Информационная безопасность в современных системах управления базами данных

     Информационная  безопасность в современных системах управления базами данных 
 

      

     Некоторые термины

     Пользователи  СУБД

     Дискреционная защита

     Мандатная защита

     В современных условиях любая деятельность сопряжена с оперированием большими объемами информации, которое производится широким кругом лиц. Защита данных от несанкционированного доступа является одной из приоритетных задач при  проектировании любой информационной системы. Следствием возросшего в последнее  время значения информации стали  высокие требования к конфиденциальности данных. Системы управления базами данных, в особенности реляционные  СУБД, стали доминирующим инструментом в этой области. Обеспечение информационной безопасности СУБД приобретает решающее значение при выборе конкретного  средства обеспечения необходимого уровня безопасности организации в целом. 

     Для СУБД важны три основных аспекта  информационной безопасности - конфиденциальность, целостность и доступность. Темой  настоящей статьи является первый из них - средства защиты от несанкционированного доступа к информации. Общая идея защиты базы данных состоит в следовании рекомендациям, сформулированным для класса безопасности C2 в «Критериях оценки надежных компьютерных систем»1. 

     Политика  безопасности определяется администратором  данных. Однако решения защиты данных не должны быть ограничены только рамками  СУБД. Абсолютная защита данных практически  не реализуема, поэтому обычно довольствуются относительной защитой информации - гарантированно защищают ее на тот  период времени, пока несанкционированный  доступ к ней влечет какие-либо последствия. Разграничение доступа к данным также описывается в базе данных посредством ограничений, и информация об этом хранится в ее системном  каталоге. Иногда дополнительная информация может быть запрошена из операционных систем, в окружении которых работают сервер баз данных и клиент, обращающийся к серверу баз данных. 
 

     Некоторые термины 

     Конфиденциальная  информация (sensitive information) - информация, которая требует защиты. 

     Доступ  к информации (access to information) - ознакомление с информацией, ее обработка (в частности, копирование), модификация, уничтожение. 

     Субъект доступа (access subject) - лицо или процесс, действия которого регламентируются правилами разграничения доступа. 

     Объект  доступа (access object) - единица информации автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа. Объектами доступа (контроля) в СУБД является практически все, что содержит конечную информацию: таблицы (базовые или виртуальные), представления, а также более мелкие элементы данных: столбцы и строки таблиц и даже поля строк (значения). Таблицы базы данных и представления имеют владельца или создателя. Их объединяет еще и то, что все они для конечного пользователя представляются как таблицы, то есть как нечто именованное, содержащее информацию в виде множества строк (записей) одинаковой структуры. Строки таблиц разбиты на поля именованными столбцами. 

     Правила разграничения доступа (security policy) - совокупность правил, регламентирующих права субъектов доступа к объектам доступа. 

     Санкционированный доступ (authorized access to information) - доступ к информации, который не нарушает правил разграничения доступа. 

     Несанкционированный доступ (unauthorized access to information) - доступ к информации, который нарушает правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. 

     Идентификатор доступа (access identifier) - уникальный признак объекта или субъекта доступа. 

     Идентификация (identification) - присвоение объектам и субъектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. 

     Пароль (password) - идентификатор субъекта, который является его секретом. 

     Аутентификация (authentification) - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности. 

     В СУБД на этапе подключения к БД производится идентификация и проверка подлинности пользователей. В дальнейшем пользователь или процесс получает доступ к данным согласно его набору полномочий. В случае разрыва соединения пользователя с базой данных текущая  транзакция откатывается, и при восстановлении соединения требуется повторная  идентификация пользователя и проверка его полномочий. 

     Уровень полномочий субъекта доступа (subject privilege) - совокупность прав доступа субъекта доступа (для краткости в дальнейшем мы будем использовать термин «привилегия»). 

     Нарушитель  правил разграничения доступа (security policy violator) - субъект доступа, который осуществляет несанкционированный доступ к информации. 

     Модель  нарушителя правил разграничения доступа (security policy violator model) - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа. 

     Целостность информации (information integrity) - способность средства вычислительной техники (в рассматриваемом случае - информационной системы в целом) обеспечить неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения). 

     Метка конфиденциальности (sensitivity label) - элемент информации, характеризующий конфиденциальность объекта. 

     Многоуровневая  защита (multilevel secure) - защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности. 

     Пользователи  СУБД 

     Пользователей СУБД можно разделить на три группы: 

     Прикладные  программисты - отвечают за создание программ, использующих базу данных.

     В смысле защиты данных программист может  быть как пользователем, имеющим  привилегии создания объектов данных и манипулирования ими, так и  пользователем, имеющим привилегии только манипулирования данными. 

     Конечные  пользователи базы данных - работают с  БД непосредственно через терминал или рабочую станцию. Как правило, конечные пользователи имеют строго ограниченный набор привилегий манипулирования  данными. Этот набор может определяться при конфигурировании интерфейса конечного  пользователя и не изменяться. Политику безопасности в данном случае определяет администратор безопасности или  администратор базы данных (если это  одно и то же должностное лицо).

     Администраторы  баз данных - образуют особую категорию  пользователей СУБД. Они создают  сами базы данных, осуществляют технический  контроль функционирования СУБД, обеспечивают необходимое быстродействие системы. В обязанности администратора, кроме  того, входит обеспечение пользователям  доступа к необходимым им данным, а также написание (или оказание помощи в определении) необходимых  пользователю внешних представлений  данных. Администратор определяет правила  безопасности и целостности данных.

