Обеспечение защиты данных в базе

С появлением централизованных баз данных возникла необходимость в защите данных. Термин «защита данных» означает, во-первых, предупреждение несанкционированного или случайного доступа к данным, их изменения или разрушения со стороны пользователей. И, во-вторых, предупреждение изменения или разрушения данных при сбоях аппаратных и программных средств и ошибках в работе сотрудников группы эксплуатации.

Защита данных обеспечивает их безопасность и секретность. Эти две функции тесно связаны между собой и для их реализации используются одни и те же технические методы защиты данных в БД. Но между этими функциями существует и принципиальное различие. Под функцией безопасности понимается защита данных от непреднамеренного доступа к данным и возможности их искажения со стороны пользователей или лиц, выполняющих эксплуатацию, а также при сбоях в аппаратуре или программных средствах. Поэтому обеспечение безопасности – это внутренняя задача банка данных, поскольку связана с его нормальным функционированием. Под функцией секретности понимается защита данных от преднамеренного доступа пользователей или лиц, выполняющих эксплуатацию, или посторонних лиц. Обеспечение секретности требует разделения всей хранимой в БД информации на общедоступные данные и данные, которые должны использоваться конфиденциально (т. е. они либо сами содержат секретную информацию, либо ее можно получить из них с помощью специальной алгоритмической обработки). Решение этого вопроса выходит за рамки БнД и находится в компетенции юридических органов или администрации предприятия, для которого создается банк данных. Поэтому обеспечение секретности – это внешняя задача для банка данных. Однако, после того, как хранимые данные разделены на секретные и общедоступные, в БнД должны быть приняты все меры по обеспечению секретности. Обеспечение секретности включает в себя техническую и организационную стороны.

Рассмотрим только техническую сторону методов обеспечения защиты данных в базе. В дальнейшем будем считать, что СУБД не должна разрешать выполнение какой-либо операции над БД пользователю, не получившему на это соответствующие права, и что санкционирование доступа к данным выполняется администратором базы данных.

При решении вопросов защиты данных в обязанности АБД входит:

1) классификация данных в соответствии с их использованием;

2) определение прав доступа отдельных пользователей к определенным группам данных в БД и ограничений на характер операций, выполняемых пользователем с этими данными;

3) организация системы контроля доступа к данным;

4) исследование возникающих случаев нарушения защиты данных и проведение политики их предотвращения.

Администратор базы данных или сотрудники его группы, ответственные за защиту данных, должны хорошо знать состав, структуру и все характеристики системы, поскольку сбои или нарушения в системе могут возникать в самых различных местах.

Рассмотрим уровни доступа к БД для различных категорий пользователей:

1) неограниченный доступ ко всем отношениям в БД и их поколениям;

2) неограниченный доступ к группе отношений и их поколениям;

3) ограниченный доступ к группе отношений и их поколениям.

На уровне отношения различают следующие уровни доступа:

1) неограниченный доступ ко всему отношению для всех типов операций;

2) запрет на доступ к любым частям отношения для всех типов операций;

3) доступ к любой части отношения, но без права изменения ее содержимого;

4) доступ к любой части отношения, но с правом изменения значений только для атрибутов А₁, A₂,..., A_r;

5) неограниченный доступ только к одному кортежу отношения для всех типов операций;

6) доступ только к одному кортежу отношения без права изменения содержимого этого кортежа;

7) неограниченный доступ к атрибутам А₁, A₂,..., A_r отношения для всех типов операций и запрет доступа к остальным атрибутам отношения;

8) доступ только к атрибутам А₁, A₂,..., A_r отношения без права изменения их значений и запрет доступа к остальным атрибутам отношения;

9) доступ только к атрибутам А₁, A₂,..., A_r отношения с правом изменения значений только для атрибутов A_l,..., A_p, где {A_l,..., A_p} {А₁, A₂,..., A_r}, и запрет доступа к остальным атрибутам отношения;

10) доступ в соответствии с пунктами 1, 3, 4, 5, 6, 7, 8, 9, но с ограничением по интервалу времени (с t₁ no t₂);

11) доступ в соответствии с пунктами 1, 3, 4, 5, 6, 7, 8, 9, но с разрешением изменения значений атрибутов только в случае выполнения условий F₁,F₂,…F_r соответственно на значения атрибутов А₁, A₂,..., A_r (например, если значение атрибута не превышает некоторой величины z);

12) разрешение права применения вычислительных операторов (суммирование, вычитание и т. п.) к атрибутам А₁, A₂,..., A_r без права доступа к этим атрибутам или изменения их значений.

