Средства защиты данных в СУБД

Как только данные структурированы и сведены в базу дан­ных, возникает проблема организации доступа к ним множества пользователей. Очевидно, что нельзя позволить всем без исклю­чения пользователям беспрепятственный доступ ко всем элемен­там базы данных. В любой базе данных существует конфиденци­альная информация, доступ к которой может быть разрешен лишь ограниченному кругу лиц. Так, в банковской системе осо­бо конфиденциальной может считаться, например, информация о выданных кредитах. Это — один из аспектов проблемы без­опасности в СУБД.

Безопасность реляционных СУБД

В самом общем виде требования к безопасности реляцион­ных СУБД формулируются так:

• данные в любой таблице должны быть доступны не всем пользователям, а лишь некоторым из них;

• некоторым пользователям должно быть разрешено обнов­лять данные в таблицах, в то время как для других допуска­ется лишь выбор данных из этих же таблиц;

• для некоторых таблиц необходимо обеспечить выборочный доступ к ее столбцам;

• некоторым пользователям должен быть запрещен непо­средственный (через запросы) доступ к таблицам, но разре­шен доступ к этим же таблицам в диалоге с прикладной программой.

Рассмотрим кратко средства защиты данных в СУБД и мето­ды авторизации доступа к данным, которые являются общепри­нятыми для большинства современных СУБД, а также обсудим новые методы зашиты данных.

Схема доступа к данным во всех реляционных СУБД выгля­дит примерно одинаково и базируется на трех принципах:

• пользователи СУБД рассматриваются как основные действующие лица, желающие получить доступ к данным. СУБД от имени конкретного пользователя выполняет опе­рации над базой данных, то есть добавляет строки в табли­цы (insert), удаляет строки (delete), обновляет данные в строках таблицы (update). Она делает это в зависимости от того, обладает ли конкретный пользователь правами на выполнение конкретных операций над конкретным объек­том базы данных;

• объекты доступа — это элементы базы данных, досту­пом к которым можно управлять (разрешать доступ или за­щищать от доступа). Обычно объектами доступа являются таблицы, однако ими могут быть и другие объекты базы данных — формы, отчеты, прикладные программы и т. д. Конкретный пользователь обладает конкретными правами доступа к конкретному объекту;

• привилегии (priveleges) — это операции, которые разреше­но выполнять пользователю над конкретными объектами. Например, пользователю может быть разрешено выполне­ние над таблицей операций select (зыбрать) и insert (включить).

Установление и контроль привилегий

Таким образом, в СУБД авторизация доступа осуществляется с помощью привилегий. Установление и контроль привилегий — прерогатива администратора базы данных.

Привилегии устанавливаются и отменяются специальными операторами языка SQL grant (разрешить) и revoke (отменить). Оператор grant указывает конкретного пользовате­ля, который получает конкретные привилегии доступа к указан­ной таблице. Например, оператор

GRANT SELECT, INSERT ОХ Деталь TO Петров

устанавливает привилегии пользователю Петров на выполнение операций выбора и включения над таблицей Деталь. Таким об­разом, оператор grant устанавливает соответствие между опера­циями, пользователем и объектом базы данных (таблицей в дан­ном случае).

Привилегии легко установить, но легко и отменить. Отмена привилегий выполняется оператором revoke. Пусть, например, пользователь Петров утратил доверие администратора базы дан­ных и последний решил лишить его привилегий на включение строк в таблицу Деталь. Он сделает это, выполнив оператор

REVOKE INSERT ON Деталь FROM Петров.

Конкретный пользователь СУБД опознается по уникальному идентификатору (user-id). Любое действие над базой данных, любой оператор языка SQL выполняется не анонимно, но от имени конкретного пользователя. Идентификатор пользователя определяет набор доступных объектов базы данных для конкрет­ного физического лица или группы лиц. Однако он ничего не сообщает о механизме его связи с конкретным оператором SQL. Например, когда запускается интерактивный SQL, как СУБД уз­нает, от имени какого пользователя осуществляется доступ к данным? Для этого в большинстве СУБД используется сеанс работы с базой данных. Для запуска на компьютере-кли­енте программы переднего плана (например, интерактивного SQL) пользователь должен сообщить СУБД свой идентификатор и пароль. Все операции над базой данных, которые будут выпол­нены после этого, СУБД свяжет с конкретным пользователем, который запустил программу.

