лекция№11 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-4 «Персональные компьютеры и сети»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <11>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Методы и Средства в Системах Управления Базами Данных (СУБД)>

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: <Вводная лекция>

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. Информационная безопасность автоматизированных систем. Материалы конференции. - Воронеж: Истоки, 1998

Учебно-материальное обеспечение:

1. Таблица 12. Объекты защиты в СУБД

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Модель подсистемы безопасности СУБД - ? мин

2-й учебный вопрос СЗИ, используемые в ПСБ защищенной СУБД - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Рассмотрим (в качестве рабочего примера) защищенную многопользовательскую СУБД “ЛИНТЕР”, разработанную НПП “Релэкс” (г. Воронеж), сертифицированную Гостехкомиссией по 2 классу защищенности.

Модель защиты СУБД ЛИНТЕР обеспечивает полнофункциональную многоуровневую схему защиты данных на всех этапах обработки и хранения данных в системе. Она включает в себя принципы организации ЗИ, перечень блокируемых угроз, набор средств ЗИ, характеристику субъектов и объектов контроля.

Принципы организации ЗИ в СУБД ЛИНТЕР:

-СУБД ЛИНТЕР работает только с идентифицированными пользователями;

-все данные, хранящиеся в БД, имеют владельца и идентификационные метки;

-всем пользователям БД ставится в соответствие список прав доступа;

-пользователь может выполнить операцию только в случае, если операция будет разрешена всеми уровнями защиты одновременно;

-администраторы не имеют непосредственно доступа к данным других пользователей. Их отличия от остальных заключаются только в возможности управлять другими пользователями;

-администратор безопасности не имеет непосредственно доступа к данным. Его функции заключаются в управлении ПСБ в целом и контроле работы пользователей на основе развитых средств разграничения доступа и регистрации событий;

-для многопользовательской сетевой работы может применяться принудительное управление доступом;

-пользователь может получить метки доступа запрашиваемых данных с целью дальнейшего контроля за дальнейшим использованием информации;

-все действия по каналам логической связи с БД надежно связаны с пользователем, который открыл данный канал. После закрытия логической связи невозможно пользоваться данным каналом;

-СУБД ЛИНТЕР использует принцип минимальных привилегий в случае, если привилегии не указываются явно.

Модель ПСБ противодействует следующим угрозам безопасности:

-действиям незарегистрированного пользователя;

-действиям нарушителя от имени легального пользователя;

-получению данных без разрешения владельца;

-получению информации с высоким уровнем конфиденциальности пользователем с низким уровнем конфиденциальности;

-понижению уровня конфиденциальности данных;

-извлечению информации из пространств памяти, переданной под контроль операционной системы;

-размещению данных на выделенных устройствах;

-подключению пользователей со слабо защищенных устройств сети;

-неконтролируемому распространению конфиденциальной информации после выдачи ее из БД;

-падению надежности системы при сбоях в работе оборудования;

-присвоению пользователем себе новых прав;

-нарушениям целостности ПСБ;

-нарушениям, возникающим при ошибках администрирования БД.

Средства защиты информации в СУБД ЛИНТЕР:

-диспетчер доступа;

-средства аутентификации;

-многоуровневая система разграничения доступа;

-подсистема дискреционного доступа;

-подсистема мандатного доступа;

-средства контроля целостности информации;

-средства аудита;

-подсистема контроля доступа с внешних устройств;

-подсистема очистки памяти;

-подсистема контроля за внешними физическими устройствами хранения информации.

1-й учебный вопрос Модель подсистемы безопасности СУБД - ? мин

Объекты контроля в СУБД ЛИНТЕР.

Объектами контроля (защиты) в СУБД ЛИНТЕР являются таблицы и представления, а также столбцы и строки таблиц (поля строк).

Таблицы базы данных и представления являются именованными объектами, имеющими владельца (создателя). Массивы данных, построенные на основе таблиц, содержат информацию в виде множества строк (записей) одинаковой структуры. Строки таблиц разбиты на поля именованными столбцами. Все поля соответствующие одному столбцу имеют один и тот же тип и длину данных.

Представление (View) представляет собой SQL-запрос - выборку из таблиц СУБД, образуемую при обращении к нему.

Все объекты защиты перечислены в табл. 12.

Таблица 12.

Объекты защиты в СУБД

Логическая защита в ЛИНТЕР представляет собой набор прав субъектов или ролей по отношению к защищаемому объекту:

-владение таблицей (представлением);

-возможность для владельца таблицы изменять набор прав (расширять, отнимать, ограничивать доступ).

Данные о логической защите находятся в системных таблицах базы и отделены от защищаемых объектов (от таблиц или представлений).

Физическая защита в ЛИНТЕР реализована в виде меток безопасности и характеризует групповые принадлежности, уровни конфиденциальности и ценности объекта (таблицы, столбца, строки или поля). Метки безопасности неизменны на всем протяжении существования объекта защиты (умирают только вместе с ним) и территориально (на диске) располагаются вместе с защищаемыми данными.

Все объекты СУБД (независимо от их иерархии в базе данных) разбиваются на группы принадлежности. Объект может принадлежать только одной из групп (это может быть, например, разбиение по отделам организации).

Группы принадлежности напрямую связаны с группами субъектов. Субъект вправе видеть только данные своей группы, если между группами субъектов не установлены отношения доверия.

