Модель подсистемы безопасности СУБД



Мы поможем в написании ваших работ!


Мы поможем в написании ваших работ!



Мы поможем в написании ваших работ!


ЗНАЕТЕ ЛИ ВЫ?

Модель подсистемы безопасности СУБД



Рассмотрим (в качестве рабочего примера) защищенную многопользовательскую СУБД “ЛИНТЕР”, разработанную НПП “Релэкс” (г. Воронеж), сертифицированную Гостехкомиссией по 2 классу защищенности.

Модель защиты СУБД ЛИНТЕР обеспечивает полнофункциональную многоуровневую схему защиты данных на всех этапах обработки и хранения данных в системе. Она включает в себя принципы организации ЗИ, перечень блокируемых угроз, набор средств ЗИ, характеристику субъектов и объектов контроля.

Принципы организации ЗИ в СУБД ЛИНТЕР:

-СУБД ЛИНТЕР работает только с идентифицированными пользователями;

-все данные, хранящиеся в БД, имеют владельца и идентификационные метки;

-всем пользователям БД ставится в соответствие список прав доступа;

-пользователь может выполнить операцию только в случае, если операция будет разрешена всеми уровнями защиты одновременно;

-администраторы не имеют непосредственно доступа к данным других пользователей. Их отличия от остальных заключаются только в возможности управлять другими пользователями;

-администратор безопасности не имеет непосредственно доступа к данным. Его функции заключаются в управлении ПСБ в целом и контроле работы пользователей на основе развитых средств разграничения доступа и регистрации событий;

-для многопользовательской сетевой работы может применяться принудительное управление доступом;

-пользователь может получить метки доступа запрашиваемых данных с целью дальнейшего контроля за дальнейшим использованием информации;

-все действия по каналам логической связи с БД надежно связаны с пользователем, который открыл данный канал. После закрытия логической связи невозможно пользоваться данным каналом;

-СУБД ЛИНТЕР использует принцип минимальных привилегий в случае, если привилегии не указываются явно.

Модель ПСБ противодействует следующим угрозам безопасности:

-действиям незарегистрированного пользователя;

-действиям нарушителя от имени легального пользователя;

-получению данных без разрешения владельца;

-получению информации с высоким уровнем конфиденциальности пользователем с низким уровнем конфиденциальности;

-понижению уровня конфиденциальности данных;

-извлечению информации из пространств памяти, переданной под контроль операционной системы;

-размещению данных на выделенных устройствах;

-подключению пользователей со слабо защищенных устройств сети;

-неконтролируемому распространению конфиденциальной информации после выдачи ее из БД;

-падению надежности системы при сбоях в работе оборудования;

-присвоению пользователем себе новых прав;

-нарушениям целостности ПСБ;

-нарушениям, возникающим при ошибках администрирования БД.

Средства защиты информации в СУБД ЛИНТЕР:

-диспетчер доступа;

-средства аутентификации;

-многоуровневая система разграничения доступа;

-подсистема дискреционного доступа;

-подсистема мандатного доступа;

-средства контроля целостности информации;

-средства аудита;

-подсистема контроля доступа с внешних устройств;

-подсистема очистки памяти;

-подсистема контроля за внешними физическими устройствами хранения информации.

Объекты контроля в СУБД ЛИНТЕР.

Объектами контроля (защиты) в СУБД ЛИНТЕР являются таблицы и представления, а также столбцы и строки таблиц (поля строк).

Таблицы базы данных и представления являются именованными объектами, имеющими владельца (создателя). Массивы данных, построенные на основе таблиц, содержат информацию в виде множества строк (записей) одинаковой структуры. Строки таблиц разбиты на поля именованными столбцами. Все поля соответствующие одному столбцу имеют один и тот же тип и длину данных.

Представление (View) представляет собой SQL-запрос - выборку из таблиц СУБД, образуемую при обращении к нему.

Все объекты защиты перечислены в табл. 12.

Таблица 12.

Объекты защиты в СУБД

Объект защиты Логическая защита Физическая защита
Базовая таблица + +
Представление +  
Столбец таблицы   +
Строка таблицы   +
Поле   +

Логическая защита в ЛИНТЕР представляет собой набор прав субъектов или ролей по отношению к защищаемому объекту:

-владение таблицей (представлением);

-возможность для владельца таблицы изменять набор прав (расширять, отнимать, ограничивать доступ).