Системы паролей в СУБД. Механизм ролей

Некоторые СУБД (Oracle, Sybase) используют собственную систему паролей, в других (Ingres, Informix) применяется иден­тификатор пользователя и его пароль из операционной системы.

Для современных баз данных с большим количеством поль­зователей актуальна проблема их объединения в группы. Тради­ционно применяются два способа определения групп пользова­телей:

• один и тот же идентификатор используется для доступа к базе данных целой группы физических лиц (например, со­трудников одного отдела). Это упрощает задачу админист­ратора базы данных, так как достаточно один раз устано­вить привилегии для этого «обобщенного» пользователя. Однако такой способ в основном предполагает разрешение на просмотр, быть может, на включение, но ни в коем слу­чае — на удаление и обновление. Как только идентифика­тор (и пароль) становится известен большому числу людей, возникает опасность несанкционированного доступа к дан­ным посторонних лиц;

• конкретному физическому лицу присваивается уникальный идентификатор. В этом случае администратор базы данных должен позаботиться о том, чтобы каждый пользователь получил собственные привилегии. Если количество поль­зователей базы данных возрастает, то администратору ста­новится все труднее контролировать привилегии. В органи­зации, насчитывающей свыше 100 пользователей, решение этой задачи потребует от него массу внимания.

Современные СУБД позволяют исправить эти неудобства, предлагая третий способ администрирования (Ingres, Informix). Суть его состоит в поддержке, помимо идентификатора поль­зователя, еще и идентификатора группы пользователей. Каж­дый пользователь, кроме собственного идентификатора, имеет также идентификатор группы, к которой он принадлежит. Чаще всего группа пользователей соответствует структурному подразделению организации, например отделу. Привилегии ус­танавливаются не только для отдельных пользователей, но и для их групп.

Одна из проблем защиты данных возникает по той причине, что с базой данных работают как прикладные программы, так и пользователи, которые их запускают. В любой организации су­ществует конфиденциальная информация о заработной плате ее служащих. К ней имеет доступ ограниченный круг лиц, напри­мер, финансовый контролер. В то же время к этой информации также имеют доступ некоторые прикладные программы, в част­ности, программа для получения платежной ведомости. Тогда на первый взгляд может показаться, что ее может запускать только финансовый контролер. Если он отсутствует, то сделать это мо­жет любой рядовой служащий — при условии, что ему известен пароль финансового контролера. Таким образом, необходимость запуска некоторых прикладных программ пользователями, кото­рые обладают различными правами доступа к данным, приводит к нарушению схемы безопасности.

Одно из решений проблемы заключается в том, чтобы при­кладной программе также были приданы некоторые привилегии доступа к объектам базы данных. В этом случае пользователь, не обладающий специальными привилегиями доступа к некоторым объектам базы данных, может запустить прикладную программу, которая имеет такие привилегии.

Так, в СУБД Ingres это решение обеспечивается механизмом ролей (role). Роль представляет собой именованный объект, хранящийся в базе данных. Роль связывается с конкретной при­кладной программой для придания последней привилегий досту­па к базам данных, таблицам, представлениям и процедурам базы данных. Роль создается и удаляется администратором базы данных, ей может быть придан определенный пароль. Как толь­ко роль создана, ей можно предоставить привилегии доступа к объектам базы данных.

Пусть, например, в некоторой организации работает служа­щий, имеющий имя пользователя Петров. По характеру своей работы он часто обращается к таблице Заработная плата. Он также является членом группы Учет. Для пользователей этой группы разрешено выполнение операции select над таблицей Заработная плата. Всякий раз, когда ему необходимо выпол­нить операцию выборки из таблицы, он должен для начала сеан­са ввести идентификатор своей группы.

