19.5. основы информационной безопасности систем управления базами данных

19.5. основы информационной безопасности систем управления базами данных

Системы управления базами данных стали основным инструментом, обеспечивающим хранение больших массивов информации. Современные информационные приложени-я опираются, как уже говорилось, в первую очередь на многопользовательские СУБД. В этой связи пристальное внимание в настоящее время уделяется проблемам обеспечения информационной безопасности, которая определяет степень безопасности организации, учреждения в целом.

Под информационной безопасностью понимают защищенность информации от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.

В целях защиты информации в базах данных на практике важнейшими являются следующие аспекты информационной безопасности (Европейские критерии):

доступность (возможность получить некоторую требуемую информационную услугу);

целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

конфиденциальность (защита от несанкционированного прочтения).

Проблема обеспечения информационной безопасности — комплексная, поэтому ее решение должно рассматриваться на разных уровнях: законодательном, административном, процедурном и программно-техническом. К сожалению, в настоящее время особенно остро стоит проблема с соответствующим законодательством, обеспечивающим использование информационных систем.

Рассмотрим основные программно-технические меры, применение которых позволит решить некоторые из вышеперечисленных проблем:

аутентификация и идентичность;

управление доступом;

поддержка целостности;

протоколирование и аудит;

защита коммуникаций между клиентом и сервером;

отражение угроз, специфичных для СУБД.

Аутентификация и идентичность

Проверка подлинности пользователя приложений базы данных чаще всего осуществляется либо через соответствующие механизмы операционной системы, либо через определенный SQL-оператор: пользователь идентифицируется своим именем, а средством аутентификации служит пароль. Подобная система создает значительные сложности для повторных проверок и исключает подобные проверки перед каждой транзакцией.

Управление доступом.

Управление доступом базируется на реализации следующего минимального набора действий:

произвольное управление доступом;

обеспечение безопасности повторного использования объектов;

использование меток безопасности;

принудительное управление доступом.

Произвольное управление доступом — метод ограничения доступа к объектам, основанный на учете личности субъекта или групп, в которую субъект входит. Эта технология обеспечивает владельцу объекта (представления, сервера базы данных, процедуры, таблице) передачу по своему усмотрению привилегий другому лицу. Этим лицом в данной ситуации может выступать субъект-пользователь, группа пользователей и такой возможный носитель привилегий, как роль. С ролью не ассоциируют перечень допустимых пользователей — вместо этого роли защищают паролями; с точки зрения эффективности поддержания информационной безопасности роли имеют максимальный уровень надежности.

Привилегии распределяются в зависимости от статуса пользователей (администратор сервера БД и БД, прочие пользователи). Особенно важным следует считать поддержание уровня защиты привилегий администратора сервера базы данных, так как компрометация его пароля может привести к серьезным проблемам для всей хранящейся информации.

Главное достоинство применения произвольного управления доступом — гибкость, однако такие сопутствующие характеристики, как рассредоточенность управления и сложность централизованного контроля создают немало проблем для обеспечения безопасности данных.

В качестве дополнения к средствам управления доступа можно отнести безопасность повторного использования объектов, которая должна гарантироваться для областей оперативной памяти, в частности для буферов с образами экрана, расшифрованными паролем, для магнитных носителей. Следует обратить внимание и на обеспечение безопасности повторного использования субъектов. Это означает лишение прав для входа в информационную систему всех пользователей, покинувших организацию.

Специалисты по управлению безопасностью информации считают достаточным для большинства коммерческих приложений использование средств произвольного управления доступом. Тем не менее останется нерешенной одна важная проблема — слежение за передачей информации. Средства произвольного управления доступом не могут помешать авторизованному пользователю законным путем получить конфиденциальную информацию и сделать ее доступной для других пользователей. Это происходит по той причине, что при произвольном управлении доступом привилегии существуют изолированно от данных. Для решения этой проблемы применяют подход, позволяющий осуществить разделение данных по уровням секретности и категориям доступа, называемый метками безопасности.

