Введение

Конспект лекций

Модуль 2

Вопросы к экзамену

 

1. Этапы научного формирования проблемы обеспечения информационной безопасности баз данных

2. Критерии качества баз данных

3. Сущность понятия безопасности баз данных

4. Основные подходы к методам построения защищенных информационных систем

5. Архитектура систем управления базами данных

6. Структура, свойства информационной безопасности баз данных

7. Источники угроз информации баз данных

8. Классификация угроз информационной безопасности баз данных

9. Угрозы, специфичные для систем управления базами данных

10. Объекты и субъекты моделей информационной безопасности баз данных

11. Подбор и манипуляция с паролями как метод реализации несанкционированных прав

12. Нецелевое расходование вычислительных ресурсов сервера

13. Использование триггеров для выполнения незапланированных функций

14. Использование SQL-инъекции для нештатного использования процедур и функций

15. Сущность политики безопасности

16. Цель формализации политики безопасности

17. Принципы построения защищенных систем баз данных

18. Стратегия применения средств обеспечения информационной безопасности

19. Методы обеспечения безопасности

20. Избирательное управление доступом

21. Обязательное управление доступом

22. Шифрование данных

23. Контрольный след выполняемых операций

24. Поддержка мер обеспечения безопасности в языке SQL

25. Директивы GRANT и REVOKE

26. Представления и безопасность

27. Условия осуществления несанкционированного доступа к базам данных

28. Каналы несанкционированного доступа к базам данных

29. Методы добычи злоумышленником информации

30. Блокирование персональных баз данных

31. Основной закон о системе защиты государственных секретов

32. Информация в электронно-цифровой форме

33. Закрытый (защищенный или конфиденциальный) электронный документооборот

34. Основополагающие правовые акты, регулирующие систему защиты баз данных

35. Биометрические персональные данные

36. Максимальный срок засекречивания баз данных (без продления)


 

Эффективное управление сложными организационными системами требует использования современных средств автоматизации. Основная цель всякой системы обработки информации — полное и своевременное удовлетворение информационных потребностей пользователей. Успешное решение этой задачи возможно только тогда, когда для каждого контингента пользователей автомати­зированных систем обработки информации создана отвечающая их потребностям среда обработки данных. Одной из важнейших характеристик качества информационной системы — ядра всякой системы автоматизированного управления — является уровень обеспечения ее информационной безопасности. Важность поиска эффективных методов решения проблемы обеспечения информационной безопасности (ИБ) автоматизированных систем информационного обеспечения управления определена в Доктрине информационной безопасности Российской Федерации, утверж­денной Указом Президента Российской Федерации 9 сентября 2000 г.

Основой программных решений, характерных для информа­ционных систем, являются системы управления базами данных, работающие как надстройка над операционной системой, а также специализированные серверы приложений. Средства реализации процессов обработки данных встраивались или интегрировались с СУБД.

Ориентация на использование универсального клиента (браузера) как единого интерфейса доступа к корпоративной информационной инфраструктуре стала общепринятой.

Необходимость и целесообразность интеграции базовых программных технологий обработки данных привела к форми­рованию новых требований по повышению качества, скорости и безопасности программных комплексов, обеспечивающих надежное функционирование программных средств реализации компонент корпоративных информационных систем. Производители про­граммных средств и провайдеры услуг Интернета предприняли

усилия по построению схем прямого выхода на потребителя и непосредственной интеграции корпоративной информации в технологические схемы деятельности предприятия или организации и, в частности, взаимодействия автоматизированных систем с деловыми партнерами.

Вопросы информационной безопасности баз данных целесообразно рассматривать с двух взаимодополняющих позиций:

оценочные стандарты, направленные на классификацию информационных систем и средств их защиты по требованиям безопасности;

технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами анализа нет четко определенной границы. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты автоматизированных информационных систем, играя роль архитектурных специфи­каций. Технические спецификации построения средств защиты определяют, каким образом строить информационную систему конкретной архитектуры.

Первым оценочным стандартом, получившим широкое распро­странение и оказавшим огромное влияние на базу стандартизации подходов к определению уровня информационной безопасности информационных систем вообще, и баз данных в частности, стал стандарт министерства обороны США «Критерии оценки доверенных компьютерных систем».

Интеграция программных средств обработки информации и средств ее доставки приводит к необходимости создания комплексных программных систем обеспечения безопасности автоматизированных информационных систем. Комплексная система обеспечения информационной безопасности должна строиться с учетом средств и методов, характерных для четырех уровней информационной системы:

уровня прикладного программного обеспечения, отвечающего за взаимодействие с пользователем;

уровня системы управления базами данных, обеспечивающего хранение и обработку данных информационной системы;

уровня операционной системы, отвечающего за функционирование СУБД и иного прикладного программного обеспечения;

уровня среды доставки, отвечающего за взаимодействие информационных серверов и потребителей информации.