Однако ни один из пользователей группы Учет не может непосредственно выполнить операцию update. Для этого необ­ходимо запустить программу Контроль заработной платы, ко­торая имеет привилегии обновления этой таблицы и выполняет специальные проверки для корректного выполнения операции. С этой целью администратором БД создается и помещается в БД роль Обновить заработную плату, для чего используется оператор

CREATE ROLE Обновить заработную

плату WITH PASSWORD = 'ДТ311С'.

Далее оператор

GRANT SELECT, UPDATE ON Заработная плата

TO ROLE Обновить заработную плату

предоставляет новой роли привилегии на выполнение операций выбора и обновления таблицы Заработная плата. Когда поль­зователь Петров, запускает программу Контроль заработной платы, то она получает привилегии роли Сбнсзхть заработную плату. Тем самым данный пользователь, сам не обладая приви­легиями на обновление таблицы, тем не менее может выполнить эту операцию, но только запустив прикладную программу. Она же, в свою очередь, должна играть определенную роль, которой приданы соответствующие привилегии доступа к таблице.

Многоуровневая защита

Выше речь шла о реализациях схемы безопасности, которые ограничиваются схемой «д а н н ы е — в л а д е л е п». В них пользователь, работающий с базой данных, является владельцем некоторых ее объектов, а для доступа к другим объектам должен получить привилегии. Он может получить статус пользователя СУБД и некоторые привилегии доступа к объектам БД, войти в группу пользователей и получить соответствующие привилегии доступа, получить права на запуск некоторых прикладных про­грамм. Это — так называемый добровольный или дискрецион­ный контроль доступа (discretionary access control). Называется он так потому, что владелец данных по собственному усмотре­нию ограничивает крут пользователей, имеющих доступ к дан­ным, которыми он владеет.

Несмотря на то, что в целом этот метод обеспечивает безо­пасность данных, современные информационные системы тре­буют другую, более изощренную схему безопасности — обяза­тельный или принудительный контроль доступа (mandatory access control). Он основан на отказе от понятия владельца дан­ных и опирается на так называемые метки безопасности (security labels), которые присваиваются данным при их создании. Каж­дая из меток соответствует некоторому уровню безопасности. Метки служат для классификации данных по уровням. Напри­мер, для правительственных и коммерческих организаций такая классификация выглядит следующим образом (рис. 8.6).

Рис. 8.6. Классификация данных по уровням безопасности

 

Так как данные размешены по уровням безопасности метка­ми, конкретный пользователь получает ограниченный доступ к данным. Он может оперировать только с данными, расположен­ными на том уровне секретности, который соответствует его ста­тусу. При этом он не является владельцем данных.

Эта схема безопасности опирается на механизм, позволяю­щий связать метки безопасности с каждой строкой любой табли­цы в базе данных. Любой пользователь может потребовать в сво­ем запросе отобразить любую таблицу из базы данных, однако увидит он только те строки, у которых метки безопасности не превышают уровень его компетенции.

Защита информации в сетях

Международные стандарты Х.800 и Х.509. Рекомендации IETF

Стандарт Х.800 описывает основы безопасности в привязке к эталонной с с м и у р о в н с в о й молел и. Стандарт преду­сматривает следующие сервисы безопасности:

• аутентификация (имеются в виду аутентификация партне­ров по общению и аутентификация источника данных);

• управление доступом — обеспечивает защиту от несанк­ционированного использования ресурсов, доступных по сети;

• конфиденциальность данных — в Х.800 под этим названи­ем объединены существенно разные вещи — от защиты от­дельной порции данных до конфиденциальности трафика;

• целостность данных — данный сервис подразделяется на подвиды в зависимости от того, что контролируется — це­лостность сообщений или потока данных, обеспечивается ли восстановление в случае нарушения целостности;

• неотказуемость — данный сервис относится к прикладному уровню, т. е. имеется в виду невозможность отказаться от содержательных действий, таких, например, как отправка или прочтение письма.

Администрирование средств безопасности включает в себя распространение информации, необходимой для работы серви­сов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка прав доступа, анализ ре­гистрационного журната и т. п.

