Контроль доступа к БД с рабочих станций
Основополагающим понятием в процессе контроля доступа пользователя к БД с удаленного компьютера является понятие сетевая станция. Сетевой станцией для СУБД ЛИНТЕР является любая рабочая станция (компьютер), имеющая уникальный идентификатор – сетевой адрес.
СУБД ЛИНТЕР позволяет администратору безопасности регулировать доступ к БД с сетевых рабочих станций по следующим критериям:
-
по графику (расписанию) работы пользователя; например, пользователю Х доступ к БД разрешен по будням с 8.00 до 12.00 и с 13.00 до 17.00;
-
по количеству одновременно активных логических соединений с СУБД;
-
по списку разрешенных для доступа к БД станций; например, доступ к БД «Бухгалтерия» может быть запрещен с сетевых рабочих станций, установленных в службе технической поддержки;
-
по уровням доступа;
-
по списку разрешенных для доступа групп; например, доступ к БД «Бухгалтерия» с сетевых рабочих станций, установленных в финансово-экономическом отделе, разрешен только пользователям группы «Бухгалтеры» и запрещен пользователям группы «Экономисты».
СУБД ЛИНТЕР поддерживает несколько типов сетей, что требует различного подхода к интерпретации сетевых адресов.
В общем случае сетевой адрес состоит из адреса подсети (уникального в пределах всей сети) и адреса станции (уникального в пределах подсети). СУБД ЛИНТЕР позволяет управлять доступом, как на уровне конечной станции, так и на уровне подсети. В последнем случае ограничения, наложенные на всю подсеть, распространяются на все станции, расположенные в данной подсети.
Каждый сетевой адрес в СУБД ЛИНТЕР характеризуется следующими параметрами:
-
типом сети (определяет внутреннюю структуру адреса);
-
типом адреса (указывает на подсеть или конкретный узел);
-
адресом в сети (собственно сетевой адрес; в зависимости от типа сети может включать/не включать адрес подсети);
-
маской разрешенных групп пользователей (стандартная битовая маска, описывающая, разрешен ли доступ данной группы к станции);
-
уровнями мандатного доступа (проверяется возможность пользователя выполнять соответствующие операции по отношению к данной станции);
-
маской разрешенного времени доступа (с точностью до получаса описывается время, разрешенное для доступа со станции).
Управлять правами доступа с сетевых станций может только администратор безопасности СУБД.
При попытке установить соединение с некоторой сетевой станции СУБД выполняет следующие действия:
-
проводит стандартную идентификацию и аутентификацию пользователя;
-
проверяет наличие у пользователя Connect-категории или выше;
-
получает у операционной системы тип сети и адрес сети – источника запроса на установку соединения;
-
проверяет, ограничен ли доступ для данного пользователя (по расписанию работы);
-
проверяет, существует ли для данного пользователя список разрешенных или запрещенных сетевых станций;
-
если такой список существует, то проверяется совпадение меток доступа для пользователя и разрешенной станции (группа пользователя должна содержаться в маске групп пользователей у станции; RAL-уровень пользователя не должен быть выше RAL-уровня станции, WAL-уровень пользователя не должен быть ниже WAL-уровня станции);
-
если мандатный доступ разрешен, проверяется возможность данного пользователя работать с этой станции в текущий момент времени;
-
если запрещенных комбинаций не обнаружено, то доступ разрешается.
Имя сетевой станции представляет собой идентификатор, который может использоваться администратором безопасности для разрешения/запрещения доступа пользователей с данного компьютера.
Характеристики сетевой станции включают:
-
общее число неуспешных попыток доступа к БД со станции;
-
текущее число неуспешных попыток доступа к БД со станции;
-
флаги доступа (доступ запрещен, требуется проверка группы);
-
уровни доступа с компьютера для мандатного доступа;
-
маска разрешенных для доступа групп;
-
маска временного доступа (битовое поле разрешенного времени работы со станции (с точностью до получаса на неделю);
-
время последнего неудачного доступа к БД;
-
время последнего успешного доступа к БД;
-
дата и время, начиная с которого доступ к БД с данной станции разрешается;
-
дата и время, до которого доступ к БД с данной станции разрешается;
-
маска разрешенных для доступа к БД дней недели.
Уровни мандатного доступа для сетевой станции представляют собой два числа, аналогичные уровням доступа субъектов и объектов БД.
Маска разрешенных для доступа групп представляет собой битовую маску из 256 бит, 250 бит которой кодируют разрешение соответствующей группы на доступ к станции.
Дата и время, начиная с которого доступ к БД разрешается с данной станции, представляет собой одностороннее ограничение на дату начала разрешения доступа с данной станции.
Дата и время, начиная с которого доступ к БД запрещается с данной станции, представляет собой одностороннее ограничение на дату прекращения доступа с данной станции.
Маска разрешенных для доступа дней недели представляет собой битовую маску разрешенных для доступа дней недели.
К БД, в которой инициализирован мандатный доступ, доступ
с сетевых станций по умолчанию запрещен. Перед использованием сетевой станции ее необходимо сделать
видимой для СУБД ЛИНТЕР. Этого можно добиться двумя способами:
создать станцию, т.е. включить ее описание в список доступных СУБД станций или
перевести СУБД ЛИНТЕР в режим беспрепятственной работы с
неизвестными станциями (UNLISTED STATIONS
), например,
grant access on unlisted station to all;
(разрешить доступ к этой БД со всех компьютеров).
Доступ физических лиц к консоли сервера СУБД ЛИНТЕР для изменения параметров работы со станциями должен строго ограничиваться административными мерами.