Защита на уровне пользователя

 

Защита на уровне пользователя применяется в случаях, когда с одной БД работают несколько пользователей или групп пользователей, имеющих разные права доступа к объектам БД. Использовать защиту на уровне пользователя можно на отдельном компьютере и при коллективной работе в составе локальной сети.

Для организации защиты на уровне пользователя в системе Access создаются рабочие группы (РГ). Каждая рабочая группа определяет единую технологию работы совокупности пользователей. Система Access в произвольный момент времени может работать с одной РГ.

Информация о каждой РГ хранится в соответствующем файле РГ. При установке системы автоматически создается рабочая группа, которая описывается в файле system.mdw. В последующем можно изменять описание РГ (содержимое соответствующего файла РГ), а также создавать новые РГ. Для этой цели в системе имеется программа администратора РГ (АРГ).

Файл РГ описывает группы пользователей и отдельных пользователей, входящих в эту РГ. Он содержит учетные записи групп пользователей и отдельных пользователей. По каждой учетной записи система Access хранит права доступа к объектам базы данных.

По умолчанию в каждую рабочую группу входит две группы пользователей: администраторы (Admins) и обычные пользователи (Users). Причем, в группу Admins первоначально включен один администратор под именем Admin.

При создании группы указывается имя (идентификатор) группы и код, представляющий собой последовательность от 4 до 20 символов. При регистрации пользователей в системе защиты им присваивается имя, код и необязательный пароль. Имена групп и пользователей, их коды, а также пароли пользователей (если они заданы) Access скрывает от пользователя. Поэтому если пользователь их забудет, найти их в файле РГ и восстановить практически невозможно. Коды группы и пользователя используются для шифрования системой учетных записей в файле РГ.

Каждому из пользователей, независимо от принадлежности к группе, можно присвоить пароль. Этот пароль называется паролем учетной записи и хранится в файле РГ. Первоначально все включаемые в РГ пользователи, в том числе и пользователь Admin, не имеют пароля.

Каждой из групп приписываются определенные права на объекты БД. Члены группы Admins имеют максимальные права.

Наличие двух функциональных групп пользователей в рабочей группе, как правило, достаточно для организации нормальной работы коллектива пользователей. При необходимости можно создать дополнительные группы пользователей. Один пользователь может входить в несколько групп. При подключении пользователя, зарегистрированного в нескольких группах, действуют минимальные из установленных в разных группах ограничения на объекты БД.

Основные ограничения, действующие при создании рабочих групп и регистрации пользователей:

· Группы Admins и Users удалить невозможно.

· В группе Admins должен быть хотя бы один пользователь. Первоначально таким пользователем является пользователь Admin. Удалить пользователя Admin из этой группы можно после включения в нее еще одного пользователя.

· Все регистрируемые пользователи автоматически становятся членами групп Users. Удалить их из этой группы нельзя.

· Удалить пользователя Admin из рабочей группы нельзя (из группы Admins его можно удалить, а из группы Users – нет).

· Создаваемые группы не могут быть вложены в другие группы, другими словами, нельзя создавать иерархию групп пользователей.

· В системе защиты могут быть пустые группы, но не может быть пользователей, не входящих ни в одну группу (они обязательно войдут в группу Users).

Рабочая группа имеет структуру, показанную на рис. 7.1. Символами A, B и F обозначены созданные группы пользователей, а символами P₁, P₂, P₃, P₄ и P_n – пользователи. Все пользователи являются членами группы Users. Группа F пока пуста.

 

 

Рис. 7.1. Структура рабочей группы

Основное назначение системы защиты на уровне пользователя состоит в контроле прав доступа к объектам базы данных. Типы прав доступа, существующие в Access, приведены в табл. 7.1.

Права подключающегося пользователя делятся на явные и неявные. Явные права имеются в случае, если они определены для учетной записи пользователя. Неявные права – это права той группы, в которую входит пользователь.

Изменить права доступа других пользователей на объекты некоторой БД могут следующие пользователи:

· члены группы Admins, определенной в файле РГ, использовавшемся при создании базы данных;

· владелец объекта;

· пользователь, получивший на объект права администратора.

Изменить свои собственные права в сторону их расширения могут пользователи, являющиеся членами группы Admins и владельцы объекта.

Владельцем объекта считается пользователь, создавший объект. Владельца объекта можно изменить путем передачи права владельца другому.

Установка защиты на уровне пользователя сложнее парольной защиты. Она предполагает создание файла РГ, учетных записей пользователей и групп, включение пользователей в группы, назначение прав доступа к объектам базы данных пользователям и группам. Далее кратко рассматриваются эти операции.