Концептуальной основой администрирования является ин­формационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но ка­ждый компонент системы должен располагать информацией, достаточной для проведения в жизнь избранной политики без­опасности.

В условиях глобальной связности администрирование пере­стает быть внутренним делом организации. Во-первых, плохо за­щищенная система может стать плацдармом для подготовки и проведения злоумышленных действий. Во-вторых, прослежива­ние нарушителя эффективно лишь при согласованных действиях многих администраторов.

Стандарт Х.509 описывает процедуру аутентификации с ис­пользованием службы каталогов. Впрочем, наиболее ценной в стандарте оказалась не сама процедура, а ее служебный эле­мент — структура сертификатов, хранящих имя пользователя, криптографические ключи и сопутствующую информацию. По­добные сертификаты — важнейший элемент современных схем аутентификации и контроля целостности.

Рекомендации IETF. Сообществом Интернет под эгидой Те­матической группы по технологии Интернет (Internet Engineering Task Force — IETF) разработан ряд рекомендаций по отдельным аспектам сетевой безопасности.

Рекомендации периодически организуемых конференций по архитектуре безопасности Интернет носят весьма общий, а по­рой и формальный характер. Основная идея состоит в том, что­бы средствами оконечных систем обеспечивать сквозную без­опасность. От сетевой инфраструктуры в лучшем случае ожида­ется устойчивость по отношению к атакам на доступность.

Базовые протоколы, наиболее полезные с точки зрения без­опасности, включают в себя — IPsec, DNSsec, S/MIME, X.509v3, TLS и ассоциированные с ними. Наиболее проработанными на сегодняшний день являются вопросы защиты на IP-уровне. Спе­цификации семейства IPsec регламентируют следующие аспек­ты:

• управление доступом;

• контроль целостности на уровне пакетов;

• аутентификация источника данных;

• защита от воспроизведения;

• конфиденциальность (включая частичную защиту от ана­лиза трафика);

• администрирование (управление криптографическими ключами).

Протоколы обеспечения аутентичности и конфиденциаль­ности могут использоваться в двух режимах: транспортном и туннельном. В первом случае защищается только содер­жимое пакетов и, быть может, некоторые поля заголовков. Как правило, транспортный режим используется хостами. В тун­нельном режиме защищается весь пакет — он инкапсулируется в другой IP-пакет. Туннельный режим (тунеллирование) обыч­но реализуют на специально выделенных защитных шлюзах (в роли которых могут выступать маршрутизаторы или межсете­вые экраны).

Суть туннелирования состоит в том, чтобы «упаковать» пере­даваемую порцию данных вместе со служебными полями в но­вый «конверт». Данный сервис может применяться для несколь­ких целей:

• осуществление перехода между сетями с разными протоко­лами (например, IPv4 и IPv6):

• обеспечение конфиденциальности и целостности всей пе­редаваемой порции, включая служебные поля.

Туннелирование может применяться как на сетевом, так и прикладном уровнях. Например, стандартизовано туннелирова­ние для IP и двойное конвертование для почты Х.400.

Следует отметить, что IP-уровень можно считать оптималь­ным для размещения защитных средств, поскольку при этом достигается удачный компромисс между защищенностью, эф­фективностью функционирования и прозрачностью для прило­жений. Стандартизованными механизмами IP-безопасности мо­гут (и должны) пользоваться протоколы более высоких уровней и, в частности, управляющие протоколы, протоколы конфигури­рования и маршрутизации.

На транспортном уровне аутентичность, конфиденциаль­ность и целостность потоков данных обеспечиваются протоко­лом TLS (Transport Layer Security, RFC 2246). Подчеркнем, что здесь объектом зашиты являются не отдельные сетевые пакеты, а именно потоки данных (последовательности пакетов). Злоумыш­ленник не сможет переупорядочить пакеты, удалить некоторые из них или вставить свои.

На основе TLS могут строиться защищенные протоколы прикладного уровня. В частности, предложены спецификации для HTTP над TLS.

