Maʼlumotlar bazasiga boʻladigan tahdidlarni bartaraf etish vositalari. Maʼlumotlar bazasida axborotlarni zahirali nusxalash usullari. Maʼlumotlar bazasida foydalanishlarni cheklash siyosatini tadbiq etish muammolari

Download 16.55 Kb.
Sana	24.04.2024
Hajmi	16.55 Kb.
	#206675

Bog'liq
5 (1)
8 Электрон почта хизмати ва унинг, 8-klass 20 test sorawlari, Xazoyin ul-maoniy kulliyoti, web dasturlash, Pedagog tarbiyachi shaxsini shakllantirish-fayllar.org, Komila Kurs ishi, Ilmiy amaliyot shartnoma 240106 160007, Bridgestone R 17 215 MM, shablon, 9 uzb mavzulashgan, 9 uzb mavzulashgan

Maʼlumotlar bazasiga boʻladigan tahdidlarni bartaraf etish vositalari. Maʼlumotlar bazasida axborotlarni zahirali nusxalash usullari. Maʼlumotlar bazasida foydalanishlarni cheklash siyosatini tadbiq etish muammolari.
1. Ma’lumotlar bazasini boshqarish tizimlari, ayniqsa relyatsion MBBTlari, axborotning katta massivlarini saqlashda ustun instrument bo‘lib qoldi. Bir qadar rivojlangan ilovalar operatsion tizimning fayl strukturalariga emas, balki mijoz/server texnologiyasida bajarilgan ko‘pchilik foydalanuvchi MBBTga ishonadi. Shu sababli, MBBTning, birinchi navbatda uning server komponentlarining, axborot xavfsizligini ta’minlash butun tashkilot xavfsizligi uchun hal qiluvchi ahamiyatga ega. Yuqorida aytib o‘tilganidek, MBBT uchun axborot xavfsizligining uchta asosiy jihatlari – konfidensiallik, yaxlitlik va foydalanuvchanlik – muhim hisoblanadi. Ma’lumotlar bazasini himoyalashning umumiy g‘oyasi “Ishonchli kompyuter tizimlarini baholash mezonlari”da S2 xavfsizlik sinfi uchun ta’riflangan tavsiyalarga rioya qilishdan iborat. Umuman, ba’zi MBBTlar V1 sinfiga xos qo‘shimchalar taklif etadi, ammo bo‘nday qo‘shimchalarni amalda qo‘llash faqat tashkilot axborot strukturasining barcha komponentlari xavfsizlikning V kategoriyasiga ega bo‘lgandagina ma’no kasb etadi. Bunga erishish texnik va moliya nuqtai nazaridan murakkab. Undan tashqari, quyidagi ikkita jihatni hisobga olish kerak. Birinchidan, aksariyat tijoriy tashkilotlar uchun xavfsizlikning S2 sinfi yetarli. Ikkinchidan, yaxshi himoyalangan versiyalar ma’nodorligi va imkoniyatlari bo‘yicha oddiy “kasbdoshlar”idan orqada qoladi. Shuning uchun, maxfiylik uchun kurashuvchilar aslida ma’naviy eskirgan (garchi sinchiklab tekshirilgan) maxsulotlardan foydalanishga majburlar. 2. Odatda MBBTda foydalanuvchilarni identifikatsiyalash va ularni haqiqiyligini tekshirish uchun operatsion tizimning mos mexanizmlari, yoki SQLCONNECT operatori qo‘llaniladi. Masalan, ORACLE MBBT xolida CONNECT operatori quyidagi ko‘rinishga ega bo‘ladi: CONNECT foydalanuvchi [parol] [@ma’lumotlar_bazasi]. Har xolda, ma’lumotlar bazasi serveri bilan ishlash seansining boshlanishi onida foydalanuvchi o‘zining nomi bilan identifikatsiyalanadi, autentifikatsiya vositasi sifatida esa parol ishlatiladi. Ushbu jarayonning tafsilotlari ilovaning mijoz qismining amalga oshirilishi orqali