Лабораторная работа № 13 Средства защиты базы данных

Теоретические сведения

Access обеспечивает два традиционных способа защиты БД:

• установка пароля, требуемого при открытии БД,

• защита на уровне пользователей, которая позволяет ограничить доступную пользователю часть БД.

Установка пароля для открытия БД является простейшим способом защиты от несанкцио­нированного доступа. При каждом открытии БД будет появляться диалоговое окно, в которое требуется ввести пароль. Однако после открытия БД других средств защиты уже не имеется, если дополнительно не определена защита на уровне пользователей. Установка пароля достаточна для БД на автономном компьютере или для БД, совместно используемой небольшой группой пользователей.

Пароль БД можно задать командой меню Сервис > Защита > Задать пароль базы данных. Чтобы иметь возможность задать или отменить пароль, БД должна быть открыта в монопольном режиме (рис. 47).

Рис. 47. Открытие файла БД в монопольном режиме

Более гибкой является защита БД на уровне пользователей. Этот способ напоминает механизмы безопасности, используемые в корпоративных системах. От пользователей требуется идентифицировать себя и ввести пароль при запуске Access. Средства защиты позволяют указать, какие операции разрешается выполнять пользователю. Каждый пользователь представлен в системе своей учетной записью с указанием прав доступа к тем или иным объектам.

Рабочей группой называется группа пользователей, работающих с одной БД и имеющих общий файл рабочей группы (системный файл с информацией о группе пользователей, работающих с БД коллективного доступа). В файлах рабочих групп хранятся учетные записи, пароли, а также данные о правах доступа к объектам БД. Для пользователей, входящих в состав одной группы, задаются одни и те же права.

В Access определены две стандартные группы: админи­страторы (Admins) и пользователи (Users), но допуска­ется определение дополнительных групп. После установки Access пользователь получает право доступа ко всем объектам БД (становится членом группы Admins с именем Admin). Члены группы Admins имеют право на модификацию БД. Чтобы устранить произвольный доступ в систему всех членов группы Admins следует установить пароль для каждого администратора в регистрационной записи Admin. Иначе при каждом запуске Access администратор будет регистрироваться как пользователь Admin – без указания пароля.

После создания рабочей группы можно приступить к внесению учетных записей. По умолчанию создается учетная запись Admin, а также учетные записи групп Admins, Users и предоставляются права доступа ко всем объектам.

Учетная запись администратора включена в рабочую группу Admins. Кроме администратора может быть указан владелец БД. По умолчанию пользователь, создавший объект, становится владельцем этого объекта и имеет права на работу с ним. Администраторы и владельцы наделены особыми правами:

• администратор БД всегда может получить право доступа ко всем объектам, созданным членами данной рабочей группы;

• владелец БД всегда может открыть БД;

• владелец объекта наделен полными правами доступа к этому объекту.

Пользователь Admin является владельцем любой БД и всех объектов. Поскольку для него не устанавливается пароль, то для защиты БД от несанкционированного доступа необходимо изменить право владения БД и ее объектами. Существует несколько способов смены владельца объектов БД:

• импортирование всех объектов БД в новый файл;

• использование вкладки Смена владельца диалогового окна.

Администратор БД предо­ставляет всем или некоторым членам рабочей группы права доступа к различным объектам БД (разрешения). Права доступа хранятся в фай­ле БД и характеризуют ее объекты. Существуют два типа разрешений: явные и неявные. Явные разрешения присваиваются учетной записи пользователя. Неявные разрешения присваиваются учетной записи группы. Все пользователи, включенные в группу, получают все раз­решения, предоставленные группе; удаление пользователя из группы лишает его всех разрешений, присвоенных данной группе.

К разграничению прав доступа пользователей и групп можно приступить после создания рабочей группы, определения администратора и владельца БД, а также создания учетных записей пользователей и групп. Пользователь наследуют права той группы, к которой принадлежит.

Перечень прав доступа, определенных в Access, приведен в табл. 12. Некоторые права доступа обусловливают наличие других прав. Так, таблица, в которой разрешено обновление данных, доступна для чтения данных и макета. При наличии прав администратора пользователю доступны все перечисленные выше права. Определить права доступа к некоторому объекту может владелец этого объекта, администратор в рабочей группе Admins или пользователь, которому присвоены права администратора именно для этого объекта.

Все права доступа к объекту сохраняются при его изменении только в том случае, если не применялся буфер обмена или не выполнялся импорт/экспорт объекта. Все связанные с объектом права доступа могут быть утеряны при сохранении объекта под новым именем посредством команд Сохранить как и Экспорт.