Уровень конфиденциальности разбивает объекты по доступности с точки зрения возможности чтения (и видения). Пользователь с более низким уровнем доступа не будет знать даже о существовании объектов с более высоким уровнем конфиденциальности.

Уровень ценности, напротив, разбивает данные (объекты) по важности, ограничивая возможность их удаления и модификации.

Субъекты контроля в ПСБ СУБД ЛИНТЕР

Все субъекты контроля СУБД разделены в соответствии с дискреционным принципом контроля на три основные категории: Connect, Resource и Dba:

- Connect – категория, дающая право на присоединение пользователя к системе и подачу запросов к доступным ему данным;

- Resource – категория, имеющая все возможности Connect плюс возможности изменения структуры базы данных путем построения своих объектов контроля (таблиц, представлений);

- Dba - категория администраторов базы данных, включающая возможности обеих предыдущих категорий, а также возможность вводить (удалять) в систему (из системы) субъекты контроля или изменять уровень их полномочий.

В корпоративных базах данных, содержащих сотни (тысячи) субъектов и объектов, сложно определять права каждого субъекта при работе с каждым объектом. Поэтому, для упрощения этой процедуры в ЛИНТЕР реализован аппарат ролей.

Роль - это именованный набор прав на множество объектов базы данных. Введенные роли разбивают всех пользователей базы на группы. Владелец того или иного объекта базы назначает тот или иной вид доступа для роли как для простого пользователя. После того, как роль вобрала в себя все требуемые права, она может быть присвоена пользователю, группе или другой роли. Имеющуюся у пользователя роль (роли) можно отнять.

Мандатный принцип контроля, реализованный в СУБД ЛИНТЕР, предлагает:

-деление пользователей на группы доступа;

-иерархию объектов по уровням доступа (десять уровней с номерами от 1 до 10);

-иерархию пользователей по уровням доверия (десять уровней с номерами от 1 до 10).

Группа доступа субъекта указывает на его принадлежность к группе субъектов по доступу (это может быть, например, принадлежность к отделу организации, к группе людей, объединенных одними функциями и пр.). Группа назначается субъекту администратором безопасности, последний может так же переместить субъекта из одной группы в другую. Всего (в СУБД ЛИНТЕР) может быть 250 таких групп.

Группы доступа напрямую связаны с группами данных:

-данным присваивается группа доступа (субъекта), который их внес;

-данные, принадлежащие одной группе, недоступны пользователям другой группы;

-одна группа может доверить другой группе работу со своими данными.

Уровень доступа субъекта задается при его создании администратором безопасности или изменяется позже. Он определяет: какие из данных (по уровню конфиденциальности) доступны субъекту, а какие нет. Все данные с уровнем конфиденциальности более высоким, чем уровень доступа субъекта, последнему недоступны и он даже не подозревает об их существовании.

Уровень доверия субъекта (или уровень доверия субъекта на понижение уровня конфиденциальности) назначается администратором безопасности и определяет конфиденциальность данных, вводимых в БД их владельцем. ЛИНТЕР не позволит ему внести информацию с уровнем конфиденциальности ниже, чем уровень доверия субъекта. Любая вносимая (изменяемая) этим субъектом информация уже будет иметь минимальный “гриф” или уровень конфиденциальности.

2-й учебный вопрос СЗИ, используемые в ПСБ защищенной СУБД - ? мин

Элементы архитектуры СУБД как СЗИ

СУБД ЛИНТЕР - открытая система. По технологии построения открытых систем, все ее алгоритмы открыты для всех пользователей и работают для всех одинаково. Прикладные пользовательские программы отделены от системы. Общение между ядром СУБД и приложением ее использующим проходит только через Call-интерфейс системы. Тексты/алгоритмы Call-интерфейса открыты, не содержат элементов СЗИ НСД. Алгоритм Call-интерфейса устроен таким образом, что раз установленная связь субъекта и СУБД идентифицируется еще идентификатором (каждая операционная система присваивает задаче уникальный идентификатор) прикладной задачи (см. п. Error: Reference source not found), что исключает возможность перехвата ответов от ядра ЛИНТЕР. Это означает, что ответ, посланный задаче на ее запрос, придет именно к этой задаче и ни к какой другой.

Все утилиты системы ЛИНТЕР написаны с использованием того же Call-интерфейса (т.е. штатных средств) и не используют никаких других, скрытых особенностей системы. Следуя технологии открытых систем, субъект контроля может обращаться посредством СУБД ЛИНТЕР к базе данных только из программ (поставляемых в дистрибутиве или подготовленных им самим) и только с помощью штатных средств системы.

ПСБ СУБД ЛИНТЕР реализована в виде части исполняемого кода ядра системы. Основа системы безопасности - диспетчер доступа получает управление на ранних этапах инициализации СУБД до запуска процедур обслуживания пользовательских запросов. Диспетчер доступа реализован в виде четырех взаимосвязанных программных частей, каждая из которых контролирует свою область действий системы.

Первая часть обслуживает подсистему дискреционного доступа. Она получает управление после разбора запроса. В этот момент полностью определены все объекты доступа и все запрашиваемые действия. Диспетчер выбирает все правила, касающиеся запрашивающего пользователя, и в соответствии с запросом проверяет, доступны ли запрашиваемые объекты в данном запросе. Также проверяется возможность работы с внешними устройствами. Данный фрагмент может обращаться к подсистеме идентификации за подтверждением (запретом) действий, связанных с категориями пользователей (Connect, Resource, Dba).