Комп'ютерні засоби захисту

Незважаючи на широкий діапазон комп'ютерних засобів контролю, загальний рівень захищеності СУБД визначається можливостями операційної системи, оскільки ці два компоненти працюють в тісному зв'язку між собою. Зазвичай застосовуються наведені нижче типи засобів контролю.

1. Авторизація користувачів.

2. Подання.

3. Резервне копіювання і відновлення.

4. Підтримка цілісності.

5. Шифрування.

6. Допоміжні процедури.

Авторизація – це надання прав або привілеїв), що дозволяють їх власнику мати законний доступ до системи або до її об'єктів.

Засоби авторизації користувачів можуть бути вбудовані безпосередньо в програмне забезпечення і управляти не тільки наданими користувачам прав доступу до системи або об'єктів, але і набором операцій, які користувачі можуть виконувати з кожним доступним йому об'єктом. Термін «власник» у визначенні може представляти користувача-людини або програму. Термін «об'єкт» – таблицю даних, подання, додаток, процедуру або будь-який інший об'єкт, який може бути створений в рамках системи. В деяких системах всі надані суб'єкту права повинні бути явно вказано для кожного з об'єктів, до яких цей суб'єкт повинен звертатися. Процес авторизації включає ідентифікацію суб'єктів, що потребують отримання доступу до об'єктів.

Аутентифікація – механізм визначення того, чи користувач є тим, за кого себе видає.

За надання користувачам доступу до комп'ютерної системи зазвичай відповідає системний адміністратор, в обов'язки якого входить створення облікових записів користувачів. Кожному користувачеві привласнюється унікальний ідентифікатор, який використовується операційною системою для того, щоб визначити, хто є хто. З кожним ідентифікатором зв'язується пароль, обраний користувачем і відомий операційній системі. При реєстрації користувач повинен надавати системі свій пароль для аутентифікації.

Подібна процедура дозволяє організувати контрольований доступ до комп'ютерної системи, але не обов'язково надає право доступу до СУБД чи іншої прикладної програми. Для отримання користувачем права доступу до СУБД може використовуватися окрема процедура. Відповідальність за надання прав доступу до СУБД зазвичай несе адміністратор бази даних (АБД), в обов'язки якого входить створення індивідуальних ідентифікаторів користувачів, на цей раз вже в середовищі самої СУБД. Кожен з ідентифікаторів користувачів СУБД також зв'язується з паролем, який має бути відомий лише даному користувачеві. Цей пароль буде використовуватись подпрограммами СУБД для ідентифікації користувача.

Деякі СУБД підтримують списки дозволених ідентифікаторів користувачів і паролів, що відрізняються від аналогічного списку, підтримуваного ОС. Інші типи СУБД підтримують списки, елементи яких приведені у відповідність з існуючими списками користувачів операційної системи і виконують реєстрацію, виходячи з поточного ідентифікатора користувача, вказаного ним при реєстрації в системі. Це запобігає спробам користувачів зареєструватися в середовищі СУБД під ідентифікатором, відмінним від того, який вони використовували при реєстрації в системі.

Використання паролів є найбільш поширеним методом аутентифікації користувачів. Однак цей підхід не дає абсолютної гарантії, що даний користувач є саме тим, за кого себе видає.

Як тільки користувач отримає право доступу до СУБД, йому можуть автоматично надаватися різні інші привілеї, пов'язані з його ідентифікатором. Зокрема, ці права можуть включати дозвіл на доступ до певних БД, таблиць, уявлень і індексам або ж право запуску різних утиліт СУБД. Деякі типи СУБД функціонують як закриті системи, тому користувачам крім дозволу на доступ до самої СУБД потрібно мати окремі дозволу на доступ до конкретних її об'єктів. Ці дозволи видаються або АБД, або власниками певних об'єктів системи. На противагу цьому відкриті системи надають авторизованим користувачам повний доступ до всіх об'єктів БД. У цьому випадку привілеї встановлюються за допомогою явної скасування тих чи інших прав конкретних користувачів. Типи привілеїв, які можуть бути надані авторизованим суб'єктам, включають, наприклад, право доступу до зазначених БД, право вибірки даних, право створення таблиць та інших об'єктів.

