Постановка задачи обеспечения информационной безопасности баз данных


1.1. Этапы научного формирования проблемы обеспечения информационной безопасности баз данных

Первоначально проблема обеспечения безопасности данных возникла при расширении круга пользователей ЭВМ и вычислитель­ных систем. Увеличение количества ЭВМ и областей их применения расширило возможности модификации, хищения и уничтожения данных. Появление автоматизированных информационных систем (АИС) еще более усугубило проблему обеспечения безопасности данных. Можно выделить следующие этапы развития концепций обеспечения безопасности данных.

Центральной идеей первого этапа являлось намерение обеспе­чить безопасность данных механизмами, функционирующими по строго формальным алгоритмам. Для создания таких механизмов использовались технические и, в основном, программные средства. Программные средства защиты включались в состав операционных систем и систем управления базами данных. Слабым звеном разработанных механизмов защиты была технология разграни­чения доступа пользователей к данным. Поэтому следующим шагом к повышению эффективности защиты стала организация дифференцированного доступа к данным. Однако всесторонние испытания таких систем, как MULTICS и ADEPT-50, показали, что указанные системы, с точки зрения обеспечения безопасности данных, имеют множество недостатков. По мере усложнения программных систем, увеличения числа пользователей АИС и стало ясно, что необходима разработка идей защиты данных на более высоком уровне абстракции.

Главным достоинством второго этапа стала разработка концепции и реализации специального программного компонента, управляющего программными и, частично, аппаратными средствами защиты данных — ядра безопасности. В составе операционных систем ядро безопасности реализовывалось как функционально самостоятельная подсистема управления механизмами защиты данных, которая включала технические, программные, и лингвис­тические средства. Этот этап также характеризовался интенсивным развитием технических и криптографических средств защиты.

Концепции и технологии защиты данных в СУБД в основном состояли из модификаций соответствующих разработок для операционных систем. По мере развития теории моделей данных и языка SQL стало ясно, что проблема обеспечения безопасности баз данных имеет свою специфику, в первую очередь в области информационного и лингвистического обеспечения. По мере осознания роли собственника информации совершенствовалась технология механизмов защиты, которыми могли бы управлять пользователи АИС. Однако, несмотря на принимаемые меры, обеспечение эффективной защиты данных оказалось недостижимым, о чем свидетельствовали многочисленные факты нарушения безопасности данных.

Накопление и осмысление как успешного, так и негативного опыта в сфере инцидентов в области автоматизированной обработки информации составили основное содержание третьего этапа развития проблемы. Проблема обеспечения информационной безопасности трансформировалась от описательного до научного уровня осмысления. Основной отличительной особенностью третьего этапа стало применение принципа системности. Принцип системности требует, чтобы обеспечение безопасности данных представляло собой регулярный процесс, осуществляемый на всех этапах жизненного цикла АИС при комплексном использовании всех средств и механизмов защиты. При этом все средства и механизмы, используемые для защиты данных, объединяются в систему обеспечения безопасности данных, которая должна обеспечивать многоуровневую защиту данных не только от злоумышленников, но и от обслуживающего персонала АИС, а также случайных ошибок пользователей.

Начало этим процессам было положено исследованиями воп­росов защиты компьютерной информации, проведенными в конце 70-х—начале 80-х гг. Национальным центром компьютерной безопасности (NCSC —National Computer Security Center) министерства обороны США. Результатом этих исследований явилась публикация министерством обороны США в 1983 г. документа под названием « Критерии оценки надежных компьютерных систем», впоследствии по цвету обложки получившего название «Оранжевая книга». Этот документ стал фактически первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы сертификации компьютерных систем по критериям защиты информации.

Подходы к построению и анализу защищенных систем, пред­ставленные в «Оранжевой книге», послужили методологической и методической базой для дальнейших исследований в этой сфере. В 1991 г. NCSC был опубликован документ— Интерпретация «Критериев оценки надежных компьютерных систем» в применении к понятию надежной системы управления базой данных. Этот документ, конкретизирующий и развивающий положения «Оранжевой книги» для решения задачи создания и оценки защищенных СУБД, известен также как «Розовая книга».

В конце 80-х-начале 90-х гг. аналогичные исследования по проблемам компьютерной безопасности были проведены во многих странах и созданы соответствующие национальные стандарты в этой сфере. В России Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией) были разработаны и в 1992 г. опубликованы «Руководящие документы по защите от несанкционированного доступа к информации», определяющие требования, методику и стандарты построения защищенных средств вычислительной техники и автоматизированных систем.

Во всех перечисленных выше документах уровень безопасности средств вычислительной техники или программного обеспечения характеризуется принадлежностью к одному из иерархически упорядоченных классов. Иерархическая упорядоченность классов защищенности подразумевает, что если наличие некоторого средства защиты от несанкционированного доступа требуется для вычислительной техники или программного обеспечения определенного класса, то это же средство потребуется и для средства вычислительной техники более высокого класса.

Существо требований к оцениваемой системе может только усиливаться при переходе к более высоким классам защищенности. Например, «Руководящие документы по защите от несанкци­онированного доступа к информации» определяют, что самый низкий класс — седьмой, самый высокий — первый. Наличие некоторых средств защиты от несанкционированного доступа может требоваться только для некоторого множества высоких классов защищенности. Наличие или отсутствие конкретного средства защиты от несанкционированного доступа к данным является показателем защищенности средства вычислительной техники. Всего в руководящих документах сформулирован 21 показатель.

