|
Identifikatsiya va autentifikatsiya masalalari
|
Sana | 28.06.2024 | Hajmi | 49,19 Kb. | | #266081 |
Bog'liq Identifikatsiya
Identifikatsiya va autentifikatsiya masalalari.
Login va parol tushunchasi. Kompyuter tarmoqlariga
ruhsatsiz ulanish. Yovuz niyatli harakatlar va tarmoqda
ishlash qoidalarini buzish.
Yuqorida keltirilgan xavfsizlik siyosatlari va modellarining hamda
himoyalanganma’lumotlar bazasini qurishning va ishlashining aksiomatik
prinsiplarini amalga oshirilishi quyidagi yo‘nalishlar bo‘yicha guruhlash
mumkin bo‘lgan qator dasturiy – texnologik masalalami yechish
zaruriyatini keltirib chiqaradi:
- identifikatsiya va autentifikatsiya texnologiyalari;
- ma’lumotlar bazasi xavfsizligi tillari;
- obyektlardan takroran foydalanish xavfsizligini ta’minlash texnologiyalari;
- ishonchli loyihalash va ma’murlash texnologiyalari.
Identiflkatsiya va autentifikatsiya texnologiyalari
Identifikatsiya va autentifikatsiya texnologiyalari himoyalangan tizimning
majburiy elementi hisoblanadi, chunki u subyektlami
personalizatsiyalashning aksiomatik prinsipini ta’minlaydi va natijada
kompyuter tizimlarida axborotni himoyalashning birinchi (dastlabki)
dasturiy - texnik chegarasini amalga oshiradi.
Identifikatsiya deganda subyektlami, obyektlami, jarayonlami nomlari
bilan ifodalanuvchi obrazlari bo‘yicha farqlash tushuniladi. Autentifikatsiya
deganda identifikatsiyalangan subyektlar, obyektlar, jarayonlar obrazining
haqiqiyligini tekshirish va tasdiqlash tushuniladi.
Sistemotexnik tizim strukturasi
Sistemotexnik jihatdan identifikatsiya va autentifikatsiya tizimi
strukturasini sxema orqali tasvirlash mumkin. Tizimda
identiflkatsiyalash/autentifikatsiyalash obyekti xavfsizlik monitori
tomonidan ro‘yxatga olinganda uning obrazi shakllanadi. Ushbu obraz
bo‘yicha axborot kriptografik o‘zgartiriladi va tizimda faqat xavfsizlik
monitori foydalana oluvchi resurs ko‘rinishida saqlanadi. Shu tariqa
identifikatsiya va autentifikatsiya obyektlari ichki obrazlarining axborot
massivlari shakllanadi.
Keyinchalik identifikatsiyalashda va autentifikatsiyalashda obyekt o‘zining
obrazi xususidagi axborotni axborot eltuvchi kanal orqali xavfsizlik
monitoriga o'zgartirish uchun uzatadi. 0‘zgartirish natijasi ro‘yxatga olingan
mos ichki obraz bilan taqqoslanadi. Ularing mosligida obyektning aniq
langanligi (identifikatsiyalanganligi) va haqiqiyligi (autentifikatsiyalanganligi)
xususida qaror qabul qilinadi.
Identifikatsiya va autentifikatsiya obyektlari ichki obrazi
Identifikatsiya va autentifikatsiya obyektlari ichki obrazining axborot
massivi tizimning jiddiy resursi hisoblanadi va undan ruxsatsiz foydalanish
butun xavfsizlik tizimini obro‘siz!antiradi. Shuning uchun undan ruxsatsiz
foydalanishga yo‘l qo‘ymaslikning barcha choralaridan tashqari axborot
massivining o‘zi shifrlangan bo‘lishi lozim.
Identifikatsiyalash va autentifikatsiyalash uchun ulaming biometric
parametrlari (barmoq izlari, qo‘l panjasining geometrik shakli, yuzning
shakli va o`lchamlari, ko‘z yoyi va to‘r pardasining naqshi, ovoz xususiyatlari
va h.) yoki maxsus qurilmalar (smart-kartalar, magnit kartalar va h.)
ishlatilishi mumkin.
Identifikatsiya va autentifikatsiyaning parol tizimi
Bevosita kompyuter tizimidan (ma’lumotlar bazasidan) foydalanilganda,
ko‘pincha
Identifikatsiya va autentifikatsiyaning parol tizimi ishlatiladi. Parol tizimlari
autentifikatsiyalash onida foydalanuvchi tomonidan maxsus maxfiy (faqat
haqiqiy foydalanuvchiga ayon) so‘zni yoki simvollar naborini-parolni taqdim
etishga asoslangan. Parol foydalanuvchi tomonidan klaviaturadan kiritiladi,
kriptografik o‘zgartiriladi va o‘zining tizimdagi' shifrlangan nusxasi bilan
taqqoslanadi. Tashqi va ichki parol identifikatori mos kelganda mos
subyektni aniqlash va haqiqiyligini tasdiqlash amalga oshiriladi.