Деякими об'єктами в середовищі СУБД володіє сама СУБД. Зазвичай це володіння організується за допомогою спеціального ідентифікатора особливого суперкористувача – наприклад, з ім'ям Database Administrator. Як правило, володіння певним об'єктом надає його власнику весь можливий набір привілегій стосовно цього об'єкта. Це правило застосовується до всіх авторизованим користувачам, отримують права володіння певними об'єктами. Будь новостворений об'єкт автоматично передається у володіння його творцеві, який і отримує весь можливий набір привілеїв для даного об'єкта. Тим не менш, хоча користувач може бути власником деякого уявлення, що єдиним привілеєм, яка буде надана йому щодо цього об'єкту, може виявитися право вибірки даних з цього подання. Належать власнику привілеї можуть бути передані іншим авторизованим користувачам. В деяких типах СУБД всякий раз, коли користувачу надається певна привілегія, додатково може зазначатися, чи передається йому право надавати цю привілею іншим користувачам (вже від імені цього користувача). Природно, що в цьому випадку СУБД повинна контролювати весь ланцюжок надання привілеїв користувачам із зазначенням того, хто її надав, що дозволить підтримувати коректність всього набору встановлених в системі привілеїв. Зокрема, ця інформація буде необхідна в разі скасування раніше наданих привілеїв для організації каскадного поширення внесених змін серед ланцюжка користувачів.

Якщо СУБД підтримує кілька різних типів ідентифікаторів авторизації, з кожним з існуючих типів можуть бути пов'язані різні пріоритети. Зокрема, якщо СУБД підтримує використання ідентифікаторів як окремих користувачів, так і їхніх груп, то, як правило, ідентифікатор користувача буде мати більш високий пріоритет, ніж ідентифікатор групи.

Дуже важливо засвоїти всі механізми авторизації і інші засоби захисту, що надаються цільової СУБД. Це особливо важливо для тих систем, в яких існують різні типи ідентифікаторів і допускається передача права присвоєння привілеїв. Це дозволить коректно вибирати типи привілеїв, що надаються окремим користувачам, виходячи з виконуваних ними обов'язків і набору використовуваних прикладних програм.

Уявлення – це динамічний результат однієї або кількох реляційних операцій з базовими відносинами з метою створення деякого іншого ставлення. Подання є віртуальним ставленням, якого реально в БД не існує, але яке створюється за вимогою окремого користувача в момент надходження цієї вимоги.

Механізм подання є потужним і гнучким інструментом організації захисту даних, що дозволяє приховати від певних користувачів деякі частини БД. В результаті користувачі не будуть мати жодних відомостей про існування будь-яких атрибутів або рядків даних, які недоступні через уявлення, що знаходяться в їх розпорядженні. Подання може бути визначено на базі кількох таблиць, після чого користувачу будуть надані необхідні привілеї доступу до цього подання, але не до базових таблиць. У цьому випадку використання подання являє собою більш жорсткий механізм контролю доступу, ніж звичайне надання користувачеві тих чи інших прав доступу до базових таблиць.

Резервне копіювання – періодично виконується процедура отримання копії БД і її файлу журналу (а також, можливо, програм) на носії, який зберігається окремо від системи.

Засоби резервного копіювання дозволяють відновлювати БД у разі її руйнування. Рекомендується створювати резервні копії БД в її файл журналу з деякою встановленою періодичністю та організовувати зберігання створених копій в місцях, забезпечених необхідним захистом. У разі відмови, в результаті якого БД стає непридатною для подальшої експлуатації, резервна копія і зафіксована у файлі журналу оперативна інформація використовуються для відновлення БД до останнього узгодженого стану.

Ведення журналу – це процедура створення та обслуговування файлу журналу, що містить відомості про всіх змінах, внесених до БД з моменту створення останньої резервної копії, і призначеного для забезпечення ефективного відновлення системи в разі її відмови.

Якщо у відмовившій системі функція ведення системного журналу не використовувалася, базу даних можна відновити лише до того стану, який було зафіксовано в останній створеної резервної копії. Всі зміни, які були внесені у БД після створення останньої резервної копії, виявляться втраченими.

Контрольна точка – це момент синхронізації між станом БД і станом журналу виконання транзакцій. В цей момент всі буфера примусово вивантажуються на пристрої вторинної пам'яті.

Механізм створення контрольних точок використовується спільно з веденням системного журналу, що підвищує ефективність процесу відновлення. В момент створення контрольної точки СУБД виконує дії, що забезпечують запис на диск всіх даних, що зберігалися в основній пам'яті машини, а також приміщення у файл журналу спеціального запису контрольної точки.

Засоби підтримки цілісності даних також вносять певний внесок у загальну захищеність БД, оскільки їх призначенням є запобігання переходу даних в неузгоджене стан, а значить, і відвернення загрози отримання помилкових чи некоректних результатів розрахунків.

