Основной недостаток систем парольной аутентификации заключается в отделимости аутентификатора от субъекта-носителя. В результате пароль может быть получен тем или иным способом от законного пользователя или перехвачен тем или иным способом в канале ввода в систему злоумышленником.
Для аутентификации объектов применяются технологии асимметричных криптосистем (системы с открытым ключом).
Для аутентификации процессов применяются метки (дескрипторы) доступа. Субъект доступа, инициируя в соответствии со своим дескриптором (меткой) разрешенный процесс, передает ему свою метку доступа. Ядро безопасности СУБД проверяет подлинность метки процесса, сравнивая ее с хранящейся зашифрованной меткой, и выносит решение о подлинности метки. При положительном результате метка доступа процесса сравнивается с меткой доступа объекта, операцию с которым намеревается осуществлять процесс. Для проверки подлинности меток в системе формируется специальный файл (массив) учетных записей. При регистрации нового пользователя в системе для него создается учетная запись, содержащая его идентификационный номер (идентификатор), парольный аутентификатор и набор дескрипторов доступа к объектам базы данных (метка доступа).
2.
7.4. Модели управления доступом Модель управления доступом являются выражением сути требований по безопасности [10].
Существуют три основные модели управления доступом:
принудительное управление доступом (MAC);
модель с управлением доступом по усмотрению пользователя (DAC);
управление на основе ролей (RBAC).
Недостатком модели DAC является требование наличия владельца у любого объекта. Владелец обладает всеми правами над объектом, а также возможность передать права другим субъектам, не уведомляя при этом владельца.
В модели MAC основной упор делается на конфиденциальность, но не решена проблема изменения идентификации: уровень секретности не меняется. Применение модели ограничено использованием уровней безопасности, существующих в предметной области.
Наиболее оптимальной в использовании с базами данных является ролевая модель доступа (RBAC). Под ролью понимается совокупность действий и обязанностей, связанных с определенным видом деятельности. Роли позволяют получить конкретным лицам доступ к ресурсам в той степени, в какой это необходимо для выполнения определенных работ. Привилегия — минимально возможное атомарное действие пользователя, которое подпадает под действие механизма разграничения доступа. Роль — набор прав, определяющих, какими привилегиями и над какими объектами будет обладать пользователь, которому присваивается данная роль. Операция — составная часть роли, определяющая привилегию, подмножество объектов, обладающих данной привилегией, и разрешение или запрет на выполнение данного действия. Сессия — множество ролей данного пользователя в определенный промежуток времени. Одновременно может выполняться несколько сессий одного и того же пользователя.
Процесс доступа состоит из следующих шагов [14, 180]:
Запрос доступа к ресурсу посредством интерфейса.
Проверка службой аутентификации учетных данных. В случае наличия прав отправляется сообщение и доступ предоставляется.
Проверка прав запрошенного доступа к объекту на основании присвоенной роли.
В случае успеха происходит предоставление права на доступ к ресурсу, в противном случае отказ.
Настройка системы безопасности на основе модели RBAC производится в два этапа: настройка политики безопасности системы и определение прав доступа для субъектов и объектов в системе. Данное различие позволяет построить на основе ролевой модели и дискреционную модель безопасности, и модель обязательного контроля.
2.
7.5. Протоколирование и аудит событий безопасности Записи подлежат все события, критичные с точки зрения безопасности в системе:
вход/выход пользователей;
регистрация новых пользователей, смена привилегий и назначений доступа (все обращения к массивам учетных записей);
все операции с файлами (создание, удаление, переименование, копирование, открытие, закрытие);
обращения к удаленной системе.
Аудит безопасности заключается в контроле и отслеживании событий в системе с целью выявления, своевременного обнаружения проблем или нарушений безопасности и сигнализации об этом.
В данной главе проведен анализ структуры СУБД, дана классификация БД, определены зоны ответственности администратора БД, перечислены параметры, влияющие на производительность СУБД, определены составляющие, определяющие качество защиты данных. Исследованы механизмы, которые применяются в СУБД для обеспечения безопасности хранимых данных, показаны преимущества использования ролевого управления доступом.
ЗАКЛЮЧЕНИЕ
В выполненной работе решены все поставленные задачи. С этой целью:
Проведен анализ состава современных систем управления баз данных, механизма создания, приведена таксономия бах данных по выделенным фасетам.
Проведен анализ задач, стоящих перед администраторами баз данных, определены «узкие места», влияющие на эксплуатационные характеристики систем управления базами данных, описаны средства мониторинга и аудита.
Рассмотрены вопросы обеспечения безопасности баз данных, основные модели управления доступом, показаны преимущества модели безопасности, основанной на использовании ролей.
В соответствии с вышеизложенным, для решения вопросов, связанных с обеспечением безопасности баз данных, предлагается в штатном расписании выделить отдельную единицу, так как администратора БД может не хватить времени для выполнения данных работ. Рекомендуется ограничить использование настроек, заданных по умолчанию, и обеспечить хранение архивов в нескольких местах. Передаваемая информация по сети должна шифроваться.
