Контрольная работа по "Средства и технологии Internet"

MS SQL Server обеспечивает  многоуровневую проверку привилегий при загрузке на сервер. Сначала идентифицируются права пользователя на установление соединения с выбранным сервером (login name и пароль) и выполнение административных функций: создание устройств и баз данных, назначение прав другим пользователям, изменение параметров настройки сервера и т.д. Максимальными правами обладает системный администратор. На уровне базы данных каждый пользователь, загрузившийся на сервер, может иметь имя пользователя (username) базы и права на доступ к объектам внутри нее. Имеется возможность отобразить нескольких login id на одного пользователя базы данных, а также объединять пользователей в группы для удобства администрирования и назначения сходных привилегий. По отношению к объектам базы данных пользователю могут быть назначены права на выполнение различных операций над ними: чтение, добавление, удаление, изменение, декларативная ссылочная целостность (DRI), выполнение хранимых процедур, а также права на доступ к отдельным полям. Если этого недостаточно, можно прибегнуть к представлениям (views), для которых сказанное остается справедливым. Наконец, можно вообще запретить пользователю непосредственный доступ к данным, оставив за ним лишь права на выполнение хранимых процедур, в которых будет прописан весь сценарий его доступа к базе. Хранимые процедуры могут создаваться с опцией WITH ENCRYPTION, которая шифрует непосредственный текст процедуры, хранящийся обычно в syscomments. Права на выполнение некоторых команд (создание баз, таблиц, умолчаний, правил, представлений, процедур, резервное копирование баз и журналов транзакций) не являются объектно-специфичными, поэтому они назначаются системным администратором сервера или владельцем (создателем) базы данных при редактировании базы данных. Администрирование пользовательских привилегий обычно ведется в SQL Enterprise Manager, тем не менее в Transact-SQL имеются хранимые процедуры (sp_addlogin, sp_password, sp_revokelogin, sp_addalias, sp_adduser) и операторы (GRANT, REVOKE), которые позволяют осуществлять действия по созданию пользователей, назначению и отмене прав при выполнении скриптов. Дополнительную возможность администрирования привилегий предоставляют рассмотренные нами выше SQL-DMO. 
 

Управление доступом 

  

Система безопасности SQL Server имеет несколько уровней безопасности: 

•  операционная система; 

•  SQL Server; 

•  база данных; 

•  объект базы данных. 
 

С другой стороны  механизм безопасности предполагает существование  четырех типов пользователей: 

•  системный  администратор, имеющий неограниченный доступ; 

•  владелец БД, имеющий полный доступ ко всем объектам БД; 

•  владелец объектов БД; 

•  другие пользователи, которые должны получать разрешение на доступ к объектам БД. 
 

Модель безопасности SQL Server включает следующие компоненты: 

•  тип подключения к SQL Server; 

•  пользователь базы данных; 

•  пользователь (guest); 

•  роли (roles). 
 

Тип подключения  к SQL Server 

  

При подключении (и в зависимости от типа подключения)  SQL Server поддерживает два режима безопасности: 

•  режим аутентификации Windows NT; 

•  смешанный  режим аутентификации. 
 

В режиме аутентификации Windows NT используется система безопасности Windows NT и ее механизм учетных записей. Этот ре­жим позволяет SQL Server использовать имя пользователя и пароль, которые  определены в Windows, и тем самым обходить процесс подключения к SQL Server. Таким образом, пользователи, имеющие действующую учетную запись Windows, могут подключиться к SQL Server, не сообщая своего имени и пароля. Когда пользователь обращается к СУБД, последняя получает информацию об имени пользователя и пароле из атрибутов системы сетевой безопасности пользователей Windows (которые устанавливаются, когда пользователь подключается к Windows). 
 

В смешанном  режиме аутентификации задействованы  обе системы аутентификации: Windows и SQL Server. При использовании системы аутентификации SQL Server отдельный пользователь, подключающийся к SQL Server, должен сообщить имя пользователя и пароль, которые будут сравниваться с хранимыми в системной таблице сервера. При использовании системы аутентификации Windows пользователи могут подключиться к SQL Server, не сообщая имя и пароль. 
 

Пользователи  базы данных 

  

Понятие пользователь базы данных относится к базе (или  базам) данных, к которым может  получить доступ отдельный пользователь. После успешного подключения сервер определяет, имеет ли этот пользователь разрешение на работу с базой данных, к которой обращается. 
 

Единственным  исключением из этого правила  является пользователь guest (гость). Особое имя пользователя guest разрешает любому подключившемуся к SQL Server пользователю получить доступ к этой базе данных. Пользователю с именем guest назначена роль public. 

Права доступа 

  

Для управления правами доступа в SQL Server используются следующие команды: 

•  GRANT. Позволяет выполнять действия с объектом или, для команды — выполнять ее; 

•  REVOKE. Аннулирует права доступа для объекта  или, для команды — не позволяет  выполнить ее; 

•  DENY. He разрешает  выполнять действия с объектом (в  то время, как команда REVOKE просто удаляет эти права доступа). 
 

Объектные права  доступа позволяют контролировать доступ к объектам в SQL Server, предоставляя и аннулируя права доступа  для таблиц, столбцов, представлений  и хранимых процедур. Чтобы выполнить  по отношению к некоторому объекту  некоторое действие, пользователь должен иметь соответствующее право доступа. Например, если пользователь хочет выполнить оператор SELECT * FROM table, то он должен и меть права выполнения оператора SELECT для таблицы table. 
 

