Главная страница
Навигация по странице:

  • Модели разграничения доступа Шифрование

  • Защищенная БД Аудит событий безопасности Защита интерфейсов

  • Л1 защищенная модель. Структурная модель защищенной базы данных


    Скачать 56.12 Kb.
    НазваниеСтруктурная модель защищенной базы данных
    Дата17.06.2022
    Размер56.12 Kb.
    Формат файлаdocx
    Имя файлаЛ1 защищенная модель.docx
    ТипАнализ
    #598757
      1. Структурная модель защищенной базы данных



    Модель защищенной БД включает в себя основные методы, способы и модели для защиты БД.

    Защищенная база данных – база данных, находящаяся в состоянии защищенности, которая обеспечивает конфиденциальность, доступность и целостность данных, то на рисунке приведена модель защищенной базы данных – в виде определенной структуры, используемой для представления таких способов, методов или моделей, которые представляются в виде элементов для защиты базы данных и связей между ними.
    Модель исключает реализацию следующих основных угроз БД:

    1. Угроза раскрытия, которая заключается в том, что информация становится известной пользователю, который не авторизован для этого. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен несанкционированный доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой.

    2. Угроза целостности, которая включает в себя любое несанкционированное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью.

    3. Угроза отказа служб (отказа в обслуживании) , которая возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным.
      1. Анализ и классификация угроз БД

        1. Общая характеристика угроз безопасности баз данных



    Если БД реализована на базе локальной или распределенной информационной системы, то в ней могут быть реализованы различные угрозы безопасности информации. При этом может обеспечиваться НСД к данным или реализовываться угроза отказа в обслуживания. Особенно опасны угрозы, когда БД представляет собой распределенную систему, подключенную к сетям общего пользования и (или) сетям международного информационного обмена. Классификационная схема угроз, реализуемых по сети, приведена на рисунке 2. В ее основу положено шесть следующих первичных признаков классификации.

    1. Характер угрозы. По этому признаку угрозы могут быть пассивные и активные. Пассивная угроза – это угроза, при реализации которой не оказывается непосредственное влияние на работу БД, но могут быть нарушены установленные правила разграничения доступа к данным. Примером таких угроз является угроза направленная на прослушивание каналов связи и перехват передаваемой информации.

    Активная угроза – это угроза, связанная с воздействием на ресурсы БД, при реализации которой оказывается непосредственное влияние
    на работу системы (изменение конфигурации, нарушение работоспособности
    и т.д.), и с нарушением установленных правил разграничения доступа к данным. Примером таких угроз является угроза «Отказ в обслуживании».

    2. Цель реализации угрозы. По этому признаку угрозы могут быть направлены на нарушение конфиденциальности, целостности и доступности информации (в том числе на нарушение работоспособности БД или ее элементов).

    3. Условие начала осуществления процесса реализации угрозы. По этому признаку может реализовываться угроза:

    по запросу от объекта, относительно которого реализуется угроза. В этом случае нарушитель ожидает передачи запроса определенного типа, который и будет условием начала осуществления несанкционированного доступа;

    по наступлению ожидаемого события на объекте, относительно которого реализуется угроза. В этом случае нарушитель осуществляет постоянное наблюдение за состоянием операционной системы БД и при возникновении определенного события в этой системе начинает несанкционированный доступ;

    безусловное воздействие. В этом случае начало осуществления несанкционированного доступа безусловно по отношению к цели доступа, то есть угроза реализуется немедленно и безотносительно к состоянию системы.

    4. Наличие обратной связи с БД. По этому признаку процесс реализации угрозы может быть с обратной связью и без обратной связи. Угроза, осуществляемая при наличии обратной связи с БД, характеризуется тем, что на некоторые запросы, переданные на БД, нарушителю требуется получить ответ. Следовательно, между нарушителем и БД существует обратная связь, которая позволяет нарушителю адекватно реагировать на все изменения, происходящие в БД. В отличие от угроз, реализуемых при наличии обратной связи с БД, при реализации угроз без обратной связи не требуется реагировать на какие-либо изменения, происходящие в БД.

    5. Расположение нарушителя относительно БД. В соответствии с этим признаком угроза реализуется как внутрисегментно, так и межсегментно. Сегмент сети – физическое объединение хостов (технических средств БД или коммуникационных элементов, имеющих сетевой адрес). Например, сегмент БД образует совокупность хостов, подключенных к серверу по схеме «общая шина». В случае, когда имеет место внутрисегментная угроза, нарушитель имеет физический доступ к аппаратным элементам БД. Если имеет место межсегментная угроза, то нарушитель располагается вне БД, реализуя угрозу из другой сети или из другого сегмента БД.