Parol tizimlari oddiy, ammo parollami to‘g‘ri tanlash va foydalanish
sharoitida, xususan, foydalanuvchilar parollami so‘zsiz yashirincha
saqlashlari sharoitida, autentifikatsiyalashning yetarlicha ishonchli vositasi
hisoblanadi. Shu sababli parol tizimlari keng tarqalgan.
Induktiv usulida ishchi guruhlami loyihalash dastlab subyektlaming
(foydalanuvchilaming) obyektlardan foydalanishning alohida vazifalarining
taqdimi amalga oshiriladi. Vazifalami taqdim etish foydalanuvchilaming
funksional ehtiyojlarini va vakolat xarakteristikalarini so‘rov va tahlillash
asosida bajariladi va tizim ma’muri tomonidan (foydalanishini
boshqarishning majburiy usuli) yoki obyekt egalarini foydalanish subyektlari
tomonidan alohida so‘roqlash (foydalanishni boshqarishning ixtiyoriy
prinsipi) orqali amalga oshirilishi mumkin.
So‘ngra tizim ma’muri
tomonidan turli subyektlardan foydalanishning umumiy yoki o‘xshash
dasturlari tahlil etilib, uning asosida subyektlar ishchi guruhlarga
birlashtiriladi. Ajratilgan foydalanishning umumiy dasturlari foydalanish
vazifalarining guruhli taqdimoti sifatida ishlatiladi. Subyektlar va
obyektlaming kata sonida foydalanishning o‘xshashligini tahlil etish oson
masala emas.
Ushbu masalani tizim ma’muri ko‘pincha evristik hal etadi.
Parol tizimlarining asosiy kamchiligi
Parol tizimlarining asosiy kamchiligi autentifikatoming subyekteltuvchidan
ajralganligi. Natijada parol u yoki bu usul bilan qonuniy foydalanuvchidan
olinishi yoki klaviaturadagi nabordan mo‘ralanishi, tizimga kirish yo‘lida u
yoki bu usul bilan ushlab qolinishi va tizimga niyati buzuq tomonidan
taqdim etilishi
mumkin. Shu sababli ba’zi hollarda parol tizimlari kollektiv niurojaat tizimi
bilan kuchaytirilishi mumkin. Kollektiv murojaat tizimida autentifikatsiyani
tizimda ro‘yxatga olingan barcha foydalanuvchilar birdaniga o‘tishlari shart.
Boshqacha aytganda, foydalanuvchilar yakka holda tizimda ishlay
olmaydilar. Niyati buzuq tomonidan birdaniga barcha parollami saralash,
ushlab qolish va h. ehtimolligi
juda kam, demak, bunday autentifikatsiya tizimining ishonchliligi yuqori.
Taqsimlangan axborot tizimlari
Taqsimlangan axborot tizimlarida obyektlami (resurslami, qurilmalami)
hamda jarayonlami (so‘rovlami, paketlami va h.) autentifikatsiyalash lozim.
Autentifikatsiyalangan (haqiqiy) foydalanuvchi tizim obyektlariga murojaat
etish jarayonida, o‘z navbatida, ulaming haqiqiy ekanligiga ishonch hosil
qilishi lozim.
Jarayonlami autentifikatsiyalashda belgi (deskriptor) texnologiyalari keng
tarqalgan. Foydalanishning belgi yoki descriptor texnologiyasi
xavfsizlikning bir sathli va ko‘p sathli modellarining birikmasini aks ettiradi
va tizim ma’muri tomonidan ma’lumotlar bazasining barcha obyekt va
subyektlariga foydalanishning maxsus deskriptorlarini berishga asoslangan.
Foydalanishning deskriptori tarkibida konfidensiallik sathi
parametrlarining, joiz amallaring, foydalanish obyektlari yoki
subyektlarining joiz nomlarining va
foydalanishning boshqa shartlarining nabori bo‘ladi. Foydalanish subyekti
o‘zining deskriptoriga (belgisiga) binoan ruxsat etilgan jarayonni boshlab,
unga o‘zining foydalanish belgisini uzatadi.