Как отмечалось, манипуляции с файлами РГ выполняются с помощью программы АРГ. Программа АРГ имеет три функции: создание файла РГ, связь с произвольным файлом РГ и выход из программы. Исполняемый файл администратора имеет имя wrkgadm.exe.

Таблица 7.1

Типы прав доступа

Права доступа	Разрешенные действия	Объекты
Открытие/запуск	Открытие базы данных, формы или отчета, запуск макроса	Базы данных, формы, отчеты и макросы
Монопольный доступ	Открытие базы данных для монопольного доступа	Базы данных
Чтение макета	Просмотр объектов в режиме конструктора	Таблицы, запросы, фор­мы, отчеты, макросы и модули
Изменение макета	Просмотр и изменение макета объектов или удаление объектов	Таблицы, запросы, фор­мы, отчеты, макросы и модули
Права администратора	Для баз данных: установка пароля, репликация и изменение параметров запуска. Для объектов базы данных: полные права на объекты и данные, в том числе предоставление прав доступа	Базы данных, таблицы, запросы, формы, отчеты, макросы и модули
Чтение данных	Просмотр данных	Таблицы и запросы
Обновление данных	Просмотр и изменение данных без их вставки и удаления	Таблицы и запросы
Вставка данных	Просмотр и вставка данных без их изменения и удаления	Таблицы и запросы
Удаление данных	Просмотр и удаление данных без их изменения и вставки	Таблицы и запросы

Замечания:

· Для того чтобы обойти требование ввода пароля при входе в Access, достаточно задать другой файл рабочей группы, в котором оно не установлено. В простейшем случае – это создаваемый при установке системы файл system.mdw. Чтобы система использовала его, а не текущий файл, достаточно запустить программу администратора рабочих групп и с его помощью связать Access с «подставным» файлом. Файл рабочей группы не обязательно должен быть «родным». Несовпадение имени и названия организации не мешает нормальному запуску системы с другим файлом рабочей группы, который может находиться в любой папке.

· Чтобы обезопасить себя от порчи файла рабочей группы или утери пароля администратора из группы Admins, следует сохранить исходный файл рабочей группы в надежном месте. В критический момент следует подключиться к нужному файлу.

· При организации работы нескольких групп пользователей на одном компьютере целесообразно для каждой из групп создать свой файл рабочей группы. Перед началом работы следует подключиться к нужному файлу. Чтобы случайно не подключиться к чужому файлу и не дать возможности несанкционированному пользователю войти в систему Access, файл лучше хранить отдельно от системы.

Учетные записи отдельных пользователей и групп пользователей создаются с помощью команды Сервис | Защита | Пользователи и группы.

Определение прав пользователей и групп выполняется с помощью команды Сервис | Защита | Разрешения. Окно Разрешения имеет две вкладки: Разрешения и Смена владельца. Установка прав может выполняться по отношению к группам и отдельным пользователям. Выбор определяется с помощью переключателей в группе Список. Возможности манипуляций зависят от полномочий текущего пользователя, указываемого в нижней части окна.

Вкладка Смена владельца служит для смены владельца некоторого объекта БД. Новым владельцем может стать отдельный пользователь и группа. Если права владельца передаются учетной записи группы, то права владельца автоматически получают все пользователи этой группы. Возможности операций по смене владельца зависят от полномочий текущего пользователя.

Установку защиты базы данных на уровне пользователя можно выполнить с помощью Мастера защиты. Результат защиты – создание новой защищенной БД. Для вызова Мастера защиты следует открыть БД и выполнить команду Сервис | Защита | Мастер. Исходная БД при этом остается без изменения и, если не нужна, ее можно удалить.

Процедура снятия защиты на уровне пользователей включает два этапа:

1) предоставление группе Users полных прав на доступ к объектам базы данных;

2) изменение владельца базы данных – предоставление права владения пользователю Admin.

Чтобы снять защиту необходимо выполнить следующие действия:

1) Запустить Microsoft Access, открыть защищенную базу данных и подключиться к системе в качестве администратора (члена группы Admins).

2) Предоставить группе Users полные права на доступ ко всем объектам базы данных.

3) Закрыть базу данных и Access.

4) Запустить Microsoft Access.

5) Создать новую базу данных и зарегистрироваться под именем Admin.

6) Импортировать в новую базу данных все объекты из защищенной базы данных с помощью команды Файл | Внешние данные | Импорт.

7) Удалить пароль пользователя Admin, если текущий файл рабочей группы будет использоваться в дальнейшем. Если в дальнейшем будет использоваться стандартный файл рабочей групп system.mdw, то в этом нет необходимости.