    6. Соотношение количества нарушителей и элементов БД, относительно которых реализуется угроза. По этому признаку угроза может быть отнесена к классу угроз, реализуемых одним нарушителем относительно одного технического средства БД (угроза «один к одному»), сразу относительно нескольких технических средств БД (угроза «один ко многим») или несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств БД (распределенные или комбинированные угрозы).
        1. Классификация угроз информационной безопасности баз данных и средства по их предотвращению



    При проектировании БД различного назначения для хранения больших и сверхбольших объемов информации проектировщики обычно делают выбор в пользу реляционной СУБД. На последующих стадиях проектирования и разработки обеспечение безопасности базы данных (ядра всей системы) обычно сводится к выделению классов пользователей, их информационных потребностей и привилегий (эти и еще несколько этапов входят в формирование политики безопасности), проектированию системы разграничения доступа.

    На всех стадиях жизненного цикла информационной системы, построенной на основе реляционной СУБД, возможны реализации большого числа угроз различных классов. Эти возможности следуют как из свойств самой реляционной модели данных, так и из особенностей реализации СУБД различными производителями и используемой модели разграничения доступа. Защита информации в реляционных базах данных имеет специфику, заключающуюся в том, что семантика обрабатываемых данных дает большие возможности по реализации различных угроз применительно к базе данных, чем, скажем, к файловой системе.

    Под угрозой обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.

    Угроза нарушения конфиденциальности данных включает в себя любое умышленное или случайное раскрытие информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. К нарушению конфиденциальности ведет как умышленное действие, направленное на реализацию несанкционированного доступа к данным, так и случайная ошибка программного или неквалифицированного действия оператора, приведшая к передаче по открытым каналам связи незащищенной конфиденциальной информации.

    Угроза нарушения целостности включает в себя любое умышленное или случайное изменение информации, обрабатываемой в информационной системе или вводимой из первичного источника данных. К нарушению целостности данных может привести как преднамеренное деструктивное действие некоторого лица, изменяющего данные для достижения собственных целей, так и случайная ошибка программного или аппаратного обеспечения,

    приведшая к безвозвратному разрушению данных.

    Первый шаг в анализе угроз — их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако не забывая о возможности захвата организации террористами), но в пределах выбранных видов провести максимально подробный анализ.

    Отметим, что необходимо не только провести работу по выявлению и анализу самих угроз, но и изучить и описать источники возникновения выявленных угроз. Такой подход поможет в выборе комплекса средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.
        1. Актуальные угрозы информации баз данных



    Разработка системы информационной безопасности должна базироваться на определенном перечне потенциальных угроз безопасности и установлении возможных источников их возникновения. Проектирование конкретной системы безопасности для любого объекта, в том числе и для систем баз данных, предполагает

    выявление и научную классификацию перечня источников угроз безопасности.

    Сформулируем перечень внешних и внутренних угроз информационной безопасности баз данных.

    Внешними дестабилизирующими факторами, создающими угрозы безопасности функционированию систем баз данных и СУБД, являются:

    — умышленные, деструктивные действия лиц с целью искажения, уничтожения или хищения программ, данных и документов системы, причиной которых являются нарушения информационной безопасности защищаемого объекта;

    — искажения в каналах передачи информации, поступающей от внешних источников, циркулирующих в системе и передаваемой потребителям, а также недопустимые значения и изменения характеристик потоков информации из внешней среды и внутри системы;

    — сбои и отказы в аппаратуре вычислительных средств;

    — вирусы и иные деструктивные программные элементы, распространяемые с использованием систем телекоммуникаций, обеспечивающих связь с внешней средой или внутренние коммуникации распределенной системы баз данных;

    — изменения состава и конфигурации комплекса взаимодействующей аппаратуры системы за пределы, проверенные при тестировании или сертификации системы.

    Внутренними источниками угроз безопасности баз данных и СУБД являются:

    — системные ошибки при постановке целей и задач проектирования автоматизированных информационных систем и их компонент, допущенные при формулировке требований к функциям и характеристикам средств обеспечения безопасности системы;

    — ошибки при определении условий и параметров функционирования внешней среды, в которой предстоит использовать информационную систему и, в частности, программно-аппаратные средства защиты данных;

    — ошибки проектирования при разработке и реализации алгоритмов обеспечения безопасности аппаратуры, программных средств и баз данных;

    — ошибки и несанкционированные действия пользователей, административного и обслуживающего персонала в процессе эксплуатации системы;

    — недостаточная эффективность используемых методов и средств обеспечения информационной безопасности в штатных или особых условиях эксплуатации системы.