MBBT xavfsizlik yadrosi
MBBT xavfsizlik yadrosi jarayon belgisini foydalanuvchi subyektning
foydalanish belgisi bilan taqqoslab, jarayon belgisining haqiqiyligini
tekshiradi, ijobiy natijada jarayonning foydalanish belgisi obyektining
foydalanish belgisi bilan taqqoslanadi. Agar jarayonning va obyektning
foydalanish deskriptorlari bir-biriga mos kelsa, xavfsizlik monitori
foydalanishga, ya’ni jarayonni (amalni)
amalga oshirishga ruxsat beradi. Belgilaming haqiqiyligini tekshirish uchun
tizimda maxsus yozuvlarni qayd etish fayli (massivi) shakllantiriladi. Yangi
foydalanuvchini ro‘yxatga olishda uning uchun tarkibida uning
identifikatsiya
nomeri (identifikatori), parol autentifikatori va ma’lumotlar bazasi
obyektlaridan foydalanish deskriptorlari nabori (foydalanish belgisi) bo‘lgan
qaydlash yozuvi yaratiladi.
MBBT dasturiy ta’minoti asosida muayyan avtomatlashtirilgan axborot
tizimini ishonchli loyihalash va yaratish texnologiyasi tizim
infrastrukturasida va foydalanishni cheklash qismtizimida mantiqiy
xatoliklami bartaraf etishga yo‘naltirilgan. Bunda struktura-funksional
yondashish asosiy hisoblanadi va kengtarqalgan.
Foydalanuvchilaming (subyektlaming) va axborot tizimi obyektlarining
(ma’lumotlar bazasining) katta sonida foydalanishni cheklash sxemasi juda
murakkab va chigal bo‘lishi mumkin. Bu esa ma’murlash uchun
qiyinchiliklar tug‘ilishiga sabab bo‘ladi va mantiqiy xatoliklarga asos
tug'diradi. Ushbu tahdidni bartaraf etish uchun struktura-funksional
yondashish doirasida ishchi guruh
texnikasi ishlatiladi.
Qaydlash yozuvi massivi
Foydalanuvchi (subyekt) ma’lumotlar bazasida qandaydir jarayonni
boshlab, unga o‘zining foydalanish belgisini uzatganida, MBBT xavfsizligi
yadrosi jarayon belgisini kriptografik o‘zgartiradi, uni qaydlash yozuvlari
massividagi mos subyektga (foydalanuvchiga) tegishli shifrlangan belgi
bilan taqqoslaydi va belgining haqiqiyligi xususida qaror qabul qiladi.
Qaydlash yozuvi massivi, o‘z navbatida, tizimdagi yuqori darajali
konfidensiallikka ega obyekt hisoblanadi va undan faqat ma’mur
foydalanishi mumkin. Butun tizimning xavfsizligi uchun
qaydlash yozuvlari massivining nihoyatda muhimligi tufayli, uni
shifrlashdan tashqari qo‘shimcha qator choralar ko‘riladi, xususan, uni
joylashtirish, uning yaxlitligini tekshirishning maxsus rejimlari. Shunday qilib,
hozirda himoyalangan kompyuter tizimlarida identifikatsiya va
autentifikatsiya texnologiyasining rivojlangan nabori ishlab chiqilgan va
ishlatiladi. Shuning bilan birga, xavfsizlikning asosiy raxnalarini niyati buzuq
aynan shu yo‘nalishda topadi.
Ma’lumotlar bazasi xavfsizligi tillari
Kompyuter tizimining ma’lumotlar bazasini loyihalashda foydalanishning
muayyan vazifalarini yoki foydalanish qoidalari va cheklashlarini o‘matish
hamda foydalanishni cheklash tizimini boshqarish maqsadida tizim
ma’muriga maxsus vosita zarur. Bunday vosita foydalanishning u yoki bu
vazifalarini va muayyan kompyuter tizimida xavfsizlik siyosatining boshqa
zarur yo`l yo‘riqlarini tavsiflash va o‘matishga imkon beruvchi maium tilga
asoslanishi lozim.
Ma’lumotlar bazasining ichki sxemasidan ko‘rinib turibdiki, ma’lumotlar
bazasini boshqarish tizimining asosiy vazifasi-malumotlami joylashtirish va
ulami tashqi (diskli) xotira va asosiy xotira orasida almashishning xususiy
tizimini yaratish va madadlash. Har bir muayyan MBBT tomonidan ushbu
vazifani (ma’lumotlar fayllarining formati, indekslash, xeshlash va buferlash)
samarali
amalga oshirilishi butun MBBTning samarali ishlashini ta’minlaydi.