Архитектура механизмов защиты информации в сетях ЭВМ

Архитектуру механизмов защиты информации можно рас­смотреть на примере эталонной модели взаимодействия откры­тых систем — ВОС (см. ранее гл. 6).

Основные концепции применения методов и средств защиты информации на уровне базовой эталонной модели изложены в международном стандарте ISO/IEC 7498-2 «Базовая эталонная модель взаимодействия открытых систем, часть 2 «Архитектура безопасности». В самом наименовании ВОС термин открытые подразумевает, что если вычислительная система соответствует стандартам ВОС, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это естественно относится и к вопросам зашиты информации.

В ВОС различают следующие основные активные способы несанкционированного доступа к информации:

• маскировка одного логического объекта под другой, обла­дающий большими полномочиями (ложная аутентифика­ция абонента);

• переадресация сообщений (преднамеренное искажение ад­ресных реквизитов);

• модификация сообщений (преднамеренное искажение ин­формационной части сообщения):

• блокировка логического объекта с целью подавления неко­торых типов сообщений (выборочный или сплошной пере­хват сообщений определенного абонента, нарушение управляющих последовательностей и т. п.).

Поскольку эталонная модель относится только к взаимосвя­зи открытых систем, то и защита информации рассматривается в том же аспекте. Прежде всего, приведём перечень видов услуг, предоставляемых по защите информации, которые обеспечива­ются с помощью специальных механизмов защиты. В настоящее время определено четырнадцать таких услуг:

1) аутентификация равнозначного логическо­го объекта (удостоверение подлинности удаленного абонен­та-получателя) — обеспечивается во время установления их со­единения или во время нормального обмена данными для гаран­тии того, что равноправный логический объект, с которым осуществляется взаимодействие, является тем, за кого себя вы­дает. Для аутентификации равнозначного логического объекта требуется, чтобы лежащий ниже уровень обеспечивал услуги с установлением соединения;

2) аутентификация источника данных — под­тверждение подлинности источника (абонента-отправителя) со­общения. Эта услуга не ориентирована на соединение и не обес­печивает защиту от дублирования («проигрывания» ранее пере­хваченного и записанного нарушителем) блока данных;

3) управление доступом (разграничение доступа) — обес­печивает защиту от несанкционированного доступа к ресурсам, потенциально доступным посредством ВОС. Доступ может быть ограничен полностью или частично. Например, для информаци­онного ресурса может быть ограничен доступ по чтению, запи­си, уничтожению информации;

4) засекречивание соединения — обеспечивает конфиденциальность всех сообщений, передаваемых пользовате­лями в рамках данного соединения. Данная услуга направлена на предотвращение возможности ознакомления с содержанием сообщений со стороны любых лиц, не являющихся легальными пользователями соединения. При этом в некоторых случаях нет необходимости в защите срочных данных и данных в запросе на установление соединения;

5) засекречивание в режиме без установления соединения — обеспечивает конфиденциальность всех дан­ных пользователя в сообщении (единственном сервисном блоке данных), передаваемом в режиме без установления соединения;

6) засекречивание поля данных — обеспечивает конфиденциальность отдельных полей данных пользователя на всем соединении или в отдельном сервисном блоке данных;

7) засекречивание трафика — препятствует возмож­ности извлечения информации из наблюдаемого графика;

8) целостность соединения с восстановлени­ем — позволяет обнаружить попытки вставки, удаления, моди­фикации или переадресации в последовательности сервисных блоков данных. При нарушении целостности предпринимается попытка ее восстановления;

9) целостность соединения без восстановле­ния — обеспечивает те же возможности, что и предыдущая ус­луга, но без попытки восстановления целостности;

10) целостность поля данных в режиме с уста­новлением соединения — обеспечивает целостность от­дельного поля данных пользователя во всем потоке сервисных блоков данных, передаваемых через это соединение, и обнару­живает вставку, удатение, модификацию или переадресацию этого поля;

11) целостность поля данных в режиме без ус­тановления соединения — позволяет обнаружить моди­фикацию выбранного поля в единственном сервисном блоке данных;