Метка безопасности состоит из двух частей: уровня секретности и списка категорий. Первая составляющая зависит от приложения и в стандартном варианте может выглядеть как спектр значений от «совершенно секретно» до «несекретно». Вторая составляющая позволяет-описать предметную область, разделяя информацию «по отсекам», что способствует лучшей защищенности. Механизм меток безопасности не отменяет, а дополняет произвольное управление доступом: пользователи по-прежнему могут оперировать с таблицами только в рамках своих привилегий, но получать только часть данных. Основная проблема, имеющая место при использовании меток безопасности, — поддержание их целостности. Это означает, что все объекты и субъекты должны быть помечены и при любых операциях с данными метки должны оставаться правильными.

Принцип принудительного управления доступом основан на сопоставлении меток безопасности субъекта и объекта. Для чтения информации из объекта необходимо доминирование метки субъекта над меткой объекта. При выполнении операции записи информации в объект необходимо доминирование метки безопасности объекта над меткой субъекта. Этот способ управления доступом называется принудительным, так как не зависит от воли субъектов. Он нашел применение в СУБД, отличающихся повышенными мерами безопасности

Поддержка целостности

Обеспечение целостности данных не менее важная задача, чем управление доступом. С точки зрения пользователей СУБД, основными средствами поддержания целостности данных являются ограничения и правила. Ограничения могут поддерживаться непосредственно в рамках реляционной модели данных, а могут задаваться в процессе создания таблицы. Табличные ограничения могут относиться к группе столбцов, отдельным атрибутам. Ссылочные ограничения отвечают за поддержание целостности связей между таблицами. Ограничения накладываются владельцем таблицы и влияют на результат последующих операций с данными. Правила позволяют вызывать выполнение заданных процедур при определенных изменениях базы данных. В отличие от ограничений, которые обеспечивают контроль относительно простых условий, правила позволяют проверять и поддерживать соотношения любой сложности между элементами данных в базе. Существует явное предостережение при использовании правил как инструмента информационной безопасности: ошибка в сложной системе правил чревата непредсказуемыми последствиями для всей базы данных.

Протоколирование и аудит

Такая мера, как протоколирование и аудит, состоит в следующем:

обнаружение необычных и подозрительных действий пользователей и идентификация лиц, совершивших эти действия;

оценка возможных последствий состоявшегося нарушения;

оказание помощи;

организация пассивной защиты информации от нелегальных

действий пользователя.

Рекомендуется при выполнении организации протоколирования фиксировать факты передачи привилегий и подключения к той или иной базе данных.

Следующим вопросом в рассмотрении проблемы обеспечения информационной безопасности является анализ средств поддержания высокой готовности. Если речь идет о СУБД, то необходимо в архитектуре аппаратно-программного комплекса иметь средства, обеспечивающие нейтрализацию аппаратных отказов и восстановление после ошибок обслуживающего персонала или прикладных программ.

Сохранение информации БД на дисках, помещаемых затем в безопасное место, уже длительное время активно применяется для информационных систем. При архивировании сохраняются пространства базы данных и многочисленная сопутствующая информация, необходимая для последующего восстановления. Надо помнить, что архив отражает состояние базы данных на время начала архивирования. Резервные копирования логических журналов транзакций сохраняют файлы журналов; интерпретация последних позволяет восстановить базу данных до состояния, более позднего, чем момент последнего архивирования. На основании полученной информации из архива и/или резервной копии может быть осуществлено восстановление не только архивной информации (физическое восстановление), но и более свежей версии базы данных (логическое восстановление). Можно перечислить возможности службы восстановления на примере СУБД Informix: архивирование в горячем режиме, т.е. без прерывания работы сервера; резервное копирование журналов транзакций; сохранение на удаленных устройствах; сохранение по заранее определенному расписанию без участия оператора; сжатие и шифрование информации.