Xavfsizlik sathi tizimi Bga muvofiq “Ishonchli kompyuter tizimlarini
baholash mezonlari”da INGRES/Enhanced Security (xavfsizligi oshirilgan
INGRES) versiyada amalga oshirilgan xavfsizlik belgilari mexanizmi
tavsiflangan. Ushbu versiyani amalda qo‘llash faqat operatsion tizim va
xavfsizlik B sathiga ega boshqa
dasturiy komponentlar bilan birgalikda amalga oshirilganida ma’noga ega
bo'ladi. Shunday bo'lsa ham, INGRES MBBTda belgili xavfsizlikning amalga
oshirilishini ko‘rish, bilish nuqtayi nazaridan qiziqarli, ma’lumotlarni
maxflylik sathlari va foydalanish kategoriyalariga ajratishga asoslangan
yondashishning o‘zi esa, ko‘pgina foydalanuvchilaming ma’lumotlaming
katta massivlariga nisbatan
imtiyozlari tizimini loyihalashda foydali bolishi mumkin.
Yuqori darajali algoritmik tillar
60-yillar oxiri va 70-yillar boshidagi dastlabki MBBT yaratuvchilarining
asosiy kuchlari ayrian ushbu yo‘nalishga qaratilgan edi. Natijada
ma’lumotlami kiritish, ishlash yoki chiqarish bo‘yicha har qanday
funksiyalami amalga oshirish uchun yuqori darajali algoritmik tillarida
maxsus dasturlami yaratuvchi, maiumotlar strukturasini tashqi va asosiy
xotirada joylashtirish usullarining xususiyatlarini “biluvchi” malakali
dasturchilar talab etilar edi. Oqibatda, malumotlar bazasi
bilan ishlash foydalanuvchining axborotga boigan ehtiyojini mashina kodiga
“o‘tkazuvchi” yuqori malakali dasturchi – vositachi orqali amalga oshirilar
edi
Bunday vaziyat avtomatlashtirilgan axborot tizimini yaratishda va
ekspluatatsiyasida katta qo'shimcha xarajatlarga olib keldi hamda korxona
va tashkilot faoliyatidagi axborot ta’minoti jarayonlarida hisoblash
texnikasining tarqalishini malum darajada to‘xtatadi.
Ma’lumotlar mashinasi
Relyatsion MBBTlar nazariyasining asoschisi E.Kodd tomonidan
ma’lumotlar bazasi bilan dasturchi bo'lmagan foydalanuvchining muloqoti
uchun maxsus tilni yaratish xususida taklif kiritildi. Ushbu til ingliz tilining
bir nechta sodda iboralari (“tanlash”, “yangilash”, “kiritish”, “yo‘qotish”)
naboridan tashkil topgan bolib,
ular orqali dasturchi boimagan foydalanuvchi o‘zining axborotga bolgan
ehtiyoji bo‘yicha MBBTga “savollar” qo‘yishi mumkin. Bunda ma’lumotlami
bevosita ishlash va foydalanuvchiga natijalami taqdim etish uchun ushbu
“savollami” mashina kodlarining past darajali tilida sharhlash MBBTning
qo`shimcha vazifasi hisoblanadi.
Shu tariqa MBBT strukturasidagi “ma’lumotlar mashinasi” paydo boidi.
Boshqacha aytganda, ma’lumotlar mashinasi malumotlar bazasi tilini
“tushunadi”, natijada ma’lumotlami va ulami ishlash bo‘yicha masalalami
ajratadi. Bunday yondashishda foydalanuvchining ma’lumotlar bazasi bilan
o'zaro aloqasini orqali tasvirlash mumkin.
System R
Ushbu g'oyalar ilk bor ma’lumotlar bazasi sohasidagi yana bir mashhur
mutaxassis Kris Deyt ishtirokida System R (1975 – 1979 yy.) loyihasi
amalga oshirilishida tatbiq etildi. Loyihani amalga oshirish jarayonida
keyinchalik strukturalangan so‘rovlar tili SQL (Structured Query
Language)ga aylantirilgan SEQUEL yaratildi. Bunda foydalanuvchiga
ma’lumotlar bazasiga “so‘rovlami” shakllantirish imkoniyatiga qo‘shimcha
tarzda ma’lumotlar strukturalarini,
ma’lumotlami kiritishni va ulami o‘zgartirishni tavsiflash imkoniyati ham
taqdim etildi. Taxminan shu vaqtda IBM firmasi tomonidan yana bir
relyatsion til - QBE (Query - By - Example) yaratildi.
Ushbu til keyinchalik jadval ma’lumotlarini ishlovchi tijorat tizimlarida
ishlatildi va zamonaviy MBBTlarida so‘rovlaming visual “konstrukturalarini”
yaratishda g‘oyaviy asos vazifasini o‘tadi.