Командные права  доступа определяет тех пользователей, которые могут выполнять административные действия, например, создавать или копировать базу данных. Нижеприведены командные права доступа: 

CREATE DATABASE — право  создения базы данных; 

CREATE DEFAULT — право  создшия стандартного значения для столбца таблицы; 

CREATE PROCEDURE — право  содания хранимой процедуры. 

CREATE ROLE — право  создания гоавила для столбца  таблицы; 

CREATE TABLE — право  создания таблицы; 

CREATE VIEW — право  создания представления; 

BACKUP DATABASE — право  создшия резервной копии; 

BACKUP TRANSACTION —  праве создания резервной копии  журнала транзакций. 
 

Роли 

  

Назначение пользователю некоторой рели позволяет ему  выполнять все функции, разрешенные  этой рольо. По сути роли логически  группируют пользователей, имеющих одинаковые права доступа. В SQL Server есть следующие типы ролей: 

•  роли уровня сервера; 

•  роли уровня базы данных. 
 
 

Роли уровня сервера 

  

С помощью этих ролей предоставляются различные  степени доступа к операциям  и задачам сервер*. Роли уровня сервера зара­нее определены и действуют в пределах сервера. Они не зависят от конкретных баз данных, и их нельзя модифицировать. 
 

В SQL Server существуют следующие типы ролей уровня сервера: 

Sysadmin — дает  право выполнить любое действие  в SQL Server; 

Serveradmin — дает право изменить параметры SQL Server и завершить его работу; 

Setupadmin — дает  право инсталлировать систему  репликации и управлять выполнением  расширенных хранимых процедур; 

Securityadmin — дает  право контролировать параметры  учетных записей для подключения к серверу и предоставлять права доступа к базам данных; 

Processadmin — дает  право управлять ходом выполнения  процессов в SQL Server; 

Dbcreator — дает  право создавать и модифицировать  базы данных; 

Diskadmin — дает  право управлять файлами баз данных на диске. 
 

Роли уровня базы данных 

  

Роли уровня базы данных позволяют назначить  права для работы с конкретной базой данных отдельному пользователю или группе. Роли уровня базы данных можно назначать учетным записям  пользователей в режиме аутентификации Windows или SQL Server. Роли могут быть и вложенными, так что учетным записям можно назначить иерархическую группу прав доступа. 

В SQL Server существует три типа ролей: 

•  заранее  определенные роли; 

•  определяемые пользователем роли; 

•  неявные  роли. 
 

Заранее определенными  являются стандартные роли уровня БД. Эти роли имеет каждая база данных SQL Server. Они позволяют легко и  просто передавать обязанности. 

Заранее определенные роли зависят от конкретной базы данных и не могут быть изменены. Ниже перечислены стандартные роли уровня базы данных. 
 

db_owner — определяет  полный доступ ко всем объектам  базы данных, может удалять и  воссоздавать объекты, а также  присваивать объектные права  другим пользователям. Охватывает  все функции, перечисленные ниже для других стандартных ролей уровня базы данных; 

db_accessadmin — осуществляет  контроль за доступом к базе  данных путем добавления или  удаления пользователей в режимах  аутентификации; 

db_datareader — определяет  полный доступ к выборке данных (с помощью оператора SELECT) из любой таблицы базы данных. За­прещает выполнение операторов INSERT, DELETE и UPDATE для любой таблицы БД; 

db_datawriter — разрешает  выполнять операторы INSERT, DELETE и  UPDATE для любой таблицы базы  данных. Запрещает выполнение оператора SELECT для любой таблицы базы данных; 

db_ddladmin — дает  возможность создавать, модифицировать  и удалять объекты базы данных; 

db_securityadmin — управляет  системой безопасности базы данных, а также назначением объектных  и командных разрешений и ролей для базы данных; 

db_backupoperator —  позволяет создавать резервные  копии базы данных; 

db_denydatareader —  отказ в разрешении на выполнение  оператора SELECT для всех таблиц  базы данных. Позволяет пользовате­лям  изменять существующие структуры таблиц, но не позволяет создавать или удалять существующие таблицы; 

db_denydatawriter —  отказ в разрешении на выполнение  операторов модификации данных (INSERT, DELETE и UPDATE) для любых таблиц  базы данных; 

public — автоматически  назначаемая роль сразу после предоставления права доступа пользователя к БД. 
 

Роли, определяемые пользователем, позволяют группировать пользователей и назначать каждой группе конкретную функцию безопасности. 
 

Существуют два  типа ролей уровня базы данных, определяемых пользователем: 

•  стандартная  роль; 

•  роль уровня приложения. 
 

Стандартная роль предоставляет зависящий от базы данных метод создания определяемых пользователем ролей. Самое распро­страненное  назначение стандартной роли — логически  сгруппировать пользователей в соответствии с их правами доступа. Например, в приложениях выделяют несколько типов уровней безопасности, ассоциируемых с тремя категориями пользователей. Опытный пользователь может выполнять в базе данных любые операции; обычный пользователь может модифицировать некоторые типы данных и обновлять данные; неквалифицированному пользователю обычно запрещается модифицировать любые типы данных.