    Полное устранение всех потенциальных угроз информационной безопасности баз данных принципиально невозможно. Реальная задача состоит в снижении вероятности реализации потенциальных угроз до приемлемого для конкретной системы уровня. Приемлемость соответствующего уровня угроз может определяться областью применения, выделенным бюджетом или положениями действующего законодательства. Как правило, не удается построить дерево угроз со строгой иерархией. Поэтому совокупный риск является достаточно сложной функцией уязвимости компонентов системы. Различные негативные воздействия также достаточно сложным образом влияют на основные характеристики качества и безопасности систем баз данных.

    Основным руководящим принципом создания систем защиты является принцип равнопрочности. Следует распределять доступные ресурсы, обеспечивающие информационную безопасность системы, таким образом, чтобы минимизировать некоторый обобщенный показатель риска при любых негативных внешних и внутренних воздействиях на систему. Наличие в системе угроз, для защиты от которых в системе не предусмотрено каких-либо

    мер противодействия, приводит к тому, что все усилия, затраченные на возведение эффективных барьеров для иных способов деструктивного воздействия на систему, к ожидаемому результату не приведут. Отсюда следует важный практический вывод: учет угроз должен быть всесторонний и для каждой из возможных угроз должен быть реализован соответствующий угрозе метод защиты.

        1. Выявление угроз информационной безопасности баз данных



    Для того чтобы обеспечить определенный уровень безопасности информационных систем, необходимо понять природу возникающих угроз, основные методы, обеспечивающие снижение уровня уязвимости системы или технологии, и стоимость соответствующих решений, соотнесенную с уровнем безопасности, который обеспечивается решением.

    Недостаточный уровень осознания лицами, принимающими решения, природы угроз и назначения и характеристик методов обеспечения безопасности приводит к широкому распространению различных заблуждений. Реализация всестороннего анализа угроз информационной безопасности любого объекта, в том числе и систем баз данных, требует проведения классификации. Научная классификация опирается на анализ предшествующего опыта, объединяет близкие по содержанию случаи в выделенные разделы классификатора. Независимо от принятого подхода к определению безопасности классификация угроз и их источников представляет самостоятельный интерес. Наличие различных классификаций позволяет исследователю не пропустить существенную для конкретной системы угрозу из богатого списка угроз информационной безопасности баз данных.

    Проблема обеспечения информационной безопасности баз данных является многогранной. Сами базы данных—- это модель реального мира, который бесконечно многообразен. Проектирование и сопровождение систем баз данных требуют современных программно-аппаратных средств обработки данных и достаточно сложных схем и структур организационного управления. Поэтому можно выбрать много оснований для классификации угроз информационной безопасности баз данных. Учитывая высокий темп изменений в компьютерной и телекоммуникационной индустрии, следует ясно понимать, что вряд ли представленная классификация является исчерпывающей.

    Анализ современной научной литературы позволил выделить следующие варианты классификации возможных угроз нарушения информационной безопасности баз данных.

    Классификация по цели реализации угрозы:

    1. Нарушение конфиденциальности информации, т. е. использование информации, хранящейся в системе, лицами или процессами, которые не были определены владельцами информации.

    2. Нарушение целостности информации, т. е. модификация или уничтожение информации для ее обесценивания путем утраты соответствия с состоянием моделируемых сущностей реального мира.

    3. Полное или частичное нарушение работоспособности системы за счет вывода из строя или некорректного изменения режимов работы компонентов системы, включая их модификацию или подмену.

    Классификация по природе возникновения угрозы:

    1. Естественные угрозы — угрозы, вызванные воздействием на систему баз данных и ее компоненты объективных физических процессов или стихийно развивающихся природных явлений.

    2. Искусственные угрозы — угрозы информационной безопасности систем баз данных, связанных с деятельностью человека.

    Классификация по локализации источника угрозы представляется следующим образом:

    1. Угрозы, непосредственным источником которых является человек:

    — разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, электронных замков и т. п.) легальными пользователями системы;

    — подкуп или шантаж обслуживающего персонала или пользователей, имеющих необходимые полномочия,

    с целью получения их параметров для процедур аутентификации;

    — копирование конфиденциальных данных легальным пользователем системы с целью неправомерного использования (продажа, шантаж и т. п.);

    — взлом системы защиты с целью выполнения деструктивных действий лицом, не являющимся законным пользователем системы;

    — внедрение агентов фирм-конкурентов или преступных организаций в обслуживающий персонал атакуемой информационной системы (в том числе в административную группу, в группу обеспечения информационной безопасности).

