Материал Аудит. воссоздание официальных звонков от банковских и других ivr (англ. Interactive Voice Response) систем 40, с. 175
 Скачать 3.81 Mb.
|
|
Тема 4. Встроенные средства защиты баз данных Цели и задачи изучения темы: Понять основные механизмы авторизации пользователей при работе с базами данных. Научиться применять основные средства поддержки целостности баз данных. Освоить основные встроенные средства защиты СУБД Microsoft Access. Освоить основные встроенные средства защиты СУБД Oracle. Вопросы, изучаемые по теме: 1. Защита доступа. 2. Средства поддержки целостности данных. 3. Средства защиты СУБД Microsoft Access. 4. Средства защиты СУБД Oracle. Теоретический материал по теме Вопрос 1. Защита доступа. Авторизация - предоставление прав (или привилегий), позволяющих их владельцу иметь законный доступ к системе или к ее объектам. Аутентификация - механизм определения того, является ли пользователь тем, за кого себя выдает. За предоставление пользователям доступа к компьютерной системе обычно отвечает системный администратор, и обязанности которого входит создание учетных записей пользователей. Каждому пользователю присваивается уникальный идентификатор, который используется операционной системой для определения того, кто есть кто. С каждым идентификатором связывается определенный пароль, выбираемый пользователем и известный операционной системе. При регистрации пользователь должен предоставлять системе свой пароль для выполнения проверки (аутентификации) того, является ли он тем, за кого себя выдает. Подобная процедура позволяет организовать контролируемый доступ к компьютерной системе, но не обязательно предоставляет право доступа к СУБД или иной прикладной программе. Для получения пользователем права доступа к СУБД может использоваться отдельная такая процедура. Ответственность за предоставление прав доступа к СУБД обычно несет администратор базы данных (АБД), в обязанности которого входит создание отдельных идентификаторов пользователей, но на этот раз уже в среде самой СУБД. В некоторых СУБД ведется список идентификаторов пользователей и связанных с ними паролей, отличающийся от аналогичного списка, поддерживаемого операционной системой. В других типах СУБД ведется список, записи которого сверяются с записями списка пользователей операционной системы с учетом текущего регистрационного идентификатора пользователя. Это предотвращает попытки пользователей зарегистрироваться в среде СУБД под идентификатором, отличным от того, который они использовали при регистрации в системе. В целом, для защиты доступа в СУБД реализованы следующие механизмы: Привилегии - предоставляются пользователям, чтобы они могли выполнять задачи, которые относятся к кругу их должностных обязанностей. Предоставление излишних или ненужных привилегий может привести к нарушению защиты, поэтому пользователь должен получать только такие привилегии, без которых он не имеет возможности выполнять свою работу. Права владения - некоторые объекты в среде СУБД принадлежат самой СУБД. Обычно эта принадлежность оформлена с помощью специального идентификатора суперпользователя, например администратора базы данных. Как правило, владение некоторым объектом предоставляет его владельцу весь возможный набор привилегий в отношении этого объекта. Это правило применяется ко всем авторизованным пользователям, получающим права владения определенными объектами. Любой вновь созданный объект автоматически передается во владение его создателю, который и получает весь возможный набор привилегий для данного объекта. Представления - динамический результат одной или нескольких реляционных операций с базовыми отношениями с целью создания некоторого иного отношения. Представление является виртуальным отношением, которое реально в базе данных не существует, но создается по требованию отдельного пользователя в момент поступления этого требования. Резервное копирование - периодически выполняемая процедура получения копии базы данных и ее файла журнала (а также, возможно, программ) на носителе, хранящемся отдельно от системы. Ведение журнала - процедура создания и обслуживания файла журнала, содержащего сведения обо всех изменениях, внесенных в базу данных с момента создания последней резервной копии, и предназначенного для обеспечения эффективного восстановления системы в случае ее отказа. Вопрос 2. Средства поддержки целостности данных. Средства поддержки целостности данных также вносят определенный вклад в общую защищенность базы данных, поскольку они должны предотвратить переход данных в несогласованное состояние, а значит, исключить угрозу получения ошибочных или неправильных результатов расчетов. Выделяют следующие категории целостности данных: 1. Целостность сущностей — это ограничение, согласно которому в базовом отношении ни один атрибут первичного ключа не может иметь неопределенных значений. Ссылочная целостность означает, что значения внешнего ключа должны соответствовать существующим значениям потенциального ключа в кортежах базового отношения либо полностью состоять из неопределенных значений, задаваемых с помощью NULL. 2. Ссылочная целостность - если в отношении существует внешний