Шифрування – кодування даних з використанням спеціального алгоритму, в результаті чого дані стають недоступними для читання будь-якою програмою, що не має ключа дешифрування.

Якщо в системі з БД міститься дуже важлива конфіденційна інформація, то має сенс закодувати її з метою попередження можливої загрози несанкціонованого доступу з зовнішнього боку (по відношенню до СУБД). Деякі СУБД включають засоби шифрування, призначені для використання в таких цілях. Підпрограми таких СУБД забезпечують санкціонований доступ до даних (після їх декодування), хоча це пов'язано з деяким зниженням продуктивності, викликаним необхідністю перекодування. Шифрування також може використовуватися для захисту даних при їх передачі по лініям зв'язку. Існує безліч різних технологій кодування даних з метою приховування інформації, що передається. Необоротні технології, як і випливає з їхньої назви, не дозволяють встановити вихідні дані, хоча останні можуть використовуватися для збору достовірної статистичної інформації. Оборотні технології використовуються частіше. Для організації захищеної передачі даних по незахищених мережам повинні використовуватися системи шифрування, що включають наступні компоненти:

1) ключ шифрування, призначений для шифрування вихідних даних (звичайного тексту);

2) алгоритм шифрування, який описує, як за допомогою ключа шифрування перетворити звичайний текст в шифротекст;

3) ключ дешифрування, призначений для дешифрування шифротекста;

4) алгоритм дешифрування, який описує, як за допомогою ключа дешифрування перетворити шифротекст у вихідний звичайний текст.

Деякі системи шифрування, що називаються симетричними, використовують один і той же ключ як для шифрування, так і для дешифрування, при цьому передбачається наявність захищених ліній зв'язку, призначених для обміну ключами. Однак більшість користувачів не мають доступу до захищених ліній зв'язку, тому для отримання надійного захисту довжина ключа повинна бути не менше довжини самого повідомлення. Тим не менш більшість експлуатованих систем побудовано на використанні ключів, які коротше самих повідомлень. Одна з поширених систем шифрування називається DES (Data Encryption Standard) – в ній використовується стандартний алгоритм шифрування, розроблений фірмою IBM. У цій схемі для шифрування і дешифрування використовується один і той же ключ, який повинен зберігатися в таємниці, хоча сам алгоритм шифрування не є секретним. Цей алгоритм передбачає перетворення кожного 64-бітового блоку звичайного тексту з використанням 56-бітного ключа шифрування. В системі шифрування POP (Pretty Good Privacy) використовується 128битовый симетричний алгоритм, який застосовується для шифрування блоків відсилаємих даних.

Інший тип систем шифрування передбачає використання для шифрування та дешифрування повідомлень різних ключів – подібні системи прийнято називати несиметричними. Прикладом є система з відкритим ключем, що передбачає використання двох ключів, один з яких є відкритим, а інший зберігається в секреті. Алгоритм шифрування може бути відкритим, тому будь-який користувач, що бажає направити власнику ключів зашифроване повідомлення, може використовувати його відкритий ключ і відповідний алгоритм шифрування. Однак дешифрувати повідомлення зможе тільки той, хто знає парний закритий ключ шифрування. Системи шифрування з відкритим ключем можуть також використовуватися для відправки разом з повідомленням «цифровий підпис», підтверджує, що дане повідомлення було дійсно відправлено власником відкритого ключа. Найбільш популярною несиметричною системою шифрування є RSA (це ініціали трьох розробників даного алгоритму). Як правило, симетричні алгоритми є більш швидкодіючими, ніж несиметричні, однак на практиці обидві схеми часто застосовуються спільно, коли алгоритм з відкритим ключем використовується для шифрування випадковим чином згенерованого ключа шифрування, а вже цей випадковий ключ для шифрування самого повідомлення з застосуванням деякого симетричного алгоритму.

Описані вище різні механізми, які можуть використовуватися для захисту даних в середовищі СУБД, самі по собі не гарантують необхідного рівня захищеності і можуть виявитися неефективними у разі неправильного застосування або управління. З цієї причини повинні використовуватися також різні допоміжні процедури.

Одне з призначень процедури аудиту – перевірка того, чи всі передбачені засоби управління задіяні і відповідає рівень захищеності встановленим вимогам. В ході виконання інспекції аудитори можуть ознайомитися з використовуваними ручними процедурами, обстежити комп'ютерні системи і перевірити стан всієї наявної документації на дану систему.

Для визначення активності використання БД аналізуються її файли журналу. Ці ж джерела можуть використовуватися для виявлення будь-яких незвичайних дій в системі. Регулярне проведення аудиторських перевірок, доповнене постійним контролем вмісту файлів журналу з метою виявлення ненормальною активності в системі, дуже часто дозволяє своєчасно виявити і присікти будь-які спроби порушення захисту.