aniqlanadi. UNIX kabi ba’zi operatsion tizimlar dastur ishga tushirilishi vaqtida amaldagi foydalanuvchi identifikatorini o‘zgartirishga imkon beradi. Ma’lumotlar bazasi bilan ishlovchi ilova, odatda oddiy foydalanuvchilar imtiyozlariga nisbatan ancha ortiqcha imtiyozlarga ega. Tabiiyki, bunda ilova puxtalik bilan o‘ylangan, qat’iy belgilangan imkoniyatlar naborini taqdim etadi. Agar foydalanuvchi u yoki bu usul yordamida ilovani nihoyasiga yetkaza olsa, ammo ma’lumotlar bazasining serverga ulanishini asray olsa, u ma’lumotlar bilan har qanday harakatlarni bajarishi mumkin. 3. Foydalanishni boshqarish. Foydalanishni boshqarish bilan bog‘liq masalalarni oydinlashtirish uchun INGRES MBBT ishlatiladi. Odatda MBBTda foydalanishni ixtiyoriy boshqarish qo‘llaniladi. Bunda obyekt egasi undan foydalanish xuquqini (ko‘pincha imtiyozini deb yuritishadi) o‘z ixtiyoricha beradi. Imtiyozlar subyektlarga (alohida foydalanuvchilarga), guruhlarga, rollarga yoki barcha foydalanuvchilarga berilishi mumkin. Rollar imtiyozlari foydalanuvchilar va guruhlar imtiyozlaridan ustun turadi. Boshqacha aytganda, subyekt sifatidagi foydalanuvchining ma’lum rolli ilovalar ishlov beruvchi obyektlardan foydalanish huquqiga ega bo‘lishi shart emas. Ta’kidlash lozimki, ORACLE MBBTda rol deganda imtiyozlar nabori tushuniladi. Bunday rollar imtiyozlarni strukturalash vositasi sifatida xizmat qiladi va ularning modifikatsiyalanishini osonlashtiradi. Barcha foydalanuvchilar majmui PUBLIC deb ataladi. PUBLICga imtiyozlar berilishi – foydalanishning ko‘zda tutilgan xuquqlarini berishning qulay usuli. Turli foydalanuvchilar zimmasiga turli ma’lumotlar bazasini ma’murlashni yuklash ma’noga ega bo‘ladi, qachonki ushbu bazalar mustaqil va ularga nisbatan imtiyozlarni ajratishning kelishilgan siyosatini yoki rezervli nusxalashni o‘tkazishga to‘g‘ri kelmasa. Bu xolda har bir ma’mur qancha zarur bo‘lsa, shuncha biladi. Bir tomondan, INGRES foydalanuvchisi va ma’lumot bazasi, ikkinchi tomondan operatsion tizim superfoydalanuvchi (OS UNIX xolida root) va xizmatchi foydalanuvchilar (OS UNIXda bu bin, Ip, IJUCP va h. bo‘lishi mumkin) orasidagi o‘xshashlikni kuzatish mumkin. Xizmatchi foydalanuvchilarning kiritilishi superfoydalanuvchi imtiyozlarini olmasdan funksional qismtizimlarni ma’murlashga imkon beradi. Xuddi shu tarzda serverda saqlanuvchi ma’lumotlarni bo‘lmalarga ajratish mumkin. Bitta bo‘lma ma’murining obro‘sizlantirilishi albatta boshqa bo‘lma ma’murining obro‘sizlantirilishi degani emas. Imtiyoz turlari. MBBTda imtiyozlarni ikkita kategoriyaga ajratish mumkin: xavfsizlik imtiyozlari va foydalanish imtiyozlari. Xavfsizlik imtiyozlari doim muayyan foydalanuvchiga uning yaratilishi (CREATE USER operatori yordamida) yoki xarakteristikalarini o‘zgartirish (ALTER USER operatori yordamida) vaqtida ajratiladi. Bunday imtiyozlar beshta: o security – MBBT xavfsizligini boshqarish va foydalanuvchi harakatlarini kuzatish