Управление доступом. Идентификация и аутентификация

Идентификация и аутентификация

Защита информационных объектов (БД)

Информация, хранимая в БД, должна быть надежно защищена. Так как к БД обращаются многие пользователи, то особенно важно, чтобы элементы данных и связи между ними не разрушались.

Защита БД означает защиту собственно данных и их контролируемое использование на рабочих местах, а так же защиту любой сопутствующей информации, извлекаемой из этих данных.

Для СУБД и БД важны 3 аспекта информационной безопасности:

1. Доступность

2. Целостность

3. Конфиденциальность.

Основные направления борьбы с потенциальными угрозами конфиденциальности и целостности данных:

1. идентификация и проверка подлинности пользователей (аутентификация);

2. управление доступом к данным;

3. механизм подотчетности всех действий, влияющих на безопасность (протоколирование);

4. защита регистрационной информации от искажений и ее анализ;

5. очистка объектов перед их повторным использованием;

6. защита информации, передаваемая по каналам связи.

Обычно для идентификации и проверки подлинности в СУБД применяются 2 механизма:

· идентификация и аутентификация выполняется ОС;

· идентификация и аутентификация выполняется СУБД. Например, в СУБД Oracle применяется оператор SQL CONNECT: CONNECT пользователь [/пароль] [@база_данных];

Если пароль опущен, то выводится окно для его ввода и на время отключается эхоотображение вводимых символов.

Таким образом, в момент начала работы с сервером БД пользователь идентифицируется своим именем, а средством аутентификации служит пароль.

Аутентификация на основе пароля затрудняет повторные проверки во время сеанса работы с сервером БД и практически исключает такие проверки перед каждой транзакцией. То есть, если терминал оставлен без присмотра, то на нем можно от имени пользователя выполнить любые доступные ему команды.

Использование средств аутентификации на основе личных карточек дало бы большую свободу в реализации контроля за подлинностью пользователей.

В современных СУБД поддерживается один из двух широко распространенных подходов к управлению доступом: избирательный (дискреционный) и обязательный (мандатный).

В случае обязательного управления каждому объекту данных присваивается некоторый классификационный уровень, а каждому пользователю некоторый уровень допуска.

При таком подходе допуском к определенному объекту обладают только пользователи с соответствующим уровнем допуска. Такие схемы статичны и жестки.

В случае избирательного управления некий пользователь обладает различными правами с различными объектами. Независимо от того, какие схемы используются, все решения относительно доступа пользователей принимаются на стратегическом уровне, а не на техническом уровне.

Избирательная схема доступа базируется на трех принципах:

1. Пользователи СУБД рассматриваются как основные действующие лица, желающие получить доступ к данным. СУБД выполняет все действия над БД (DELETE – удаляет строки; INSERT – вставляет строки; UPDATE – обновляет данные в строках таблицы) от имени конкретного пользователя. СУБД выполняет эти действия, если конкретный пользователь обладает правами на выполнение конкретных операций над конкретными объектами БД.

2. Объект доступа – это элемент БД, доступом к которому можно управлять, то есть разрешать доступ или защищать от доступа. Объекты в БД – это таблицы, представления, формы, отчеты, прикладные программы, столбцы и строки таблицы.

3. Привилегии – операции, которые разрешено выполнять пользователю над определенными объектами. Это операции – SELECT, INSERT, UPDATE, DELETE. Привилегии устанавливаются или отменяются операторами SQL, например:

GRANT SELECT, INSERT ON Деталь TO Битов;

REVOKE INSERT ON Деталь FROM Битов;

Привилегии легко установить и легко отменить.

Конкретный пользователь СУБД опознается по уникальному идентификатору (user_id). Любое действие на БД, любой оператор SQL выполняется не анонимно, а от имени конкретного пользователя. Для организации работы пользователя с БД и установления связи конкретных операторов интерактивного SQL с конкретным пользователем используется сеанс или сессия в большинстве СУБД, для этого пользователю нужно сообщить СУБД свое имя и пароль.

Некоторые СУБД (Oracle, Sybase) используют собственную систему паролей, в других (Ingres, Informix) идентификатор пользователя и его пароль берутся из операционной системы.

Для современной БД актуальна проблема объединения пользователей в группы и задания им привилегий.

Традиционно применяется 4 подхода для работы с пользователями и группами:

1. Один и тот же идентификатор используется для доступа к БД целой группой лиц (Например: отдел предприятия). Преимущества такого подхода - легче администрировать. Недостатки - если пароль известен группе лиц, возникает опасность несанкционированного доступа к БД посторонних лиц.

2. Каждый пользователь получает свой уникальный идентификатор и пароль. Недостатки такого подхода – сложнее настраивать и контролировать привилегии при большом количестве пользователей. Достоинством является то, что можно контролировать действия каждого пользователя.

3. Комбинированный подход используется в СУБД Ingres и Informix. Поддерживается идентификатор пользователя и идентификатор группы пользователей, каждый пользователь имеет свой идентификатор и идентификатор группы, к которой он принадлежит. Привилегии устанавливаются не только для отдельных пользователей, но и для их группы.

4. С БД кроме пользователей работают прикладные программы, которые тоже должны иметь привилегии. В ряде СУБД используется механизм ролей. Роль представляет собой именованный объект, хранящийся в БД. Роль связывается с конкретной прикладной программой для придания ей привилегий доступа к объектам БД. Роль создается и удаляется администратором БД, ей присваивается пароль. Пользователь, не обладающий специальными привилегиями доступа к некоторым объектам БД, может запустить прикладную программу, которая имеет такие привилегии.