    2. Угрозы, непосредственным источником которых являются штатные программно-аппаратные средства информационной системы:

    — неквалифицированное использование или ошибочный ввод параметров программ, способных привести к полной или частичной потере работоспособности системы (аварийное завершение системных процессов, нецелевое расходование вычислительных ресурсов и т. п.);

    — неквалифицированное использование или ошибочный ввод

    параметров программ, способных привести к необратимым изменениям в системе (инициализация баз данных, форматирование или реструктуризацию носителей информации, удаление данных и т. п.);

    — отказы и сбои в работе операционной системы, СУБД и прикладных программ.

    3. Угрозы, непосредственным источником которых являются несанкционированно используемые программно-аппаратные средства:

    — нелегальное внедрение и использование программ, не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей;

    — нелегальное внедрение (из-за халатности легального пользователя) и использование троянских программ, предназначенных для исследования параметров автоматизированной информационной системы, сбора данных,

    зомбирования компьютера с последующим нецелевым расходованием ресурсов и т. п.;

    — заражение компьютера вирусами с деструктивными функциями;

    — работа генераторов шума и подобных источников электромагнитного излучения.

    4. Угрозы, непосредственным источником которых является среда обитания:

    — внезапное и длительное отключение систем электропитания;

    — техногенные и природные катастрофы;

    — всплески природных электромагнитных излучений.

    Классификация по расположению источника угроз.

    1. Угрозы, источник которых расположен вне контролируемой зоны места расположения автоматизированной информационной системы:

    — нарушение нормальной работы или разрушение систем жизнеобеспечения зданий, в которых расположены технические средства и обслуживающий персонал системы — блокирование физического доступа на объект размещения автоматизированной системы обслуживающего персонала или пользователей;

    — нарушение нормальной работы или разрушение внешних каналов связи (проводные линии, радиоканалы, оптоволокно).

    2. Угрозы, источник которых расположен в пределах контролируемой зоны расположения автоматизированной информационной системы, исключая места расположения клиентских терминалов и серверных помещений:

    — нарушение нормальной работы или разрушение систем электропитания и водоснабжения помещений, в которых расположены технические средства, обеспечивающие работу автоматизированной системы;

    — физическое разрушение линий связи или аппаратуры, обеспечивающей работу информационной системы;

    — считывание конфиденциальной информации из аппаратных средств телекоммуникационной или вычислительной техники с использованием перехвата электромагнитных излучений;

    — выведения из рабочего состояния обслуживающего персонала (организация саботажа, применение отравляющих веществ, психотропных средств и т. п.).

    3. Угрозы, источник которых имеет доступ к терминальным устройствам автоматизированной информационной системы:

    — получение параметров входа в систему и аутентифицирующей информации с использованием видеонаблюдения, клавиатурных закладок и технологий подбора паролей;

    — получение параметров входа в систему и аутентифицирующей информации с использованием мошеннических

    приемов, насилия или угрозы насилия;

    — получение возможности несанкционированного входа в систему в период, когда легальный пользователь покинул рабочее место, не завершив сеанс взаимодействия с системой;

    — получение конфиденциальной информации из распечаток результатов выполнения запросов и иных выводимых

    системой данных.

    4. Угрозы, источник которых имеет доступ к помещениям, где расположены серверы автоматизированной информационной системы:

    — физическое разрушение элементов серверов и коммутационной аппаратуры;

    — выключение электропитания серверов и коммутационной аппаратуры;

    — остановка серверных и иных критически важных для функционирования автоматизированной системы процессов;

    — уничтожение или модификация критически важных для функционирования автоматизированной системы файлов операционной системы;

    — нарушение штатной работы базовой операционной системы, например, за счет запуска процессов, активно расходующих ресурсы системы, критически важных для функционирования операционной системы файлов и т. п.;

    — рассылка сообщений, дезорганизующих работу пользователей и обслуживающего персонала системы.

    Классификация по способу воздействия на методы и средства хранения данных информационной системы.

    1. Угрозы нарушения информационной безопасности данных, хранимых на внешних запоминающих устройствах:

    — нарушение конфиденциальности, уничтожение или модификация данных, сохраненных средствами создания резервных копий на магнитных носителях, путем незаконного восстановления баз данных с последующей заменой реальной копии или без таковой;

    — нарушение конфиденциальности, уничтожение или модификация данных, созданных штатными средствами ведения журнала изменений баз данных;

    — дискредитация криптографических систем защиты информации путем создания копии носителей ключевой информации;

    — создание несанкционированных копий файлов операционной системы, содержащих информацию баз данных для проведения последующего анализа с целью доступа к конфиденциальной информации.