ключ, то значение внешнего ключа должно либо соответствовать значению потенциального ключа некоторого кортежа в его базовом отношении, либо внешний ключ должен полностью состоять из значений NULL. 3. Корпоративные ограничения целостности - дополнительные правила поддержки целостности данных, определяемые пользователями или администраторами базы данных. Пользователи сами могут указывать дополнительные ограничения, которым должны удовлетворять данные. Эффективным средством сохранения целостности данных является их шифрование, которое исключает внесение несанкционированных изменений в данные. В процессе шифрования происходит преобразование данных с использованием специального алгоритма, в результате чего данные становятся недоступными для чтения любой программой, не имеющей ключа дешифрования. Если в системе с базой данных содержится весьма важная конфиденциальная информация, то имеет смысл зашифровать ее с целью предупреждения возможной угрозы несанкционированного доступа с внешней стороны (по отношению к СУБД). Некоторые СУБД включают средства шифрования, предназначенные для использования в подобных целях. Подпрограммы таких СУБД обеспечивают санкционированный доступ к данным (после их дешифрования), хотя это будет связано с некоторым снижением производительности, вызванным необходимостью двойного преобразования. Шифрование также может использоваться для защиты данных при их передаче по линиям связи. Существует множество различных технологий шифрования данных с целью сокрытия передаваемой информации, причем одни из них называют необратимыми, а другие — обратимыми. Необратимые методы, как и следует из их названия, не позволяют установить исходные данные, хотя последние могут использоваться для сбора достоверной статистической информации. Обратимые технологии используются чаще. Для организации защищенной передачи данных по незащищенным сетям должны использоваться системы шифрования, включающие следующие компоненты: ключ шифрования, предназначенный для шифрования исходных данных (обычного текста); алгоритм шифрования, который описывает, как с помощью ключа шифрования преобразовать обычный текст в зашифрованный; ключ дешифрования, предназначенный для дешифрования зашифрованного текста; алгоритм дешифрования, который описывает, как с помощью ключа дешифрования преобразовать зашифрованный текст в обычный исходный. Некоторые системы шифрования, называемые симметричными, используют один и тот же ключ как для шифрования, так и для дешифрования, при этом предполагается наличие защищенных линий связи, предназначенных для обмена ключами. Однако большинство пользователей не имеют доступа к защищенным линиям связи, поэтому для получения надежной защиты длина ключа должна быть не меньше длины самого сообщения. Тем не менее большинство эксплуатируемых систем построено на использовании ключей, которые короче самих сообщений. Одна из распространенных систем шифрования называется DES (Data Encryption Standard). В ней используется стандартный алгоритм шифрования, разработанный фирмой IBM. В этой схеме для шифрования и дешифрования применяется один и тот же ключ, который должен храниться в секрете, хотя сам алгоритм шифрования не является секретным. Этот алгоритм предусматривает преобразование каждого 64-битового блока обычного текста с использованием 56- битового ключа шифрования. Система шифрования DES расценивается как достаточно надежная далеко не всеми — некоторые разработчики полагают, что следовало бы использовать более длинное значение ключа. Так, в системе шифрования PGP (Pretty Good Privacy) используется 128-битовый симметричный алгоритм, применяемый для шифрования блоков передаваемых данных. В настоящее время ключи длиной до 64 бит раскрываются с достаточной степенью вероятности правительственными службами развитых стран, для чего используется специальное оборудование, хотя и достаточно дорогое. Тем не менее в течение ближайших лет эта технология может попасть в руки организованной преступности, крупных организаций и правительств других государств. Хотя предполагается, что ключи длиной до 80 бит также окажутся раскрываемыми в ближайшем будущем, есть уверенность, что ключи длиной 128 бит в обозримом будущем останутся надежным средством шифрования. Термины «сильное шифрование» и «слабое шифрование» иногда используются для подчеркивания различий между алгоритмами, которые не могут быть раскрыты с помощью существующих в настоящее время технологий и теоретических методов (сильные), и теми, которые допускают подобное раскрытие (слабые). Другой тип систем шифрования предусматривает использование различных ключей для шифровки и дешифровки сообщений — подобные системы принято называть асимметричными. Примером такой системы является система с открытым ключом, предусматривающая использование двух ключей, один из которых является открытым, а другой хранится в секрете. Алгоритм шифрования также может быть открытым, поэтому любой пользователь, желающий направить владельцу ключей зашифрованное сообщение, может использовать его открытый ключ и соответствующий алгоритм шифрования. Однако дешифровать данное сообщение сможет только тот, кто имеет парный закрытый