Понятие информационной безопасности в субд; средства управления доступом в субд

Под информационной безопасностью понимают защищенность информации от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.

Защита баз данных предусматривает предотвращение любых преднамеренных и непреднамеренных угроз с использованием компьютерных и некомпьютерных средств контроля. Следует также защищать:

· современные информационные системы;

· глобальную связанность (выход в Internet);

· разнородность (различные платформы);

· технологию «клиент-сервер».

Программно-технический аспект информационной безопасности.

1. аутентификация и идентичность;

2. управление доступом;

3. поддержка целостности;

4. протоколирование и аудит;

5. защита коммуникаций между клиентом и сервером;

6. отражение угроз, специфичных для СУБД.

 

Аутентификация и идентичность.

Авторизация - предоставление прав (привилегий), позволяющих владельцу иметь законный доступ к объектам базы данных. Аутентификация – механизм определения того, является ли пользователь тем, за кого он себя выдает.

Управление доступом.

После получения права доступа к СУБД пользователь автоматически получает привилегии, связанные с его идентификатором.

Привилегии в СУБД могут быть разделены на две категории: привилегии безопасности и привилегии доступа. Привилегии безопасности позволяют выполнять административные действия, привилегии доступа определяют права доступа субъектов к определенным объектам.

Привилегии доступа выделяются пользователям, ролям, группам ил всем посредством оператора GRANT (привилегии отменяются оператором REVOKE); как правило, эти привилегии присваивает владелец соответствующих объектов.

Оператор GRANT позволяет реализовать следующие виды ограничений доступа:

· операционные ограничения (за счет прав доступа операторов выборки, вставки, удаления и обновления, применяемые ко всем или отдельным столбцам таблицы);

· ограничения по значениям (за счет механизма представлений);

· ограничения на ресурсы (за счет привилегий к базам данных).

Управление доступом базируется на реализации следующего минимального набора действий:

· произвольное управление доступом;

· обеспечение безопасности повторного использования объектов;

· использование меток безопасности;

· принудительное управление доступом.

Произвольное управление доступом - метод ограничения доступа к объектам, основанный на учете личности субъекта или групп, в которую субъект входит.

В качестве дополнения к средствам управления доступа можно отнести безопасность повторного использования объектов, которая должна гарантироваться для областей оперативной памяти, в частности, для буферов с образами экрана, расшифрованными паролем, для магнитных носителей. Следует обратить внимание и на обеспечение безопасности повторного использования субъектов. Это означает лишение прав для входа в информационную систему всех пользователей, покинувших организацию.

Тем не менее, останется нерешенной одна важная проблема - слежение за передачей информации. Для решения этой проблемы применяют подход, позволяющий осуществить разделение данных по уровням секретности и категориям доступа, называемый метками безопасности.

Метка безопасности состоит из двух частей: уровня секретности и списка категорий. Принцип принудительного управления доступом основан на сопоставлении меток безопасности субъекта и объекта. Для чтения информации из объекта необходимо доминирование метки субъекта над меткой объекта. При выполнении операции записи информации в объект необходимо доминирование метки безопасности объекта над меткой субъекта.