Технологические методы защиты информации
Основные проблемы и способы защиты баз данных
Рассмотрим общие проблемы организации доступа к информации и ее защиты в удаленных базах данных.
Защита баз данных предполагается против любых предумышленных или непредумышленных угроз и заключает в себе различные организационные меры, программные и технические средства.
Понятие защиты применимо не только к информации, хранящейся в базах данных, необходимость защиты информации может возникать и в других частях информационных систем, что, в свою очередь, обусловит защиту и самой базы данных. Следовательно, защита базы данных является комплексной задачей и должна охватывать все коммуникационные системы ЛВС предприятия, включая оборудование, программное обеспечение, персонал и собственно данные.
База данных представляет собой важнейший корпоративный ресурс, который должен быть надлежащим образом защищен с помощью соответствующих средств контроля.
Рассмотрим способы защиты базы данных от следующих потенциальных опасностей:
• похищение и фальсификация данных;
• утрата конфиденциальности (нарушение тайны);
• нарушение неприкосновенности личных данных;
• утрата целостности;
• потеря доступности.
Это основные направления, по которым руководство предприятия должно принимать меры, обеспечивающие снижение степени риска потерь или повреждения данных.
Исходя из сказанного любая угроза, нарушающая функционирование информационной системы, должна рассматриваться как ситуация, направленная на катастрофические результаты работы предприятия.
В табл. 12.1 показаны примеры возможных опасностей для информационных систем.
Проблемы обеспечения безопасности баз данных можно подразделить на две категории: технологическую и организационную. Однако в реальной практике эти категории неразрывны.
Рассмотрим основные факторы, определяющие технологическую безопасность информационных систем.
Технологическая безопасность информационных систем определяется как алгоритмическая и программно-аппаратная, однако для краткости будем использовать термин технологическая безопасность, или безопасность.
Проблемы обеспечения технологической безопасности информационных систем можно свести к следующим аспектам:
• обеспечение непрерывности и корректности функционирования систем, от которых зависит безопасность людей и экологической обстановки;
• обеспечение защиты имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного кодексов (включая защиту секретов и интеллектуальной собственности);
• обеспечение защиты гражданских прав и свобод, гарантированных действующим законодательством (включая право на доступ к информации).
Следует еще раз отметить, что важнейшим назначением любой информации является то, что она служит основой для принятия оптимальных решений практически в любых сферах человеческой деятельности.
Требования по безопасности информационных систем различных предприятий могут существенно отличаться, однако они всегда должны обеспечивать следующие три основные свойства информации:
целостность, т.е. информация, на основе которой принимаются решения, должна быть достоверной и точной, в том числе защищенной от возможных непреднамеренных и злоумышленных искажений;
доступность, т.е. информация и соответствующие службы администрирования данных должны быть доступны и готовы к работе всегда, когда в них возникает необходимость;
конфиденциальность, т.е. конфиденциальная (засекреченная) информация должна быть доступна только тому, кому она предназначена.
Обеспечение защиты информации включает в себя:
• разработку показателей, характеризующих технологическую безопасность информационных систем;
• разработку требований к архитектуре баз данных;
• наличие трудовых и материальных ресурсов;
• разработку организационных мероприятий для исключения влияния внутренних и внешних дестабилизирующих факторов;
• разработку методов и средств, предотвращающих влияние дефектов программ и данных, в том числе разработку компьютерных экспертных систем оценки качества программных продуктов.
Показатели технологической безопасности информационных систем. Наиболее полно безопасность информационной системы характеризует ущерб, возможный при проявлении конкретной угрозы безопасности.
Однако описание и расчет возможного ущерба в достаточно общем виде является сложной задачей. Данная проблема в некотором смысле идентична проблеме оценки эффективности и надежности сложных технических систем, основанных на вероятностных методах.
Понятия характеристика степени безопасности и показатели надежности информационных систем достаточно близки. Различие состоит лишь в том, что показатели надежности учитывают все возникающие отказы при эксплуатации баз данных, а в характеристиках безопасности должны учитываться только отказы, повлиявшие на безопасность системы.
В соответствии с теорией надежности работоспособным называют состояние информационной системы (программных, аппаратных и трудовых ресурсов), при котором она способна выполнять заданные функции.
Показатели надежности баз данных оцениваются по следующим критериям: устойчивость, восстанавливаемость, коэффициент готовности.
Устойчивость (живучесть) — критерий, наиболее широко характеризующий способность информационной системы к безотказной работе при наличии сбоев и отказов программных и аппаратных средств, что обеспечивается:
• эффективным контролем за доступом к данным;
• обеспечением высокой степени конфиденциальности и целостности данных;
• контролем данных, поступающих из внешней среды.