ключ шифрования. Системы шифрования с открытым ключом могут также использоваться для отправки вместе с сообщением «цифровой подписи», подтверждающей, что данное сообщение было действительно отправлено владельцем открытого ключа. Наиболее популярной асимметричной системой шифрования является RSA (это инициалы трех разработчиков данного алгоритма). Как правило, симметричные алгоритмы являются более быстродействующими, чем асимметричные, однако на практике обе схемы часто применяются совместно, когда алгоритм с открытым ключом используется для шифрования случайным образом сгенерированного ключа шифрования, а случайный ключ служит для шифрования самого сообщения с применением некоторого симметричного алгоритма. Вопрос 3. Средства защиты СУБД Microsoft Access. В Access не поддерживается защита на уровне пользователя для баз данных, созданных в новом формате (ACCDB и ACCDE-файлы). Разрешения на уровне пользователей не защищают базу данных от злоумышленников и не предназначены для использования в качестве защитного барьера. Эту функцию следует использовать для повышения удобства работы с базой данных для надежных пользователей. Чтобы защитить данные, предоставьте доступ к файлу базы данных и связанным с ней файлам безопасности на уровне пользователей только надежным пользователям, используя разрешения файловой системы Windows. Следует помнить, что каждый раз при открытии базы данных в новом формате все пользователи имеют возможность просмотра всех ее объектов. База данных Access представляет собой набор объектов — таблиц, форм, запросов, макросов, отчетов и т.д. — которые часто являются взаимозависимыми. Например, при создании формы ввода данных нельзя вводить в нее или хранить в ней данные, если элементы управления в этой форме не связаны с таблицей. Некоторые компоненты Access могут быть небезопасны, поэтому в ненадежной базе данных они отключены: запросы на изменение (запросы, которые добавляют, удаляют или изменяют данные); макросы; некоторые выражения (функции, возвращающие одно значение); код VBA. Средство шифрования в Access сочетает в себе два улучшенных средства прежних версий — кодирование и пароли баз данных. При использовании пароля для шифрования базы данных все данные становятся нечитаемыми в других программах, и для того чтобы использовать эту базу данных, пользователи должны вводить пароль. При шифровании в Access 2010 используется более стойкий алгоритм, чем в предыдущих версиях Access. При добавлении в базу данных выражения и последующем ее назначении в качестве надежной или помещении в надежное расположение Access запускает это выражение в операционной среде, называемой изолированным режимом. Это действие также выполняется для баз данных в более ранних форматах файлов Access. Приложение Access по умолчанию применяет изолированный режим, который всегда отключает небезопасные выражения, даже если база данных считается надежной. СУБД Microsoft Access предоставляет следующие два метода защиты базы данных: установка пароля, который применяется при открытии базы данных (это средство в терминологии Microsoft Access называется защитой системы); применение средств защиты на уровне пользователя, которые могут применяться для определения тех частей базы данных, в которых пользователь может выполнять операции чтения или обновления (это средство в терминологии Microsoft Access называется защитой данных). Самым простым методом защиты является установка пароля, применяемого для открытия базы данных. После установки пароля (в меню Tools Security) при любой попытке открыть базу данных, на экране появляется диалоговое окно с приглашением ввести пароль. Разрешение открыть базу данных получают только те пользователи, которые вводят правильный пароль. Этот метод является надежным, поскольку СУБД Мιcrosoft Access шифрует пароль таким образом, чтобы его нельзя было определить, непосредственно считывая файл базы данных, но после открытия базы данных все объекты, содержащиеся в ней, становятся доступными для пользователя. Средства защиты на уровне пользователя в СУБД Microsoft Access аналогичны средствам, которые применяются в большинстве сетевых систем. При запуске программы Microsoft Access пользователи должны указать свой идентификатор и ввести пароль. В файле с информацией о рабочих группах программы Microsoft Access пользователи обозначаются как члены некоторой группы. В СУБД Access предусмотрены по умолчанию две группы; администраторы (группа Admins) и пользователи (группа Users), но могут быть определены и дополнительные группы. Группам и пользователям предоставляются права доступа, которые позволяют регламентировать перечень допустимых для них операций с каждым объектов базы данных. Для этого применяется диалоговое окно Разрешения (User an (Group Permissions). Вопрос 4. Средства защиты СУБД Oracle. Если рассматривать средства обеспечения безопасности в части доступа к БД, хранения информации и передачи по сети, то сегодня явный лидер рынка систем управления базами данных — СУБД Oracle. Она предоставляет разработчикам ПО и администраторам прикладных систем полный спектр средств и инструментов, необходимых для построения защищенных