Поделиться через


Общие сведения о безопасности (службы Analysis Services — интеллектуальный анализ данных)

Защита служб Microsoft SQL Server Службы Analysis Services выполняется на нескольких уровнях. Необходимо защитить каждый экземпляр служб Службы Analysis Services и его источники данных, чтобы убедиться, что только авторизованные пользователи имеют разрешения на чтение или на чтение и запись выбранных измерений, моделей интеллектуального анализа данных и источников данных, и предотвратить несанкционированный доступ к конфиденциальным бизнес-данным. Процесс защиты экземпляра служб Службы Analysis Services описывается в следующих разделах.

  1. Архитектура защиты

  2. Настройка учетной записи входа для служб Analysis Services

  3. Защита экземпляра служб Analysis Services

  4. Настройка доступа к службам Analysis Services

  5. Рекомендации по безопасности при выполнении интеллектуального анализа данных

Архитектура защиты

В первую очередь важно понять архитектуру безопасности экземпляра Службы Analysis Services, включая то, как службы Службы Analysis Services используют проверку подлинности Microsoft Windows для проверки подлинности доступа пользователей.

Дополнительные сведения см. в разделах Роли безопасности (службы Analysis Services — многомерные данные),Свойства безопасности, Управление службами Analysis Services в среде SQL Server Management Studio

Настройка учетной записи входа для служб Analysis Services

Необходимо выбрать подходящую учетную запись входа для служб Службы Analysis Services и указать для нее разрешения. Следует убедиться, что учетная запись входа служб Службы Analysis Services обладает только теми разрешениями, которые необходимы для выполнения требуемых задач, включая соответствующие разрешения на доступ к базовым источникам данных.

Набор разрешений для создания и обработки моделей, необходимых при выполнении интеллектуального анализа данных, отличается от набора разрешений, необходимых при просмотре моделей или при выполнении запросов к ним. Выполнение прогнозов с помощью модели является одним из типов запроса и не требует разрешений администратора.

Дополнительные сведения см. в разделеНастройка учетной записи служб Analysis Services

Защита экземпляра служб Analysis Services

Необходимо защитить компьютер служб Службы Analysis Services, ОС Windows на этом компьютере, сами службы Службы Analysis Services и источники данных, которые используются службами Службы Analysis Services.

Дополнительные сведения см. в разделеЗащита экземпляра служб Analysis Services

Настройка доступа к службам Analysis Services

После установки и указания авторизованных пользователей для экземпляра служб Службы Analysis Services необходимо определить, какие пользователи будут иметь дополнительные разрешения на администрирование конкретных объектов базы данных, просмотр определения объектов либо моделей или прямой доступ к источникам данных. 

Дополнительные сведения см. в разделеУправление доступом и удостоверениями (службы Analysis Services — многомерные данные)

Особые соображения при выполнении интеллектуального анализа данных

Чтобы аналитик или разработчик мог создавать и испытывать модели интеллектуального анализа данных, необходимо предоставить ему административные разрешения на базу данных, в которой хранятся эти модели интеллектуального анализа данных. Вследствие этого аналитик интеллектуального анализа данных или разработчик будут иметь возможность создавать либо удалять другие объекты, не связанные с интеллектуальным анализом данных, включая объекты интеллектуального анализа данных, созданные другими аналитиками либо разработчиками и используемые в настоящее время, или объекты OLAP, не включенные в решение интеллектуального анализа данных.

Соответственно, при создании решений для интеллектуального анализа данных необходимо учитывать как потребности аналитиков и разработчиков, которые должны разрабатывать, тестировать и настраивать модели, так и потребности других пользователей и принимать меры по защите существующих объектов баз данных. Одним из решений является создание отдельной базы данных, специально предназначенной для интеллектуального анализа данных, или создание отдельных баз данных для каждого аналитика.

Хотя для создания моделей требуется максимальный уровень разрешений, доступом пользователя к моделям интеллектуального анализа данных для осуществления других операций, таких как обработка, просмотр или выполнение запросов, можно управлять с помощью средств безопасности на основе ролей. При создании ролей следует назначать разрешения, применяемые к объектам интеллектуального анализа данных. Каждый пользователь, являющийся членом той или иной роли, автоматически получает все разрешения, связанные с данной ролью.

Дополнительные сведения см. в разделеПредоставление доступа пользователям

Кроме того, модели интеллектуального анализа данных часто ссылаются на источники данных, содержащие конфиденциальные сведения. Если структура интеллектуального анализа данных и модель интеллектуального анализа данных настроены для предоставления пользователям возможности выполнять детализацию от модели к данным структуры, необходимо принимать меры предосторожности для скрытия конфиденциальных сведений или ограничивать число пользователей, имеющих доступ к базовым данным.

Дополнительные сведения см. в разделеЗащита источников данных, используемых службами Analysis Services

При использовании пакетов служб Integration Services для очистки данных, обновления моделей интеллектуального анализа данных или для прогнозирования необходимо позаботиться о том, чтобы служба Integration Services имела соответствующие разрешения на работу с базой данных, в которой хранится модель, и соответствующие разрешения на работу с данными источника.

Дополнительные сведения см. в разделахОбщие сведения о безопасности (службы Integration Services)