بررسی اصول امنیتی پایگاه های داده بخش سوم
حال ، وقت آن فرا رسيده كه به بيان تفاوتهاي ميان كنترل دسترسي و سرويس تعيين اعتبار بپردازيم. تعريف دقيق و درست اطلاعات كاربر ، وظيفه سرويس تعيین اعتبار است. كنترل دسترسي فرض ميكند كه سرويس تعيين اعتبار ، كار خود را بدرستي قبل از اجرايش توسط ناظر منابع انجام داده است. كارايي كنترل دسترسي ، به درستي تعيين هويت كاربر و همچنين به درستي تفويض اختيار بستگي دارد.
دانستن اين نكته ضروري است كه كنترل دسترسي راه حل كاملي براي برقراري امنيت نيست و بايد با سرويس حسابرس همراه باشد. سرويس حسابرس به بررسي و آناليز تمامي فعاليتها و درخواستهاي كاربر در سيستم ميپردازد و تمامي آنها را براي بررسيهاي آينده ثبت ميكند.
شکل 2-4 : کنترل دسترسی و سایر سرویسهای امنیتی
اين سرويس از دو جنبه حائز اهميت است. اول به عنوان بازدارنده (تمامي درخواستهاي كاربران ثبت و آناليز ميشود و آنهارا از تخطي كردن مايوس ميكند) و دوم با توجه به آناليزهاي انجام شده راهها و روزنههاي نفوذ تشخيص داده ميشوند. در واقع حسابرسي ، اين اطمينان را به ما ميدهد كه كاربران از امتيازات و اختيارات خود سوء استفاده نكنند. توجه به اين نكته ضروري است كه كارايي سرويس حسابرس ، به كيفيت تعیین هويت بستگي دارد.
2-4-3-2 ماتریس دسترسی
فعاليتها ، در يك سيستم بوسیلۀ موجوديتهايي با عنوان درخواستكننده آغاز به کار مي کنند. درخواستكنندهها كاربران و يا برنامه تحت فرمان كاربران ميباشند.در واقع درخواستكنندهها آغازگر فعاليتها بر روي منابع ميباشند. كاربران ممكن است با عناوين متفاوتي ، بسته به اينكه ميخواهند از كداميك از امتيازات خود استفاده كنند ، به سيستم متصل شوند. به عنوان مثال ، كاربراني كه بر روي دو پروژۀ متفاوت فعاليت ميكنند ، ممكن است براي كار بر روي هر يك از اين پروژهها به سيستم متصل شوند. در اين حالت دو درخواست كننده ، متناظر با اين كاربر وجود دارد. درك تفاوت ميان درخواستكنندهها و منابع بسيار ضروري و مهم است. درخواستكنندهها آغازگر فعاليتها بر روي منابع ميباشند. اين فعاليتها ، با تفويض اختيار به درخواستكنندهها ، داده ميشوند. تفويض اختيار ، تحت عنوان حق دسترسي و يا مد دسترسي بيان ميشود. مفهوم حق دسترسي به نوع منبع مورد نظر بستگي دارد. به عنوان مثال در فايلها حق دسترسي ، شامل خواندن ، نوشتن ، اجرا كردن و مالك بودن ميباشد. مفهوم سه حق دسترسي اول مشخص ميباشد. مالك بودن به اين معني ميباشد كه مالك قادر به تغيير دسترسيها ميباشد.
ماتريس دسترسي يك مدل مفهومي است كه حق دسترسي هر درخواستكننده را به هر يک از منابع موجود در سيستم ، مشخص ميكند. براي هر درخواستكننده يك سطر ، و يك ستون براي هر منبع در اين ماتريس وجود دارد. هر سلول اين ماتريس ، نشان دهنده اين است كه آيا درخواستكننده مورد نظر به منبع مورد نظر دسترسي دارد يا نه. شكل1-5 ماتريس دسترسي را نشان میدهد. وظيفه كنترل دسترسي اين است كه تنها به فعاليتهايي اجازه اجرا دهد كه در ماتريس قيد شدهاند. اين عمل به كمك ناظر منابع كه واسط بين درخواستكننده و منابع ميباشد صورت ميگيرد.
شکل2-5 : ماتریس دسترسی
2-4-3-3 سیاستهای کنترل دسترسی
سیاستهای کنترل دسترسی بیانگر این موضوع هستند که چگونه درخواستکنندهها و منابع را به منظور به اشتراک گذاشتن مد دسترسی بر اساس اختیارات و قوانین حاکم ، گروه بندی شوند. در ضمن این سیاستها به بررسی چگونگی انتقال حقوق دسترسی میپردازند.