Главная страница
Навигация по странице:

  • Защита на уровне пользователя 16

  • Capp (ComputerAided Process Planning) Автоматизированное технологическая подготовка производства (планирование технологических процессов)


    Скачать 1.81 Mb.
    НазваниеCapp (ComputerAided Process Planning) Автоматизированное технологическая подготовка производства (планирование технологических процессов)
    Дата19.10.2021
    Размер1.81 Mb.
    Формат файлаdocx
    Имя файлаCAPP.docx
    ТипЗадача
    #251303
    страница9 из 11
    1   2   3   4   5   6   7   8   9   10   11

    Тесты для самоконтроля

    <11121314151617>



     

     

    1. Декомпозиция отношения r(A,B,C,D,E), для которого F-зависимости C ® B и C ® Е являются причиной того, что отношение не находится в НФБК, осуществляется следующим образом:

    а) r1(A, C, D); r2(C, B, E);

    б) r1(A, D); r2(C, B, E);

    в) r1(A, C, D); r2(B, E).

    2. Проектирование методом декомпозиции завершается, когда:

    а) для каждого отношения список детерминантов будет совпадать со списком ключей;

    б) в каждом отношении будет по одному ключу;

    в) все отношения будут находиться в НФБК.

    3. При проектировании методом декомпозиции отыскивают цепочку F-зависи-мостей вида A ® B ® C и выбирают для проекции:

    а) F-зависимость, зависимостная часть которой сама является детерминантом другой F-зависимости;

    б) крайнюю левую зависимость;

    в) крайнюю правую зависимость.

    4. Избыточной F-зависимостью называют зависимость:

    а) заключающую в себе такую информацию, которая может быть получена на основе других F-зависимостей;

    б) все атрибуты которой находятся в одном другом отношении проектного на-бора;

    в) которая заключает в себе уникальную информацию.

    5. Избыточные F-зависимости:

    а) не удаляются;

    б) удаляются на начальном этапе проектирования;

    в) удаляются в конце проектирования.

    6. Аксиома пополнения: если отношение r удовлетворяет А ® B,

    а) то r удовлетворяет F-зависимости А ® B, C;

    б) то r удовлетворяет F-зависимости А, С ® B;

    в) то r удовлетворяет F-зависимости B ® A.

    7. Отношение является избыточным, если:

    а) все его атрибуты находятся в одном другом отношении проектного набора;

    б) оно содержит в себе такую информацию, которая может быть получена на основе других F-зависимостей;

    в) все его атрибуты могут быть найдены в отношении, которое может быть получено с помощью операции соединения других отношений проектного набора.

    8. Один из этапов декомпозиционного метода проектирования состоит:

    а) в удалении всех избыточных зависимостей;

    б) в определении всех функциональных зависимостей;

    в) в удалении избыточных отношений.

    9. Аксиома проективности:

    а) если отношение r удовлетворяет X ® Y и X ® Z, то r удовлетворяет F-зависимости Х ® YZ;

    б) если отношение r удовлетворяет X ® YZ, то r удовлетворяет зависимостям X ® Y и X ® Z;

    в) если r удовлетворяет Х ® Y, то r удовлетворяет F-зависимости XZ ® Y

    10. В некотором отношении может быть:

    а) несколько ключей;

    б) только один ключ.

    Обязательное управление доступом

    <15161718192021>

     

    Методы обязательного управления доступом применяются к базам данных, в которых данные имеют достаточно статичную и жесткую структуру, свойственную, например, правительственным или военным организациям. Правила безопасности формулируются следующим образом:

    1) Пользователь i имеет доступ к объекту j, только если его уровень допуска больше или равен уровню классификации объекта j.

    2) Пользователь i может модифицировать объект j, только если его уровень допуска равен уровню классификации объекта j.

    Правило 1 достаточно очевидно, а правило 2 можно сформулировать так: любая информация, записанная пользователем i, автоматически приобретает уровень, равный уровню классификации i.

