Курс лекций для студентов специальности 050501 Профессиональное обучение (по отраслям) специализация Программное обеспечение вт и ас

Вид материала

Курс лекций

Содержание Тема 3. Направления защиты информации в информационных системах Защита каналов связи Подавление ПЭМИН 5. Управление защитой 3.2 Защита информационных объектов (БД) 3.2.1 Идентификация и аутентификация 3.2.2 Управление доступом Избирательная схема доступа Обязательный или принудительный (мандатный) метод доступа Правила доступа Угрозы, специфичные для СУБД

Подобный материал:

• Методические указания к выполнению выпускных квалификационных работ для студентов всех, 1501.21kb.
• Методические указания для студентов, обучающихся специальности 050501 Профессиональное, 355.9kb.
• Учебно-методический комплекс по дисциплине «История экономических учений» для специальности, 307.03kb.
• Учебно-методический комплекс по дисциплине «Банковское дело» для специальности 050501., 574.52kb.
• Программа учебной дисциплины «Маркетинг» для специальности 050501. 18 Профессиональное, 330kb.
• Программа курса для студентов вузов специальности 050501, 130.04kb.
• Программа учебной дисциплины «Бизнес-планирование» для специальности 050501. 18 Профессиональное, 216.06kb.
• Методические рекомендации по организации и выполнению индивидуального профессионального, 344.1kb.
• Учебно-методическое пособие для студентов заочного отделения, обучающихся по специальности, 1219.18kb.
• Контрольная работа для студентов заочного отделения по специальности 050501 «Профессиональное, 81.21kb.

Тема 3. Направления защиты информации в информационных системах

3.1 Характеристика направлений защиты информации

Существенное значение при выборе путей решения проблемы защиты информации (ЗИ) имеет направление или вид объекта информационной защиты.

Направления ЗИ:

1. 
   Защита объектов ИС
   
2. Защита процессов и процедур обработки информации
   
3. Защита каналов связи
   
4. Подавление ПЭМИН
   
5. Управление защитой.
   

1. Защита объектов информационной системы (ИС).
   

Объекты информационной безопасности могут быть следующих видов:

• Информационные объекты – любая информация (сообщения, сведения, файлы, БД) в любых форматах ее представления (аналоговая, цифровая, виртуальная, мысленная).
  
• Ресурсные объекты - все компоненты ИС, ее аппаратное и программное обеспечение, процедуры, протоколы и т.д. (начиная с ОС и заканчивая выключателем сети).
  
• Физические объекты – территория, здания, помещения, средства связи, компьютерная техника.
  
• Пользовательские объекты – это люди, которые используют ресурсы ИС, имея доступ через терминалы и рабочие станции.
  
• Логические объекты – логические операции или процедуры, результатом которых является определенный вывод или признак.
  

2. Защита процессов и процедур обработки информации
   

Это направление включает защиту:

• процессов обработки данных;
  
• программ;
  
• исполняемых файлов;
  
• от загрузки программного обеспечения;
  
• от программных закладок.
  

Под процессом обработки данных будем понимать установленную последовательность процедур, операций преобразования информации, реализуемых при функционировании системы.

Защита процессов и процедур обработки информации включает защиту от вирусов и программных закладок.

3. Защита каналов связи
   

Информация должна быть конфиденциальной как в процессе ее перемещения в пределах внутренней локальной сети, так и при передаче в другие ИС по каналам связи. Защита каналов связи предусматривает криптографические методы и средства защиты.

Криптографические средства защиты - специальные методы и средства защиты информации, в результате которого маскируется ее содержание.

4. Подавление ПЭМИН
   

Наибольшую опасность с точки зрения утечки информации предоставляют побочные (паразитные) непреднамеренные излучения технических средств, участвующих в процессе передачи, обработки и хранения секретной информации.

Под утечкой информации по каналам ПЭМИН понимается возможность доступа к информации в ИС путем перехвата и соответствующей обработки побочных излучений технических средств.