12) целостность блока данных в режиме без ус­тановления соединения — обеспечивает целостность единственного сервисного блока данных при работе без установ­ления соединения и позволяет обнаружить модификацию и не­которые формы вставки и переадресации;

13) информирование об отправке данных — по­зволяет обнаружить логические объекты, которые посылают ин­формацию о нарушении правил защиты информации. Инфор­мирование об отправке предоставляет получателю информацию о факте передачи данных в его адрес, обеспечивает подтвержде­ние подлинности абонента-отправителя. Услуга направлена на предотвращение отрицания отправления, т. е. возможности отказа от факта передачи данного сообщения со стороны отпра­вителя;

14) информирование о доставке — позволяет обна­ружить логические объекты, которые не выполняют требуемых действий после приема информации, предоставляет отправите­лю информацию о факте получения данных адресатом. Услуга направлена на предотвращение отрицания доставки, т. е. обес­печивает защиту от попыток получателя отрицать факт получе­ния данных.

Теоретически доказано, а практика защиты сетей подтверди­ла, что все перечисленные услуги могут быть обеспечены крип­тографическими средствами защиты, в силу чего эти средства и составляют основу всех механизмов защиты информа­ции в ВС. Центральными при этом являются следующие задачи:

• взаимное опознавание (аутентификация) вступающих в связь абонентов сети;

• обеспечение конфиденциальности циркулирующих в сети данных;

• обеспечение юридической ответственности абонентов за передаваемые и принимаемые данные.

Решение последней из названных задач обеспечивается с по­мощью так называемой цифровой (электронной) под­писи.

К настоящему времени разработан ряд протоколов аутенти­фикации, основанных на использовании шифрования, которые обеспечивают надежную взаимную аутентификацию абонентов вычислительной сети без экспозиции любого из абонентов. Эти протоколы являются стойкими по отношению ко всем рассмот­ренным выше угрозам безопасности сети.

Любая СУБД есть полная или частичная реализация некото­рой политики безопасности, которая может содержать или не содержать криптографические механизмы безопасности. Основ­ной проблемой использования криптографических методов для зашиты информации в СУБД является проблема распределения ключей шифрования, управления ключами.

Ключи шифрования для баз данных требуют использования специфических мер зашиты. Если база данных разделяется меж­ду многими пользователями (что, как правило, и имеет место на практике), то предпочтительно хранить ключи в самой системе под зашитой главного ключа, чем распределять ключи прямо между пользователями. Сама задача управления при этом может возлагаться на пользователя. Вторичные ключи могут храниться либо в самой базе данных, либо в отдельном файле.

Отметим, что любой протокол шифрования должен отвечать на следующие основные вопросы:

1) каким образом устанавливается первоначальный канал связи между отправителем и получателем с операциями «откры­тый текст — шифротекст — открытый текст»?

2) какие предоставляются средства для восстановления про­цесса обмена и восстановления синхронизации протокола?

3) каким образом закрываются каналы?

4) каким образом взаимодействуют протоколы шифрования с остальными протоколами сети?

5) каков объем необходимого математического обеспечения для реализации протоколов шифрования и зависит ли безопас­ность сети от этих программ?

6) каким образом адресация открытого текста, проставляемая отправителем, проходит через средства информации в сети, что­бы предотвратить пути, по которым данные открытого текста могли бы быть намеренно или случайно скомпрометированы?

Желательно иметь протокол, который позволяет производить динамическое открытие и закрытие канала, обеспечивать защиту от сбоев и все это с минимальными объемами механизма, от ко­торого зависит безопасность сети. Характеристики сети, полу­чающиеся при использовании соответствующего протокола шифрования, должны сравниваться с характеристиками сети без использования протоколов шифрования. Несомненно, что пред­почтительней использование общего сетевого протокола, кото­рый мог бы встраиваться в сеть с минимальным нарушением су­ществующих механизмов передачи.

Механизм управления доступом, предназначенный для реа­лизации соответствующего вида перечисленных выше услуг, основан на идентификации логического объекта (или инфор­мации о нем) для проверки его полномочий и разграничения доступа.