Подобным образом построена система оценки защищенности автоматизированных информационных систем. По защищенности процессов обработки информации все автоматизированные системы делятся на три группы.

Третья группа включает в себя автоматизированные системы, в которых работает один пользователь. Предполагается, что он допущен до всей информации, и информация размещена на носителях одного уровня конфиденциальности. Вторая и первая группы включают многопользовательские системы, в которых информация обрабатывается и хранится на носителях различного уровня конфиденциальности. Если пользователь имеет одинаковые права доступа ко всей обрабатываемой и хранимой информации, то автоматизированная система относится ко второй группе. В тех же случаях, когда не все пользователи имеют права доступа ко всей информации, система относится к первой группе.

Все автоматизированные системы по степени защищенности от несанкционированного доступа подразделяются на девять классов. Внутри каждой группы соблюдается иерархия классов

по требованиям к защите, с усилением требований в порядке перечисления классов.

Комплекс программно-технических средств и организационных мер по защите информации от несанкционированного доступа реализуется системой защиты информации. Система защиты информации должна быть рассмотрена как состоящая из четырех подсистем:

— подсистемы управления доступом;

— подсистемы регистрации и учета;

— криптографической подсистемы;

— подсистемы обеспечения целостности.

Процесс аттестации конкретной автоматизированной информационной системы состоит в проведении экспертизы с целью отнесения системы к определенному классу. Процесс экспертизы состоит из формальной проверки наличия свойств, перечень которых определен в соответствующем руководящем документе (стандарте).

Накопленный опыт в области обеспечения информационной безопасности, развитие теории информационной безопасности стали объективной основой стандартизации в данной сфере. Стандартизация характеризует определенный уровень зрелости области человеческой деятельности. Разработка и внедрение стандартов в области информационной безопасности характеризует следующий, четвертый этап развития. На этом этапе ставится ч решается задача управления обеспечением информационной безопасности конкретного объекта, в частности, баз данных. Целью управления является обеспечение требуемого уровня защищенности информационных активов от объективно существующих угроз. Требуемый уровень защищенности определяется как разумный баланс между потенциальным ущербом, связанным с реализациями существующих угроз, и затратами на обеспечение процесса управления.

В 1990 г. представителями государственных организаций США, Канады, Великобритании и ряда других стран были развернуты работы по созданию международного стандарта в области оценки безопасности информационных технологий. Работа по созданию нового стандарта координировалась Международной организации по стандартизации (ISO) и была направлена в первую очередь на унификацию (гармонизацию) национальных стандартов в области оценки безопасности и повышение уровня доверия к оценке безопасности информационных технологий.

Официальный текст международного стандарта ISO/IEC 15408 был издан 1 декабря 1999 г. Принятие этого стандарта, известного также как «Общие критерии», отразило изменения, происходящие в идеологии подхода к построению безопасных информационных технологий, в частности, защищенных информационных систем и их программного ядра — СУБД. В отличие от «Оранжевой книги» и руководящих документов Гостехкомиссии в новом стан­дарте отсутствует фиксированный набор классов защищенности. Основная идея «Общих критериев» состоит в разделении всех требований безопасности на две категории: функциональные, обеспечивающие безопасность информационных технологий, и требования гарантии оценки, оценивающие правильности и эффективность реализации функциональных требований.

В 2002 г. на основе аутентичного текста ISO/IEC 15408 был принят российский стандарт ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

Близкий подход к анализу защищенности ИС был предложен в британском стандарте BS 7799 «Практические правила управления информационной безопасностью», принятом в 1995 г. Содержательное существо стандарта состоит в обобщении опыта обеспечения информационной безопасности ПС различного назначения. Стандарт BS 7799 послужил основой для разработки стандарта ISO 17799, который был принят в конце 2000 г.

Базис стандарта состоит в определении и оценке уязвимых мест в анализируемой информационной системе, оценке уровня существующих угроз и определения комплекса мер, позволяющего снизить риски до приемлемого для организации уровня. Выбор комплекса осуществляется на основе стоимостного анализа потенциальных потерь, связанных с реализацией конкретных угроз.

Стандарт содержит практические правила обеспечения безопасности ИС для всех этапов жизненного цикла системы. Правила интегрированы в комплексный метод и основаны на проверенных практикой приемах и технологиях. Например, стандарт предписывает использовать определенные средства идентификации и аутентификации пользователей (или процессов), средства резервного копирования, антивирусный контроль и т.д.

Соблюдение предписанных технологий обеспечения информационной безопасности гарантирует некоторый базовый уровень безопасности ИС. В случае повышенных требований к безопасности ИС производится оценка ценности ресурсов, характеристик информационных рисков и уязвимости системы, на основе которых осуществляется выбор системы защиты информационных ресурсов.

1.2. Критерии качества баз данных

Современные базы данных являются одними из массовых специфических объектов в сфере информатизации, для которых в ряде областей необходимо особенно высокое качество и квали­фицированное системное проектирование.

При выполнении анализа безопасности систем баз данных целесообразно рассматривать два компонента: систему программ управления данными и совокупность данных, упорядоченных по некоторым правилам. Поэтому и при анализе качества системы баз данных выделяют два основных компонента:

— программные средства системы управления базой данных (СУБД), независимые от сферы их применения, структуры и смыслового содержания накапливаемых и обрабатываемых данных;

— информацию базы данных, доступную для накопления, упорядочивания, обработки и использования в конкретной проблемно-ориентированной сфере применения.