Система защиты должна эффективно функционировать на всех этих уровнях.

Проблема обеспечения безопасности автоматизированных информационных систем может быть определена как решение трех взаимосвязанных задач по реализации требуемого уровня:

конфиденциальности — обеспечения пользователям доступа только к данным, для которых пользователь имеет явное или неявное разрешение на доступ (синонимы — секретность, защищенность);

целостности — обеспечения защиты от преднамеренного или непреднамеренного изменения информации или процессов ее обработки;

доступности—обеспечения возможности авторизованным в системе пользователям доступа к информации в соответствии с принятой технологией (синоним — готовность).

Методы и средства решения трех отмеченных взаимосвязанных задач характерны для любых автоматизированных информацион­ных систем. В частности, для систем принятия решений задача обеспечения конфиденциальности предусматривает комплекс мер по предотвращению несанкционированного доступа к информации ограниченного пользования. Задача обеспечения целостности предусматривает комплекс мер по предотвращению умышлен­ного или случайного изменения или уничтожения информации, используемой системой принятия решений. Задача обеспечения доступности информации предусматривает систему мер по под­держке всем уполномоченным пользователям доступа к ресурсам системы в соответствии с принятой технологией (например, круглосуточно).

Решение задачи обеспечения конфиденциальности базируется на том, что существует внешний по отношению к системе объект, который определяет, какой взаимодействующий с системой субъект к какой информации должен иметь доступ. Особенностью, характерной для автоматизированных систем, является тот факт, что доступность или недоступность некоторой информации для конкретного субъекта определяется не только решением внешнего по отношению к системе объекта, но и логической непротиворе­чивостью соответствующих требований. То есть содержательное решение о разграничении доступа должно вкладываться в модель разграничения доступа, которая поддерживается системой.

Современный уровень развития распределенной обработки данных характеризуется размещением логически единой ин­формационной базы в сетевой среде, объединяющей различные компьютеры, асинхронной многопользовательской обработкой с развитыми средствами разграничения доступа. При этом реальная сложность организации управления доступом должна быть скрыта от пользователя. Логическое пространство баз данных должно выглядеть для пользователя единым, то есть как если бы вся база располагалась на его локальном компьютере.

Современная СУБД—это совокупность взаимодействующих процессов и совместно используемая область оперативной памяти, обеспечивающая логическое управление данными стандартными языковыми средствами в соответствии с предписанной (настроенной) технологией. Управляемая система баз данных, как правило, является распределенной, то есть физически может быть размещена на нескольких носителях, а возможно, и в нескольких узлах, взаимодействие которых осуществляется по протоколам транспортного уровня. Логически распределенная база данных может представлять единое целое либо являться совокупностью синхронно или асинхронно обновляемых копий.

Анализ информационной безопасности СУБД должен быть проведен по двум направлениям:

безопасность архитектурных решений и их программных реализаций собственно в СУБД;

безопасность взаимодействия с внешними по отношению к СУБД программными и аппаратными компонентами.

Анализ безопасности архитектурных решений и их про­граммных реализаций в СУБД должен включать исследование следующих проблем: идентификация и аутентификация субъектов системы, технологии реализации дискреционной, мандатной и ролевой модели доступа к ресурсам системы, реализация аудита действий пользователей.

В процессе исследования дискреционной модели доступа важно обратить внимание на особенности реализации системных привилегий и привилегий доступа к объекту системы, в частности, механизмы предоставления и отзыва привилегий. Основой системы разграничения доступа в большинстве СУБД промышленного уровня является реализация принципа минимальных привилегий. Суть данного принципа состоит в том, что пользователю должно быть явно разрешено выполнение каждого действия в системе. Другими словами, возможность выполнения какого-либо действия в системе (начиная с регистрации пользователя) по умолчанию должна быть отключена или определена в минимально возможном объеме, определяемом объективными условиями эксплуатации системы.

Важнейший вопрос при проведении исследования реализации мандатной модели управления доступом — технология присваи­вания и изменения меток для объектов и субъектов. Реализация разграничения доступа на уровне кортежей предполагает наличие специального столбца с меткой доступа. Ясно, что технология изменения данных в таком специальном столбце должна отли­чаться от традиционной. В то же время введение специальных языковых средств — это явный отход от стандарта SQL, что для промышленной СУБД маловероятное решение.

Необходимость исследования ролевой модели доступа определяется широким ее распространением в мировой практике обеспечения защищенных технологий обработки баз данных.