Канал утечки включает технические средства передачи, обработки, или хранения секретной информации, среду распространения паразитных излучений и средства перехвата паразитных излучений. Среда распространения - например, грунт в районе контура заземлении.

Носителями информации являются электрические и электромагнитные поля и сигналы, образующиеся в результате работы средств обработки информации или воздействия опасного сигнала на средства обработки информации на системы жизнеобеспечения. Источниками таких излучений могут быть мониторы, средства связи (телефон, телеграф, громко говорящая директорская связь); средства и системы звукоусиления , звуковоспроизведения; средства охранной сигнализации.

5. Управление защитой

Управление защитой - это контроль за распределением информации в ИС, за функционированием ИС и событиями, связанных с нарушением защиты информации.

Цель управления защитой – поддержание целостности системы защиты информации и повышение эффективности мероприятий по защите информации, выявление и устранение каналов утечки информации.

3.2 Защита информационных объектов (БД)

Информация, хранимая в БД, должна быть надежно защищена. Так как к БД обращаются многие пользователи, то особенно важно, чтобы элементы данных и связи между ними не разрушались.

Защита БД означает защиту собственно данных и их контролируемое использование на рабочих местах, а так же защиту любой сопутствующей информации, извлекаемой из этих данных.

Для СУБД и БД важны 3 аспекта информационной безопасности:

1. 
   Доступность
   
2. Целостность
   
3. Конфиденциальность.
   

Основные направления борьбы с потенциальными угрозами конфиденциальности и целостности данных:

1. 
   идентификация и проверка подлинности пользователей (аутентификация);
   
2. управление доступом к данным;
   
3. механизм подотчетности всех действий, влияющих на безопасность (протоколирование);
   
4. защита регистрационной информации от искажений и ее анализ;
   
5. очистка объектов перед их повторным использованием;
   
6. защита информации, передаваемая по каналам связи.
   

3.2.1 Идентификация и аутентификация

Обычно для идентификации и проверки подлинности в СУБД применяются 2 механизма:

• идентификация и аутентификация выполняется ОС;
  
• идентификация и аутентификация выполняется СУБД. Например, в СУБД Oracle применяется оператор SQL CONNECT: CONNECT пользователь [/пароль] [@база_данных];
  

Если пароль опущен, то выводится окно для его ввода и на время отключается эхоотображение вводимых символов.

Таким образом, в момент начала работы с сервером БД пользователь идентифицируется своим именем, а средством аутентификации служит пароль.

Аутентификация на основе пароля затрудняет повторные проверки во время сеанса работы с сервером БД и практически исключает такие проверки перед каждой транзакцией. То есть, если терминал оставлен без присмотра, то на нем можно от имени пользователя выполнить любые доступные ему команды.

Использование средств аутентификации на основе личных карточек дало бы большую свободу в реализации контроля за подлинностью пользователей.

3.2.2 Управление доступом

В современных СУБД поддерживается один из двух широко распространенных подходов к управлению доступом: избирательный (дискреционный) и обязательный (мандатный).

В случае обязательного управления каждому объекту данных присваивается некоторый классификационный уровень, а каждому пользователю некоторый уровень допуска.

При таком подходе допуском к определенному объекту обладают только пользователи с соответствующим уровнем допуска. Такие схемы статичны и жестки.

В случае избирательного управления некий пользователь обладает различными правами с различными объектами. Независимо от того, какие схемы используются, все решения относительно доступа пользователей принимаются на стратегическом уровне, а не на техническом уровне.

Избирательная схема доступа базируется на трех принципах:

1. Пользователи СУБД рассматриваются как основные действующие лица, желающие получить доступ к данным. СУБД выполняет все действия над БД (DELETE – удаляет строки; INSERT – вставляет строки; UPDATE – обновляет данные в строках таблицы) от имени конкретного пользователя. СУБД выполняет эти действия, если конкретный пользователь обладает правами на выполнение конкретных операций над конкретными объектами БД.
   
2. Объект доступа – это элемент БД, доступом к которому можно управлять, то есть разрешать доступ или защищать от доступа. Объекты в БД – это таблицы, представления, формы, отчеты, прикладные программы, столбцы и строки таблицы.
   