Первым компонентом для системного анализа и требований к качеству является комплекс программ СУБД. Практически весь набор характеристик и атрибутов качества программных систем, изложенный в стандарте ISO 9126, в той или иной степени может использоваться при формировании требований к качеству СУБД. Особенности состоят в адаптации и изменении акцентов при выборе и упорядочении этих показателей. Во всех случаях важнейшими характеристиками качества СУБД являются требования к функциональной пригодности для процессов формирования и изменения информационного наполнения БД администраторами, а также доступа к данным и представления результатов пользователям БД. Качество интерфейса специалистов с БД, обеспечиваемого средствами СУБД, определяется, в значительной степени, субъективно, однако имеется ряд характеристик, которые можно оценивать достаточно корректно.

В зависимости от конкретной проблемно-ориентированной области применения СУБД, приоритет при системном анализе требований к качеству может отдаваться различным конструктивным характеристикам: либо надежности и защищенности применения (финансовая сфера), либо удобству использования малоквалифицированными пользователями (социальная сфера), либо эффективности использования ресурсов (сфера материально-технического снабжения). Однако практически во всех случаях сохраняется некоторая роль ряда других конструктивных показа­телей качества. Для каждого из них необходимо анализировать и определять его приоритет для конкретной сферы применения, меры и шкалы необходимых и допустимых характеристик качества.

Вторым компонентом БД является собственно накапли­ваемая и обрабатываемая информация. В системах баз данных доминирующее значение приобретают сами данные, их хранение и технология обработки.

Применяемые требования и показатели качества должны быть практически значимы для обладателей информационных ресурсов и пользователей. Кроме того, каждый выделяемый показатель качества систем баз данных должен быть пригоден для достаточно достоверного оценивания или измерения, а также для сравнения с требуемым значением, определенным в техническом задании на проектирование системы.

Характеристики качества систем баз данных можно разделить на функциональные и конструктивные.

Функциональная пригодность баз данных при проектировании определяется на основании требований реальным значениям необходимых показателей и критериев качества. Особенно сложной эта задача является для больших и, как правило, распределенных баз данных, связанных с обработкой разнообразной и многоаспект­ной информацией об анализируемых объектах. Мерой качества функциональной пригодности может быть степень соответствия доступной пользователям информации целям создания, назначения и функциям системы баз данных. Функциональная пригодность систем баз данных также отражается следующими характеристиками:

— полнотой накопленных описаний объектов — относительным числом объектов или документов, имеющихся в БД, к общему числу объектов по данной тематике или по отношению к числу объектов в аналогичных БД того же назначения;

— идентичностью данных — относительным числом описаний объектов, не содержащих дефекты и ошибки, к общему числу документов об объектах в систем баз данных;

— актуальностью данных — относительным числом устаревших данных об объектах в ИБД к общему числу накопленных и обрабатываемых данных.

К конструктивным характеристикам качества информации систем баз данных в целом можно отнести практически все показатели качества программных систем, представленных в стандарте ISO 9126.

Требования к информации баз данных также должны со­держать особенности обеспечения ее надежности, актуальности (достоверности), эффективности использования вычислительных ресурсов и приемлемого уровня сопровождения. Содержание и сущность этих конструктивных характеристик как базовых понятий и характеристик качества целесообразно использовать при проектировании информационных систем. Меры и шкалы для оценивания конструктивных характеристик в значительной степени могут применяться те же, что при анализе качества программных средств.

Особо выделяются характеристики достоверности данных и защищенности информации.

Актуальность (достоверность) данных — это степень соответствия информации об объектах в системе баз данных моделируемым реальным объектам в данный момент времени. Причинами нарушения актуальности данных являются изменения самих объектов, которые могут несвоевременно или некорректно отображаться в их образах в базах данных. При проектировании выбор и установление требований к актуальности баз данных можно оценивать по степени покрытия актуальными и достоверными данными состояния и изменения внешних объектов, которые они отражают.

Важными показателями качества баз данных также являются объемно-временные характеристики обрабатываемых данных:

— объем базы данных — относительное число записей описаний объектов или документов в базе данных, доступных для хранения и обработки, по сравнению с полным числом реальных объектов во внешней среде;

— оперативность — степень соответствия динамики изменения описаний данных в процессе сбора и обработки состояниям реальных объектов или величина допустимого запаздывания между появлением или изменением характеристик реального объекта относительно его отражения в базе данных;

— глубина ретроспективы — максимальный интервал времени от даты выпуска и/или записи в базу данных самого раннего документа до настоящего времени;

— динамичность — относительное число изменяемых описаний объектов к общему числу записей в БД за некоторый интервал времени, определяемый периодичностью издания версий БД.

Отдельно отметим такую характеристику как защищенность информации БД, которая реализуется, в основном, программными средствами СУБД, однако в сочетании с поддерживающими их средствами организации и защиты данных. Цели, назначение и функции защиты тесно связаны с особенностями функциональной пригодности каждой ИБД. При системном проектировании свойства защищать информацию баз данных от негативных воздействий описываются обычно составом и номенклатурой методов и средств, используемых для защиты от внешних и внутренних угроз. Косвенным показателем ее качества может служить относительная доля вычислительных ресурсов, используемых непосредственно средствами защиты информации БД.