SQL tilining standartlashtirilishi
SQL tilining g‘oyasi tezda ommaviylashib, 70-yillar oxiri va 80-yillaming
boshida yaratilgan relyatsion MBBTlarda keng qoilanildi. Natijada SQL tili
1986-yil siandartlaming Amerika milliy instituti (ANSI) va
standartlashtirishning Xalqaro tashkiloti (ISO) tomonidan relyatsion
MBBTlarda maiumotlami tavsiflash va ishlashning standart tili sifatida
e’tirof etildi. 1989-yil SQL tilining mukammalashtirilgan SQL2 va 1992-yili
SQL3 versiyalari ANSI/ISO tomonidan qabul qilindi. SQL tili dasturlashning
deklarativ (muolajaviy boimagan) tillariga mansub. Muolajaviy tillardan (C,
paskal, Fortran, Kobol, Beysik) farqli oiaroq SQL tilida “nima qilish kerak”,
ammo “qanday
qilmoq kerak, qanday olish lozim” emas xususida takliflar (yo‘riqnomalar)
ifodalanadi. MBBTdagi ma’lumotlar mashinasi sharhlash rolini bajaradi va
SQL - yo‘riqnomalari belgilagan natijani olish usulini amalga oshiruvchi
mashina kodini tuzadi.
SQL sintaksisi
SQL tili ikki qismdan iborat:
- ma’lumotlami tavsiflash tili DDL (Data Definition Language);
- malumotlami manipulyatsiyalash tili DML (Data Manipulation Language).
SQL - yo‘riqnomalari sintaksisining tarkibi:
- yo‘riqnoma (komanda) nomi;
- manbalami, amal shartlarini belgilovchi gaplar;
- gaplar belgilagan yozuvlami tanlash usullarini va rejimlarini aniqlovchi
predikatlar;
- mazmunlari yo‘riqnomalar va gaplar bajarilishi xususiyatlarini va
parametrlarini belgilovchi ifodalar.
SQL - yo'riqnomalari
SQL - yo'riqnomalarini ikki qismga ajratish mumkin.
Birinchi qism tarkibiga SQL - yo‘riqnomaning nomi (komandasi), predikat
(majburiy boimagan) va yo‘riqnoma argumentlari kiradi. Bir yoki bir necha
jadvallar hoshiyalarining vergul oralab yozilgan nomlari yo‘riqnoma
argumentlarini tashkil etadi
Ikkinchi qismi argumentlar! ma’lumotlar manbaini (jadvallar nomini,
jadvallar ustidagi amallami), komandalar bajarilishi usullari, shartlari va
rejimlarini (taqqoslash predikatlarini, jadvallar hoshiyalari mazmunlari
bo‘yicha mantiqiy va matematik ifodalami) belgilashlari mumkin boigan
bitta yoki bir nechta gaplardan iborat.
SQL - yo‘riqnomalarining ro‘yxati
SQL tilining qismlari bo‘yicha ajratiladi.
DDL tili tarkibiga relyatsion jadvallami va ular orasidagi bogianishlami
yaratishda asosiy funksiyalar naborini ta’minlovchi bir necha bazaviy
yo‘riqnomalar kiradi:
CREA.TETABLE . . . — jadval tuzish;
CREATEINDEX . . . — indeks yaratish;
ALTERTABLE . . . - avval tuzilgan jadval strukturasin o‘zgartirish;
DROP . . . - mavjud jadvalni va maiumotlar bazasini yo‘q qilish.
CREATEABLE va ALTERTABLE yo‘riqnomalar strukturasida
CONSTRAINT gapi (ma’lumotlar qiymatlariga cheklashlar tashkil etish)
NOT NULL (mos hoshiya bo‘yicha nullik qiymatlar nojoiz),
AYTOINC (qiymatlari inkremental xarakterli, ya’ni har bir yangi yozuv bilan
qiymatlar xarakterining ketina-ket o‘suvchi hoshiya)
PRIMARY KEY (noyob hoshiya uchun aniqlash) ko‘rsatmalari bilan muhim
rolni o‘ynaydi.
DML tili yo‘riqnomalari
DML tili tarkibiga ma’lumotlami kiritish, ishlash va chiqarish bo‘yicha
quyidagi bazaviy yo‘riqnomalar ham kiradi:
SELECT . . . - maiumotlar bazasidan maiumotlami tanlash;
INSERT . . . - maiumotlar bazasiga maiumotlami qo‘shish;
UPDATE . . . - ma’lumotlar bazasidagi maiumotlarai yangilash;
DELETE . . . — ma’lumotlami chiqarib tashlash;
GRANT . . . — foydalanuvchiga imtiyozlami taqdim etish;
REVOKE . . . - foydalanuvchi imtiyozlarini bekor qilish;
COMMIT . . . - joriy tranzaksiyani qaydlash;
ROLLBACK . . . - joriy tranzaksiyani to‘xtatish.