Восстанавливаемость — критерий, определяемый временем и полнотой восстановления функционирования программ после перезапуска в случаях сбоя или отказа.
Коэффициент готовности — критерий, характеризующий степень вероятности восстановления системы в любой произвольный момент времени. Значение коэффициента готовности соответствует доле времени полезной работы системы на достаточно большом интервале, содержащем отказы и восстановления.
Приведенные критерии используются в основном при испытании информационных систем и на завершающих фазах комплексной отладки.
Требование к архитектуре информационных систем. Основное требование сводится к следующему: архитектура должна быть достаточно гибкой и допускать наращивание функций и ресурсов информационной системы без коренных структурных изменений, например за счет развития используемых программных и аппаратных средств.
Для выполнения этого требования необходимо наличие программной и информационной избыточности системы в виде ресурсов внешней и внутренней памяти ЭВМ.
Кроме того, для функционирования средств защиты необходима временная избыточность вычислительных ресурсов, обеспечиваемая высокой производительностью аппаратных средств ЛВС предприятия.
Все виды избыточности вычислительных ресурсов при обеспечении технологической безопасности используются для генерации тестовых наборов или хранения тестов контроля работоспособности и целостности ИС и БД при функционировании ИС, а также для оперативного контроля обнаружения и анализа дефектов исполнения программ.
Средства генерации тестов предназначены для подготовки исходных данных при проверке различных режимов функционирования информационной системы. Минимальный состав средств имитации может передаваться пользователям для контроля рабочих версий ИС в реальном времени и входить в комплект поставки каждой пользовательской версии. Для более глубоких испытаний версий и локализации ошибок целесообразно создавать комплексы средств имитации внешней среды высшего уровня, используемые специалистами по испытаниям и сертификации. Часть этих средств может применяться также в качестве средств имитации среды нижнего уровня (пользовательских) для обеспечения полного повторения ситуаций, при которых обнаружены аномалии функционирования И С.
Средства генерации, упорядочения и каталогизации тестовых наборов должны обеспечивать возможность многократного использования тестов в течение жизненного цикла информационной системы. Для эффективного использования тестов необходима система управления базой данных, обеспечивающая их накопление и хранение с тщательно продуманной идентификацией и каталогизацией. Система каталогизации должна обеспечивать достаточно простой и надежный поиск имеющихся тестов, а также достоверное выявление тестов, отсутствующих среди сохраняемых.
Средства оперативного (встроенного) контроля процесса исполнения программ должны непрерывно контролировать промежуточные и результирующие данные или включаться только по запросу при обнаружении сомнительных результатов. Они также должны обеспечивать получение информации о состоянии переменных в процессе решения конкретных задач и маршрутах исполнения программ, в которых нарушаются некоторые заданные условия. Создаваемые для эксплуатации методики и инструкции позволяют пользователям достаточно квалифицированно осуществлять диагностику состояния информационной системы. В настоящее время предприятия все чаще прибегают к созданию компьютерных экспертных систем.
Методы обеспечения технологической безопасности информационных систем.В табл. 12.1 были приведены возможные опасности для информационных систем. Рассмотрим основные уязвимые объекты для неумышленных угроз. Такими объектами являются:
• динамический вычислительный процесс обработки данных, автоматизированной подготовки решений и выработки управляющих воздействий;
• информация, накопленная в базах данных;
• объектный код программ, исполняемых вычислительными средствами в процессе функционирования ИС;
• информация, выдаваемая потребителям и на исполнительные механизмы.
Возможные непредумышленные дестабилизирующие факторы можно подразделить на внешние и внутренние. Внутренние источники угроз безопасности ИС:
• системные ошибки при разработке технического задания на разработку удаленных баз данных;
• алгоритмические ошибки проектирования и эксплуатации баз данных;
• ошибки программирования;
• недостаточная эффективность используемых методов и средств оперативной защиты программ и данных;
Внешние источники угроз безопасности ИС:
• ошибки оперативного и обслуживающего персонала в процессе эксплуатации баз данных;
• искажения в каналах телекоммуникации информации, поступающей от внешних источников и передаваемой потребителям, а также недопустимые изменения характеристик потоков информации;
• сбои и отказы аппаратуры;
• выход изменений состава и конфигурации ИС за пределы, проверенные при испытаниях или сертификации.
Полное устранение перечисленных угроз безопасности ИС принципиально невозможно. Следовательно, необходимо выявлять факторы, определяющие эти угрозы, и создавать методы и средства, уменьшающие их влияние на безопасность баз данных.