     Дискреционная защита 

     В современных СУБД достаточно развиты  средства дискреционной защиты. 

     Дискреционное управление доступам (discretionary access control) — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. 

     Дискреционная защита является многоуровневой логической защитой. 

     Логическая  защита в СУБД представляет собой  набор привилегий или ролей по отношению к защищаемому объекту. К логической защите можно отнести  и владение таблицей (представлением). Владелец таблицы может изменять (расширять, отнимать, ограничивать доступ) набор привилегий (логическую защиту) . Данные о логической защите находятся в системных таблицах базы данных и отделены от защищаемых объектов (от таблиц или представлений). 

     Информация  о зарегистрированных пользователях  базы данных хранится в ее системном  каталоге. Современные СУБД не имеют  общего синтаксиса SQL-предложения соединения с базой данных, так как их собственный синтаксис сложился раньше, чем стандарт ISO. Тем не менее часто таким ключевым предложением является CONNECT. Ниже приведен синтаксис данного предложения для Oracle и IBM DB2 соответственно: 

     CONNECT [[logon] [AS {SYSOPER|SYSDBA}]] пользователь/пароль[@база_данных]

     CONNECT TO база_данных USER пользователь USING пароль

     В данных предложениях отражен необходимый  набор атрибутов, а также показано различие синтаксиса. Формат атрибута база_данных, как правило, определяется производителем СУБД, так же как и имя пользователя, имеющего по умолчанию системные привилегии (SYSDBA/SYSOPER в случае Oracle). 

     Соединение  с системой не идентифицированных пользователей  и пользователей, подлинность идентификации  которых при аутентификации не подтвердилась, исключается. В процессе сеанса работы пользователя (от удачного прохождения  идентификации и аутентификации до отсоединения от системы) все его действия непосредственно связываются с результатом идентификации. Отсоединение пользователя может быть как нормальным (операция DISCONNECT), так и насильственным (исходящим от пользователя-администратора, например в случае удаления пользователя или при аварийном обрыве канала связи клиента и сервера). Во втором случае пользователь будет проинформирован об этом, и все его действия аннулируются до последней фиксации изменений, произведенных им в таблицах базы данных. В любом случае на время сеанса работы идентифицированный пользователь будет субъектом доступа для средств защиты информации от несанкционированного доступа (далее - СЗИ НСД) СУБД. 

     Следуя  технологии открытых систем, субъект  доступа может обращаться посредством  СУБД к базе данных только из программ, поставляемых в дистрибутиве или  подготовленных им самим, и только с  помощью штатных средств системы. 

     Все субъекты контроля системы хранятся в таблице полномочий системы  и разделены для системы на ряд категорий, например CONNECT, RESOURCE и DBA. Набор таких категорий определяется производителем СУБД. Мы не случайно предлагаем указанный порядок рассмотрения — именно так происходит нарастание возможностей (полномочий) для каждого отдельного вида подключения: 

     CONNECT — конечные пользователи. По умолчанию им разрешено только соединение с базой данных и выполнение запросов к данным, все их действия регламентированы выданными им привилегиями;

     RESOURCE — привилегированные пользователи, обладающие правом создания собственных объектов в базе данных (таблиц, представлений, синонимов, хранимых процедур).

     Пользователь  — владелец объекта обладает полным набором привилегий для управления данным объектом;

     DBA — категория администраторов базы данных. Включает возможности обеих предыдущих категорий, а также возможность вводить (удалять) в систему (из системы) субъекты защиты или изменять их категорию.

     Следует особо отметить, что в некоторых  реализациях административные действия также разделены, что обусловливает  наличие дополнительных категорий. Так, в Oracle пользователь с именем DBA является администратором сервера баз данных, а не одной-единственной базы данных. В СУБД «Линтер» компании РЕЛЭКС понятие администратора сервера баз данных отсутствует, а наличествует только понятие администратора конкретной базы данных. В IBM DB2 существует ряд категорий администраторов: SYSADM (наивысший уровень; системный администратор, обладающий всеми привилегиями); DBADM (администратор базы данных, обладающий всем набором привилегий в рамках конкретной базы данных). Привилегии управления сервером баз данных имеются у пользователей с именами SYSCTRL (наивысший уровень полномочий управления системой, который применяется только к операциям, влияющим на системные ресурсы; непосредственный доступ к данным запрещен, разрешены операции создания, модификации, удаления базы данных, перевод базы данных или экземпляра (instance) в пассивное состояние (quiesce), создание и удаление табличных пространств), SYSMAINT (второй уровень полномочий управления системой, включающий все операции поддержки работоспособности экземпляра (instance); непосредственный доступ к данным этому пользователю запрещен, разрешены операции изменения конфигурационных файлов базы данных, резервное копирование базы данных и табличных пространств, зеркалирование базы данных). Для каждой административной операции в IBM DB2 определен необходимый набор административных категорий, к которым должен принадлежать пользователь, выполняющий тот или иной запрос администрирования. Так, выполнять операции назначения привилегий пользователям может SYSADM или DBADM, а для того чтобы создать объект данных, пользователь должен обладать привилегией CREATETAB.