SELECT ma`lumotlar bazasidan ma`lumotlarni tanlash
operatori
SELECT yo‘riqnomasining bir turi - SELECT . . . INTO . . . (bir yoki bir necha
jadvaldan yozuvlar naborini tanlash va u yordamida yangi jadvalni tuzish) va
jadvallami birlashtirish amalini bajaruvchi dastlabki SELECT yo‘riqnomasiga
qo‘shimcha
(SELECT.. . UNION SELECT .. .) UNION SELECT yo‘riqnomalari muhim
ahamiyatga ega.
SQL — yo‘riqnomalarida CONSTRAINT gapidan tashqari quyidagi gaplar
ishlatiladi:
FROM . . . — SELECT yo‘riqnomalarida sanab o‘tilgan hoshiyalardagi
jadvallami yoki so‘rovlami ko‘rsatadi;
WHERE . . . - FROM gapida sanab o‘tilgan jadvallardagi qaysi yozuvlari
SELECT, UPDATE yoki DELETE yo‘riqnomalarining bajarilishi natijasiga
qo‘shish lozimligini aniqlaydi;
Har bir foydalanuvchi obyekt uchun INGRES foydalanishning so‘raluvchi
turiga (SELECT, EXECUTE va h.) tegishli ierarxiyadagi imtiyozni qidirishga
urinadi. Masalan, yangilash maqsadida jadvaldan foydalanishga urinishda
INGRES rolning, foydalanuvchining, guruhning va barcha
foydalanuvchilaraing imtiyozlarini tekshiradi. Agar ierarxiyaning bitta
sathida UPDATE imtiyozi bo‘lsa
ham, so‘rov keyingi ishlash uchun uzatiladi. Aks holda, so‘rovni rad etishni
ko‘zda tutuvchi foydalanish huquqi ishlatiladi.
GROUP BY operatori
GROUP BY . . . - hoshiyalar ro‘yxatida ko‘rsatilgan bir xil qiymatli yozuvlami
bitta yozuvga birlashtiradi;
HAVING . . . - SELECT yo‘riqnomasi GROUPBY gapi bilan ishlatilganda
qanday guruhlangan yozuvlar akslantirilishini aniqlaydi;
IN ... - MBBT yadrosi aloqa bog‘lashi mumkin bo‘lgan ma’lumotlarning har
qanday tashqi bazasidagi jadvallami aniqlaydi;
ORDERBY . . . - so‘rov natijasida olingan yozuvlami, ko‘rsatilgan hoshiya
yoki hoshiyalar qiymatlari asosida, o‘sish yoki kamayish tartibida saralaydi.
FROM gapi bo‘yichajna’liimotlamuig manbai sifatida iadvallar va
so‘rovlardan tashqari jadvallami uch xil ko‘rinishda birlashtirish natijalari
ham ishlatilishi mumkin.
JOIN birlashtirishlar
INNEP JOIN . . . ON . . . , LEFT JOIN . . . ON . . . va
RIGHT JOIN . . . ON . . . (mos holda, ichki bog‘lanish, chapga yoki o‘ngga
tashqi bog‘lanish).
Predikatlardan SQL - yo'riqnomalaridagi shartlar asosida tanlab olingan
yozuvlami ishlatish usullarini va rejimlarini belgilash uchun foydalaniladi.
Bunday predikatlar quyidagilar:
ALL . . . - SQL - yo‘riqnomalari shartlariga mos barcha yozuvlami tanlab
oladi;
DISTINCT . . . — tanlangan hoshiyalarda takrorlanuvchi qiymatlarga ega
yozuvlami chiqarib tashlaydi;
DISTINCTROW . . . — butunlay takrorlanuvchi yozuvlarga asoslangan
ma’lumotlami tushirib qoldiradi;
TOP .... - ORDER BY gapi yordamida tavsiflangan diapazonning
boshlanishidagi yoki oxiridagi yozuvlami qaytaradi.
SQL - yo‘riqnomalari qoidalari
SQL - yo‘riqnomalarida matematik iboralar qoidalari bo‘yicha qurilgan va
natijasi muayyan, jumladan mantiqiy qiymat bo‘lgan har qanday operatorlar,
konstantalar, matnli konstantalar qiymatlari, funksiyalar, hoshiyalar nomi
kombinatsiyalari ifoda hisoblanadi.
Foydalanuvchilarga imtiyozlami taqdim etuvchi yoki bekor qiluvchi GRANT
va REVOKE yo‘riqnomalari SQL tili yo‘riqnomalarining asosini tashkil etadi.