Основное внимание в практике обеспечения безопасности применения БД сосредоточено на защите от злоумышленных разрушений, искажений и хищений информации баз данных. Основой такой защиты является аудит доступа, а также контроль организации и эффективности ограничений доступа. В реальных системах баз данных должны учитываться последствия реализации угроз, источниками которых являются случайные, непредсказу­емые, дестабилизирующие факторы или дефекты и отсутствуют 11епосредственно заинтересованные лица в подобных нарушениях. Качество защиты систем баз можно характеризовать величиной потенциального ущерба, риск возникновения которого при про­явлении дестабилизирующих факторов и реализации конкретных угроз безопасности удается предотвратить или понизить. Также возможной характеристикой качества может выступать среднее время между возможными проявлениями угроз, преодолевающих защиту данных.

1.3. Сущность понятия безопасности баз данных

Понятие безопасности системы вообще, и экономической системы в частности, интуитивно достаточно ясно. Проблемы с обеспечением безопасности некоторого бизнес-процесса, конк­ретного объекта или человека возникают регулярно и решаются, по крайней мере, на уровне здравого смысла.

В то же время достаточно четко сформулировать понятие безопасности некоторой системы не просто. Ставить же задачу обеспечения безопасности функционирования какой-либо системы, не определив само понятие безопасности, неправильно, так как отсутствие ясного понимания цели проекта обычно ведет к нерациональному использованию ресурсов и, возможно, к срыву всего проекта. Поэтому на государственном уровне сформулированы и законодательно оформлены документы, определяющие концепцию национальной безопасности и концепцию экономической безопасности России.

В этих документах, а также во многих научных работах понятие безопасности связывается с защитой некоторых активов от угроз. Угрозы классифицируются в зависимости от возможности нанесения ущерба защищаемым активам. В качестве основных обычно рассматриваются угрозы, которые связаны с умышленными действиями или непреднамеренными действиями людей. Помимо угроз, связанных с деятельностью человека, существуют и рассматриваются угрозы, связанные с объективными процессами, происходящими в природе, такими, как стихийные бедствия, физические процессы, влияющие на распространение радиоволн, и т. п.

Безопасность ИС можно определить как состояние защищенности ИС от угроз ее нормальному функционированию. Под защищенностью понимается наличие средств ИС и методов их применения, обеспечивающих снижение или ликвидацию негативных последствий, связанных с реализацией угроз. Изложенный подход к определению понятия безопасность ИС предполагает, что перечень и содержание угроз достаточно хорошо определены и достаточно стабильны во времени.

Некоторые сферы экономической деятельности, например электронный бизнес, характеризуются высокой динамикой. Достаточно часто обновляется программное обеспечение, в том числе и программное обеспечение ИС, идет непрерывный поиск и внедрение новых аппаратных средств и методов взаимодействия с бизнес-партнерами и конечными пользователями, например, платежные системы ориентированы на мобильные коммуникаторы. В этом случае возможен несколько иной подход к определению безопасности.

Безопасность ИС можно определить как свойство системы адаптироваться к агрессивным проявлениям среды, в которой функционирует система, обеспечивающее поддержку на эконо­мически оправданном уровне характеристики качества системы. В сформулированном определении основной акцент делается не на перечне и содержании угроз, нейтрализация которых обеспечивается, а на особую характеристику качества системы. При этом основной критерий качества ИС является экономическим, т. е. оценка средств и методов обеспечения безопасности осуществляется на основе учета затрат на реализацию механизмов безопасности и потенциальных выгод от недопущения ущерба, связанного с целенаправленным или случайным агрессивным проявлением среды.

Уверенность в безопасности ИС может быть достигнута в результате согласованных действий, предпринимаемых в процессе разработки, оценки и эксплуатации объекта оценки. Функциональное назначение оценки безопасности ИС — получение определенной степени уверенности в том, насколько система удовлетворяет предъявляемым к ним требованиям. Результаты оценки должны помочь потребителю установить, достаточен ли уровень безопасности системы для предполагаемых применений этой системы и являются ли приемлемыми остаточные риски.

1.4. Основные подходы к методам построения защищенных информационных систем

Разработка теории построения защищенных систем обработки информации в отечественной науке в первую очередь связана с разработкой моделей строгого обоснования надежности систем обеспечения безопасности информации. Данные формальные модели создают методологический фундамент, на котором стро­ится оценка эффективности защиты любой автоматизированной системы.

В настоящее время сложились и наиболее широко реализуются два подхода:

— разработка и применение строгих математических моделей, позволяющих аналитически или на ЭВМ получить надлежащие оценки;

— критериальный подход к оценке надежности автоматизированных систем на всех этапах жизненного цикла.

Каждый из этих подходов имеет свои преимущества и недостатки, свою методологию и особенности реализации. Однако данные подходы не исключают, а дополняют друг друга.

На каждом из упомянутых подходов в течение последних 15-20 лет получено много интересных и важных для практической деятельности по построению информационных систем результатов. Однако на настоящее время имеющиеся теоретические достижения не позволяют с надлежащим уровнем точности дать оценки надежности методической и инструментальной базы обеспечения безопасности информации практически значимых автоматизированных систем.

