Обеспечение безопасности БД в Access: предоставление прав на отдельные поля записей, защита разделенной БД

Курс: «Защита информации и информационная безопасность».

Лабораторная работа № 3.

 «Обеспечение безопасности БД в Access: предоставление прав на отдельные поля записей, защита разделенной БД».

На прошлой лабораторной работе мы рассмотрели ряд вопросов, связанных с защитой баз данных, создаваемых в СУБД Access. В частности. Ознакомились с возможностью предоставлять пользователям права на доступ к таблицам. Но в ряде случаев, возникает необходимость  дать права не на таблицу целиком, а на отдельные записи или поля записей.  Как Вы уже знаете, сами по себе поля записей не являются объектами БД, поэтому разрешения на доступ к конкретному полю напрямую задать  нельзя. Но можно воспользоваться следующим приемом.

Нужно создать запрос, в который включить только разрешенные поля. Построить форму на базе этого запроса. При этом, пользователю, которого хотим ограничить в правах доступа, не нужно давать права на работу с таблицей, а стоит только дать права на работу с запросом и формой.

Тут есть несколько особенностей, которые Вам надо изучить самостоятельно по справке (для Access’2000 это раздел справки Защита базы данных -> Работа с разрешениями -> Разрешение другим пользователям просматривать или выполнять запрос без изменения данных или его структуры). Они касаются свойств запроса, который может получить данные из таблицы, на которую у выполняющего запрос пользователя нет прав на чтение. В свойствах запроса найдите опцию «При запуске предоставляются права…» (такое название в Access 2003, в других версиях название может немного отличаться). Посмотрите, какие значения может принимать данное свойство. Разберитесь, что это означает.

Задание. Введите пользователя «Библиотекарь2», который может изменять автора и название книги, но не имеет  доступа к полям с информацией об издательстве и годе выпуска. Сделайте соответствующий запрос, форму и настройки безопасности.

Опишите в отчете производимые действия.

Перейдем к рассмотрению настройки защиты на уровне пользователей для разделенной базы данных Access.

Разделение базы чаще всего применяется при ее сетевом использовании. В этом случае, в одном файле с расширением *.mdb находятся только таблицы с данными (он размещается на файловом сервере), а в другом файле размещаются все остальные объекты (формы, запросы, отчеты и т.д.) и связи с таблицами из первой базы. Второй файл можно разместить на клиентском компьютере. Причем, одному файлу с таблицами может соответствовать  несколько файлов с формами (реализующих «внешнее представление» базы для разных групп пользователей). Таким образом, когда клиент через базу «с формами» обращается к «базе с таблицами», по сети передаются только фрагменты таблиц. Если же просто выкладывать на файловый сервер не разделенную базу данных, то через сеть также придется передавать формы и другие объекты.