GRANT yo‘riqnomasining strukturasi quyidagi ko‘rinishga ega:
GRANT imtiyozlari ro‘yxati vergul orqali ON Obyekt Nomi
TO foydalanuvchilar ismlari vergul orqali
[WITH GRANT OPTION] bu erda:
- obyekt (jadval) ustida ruxsat etilgan yo‘riqnomalar (amallar)
Imtiyozlar ro‘yxati
- SELECT, INSERT, UPDATE, DELETE - imtiyozlar ro‘yxatini tashkil etadi;
- foydalanuvchilar ro‘yxati ulaming ismlari – identifikatorlari orqali
ifodalanishi yoki tizimda ro‘yxatga olingan, barcha foydalanuvchilami
identifikatsiyalovchi tayanch so‘z PUBLIC bilan almashtirilishi mumkin;
- WITH GRANT OPTION direktivasi sanab o‘tilgan foydalanuvchilarga
boshqa foydalanuvchilarga ro'yxatda ko‘rsatilgan imtiyozlar
- vakolatlami berish bo‘yicha qo‘shimcha alohida vakolatlar ato etadi.
GRANT va REVOKE komandalari
Aksariyat hollarda muayyan obyekt bo'yicha GRANT va REVOKE
komandalarini berish huquqiga avtomatik tarzda ushbu obyektni
yaratuvchilari ega bo‘ladilar. Boshqa yondashishlarda ushbu huquqqa
ishonchli subyektlar, ya’ni ma’murlar ega bo‘ladilar.
Bunday yondashish ochiq holda foydalanish matritsasini tuzishni ko‘zda
tutmasa-da, foydalanishni cheklashning diskresion prinsipi foydalanishning
ixtiyoriy va majburiy boshqarishni qo‘shib amalga oshiriladi.
Aslida aksariyat MBBTda imtiyozlar va foydalanishni o‘matish,
ma’lumotlar bazasi strukturasi kabi ma’lumotlar bazasining tizimli
jadvallarida, ya’ni foydalanish matritsasi sifatida ham qabul qilish mumkin
bo‘lgan ma’lumotlar bazasining tizimli katalogida “qaydlanadi”.
Diskresion prinsipi
Diskresion prinsipi ma’lumotlar bazasidan foydalanishni cheklash tizimini
predmet sohasining xususiyatlariga va foydalanuvchilar ehtiyojiga sozlash
bo‘yicha yuqori moslanuvchanlikka ega, ammo samarali boshqaruvchanlik
ta’minlanmaydi va tizimda qanday bo‘lsa ham aniq bir maqsadga
yo'naltirilgan xavfsizlik siyosatini o'tkazishni qiyinlashtiradi. Ushbu
kamchilikni bartaraf etishga ikkita yo‘l bilan, ya’ni “tasavvur etish”
texnikasini ishlatish va SQL tilini maxsus kengaytirish orqali erishiladi.
“Tasavvur etish” deganda ma’lumotlarni tanlashdagi global
avtorizatsiyalangan so‘rov tushuniladiki, ushbu so‘rov foydalanuvchilar
uchun ma’lum obyekt (obyektJar) xususida “o‘zining” tasawurini
shakllantiradi. O‘zining sxemasiga (obyektiga va ma’lumotlariga tanlangan
yoki maxsus o‘zgartirilgan) qandaydir virtual ma’lumotlar bazas ini
shakllantiradi. Foydalanuvchining tizimga kirishida uni identifikatsiyalash va
autentifikatsiyalash jarayonida xavfsizlik yadrosi foydalanuvchi uchun mos
tasavvur-so‘rovlar qidirib topadi va so‘rovni bajarish uchun MBBTning
asosiy yadrosiga uzatadi. So‘rovni bajarish natijasida foydalanuvchi faqat
uning vakolatiga va vazifalariga mos obyektlami “ko‘radi” va ulardan
foydalanadi.
GRANT yo‘riqnomasi
Umuman, tasavvur etish texnikasi vositasida foydalanishni cheklash
tizimini yaratish, bevosita GRANT yo‘riqnomasidan foydalanishga nisbatan
oddiyroq usul hisoblanadi va quyidagi ikkita bosqichda amalga oshiriladi:
- barcha ro‘yhatga olingan foydalanuvchilar uchun tizimda
CREATE VIEW koristruktsiyasi yordamida o‘zlarining ma’lumotlar
bazasi xususidagi tasavvurlari vujudga keltiriladi;
- vujudga keltirilgan tasawurlar “GRANT SELECT ON Tasawur Ismi TO.
Foydalanuvchi Ismi” yo‘riqnoma yordamida o‘zining foydalanuvchilari bilan
avtorizatsiyalanadi. Shu bilan birga, bunday yondashish ma’lumotlar bazasi
obyektlariga bevosita qoilanuvchi GRANT yo‘riqnomasiga nisbatan
qo‘polroq hisoblanadi, chunki obyektlardan foydalanish ko‘rsatmalarining
alohida amallar (SELECT, INSERT, UPDATE, DELETE) darajasida bolishligini
ta’minlamaydi.