xuquqi. Foydalanuvchi ushbu imtiyoz bilan har qanday ma’lumotlar bazasiga ulanishi, foydalanuvchilar, guruhlar va rollar xarakteristikalarini yo‘q qilishi va o‘zgartirishi, ma’lumotlar bazasidan foydalanish xuquqini boshqa foydalanuvchiga berishi, qayd qilinuvchi axborotning yozilishini boshqarishi, boshqa foydalanuvchilar so‘rovini kuzatishi va, nihoyat, boshqa foydalanuvchilar nomidan INGRESkomandalarni ishga tushirishi mumkin. Security imtiyozi ma’lumotlar bazasi serverining ma’muriga, hamda axborot xavfsizligiga shaxsan javobgar shaxsga zarur. Ushbu imtiyozni boshqa foydalanuvchilarga berish (masalan, ma’lumotlar bazasi ma’muri tomonidan) ma’lumotlar bazasi serverining himoyasidagi bo‘lishi mumkin bo‘lgan zaif joylarni ko‘paytiradi; o createdb – ma’lumotlar bazasinin yaratish va yo‘q qilish xuquqi. Ushbu imtiyozga server ma’muridan tashqari foydalanuvchilar ega bo‘lishlari lozim. Foydalanuvchilar ixtiyoriga alohida ma’lumotlar bazasining ma’murlari roli taqdim etiladi; o operator – odatda operator ixtiyoridagi harakatlarni bajarish xuquqi. Serverni ishga tushirish va to‘xtatish, axborotni saqlash va tiklash ko‘zda tutiladi. Ushbu imtiyozni server va ma’lumotlar bazasi ma’muridan tashqari operatsion tizim ma’muriga ham berish maqsadga muvofiq hisoblanadi; o maintain locations – ma’lumotlar bazasi serveri ma’murining bazasi va operatsion tizim o‘rnashgan joyni boshqarish xuquqi; o trace – sozlovchi trassirovka flaglari xolatlarini o‘zgartirish xuquqi. Ushbu imtiyoz murakkab, tushunarsiz vaziyatlarni taxlillashda ma’lumotlar bazasi serveri ma’muriga va boshqa tajribali foydalanuvchilarga foydali. Xavfsizlik imtiyozlari ma’muriy harakatlar bajarishga imkon beradi. Foydalanish imtiyozlari, nomiga muvofiq, subyektlarning ma’lum obyektlardan foydalanish xuquqini belgilaydi va foydalanuvchilarga, guruhlarga, rollarga yoki barchaga GRANT operatori yordamida ajratiladi va REVOKE operatori yordamida olib quyiladi. Ushbu imtiyozlar, odatda, mos obyekt egasi (ma’lumotlar bazasi ma’muri) yoki security imtiyoziga ega shaxs (odatda ma’lumotlar bazasi serveri) tomonidan beriladi. Guruhlarga va rollarga imtiyozlarni berishdan oldin ularni CREATE GROUP va CREATE ROLE operatorlari yordamida yaratish lozim. Guruh tarkibini o‘zgartirish uchun ALTER GROUP operatori xizmat qiladi. DROP GROUP operatori guruhlarni yo‘q qilishga imkon beradi (faqat guruh a’zolari ro‘yxati yo‘q qilinganidan so‘ng). ALTER ROLE operatori rollar parollarini o‘zgartirishga, DROP ROLE operatori esa rollarni yo‘q qilishga xizmat qiladi. Yuqorida aytib o‘tilganidek, imtiyozlarning nomlangan eltuvchilarini yaratish va yo‘q qilish, hamda ularning xarakteristikalarini o‘zgartirish faqat security imtiyoziga ega foydalanuvchi tomonidan amalga oshirilishi mumkin. Bunday harakatlar amalga oshirilganda, tarkibida subyektlar va ularning imtiyozlari saqlanuvchi iidbdb ma’lumotlar bazasiga ulanishga ega bo‘lish lozim. Foydalanish