Поэтому к категории важных следует отнести задачи, связанные с разработкой строгих математических моделей, описывающих механизмы реализации политики безопасности. Логическим продолжением этой деятельности является создание строгой доказательной базы для получения аналитических оценок на­дежности реализации необходимых политик безопасности с

помощью инструментальных средств построения защищенных автоматизированных систем.

Не меньшую значимость имеет задача развития критериального подхода к оценке надежности автоматизированных систем на всех этапах жизненного цикла. Действующие на сегодня в России руководящие документы Гостехкомиссии при Президенте РФ по вопросам защиты информации в автоматизированных системах выпущены в 1991 г. /7, 8/. Они во многом устарели и не соответствуют современному уровню доказательной базы надеж­ности инструментальных средств, основанной на критериальном подходе. С другой стороны, реализация более перспективных в этом отношении «Общих критериев» (ISO-15408) в России сопряжена с целым рядом проблем и трудностей не только законодательного и административного уровней их реализации, но и во многом — программно-технического.

Проблема разработки и реализации моделей разграничения доступа, адекватных потребностям современных распределенных автоматизированных систем, — одна из самых насущных и сложных в общем комплексе проблем информационной безопасности. Уровень ее проработки в значительной степени определяет защищенность информационной инфраструктуры государства и, в частности, критически важных элементов инфраструктуры. Управление доступом принято считать одним из основных сервисов программно-технического уровня систем обработки информации. Этот сервис осуществляется соответствующими средствами на трех основных уровнях:

— ядро операционной системы;

— сервер баз данных;

— сервер приложений или прикладная система.

При использовании данного подхода к построению защищенных систем ключевую роль в системе аппаратно-программных сервисов защиты автоматизированных систем играет монитор безопасности. Основная функция монитора — реализация разграничения доступа различных субъектов системы (пользователи, процессы и т. п.) к объектам системы (файлы, устройства, процессы, сегменты разделяемой памяти и т. д.) в соответствии с принятой политикой безопасности. Основные механизмы разграничения доступа реализуются в ядре защищенной операционной системы или сервера баз данных.

Модели математически строгого описания правил разграничения доступа реализуются, как правило, на основе подхода «Субъект-объект». К таким наиболее часто употребляемым и реализуемым в операционных и автоматизированных информационных системах относятся дискреционная и мандатная модели. Широко распространено мнение, что за счет их развития, разумной комбинации, использования гибких схем и более тонких механизмов разграничения доступа удается получить достаточно хорошие результаты при приемлемых затратах на всех этапах жизненного цикла систем.

Традиционные подходы в совершенствовании уже существующих и разработке новых моделей разграничения доступа связаны с их описанием на основе отношений «субъект-объект». В последние годы, с активным внедрением в практику объектно-ориентированного программирования, появились вполне обоснованные (и адекватные потребностям) подходы к описанию моделей разграничения доступа на основе новых методов. Разработка формальных моделей на новых подходах, их реализация для конкретных информационных систем, функциональных или структурных сервисов представляется важной и перспективной задачей.

Есть два принципиально отличных пути решения задачи построения защищенной автоматизированной системы. Первый путь основан на пересмотре традиционных механизмов автоматизированной системы и создании системы с новой архитектурой, предусматривающей использование более тонких схем разграничения доступа в таких ключевых подсистемах, как ядро операционной системы, способов работы с памятью, контроля атомарности вычисления файловых операций и более корректной работы с временными файлами.

Второй путь основан на подходах, направленных на устранение тех же проблем в системе, однако путем анализа и выявлением уязвимых мест, исправления недостатков модернизации уже существующих традиционных систем. Очевидно, что второе направление лучше реализуется для систем с открытыми кодами. К таким системам относятся в первую очередь операционные системы Linux и Free BSD. В работе над данными системами в режиме открытых проектов большими исследовательскими коллективами, распределенными по всему миру, получены важные результаты.

Получение уверенности в правильности проектных решений по построению системы защиты невозможно без применения методов тестирования. В большинстве случаев тестирование не дает абсолютной уверенности в правильности построения систем защиты. Тем не менее целесообразно тщательно готовить и проводить тестирование разумной степени полноты. Проведенное тестирование может дать определенную уверенность в том, что заявленные в документации свойства системы реально реализованы без ошибок.

Тестирование системы защиты позволяет выявить уровень изменения характеристик производительности системы, в зависимости от конфигурации и параметров используемых механизмов защиты, определить устойчивость механизмов защиты в отношении возможных атак. Квалифицированно разработанный тест также может выявить уязвимость в системе защиты.

Традиционно используются два основных метода тестирования:

— тестирование по методу «черного ящика»;

— тестирование по методу «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяются

— наличие и работоспособность механизмов безопасности,

— соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рискам.

Выводы о наличие уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные агенты средств анализа защищенности системного уровня.

Подводя итог, можно сформулировать перечень задач, которые необходимо решить на организационном уровне управления системой информационной безопасности:

1. Нормативно оформить организационную инфраструктуру обеспечения безопасности в подразделениях организации, в частности, оформить в должностных обязанностях сотрудников выполнение функций по обеспечению информационной безопасности.

2. Документально оформить политики безопасности для организации в целом, определить и документально оформить стратегии и общие подходы к оцениванию и управлению рисками.