    Требования к обязательному управлению изложены в двух важных публикациях министерства обороны США, которые неформально называются «оранжевой книгой» и «розовой книгой». В «оранжевой книге» перечислен набор требований к безопасности для некой «надежной вычислительной базы», а в «розовой книге» дается интерпретация этих требований для систем управления базами данных.

    В этих документах определяется четыре класса безопасности – D, C, B и A. Говорят, что класс D обеспечивает минимальную защиту (данный класс предназначен для систем, признанных неудовлетворительными), класс С – избирательную защиту, класс В – обязательную, а класс А – проверенную защиту.

    Избирательная защита. Класс С делится на два подкласса – С1 и С2 (где подкласс С1 менее безопасен, чем подкласс С2), которые поддерживают избирательное управление доступом в том смысле, что управление доступом осуществляется по усмотрению владельца данных.

    Согласно требованиям класса С1, необходимо разделение данных и пользователя, т.е., наряду с поддержкой концепции взаимного доступа к данным, здесь возможно также организовать раздельное использование данных пользователями.

    Согласно требованиям класса С2, необходимо дополнительно организовать учет на основе процедур входа в систему, аудита и изоляции ресурсов.

    Обязательная защита. Класс В содержит требования к методам обязательного управления доступом и делится на три подкласса – В1, В2 и В3 (где В1 является наименее, а В3 – наиболее безопасным подклассом).

    Согласно требованиям класса В1, необходимо обеспечить «отмеченную защиту» (это значит, что каждый объект данных должен содержать отметку о его уровне классификации, например: секретно, для служебного пользования и т.д.), а также неформальное сообщение о действующей стратегии безопасности.

    Согласно требованиям класса В2, необходимо дополнительно обеспечить формальное утверждение о действующей стратегии безопасности, а также обнаружить и исключить плохо защищенные каналы передачи информации.

    Согласно требованиям класса В3, необходимо дополнительно обеспечить поддержку аудита и восстановления данных, а также назначение администратора режима безопасности.

    Проверенная защита. Класс А является наиболее безопасным и, согласно его требованиям, необходимо математическое доказательство того, что данный метод обеспечения безопасности совместим и адекватен заданной стратегии безопасности.

    Коммерческие СУБД обычно обеспечивают избирательное управление на уровне класса С2. СУБД, в которых поддерживаются методы обязательной защиты, называют системами с многоуровневой защитой.

    Защита на уровне пользователя

    <15161718192021>

     

    Защита на уровне пользователя применяется в случаях, когда с одной БД работают несколько пользователей или групп пользователей, имеющих разные права доступа к объектам БД. Использовать защиту на уровне пользователя можно на отдельном компьютере и при коллективной работе в составе локальной сети.

    Для организации защиты на уровне пользователя в системе Access создаются рабочие группы (РГ). Каждая рабочая группа определяет единую технологию работы совокупности пользователей. Система Access в произвольный момент времени может работать с одной РГ.

    Информация о каждой РГ хранится в соответствующем файле РГ. При установке системы автоматически создается рабочая группа, которая описывается в файле system.mdw. В последующем можно изменять описание РГ (содержимое соответствующего файла РГ), а также создавать новые РГ. Для этой цели в системе имеется программа администратора РГ (АРГ).

    Файл РГ описывает группы пользователей и отдельных пользователей, входящих в эту РГ. Он содержит учетные записи групп пользователей и отдельных пользователей. По каждой учетной записи система Access хранит права доступа к объектам базы данных.

    По умолчанию в каждую рабочую группу входит две группы пользователей: администраторы (Admins) и обычные пользователи (Users). Причем, в группу Admins первоначально включен один администратор под именем Admin.

    При создании группы указывается имя (идентификатор) группы и код, представляющий собой последовательность от 4 до 20 символов. При регистрации пользователей в системе защиты им присваивается имя, код и необязательный пароль. Имена групп и пользователей, их коды, а также пароли пользователей (если они заданы) Access скрывает от пользователя. Поэтому если пользователь их забудет, найти их в файле РГ и восстановить практически невозможно. Коды группы и пользователя используются для шифрования системой учетных записей в файле РГ.