Таблица 12

Право доступа	Действие	Объекты доступа
Открытие/ Запуск	Открытие БД, формы, отчета или запуск макроса	БД, формы, отчеты и макросы
Чтение макета	Просмотр объектов в режиме конструктора	Таблицы, запросы, формы, отчеты, макросы и модули
Изменение макета	Просмотр, изменение и удаление объектов в режиме конструктора	Таблицы, запросы, формы, отчеты, макросы и модули
Администратора	Полный доступ к объектам и данным, включая возможность присвоения прав доступа	Базы данных, таблицы, запросы, формы, отчеты, макросы и модули
Чтение данных	Просмотр данных	Таблицы и запросы
Обновление данных	Просмотр и изменение данных без вставки и удаления	Таблицы и запросы
Вставка данных	Просмотр и вставка данных без изменения и удаления	Таблицы и запросы
Удаление данных	Просмотр и удаление данных	Таблицы и запросы
Монопольный доступ	Открытие БД в монопольном режиме	Базы данных

Управление защитой на уровне пользователей является сложной задачей. Упростить ее позволяет мастер защиты, который запускается командой Сервис > Защита > Мастер (рис. 48).

Рис. 48. Вид начального окна Мастер защиты

Для запуска мастера БД должна быть открыта в режиме общего доступа. Мастер защиты создает незащищенную копию БД, а затем защищает БД. По умолчанию защищаются все объекты БД, а также те объекты, которые будут созданы после использования мастера. Мастер защиты позволяет создать группы пользователей и отдель­ных пользователей, включать пользователей в группы (рис. 49).

Рис. 49. Выбор групп защиты

Существуют разные типы групп, для кото­рых разрешен определенный уровень прав. «Операторы архива» могут только открывать БД с монопольным доступом для резервиро­вания и сжатия, но не могут видеть объекты БД. Члены группы «Все права на данные» могут изменять данные, но не могут менять макеты объектов БД. Члены группы «Полные права» имеют все раз­решения на все объекты, но не могут назначать разрешения для дру­гих пользователей. Члены группы «Разработчики проекта» имеют разрешения на изменение данных и всех объектов, но не могут изме­нять таблицы и связи. Разрешения для других групп ясны из их на­звания.

Далее мастер позволяет назначить пользователям (группа Users) необходимые права (разрешения), добавить пользователей в файл рабочей группы, задать для каждого пользователя пароль и уникальный личный код (рис. 50). По окончании работы мастера на рабочем столе создается ярлык защищенной БД. Двойной щелчок на ярлыке вызывает появление диалогового окна, в котором вводится имя пользователя (администратора) и пароль.

Рис. 50. Предоставление прав и добавление пользователей

Кодирование (шифрование) – это способ защиты БД от несанкционированного доступа, при котором файл БД сжимается и становится недоступным для чтения с помощью текстовых редакторов или средств работы с файлами (например, входящих в состав Windows или Norton Utilities). Кодирование замедляет работу Access, поскольку на кодирование и декодирование файлов расходуется время.

Кодирование незащищенной БД неэффективно, поскольку каждый сможет открыть такую БД и получить полный доступ ко всем ее объектам. Кодирование обычно применяется при электронной передаче БД или сохранении ее на дискету, кассету или компакт-диск.

Чтобы кодировать БД Access, необходимо быть либо ее владельцем, либо членом группы Admins в файле рабочей группы, который содержит учетные записи, используемые для защиты БД. Кроме того, БД необходимо открыть в монопольном режиме, для чего необходимо иметь разрешения «открытие/запуск» и «монопольный доступ».

Для кодирования БД, необходимо запустить Microsoft Access без открытия БД. При работе с сетевой БД следует убедиться, что все пользователи зак­рыли БД. В меню нужно выбрать команду Сервис > Защита > Закодировать или раскодировать базу данных, затем – указать имя БД и щелкнуть по кнопке ОК. Декодирование БД является операцией, обратной кодированию.

Практическая работа

При выполнении лабораторной работы необходимо:

• обеспечить защиту созданной БД установкой пароля для открытия БД;

• создать копию БД в отдельном каталоге и с помощью мастера защиты создать файл рабочей группы, добавить пользователей, определить их права, пароли и уникальный личный код;

• выполнить кодирование и декодирование защищенной БД;

• составить отчет по лабораторной работе.