imtiyozlarini ular taalluqli obyektlar turi bo‘yicha ajratish mumkin. INGRES MBBTda bunday turlar beshta: o jadvallar va tasavvurlar; o muolajalar; o ma’lumotlar bazasi; o ma’lumotlar bazasi serveri; o hodisalar. Foydalanish imtiyozlarini berish GRANT operatori yordamida amalga oshiriladi. GRANT operatori, umumiy ko‘rinishda, quyidagi formatga ega: o GRANT imtiyozlar; o ON obyektlar; o TO kimga. Jadvallar va tasavvurlarga muvofiq quyidagi foydalanish xuquqlarini boshqarish mumkin: SELECT - ma’lumotlarni tanlash xuquqi; INSERT - ma’lumotlarni qo‘shish xuquqi; DELETE - ma’lumotlarni yo‘q qilish xuquqi; UPDATE - ma’lumotlarni yangilash xuquqi (yangilanishga ruxsat bo‘lgan ma’lum ustunlarni ko‘rsatish mumkin); REFERENCES - berilgan jadvalga (ma’lum ustunlarni ko‘rsatish mumkin) havola qiluvchi tashqi kalitlardan foydalanish xuquqi. Odatda foydalanuvchi jadvallardan va tasavvurlardan foydalanishning hech qanday xuquqiga ega emas. Bu xuquqlarni GRANT operatorlari yordamida berish mumkin. Muolajalarga nisbatan bajarish xuquqi berilishi mumkin. Bunda muolajalar ishlov beruvchi obyektlardan foydalanish xuquqlarining ajratilishi xususida o‘ylash kerak emas, ularning mavjudligi shart emas. Shunday qilib, ma’lumotlar bazasi muolajalari ma’lumotlar ustida qat’iy belgilangan harakatlarni bajarish uchun nazoratli foydalanishni taqdim etishning qulay vositasi hisoblanadi. Ma’lumotlar bazasidan foydalanish xuquqlarini uning ma’muri yoki security imtiyoziga ega foydalanuvchi taqdim etishi mumkin. Ushbu “xuquqlar” aslida ma’lumotlar bazasidan foydalanishga qator cheklashlar o‘rnatadi, ya’ni mohiyatan taqiqlovchi hisoblanadi. Kiritish/chiqarish amallar soniga yoki bitta so‘rov bilan qaytariluvchi qator soniga cheklash, jadvallar va muolajalar va h. yaratish xuquqiga cheklash ko‘zda tutiladi. Odatda foydalanuvchi miqdoriy limitlar bilan qoniqmaydi va bazada obyektlar yaratish xuquqini oladi. Ta’kidlash lozimki, ma’lumotlar bazasini yaratishda uning maqomi (umumiy yoki shaxsiy) ko‘rsatiladi. Bu bazadan nazarda tutilgan foydalanish xuquqiga ta’sir etadi. Odatda umumiy bazaga ulanish xuquqi barchaga beriladi. Shaxsiy bazaga ulanish xuquqi oshkora ravishda berilishi lozim. Ulanishga xuquq baza va undagi obyektlar bilan boshqa barcha amallarni bajarish uchun kerak. QUERY_IO_LIMIT va QUERY_ROW_LIMIT imtiyozlar (bu holda cheklashlar deb atash to‘g‘riroq bo‘lar edi) so‘rovlar optimizatori bergan baho asosida tekshiriladi. Agar optimizator oldindan so‘rov kiritish/chiqarish amaliga yoki qaytariluvchi qatorga ajratilgan limit sonidan oshganini aytsa, so‘rov rad etiladi. Bu xildagi miqdoriy cheklashlarning qo‘yilishi serverning bitta mijoz tomonidan monopoliya qilinishiga to‘sqinlik qiladi va yuqori tayyorlikni madadlash instrumentining biri sifatida ishlatilishi mumkin. Oldin berilgan imtiyozlarni (ruxsat beruvchi va taqiqlovchi) bekor qilishda REVOKE operatori xizmat qiladi. Foydalanishni boshqarishda tasavvurlardan