Рассмотренные выше средства сохранения могут обеспечить восстановление с минимальными потерями пользовательской информации, однако работа сервера базы данных будет на некоторое время прервана. Некоторые коммерческие приложения требуют поддержания постоянной работоспособности системы и, чтобы это требование было удовлетворено, прибегают к кластерной организации сервера баз данных. Особенность этого подхода состоит в том, что создается некоторая архитектура, состоящая из нескольких компьютеров (узлов), выполняющих общее приложение. Обычно кластер содержит также несколько дисковых подсистем, используемых всеми узлами, и избыточные связи между компонентами. Подобная аппаратная архитектура обеспечивает устойчивость к отказам ( одиночный отказ не способен вызвать остановки кластера в целом) и эффективное использование избыточных компонентов в процессе обычной работы.

Следующий механизм, обеспечивающий высокий уровень отказоустойчивости, технология тиражирования данных. Тиражирование данных — это асинхронный перенос изменений объектов исходной базы данных в базы, принадлежащие различным узлам распределенной системы. В конфигурации серверов базы данных выделяют один основной и ряд вторичных. В обычном режиме работы основной сервер выполняет чтение и обновление данных, обеспечивает перенос зафиксированных изменений на вторичные серверы. В случае отказа основного сервера его функции автоматически (вручную) переводятся на вторичный сервер в режим работы «чтение + запись». После восстановления функций основного сервера ему может быть присвоен статус вторичного, а вторичному делегированы все полномочия основного (при этом обеспечивается непрерывная доступность данных). Процедура тиражирования осуществляется либо в синхронном, либо в асинхронном режиме. Благодаря первому осуществляется гарантированность полной согласованности данных, т.е. на вторичном сервере будут зафиксированы все транзакции, выполненные на основном. Асинхронный режим улучшает рабочие характеристики системы, не всегда обеспечивая полную согласованность (стоит заметить, что далеко не во всех задачах требуется синхронизация фиксации; достаточно поддерживать тождественность данных лишь в критические моменты времени).

Специалисты выделяют побочный положительный эффект тиражирования более оптимальное распределение нагрузки на серверы: ресурсоемкие приложения выносятся на вторичный сервер, в то время как на основном выполняются приложения оперативной обработки транзакций.

Защита коммуникаций между клиентом и сервером

Проблема защиты коммуникаций между клиентом и сервером в информационных системах не является специфичной для СУБД. Для обеспечения защиты информации выделяется сервис безопасности, в функции которого входит аутентификация, шифрование и авторизация. Эти вопросы рассмотрены выше.

Отражение угроз, специфичных для СУБД

Однако главный источник угроз для СУБД лежит в самой природе баз данных. Наличие специфического непроцедурного языка SQL, процедуры и механизм правил все это обеспечивает потенциальному злоумышленнику средства для получения информации, на которую он не имеет полномочий. Нередко нужную, но недоступную по статусу информацию можно получить путем логического вывода. Например, используя операцию добавления, а не выбора (на которую прав нет), анализировать коды завершения SQL-операторов. Для борьбы с подобными угрозами используется механизм размножения строк для СУБД, поддерживающий метки безопасности. Агрегирование метод получения новой информации путем комбинирования данных, добытых легальным путем из различных таблиц базы данных. Бороться с агрегированием можно за счет тщательного проектирования модели данных и максимального ограничения доступа пользователя к информации.

В заключение, говоря о безопасности в СУБД, хочется отметить, что конфигурация, к которой имеет доступ хотя бы один пользователь, не является безопасной. От 80 до 85\% всех убытков, наносимых компьютерными преступлениями, являются результатом деятельности служащих компании. Поэтому для менеджеров информационных систем одной из первоочередных мер по защите данных должна стать правильно и убедительно проводимая политика внутри фирмы: от частой смены паролей до сообщений о возможных действиях со стороны закона для тех, кто пытается превысить собственные полномочия по доступу к данным.