Читаем SQL за 24 часа полностью

Защита данных в базах данных означает просто защиту данных от несанкционированного доступа к ним. Несанкционированный доступ включает и доступ к данным пользователей, имеющих право доступа не ко всем данным базы данных, а только к их части. К защите данных относятся и действия, направленные на недопущение несанкционированного подключения к базе данных и распределения привилегий В базе данных имеется целая иерархия пользователей, начиная от проектировщиков базы данных, людей, ответственных за ее работу (таких, как администратор базы данных), программистов и до конечных пользователей. И хотя конечные пользователи обычно являются пользователями с наиболее ограниченными привилегиями, именно для них создаются базы данных. Каждый пользователь получает в базе данных свой уровень доступа и этот уровень должен содержать минимум привилегий, необходимых для решения поставленных перед этим пользователем задач.

Вы можете спросить: "В чем различие между защитой данных и управлением пользователями?" В конце концов, в ходе предыдущего урока, где обсуждалось управление пользователями, кажется, рассматривались и вопросы безопасности хранения данных. Но хотя управление пользователями и защита данных действительно оказываются задачами неразрывно связанными, каждая из этих задач имеет свои цели.

Без хорошо спроектированной и отлаженной программы управления пользователями невозможно обеспечить надежное хранение и защиту данных. Пользователям назначаются имена и пароли, разрешающие им общий доступ к базе данных. Вместе с назначенными пользователям именами в базе данных должны храниться их настоящие имена, информация о должности и месте работы, номер телефона и название базы данных, к которой доступ пользователю разрешен. Начальный пароль для доступа к базе данных выдается пользователю администратором базы данных или сотрудником службы безопасности и этот пароль должен быть немедленно изменен новым пользователем при первом же входе в базу данных.

Безопасность требует и большего. Например, если пользователю уже не требуются некоторые из предоставленных ему привилегий, эти привилегии должны быть для него отменены Если же оказывается, что пользователю уже не требуется доступ к базе данных, его учетная запись должна быть из базы данных удалена.

В общем, управление пользователями представляет собой процесс создания и удаления учетных записей пользователей и наблюдение за действиями пользователей в рамках базы данных Зашита данных в базе данных означает следующий шаг в защите путем распределения привилегий для работы в рамках различных уровней доступа, отмены привилегий и принятия мер по защите различных данных, в частности, жизненно важных файлов базы данных.

Здесь мы обсуждаем привилегии доступа к базе данных потому, что эта книга посвящена SQL, а не базам данных Однако вам следует знать, что имеются и другие аспекты безопасности баз данных, в частности, защита служебных файлов базы данных, которые важны не менее чем распределение привилегий доступа Проблема обеспечения надежной защиты данных в зависимости от используемой системы управления реляционной базой данных может оказаться весьма непростой задачей

Привилегии - это уровни полномочий, предоставленных пользователю при доступе к самой базе данных и ее объектам, при манипуляции данными и при выполнении в рамках базы данных различных административных функций. Привилегии предоставляются посредством команды GRANT и отменяются посредством команды REVOKE.

То, что пользователь может подключиться к базе данных, совсем не означает того, что пользователь сможет извлечь данные из этой базы данных. Доступ данных в рамках базы данных как раз и разрешается путем назначения привилегий доступа. Различают следующие два типа привилегий доступа.

1. Привилегии доступа к системе.

2. Привилегии доступа к данным.

Привилегии доступа к системе - это привилегии, дающие возможность пользователю решать в рамках базы данных административные задачи типа создания и удаления баз данных, учетных записей пользователей, изменения и удаления различных объектов базы данных, изменения состояния объектов, изменения состояния базы данных и других подобных операций, несущих в себе при недостаточной внимательности потенциальную опасность для базы данных в целом.

Предлагаемые разными производителями баз данных привилегии доступа к системе сильно отличаются, поэтому по поводу имеющихся в рамках вашей системы привилегий доступа и правильного их использования необходимо обратиться к соответствующим разделам документации.

Вот список некоторых из привилегий доступа к системе, которые предлагаются в рамках Sybase.

CREATE DATABASE

CREATE DEFAULT

CREATE PROCEDURE

CREATE RULE

DUMP DATABASE

DUMP TRANSACTION

EXECUTE

Вот список некоторых из привилегий доступа к системе, которые предлагаются в рамках Oracle.

CREATE TABLE

CREATE ANY TABLE

ALTER ANY TABLE

DROP TABLE

CREATE USER