Методы и приемы защиты данных от несанкционированного доступа, от лиц, пытающихся незаконно получить доступ к БД.

Идентификация пользователя.

АдБД, предоставляя пользователям определенные права санкционированного доступа, должен указать системе, какие операции разрешены пользователю, сформировать паспорт пользователя и обеспечить средства идентификации поль­зователя при работе с системой. Перед началом сеанса работы с системой пользователи должны:

1. идентифицировать себя;

2. подтвердить подлинность своей идентификации, то есть, что они именно те лица, за которых себя выдают.

Для особо важной информации эти два шага могут многократно повторяться.

Процесс идентификации пользователя выполняется с помощью: 1) либо системного идентификационного номера пользователя; 2) либо машиночитаемых идентификационных карт и знаков; 3) либо номера терминала, запросившего сеанс работы. В варианте 3 нужно принять меры по обеспечению возможности работы с определенного терминала только определенных лиц.

Процесс подтверждения подлинности представляет собой обмен между пользователем и системой информацией, известной только системе и присущей пользователю (распознавание голоса, рисунка кожного покрова пользователя и так далее).

В простейшем случае процесс подтверждения подлинности может отсутствовать, и система защиты использует только процесс идентификации (то есть набрал кто-то код и система разрешает доступ). Само подтверждение подлинности часто реализуется специальной процедурой: одноразовые пароли, ответы на ряд некоторых алгоритмов и т.д. (вплоть до распознавания голоса, рисунка линий на пальце и т.д.)

Управление доступом.

Как было уже указано ранее, для каждого пользователя система должна поддерживать паспорт пользователя, составленный АдБд. В паспорте присутствует: 1) системный идентификационный номер пользователя; 2) имя процедуры подтверждения подлинности; 3) перечень разрешенных операций.

Однако, в ряде случаев, информация о составе разрешенных пользователю операций оказывается недостаточно для решения вопроса о допустимости вы­полнения этих операций с конкретными данными (например, с уставками регулирования, с регламентными пределами технологических параметров АСУТП). Поэтому каждое групповое данное должно иметь связанный с ним набор ограничений доступа:

• условие, которому должны удовлетворять пользователь, чтобы иметь доступ к этому групповому данному;

• пароль, предъявляемый при выборке некоторых комбинаций данных из группового данного;

• пароль, предъявляемый при модификации этих данных, и т.п.

Специальная программа СУБД проверяет, не нарушено ли какое-либо ог­раничение из набора. Если нарушено, то:

1. подавляется выполнение операций пользователя;

2. ему выдается сигнал ошибки;

3. фиксируется в специальном журнале факт попытки нарушения безопасности данных.

Поскольку эта специальная программа должна иметь неограниченный по выборке доступ к любым данным в БД, администратором БД должны быть приняты меры, исключающие возможность ее использования не по назначению. Ал­горитм подобной программы базируется на аксиоме безопасности и реализует различные проверки.

Аксиома безопасности.

Если комбинация атрибутов А доступна (запрещена) пользователю X в зависимости от условия В, то каждая подкомбинация А также доступна (запрещена) пользователю X по условию В.

Например: в ИО АСУ блоком ГРЭС, если пользователю X доступны для изменения регламентные пределы параметров котла (Т₁, Т₂,...,P₁, Р₂, и т.д.), то и данные (Т₁+Т₂)/2 (подкомбинация) также доступны пользователю.

Состав проверок может быть следующий:

1. Все ли отношения, упомянутые в запросе, доступны пользователю X?

2. Все ли поколения, упомянутые в запросе, доступны пользователю X?

3. Все ли комбинации атрибутов, упомянутые в запросе, доступны пользователю X?

4. Задано ли квалифицирующее выражение, которое ограничивает для пользователя X диапазон значений и атрибутов, и если да, то лежат ли их значения внутри диапазона, доступного для X?

Если в результате проверок будет получен отрицательный ответ, то про­грамма информирует пользователя об отклонении запроса.

