Treść zadania.
Dla wybranej przez siebie dowolnej organizacji opracować system dostępu do bazy danych oparty na macierzowym modelu dostępu do danych z uwzględnieniem uwierzytelniania użytkownika na podstawie hasła i metody kontroli dostępu do danych opartej na rolach (RBAC). W ramach rozwiązania zadania należy:
opracować koncepcję systemu,
wykonać projekt systemu,
zaimplementować w dowolnym języku oraz przetestować utworzony system dostępu do bazy danych.
Warunki i forma zaliczenia: w terminie ustalonym przez wykładowcę muszą być przedstawione w postaci zwartej następujące materiały:
krótki opis funkcjonalny wybranej organizacji, zawierający wykaz stanowisk (co najmniej 10), które będą istotne z punktu widzenia tworzonego systemu bezpieczeństwa danych,
projekt (model logiczny i fizyczny, także ewentualny skrypt) i implementację (w dowolnym środowisku) bazy danych dla wybranej organizacji, zawierającej chronione dane,
charakterystykę informacyjną i bezpieczeństwa dla każdego stanowiska, tj.:
wykaz lub inny opis danych zawartych w bazie danych niezbędnych do realizacji zadań na danym stanowisku,
zakres i ograniczenia dotyczące wartości wykorzystywanych danych,
uwarunkowania dotyczące czasu, trybu i innych ważnych okoliczności dostępu do danych (określa wykonawca niniejszego zadania),
uprawnienia dotyczące wykonywanych operacji na danych oraz ewentualnego przekazywania uprawnień w całości, bądź części innym użytkownikom (stanowiskom),
inne uprawnienia i ograniczenia uznane za istotne przez wykonawcę niniejszego zadania,
projekt zasadniczych elementów tworzonego systemu bezpieczeństwa danych (projekt może być przedstawiony w dowolnej formie prezentacyjnej: opisowej, graficznej, mieszanej); w szczególności musi być przedstawiony opis macierzy dostępu do danych oraz reguły dostępu wynikające z przyjętej metody kontroli dostępu do danych,
implementację systemu dostępu do danych wraz z niezbędną instrukcją umożliwiającą jego testowe użytkowanie,
wyniki testowego uruchomienia systemu, w szczególności załadowaną bazę danych i wykaz przeprowadzonych prób dostępu wraz z uzyskanymi odpowiedziami systemu.
Podstawowe zasady realizacji zadania:
wykonawcą zadania jest grupa kierowana przez wybranego przez siebie kierownika, którego obowiązkiem jest sprawne kierowanie pracą grupy oraz kontakt z wykładowcą, także z własnej inicjatywy,
przed wykonaniem dalszych prac, zatwierdzenia przez wykładowcę wymagają propozycje rozwiązań dotyczących punktów 1-3; każdorazowa ich zmiana, która jest dopuszczalna i może nastąpić na dalszych etapach rozwiązania zadania, musi być uzgadniania z wykładowcą.
Podstawę zaliczenia stanowią wszystkie wymienione wyżej udokumentowane rozwiązania projektowe i implementacyjne (materiały dokumentacyjne, w tym także kody programów, muszą być przedstawione w postaci zapewniającej ich łatwe odczytanie oraz zrozumienie zawartych w nich propozycji; mogą być przedstawione w formie papierowej lub na CD, względnie pendrive), dostarczone w wyznaczonym terminie. Każde opóźnienie w dostarczeniu rozwiązania zadania będzie wpływać na obniżenie oceny grupowej (patrz niżej).
Indywidualna ocena realizacji zadania przez każdego studenta będzie kształtowana na podstawie dwóch następujących ocen:
oceny grupowej (taka sama dla wszystkich członków grupy) wynikającej z:
stopnia kompletności, oryginalności i jakości przedstawionych rozwiązań oraz materiałów dokumentacyjnych i wykonanych rozwiązań,
jakości funkcjonowania systemu dostępu do danych (prezentacja),
stopnia samodzielności wykonania zadania,
terminowości przedstawienia rozwiązania,
oceny indywidualnej (może być inna dla każdego członka tej samej grupy) uzyskanej na podstawie przeprowadzonej prezentacji zaimplementowanego systemu dostępu do danych i znajomości zastosowanych w nim rozwiązań.
Uwaga: rozwiązania przedstawione jako wynik pracy nad zadaniem muszą być oryginalne i wykonane samodzielnie, ale mogą opierać się na istniejących rozwiązaniach (np. typu Open Source) o dokładnie wskazanych źródłach ich pochodzenia, natomiast nie mogą być ich kopią.
Zadanie semestralne z przedmiotu „Bezpieczeństwo i ochrona danych” (sem. zimowy 2010-2011)