    Каждому из пользователей, независимо от принадлежности к группе, можно присвоить пароль. Этот пароль называется паролем учетной записи и хранится в файле РГ. Первоначально все включаемые в РГ пользователи, в том числе и пользователь Admin, не имеют пароля.

    Каждой из групп приписываются определенные права на объекты БД. Члены группы Admins имеют максимальные права.

    Наличие двух функциональных групп пользователей в рабочей группе, как правило, достаточно для организации нормальной работы коллектива пользователей. При необходимости можно создать дополнительные группы пользователей. Один пользователь может входить в несколько групп. При подключении пользователя, зарегистрированного в нескольких группах, действуют минимальные из установленных в разных группах ограничения на объекты БД.

    Основные ограничения, действующие при создании рабочих групп и регистрации пользователей:

    · Группы Admins и Users удалить невозможно.

    · В группе Admins должен быть хотя бы один пользователь. Первоначально таким пользователем является пользователь Admin. Удалить пользователя Admin из этой группы можно после включения в нее еще одного пользователя.

    · Все регистрируемые пользователи автоматически становятся членами групп Users. Удалить их из этой группы нельзя.

    · Удалить пользователя Admin из рабочей группы нельзя (из группы Admins его можно удалить, а из группы Users – нет).

    · Создаваемые группы не могут быть вложены в другие группы, другими словами, нельзя создавать иерархию групп пользователей.

    · В системе защиты могут быть пустые группы, но не может быть пользователей, не входящих ни в одну группу (они обязательно войдут в группу Users).

    Рабочая группа имеет структуру, показанную на рис. 7.1. Символами A, B и F обозначены созданные группы пользователей, а символами P1, P2, P3, P4 и Pn – пользователи. Все пользователи являются членами группы Users. Группа F пока пуста.



    Рис. 7.1. Структура рабочей группы

    Основное назначение системы защиты на уровне пользователя состоит в контроле прав доступа к объектам базы данных. Типы прав доступа, существующие в Access, приведены в табл. 7.1.

    Права подключающегося пользователя делятся на явные и неявные. Явные права имеются в случае, если они определены для учетной записи пользователя. Неявные права – это права той группы, в которую входит пользователь.

    Изменить права доступа других пользователей на объекты некоторой БД могут следующие пользователи:

    · члены группы Admins, определенной в файле РГ, использовавшемся при создании базы данных;

    · владелец объекта;

    · пользователь, получивший на объект права администратора.

    Изменить свои собственные права в сторону их расширения могут пользователи, являющиеся членами группы Admins и владельцы объекта.

    Владельцем объекта считается пользователь, создавший объект. Владельца объекта можно изменить путем передачи права владельца другому.

    Установка защиты на уровне пользователя сложнее парольной защиты. Она предполагает создание файла РГ, учетных записей пользователей и групп, включение пользователей в группы, назначение прав доступа к объектам базы данных пользователям и группам. Далее кратко рассматриваются эти операции.

    Как отмечалось, манипуляции с файлами РГ выполняются с помощью программы АРГ. Программа АРГ имеет три функции: создание файла РГ, связь с произвольным файлом РГ и выход из программы. Исполняемый файл администратора имеет имя wrkgadm.exe.

    Таблица 7.1

    Типы прав доступа

    Права доступа

    Разрешенные действия

    Объекты

    Открытие/запуск

    Открытие базы данных, формы или отчета, запуск макроса

    Базы данных, формы, отчеты и макросы

    Монопольный доступ

    Открытие базы данных для монопольного доступа

    Базы данных

    Чтение макета

    Просмотр объектов в режиме конструктора

    Таблицы, запросы, фор­мы, отчеты, макросы и модули

    Изменение макета

    Просмотр и изменение макета объектов или удаление объектов

    Таблицы, запросы, фор­мы, отчеты, макросы и модули

    Права администратора

    Для баз данных: установка пароля, репликация и изменение параметров запуска. Для объектов базы данных: полные права на объекты и данные, в том числе предоставление прав доступа