В процесі установки нового прикладного програмного забезпечення його обов'язково слід ретельно перевірити, перш ніж приймати рішення про їх розгортання та передачі в експлуатацію. Якщо рівень тестування буде недостатнім, істотно зростає ризик руйнування БД. Слід вважати хорошою практикою виконання резервного копіювання БД безпосередньо перед здачею нового програмного забезпечення в експлуатацію. Крім того, в перший період експлуатації нового додатка обов'язково слід організувати ретельне спостереження за функціонуванням системи. Окремим питанням, який повинен бути узгоджений зі сторонніми розробниками програм, є право власності на розроблене ними програмне забезпечення. Дана проблема повинна бути вирішена ще до початку розробки, причому це особливо важливо в тих випадках, коли існує ймовірність, що згодом організації обов'язково потрібно вносити зміни в створювані додатки. Ризик, пов'язаний з подібною ситуацією, що складається в тому, що організація не буде мати юридичного права використовувати це програмне забезпечення або модернізувати його. Потенційно подібна ситуація загрожує організації серйозними втратами.

В обов'язки АБД входить виконання модернізації програмного забезпечення СУБД при надходженні від розробника чергових пакетів змін. У деяких випадках вносяться зміни виявляються зовсім незначними і стосуються невеликої частини модулів системи. Проте можливі ситуації, коли потрібна повна ревізія всієї встановленої системи. Ніякі зміни і модернізації в жодному разі не повинні вноситися в систему без попередньої оцінки їх можливого впливу на наявні дані і програмне забезпечення.

Результатом ознайомлення з супроводжувальною документацією пакету повинен бути план дій з його встановлення. Головне завдання АБД – забезпечити повний і безболісний перехід від старої версії системи до нової.

9.3. НЕКОМП'ЮТЕРНІ ЗАСОБИ ЗАХИСТУ.

Некомп'ютерні засоби захисту включають вироблення обмежень, угод та інших адміністративних заходів, не пов'язаних з комп'ютерною підтримкою. До них відносяться:

1) заходи забезпечення безпеки і планування захисту від непередбачених обставин;

2) контроль за персоналом;

3) захист приміщень і сховищ;

4) гарантійні угоди;

5) договору про супровід;

6) контроль за фізичним доступом.

У документі щодо заходів забезпечення безпеки має бути визначено таке:

1) область ділових процесів організації, для якої вони встановлюються;

2) відповідальність та обов'язки окремих працівників;

3) дисциплінарні заходи, що вживаються в разі виявлення порушення встановлених обмежень;

4) процедури, які повинні обов'язково виконуватися.

План захисту від непередбачених обставин розробляється з метою детального визначення послідовності дій, необхідних для виходу з різних незвичайних ситуацій, не передбачених процедурами нормального функціонування системи. Контроль за персоналом. Творці комерційних СУБД покладають всю відповідальність за ефективне управління системою на її користувачів. Тому з точки зору захисту системи виключно важливу роль відіграють відношення до справи і дії людей, безпосередньо залучених у ці процеси.

Захист приміщень і сховищ. Основне обладнання системи, включаючи принтери, якщо вони використовуються для друку конфіденційної інформації, повинно розміщуватися в замкнутому приміщенні з обмеженим доступом, який повинен бути дозволений тільки основним фахівцям. Все інше обладнання, особливо переносний, має бути закріплено в місці розміщення та обладнано сигналізацією.

Гарантійні угоди являють собою юридичні угоди щодо програмного забезпечення, що укладаються між розробниками програм і їх клієнтами. На підставі цих угод деяка третя фірма забезпечує зберігання вихідного тексту програм додатка, розробленого для клієнта. Це одна з форм страхування клієнта на випадок, якщо компанія-розробник відійде від справ. У цьому випадку клієнт отримає право забрати вихідні тексти програм у третьої фірми, замість того щоб залишитися з додатком, позбавленим будь-якого супроводу.

Для всього використовуваного організацією обладнання та програмного забезпечення сторонньої розробки або виготовлення обов'язково повинні бути укладені відповідні договори про супровід.

Методи контроля за фізичним доступом до обладнанню можуть бути розділені на зовнішні та внутрішні.Внутрішній контроль використовується всередині окремих будівель і призначений для управління тими особами, хто буде мати доступ в певні приміщення. Зовнішній метод контролю застосовується поза будівель і призначений для організації доступу на майданчик або окремі будівлі.