foydalanish. MBBT foydalanishni boshqaruvchi o‘ziga xos vosita – tasavvurlarni taqdim etadi. Tasavvurlar subyektlar uchun bazaviy jadvallarning ma’lum qatorlarining ko‘rinarli bo‘lishiga (proyeksiyani amalga oshirishga) yoki ma’lum qatorlarni tanlashga (seleksiyani amalga oshirishga) imkon beradi. Ma’lumotlar bazasining ma’muri subyektlarga bazaviy jadvallardan foydalanish xuquqini bermasdan va munosib tasavvurlarni tuzib jadvallarni ruxsatsiz foydalanishdan himoyalaydi va har bir foydalanuvchini o‘zining ma’lumotlar bazasiga qarashi bilan ta’minlaydi. Quyida tarkibida dastlabki jadvalning ikkita ustuni bo‘lgan va o‘z ichiga faqat ustunlarning birining ma’lum qiymatli qatorini qamrab oluvchi tasavvurni yaratish misoli keltirilgan: CREATE VIEW empview AS SELECT name, dept FROM employee WHERE dept = 'shoe'; Ushbu tasavvurdan tanlash xuquqi barchaga berilganida: GRANT SELECT ON empview TO PUBLIC; empview tasavvurdan foydalanishni amalga oshiruvchi subyektlar shoedan farqlanuvchi bo‘limlar xususidagi ma’lumotlarni so‘rashga intilishlari mumkin, masalan: SELECT * FROM empview WHERE dept = 'toy'; ammo javob tariqasida foydalanish xuquqlarining buzilganligini ko‘rsatuvchi javob kodini emas, balki oddiygina nulli qatorli natijani oladilar. Bu juda muhim, chunki niyati buzuqni bo‘limlar ro‘yxatini javob kodlarini taxlillash orqali bilvosita tarzda olish imkoniyatidan mahrum etadi. Foydalanish xuquqlarining iyerarxiyasi. GRANT operatori va MBBTdan foydalanishni boshqaruvchi boshqa vositalar foydalanishning quyidagi cheklashlar turini amalga oshirishga imkon beradi: o amaliy cheklashlar (jadvalning barcha yoki faqat ba’zi ustunlariga qo‘llaniluvchi SELECT, INSERT, UPDATE, DELETE foydalanish xuquqlari hisobiga); o muhimligi bo‘yicha cheklashlar (tasavvurlar mexanizmi hisobiga); o resurslarga cheklashlar (ma’lumotlar bazasidan foydalanish imtiyozlari bo‘yicha). So‘rovlarni ishlashda MBBT avval obyektlardan foydalanish xuquqini tekshiradi. Agar amaliy cheklashlar buzilgan bo‘lsa so‘rov, mos tashxis chiqarilib, rad etiladi. Muhimligi bo‘yicha cheklashlarning buzilishi faqat natijaviy qatorlarning soniga ta’sir etadi; bunda hech qanday tashhis chiqarilmaydi. Nihoyat, oldingi ikkita cheklashlar hisobga olinganidan so‘ng, so‘rov ishlanish uchun optimizatorga beriladi. Agar optimizator resurslarga cheklashlar oshirilganini aniqlasa, so‘rov mos tashhis chiqarilib, rad etiladi. Imtiyozlar iyerarxiyasiga boshqa nuqtai nazardan qarash mumkin. Har bir foydalanuvchi, o‘zinikidan tashqari, PUBLIC imtiyoziga ega. Undan tashqari, u turli guruhlarda bo‘lib, ma’lum rollar bilan ilovalarni ishga tushirishi mumkin. Quyida imtiyozlarning nomlangan turli eltuvchilari taqdim etgan xuquqlarning o‘zaro munosabati xususida so‘z ketadi. INGRES MBBT uchun avtorizatsiya iyerarxiyasi quyidagi ko‘rinishga ega: o rol (yuqori ustuvorlik); o foydalanuvchi; o guruh; o PUBLIC (past ustuvorlik).

Download 16.55 Kb.