Многоуровневая защита

Выше речь шла о реализациях схемы безопасности, которые ограничиваются схемой «данные — владелец». В них пользователь, работающий с базой данных, является владельцем некоторых ее объектов, а для доступа к другим объектам должен получить привилегии. Он может получить статус пользователя СУБД и некоторые привилегии доступа к объектам БД, войти в группу пользователей и получить соответствующие привилегии доступа, получить права на запуск некоторых прикладных про­грамм. Это — так называемый добровольный или дискрецион­ный контроль доступа (discretionary access control). Называется он так потому, что владелец данных по собственному усмотре­нию ограничивает круг пользователей, имеющих доступ к дан­ным, которыми он владеет.

Несмотря на то, что в целом этот метод обеспечивает безо­пасность данных, современные информационные системы тре­буют другую, более изощренную схему безопасности — обяза­тельный или принудительный контроль доступа (mandatory access control). Он основан на отказе от понятия владельца дан­ных и опирается на так называемые метки безопасности (security abels), которые присваиваются данным при их создании. Каждая из меток соответствует некоторому уровню безопасности. Метки служат для классификации данных по уровням. Например, для правительственных и коммерческих организаций такая классификация выглядит следующим образом (рис. 8.6).

Так как данные размещены по уровням безопасности метка­ми, конкретный пользователь получает ограниченный доступ к данным. Он может оперировать только с данными, расположен­ными на том уровне секретности, который соответствует его ста­тусу. При этом он не является владельцем данных.

Эта схема безопасности опирается на механизм, позволяю­щий связать метки безопасности с каждой строкой любой табли­цы в базе данных. Любой пользователь может потребовать в сво­ем запросе отобразить любую таблицу из базы данных, однако увидит он только те строки, у которых метки безопасности не превышают уровень его компетенции.