систем. Среди них стоит выделить следующие: Virtual Private Database (VPD) — средства разграничения доступа к данным на уровне строк (в версии 10g — и на уровне колонок) и возможность организации работы пользователя только с виртуальной регламентированной частью данных, а не с реальной базой данных. Oracle Advanced Security (OAS) — комплекс средств аутентификации и обеспечения сетевой безопасности, включающий в себя поддержку защищенных протоколов передачи данных, в том числе SSL. Oracle Label Security (OLS) — средства, аналогичные VPD, но с возможностью проверки уровня доступа пользователя. Fine Grained Audit Control (FGAC) — инструмент подробного аудита, расширяет возможности регистрации, позволяя сохранять сведения как об изменениях, так и о запросах. Детальный аудит очень важен с точки зрения безопасности; помимо этого он служит прекрасным средством анализа использования SQL и оценки производительности как отдельных операторов, так и приложения в целом. Он предоставляет метод для исследования типовых обращений к данным, который может стать мощным инструментом для повышения производительности базы данных. Кардинально повысить безопасность работы приложений БД позволяет защита клиентского ПО СУБД Oracle с помощью электронных ключей еТокеn. Существенно усилить защиту удалось благодаря применению нескольких технологических решений. Метод аутентификации пользователей по имени и паролю был заменен более надежной — двухфакторной аутентификацией с использованием цифровых сертификатов стандарта Х.509. Предложенное решение базируется на использовании цифровых сертификатов стандарта Х.509 и протокола Secure Sockets Layer (SSL), поддерживающего строгую двухфакторную аутентификацию пользователей СУБД Oracle, а также шифрование информации, передаваемой по сети между сервером БД и клиентской рабочей станцией (рис. 10).  Рис. 10. Схема использования ключа еТокеn Как и СУБД Access, одна из форм защиты системы, применяемая в СУБД Oracle, предусматривает реализацию стандартного механизма проверки идентификатора и пароля пользователя, в соответствии с которым пользователь должен ввести действительный идентификатор и пароль и только после этого получить доступ к базе данных. Тем не менее, задача аутентификации пользователей может быть возложена на операционную систему. При каждой попытке пользователя Beech подключиться к базе данных открывается диалоговое окно Connect или Log On с приглашением ввести идентификатор и пароль пользователя для доступа к указанной базе данных. Привилегия представляет собой право выполнять операторы SQL определенного типа или обращаться к объектам другого пользователя. Ниже приведены примеры некоторых привилегий Oracle, которые позволяют выполнять определенные действия. Подключение к базе данных (открытие сеанса). Создание таблицы. Выборка строк из таблицы другого пользователя. В СУБД Oracle предусмотрены две категории привилегий: системные привилегии; привилегии на объекты. Системная привилегия представляет собой право выполнять определенные действия или проводить операции с любыми объектами схемы определенного типа. Например, к системным относятся привилегии на создание табличных пространств и учетных записей пользователей базы данных. В СУБД Oracle предусмотрено свыше 80 системных привилегий. Системные привилегии можно предоставлять пользователям и ролям (которые рассматриваются ниже) или отзывать эти привилегии с использованием любого из следующих средств: диалоговые окна Grant System Privileges/Roles и Revoke System Privileges/Roles программы Oracle Security Manager; операторы GRANT и REVOKE языка SQL. Но предоставлять или отзывать системные привилегии могут только пользователи, которым предоставлена специальная системная привилегия с помощью конструкции ADMIN OPTION, или пользователи с системной привилегией GRANT ANY PRIVILEGE. Привилегией на объект является привилегия или право выполнять определенное действие с конкретной таблицей, представлением, последовательностью, процедурой, функцией или пакетом. Для работы с объектами разных типов предоставляются различные привилегии на объекты. Например, одной из привилегий на объект является право удалять строки из таблицы Staff. С некоторыми объектами схемы (такими как кластеры, индексы и триггеры) не связаны привилегии на объекты; применение этих объектов регламентируется с помощью системных привилегий. Например, чтобы внести изменения в кластер, пользователь должен быть владельцем этого кластера или иметь системную привилегию ALTER ANY CLUSTER. Пользователь автоматически приобретает все привилегии на объекты, содержащиеся в его схеме. Кроме того, пользователь может предоставить любому другому пользователю или роли привилегии на любые принадлежащие ему объекты схемы. Если в операторе SQL, применяемом для предоставления такой привилегии, включена опция WITH GRANT OPTION (оператора GRANT), лицо, получившее привилегию на объект, может предоставить ее другому пользователю; в противном случае он может использовать полученную привилегию, но не имеет право предоставлять ее другим пользователям. В таблице 3 показаны привилегии на такие объекты, как таблицы и представления. Таблица 3. |