Замечания:

· Система защиты Access позволяет создавать произвольное число групп пользователей, но создавать большое число групп не стоит.

· Права доступа пользователей лучше назначать на уровне групп. Это упрощает использование системы защиты для администратора и пользователей.

 

Шифрование баз данных

Средства шифрования в Access позволяют кодировать файл БД таким образом, что она становится недоступной для чтения из других программ, в которых известен формат БД Access.

Шифровать незащищенную паролем базу данных большого смысла нет, так как дешифровать БД может любой пользователь на этой или другой ПЭВМ, где установлена система Access. Более того, пользователь может открыть и использовать зашифрованную БД как обычную незашифрованную.

Для шифрования/дешифрования базы данных требуется выполнить следующие действия:

1) Запустить Microsoft Access без открытия базы данных. Важно! Нельзя зашифровать или дешифровать открытую базу данных. При работе с сетевой (общей) базой данных операции шифрования и дешифрования не срабатывают, если база данных открыта каким-либо пользователем.

2) В меню Сервис выбрать команду Защита и подкоманду Шифровать/дешифровать.

3) Указать имя базы данных, которую требуется зашифровать или дешифровать, OK.

4) Указать имя, диск и папку для конечной базы данных (рекомендуется шифруемой БД задавать имя, отличное от исходного), OK.

Для обычной работы с зашифрованной БД ее не обязательно специально расшифровывать. Система «понимает» и зашифрованную информацию. Следует иметь в виду, что с зашифрованной базой данных Access работает несколько медленнее, поскольку операции шифрования/дешифрования выполняются в реальном масштабе времени.

 

Тесты для самоконтроля

 

1. Понятия безопасности и целостности базы данных:

а) тождественны;

б) представляют собой совершенно разные понятия.

2. Под безопасностью БД подразумевается,

а) что некий пользователь обладает различными полномочиями при работе с объектами;

б) что действия, выполняемые пользователем корректны;

в) что пользователям разрешается выполнять некоторые действия.

3. При обязательном подходе доступом к определенному объекту данных обла-дают:

а) только пользователи, уровни допуска которых не больше уровня классификации данного объекта;

б) любые пользователи;

в) только пользователи с соответствующим уровнем допуска.

4. Классы безопасности в порядке повышения безопасности:

а) D, C, B, A;

б) A, B, C, D;

в) все классы безопасности содержат одинаковые требования к безопасности.

5. Под защитой базы данных понимают обеспечение:

а) защищенности базы данных против любых угроз с помощью различных средств;

б) целостности базы данных;

в) доступа разных пользователей к объектам базы данных.

6. Одно из правил безопасности при обязательном управлении доступом гласит:

а) пользователь i может модифицировать объект j, если только его уровень допуска больше уровня классификации объекта j;

б) пользователь i может модифицировать объект j, если только его уровень допуска равен уровню классификации объекта j;

в) пользователь i может модифицировать объект j, если только его уровень допуска не меньше уровня классификации объекта j.

 

 

⇐ Предыдущая3456789101112Следующая ⇒

Поделиться:

Популярное:

1. А. В. Петровский разработал следующую схему развития групп. Он утверждает, что существует пять уровней развития групп: диффузная группа, ассоциация, кооперация, корпорация и коллектив.
2. Анализ уровней элементов системы коммерческой логистики
3. Анализ уровней, динамики и структуры финансовых результатов деятельности предприятия
4. Бизнес-модель № 3. Многоуровневый или сетевой маркетинг
5. Болезнь начинается не в физическом теле: она зарождается на уровне вибраций, излучаемых нашими убеждениями.
6. В травматологический пункт поступил раненый с проникающим ранением грудной стенки на уровне верхнего края 1-го ребра справа.
7. В этом мире нет жертв и нет злодеев. И ты не являешься жертвой выбора других. На каком-то уровне вы все создали то, что сейчас ненавидите, а создав это — вы выбрали это.
8. Взаимосвязь темпов инфляции с уровнем безработицы. Стагфляция. Кривая Филлипса в краткосрочном и долгосрочном периоде. Кривая Филлипса в теории адаптивных и рациональных ожиданий.
9. Вопрос 3. Защита прав инвесторов
10. Глава 1. Гидроизоляция. Защита заглубленных частей строящихся зданий от подземных вод и сырости
11. Глава 1. Теоретико-методологический анализ исследования гендерных различий в уровне эмпатии у старшеклассников
12. Глава 2.6. Релейная защита, электроавтоматика, телемеханика и вторичные цепи