Управление доступом к некоторым объектам сети

Обычно, когда уровень доступа к объектам сети определяется только разрешениями в сети, не возникает проблем с нарушением режима доступа к информации. Но в отдельных случаях режим доступа определяется средствами приложений, в которых работают пользователи. Например, весьма распространены приложения, разработанные в среде MS Access. Для работы в сети эти приложения делятся на клиентскую и серверную части. Клиентская часть распространяется между пользователями, а серверная расположена на сервере. Определяя режим доступа к данным, устанавливают пароли для доступа к определенным частям приложения, соответствующим профилю работы пользователей. В MS Access для управления паролями применяют файл рабочих групп. При обычной работе пользователей информация достаточно хорошо защищена от изменения, а возможно и просмотра теми пользователями, которым не дано на это право в приложении.

В то же время продвинутые пользователи, желая подсмотреть или скорректировать информацию, к которой они не должны иметь доступа, могут это сделать, подключившись к серверной базе данных и используя стандартные или разработанные самостоятельно средства. Конечно, приложения, которые создаются фирмами, специализирующимися на разработке клиент-серверных продуктов, снабжаются достаточно эффективными средствами защиты данных. В простых разработках, созданных зачастую самими администраторами сети или другими сотрудниками предприятия, вопрос защиты серверной базы данных нередко упускается из виду. Для упрощения организации работы новых пользователей с клиентскими приложениями доступ к серверной базе данных открывается для всех пользователей домена. Тем не менее вопрос защиты серверной базы данных может быть решен на уровне файловой системы. Достаточно определить доступ к каталогам, в которых размещены файлы базы данных, лишь для пользователей этой базы данных, причем в той степени, в которой это необходимо.

Разрешения для каталога задаются стандартными средствами операционной системы. Существуют два варианта определения доступа. Каталог может быть виден в сетевом окружении или же доступен при открытии содержащего его каталога после подключения к компьютеру из сети. Как будет организован доступ к каталогу, зависит от условий работы ваших пользователей и требований программного обеспечения. Кроме того, полноценное управление разрешениями возможно лишь при наличии на сервере файловой системы NTFS. Добавлять и удалять разрешения для отдельных пользователей — задача достаточно трудоемкая. Поэтому, как и в большинстве случаев управления доступом, рациональнее создать группы пользователей с установленны-ми правами, а при необходимости добавлять в них учетные записи пользователей. Средства, необходимые для этого, мы уже рассматривали ранее.

Кроме описанных вариантов защиты информации серверной базы данных MS Access, не считая встроенной возможности установки пароля на открытие базы, можно применить небольшой модуль, запрещающий случайное прямое открытие базы пользователем, не имеющим на это права. Модуль должен вызываться из формы, которая не содержит ничего, кроме одного модуля формы (листинг 4.8), из которого и запускается модуль InTo (листинг 4.9). Имя формы должно быть внесено в поле Форма в параметрах запуска базы данных.

Листинг 4.8. Модуль формы Start

Private Sub Form_Open(Cancel As Integer) InTo.VXOD DoCmd.Close End Sub

Листинг 4.9. Модуль InTo

Option Compare Database Option Explicit Public Sub VXOD()

Dim UserIN As String

UserIN = Left(DBEngine.Workspaces(0).UserName, 15)

MsgBox UserIN If UserIN <> "Fedor" Then

DoCmd.Quit End If

End Sub

Если для работы с базой применяется файл рабочей группы, то только пользователь Fedor сможет открыть ее.

Конечно, знатоки MS Access уже приготовили усмешку и возражение: мол, знаем же простой путь обхода этой защиты... Разумеется, предложена защита от случайного открытия и случайной порчи базы данных, когда другие средства защиты не применяются или не применимы. Кроме того, дополнительные возможности защиты в арсенале администратора лишними не будут.