Современные технологии разработки удаленных баз данных определяют следующие методы и средства, позволяющие с максимальным эффектом обеспечить технологическую безопасность ИС:
• разработка баз данных в полном соответствии с методологией их проектирования (см. гл. 2, 7);
• систематическое тестирование программ управления базами данных на всех этапах жизненного цикла;
• применение экспертных систем в процессе сертификации СУБД и сдачи их в эксплуатацию;
• применение программно-аппаратных методов защиты информации в критических ситуациях;
• физическое уничтожение информации в критических ситуациях.
Комплексное скоординированное применение указанных методов и средств позволяет исключить возможные угрозы безопасности ИС или значительно ослабить их влияние.
Далее рассмотрим несколько подробнее программно-аппаратные методы защиты информации и методы ее физического уничтожения в критических ситуациях.
К программно-аппаратным методам защиты информации в базах данных относятся авторизация пользователей, применение представлений, резервное копирование и восстановление, шифрование и создание массивов независимых дисковых накопителей.
Авторизация пользователей
Авторизация пользователей — это представление прав (привилегий), позволяющих их владельцу иметь законный доступ к информации в базах данных или к системе управления базами данных, или к отдельным ее объектам.
В данном определении термин владелец означает физическое лицо или программу, а термин объект — любой компонент СУБД, который может быть создан в рамках конкретной системы (таблица базы данных, представление, приложение, триггер и т.п.).
Программы, обеспечивающие авторизацию пользователей, называют средствами управления доступом.
Процесс авторизации подразумевает необходимость аутентификации пользователя и предоставления ему привилегий и прав владения.
Аутентификация. Способ определения того, что пользователь является тем, за кого себя выдает, называется аутентификацией.
За предоставление доступа к компьютерной системе обычно отвечает системный администратор, в обязанности которого входит создание учетных записей пользователей.
Каждому пользователю присваивается уникальный идентификатор, используемый операционной системой для определения «кто есть кто». С каждым идентификатором связан определенный пароль, выбираемый пользователем и известный операционной системе.
При регистрации пользователь должен предоставлять системе свой пароль для выполнения аутентификации, т.е. определения, является ли он тем, за кого себя выдает.
Подобная процедура позволяет организовать контролируемый доступ к компьютерной системе, но не обязательно предоставляет право доступа к СУБД или какой-либо прикладной программе.
Для получения пользователем права доступа к СУБД может применяться отдельная процедура.
Ответственность за предоставление прав доступа к СУБД обычно несет администратор базы данных, в обязанности которого входит создание отдельных идентификаторов пользователей для работы с конкретной базой данных.
В одних СУБД ведется список идентификаторов пользователей и связанных с ними паролей, отличающийся от аналогичного списка, поддерживаемого операционной системой, а в других — ведется список, записи которого сверяются с записями списка пользователей операционной системы с учетом текущего регистрационного идентификатора пользователя. Это предотвращает возможность регистрации пол' ювателя в среде СУБД под идентификатором, отличным от того, который он использовал при регистрации в системе.
Привилегии. Как только пользователь получает право доступа к СУБД, ему автоматически предоставляются различные привилегии, связанные с его идентификатором.
В частности, привилегии могут включать в себя разрешение на доступ к определенным базам данных, таблицам, представлениям и индексам, а также разрешение на создание этих объектов или же право вызывать на выполнение различные утилиты СУБД.
Привилегии предоставляются пользователям лишь для того, чтобы они могли выполнять задачи, которые входят в круг их непосредственных должностных обязанностей. Предоставление излишних привилегий может привести к нарушению защищенности баз данных.
Некоторые типы СУБД функционируют как закрытые системы, и их пользователям помимо разрешения на доступ к самой СУБД требуется иметь отдельные разрешения на доступ к конкретным ее объектам. Эти разрешения выдаются администратором базы данных с разрешения владельцев соответствующих объектов системы.
В' отличие от закрытых открытые системы по умолчанию предоставляют пользователям, прошедшим аутентификацию, полный доступ ко всем объектам базы данных.
Стандарт ISO/EC9075:2003 определяет следующий набор привилегий языка SQL:
SELECT — право выбирать данные из таблицы;
INSERT — право вставлять в таблицу новые строки;
UPDATE — право изменять данные в таблице;
DELETE — право удалять строки из таблицы;
REFERENCES — право ссылаться на столбцы указанной таблицы в описании требований поддержки целостности данных.
Привилегии INSERT и UPDATE могут ограничиваться отдельными столбцами таблицы и в этом случае пользователь может модифицировать значения только указанных столбцов.