3. Привилегии – операции, которые разрешено выполнять пользователю над определенными объектами. Это операции – SELECT, INSERT, UPDATE, DELETE. Привилегии устанавливаются или отменяются операторами SQL, например:
   

GRANT SELECT, INSERT ON Деталь TO Битов;

REVOKE INSERT ON Деталь FROM Битов;

Привилегии легко установить и легко отменить.

Конкретный пользователь СУБД опознается по уникальному идентификатору (user_id). Любое действие на БД, любой оператор SQL выполняется не анонимно, а от имени конкретного пользователя. Для организации работы пользователя с БД и установления связи конкретных операторов интерактивного SQL с конкретным пользователем используется сеанс или сессия в большинстве СУБД, для этого пользователю нужно сообщить СУБД свое имя и пароль.

Некоторые СУБД (Oracle, Sybase) используют собственную систему паролей, в других (Ingres, Informix) идентификатор пользователя и его пароль из операционной системы.

Для современной БД актуальна проблема объединения пользователей в группы и задания им привилегий.

Традиционно применяется 4 подхода для определения групп:

1. Один и тот же идентификатор используется для доступа к БД целой группой лиц (Например: отдел предприятия). Преимущества такого подхода - легче администрировать. Недостатки - если пароль известен группе лиц, возникает опасность несанкционированного доступа к нему посторонних лиц.
   
2. Каждый пользователь получает свой уникальный идентификатор и пароль. Недостатки такого подхода – сложнее настраивать и контролировать привилегии при большом количестве пользователей. Достоинством является то, что можно контролировать каждого пользователя.
   
3. Комбинированный подход используется в СУБД Ingres и Informix. Поддерживается идентификатор пользователя и идентификатор группы пользователей, каждый пользователь имеет свой идентификатор и идентификатор группы, к которой он принадлежит. Привилегии устанавливаются не только для отдельных пользователей, но и для их группы.
   
4. С БД кроме пользователей работают прикладные программы, которые тоже должны иметь привилегии. В ряде СУБД используется механизм ролей. Роль представляет собой именованный объект, хранящийся в БД. Роль связывается с конкретной прикладной программой для придания ей привилегий доступа к объектам БД. Роль создается и удаляется администратором БД, ей присваивается пароль. Пользователь, не обладающий специальными привилегиями доступа к некоторым объектам БД, может запустить прикладную программу, которая имеет такие привилегии.
   

Пример: Пусть в организации работает служащий Битов. По характеру работы он часто обращается к таблице Заработная_плата и является членом группы «Учет». Для пользователей этой группы разрешено выполнение операции SELECT над таблицей Заработная_плата

Для выборки данных из этой таблицы он должен в начале сеанса ввести свой пароль. Никто из группы «Учет» не имеет права на выполнение операции UPDATE. Для обновления таблицы Заработная_плата необходимо запустить прикладную программу «Контроль заработной платы». Которая имеет привилегии обновления таблицы Заработная_плата и выполняет специальные проверки корректности этой операции. Чтобы программа могла обновлять администратор БД создает и помещает в БД роль Обновить_заработную_плату.

GREATE ROLE Обновить_заработную_плату WITH PASSWORD= «ДТЗ110»;

Оператор

GRANT SELECT, UPDATE ON Заработная_плата TO ROLE Обновить_заработную_плату ;

предоставляет этой роли привилегии на выполнение операций выбора и обновления таблицы Заработная_плата.

Если пользователь Битов запускает программу «Контроль заработной платы», то программа имеет привилегии роли Обновить_заработную_плату.

В дискреционной схеме управления доступом применяется модель «данные- владелец». Владелец данных по собственному усмотрению ограничивает круг пользователей, имеющих доступ к данным, которыми он владеет.

Обязательный или принудительный (мандатный) метод доступа основан на отказе от понятия владельца данных и опирается на метки безопасности, которые присваиваются данным при их создании.