Приведенный список уровней доступа показывает требуемый диапазон работы и необходимую гибкость системы защиты данных общего назначения. В настоящее время нет реальных систем, в которых бы были реализованы все эти возможности для защиты данных. Причина этого в необходимости значительных затрат ресурсов системы (временных, аппаратных и др.) на поддержание полной системы защиты данных. Поскольку большинство СУБД работает под управлением операционных систем ЭВМ, для защиты данных в БД широко применяются средства защиты, предоставляемые операционными системами.

Рассмотрим основные методы и приемы защиты данных.

Идентификация пользователя

Предполагается, что АБД, предоставляя пользователям определенные права санкционированного доступа, должен указать системе, какие операции разрешены пользователю, сформировать паспорт пользователя и обеспечить средства идентификации пользователей при работе с системой.

Перед началом сеанса работы с системой пользователи должны идентифицировать себя и подтвердить подлинность своей идентификации, т. е. что они именно те лица, за которых себя выдают. Для особо важной информации эти два шага могут многократно повторяться. Процесс идентификации пользователя выполняется с помощью либо системного идентификационного номера пользователя, либо машиночитаемых идентифицированных карт или знаков, либо номера терминала, запросившего сеанс работы. В последнем случае необходимо использовать организационные меры, обеспечивающие возможность работы с определенного терминала только определенных лиц. Процесс подтверждения подлинности представляет собой обмен между пользователем и системой информацией, известной только системе и пользователю. В простейшем случае процесс подтверждения подлинности может отсутствовать, и система защиты использует только процесс идентификации пользователя. Подтверждение подлинности реализуется специальной процедурой, обычно несложной, но характеризующейся очень низкой вероятностью ее раскрытия. Это могут быть одноразовые пароли, ответы па некоторые вопросы или реализация некоторых алгоритмов.

Управление доступом

Для каждого пользователя система поддерживает паспорт пользователя, составленный администратором базы данных. В паспорте присутствует системный идентификационный номер пользователя, имя процедуры подтверждения подлинности, перечень разрешенных операций. Паспорт определяет профиль пользователя.

Однако в ряде случаев информация о составе разрешенных пользователю операций оказывается недостаточной для решения вопроса о допустимости выполнения этих операций с конкретными данными. Поэтому каждое групповое данное должно иметь связанный с ним набор ограничений доступа. Этот набор ограничений содержит: условие, которому должен удовлетворять пользователь, чтобы иметь доступ к групповому данному; пароль, предъявляемый при выборке некоторых комбинаций данных из группового данного;

пароль, предъявляемый при модификации этих данных, и т. п.

Специальная подпрограмма СУБД проверяет, не нарушено ли какое-либо ограничение из набора. В случае нарушения подавляется выполнение операции пользователя, выдается ему сигнал ошибки и фиксируется в специальном журнале факт попытки нарушения безопасности данных.

В общем случае, для решения вопроса о доступе пользователя к данным, в составе СУБД должна быть специальная привилегированная программа, проверяющая запрос пользователя на основании его паспорта, набора ограничений и конкретных значений данных в БД и решающая вопрос о разрешении или запрещении доступа. Поскольку эта программа должна иметь неограниченный по выборке доступ к любым данным в БД, администратором базы данных должны быть приняты специальные меры защиты программы, исключающие возможность ее использования не по назначению. Алгоритм подобной программы базируется на аксиоме безопасности и реализует различные проверки.

Аксиома безопасности. Если комбинация атрибутов Л доступна (запрещена) пользователю Х в зависимости от условия В, то каждая подкомбинация А также доступна (запрещена) пользователю Х по условию В.

Состав проверок может быть, например, следующим.

1. Все ли отношения, упомянутые в запросе, доступны пользователю X?

2. Все ли поколения, упомянутые в запросе, доступны пользователю X?

3. Все ли комбинации атрибутов, упомянутые в запросе, доступны пользователю X?

4. Задано ли квалифицирующее выражение, которое ограничивает для пользователя Х диапазон значений атрибутов, и если да, то лежат ли их значения внутри диапазона, доступного для X?

Если в результате проверок будет получен отрицательный ответ, то программа информирует пользователя об отклонении его запроса.