ОБОБЩЕННАЯ МОДЕЛЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМЫ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ

Введение

На сегодняшний день наиболее технологически развитыми СУБД являются: Oracle 11.2g/12c, IBM DB2 и Microsoft SQL Server 2008/2012 [1–3]. Все они поддерживают реляционную модель данных и реализуют архитектуру клиент-сервер. Анализ систем информационной безопасности этих СУБД позволил авторам статьи разработать обобщенную модель информационной безопасности СУБД. Модель является обобщенной в том смысле, что в полной мере ей не соответствует ни одна из реальных систем (можно говорить только о степени соответствия), но описывает общие принципы и методы решения задач информационной безопасности СУБД. Обобщенные модели СУБД рассматриваются и в [4], но все они описывают уровни абстракции данных или принципы хранения данных.

Основная часть

На рисунке приведено графическое изображение обобщенной модели информационной безопасности СУБД. Модель представляет собой девять взаимодействующих пронумерованных и поименованных компонент. Все компоненты, кроме первой, включают в себя компоненты с меньшими номерами. Каждая компонента имеет собственный набор объектов базы данных (БД) или сервера СУБД.

В модели рассматриваются три процесса (обозначены направленными стрелками): аутентификации, авторизации и аудита. Кроме того, вводится понятие поверхностей базы данных (изображены штриховыми горизонтальными линиями). Под поверхностью понимается способ представления БД подключившемуся пользователю. В простейшем случае БД может быть представлена в виде множества таблиц (поверхность 1). В других – в виде набора представлений (поверхность 2) или перечня процедур и функций (поверхность 3). В общем случае могут сосуществовать все три уровня одновременно.

Далее будут использоваться уровни модели. Каждый уровень соответствует компоненте с тем же номером. На каждом уровне будем рассматривать перечень собственных объектов уровня и привилегии – элементарные разрешения на выполнение элементарных операций с объектами сервера или БД.

1. Уровень данных. Собственными объектами уровня данных являются реляционные таблицы БД. На этом уровне нет объектов и механизмов, регулирующих доступ к данным. Доступ к данным осуществляется пользователем БД (уровень 5), которому может быть предоставлен доступ к содержимому таблицы или отдельным столбцам (для чтения, модификации и удаления) с помощью назначенных объектных привилегий (уровень 5). Возможность создания, изменения и удаления таблиц БД определяется наличием соответствующих системных привилегий (уровень 6). Множество собственных объектов уровня данных представляет собой первую поверхность БД.
   

   Рисунок 1 – Обобщенная модель информационной безопасности СУ

2. Уровень представления. Собственными объектами этого уровня выступают представления, являющиеся поименованными и хранящимися в БД SELECT-запросами. Представления являются механизмом, позволяющим создать промежуточный слой между пользователем (уровень 5) и таблицами данных (уровень 1). Создание такого слоя дает возможность скрыть от пользователя наличие реальных таблиц, более того, создать иллюзию работы с таблицами, которых в реальности не существует. Доступ к представлениям регулируется таким же образом, как и к реляционным таблицам. Уровень представления может образовывать вторую поверхность БД. Другими словами, пользователю будут доступны для работы не реальные таблицы, а только представления. При этом операции, выполняемые с представлениями, будут транслироваться в операции с таблицами. В зависимости от вида представления трансляция может выполняться автоматически или с применением триггеров замещения (уровень 3).
3. Уровень процедур. Объекты уровня процедур представляют собой программные структуры: процедуры, функции, триггеры, пакеты процедур, функций и пользовательские типы. Важнейшим механизмом, действующим на этом уровне, является механизм имперсонизации, позволяющий перенести привилегии пользователя на программный объект. Часто этот уровень является поверхностью базы данных (поверхность 3), т. е. БД может быть представлена пользователю как набор программных объектов: процедур, функций, типов и пр. Доступ к объектам этого уровня регулируется с помощью механизмов объектных и системных привилегий (уровни 5 и 6).
4. Уровень схем. Схема – это поименованная совокупность объектов БД. С точки зрения информационной безопасности схема может определять группу объектов, доступных пользователю для выполнения заданного перечня операций. Доступ к схемам регулируется с помощью механизмов объектных и системных привилегий (уровни 5 и 6). Применение схемы дает возможность регулировать доступ пользователей (уровень 5) одновременно ко всем элементам схемы.
5. Уровень пользователей БД. Основными объектами этого уровня являются пользователи базы данных, объектные привилегии и роли уровня базы данных. Пользователь БД является принципалом – объектом безопасности, которому могут быть назначены привилегии. Любой создаваемый в БД объект создается от лица пользователя, который становится владельцем созданного объекта. Роль БД – это тоже принципал, представляющий собой поименованный набор привилегий. Роль может быть назначена пользователю или другой роли. При этом привилегии, закрепленные за исходной ролью, распространяются на пользователя или другую роль. Кроме того, на этом уровне могут быть определены фиксированные роли – роли, обладающие неизменяемым набором привилегий. Объектные привилегии – набор элементарных разрешений, которые может выдать пользователь-владелец объекта другому пользователю для использования объекта. Как правило, на уровне БД всегда предопределены два пользователя: один – с максимальными системными привилегиями (владелец БД), другой – с минимальными (для подключения без привилегий).
6. Уровень системных привилегий. Системная привилегия – это элементарное разрешение, связанное с элементарной операцией для типа объекта (например, привилегия на создание или удаление таблиц, представлений, процедур, функций). Как правило, системные привилегии назначает привилегированный пользователь – администратор БД. На этом уровне могут существовать предопределенные фиксированные роли. Кроме фиксированных ролей могут быть созданы пользовательские роли.
7. Уровень пользователей сервера. Пользователь сервера СУБД предназначен для установки соединения клиентского приложения с сервером СУБД в рамках процедуры аутентификации. Каждый пользователь сервера проецируется на одного пользователя в БД (уровень 5), привилегии которого определяют возможности серверного пользователя в этой БД. Возможности серверного пользователя определяются назначенными ему серверными привилегиями (уровень 8).
8. Уровень серверных привилегий. Собственными объектами уровня серверных привилегий являются серверные роли и профили безопасности. Серверная роль – поименованная совокупность серверных привилегий (разрешений на уровне сервера). Серверные роли могут быть фиксированные (не допускающие модифкации) и пользовательские. Серверные роли могут быть назначены пользователю сервера или нефиксированной роли. Профиль безопасности – поименованный перечень лимитов, связанных с процессом подключения серверного пользователя (максимальное количество попыток неправильного ввода пароля, строк действия пароля, максимальная продолжительность сеанса и т. п.). Обычно профиль безопасности определяет свойства подключения пользователя к серверу СУБД. К этому же уровню относят словарь СУБД (системный каталог), представляющий собой набор системных представлений, описывающих структуру и состояние БД.
9. Уровень операционной системы. На уровне операционной системы (ОС) БД представляет собой набор файлов (файлы перманентных и временных данных, журналов, резервных копий и архивов, конфигурационные файлы), а сервер в виде нескольких серверных и фоновых процессов (или служб ОС), работающим от лица специальных учетных записей, созданных при инсталляции серверного программного обеспечения. Доступ к файлам данных и памяти процессов регулируется средствами ОС.