Если логический объект пытается получить доступ к ресурсу, использование которого ему не разрешено, механизм управле­ния доступом (в основе которого также наиболее эффективными средствами являются криптографические) отклонит эту попытку и сформирует запись в специальном системном журначе для по­следующего анализа. Механизмы управления доступом могут быть основаны на:

1) информационных базах управления доступом, где содер­жатся сведения о полномочиях всех логических объектов;

2) системах управления криптографическими ключами, обес­печивающими доступ к соответствующей информации;

3) идентифицирующей информации (такой, как пароли), предъявление которой дает право доступа;

4) специальных режимах и особенностях работы логического объекта, которые дают право доступа к определенным ресурсам;

5) специальных метках, которые будучи ассоциированы с конкретным логическим объектом, дают ему определенные пра­ва доступа;

6) времени, маршруте и продолжительности доступа.

Механизмы удостоверения целостности данных подразделя­ются на два типа: обеспечивающие целостность единственного блока данных и обеспечивающие целостность потока блоков данных или отдельных полей этих блоков. Целостность единст­венного блока данных достигается добавлением к нему при пе­редаче проверочной величины (контрольной суммы, имитов- ставки), которая является секретной функцией самих данных. При приеме генерируется (формируется) такая же величина и сравнивается с принятой. Защита целостности последовательно­сти блоков данных требует явного упорядочения блоков с помо­щью их последовательной нумерации, криптографического упо­рядочения или отметки времени.

Механизмы аутентификации (взаимного удостоверения под­линности) абонентов, вступающих в связь, используют пароли, криптографические методы, а также характеристики и взаимоот­ношения подчиненности логических объектов. Криптографиче­ские методы могут использоваться в сочетании с протоколами взаимных ответов («рукопожатия») для зашиты от переадреса­ции. Если обмен идентификаторами не даст положительного ре­зультата, то соединение отклоняется или заканчивается с соот­ветствующей записью в системном журнале и выдачей сообще­ния об этом событии.

Механизм заполнения трафика используется для защиты от попыток анализа трафика. Он эффективен только в случае шиф­рования всего трафика, когда нельзя отличить информацию от заполнения.

Механизм управления маршрутизацией позволяет использо­вать только безопасные с точки зрения защиты информации фрагменты сети, участки переприема, коммуникации, звенья. Может быть запрещена передача некоторых данных по опреде­ленным маршрутам, или оконечная система, обнаружив воздей­ствие на ее информацию, может потребовать предоставить ей маршрут доставки данных, обеспечивающий их конфиденциаль­ность и целостность.

Механизм нотариального заверения обеспечивается участием третьей стороны — «нотариуса», позволяет подтвердить целост­ность данных, удостоверить источник и приемник данных, вре­мя сеанса связи и т. п.

Пример системы защиты локальной вычислительной сети

Для иллюстрации приведем краткое описание системы за­щиты локальной вычислительной сети на основе ОС Novell NetWare, известной под названием «Secret NET».

Назначение системы защиты. Система защиты «Secret NET» (далее по тексту Система зашиты) предназначена для обеспече­ния зашиты хранимой и обрабатываемой в локальной вычисли­тельной сети (ЛВС) информации от несанкционированного дос­тупа (ознакомления, искажения, разрушения) и противодейст­вия попыткам нарушения нормального функционирования ЛВС и прикладных систем на ее основе.

В качестве защищаемого объекта выступает ЛВС персональ­ных ЭВМ, работающих под сетевой операционной системой Novell NetWare 3.1х (файловые серверы), объединенных при по­мощи сетевого оборудования Ethernet, Arcnet или Token-Ring.

Максимальное количество защищенных станций — 256, защи­щенных файловых серверов — 8, уникально идентифицируемых пользователей — 255.