3. Документально оформить и утвердить установленным порядком методики оценивания и управления рисками и процедуры, гарантирующие использование утвержденных методик в практике деятельности организации.

4. Документально оформить проектные решения с обоснованием рациональности выбора средств защиты для рассматриваемой автоматизированной информационной системы.

5. Разработать и документально оформить процессы обслуживания и администрирования информационной системы организации, в частности, процедуры создания резервных
копий и технологии восстановления системы.

6. Разработать и документально оформить регламент проведения периодических или выборочных проверок с целью получения значений оценок, характеризующих информационную безопасность системы, и корректировки системы управления рисками.

7. Обеспечить актуальное состояние документации по системе управления информационной безопасностью и регистрации используемых технологий и средств обеспечения информационной безопасности.

1.5. Архитектура систем управления базами данных

Обсуждение постановки задачи обеспечения информационной безопасности баз данных не может не включать анализ архитектуры системы. Система управления базами данных является комплексом взаимодействующих программных компонент.

При описании архитектур обработки данных используются разнообразные термины, поэтому дадим определения основных понятий, используемых в книге. Следующие определения относятся к архитектуре «клиент-сервер».

Сервер определим как логический процесс, который обеспечивает обслуживание запросов других процессов. Сервер не посылает результатов запрашивающему процессу до тех пор, пока не придет запрос на обслуживание. После инициирования запроса управление синхронизацией обслуживания и связей становится функцией самого сервера.

Подчеркнем, что в данном изложении термин «сервер» используется в смысле логического процесса, а не узла вычислительной сети, выполняющего определенные функции. В дальнейшем рассматриваются серверы баз данных. Сервер баз данных — это логический процесс, отвечающий за обработку запросов к базам данных.

Клиента определим как процесс, посылающий серверу запрос на обслуживание. В данном контексте мы абстрагируемся от технических средств, на которых реализован процесс клиента. Главной особенностью, отличающей клиента от сервера, является то, что клиент может начать взаимодействие с сервером, а сервер, как правило, никогда не начинает подобных действий.

Функцией клиента являются инициирование установления связи, запрос конкретного вида обслуживания, получение от сервера результатов, и подтверждение окончания обслуживания. Хотя клиент может запросить синхронное или асинхронное уведомление об окончании обслуживания, он сам не управляет синхронизацией обслуживания и связи.

Основным назначением архитектуры «клиент-сервер» является обеспечение прикладным программам клиента доступа к данным, которыми управляет сервер. Архитектура «клиент-сервер» позво­ляет нескольким клиентам совместно эффективно использовать один сервер.

При использовании этой архитектуры высокая производительность распределенной автоматизированной системы обеспечивается за счет эффективного управления передачей запросов к серверу баз данных и возвратом полученных в результате этих запросов данных клиенту. Клиент взаимодействует с сервером баз данных с помощью языка, ориентированного на работу с базами данных (обычно это язык SQL). После обработки запроса клиента сервер баз данных посылает клиенту обратно только данные, которые удовлетворяют запросу.

В этом состоит ключевое отличие рассматриваемого метода от метода обработки запросов, характерного для персональных СУБД, установленных в сети. При получении запроса файл, в котором находятся данные, полностью пересылается по сети в компьютер клиента, где и происходит отбор данных по критерию пользователя. В большинстве запросов отбирается менее 1% данных, а трафик в сети оказывается неоправданно высоким. Сеть перегружается пересылкой ненужных данных. Если пользователей несколько, то сеть быстро приходит в состояние фатальной перегрузки.

Рассмотрим преимущества и недостатки архитектуры «клиент-сервер». Путем распределения вычислений достигается гибкость и масштабируемость системы: во-первых, каждый компьютер в системе можно выбирать так, чтобы он лучше всего подходил к требованиям каждого компонента. Например, для сервера можно выбрать мощный многопроцессорный компьютер с большим объемом памяти под управлением защищенной многопользовательской операционной системы UNIX-класса. Такой сервер будет выдерживать требуемый уровень нагрузки. Для рабочих станций, на которых будет развернуто клиентское программное обеспечение, требования совсем другие. Как правило, это так называемый офисный компьютер. Во-вторых, такая система обладает хорошей адаптируемостью и гибкостью — в силу модульности легко можно заменить переставший удовлетворять требованиям компонент или даже целиком какую-либо составляющую. Например, заменить весь парк устаревших рабочих станций. В-третьих, легко масштабировать систему, добавив в нее новые рабочие станции или нарастив вычислительные мощности на сервере.

Но наряду с такими ощутимыми преимуществами имеются и недостатки. Частые обращения клиента к серверу снижают производительность работы сети, приходится решать вопросы безопасной многопользовательской работы с данными, так как приложения и данные распределены между различными клиентами. Распределенный характер построения системы обусловливает сложность ее настройки и сопровождения. Чем сложнее структура системы, построенной по технологии «клиент-сервер», тем выше вероятность отказа любого из ее компонентов. В очень сложную проблему может превратиться процесс смены клиентского программного обеспечения, особенно если в системе работает большое число рабочих станций.

Изложенные выше недостатки архитектуры «клиент-сервер» стимулировали поиск новых архитектур обработки данных, одним из результатов которого стала многозвенная архитектура, свободная от некоторых недостатков своей предшественницы. Интернет/интранет — магистральное направление развития информационных технологий и многозвенная архитектура, специально предназначенная для работы в этой среде.

Была предложена идея распределения нагрузки между тремя и более различными компьютерами. Клиент по-прежнему выполняет функции предоставления интерфейса пользователя и, возможно, некоторые не очень сложные и ресурсоемкие операции обработки данных, другие этапы функционирования системы теперь рас­пределены между несколькими компьютерами — серверами баз данных и серверами приложений. Серверы баз данных управляют данными, а серверы приложений выполняют все вычисления, связанные с реализацией безнес-логики приложениями.

Аналогично технологии «клиент-сервер» дадим ряд определений, существенных для описания многозвенной архитектуры. В ее состав входит универсальный клиент — определим его как процесс, посылающий запрос на обслуживание и способный осуществить отображение его результатов на основе некоторого универсального протокола выдачи информации. Основное отличие универсальных клиентов от обычных — способность предоставления пользователю интерфейса для решения любых задач, низкая стоимость внедрения, администрирования и поддержки. Как правило, это браузер, программа просмотра сценариев на каком-либо языке разметки. Браузер может поддерживать с помощью run-time расширений и другие форматы файлов. Приложения, используемые в качестве таких расширений, хранят все свои файлы на клиенте. Когда браузер встречает вызов такого расширения, он загружает соответствующие исполнимые файлы и запускает приложение.

Сервер приложений — совокупность логических процессов, реализующих бизнес-логику на основании данных, предоставляе­мых сервером баз данных и передающих результаты вычислений универсальному клиенту через некоторую среду передачи данных. Администрирование и обслуживание приложений осуществляются полностью на сервере приложений, а не на стороне клиента, поэтому обновлять программные модули универсального клиента (браузера) приходится довольно редко. Основными экономическими преимуществами данной архитектуры являются:

— относительно низкие затраты на внедрение и эксплуатацию;

— высокая способность к интеграции существующих информационных ресурсов;

— прикладные программные средства доступны с любого клиентского рабочего места;

— минимальный состав программно-технических средств на клиентском рабочем месте.

Опираясь на концепцию многозвенной архитектуры, Oracle предлагает три базовых элемента информационной системы:

— сервер баз данных Oracle;

— универсальный сервер приложений Oracle Application Server;

— набор драйверов в стандарте JDBC, специально оптимизированных для доступа из Java-программ к Oracle, a также SQLJ — поддержка операторов SQL, встроенных в программы Java.

Этот набор не является жестко заданным. При проектировании конкретной системы следует учитывать все особенности ее функционирования и, например, использование web-сервера Apache и языка Perl может оказаться эффективнее применения web-расширений языка PL/SQL для Oracle Application Server. Кроме того, в интерпретации Oracle многозвенная архитектура имеет еще одну особенность. Она изначально задумана как расширяемая. Основной единицей расширения является картридж—клиентский, прикладной или картридж данных, предусмотрены интерфейсы для их взаимодействия с другими компонентами информационной системы. Картриджи могут разрабатываться как производителями программного обеспечения, так и пользователями с учетом их возможного повторного использования. Существует три типа картриджей.

Картриджи базы данных — функционируют внутри сервера базы данных. Oracle предоставляет свои картриджи для решения

конкретных задач, например interMedia Text для обработки неструктурированных текстов. Также разработчики могут реализовать на каком-либо языке программирования свои картриджи. Например, для устранения недостатков работы ititerMedia Text с текстами на русском языке разработан картридж Russian Context Optimizer (RCO).

Картриджи серверов приложений — средства для получения и обработки запросов от клиентов. Примером может служить разработанное корпорацией Oracle средство Oracle Web Application Server.

Картриджи на клиенте — программы, передаваемые с сервера приложений и выполняемые браузером на тонком клиенте. Примерами могут служить сценарии на языке JavaScript, предназначенные для проверки правильности вводимых пользователями данных в HTML-формы.

Такая архитектура обеспечивает взаимодействие картриджей, образующих распределенные прикладные системы. Картриджи при этом могут работать где угодно в сети и их пользователи могут не знать об их местонахождении. В качестве основного средства, обеспечивающего взаимодействие между клиентом и сервером приложений, как правило, служат Java-апплеты. Для приложений этого типа необходим довольно требовательный к ресурсам современный браузер с поддержкой Java-машины, но они обладают тем преимуществом, что можно реализовать любой пользовательский интерфейс и взаимодействие с серверами приложений и баз данных с использованием набора драйверов JDBC.

Связь между различными элементами в конкретной вы­числительной системе может быть реализована разными способами: средствами локальной вычислительной сети или организацией межзадачной связи, например, с использованием совместно используемой памяти или электронной почты. Для поддержания работоспособности и дальнейшего развития необходимо, чтобы система поддерживала прозрачную реконфигурацию так, чтобы

изменение способов реализации связи не требовало изменений приложений и дополнительную настройку баз данных.

1.6. Структура свойства информационной безопасности баз данных

Основой большинства автоматизированных систем информационного обеспечения управления являются системы управления базами данных (СУБД). При подготовке принятия решения пользователь формулирует свои информационные потребности на каком-либо доступном ему языке. Существующие технические средства в состоянии воспринять только язык детальных инструкций, поэтому необходима некоторая компонента системы обработки информации, которая обеспечит взаимодействие с пользователем на приемлемом языковом уровне. Помимо этого, необходимы средства, обеспечивающие для разработчика системы приемлемый языковый уровень описания технологических процессов обработки данных. Обе эти задачи решаются средствами современных СУБД.

Характерный для настоящего времени уровень развития распределенной обработки данных характеризуется размещением логически единой информационной базы в распределенной сетевой среде, асинхронной многопользовательской обработкой и развитыми средствами разграничения доступа. При этом реальная сложность организации управления доступом должна быть скрыта от пользователя. Логическое пространство баз данных должно выглядеть для пользователя единым, то есть как если бы вся база располагалась на его локальном компьютере.

Высокая степень безопасности данных должна быть обеспечена без снижения функциональности автоматизированных систем и практически без усложнения работы пользователя в системе. Механизм обеспечения безопасности данных должен обладать гибкостью и удобством администрирования системы.

Сущность проблемы обеспечения информационной безопасности систем баз данных состоит в разработке методов и средств, обеспечивающих выполнение трех взаимосвязанных свойств системы:

конфиденциальность: обеспечение пользователям доступа только к тем данным, для которых пользователь имеет явное или неявное разрешение на доступ;

целостность: обеспечение защиты от преднамеренного или непреднамеренного изменения информации или процессов ее обработки;

доступность: обеспечение возможности авторизованным в системе пользователям доступа к информации в соответствии с принятой технологией.

Методы и средства решения задач, обеспечивающих выполнение трех названных взаимосвязанных свойств с учетом имеющихся ограничений на используемые ресурсы (бюджет), характерны для любых систем баз данных.

В частности, для систем организационного управления и информационного обеспечения процесса принятия решений задача обеспечения секретности предусматривает комплекс мер по предотвращению несанкционированного доступа к конфиденциальной информации какими-либо пользователями. Разрешение на доступ к информации определяется внешними по отношению к системе факторами. Система должна обладать языковыми средствами, достаточными для описания правил, определяющих возможность доступа к данным. При этом обычно предполагается, что используемые правила обеспечивают однозначное решение о разрешении или запрещении доступа к данным.

Задача обеспечения целостности предусматривает комплекс мер по предотвращению непреднамеренного изменения или уничтожения информации, используемой информационной системой управления или системой поддержки принятия решений. Изменение или уничтожение данных может быть следствием неблагоприятного стечения обстоятельств и состояния внешней среды (стихийные бедствия, пожары и т. п.), неадекватных действий пользователей (ошибки при вводе данных, ошибки операторов и т. п.) и проблем, возникающих при многопользовательской обработке данных.

Задача обеспечения доступности информации предусматривает систему мер по поддержке всем легитимным пользователям доступа к ресурсам системы в соответствии с принятой технологией (например, круглосуточно). Причиной отказа в доступе может быть перегрузка системы, вызванная потоком «информационного шума» (спам, искусственно формируемый поток бессмысленных запросов), перегрузка системы, вызванная объективными причи­нами (резкое увеличение потока запросов в связи с некоторыми событиями), действия, направленные на остановку критически важных процессов (например, компонент сервера баз данных, прослушивающего процесса).

Необходимой частью любой защищенной информационной системы является функция регистрации различных событий (действий) в системе — аудит. Постепенно в среде руководителей, отвечающих за информационное обеспечение конкретных систем, растет понимание того, что гарантированно защищенных серверов баз данных нет, и их создание в ближайшие годы не предвидится. Этот факт объясняется сложностью и многофункциональностью объектов информатизации. При этом важно иметь в виду не только сложность программной и аппаратной реализации информационных систем, но и сложность адекватного алгоритмического описания процессов обработки, хранения и передачи информации в современных системах обработки данных.

Нет абсолютно надежных средств защиты среды передачи данных, механизмов аутентификации пользователей и технологий разграничения доступа. Нельзя исключить возникновения обстоятельств, приводящих к разрушению данных конкретной системы. Важным фактором, определяющим вероятностную сущность задачи обеспечения информационной безопасности, является высокая динамика изменений самих баз данных.

Аудит, обеспечивающий непрерывный контроль событий, происходящих с базами данных, является эффективным средством повышения качества обеспечения их информационной безопасности. На основе анализа данных мониторинга состояния системы соответствующие алгоритмы должны определить потенциально опасные для безопасности информации действия пользователей или события и обеспечить запуск процедур, реализующих необходимые меры противодействия.

Система управления базами данных является сложным, многокомпонентным, распределенным программным комплексом. Архитектура построения СУБД, логика представления информации предметной области базами данных в процессе длительной эволюции также стали достаточно сложными, а иногда и запутанными. С каждой новой версией СУБД увеличивается число управляемых параметров системы, в том числе и параметров, определяющих характеристики информационной безопасности. Естественным методом борьбы со сложностью изучаемой системы является ее структуризация.

Поэтому в данной книге технологии и методы обеспечения информационной безопасности баз данных будут рассматриваться как совокупность методов и средств обеспечения конфиденци­альности, целостности и доступности.

Первым этапом анализа уровня информационной безопасности баз данных должен быть этап выявления угроз. Угрозы информационной безопасности всегда объективно существуют при использовании информационных технологий. Источники

угроз определяются средой, в которой происходит работа с базами данных, и субъекты, осуществляющие обработку информации. Определение субъектов информационных отношений на уровне предметной области и выявление интересов этих субъектов — необходимые предпосылки для профессионального проведения анализа безопасности баз данных.