Процесс аутентификации

Аутентификация охватывает три верхних уровня модели. На уровне ОС аутентификация выполняется средствами ОС, на уровнях серверных привилегий и пользователей сервера – средствами СУБД. Может быть установлены доверительные отношения между ОС и СУБД, что позволяет применять только аутентификацию, выполненную ОС. Отдельно рассматривается процесс локальной аутентификации пользователя сервера СУБД. Такое подключение необходимо для старта или останова сервера, для перевода его в другие режимы работы, для выполнения серверных команд, требующих эксклюзивного использования сервера СУБД. В этом случае предусматривается аутентификация при отсутствии доступа к БД. На уровне системных привилегий может быть предусмотрена роль для подключения к серверу без аутентификации.

Процесс авторизации.

Процесс авторизации выполняется после аутентификации и затрагивает три уровня (уровни 5–7). Он сводится к наделению пользователя БД необходимым перечнем системных и объектных привилегий. Любая работа с объектом БД осуществляется от лица пользователя БД и в соответствии с тем перечнем привилегий, которые он унаследовал от соответствующего пользователя сервера, от фиксированных и пользовательских ролей, а также привилегий, назначенных ему индивидуально.

Аудит.

Основное назначение процесса аудита – осуществление контроля за уровнем информационной безопасности базы данных. Процесс охватывает все девять уровней модели и предназначен для выявления: избыточно назначенных привилегий; недостающих привилегий; попыток несанкционированного доступа к данным; авторства выполненных в базе данных операций.

Заключение

Принцип построения предложенной выше модели информационной безопасности СУБД основывается на разбиении объектов базы данных и сервера СУБД на девять уровней по следующему правилу – безопасность каждого уровня модели определяется объектами и механизмами, определенными на более высоких уровнях. Модель является универсальной и не связана с какой-нибудь реализацией СУБД.

Модель может быть использована при проектировании информационных систем. Ее применение позволяет сформулировать требования к системе информационной безопасности БД безотносительно используемой СУБД. Более того, одним из критериев дальнейшего выбора СУБД может служить степень покрытия этой системой сформулированных требований. Модель может быть применяться в учебном процессе для объяснения принципов построения систем информационной безопасности в современных СУБД. Кроме того, модель может использоваться для сравнительного анализа систем информационной безопасности различных СУБД.

Модель может быть применяться в учебном процессе для объяснения принципов построения систем информационной безопасности в современных СУБД.

Кроме того, модель может использоваться для сравнительного анализа систем информационной безопасности различных СУБД.

Литература

1. Oracle Database 12c Enterprise Edition [Электронный ресурс]. 2015. URL: http://oracle.com/database (дата обращения: 09.03.2015).

2. IBM DB2 Database software [Электронный ресурс]. 2015. URL: http://www-01.imb.com/software/data/db2 (дата обращения: 09.03.2015).

3. Microsoft SQL Server Editions [Электронный ресурс]. 2015. URL: http://www.microsoft.com/sqlserver/ru/ru/sql-2012-editions.aspx (дата обращения: 09.03.2015).

4. Дейт К. Дж. Введение в системы баз данных. М.: Вильямс, 2005. 1316 с.