    2. Угрозы нарушения информационной безопасности данных, хранимых в оперативной памяти серверов и клиентских компьютеров:

    — изменение информации в оперативной памяти, используемой СУБД для кэширования данных, организации хранения промежуточных результатов выполнения запросов, констант и переменных процессов обработки данных;

    — изменение информации в оперативной памяти, используемой операционной системой для кэширования данных, организации многопользовательского режима работы, констант и переменных процессов обработки данных;

    — изменение информации в оперативной памяти, используемой прикладными программами в процессе организации и выполнения сессии взаимодействия с сервером баз данных и прослушивающим процессом.

    3. Угрозы нарушения информационной безопасности данных, отображаемой на терминале пользователя или принтере:

    — организация имитации процесса установления взаимодействия с сервером (ложной сессии) с целью получения

    идентификаторов и аутентифицирующей информации пользователей;

    — изменение элементов данных, выводимых на терминал пользователя за счет перехвата потока вывода;

    — изменение элементов данных, выводимых на принтер за счет перехвата потока вывода.

    Классификация по характеру воздействия на информационную систему (целесообразно выделить два варианта):

    — активное воздействие, т. е. выполнение пользователем системы баз данных каких-либо действий, выходящих за рамки его обязанностей, предусматривающих взаимодействие с системой, или действия внешнего по отношению к ИС пользователя или процесса, нацеленные на достижение одной или нескольких перечисленных выше целей;

    — пассивное воздействие, т. е. наблюдение пользователем значений каких-либо параметров СУБД или системы баз данных, а также различных побочных эффектов и косвенных признаков с целью получения конфиденциальной информации на основе анализа собранных данных.

    Проблема обеспечения безопасности баз данных является комплексной. Поэтому в качестве математической модели первого приближения уровень обеспечения информационной безопасности некоторой информационной системы может рассматриваться как многомерный вектор, включающий характеристики нескольких независимых измерений:

    — физического;

    — технологического;

    — логического (процедурного);

    — человеческого.

    Характеристика физического измерения показывает, насколько эффективно обеспечена физическая защита элементов, образующих техническую основу информационной среды электронного бизнеса.

    Компьютеры, маршрутизаторы, линии связи должны быть физически недоступны для потенциальных носителей деструктивных

    воздействий. Экраны мониторов, электромагнитные излучения

    аппаратуры не должны быть источником конфиденциальной

    информации.

    Характеристика технологического измерения показывает, насколько эффективно обеспечена программно-аппаратная реализация процедур, обеспечивающих требуемый уровень безопасности: аутентификация пользователей, разграничение доступа, обеспечение целостности информационной инфраструктуры и т. п.

    Характеристика логического (процедурного) измерения показывает, насколько адекватны логические основы заложенных в систему механизмов безопасности. Если неправильно определены блоки критически важной информации, то она становится уязвимой не из-за недостатков программно-аппаратного комплекса, а из-за ошибок проектирования системы.

    Характеристика человеческого измерения показывает, насколько адекватно поведение людей, отвечающих за безопасность системы.
    Модель защищенной БД включает в себя основные методы, способы и модели для защиты БД.

    Разработанная модель исключает реализацию следующих основных угроз БД:

    1. Угроза раскрытия, которая заключается в том, что информация становится известной пользователю, который не авторизован для этого. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен несанкционированный доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой.

    2. Угроза целостности, которая включает в себя любое несанкционированное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка. Санкционированными изменениями являются те, которые сделаны определенными лицами с обоснованной целью.

    3. Угроза отказа служб (отказа в обслуживании) , которая возникает всякий раз, когда в результате преднамеренных действий, предпринятых другим пользователем, умышленно блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным.

    Т.к. защищенная база данных – база данных, находящаяся в состоянии защищенности, которая обеспечивает конфиденциальность, доступность и целостность данных, то на рисунке приведена модель защищенной базы данных – в виде определенной структуры, используемой для представления таких способов, методов или моделей, которые представляются в виде элементов для защиты базы данных и связей между ними.


    мандатная

    ролевая

    дискреционная

    каталога с файлами БД

    выборочных файлов









    Модели разграничения доступа

    Шифрование

    столбцов в таблицах БД

    гибридная









    Защищенная БД

    Аудит событий безопасности




    Защита интерфейсов

    пользователя







    тиражирование







    администратора







    Синхронное

    Асинхронное


    Рисунок 1– модель защищенной БД


    написать администратору сайта