В качестве примера рассмотрим фрагмент программы проверки условий безопасности на гипотетическом языке:

CREATE SECURITY RULE SR3

/*Создать правило безопасности SR3*/

GRANT RETRIEVE (NS, SNAME, CITY), DELETE

/*Позволить обновление (NS, SNAME, CITY) и удаление */

ON S WHERE S, CITY ≠ "ЛОНДОН"

/*Для поставщиков не из Лондона */

ТО ДЖИМ, ФРЕД, МЭРИ

/*Для пользователей: ДЖИМ, ФРЕД, МЭРИ */

ON ATTEMTED VIOLATION REJECT;

/*Не выполнять при нарушении этого правила */

 

7.2.3. Шифрование данных (физическая защита).

В предыдущих параграфах подразумевалось, что предполагаемый несанкционированный, незаконный пользователь пытается незаконно проникнуть в БД с помощью обычных средств доступа, имеющихся в системе (подобрав идентификационный номер, воспользовавшись конфиденциальными сведениями какого-либо пользователя и т.д.) Но может иметь место и случай, когда такой субъект пытается проникнуть в БД, минуя систему, то есть, физически перемещая часть БД (например, похитив жесткий диск) или подключаясь к коммуникационному каналу. Наиболее эффективным методом борьбы с такой угрозой является шифрование данных, т.е. хранение и передача данных в зашифрованном виде.

До обсуждения основных концепций шифрования (кодирования), необходимо ввести некоторые новые понятия.

Исходные (незакодированные) данные называются открытым текстом. Открытый текст шифруется с помощью специального алгоритма шифрования. В качестве входных данных для такого алгоритма используется открытый текст и ключ шифрования, а в качестве выходных - зашифрованная форма открытого текста, которая называется зашифрованным текстом. Если детали алгоритма шифрования могут быть известны (опубликованы), то ключ шифрования обязательно хранится в секрете. Именно зашифрованный текст, который не­понятен тем, кто не обладает ключом шифрования, хранится в БД и передается покоммуникационному каналу.

Пример: 1. Пусть в качестве открытого текста дана следующая строка:

АВАРИЯ В РЕАКТОРЕ

2. Предположим, ключом является строка - шифр 05 | 12 | 09 | 15

Д Р 3 Н

Алгоритм шифрования:

1. разбиваем открытый текст на блоки, длина которых равна длине ключа шифрования (пробел + для наглядности):

ABAP | ИЯ + В | + PEA | КТОР | Е +++
2. Заменяется каждый символ открытого текста целым числом в диапазоне

00 - пробел (у нас +), 01 - А,..., 33 - Я.

01 03 01 18 | 10 33 00 03 | 00 18 06 01 | 12 20 16 18 | 06 00 00 00
3. Повторяем этап 2 для ключа шифрования

05 12 09 15

4. Теперь значения для каждого символа в каждом блоке открытого текста (зашифрованного в пункте 2) суммируется с соответствующими значениями каждого символа ключа шифрования (зашифрованного в пункте 3), причем для каждой суммы таких значений подсчитывается и записывается остаток от деления на 34:

01 03 01 18 10 33 00 03 00 18 06 01 12 20 16 18 06 00 00 00

05 12 09 15 05 12 09 15 05 12 09 15 05 12 09 15 05 12 09 15

06 15 1033 | 15 11 09 18 | 0530 15 16 | 17322523 | 11 1209 15 ЕНИЯ НИЗР ДЬРО ПЮЧХ ИКЗН

5. заменяется каждое число в нижней строке пункта 4 соответствующим
текстовым символом.

Расшифровка: практическая реализация алгоритма в обратном направлении.

Например: расшифровывание: 1) буквы в цифры; 2) вычитается из каждых двух цифр соответствующие цифры шифры; 3) и перевод в текстовые символы, там где результат тоже со знаком минус, то прибавляем 34.

06 15 10 33 15 11 09 18

-05 12 09 15 05 2 09 15

01 03 01 18 10 -01 00 03

А В А Р И +34 + В

33 =

Я

Т.е. там где результат со знаком «минус», то прибавляем 34.

Если ключ известен, то процедура расшифровки в этом примере выполня­ется достаточно просто.

Данный пример основан на использовании процедур подстановки: КЛЮЧ шифрования применяется для того, чтобы определить какой символ зашифрован­ного текста следует подставить вместо каждого символа открытого текста.

Подстановка - один из двух основных традиционно используемых спосо­бов шифрования.

Перестановка, когда символы открытого текста переставляются в иной по­следовательности.

В настоящее время разработано много вариантов шифрования, некоторые из них рассмотрены в публикации.