    Базы данных, таблицы, запросы, формы, отчеты, макросы и модули

    Чтение данных

    Просмотр данных

    Таблицы и запросы

    Обновление данных

    Просмотр и изменение данных без их вставки и удаления

    Таблицы и запросы

    Вставка данных

    Просмотр и вставка данных без их изменения и удаления

    Таблицы и запросы

    Удаление данных

    Просмотр и удаление данных без их изменения и вставки

    Таблицы и запросы

    Замечания:

    · Для того чтобы обойти требование ввода пароля при входе в Access, достаточно задать другой файл рабочей группы, в котором оно не установлено. В простейшем случае – это создаваемый при установке системы файл system.mdw. Чтобы система использовала его, а не текущий файл, достаточно запустить программу администратора рабочих групп и с его помощью связать Access с «подставным» файлом. Файл рабочей группы не обязательно должен быть «родным». Несовпадение имени и названия организации не мешает нормальному запуску системы с другим файлом рабочей группы, который может находиться в любой папке.

    · Чтобы обезопасить себя от порчи файла рабочей группы или утери пароля администратора из группы Admins, следует сохранить исходный файл рабочей группы в надежном месте. В критический момент следует подключиться к нужному файлу.

    · При организации работы нескольких групп пользователей на одном компьютере целесообразно для каждой из групп создать свой файл рабочей группы. Перед началом работы следует подключиться к нужному файлу. Чтобы случайно не подключиться к чужому файлу и не дать возможности несанкционированному пользователю войти в систему Access, файл лучше хранить отдельно от системы.

    Учетные записи отдельных пользователей и групп пользователей создаются с помощью команды Сервис | Защита | Пользователи и группы.

    Определение прав пользователей и групп выполняется с помощью команды Сервис | Защита | Разрешения. Окно Разрешения имеет две вкладки: Разрешения и Смена владельца. Установка прав может выполняться по отношению к группам и отдельным пользователям. Выбор определяется с помощью переключателей в группе Список. Возможности манипуляций зависят от полномочий текущего пользователя, указываемого в нижней части окна.

    Вкладка Смена владельца служит для смены владельца некоторого объекта БД. Новым владельцем может стать отдельный пользователь и группа. Если права владельца передаются учетной записи группы, то права владельца автоматически получают все пользователи этой группы. Возможности операций по смене владельца зависят от полномочий текущего пользователя.

    Установку защиты базы данных на уровне пользователя можно выполнить с помощью Мастера защиты. Результат защиты – создание новой защищенной БД. Для вызова Мастера защиты следует открыть БД и выполнить команду Сервис | Защита | Мастер. Исходная БД при этом остается без изменения и, если не нужна, ее можно удалить.

    Процедура снятия защиты на уровне пользователей включает два этапа:

    1) предоставление группе Users полных прав на доступ к объектам базы данных;

    2) изменение владельца базы данных – предоставление права владения пользователю Admin.

    Чтобы снять защиту необходимо выполнить следующие действия:

    1) Запустить Microsoft Access, открыть защищенную базу данных и подключиться к системе в качестве администратора (члена группы Admins).

    2) Предоставить группе Users полные права на доступ ко всем объектам базы данных.

    3) Закрыть базу данных и Access.

    4) Запустить Microsoft Access.

    5) Создать новую базу данных и зарегистрироваться под именем Admin.

    6) Импортировать в новую базу данных все объекты из защищенной базы данных с помощью команды Файл | Внешние данные | Импорт.

    7) Удалить пароль пользователя Admin, если текущий файл рабочей группы будет использоваться в дальнейшем. Если в дальнейшем будет использоваться стандартный файл рабочей групп system.mdw, то в этом нет необходимости.

    Замечания:

    · Система защиты Access позволяет создавать произвольное число групп пользователей, но создавать большое число групп не стоит.

    · Права доступа пользователей лучше назначать на уровне групп. Это упрощает использование системы защиты для администратора и пользователей.
    1   2   3   4   5   6   7   8   9   10   11


    написать администратору сайта