Защита данных при статистической обработке

Процедуры статистической обработки позволяют получить агрегированную информацию о подмножествах некоторого множества объектов (вычислении сумм, получении средних и т. п.). Рассмотрим только процедуры статистической обработки, реализующие вычислительные функции с арифметическими операциями: сложение, вычитание, умножение и деление.

Кроме обычных проблем предотвращения несанкционированного доступа к БД для статистических процедур существуют свои специфические проблемы защиты данных. Во многих случаях допускаются запросы типа «Подсчитать средний возраст сотрудников отдела», в то время как доступ к анкетным данным любого конкретного сотрудника отдела запрещен без специального разрешения.

Для решения этой проблемы в состав ЯМД вводятся специальные агрегатные функции для вычисления сумм и средних. Тогда в рабочие поля агрегатных функций попадают конкретные исходные данные, а в рабочие поля прикладных программ – значения сумм и средних. Однако агрегатные функции не решают вопрос полностью, поскольку, применяя одну и ту же функцию несколько раз и видоизменяя состав подмножества обсчитываемых объектов, можно путем сравнения получить интересующее конкретное данное к решению задачи.

Первый подход защиты данных заключается в том, что если и не исключить полностью возможность раскрытия индивидуальных данных, то, по крайней мере, сделать эту возможность достаточно трудной. Рассмотрим базу данных, содержащую п. записей. Пусть V={v₁, v₂, …, v_n} – множество значений некоторого неключевого поля этих записей. Линейным запросом называется сумма ,

где с_i – произвольные действительные числа.

Наиболее важными случаями линейных запросов являются суммы по множеству записей S, когда

если запись i принадлежит множеству S,

если запись i не принадлежит множеству S.

 

Если допускаются линейные запросы, продуцирующие (обрабатывающие) не менее т элементов (записей), и никакие два запроса не могут иметь более k общих элементов (общих записей) и если m>>k, то для вычисления некоторого неизвестного элемента (значения поля в интересующей нас записи) необходимо сделать не менее m/k запросов. Стратегия защиты заключается в увеличении этого отношения. Если ввести ограничения на структуру запросов, то можно исключить возможность раскрытия конкретных данных.

(Ограничить min размер группы и min количество общих элементов в группах).

Второй подход заключается в следующем. Если ключ записи состоит из х полей и в запросе допускается специфицировать не более у(у<х) полей ключа (т. е. выполняется поиск по частичному соответствию ключа), то никакая статистическая функция, использующая только операции сложения, вычитания, умножения и деления, не позволит определить значение данного в конкретной записи.

(Запрет выборки по полному ключу).

Физическая защита

Подходы, описанные выше, недостаточны для защиты БД от лиц, желающих использовать ее в обход системы. Примером обхода системы является физическое извлечение части базы данных: похищение магнитной ленты или пакета дисков, контроль передачи по линии связи между удаленным терминалом, за которым работает истинный пользователь, и системой и т. п.

Основная мера защиты при подобных ситуациях – использование специальных методов кодирования данных. Один из простейших методов – перекомпоновка символов в кортеже, записи, сообщении. Другой метод заключается в замене символа (или группы символов) другим символом (или группой символов) этого же либо другого алфавита и др. Физическая защита связана также с защитой данных от сбоев в аппаратных и программных средствах. В этом случае используются средства операционной системы – хранение поколений данных, формирование контрольных точек и выполнение при необходимости рестарта, ведение системных журналов и т.п.

ГЛАВА 13. ЦЕЛОСТНОСТЬ БД

Проблема целостности заключается в обеспечении правильности данных в БД в любой момент времени, т.е. касается защиты данных от непреднамеренных ошибок и предотвращения последних. Этим проблема целостности отличается от проблемы безопасности, в остальном эти два вопроса тесно соприкасаются. В некоторых случаях можно использовать один и тот же механизм для достижения обеих целей.