С целью эффективного выполнения поставленных задач, администратору баз данных предлагается:
определить наиболее вероятные уязвимости существующей инфраструктуры;
определить перечень угроз, и, на их основании определить требования и механизмы обеспечения безопасности;
своевременно просматривать журналы работ и корректировать настройки с целью повышения эффективности работы;
разработать планы по восстановлению работоспособности базы данных в случае сбоев;
своевременно проводить архивирование баз данных, периодически проверять созданные архивы.
Дальнейшее развитие средств администрирование будет связано с развивающимся сегментом специализированных баз данных[24]:
Базы данных «в памяти» — все данные хранятся в памяти, что обеспечивает высокое быстродействие. Однако кэш не является прозрачным для администратора БД. Необходимо выбирать таблицы, которые будут размещены в кэше для реализации запросов без обращения к данным на диске.
БД для обработки потоковых событий. Архитектура данной БД сначала получает поток события, сохраняет его на диске как последовательность строк таблицы, а затем производится анализ. В данных БД целью является анализ данных «в движении». Дисковые операции являются узким местом, ограничивающим скорость обработки событий.
Встраиваемые БД. Предназначены для управления устройств, машин. БД является основой функционирования устройства. Характеризуются малым потреблением памяти, минимальным конфигурированием, статической схемой базы данных, однопользовательской работой.
Мобильные БД. Разработаны для нужд переносных устройств. Предназначены для поддержки работы мобильного устройства, встроенных приложений, доступа к БД масштаба предприятия.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ Конституция Российской Федерации (с изменениями от 21.
07.2014). [Электронный документ]. URL:
http://dogovor-urist.ru/законы/конституция_рф/.
(дата обращения 03 марта 2018 г.).
Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями и дополнениями)// //Справочно-поисковая система «Гарант». [Электронный документ]. URL:
http://base.garant.ru/12 148 567/#ixzz3VlKQnisk.
(дата обращения 03 марта 2018 г.).
Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями)// //Справочно-поисковая система «Гарант». [Электронный документ]. URL:
http://base.garant.ru/12 148 555/#help (дата обращения 03 марта 2018 г.).
Полякова Л. Н. Основы SQL. М.: изд-во Интуит. — 2014. — 161 с.
Хомоненко А.Д., Цыганков В. М., Мальцев М. Г. Базы данных: Учебник для высших учебных заведений. / под ред. проф. Хоменко А. Д. — 6-е изд. -C Пб.: КОРОНА-Век, 2009.
— 736 с Программы для ЭВМ: базы данных топологии интегральных микросхем: официальный бюллетень Федеральной службы по интеллектуальной собственности, патентам и товарным знакам; [отв. ред. И.В. Коробко]. — М.: ФГУ ФИПС, 2014.
— 267 с.
Тиори Т., Фрай Дж. Проектирование структур баз данных: в 2 кн. Кн. 1. Пер. с англ. — Мир, 1985. — 287 с., ил.
Тарасов С. СУБД для программиста. Базы данных изнутри. Солон-пресс, -2015. — 320 с.
Фуфае Э. В. Базы данных: учеб. пособие для студ. Учреждений. — 7-е изд., М.: издательский центр «Академия», 2013. — 320 с.
Клейменов С.А., Мельников В. П. Администрирование в информационных системах. Учебное пособие для вузов. -М.: издательский центр Академия, 2013. — 268 с., ил.
Конолли, Брег Т., Каролин. Базы данных. Проектирования, реализация и сопровождение. Теория и практика. 3-е изд. — М.: Вильямс, 2003. -1440 с., ил.
Иртегов Д.В.
Введение
в операционные системы: учеб. пособие для студ. высш. учебн. заведений. СПб.: БХВ-Петербург, 2012.
Jack Show. Digital Jungle, and doing business in the Information Age. [Электронный ресурс]. Режим доступа:
http://wowspeakers.com/2014/02/jack-shaw/ (дата обращения 10 марта 2018 г.).
Словарь терминов. [Электронный ресурс]. URL:
http://articles.org.ru/cn/showdetail.php?cid=6820 (дата обращения 10 марта 2018 г.).
Основные концепции СУБД. [Электронный ресурс]. URL:
http://docplayer.ru/409 337-Osnovnye-koncepcii-baz-dannyh.html (дата обращения 10 марта 2018 г.).
Трехуровневая архитектура. [Электронный ресурс]. URL:
http://books.ifmo.ru/file/pdf/677.pdf (дата обращения 11 марта 2018 г.).
Классификация баз данных: [Электронный ресурс]. URL:
https://www.intuit.ru/studies/courses/3439/681/lecture/14 019 (дата обращения 11 марта 2018 г.).
Администрирование баз данных. [Электронный ресурс].
http://pandia.ru/text/77/164/13 687.php (дата обращения 11 марта 2018 г.).
Информационная безопасность. [Электронный ресурс]. URL:
https://www.securitylab.ru/news/tags/%E8%ED%F4%EE%F0%EC%E0%F6%E8%EE%ED%ED%E0%FF+%E1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%FC/ (дата обращения 11 марта 2018 г.).
Д.Р. Грофф. Полное руководство SQL.- М.: издательский дом Вильямс, 2015. — 952 с.
Приложение 1.
Связь программ и данных при использовании СУБД.