Привилегия REFERENCES также может распространяться только на отдельные столбцы таблицы, что позволит использовать их имена в формулировках требований защиты целостности данных (например, в конструкциях CHECK FOREIGN REY), входящих в определения других таблиц, тогда как применение для подобных целей остальных столбцов будет запрещено.
Когда пользователь с помощью оператора CREATE TABLE создает новую таблицу, он автоматически становится ее владельцем и получает по отношению к ней полный набор привилегий.
Остальные же пользователи сначала не имеют никаких привилегий в отношении вновь созданной таблицы и для обеспечения им доступа к этой таблице используется оператор GRANT.
Если пользователь создает представление с помощью оператора CREATE VIEW, он автоматически становится владельцем этого представления, однако совсем необязательно, что получает по отношению к нему полный набор прав.
При создании представления пользователю достаточно иметь привилегию SELECT для всех входящих в данное представление таблиц и привилегию REFERENCES для всех столбцов, упоминаемых в определении этого представления.
Привилегии INSERT, UPDATE, DELETE в отношении созданного представления пользователь получит только в том случае, если он имеет соответствующие привилегии в отношении всех используемых в представлении таблиц.
Предоставление привилегий другим пользователям. Оператор GRANT используется для предоставления привилегий определенным пользователям в отношении поименованных объектов базы данных с разрешения ее владельца.
Оператор GRANT имеет следующий формат:
Параметр PrivilegeList представляет собой список, состоящий из одной или более привилегий, разделенных запятыми:
Кроме того, для упрощения в операторе GRANT можно указать ключевое слово ALL PRIVILEGES, что позволит предоставить указанному пользователю все шесть существующих привилегий без необходимости их перечисления.
В этом операторе можно также указать ключевое слово PUBLIC, означающее предоставление доступа указанного типа не только всем существующим пользователям, но и всем тем пользователям, которые будут определены в базе данных впоследствии.
Параметр ObjectName может представлять собой имя таблицы базы данных, представления, домена, набора символов, проверки или транзакции.
Конструкция WITH GRANT OPTION позволяет всем пользователям, указанным в списке параметра AutohrizationldList, передавать другим пользователям все предоставленные им в отношении указанного объекта привилегии. Если эти пользователи, в свою очередь, передадут собственные полномочия другим пользователям с указанием конструкции WITH GRANT OPTION, то последние также получат право передавать свои полномочия. Если же эта конструкция не будет указана, получатель привилегии не сможет передавать свои права другим пользователям. Таким образом, владелец объекта может четко контролировать, кто получил право доступа к принадлежащему ему объекту и какие полномочия предоставлены этому лицу.
Приведем пример предоставления пользователю с идентификатором Administrator всех привилегий доступа к таблице МК (Маршрутная карта):
В результате выполнения этого примера пользователь с идентификатором Administrator получает право выбирать данные из таблицы МК, а также вставлять, обновлять или удалять из нее строки. Кроме того, пользователь Administrator может ссылаться на таблицу МК и все ее столбцы в любой таблице, создаваемой им впоследствии. Так как в данном примере присутствует конструкция WITH GRANT OPTION, пользователь Administrator сможет передавать полученные им привилегии по своему усмотрению другим пользователям.
Приведем пример предоставления пользователям с идентификаторами Texnolog и Konstruktor только привилегий SELECT и UPDATE на столбец NaimOper таблицы МК (Маршрутная карта):
Поскольку в последнем примере отсутствует конструкция WITH GRANT OPTION, указанные пользователи не смогут передать полученные привилегии другим пользователям.
Для отмены предоставленных пользователям привилегий используют оператор REVOKE, который имеет следующий формат:
Здесь ключевые слова ALL PRIVILEGES означают, что для указанного пользователя отменяются все привилегии, предоставленные ему ранее тем пользователем, который ввел данный оператор. Необязательная конструкция GRANT OPTION FOR позволяет для всех привилегий, переданных в исходном операторе GRANT конструкции WITH GRANT OPTION, отменять возможность их передачи. Назначение ключевых слов RESTRICT и CASCADE аналогично назначению, которое они имеют в операторе DROP TABLE (см. гл. 8).
Применение представлений.Технология создания пользовательских представлений рассматривалась в гл. 8, здесь же приведем аспекты данного объекта баз данных с позиции защиты информации. Напомним, что представление является как бы виртуальным отношением (динамической таблицей) базы данных, которое создается в результате запроса пользователя и доступно только самому пользователю. Механизм представлений служит достаточно эффективным средством защиты баз данных от несанкционированного доступа, поскольку он доступен только автору представления.