің қатынауын
басқарады. Қатынауды дискрециялық бақылау
әдісінің елеулі кемшілігі бар. Ол оқуға
рұқсаты жоқ субъектілерге ақпарат қол жетімді
болмайтына толық кепілдік бермейтін екендігінде. Бұл объект иесіне
хабарламай, оқуға құқығы бар субъект
оқуға құқығы жоқ басқа
субъектілерге ақпаратты бере алатынын білдіреді. Dac жүйесі субъект
ақпаратты алғаннан кейін таратуға ешқандай шектеулер
қоймайды. Деректер кестелерде сақталады, олармен бірге деректердің ерекше құрылымдары
болуы мүмкін- кестелерге
сұраныстарды жеделдетуге арналған индекстер. Деректер
базасының субъектілері пайдаланушылар болып табылады, алайда, жекеменшік
есептік жазбаны және деректер қорының жекеменшік схемасын
алығаннан кейін, енді ғана тіркелген пайдаланушы тіпті деректер
қорыға қосыла аламайды, объектілерді құру
аламайтынын айтпағанда. Деректер қорыда кез келген
ic-әрекеттің орындау үшін пайдаланушыға бұл
әрекеттерді орындауға құқық талап етіледі.
Осы мақсаттар үшін привилегиялар мен ролін енгізіледі.
Қалыпты жұмыс істеуі үшін пайдаланушылардың
көбіне өте көп привилегиялар беру қажет.
Привилегиялармен жұмыс істеуіне көмектесетін рольдер – атаулы
привилегиялар топтары, оларды GRANT
команда арқылы пайдаланушыларға беруге болады.
Пайдаланушылардың
саны көп қосымшаларда рольдердің қолдануы GRANT
командалар санын пайдалануын көптен азайтады. Олардың
көмегімен пайдаланушыға қажет привилегиялар берілетін
анықталған рольдер жиынтығын алдын ала құруға
болады. Рольдердің болуы қатынауды
бақылау рольдік әдісін ұйымдастыру мүмкіндігі
болуын білдіреді. Рольдік моделінде бірқатар жетістіктері бар,
олардың ішінде: әкімшіліктендірудің
қарапайымдылығы, рольдердің иерархиясы, ең
төменгі привилегияның принципі, міндеттерінің бөлуі.
Рольдік модель – әмбебап, себебі оның негізінде дискрециялық
моделін және қатынауды мандатты бақылау моделін
құруға болады. Қатынауды бақылауының
рольдік моделінің негізінде жүйенің қауіпсіздік
жүйесін баптауы екі саты бойынша жүргізіледі:
-
жүйенің қауіпсіздік саясатын баптау;
-
жүйеде субъектілер мен объектілер
үшін қатынау құқықтарын
анықтау.
Дискрециялық және мандаттық модельдерінде
жүйенің қауіпсіздік саясаты анықталған.