Данные о логической защите находятся в системных таблицах базы и отделены от защищаемых объектов (от таблиц или представлений).

Физическая защита в ЛИНТЕР реализована в виде меток безопасности и характеризует групповые принадлежности, уровни конфиденциальности и ценности объекта (таблицы, столбца, строки или поля). Метки безопасности неизменны на всем протяжении существования объекта защиты (умирают только вместе с ним) и территориально (на диске) располагаются вместе с защищаемыми данными.

Все объекты СУБД (независимо от их иерархии в базе данных) разбиваются на группы принадлежности. Объект может принадлежать только одной из групп (это может быть, например, разбиение по отделам организации).

Группы принадлежности напрямую связаны с группами субъектов. Субъект вправе видеть только данные своей группы, если между группами субъектов не установлены отношения доверия.

Уровень конфиденциальности разбивает объекты по доступности с точки зрения возможности чтения (и видения). Пользователь с более низким уровнем доступа не будет знать даже о существовании объектов с более высоким уровнем конфиденциальности.

Уровень ценности, напротив, разбивает данные (объекты) по важности, ограничивая возможность их удаления и модификации.

Субъекты контроля в ПСБ СУБД ЛИНТЕР

Все субъекты контроля СУБД разделены в соответствии с дискреционным принципом контроля на три основные категории: Connect, Resource и Dba:

- Connect – категория, дающая право на присоединение пользователя к системе и подачу запросов к доступным ему данным;

- Resource – категория, имеющая все возможности Connect плюс возможности изменения структуры базы данных путем построения своих объектов контроля (таблиц, представлений);

- Dba - категория администраторов базы данных, включающая возможности обеих предыдущих категорий, а также возможность вводить (удалять) в систему (из системы) субъекты контроля или изменять уровень их полномочий.

В корпоративных базах данных, содержащих сотни (тысячи) субъектов и объектов, сложно определять права каждого субъекта при работе с каждым объектом. Поэтому, для упрощения этой процедуры в ЛИНТЕР реализован аппарат ролей.

Роль - это именованный набор прав на множество объектов базы данных. Введенные роли разбивают всех пользователей базы на группы. Владелец того или иного объекта базы назначает тот или иной вид доступа для роли как для простого пользователя. После того, как роль вобрала в себя все требуемые права, она может быть присвоена пользователю, группе или другой роли. Имеющуюся у пользователя роль (роли) можно отнять.

Мандатный принцип контроля, реализованный в СУБД ЛИНТЕР, предлагает:

-деление пользователей на группы доступа;

-иерархию объектов по уровням доступа (десять уровней с номерами от 1 до 10);

-иерархию пользователей по уровням доверия (десять уровней с номерами от 1 до 10).

Группа доступа субъекта указывает на его принадлежность к группе субъектов по доступу (это может быть, например, принадлежность к отделу организации, к группе людей, объединенных одними функциями и пр.). Группа назначается субъекту администратором безопасности, последний может так же переместить субъекта из одной группы в другую. Всего (в СУБД ЛИНТЕР) может быть 250 таких групп.

Группы доступа напрямую связаны с группами данных:

-данным присваивается группа доступа (субъекта), который их внес;

-данные, принадлежащие одной группе, недоступны пользователям другой группы;

-одна группа может доверить другой группе работу со своими данными.

Уровень доступа субъекта задается при его создании администратором безопасности или изменяется позже. Он определяет: какие из данных (по уровню конфиденциальности) доступны субъекту, а какие нет. Все данные с уровнем конфиденциальности более высоким, чем уровень доступа субъекта, последнему недоступны и он даже не подозревает об их существовании.

Уровень доверия субъекта (или уровень доверия субъекта на понижение уровня конфиденциальности) назначается администратором безопасности и определяет конфиденциальность данных, вводимых в БД их владельцем. ЛИНТЕР не позволит ему внести информацию с уровнем конфиденциальности ниже, чем уровень доверия субъекта. Любая вносимая (изменяемая) этим субъектом информация уже будет иметь минимальный “гриф” или уровень конфиденциальности.

 



Последнее изменение этой страницы: 2016-04-26; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.236.55.22 (0.021 с.)