Понятие роли вошло составной частью в последний стандарт SQL и стандарт Common Criteria для коммерческого профиля безопасности. Большое число пользователей, статус которых требует различных привилегий для доступа к ресурсам базы данных, создает значительный объем рутинной работы администратору. Роль — это поименованный набор привилегий, который может быть предоставлен пользователю или другой роли; по сути, языковое средство для автоматизации работы администратора по разграничению доступа. Описание привилегий, характерных для той или иной роли, готовится заранее. При регистрации нового пользователя в системе администратор выполняет только предоставление пользователю привилегий конкретной роли. При необходимости изменить привилегии конкретному приложению достаточно изменить только привилегии соответствующей роли. Все пользователи, отображенные на эту роль, автоматически получат измененные привилегии.

Широко используемым, простым и эффективным способом реализации разграничения доступа является использование представлений (view). Представление — это поименованная динамически поддерживаемая сервером выборка из одной или нескольких таблиц. Оператор SELECT, определяющий выборку, ограничивает видимые пользователем данные. Кроме того, пред­ставление позволяет эффективно ограничить данные, которые пользователь может модифицировать. Сервер гарантирует акту­альность представления, то есть формирование представления (материализация соответствующего запроса) производится каждый раз при использовании представления. Используя представления, администратор безопасности ограничивает доступную пользова­телям часть базы данных только теми данными, которые реально необходимы для выполнения его работы.

Специфическим для СУБД средством обеспечения информаци­онной безопасности являются триггеры. Триггеры — это совокуп­ности предложений языка SQL или некоторого иного процедурного языка, автоматически запускаемые сервером при регистрации определенных событий в системе. Триггеры выполняются системой автоматически до или после возникновения предопределенных событий, таких, как выполнения операций INSERT, UPDATE, DELETE в некоторой таблице. Обычно рассматривают два способа использования триггеров для повышения защищенности системы: дополнительный контроль допустимости действий пользователя и ведение специализированного (нестандартного) аудита действий пользователя. Особенностью триггеров является автоматически реализуемая возможность выполнить необходимые проверки полно­мочий перед выполнением операций над таблицами. Дополнительно отметим, что на одном множестве таблиц может быть определено несколько триггеров. Комбинации триггеров, выполняемых до и после операций, позволяют создавать изощренные механизмы проверки допустимости тех или иных действий в базе данных и фиксации (или откате) их результатов. Современные СУБД промышленного уровня поддерживает триггеры, запускаемые для определенных системных событий, в частности: начала и завершения сессии взаимодействия пользователя с системой, запуска и останова экземпляра сервера баз данных, создания и уничтожения объектов и т. п.

Новым направлением для СУБД промышленного уровня является наличие встроенных механизмов шифрования на уровне столбцов таблиц, в основном на базе алгоритмов DES и AES. Представлены встроенные генераторы псевдослучайных после­довательностей и алгоритмы вычисления хеш-функций основных распространенных в США и Европе стандартов. Реализовано явное и неявное управление ключами.

Анализ безопасности взаимодействия с внешними компо­нентами должен включать вопросы сопряжения с элементами операционной системы — анализ управляющих и информационных потоков вниз — и вопросы сопряжения с программным обеспече­нием промежуточного уровня (прослушивающие процессы, HTTP-серверы, мониторы транзакций и т. п.) — анализ управляющих и информационных потоков вверх.

Исследование безопасности СУБД должно включать и изучение инсайдерских рисков: возможностей пользователей СУБД несанкционированно осуществлять чтение и запись в файлы и устройства операционной системы, включая возможность модификации записей аудита, осуществляемых во внешние файлы.

Исследование вопросов сопряжения с программным обес­печением промежуточного уровня должно включать: выявление портов взаимодействия с внешним программным обеспечением и механизмов их активизации и переназначения (внутренние и внешние); устойчивость к перегрузкам каналов шумовым трафиком и вставкам ложных пакетов; возможности внутреннего и внешнего управления активизацией и перенастройкой параметров протоколов ODBC и JDBC; анализ алгоритмов и технологий линейного шифрования трафика межсерверного обмена и взаимодействия клиентского программного обеспечения с серверами баз данных.

Полноценная система обеспечения безопасности должна обладать развитыми средствами аудита, то есть автоматического ведения протоколов действий пользователей системы. В СУБД средство ведения аудита может быть реализовано в виде набора возможностей, управляемых языковыми средствами системы, или независимой утилиты (пакета). Средства аудита выполняют фиксацию информации об активности пользователей системы в словаре данных или в файле операционной системы — журнале аудита. Информация о настройках системы аудита хранится в специальном конфигурационном файле. Файл настройки или параметры команды активизации аудита определяют перечень событий, которые фиксируются системой аудита. Исследование средств аудита должно включать вопросы устойчивости системы аудита к несанкционированному изменению параметров системы и собственно данных аудита, а также избирательность средств аудита, включая возможность оптимизации параметров при заданных (стоимостных) критериях и ограничениях на объем используемых ресурсов системы.