Пример: Пусть в организации работает служащий Битов. По характеру работы он часто обращается к таблице Заработная_плата и является членом группы «Учет». Для пользователей этой группы разрешено выполнение операции SELECT над таблицей Заработная_плата

Для выборки данных из этой таблицы он должен в начале сеанса ввести свой пароль. Никто из группы «Учет» не имеет права на выполнение операции UPDATE. Для обновления таблицы Заработная_плата необходимо запустить прикладную программу «Контроль заработной платы», которая имеет привилегии обновления таблицы Заработная_плата и выполняет специальные проверки корректности этой операции. Чтобы программа могла обновлять, администратор БД создает и помещает в БД роль Обновить_заработную_плату.

GREATE ROLE Обновить_заработную_плату WITH PASSWORD= «ДТЗ110»;

Оператор

GRANT SELECT, UPDATE ON Заработная_плата TO ROLE Обновить_заработную_плату;

предоставляет этой роли привилегии на выполнение операций выбора и обновления таблицы Заработная_плата.

Если пользователь Битов запускает программу «Контроль заработной платы», то программа имеет привилегии роли Обновить_заработную_плату.

В дискреционной схеме управления доступом применяется модель «данные- владелец». Владелец данных по собственному усмотрению ограничивает круг пользователей, имеющих доступ к данным, которыми он владеет.

Средства произвольного управления доступом не могут помешать авторизованному пользователю законным образом получить секретную информацию и затем сделать ее доступной для других, неавторизованных пользователей. Нетрудно понять, почему это так. При произвольном управлении доступом привилегии существуют отдельно от данных (в случае реляционных СУБД - отдельно от строк реляционных таблиц). В результате данные оказываются "обезличенными", и ничто не мешает передать их кому угодно даже средствами самой СУБД.

Обязательный или принудительный (мандатный) метод доступа основан на отказе от понятия владельца данных и опирается на метки безопасности, которые присваиваются данным при их создании.

Метки служат для классификации данных по уровням:

Данные расклассифицированы по уровням безопасности, метками. Конкретный пользователь может оперировать с данными, расположенными на том уровне секретности, который соответствует его статусу.

Правила доступа:

1. Пользователь i имеет доступ к объекту j, если его уровень допуска больше либо равен уровню классификации объекта j.

2. Пользователь i может модифицировать объект j только, если его уровень равен уровню классификации объекта j. (любая информация, записанная пользователем i, автоматически приобретает его уровень классификации).

В СУБД INGRES/Enhanced Security к каждой реляционной таблице неявно добавляется столбец, содержащий метки безопасности строк таблицы. Метка безопасности состоит из трех компонентов:

• Уровень секретности. Смысл этого компонента зависит от приложения. В частности, возможен традиционный спектр уровней от "совершенно секретно" до "несекретно".
• Категории. Понятие категории позволяет разделить данные на "отсеки" и тем самым повысить надежность системы безопасности. В коммерческих приложениях категориями могут служить "финансы", "кадры", "материальные ценности" и т.п. Ниже назначение категорий разъясняется более подробно.
• Области. Является дополнительным средством деления информации на отсеки. На практике компонент "область" может действительно иметь географический смысл, обозначая, например, страну, к которой относятся данные.

Каждый пользователь СУБД INGRES/Enhanced Security характеризуется степенью благонадежности, которая также определяется меткой безопасности, присвоенной данному пользователю. Пользователь может получить доступ к данным, если степень его благонадежности удовлетворяет требованиям соответствующей метки безопасности. Более точно:

• уровень секретности пользователя должен быть не ниже уровня секретности данных;
• набор категорий, заданных в метке безопасности данных, должен целиком содержаться в метке безопасности пользователя;
• набор областей, заданных в метке безопасности пользователя, должен целиком содержаться в метке безопасности данных.

Рассмотрим пример. Пусть данные имеют уровень секретности "конфиденциально", принадлежат категории "финансы" и относятся к областям "Россия" и "СНГ". Далее, пусть степень благонадежности пользователя характеризуется меткой безопасности с уровнем секретности "совершенно секретно", категориями "финансы" и "кадры", а также областью "Россия". Такой пользователь получит доступ к данным. Если бы, однако, в метке пользователя была указана только категории "кадры", в доступе к данным ему было бы отказано, несмотря на его "совершенно секретный" уровень.
Когда пользователь производит выборку данных из таблицы, он получает только те строки, меткам безопасности которых удовлетворяет степень его благонадежности. Для совместимости с обычными версиями СУБД, столбец с метками безопасности не включается в результирующую информацию.
Отметим, что механизм меток безопасности не отменяет, а дополняет произвольное управление доступом. Пользователи по-прежнему могут оперировать с таблицами только в рамках своих привилегий, но даже при наличии привилегии SELECT им доступна, вообще говоря, только часть данных.Строки таблицы, отмеченные как строки уровня максимальной безопасности, может увидеть только пользователь, у которого наивысший уровень.

Методы обязательного управления доступом получили распространение в любой военной системе. Некоторые коммерческие СУБД обеспечивают обязательную защиту на уровне класса В1, а ниже используется избирательный метод для доступа к данным

СУБД, в которых поддерживаются методы обязательной защиты, называются системами с многоуровневой защитой, а также – надежными системами.

По оценкам экспертов концепция многоуровневой безопасности в ближайшие годы будет использована в большинстве коммерческих СУБД.

Дата добавления: 2014-01-06; Просмотров: 1527; Нарушение авторских прав?; Мы поможем в написании вашей работы!