Метки служат для классификации данных по уровням:

Уровень	Правительственные	Коммерческие
А	Совершенно секретно	Максимальная безопасность – финансы.
В:В1, В2, В3	Секретно	Ограниченное распространение (информация о кадрах).
С: С2, С2.	Конфиденциальность	Конфиденциальность (исключительно внутри фирмы)
Д	Неклассифицированная информация	Общедоступная информация (например, прайс-листы).

Данные расклассифицированы по уровням безопасности, метками. Конкретный пользователь может оперировать с данными, расположенными на том уровне секретности, который соответствует его статусу.


Правила доступа:

1. Пользователь i имеет доступ к объекту j, если его уровень допуска больше либо равен уровню классификации объекта j.
   
2. Пользователь i может модифицировать объект j только, если его уровень равен уровню классификации объекта j. (любая информация, записанная пользователем i, автоматически приобретает его уровень классификации).
   

Эта схема опирается на механизм, позволяющий связать метки безопасности с каждой строкой любой таблицы. Любой пользователь в запросе может потребовать отобразить любую таблицу, но увидит он только те строки, у которых метки безопасности не превышают его уровень.

Строки таблицы, отмеченные как строки уровня максимальной безопасности, может увидеть только пользователь, у которого наивысший уровень.


Методы обязательного управления доступом получили распространение в любой военной системе. Некоторые коммерческие СУБД обеспечивают обязательную защиту на уровне класса В1, а ниже используется избирательный метод.

СУБД, в которых поддерживаются методы обязательной защиты, называются системами с многоуровневой защитой, а также надежными системами.

По оценкам экспертов концепция многоуровневой безопасности в ближайшие годы будет использована в большинстве коммерческих СУБД.

3. Угрозы, специфичные для СУБД

Главный источник угроз, специфичных для СУБД, лежит в самой природе БД. SQL - это мощный непроцедурный инструмент определения и манипулирования данными. Механизм процедур и правил дает возможность выстраивать цепочки действий, позволяя неявным образом попутно передавать право на выполнение процедур, даже не имея полномочий на это. Рассмотрим несколько угроз, возникающих при использовании злоумышленниками средств языка SQL:

1. Получение информации путем логических выводов. Можно извлечь из БД информацию, на получение которой стандартными средствами у пользователя не хватит привилегий.
   

Пример: БД состоит из 2-х таблиц. В первой хранится информация о пациентах (анкетные данные, диагноз, назначения и т.п.), а во второй - сведения о врачах (расписание мероприятий, перечень пациентов и т.п.). Если пользователь имеет право доступа только к таблице врачей, он может получить косвенную информацию о диагнозах пациентов, так как врачи специализируются на лечении определенных болезней.

Основным средством борьбы с подобными угрозами помимо тщательного проектирования модели данных является механизм размножения строк - в состав первичного ключа явно или неявно включается метка безопасности. За счет чего появляется возможность хранить в таблице несколько экземпляров строк с одинаковыми значениями «содержательных» ключевых полей. Наиболее естественно размножение строк реализуется в СУБД, поддерживающих метки безопасности (например, в СУБД INGRES/Enhanced Security), однако и стандартными SQL-средствами можно получить удовлетворительное решение.

2. Агрегирование данных – это метод получения новой информации путем комбинирования данных, добытых легальных образом из разных таблиц. Агрегированная информация может оказаться более секретной, чем каждый из компонентов ее составивший. Повышение уровня секретности данных при агрегировании вполне известно. Это следствие закона перехода количества в качество. Бороться с агрегированием можно за счет тщательного проектирования модели данных и максимального ограничения доступа пользователей к информации.
   
3. Покушение на высокую доступность. Если пользователю доступны все возможности SQL, он может затруднить работу других пользователей, инициировав длительную транзакцию, захватывающую большое число таблиц.
   

Современные многопотоковые серверы СУБД отражают лишь самые прямолинейные атаки, например, запуски в «часы пик» операции массовой загрузки данных.

Рекомендуется не предоставлять пользователям непосредственного SQL-доступа к БД. Используя в качестве фильтров серверы приложений.

Клиент ->Сервер приложений->сервер БД.