1 - مقدمه
در طي سه دهة اخير تعداد پايگاه دادههاي كامپيوتري افزايش بسياري داشته
است. حضور اينترنت به همراه توانائيهاي شبكه، دسترسي به داده و اطلاعات را آسانتر
كرده است. به عنوان مثال، كاربران امروزه ميتوانند به حجم بالايي از اطلاعات در
فاصلة زماني بسيار كوتاهي دسترسي پيدا كنند. به همين نسبتي كه ابزارها و تكنولوژي
دسترسي و استفاده از اطلاعات توسعه مييابند، نياز به حفاظت اطلاعات هم بوجود ميآيد.
بسياري دولتها و سازمانها صنعتي دادههاي مهم و طبقه بندي شدهاي دارند كه بايد
حفاظت شوند. سازمانهاي بسيار ديگري هم مثل مؤسسات دانشگاهي نيز اطلاعات مهمي در
مورد دانشجويان و كارمندانشان دارند. در نتيجه
تكنيكهايي براي حفاظت داده هاي ذخيره شده در سيستمهاي مديريت پايگاه داده،
اولويت بالايي پيدا كردهاند.
در طول سه دهة اخير، پيشرفتهاي بسياري در مورد امنيت پايگاه دادهها حاصل
شده است. بسياري از كارهاي اوليه، روي امنيت پايگاه دادههاي آماري انجام شد. در
دهة 70، همزمان با شروع تحقيقات روي پايگاه دادههاي رابطهاي، توجه مستقيماً به
مسئله كنترل دسترسي بود و بيشتر از همه، كار
روي مدلهاي كنترل دسترسي احتياطي
شروع شد. در حالي كه، در سالهاي پاياني دهة 70، كار بروي امنيت الزامي
ولي در واقع تا مطالعات نيروي هوايي در 1982، كه تلاش وسيعي براي DBMSهاي امن چند سطحي
بود، كار مهمي انجام نشد.
در هزارة جديد با حضور تكنولوژيهايي مثل كتابخانههاي ديجيتال، شبكه
گستره جهاني و سيستمهاي محاسباتي اشتراكي، علاقه بسياري به امنيت نه تنها در بين
سازمانهاي دولتي، بلكه بين سازمانهاي اقتصادي هم وجود دارد. اين مقاله مروري به
پيشرفتها و محصولات در سيستمهاي پايگاه دادهاي امن در دو زمينة اجباري و احتياطي
دارد.
2 كنترل دسترسي (مفاهيم و
سياستها)
دراين بخش مفاهيم پايه در كنترل دسترسي معرفي ميشوند. سپس در مورد
سياستهاي كنترل دسترسي احتياطي و الزامي بحث ميشود و نهايتاً مروري داريم بر
سياستهاي سرپرستي.
2ـ1 مفاهيم اساسي
كنترل دسترسي معمولاً در مقابل مجموعه اي از قوانين اعطاي مجوز كه توسط
مديران امنيتي يا كاربران براساس بعضي سياستهاي خاص ارائه ميشوند، قرار دارد.
قانون اعطاي مجوز، در حالت كلي بيان ميكند كه فرد
S اجازه دارد كه امتياز P را بروي شيئي O بكار ببرد.
اشياء مجاز : تركيبات غيرفعال سيستم هستند كه بايد در مقابل دسترسيهاي
غيرمجاز محافظت شوند. اشيايي كه بايد به آنها متوجه شدند به مدل دادهاي مورد
استفاده بستگي دارند. به عنوان مثال، در يك سيستم عامل فايلها و دايركتوريها اشياء
هستند. در حاليكه، در يك DBMS منابعي كه بايد محافظت شوند رابطه ها، ديدها و صفات هستند.
اشخاص مجاز : موجوديتهايي در سيستم هستند كه اجازة دسترسي به آنها داده
ميشود. اشخاص به دستههاي زير تقسيم بندي ميشدند :
·
كاربران : كه شخصيتهاي مجزا و
مشخصي هستند كه با سيستم در ارتباطند.
·
گروهها مجموعه اي از كاربران.
·
نقشها
: مجموعهاي نامدار از امتيازها كه احتياج دارند، فعاليت خاصي را در رابطه با
سيستم انجام دهند.
·
سلسله عمليات
: كه برنامههايي را براي كاربر اجراء ميكند. به طور كلي، سلسله عمليات به
آدرسهاي حافظه، استفاده از CPU ، فراخواني برنامههاي ديگر
و عمليات بروي داده اشاره ميكند.
امتيازهاي مجاز : انواع عملياتي را كه يك فرد ميتواند روي يك شيئي در سيستم اجراء كند،
بيان ميكند. مجموعة اين امتيازها به منابعي كه بايد محافظت شوند، بستگي دارد. به
عنوان مثال، در يك سيستم عامل خواندن، نوشتن و اجراء از امتيازها هستند. ولي، دريك
DBMS رابطهاي، انتخاب، درج، تغيير و حذف از جمله امتيازها به شمار ميروند.