Xavfsizlikning maxsus qoidalari (RULE)
Shu sababli xavfsizlikning maxsus qoidalari (RULE) kiritilgan hodisa-
muolaja ideologiyasiga asoslangan SQL tilining maxsus kengaytirishlari
ishlatiladi:
CREA/TESECURITYRULE - Ism Qoidalar
GRANT- imtiyozlar ro‘yxati-vergul orqali ON - Obyekt Ismi
WHERE — shartlar
TO- Foydalanuvchilar Ismlari- vergul orqali.
Xavfsizlik qoidalarining kiritilishi turli xavfsizlik siyosatini yuqori darajali
nazoratlash va boshqaruvchanlik bilan amalga oshirish imkoniyatini
ta’minlaydi. Ammo, tasawur etish texnikasi va GRANT yo‘riqnomalaridan
bevosita foydalanish mandatli cheklash tizimini qurishga imkon bermaydi.
Ma’lumotlar xavfsizligini va yaxlitligini ta’minlashning ishonchli
mexanizmlarining mavjud emasligi ham jiddiy muammo hisoblanadi. Fayl
serveri modelidagidek bir necha foydalanuvchilaming bir xil ma’lumotlar
bilan birgalikda ishlashi, faqat operatsion tizimning bir necha ilovalar
faylidan bir vaqtda foydalanish bo‘yicha funksiyalari yordamida ta’minlanadi.
Xuddi shu tarzda keng tarqalgan Fox Pro, dBASE kabi boshqa MBBTining
ma’lumotlar bazasidagi ma’lumotlardan hamda jadval ma’lumotlaridan
foydalanish ta’minlanadi. Bunda foydalanish bevosita MBBT yadrosi
yordamida
hamda odatda, MBBT komplekti tarkibiga kiruvchi maxsus qo‘shimcha
ISAM (Indexed Sequential Access Method) drayverlar yordamida
ta’minlanadi. Bunday yondashish shu tariqa qurilgan taqsimlangan
getrogen tizimlarining ko‘p protokolligini, ya’ni local ma’lumotlar bazalarini
madadlovchi MBBT turlarining “xilma-xilligini” amalga oshiradi. Ammo
obyektli bog‘lush, amalga oshirilishi
va madadlanishi muayyan MBBTning o‘ziga xos xususiyatiga bog‘liq
ma’lumotlar bazasining boshqa obyektlarini (so‘rov!ar, shakllar, hisobotlar)
istisno qilgan holda, faqat bevosita ma’lumotlar jadvali bilan chegaralanadi.
Maxsus dialog — ko‘rgazmali interfeys
Ushbu masalani yechish uchun konfidensiallik belgisi kiritilgan,
malumotlar bazasi obyektlarini yaratish imkoniyati bilan kengaytirilgan SQL
tili tavsiya etilishi mumkin. Ammo tijorat va xavfsizlik jarayonlariga binoan
sertifikatsiyalangan MBBTida bunday misollar judakam uchraydi.
Malumotlar bazasi xavfsizligi bo‘yicha ta’kidlash lozimki, zamonaviy
TvMBBTda SQL tilining mos konstruktsiyasini avtomatik tarzda
shakllantiruvchi va aksariyat hollarda bevosita dasturlashsiz foydalanish
ko‘rsatmalarini, qoidalarini va cheklashlami amalga oshirish uchun maxsus
dialog — ko‘rgazmali interfeys ishlab chiqiladi va ishlatiladi.
Umuman, maiumotlar bazasidan foydalanuvchilaming barchasi uchun
yagona parol belgilanishi mumkin. Ammo maiumotlar bazasini
himoyalashning moslanuvchan va keng tarqalgan usuli foydalanuvchi
sathida himoyalash boiib, unda har bir foydalanuvchiga parol beriladi.
MBBT ishga tushirilishida foydalanuvchi identifikatsiyalanishi lozim. Tizim
foydalanuvchi identifikatori va parolining bir-biriga mosligini tekshiradi. Har
bir foydalanuvchi uchun nafaqat noyob kod, balki foydalanish darajasi va
foydalanuvchi foydalana oladigan obyektlar belgilanishi mumkin.
Aksariyat MBBT yagona foydalanuvchilardan tashqari ularning guruhini
yaratishi mumkin. Yuqorida aytilganidek, takrorlash (replikatsiya)
foydalanuvchilarga malumotlaming umumiy bazasining nusxasini
yaratishga imkon beradi. Takrorlangan malumotlar keyinchalik noqonuniy
tarqatish uchun ishlatilishi mumkin. Shu sababli, ba’zi hollarda maiumotlar
bazasini takrorlashni taqiqlashga to‘g‘ri keladi. Foydalanuvchilar tomonidan
parollarni o'rnatishni va ishga tushirish parametrlarini sozlashni taqiqlash
|
| |