Система защиты позволяет решать следующие задачи:

• защита от лиц, не допущенных к работе с системой обра­ботки информации;

• регламентация (разграничение) доступа законных пользо­вателей и программ к информационным, программным и аппаратным ресурсам системы в строгом соответствии с принятой в организации политикой безопасности;

• защита ЭВМ сети от внедрения вредоносных программ (за­кладок), а также инструментальных и технологических средств проникновения;

• обеспечение целостности критических ресурсов Системы зашиты и среды исполнения прикладных программ;

• регистрация, сбор, хранение и выдача сведений обо всех событиях, происходящих в сети и имеющих отношение к ее безопасности;

• централизованное управление средствами Системы защиты.

Для решения перечисленных задач Система защиты включа­ет следующие подсистемы (ПС):

• идентификации и аутентификации пользователей;

• разграничения доступа к ресурсам;

• контроля целостности;

• регистрации;

• управления средствами защиты (администрирования).

Общее содержание функций подсистем заключается в сле­дующем.

ПС идентификации и аутентификации. Выполняет функцию идентификации/аутентификации (проверки подлинности) поль­зователя при каждом его входе в Систему, а также после каждой приостановки его работы. Для идентификации в системе каждо­му пользователю присваивается уникальное имя. Обеспечивает­ся работа с именами длиной до 12 символов (символов латин­ского алфавита и специальных символов). Вводимое имя отобра­жается на экране рабочей станции.

Проверка подлинности пользователя осуществляется после его идентификации для подтверждения того, что пользователь действительно является тем. кем представился. Проверка осуще­ствляется путем проверки правильности введенного пароля.

Поддерживается работа с паролями длиной до 16 символов. Вво­димый пароль не отображается на экране рабочей станции.

При неправильно введенном пароле на экран выдается сооб­щение об ошибке и подается звуковой сигнал. При трехкратном неверном вводе пароля блокируется клавиатура, выдается сооб­щение о попытке НСД на сервер управления доступом и осуще­ствляется оперативное оповещение администратора безопасно­сти, регистрируется попытка НСД в системном журнале и выда­ется звуковой сигнал.

Пароли администратора и всех пользователей системы хра­нятся в зашифрованном виде и могут быть изменены как адми­нистратором безопасности, так и конкретным пользователем (изменение только своего пароля) с помощью специатьных про­граммных средств.

Для повышения защищенности идентификация/аутентифи­кация пользователя может проводиться до загрузки операцион­ной системы. Это обеспечивается специальным техническим устройством (микросхемой ПЗУ или платой Secret NET Card).

ПС разграничения доступа. Реализует концепцию диспетчера доступа, при которой ПС является посредником при всех обра­щениях субъектов к объектам доступа (попытки обращения к объекту в обход ПС приводят к отказу в доступе); может рабо­тать в одном из двух режимов функционирования: основном и технологическом.

Технологический режим предназначен для точного определения объектов, к которым должен иметь доступ пользо­ватель, и прав доступа к ним. При работе в этом режиме Систе­ма только регистрирует все попытки доступа к защищаемым ре­сурсам в системном журнале и выдает предупреждающие сооб­щения на экран.

В основном режиме Система зашиты не только реги­стрирует попытки доступа к защищаемым ресурсам, но и бло­кирует их.

Пользователю предоставлена только возможность назначе­ния прав доступа других пользователей к принадлежащим ему (созданным им) объектам.

Для реализации избирательного управления доступом под­система поддерживает замкнутую среду доверенного программ­ного обеспечения (с помощью индивидуальных для каждого пользователя списков программ, разрешенных для запуска). Создание и ведение списков программ возложено на админист­ратора. Для этого в его распоряжении имеются специальные программные средства.

Для совместного использования программ и данных Система защиты предусматривает возможность объединения пользовате­лей в группы. Права доступа группы наследуются всеми пользо­вателями этой группы.

ПС обеспечивает контроль доступа субъектов к следующим объектам:

• физическим и логическим устройствам (дискам, принте­рам);

• каталогам дисков;

• файлам;

• физическим и логическим секторам дисков.

В подсистеме реализована сквозная иерархическая схема действия прав доступа к локальным объектам рабочей станции, при которой объект нижнего уровня наследует права доступа объектов доступа верхних уровней (диск — каталог — файл).

Права доступа пользователя к объектам системы могут при­нимать следующие значения: