Реализация системы безопасности в рамках корпоративной информационной системы
Защита информационных систем, типовые модели обеспечения безопасности базы данных. Защищенные схемы хранения информации. Создание серверной части. Сравнение средств разработки клиентской части. Организационная структура службы компьютерной безопасности.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 28.10.2017 |
| Размер файла | 227,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Содержание
Введение
1. Специальная часть
1.1 Разработка системы безопасности и аудита
1.1.1 Защита информационных систем (ИС)
1.1.2 Типовые модели обеспечения безопасности БД
1.1.3 Описание разработанной системы безопасности
1.1.4 Описание разработанной системы аудита
1.2 Разработка структуры данных для системы безопасности
1.2.1 Языки безопасных баз данных
1.2.2 Защищенные схемы хранения информации
1.2.3 Разработанная схема данных
1.3 Выбор средств разработки
1.3.1 Сравнение средств разработки клиентской части
1.3.2 Выбор средств разработки
1.3.3 Проектирование схемы данных
1.3.4 Создание серверной части
1.3.5 Разработка клиентской части
2. Технологическая часть
2.1 Технология организации надежной безопасности КИС
2.2 Организационная структура службы компьютерной безопасности
2.3 Мероприятия по созданию и поддержанию комплексной системы зашиты
2.4 Перечень документов, необходимых для защиты от НСД
3. Организационно-экономическая часть
3.1 Сегментация потребителей КИС
3.2 Методика определения сегментов рынка
3.3 Поиск сегментов рынка для корпоративной информационной системы
4. Производственная и экологическая безопасность
4.1 Обеспечение комфортных условий при работе с ПЭВМ
4.2 Психофизиологические опасные и вредные производственные факторы
4.3 Требования к производственному освещению
4.4 Защита от излучений
4.5 Электробезопасность
4.6 Санитарно-профилактические мероприятия и расчет воздухообмена
4.7 Методы очистки воздуха
Заключение
Список литературы
Приложение
Введение
Общеизвестно, что любое фундаментальное техническое или технологическое новшество, предоставляя возможности для решения одних социальных проблем и открывая широкие перспективы их развития, всегда вызывает обострение других или порождает новые, ранее неизвестные проблемы, становится для общества источником новых потенциальных опасностей. Если в должной мере не позаботиться о нейтрализации сопутствующих прогрессу негативных факторов, то эффект от внедрения новейших достижений науки и техники может оказаться в целом отрицательным. Иными словами, без должного внимания к вопросам обеспечения безопасности последствия перехода общества к новым технологиям могут быть катастрофическими для него и его граждан. Именно так обстоит дело в области атомных, химических и других экологически опасных технологий, в сфере транспорта. Аналогично обстоит дело и с информатизацией общества.
Бурное развитие средств вычислительной техники открыло перед человечеством небывалые возможности по автоматизации умственного труда и привело к созданию большого числа разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых, так называемых, информационных технологий.
Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в информационно-управляющих системах наносят серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия.
Жизненно важные интересы этих субьектов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их безопасности, экономических, политических и других сторон деятельности, конфиденциальная коммерческая и персональная информация, была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения.
Острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управлявших систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому есть целый ряд объективных причин.
Прежде всего - это расширение сферы применения средств вычислительной техники и возросший уровень доверия к автоматизированным системам управления и обработки информации.
Компьютерным системам доверяют самую ответственную работу, от качества выполнения которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, управляют движением самолетов и поездов, выполняют финансовые операции, обрабатывают секретную и конфиденциальную информацию.
Изменился подход и к самому понятию "информация". Этот термин все чаще используется для обозначения особого товара, стоимость которого зачастую превосходит стоимость вычислительной системы, в рамках которой он существует. Осуществляется переход к рыночным отношениям в области создания и предоставления информационных услуг, с присущей этим отношениям конкуренцией и промышленным шпионажем.
Проблема защиты вычислительных систем становится еще более серьезной и в связи с развитием и распространением вычислительных сетей, территориально распределенных систем и систем с удаленным доступом к совместно используемым ресурсам. Доступность средств вычислительной техники и прежде всего персональных ЭВМ привела к распространению компьютерной грамотности в широких слоях населения, что закономерно привело к увеличению числа попыток неправомерного вмешательства в работу государственных и коммерческих автоматизированных систем как со злым умыслом, так и чисто "из спортивного интереса". К сожалению, многие из этих попыток имеют успех и наносят значительный урон всем заинтересованным субъектам информационных отношений.
Положение усугубляется тем, что практически отсутствует законодательное (правовое) обеспечение защиты интересов субъектов информационных отношений. Отставание в области создания стройной и непротиворечивой системы законодательно-правового регулирования отношений в сфере накопления и использования информации создает условия для возникновения и распространения "компьютерного хулиганства" и "компьютерной преступности".
Еще одним весомым аргументом в пользу усиления внимания к вопросам безопасности вычислительных систем являются бурное развитие и распространение так называемых компьютерных вирусов, способных скрытно существовать в системе и совершать потенциально любые несанкционированные действия. Особую опасность для компьютерных систем представляют злоумышленники, специалисты - профессионалы в области вычислительной техники и программирования, досконально знающие все достоинства и слабые места вычислительных систем и располагающие подробнейшей документацией и самыми совершенными инструментальными и технологическими средствами для анализа и взлома механизмов защиты.
При выработке подходов к решению проблемы компьютерной, информационной безопасности следует всегда исходить из того, что защита информации и вычислительной системы не является самоцелью. Конечной целью создания системы компьютерной безопасности является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных воздействий на информацию и системы ее обработки и передачи.
В качестве возможных нежелательных воздействий на компьютерные системы должны рассматриваться: преднамеренные действия злоумышленников, ошибочные действия обслуживаюшего персонала и пользователей системы, проявления ошибок в ее программном обеспечении, сбои и отказы оборудования, аварии и стихийные бедствия.
В качестве защищаемых объектов должны рассматриваться информация и все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом).
Обеспечение безопасности вычислительной сисгемы предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы:
оборудования, программного обеспечения, данных (информации) и ее персонала. В этом смысле защита информации от несанкционированного доступа (НСД) является только частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, а сам термин НСД было бы правильнее трактовать не как "несанкционированный доступ" (к информации), а шире, - как "несанкционированные (неправомерные) действия", наносящие ушерб субъектам информационных отношений.
Важность и сложность проблемы защиты информации в автоматизированных системах обработки информации (АС) требует принятия кардинальных мер, выработки рациональных решений, для чего необходимо сконцентрировать усилия на вопросах разработки общей концепции защиты интересов всех субъектов информационных отношений с учетом особенностей тех прикладных областей, в которых функпионируют различные АС.
Исследования проблемы обеспечения безопасности компьютерных систем ведутся как в направлении раскрытия природы явления, заключающегося в нарушении целостности и конфиденииальности информации, дезорганизации работы компьютерной системы, так и в направлении разработки конкретных практических методов и средств их защиты. Серьезно изучается статистика нарушений, вызывающие их причины, личности нарушителей, суть применяемых нарушителями приемов и средств, используемые при этом недостатки систем и средств их защиты, обстоятельства, при которых было выявлено нарушение, и другие вопросы. Необходимость проведения настояний работы вызвана отсутствием необходимых научно-технических и методических основ обеспечения защиты информации в современных условиях, и частности, в компьютеpных банковских системах. Имеются веские основания полагать, что применяемые в настоящее время в отечественных системах обработки банковской информации организационные меры и особенно аппаратно-пpограммные сpедства защиты не могут обеспечить достаточную степень безопасности субъектов, участвующих в процессе информационного взаимодействия, и не способны в необходимой степени противостоять разного рода воздействиям с целью доступа к финансовой информации и дезорганизации работы автоматизированных информационных систем.
1. Специальная часть
1.1 Разработка системы безопасности и аудита
Острота проблемы защиты информационных технологий в современных условиях определяется следующими факторами:
высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;
вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;
повышением уровня доверия к автоматизиpованным системам управления и обработки информации, использованием их в критических технологиях;
отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта (предоставления) информационных услуг;
концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;
наличием интенсивного обмена информацией между участниками этого процесса;
количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;
обострением противоречий между объективно существующими потpебностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование;
дифференциацией уровней потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (уязвимости рамичных затрагиваемых субъектов);
многообразием видов угроз и возможных каналов несанкционированного доступа к информации;
ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими программно-математических воздействий на систему;
развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).
Естественно, в такой ситуации возникает потребность в защите вычислительных систем и информации от несанкционированного доступа, кражи, уничтожения и других преступных и нежелательных действий.
Наблюдается большая разнородность целей и задач защиты - от обеспечения государственной безопасности до защиты интересов отдельных организаций, предприятий и частных лиц, дифференциация самой информации по степени ее уязвимости.
Все перечисленные факторы имеют самое непосредственное отношение к такой бурно прогрессирующей предметной области как банковское дело. Автоматизированные системы обработки информации в банковской сфере выступают в качестве технической основы для развития и совершенствования существующих банковских технологий и платежных систем в частности. Позволяя ускорить процессы движения финансовых ресурсов, АСОБИ способствуют повышению эффективности функционирования всех финансово-кредитных механизмов государства. От качества платежной системы, в конечном счете, существенно зависит эффективность всей экономики.
В условиях обострения конкурентной борьбы между коммерческими банками за завоевание (сохранение) ведущих позиций и привлечение новых клиентов возможно только при условии предоставления большего количества услуг и сокращения времени обслуживания. Это достижимо лишь при обеспечении необходимого уровня автоматизации всех банковских операций. В то же время применение вычислительной техники не только разрешает возникающие проблемы, но и приводит к появлению новых, нетрадиционных для банка угроз.
Анализ существующего положения показывает, что уровень мероприятий по защите информации в банковской сфере, как правило, отстает от темпов автоматизации.
Сложность определения мер защиты банковских информационных технологий и их реализации состоит в том, что:
на сегодняшний день не существует единой теории защищенных систем, в достаточной мере универсальной в различных предметных областях (как в государственном, так и в коммерческом секторе),
производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя решение вопросов формирования системы защиты и совместимости этих средств своим потребителям;
для обеспечения надежной защиты необходимо решить целый комплекс технических и организационных проблем с разработкой соответствующей документации.
Руководство и отделы автоматизации банков, действующие в условиях дефицита времени, вынуждены самостоятельно разрабатывать концепцию защиты, методики оценки средств защиты и организационные меры поддержки. Общеизвестно, что создать абсолютно надежную систему защиты невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому можно говорить только о некотором достаточном уровне безопасности, обеспечении такого уровня защиты, когда стоимость ее преодоления становится больше стоимости получаемой при этом информации (достигаемого эффекта), или когда за время получения информации она обесценивается настолько, что усилия по ее получению теряют смысл. Что же необходимо защищать и от чего надо защищаться? Защищать необходимо всех субъектов информационных отношений от возможного материального или морального ущерба, который могут нанести им случайные или преднамеренные воздействия на компьютерную систему и информацию.
Защищаться необходимо от таких нежелательных воздействий, как ошибки в действиях обслуживающего персонала и пользователей системы, ошибки в программном обеспечении, преднамеренные действия злоумышленников, сбои и отказы оборудования, стихийные бедствия и аварии. Естественно на основе разумного анализа риска.
Предотвращать необходимо не только несанкционированный доступ к информации с целью ее раскрытия или нарушения ее целостности, но и попытки проникновения с целью нарушения работоспособности этих систем. Защищать необходимо все компоненты систем: оборудование, программы, данные и персонал.
Все усилия по обеспечению внутренней безопасности систем должны фокусироваться на создании надежных и удобных механизмов принуждения всех ее законных пользователей и обслуживающего персонала к безусловному соблюдению требовании политики безопасности, то есть установленной в организации дисциплины прямого или косвенного доступа к ресурсам и информации.
Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является выявление, анализ и классификация возможных путей реализации угроз безопасности, то есть возможных каналов несанкционированного доступа к системе с целью нарушения ее работоспособности или доступа к критической информации, а также оценка реальности реализации угроз безопасности и наносимого при этом ущерба.
Предотвратить внедрение программных закладок можно только путем создания замкнутой программной среды, в которой должна быть исключена возможность использования инструментальных программ, с помощью которых можно было бы осуществить корректировку данных и программ на носителях и в памяти. Не должно быть программирующих пользователей, способных создать свои инструментальные средства (разработка и отладка программ должна производиться на компьютерах, не входящих в состав защищенной системы). Все используемые программы должны проходить предварительную сертификацию на предмет отсутствия в них закладок (с анализом всех исходных текстов, документации и т.д.). Все доработки программ также должны проходить сертификацию на безопасность. Целостность и неискаженность программ должна периодически проверяться путем проверки его характеристик (длины, контрольной суммы). Должен осуществляться постоянный контроль, исключающий внедрение программных закладок и распространение вирусов.
Известно большое число как традиционных, так и специфических для распределенных систем путей проникновения и НСД к информации. Нет никаких гарантий невозможности изобретения принципиально новых путей.
На аппаратно-программном уровне (уровне операционных систем) сложнее всего защититься от целенаправленных действий высококвалифицированных в области вычислительной техники и программирования злоумышленников, но именно к этому надо стремиться.
Как строить систему защиты, какие методы и средства можно при этом использовать?
Все известные меры зашиты компьютерных систем подразделяются на: законодательные, морально - этические, административные, физические и технические (аппаратурные и программные). Все они имеют свои достоинства и недостатки.
Наилучшие результаты достигаются при системном подходе к вопросам безопасности компьютерных систем и комплексном использовании различных методов и средств их защиты на всех этапах жизненного цикла систем.
Основными универсальными механизмами противодействия угрозам безопасности, реализуемыми в конкретных средствах защиты, являются:
идентификация (именование и опознавание), аутентификация (подтверждение подлинности) и авторизация (присвоение полномочий) субъектов;
контроль (разграничение) доступа к ресурсам системы;
регистрация и анализ событий, происходящих в системе;
контроль целостности ресурсов системы.
Система защиты должна строиться эшелонированно в виде концентрических колец безопасности (обороны). Самое внешнее кольцо безопасности обеспечивается морально-этическими и законодательными средствами (неотвратимость возмездия за совершенное деяние). Второе кольцо безопасности представлено физическими и организационными средствами - это внешняя зашита системы (защита от стихийных бедствий и внешних посягательств). Внутренняя защита (защита от ошибочных и умышленных действий со стороны персонала и законных пользователей) обеспечивается на уровне аппаратуры и операционной системы и представлена линией обороны, исключающей возможность работы посторонних с системой (механизм идентификации и аутентификации), и кольцами защиты всех ресурсов системы от неавторизованного использования (механизм разграничения доступа в соответствии с полномочиями субъекта). Механизмы регистрации событий и обеспечения целостности повышают надежность защиты, позволяя обнаруживать попытки преодоления других уровней защиты и своевременно предпринимать дополнительные меры, а также исключать возможность потери ценной информации из-за отказов и сбоев аппаратуры (резервирование, механизмы отслеживания транзакций). И, наконец, последнее кольцо безопасности представлено средствами прикладной защиты и криптографии. Организационные меры должны выступать в качестве обеспечения эффективного применения других методов и средств защиты в части, касающейся регламентации действий людей.
Защиту, основанную на административных мерах, надо везде, где только можно, усиливать соответствующими более надежными современными физическими и техническими средствами.
Опыт создания систем защиты позволяет выделить следующие основные принципы построения систем компьютерной безопасности, которые необходимо учитывать при их проектировании и разработке:
системность подхода;
комплексность решений;
непрерывность защиты;
разумная достаточность средств защиты;
простота и открытость используемых механизмов защиты;
минимум неудобств пользователям и минимум накладных расходов на функционирование механизмов защиты.
К сожалению, как и почти любое достижение человеческого гения, компьютер, решая одни экономические и социальные проблемы, одновременно порождает и другие, порою не менее сложные. Сегодня, когда масштабы выпуска и применения средств вычислительной техники в нашей стране должны резко увеличиться, к решению возможных в будущем проблем надо готовиться загодя, чтобы они не застали врасплох.
1.1.1 Защита информационных систем (ИС)
Защита корпоративных информационных систем - непростая задача, и в особенности это относится к защите данных. Технологии безопасности всегда отставали от других областей, таких как сетевые и коммуникационные средства. Многие модели, предложенные еще в середине - конце 80-х годов (например, поддержка различных уровней защиты данных, хранящихся в одной базе данных), только сейчас начинают внедряться в коммерческие продукты. Если в течение долгого времени развитием большинства аспектов безопасности баз данных двигали интересы правительственных - в частности оборонных - учреждений, то теперь в игру все активнее вступают интересы коммерческих структур. Результаты многих проведенных к настоящему времени исследований, скорее всего, найдут применение и в сфере безопасности коммерческой информации, хотя реальную значимость некоторых из них (например, схем многоуровневой защиты) еще предстоит оценить. Важно понимать, что коммерческие продукты, проходящие сертификацию в Национальном центре компьютерной безопасности (NCSC - National Computer Security Center), фактически проверяются на соответствие требованиям, возникшим в ответ на запросы оборонного сектора; причем в соответствующие технологии уже вложены астрономические средства. Поэтому весьма вероятно, что схемы безопасности, разрабатываемые для коммерческих систем, будут аналогичны моделям, выдвинутым в оборонной сфере.
Можно начать с двух абсолютно справедливых утверждений о безопасности баз данных: во-первых, это задача непростая, во-вторых, это обходится недешево.
Несмотря на весьма интенсивную деятельность в этой сфере начиная уже с начала 80-х средства безопасности начали внедряться в коммерческих продуктах СУБД не ранее начала 90-х. При этом то, что мы сегодня реально имеем, еще очень далеко от наших представлений о том, какой должна быть действительно безопасная среда баз данных будущего.
Сложности здесь связаны не только с техническими проблемами (подробно обсуждаемыми в этой главе), но и с рядом вопросов, которые перечислены ниже).
Безопасность вообще и безопасность баз данных в частности - это дорогое удовольствие, всегда связанное с определенными неудобствами. Почти любая мыслимая мера безопасности вступает в конфликт с теми или иными преимуществам в других сферах, таких как связность, межоперабельность, простота использования, производительность.
В сегодняшних условиях экономических ограничений, принятие долговременных инвестиционных мер сопряжено с трудностями с точки зрения оценки периода возврата средств и получения реальной отдачи. Здесь мы ориентируемся на разукрупнение, стандартизацию и другие популярные в 90-х мероприятия. Вложения в безопасность не обещают немедленного возврата средств, их можно сравнить со страхованием: реальная выгода проявляется только тогда, когда случается что-то плохое, а вероятность подобного события относительно невелика.
В свете вышесказанного интересно отметить, что движущей силой развития средств безопасности традиционно было правительство США, в особенности Министерство обороны. Усилия по продвижению средств безопасности со стороны коммерческих структур, где они весьма существенны для ряда отраслей, таких как банковское дело, и в некоторых сферах типа борьбы с вирусами, всегда отставали от инициатив правительственного сектора. Раз информация представляет собой исключительную ценность как для корпораций, так и для правительства - и в США, и во всем мире - то, стало быть, информационная защита есть насущная необходимость. Организации постепенно осознают это и переходят к внедрению или по крайней мере исследованию различных программ безопасности, охватывающих такие области компьютерных технологий, как коммуникации, операционные системы, информационное управление.
Проблема отчасти заключается в том, что у разных организаций существуют весьма разнообразные потребности в информационной защите. Для некоторых коммерческих организаций случайные утечки информации не составляют большой угрозы (если не считать осложнений, связанных с Законом о конфиденциальности). Такие компании значительно больше озабочены проблемами доступности систем, предотвращением порчи приложений, вызванной вирусами, Троянскими конями, червями и проч. и, возможно, недопущением несанкционированных изменений данных (в особенности, финансовой информации, такой как балансы банковских счетов).
В то же время в других организациях - например в военных ведомствах - раскрытие данных высокого уровня секретности может нанести значительный ущерб. Разглашение имен агентов, планов военных кампаний и тому подобных сведений может серьезно нарушить способность военного формирования успешно решать свои задачи.
Безопасность баз данных в течение долгого времени находилась как бы на втором плане в сравнении с такими областями, как безопасность сетей и коммуникаций (что в особенности относится к коммерческим организациям), но некоторые нашумевшие происшествия, например вирус "Микеланджело" или червь "Интернет", привлекли внимание к проблеме защиты баз данных и информационных активов. Благодаря этим событиям, продвижения в сфере безопасности баз данных могут, пожалуй, пойти более быстрыми темпами, чем если бы ничего такого не произошло.
Вопросы компьютерной и коммуникационной безопасности приобрели особый статус в течение последних нескольких лет, после того как Министерство обороны США издало в 1985 г. документ под названием "Критерии оценки надежных компьютерных систем". Этот документ, известный также под названием "Оранжевая книга" (которое соответствует цвету обложки), предлагает стандартизированный подход к оценке компьютерной безопасности на основе иерархической структуры, состоящей из нескольких классов безопасности. Выделяется четыре уровня безопасности, от D (самый низкий уровень защиты) до A, причем уровни C и B подразделяются на несколько классов (от низшего к высшему: C1, C2, B1, B2, B3).
Детальный анализ каждого уровня и класса выходит за рамки рассмотрения этой книги (вероятно, "Оранжевая книга" будет заменена другими правительственными стандартами безопасности). Для нас важно то, что "Оранжевая книга" послужила основой для выработки другого документа Национального центра компьютерной безопасности - Интерпретация "Критериев оценки надежных компьютерных систем" в применении к понятию надежной системы управления базой данных - вышедшего в апреле 1991 г. и известного под сокращенным названием TDI. Роль TDI заключается в том, чтобы придать деятельности, проводимой в русле "Оранжевой книги", дополнительную направленность в плане выработки руководящих принципов и интерпретаций для создания и оценки надежных СУБД.
1.1.2 Типовые модели обеспечения безопасности БД
Простейшая модель безопасности баз данных. На самом элементарном уровне концепции обеспечения безопасности баз данных исключительно просты. Необходимо поддерживать два фундаментальных принципа: проверку полномочий и проверку подлинности (аутентификацию). Проверка полномочий основана на том, что каждому пользователю или процессу информационной системы соответствует набор действий, которые он может выполнять по отношению к определенным объектам. Проверка подлинности означает достоверное подтверждение того, что пользователь или процесс, пытающийся выполнить санкционированное действие, действительно тот, за кого он себя выдает. Рассмотрим подробнее оба эти понятия.
Проверка полномочий. На рис. 1 показана базовая модель проверки полномочий. Теоретически мы могли бы поддерживать матрицу безопасности, устанавливающую отношения между всеми пользователями и процессами системы с одной стороны и всеми объектами с другой. В каждой клетке матрицы хранится список, содержащий от 0 до N операций, которые данный пользователь или процесс может выполнять по отношению к данному объекту. Всемогущая и неуязвимая система управления безопасностью, которая поддерживала бы такую матрицу и обеспечивала бы ее применение при выполнении любой операции в данной среде, могла бы, по-видимому, гарантировать высокий уровень защиты информации (хотя в реальности, как мы увидим, дело обстоит несколько сложнее).
Рисунок 1. Простая модель проверки полномочий.
На рис. 2 показано, почему такая базовая модель недостаточна для обеспечения хотя бы минимального уровня безопасности. Если Процессу 2 удастся выдать себя за Процесс 1, то он сможет выполнять действия, разрешенные Процессу 1 (но не Процессу 2). Поэтому очевидно, что необходимы какие-то дополнительные меры, которые мы и обсудим в следующем разделе.
Рис. 2. Необходимость проверки подлинности в дополнение к проверке полномочий.
Проверка подлинности. В силу описанных выше причин в безопасной среде должна присутствовать модель проверки подлинности, которая обеспечивает подтверждение заявленных пользователями или процессами идентификаторов. Проверка полномочий приобрела еще большее значение в условиях массового распространения распределенных вычислений. При существующем высоком уровне связности вычислительных систем необходимо контролировать все обращения к системе.
Проблемы проверки подлинности обычно относят к сфере безопасности коммуникаций и сетей, поэтому мы не будем их здесь более обсуждать, за исключением следующего замечания. В целостной системе компьютерной безопасности, где четкая программа защиты информации обеспечивается за счет взаимодействия соответствующих средств в операционных системах, сетях, базах данных, проверка подлинности имеет прямое отношение к безопасности баз данных. Многие механизмы защиты баз данных, обсуждаемые в этой главе, непосредственно зависят от наличия надежных средств проверки подлинности.
Заметим, что модель безопасности, основанная на базовых механизмах проверки полномочий и проверки подлинности, не решает таких проблем, как украденные пользовательские идентификаторы и пароли или злонамеренные действия некоторых пользователей, обладающих полномочиями, - например, когда программист, работающий над учетной системой, имеющей полный доступ к учетной базе данных, встраивает в код программы Троянского коня с целью хищения средств или с другими подобными умыслами. Такие вопросы выходят за рамки нашего обсуждения развития средств защиты баз данных, но следует тем не менее представлять себе, что программа обеспечения информационной безопасности должна охватывать не только технические области (такие как защита сетей, баз данных и операционных систем), но и проблемы физической защиты, надежности персонала (скрытые проверки), аудит, различные процедуры поддержки безопасности, выполняемые вручную или частично автоматизированные. Даже если бы все средства, которые мы будем обсуждать в этой главе, были легко осуществимы, потенциальные проблемы все равно остаются, если программа безопасности неполна.
Многоуровневая модель безопасности баз данных. Сочетание средств проверки полномочий и проверки подлинности - мощное орудие борьбы за безопасность информационных систем и баз данных. Если все пользователи, работающие в интерактивном режиме или запускающие пакетные приложения, достаточно надежны и имеют доступ к максимально закрытой информации, хранимой в системе, то упомянутый подход к обеспечению безопасности может быть вполне достаточным. Например, если в системе хранится информация, классифицированная по уровням от полностью открытой до совершенно секретной (чуть ниже мы рассмотрим понятие уровней защиты данных), но все пользователи системы имеют доступ к самым секретным данным, то в такой системе достаточно иметь надежные механизмы проверки полномочий и проверки подлинности. Такая модель называется "работой на высшем уровне (секретности)".
Однако она оказывается неудовлетворительной, если в учреждении необходимо организовать действительно многоуровневую среду защиты информации. Многоуровневая защита означает, что:
в вычислительной системе хранится информация, относящаяся к разным классам секретности;
часть пользователей не имеют доступа к максимально секретному классу информации.
Классический пример подобной среды - вычислительная система военного учреждения, где в логически единой базе данных (централизованной или распределенной) может содержаться информация от полностью открытой до совершенно секретной, при этом степень благонадежности пользователей также варьируется от допуска только к несекретной информации до допуска к совершенно секретным данным. Таким образом, пользователь, имеющий низший статус благонадежности, может выполнять свою работу в системе, содержащей сверхсекретную информацию, но ни при каких обстоятельствах не должен быть допущен к ней.
Многоуровневая защита баз данных строится обычно на основе модели Белл-ЛаПадула (Bell-LaPadula), которая предназначена для управления субъектами, т. е. активными процессами, запрашивающими доступ к информации, и объектами, т. е. файлами, представлениями, записями, полями или другими сущностями данной информационной модели.
Объекты подвергаются классификации, а субъекты причисляются к одному из уровней благонадежности. Классы и уровни благонадежности называются классами доступа или уровнями.
Класс доступа характеризуется двумя компонентами. Первый компонент определяет иерархическое положение класса. Второй компонент представляет собой множество элементов из неиерархического набора категорий, которые могут относиться к любому уровню иерархии. Так, в военных ведомствах США применяется следующая иерархия классов (сверху вниз):
совершенно секретно;
секретно;
конфиденциально;
несекретно.
Второй компонент может относиться, например, к набору категорий:
ядерное оружие;
недоступно для иностранных правительств;
недоступно для служащих по контракту.
В частной компании возможны такие уровни иерархии:
секретно;
для ограниченного распространения;
конфиденциально;
для служебного пользования;
несекретно.
Второй компонент в такой компании мог бы принадлежать к набору категорий:
недоступно для служащих по контракту;
финансовая информация компании;
информация об окладах.
Очевидно, что можно определить матрицу соотношений между иерархическими и неиерархическими компонентами. Например, если некоторый объект классифицирован как совершенно секретный, но ему не приписана ни одна из категорий неиерархического набора, то он может предоставляться иностранным правительствам, в то время как менее секретный объект может иметь категорию "недоступно для иностранных правительств" и, следовательно, не должен им предоставляться. Однако в модели Белл-ЛаПадула создается "решетка", где неирархические компоненты каждого уровня иерархии автоматически приписываются и всем более высоким уровням (так называемое "обратное наследование"). Эта модель отображена на рис. 3.
Рис. 3. Решетка классов доступа в модели Белл-ЛаПадула.
До сих пор наше обсуждение касалось вполне очевидных понятий. Из него следует, что субъект класса CL1 имеет доступ к объектам класса CL2, если CL2 не выше CL1. Например, пользователь класса "совершенно секретно", имеет доступ к информации классов "совершенно секретно", "секретно", "конфиденциально", "несекретно". В модели Белл-ЛаПадула этот принцип известен под названием простого свойства секретности (simple security property).
Менее очевидно другое свойство, обозначаемое символом *, которое позволяет субъекту иметь право на запись в объект только в том случае, если класс субъекта такой же или ниже, чем класс записываемого объекта. Это означает, что информация, принадлежащая какому-либо уровню секретности, никогда не может быть записана в какой-либо объект, имеющий более низкий уровень секретности, поскольку это могло бы привести по неосторожности к деградации защиты классифицированной информации.
Безопасная среда распределенной базы данных. Если в области баз данных с многоуровневой защитой уже в значительной степени устоялись по крайней мере основные концепции (например признана необходимость многозначности), хотя конкретные реализации еще значительно отстают, то исследования в сфере безопасности распределенных СУБД существенно уступают в отношении зрелости.
Истоки исследований безопасных РаБД относятся к 1982 г., к проекту Woods Hole американских ВВС, в котором были определены две альтернативные архитектуры распределенных СУБД19). Общей чертой обеих было наличие надежного компонента переднего плана, который мог подключаться к двум физически раздельным СУБД. В одной из архитектур (показанной на рис. 10) одна база данных содержит высокосекретные данные, другая - данные низкой секретности. Компонент переднего плана соответствующим образом направляет выполнение операций (в том числе запросов) над базой данных. Запросы на доступ к высокосекретной информации от процессов и пользователей с необходимым уровнем благонадежности направляются на СУБД высокого уровня, а многоуровневые запросы подвергаются декомпозиции и соответствующим образом распределяются.
Рис. 4. Архитектура безопасной распределенной СУБД с раздельными компонентами заднего плана.
Такая архитектура, впрочем, не имеет отношения к базам данных с многоуровневой защитой и к достигнутым в этой области результатам. Хотя распределенные приложения обрабатывались посредством надежного компонента переднего плана и имели дело с единой глобальной схемой , но принцип автономного выполнения локальных приложений по отношению к локальной базе данных нарушается по крайней мере для многоуровневых приложений (например, в случае нераспределенной, но многоуровневой обработки все равно нельзя иметь дело только с одной локальной СУБД с многоуровневой защитой).
Альтернативная архитектура, изображенная на рис. 11, несколько сложнее и предусматривает наличие нескольких уровней в пределах одной СУБД, хотя ее и нельзя назвать истинно многоуровневой. Операции низкого уровня обрабатываются так же, как в первой архитектуре. Но операции высокого уровня и многоуровневые операции обрабатываются СУБД, на которой хранятся высокосекретные данные и копии данных низших степеней секретности.
Рис. 5. Архитектура безопасной распределенной СУБД с псевдомногоуровневым компонентом заднего плана.
В середине 80-х началась работа по расширению предложенных в 1982 г. рекомендаций и выработке новых спецификаций РаСУБД с многоуровневой защитой, спонсором которой был центр Rome Air Development Center (RADC) ВВС США. Этот проект, получивший название SD-DBMS, не предусматривал реализацию распределенной СУБД в классическом понимании этого термина (т. е. со средствами вертикальной и горизонтальной фрагментации кортежей по организационным соображениям или в соответствии с оценками затрат на сетевые пересылки); распределение использовалось в нем как инструмент для организации принудительного управления доступом (MAC - mandatory access control21)). SD-DBMS предназначалась для выполнения в локальной сети с многоуровневой защитой.
SD-DBMS следует базовой модели Белл-ЛаПадула (т. е. с определением классов доступа, включающим иерархический и неиерархические компоненты, с понятиями субъектов и объектов и т. п.). Система обеспечивает добровольное управление доступом (DAC - discretionary access control) посредством представлений доступа (access views) или виртуальных отношений, производных от базовых отношений и подобных традиционным SQL-представлениям. Субъектам (пользователям и процессам) не разрешается обращаться непосредственно к базовым отношениям, они имеют доступ к данным только через посредство представлений с контролируемым доступом.
Добровольное управление доступом осуществляется при помощи списков управления доступом (ACL - access control list), где задаются допустимые над данным представлением операции с указанием идентификаторов пользователей или групп. Принудительное управление доступом, MAC, обеспечивается путем ассоциирования класса доступа с каждым кортежем базового отношения. Производное отношение, т. е. отношение, полученное в результате применения к существующим представлениям реляционных операций, состоит из производных кортежей, которые подвергаются MAC-разметке. Процедуры разметки - предмет интенсивных исследований. Для управления производными кортежами необходимы соответствующие алгоритмы.
Архитектура SD-DBMS была также основана на физически разделенных компонентах заднего плана, по одному на каждый класс доступа (рис. 12). Каждое вновь создаваемое многоуровневое отношение разбивается на одноуровневые фрагменты, хранимые на разных узлах заднего плана в соответствии со своим классом безопасности.
Были также предложены различные альтернативные политики и архитектуры, направленные на решение проблем, свойственных SD-DBMS, таких как, например, необходимость кодирования данных, содержащихся непосредственно в запросах пользователей, работающих с данными высших классов секретности (с целью перекрытия косвенных каналов, о которых говорилось в предыдущем разделе).
Рис. 6. Архитектура SD-DBMS27)
Работы в области безопасных распределенных баз данных продолжаются в таких направлениях, как создание архитектур, обеспечивающих поддержку и локальной, и глобальной многоуровневой обработки. Еще одна область исследований - безопасность неоднородных систем мультибаз данных. Степень применимости мощных средств многоуровневой защиты данных к корпоративным окружениям мультибаз данных до сих пор не ясна, поскольку в этой сфере еще слишком много сложных нерешенных проблем.
Может случиться так, что в корпорации будут существовать островки безопасной обработки, включающие безопасные базы данных и информационные менеджеры, отделенные от каких бы то ни было грандиозных планов всеобщей интеграции (рис. 13). Пользователь соответствующего класса благонадежности может иметь доступ к среде безопасной обработки, возможно, включающей защищенную РаСУБД, находящуюся за рамками программы интеграции корпоративной информационной среды, независимо от реализации, уровня прозрачности и других аспектов организации мультибаз данных.
Рис. 7. Возможная архитектура с поддержкой сосуществования мультибаз данных и безопасных баз данных.
Безопасные ООСУБД. Перейдем теперь от реляционных СУБД к проблемам безопасности в объектно-ориентированных базах данных. По мере того как продукты ООСУБД приобретают зрелость, и их применение выходит за рамки масштабов небольшого подразделения, при том что значение безопасности информационного управления постоянно возрастает, будет расширяться и роль безопасных ООСУБД и ООБД. В этом разделе мы обсудим направления развития безопасных ООСУБД.
В отношении безопасности ООСУБД можно высказать два самых общих суждения.
Уровень развития средств безопасности в ООСУБД существенно ниже, чем в реляционных СУБД, но, в основном, в силу относительной "молодости" объектно-ориентированных технологий.
Принципы многоуровневой защиты, разработанные для реляционных баз данных, такие как многозначность и модель Белл-ЛаПадула, нашли отражение и в безопасных системах ООБД.
Объектно-ориентированным аналогом СУБД SeaView является система SODA (Secure Object-oriented DAtabase). В SODA применяется политика безопасности Белл-ЛаПадула и стратегия присваивания меток безопасности для классификации объектов30). В SODA поддерживается два различных типа меток.
1) Метки переменных-компонентов объектов. Каждой переменной может быть присвоена независимая метка, соответствующая диапазону классификации; это аналогично классификации на уровне элементов кортежей, когда каждый столбец отношения имеет собственный допустимый диапазон классификации, а элемент кортежа - индивидуальную классификацию, независимую от других элементов.
2) Метки объектов. Аналогичны классификации кортежей (один общий класс для всего кортежа или объекта).
В связи с классификацией составных или несоставных объектов в ООСУБД возникает ряд проблем. Существует набор правил (предложенный Б. Тхурейзингхэмом), при помощи которого можно управлять уровнями защиты экземпляров, объектов и отношениями между экземплярами и объектами обоих типов31).
Поскольку для ООБД, в отличие от реляционных баз данных, отсутствует достаточная стандартизация терминологии и моделей (хотя стандарт ODMG-93, вероятно, поправит ситуацию), то исследования в области безопасности ООБД, как правило, проводятся в отношении несколько различающихся моделей. Как уже отмечалось, большинство принципов безопасности реляционных баз данных находят отражение в ООБД, и сближение ООБД со стандартом ODMG создаст основу для коммерциализации безопасных ООСУБД.
1.1.3 Описание разработанной системы безопасности
В ходе разработке системы безопасности было принято решение разделить ее на 2 составляющие:
Системная безопасность
Прикладная безопасность
Системная часть строится на возможностях разграничения прав доступа к объектам БД, предоставляемых используемой СУБД. В эту часть входит как управление правами доступа к таблицам, так и создание промежуточных представлений. Как правило, средства безопасности, встроенные в СУБД, достаточно надежны и производительны, но на их уровне трудно разграничить права на логические объекты БД, такие как документы и их СУ, к примеру.
Прикладная часть системы безопасности строится с использованием определенных алгоритмов и организационных мероприятий. Организационные мероприятия будут подробно рассмотрены в технологическом разделе. Алгоритмическая строится на основе базовой модели проверки полномочий. С тем отличием, что полномочия делегируются не напрямую пользователям, а неким виртуальным группам пользователей, в которые пользователь может входить или не входить. В случае принадлежности пользователя к нескольким группам, он получает права как объединение всех прав, наследумых от каждой группы пользователей. Основной недостаток такого подхода - возможность одного процесса выдать себя за другого и получить доступ к секретным данным - устраняется использованием системной составляющей системы безопасности, ввиду аутентификации пользователей средствами СУБД.
Для каждого из объектов, для которых необходимо контролировать права доступа, создаются записи в матрице безопасности, с указанием перечня прав. При обращении к объекту происходит проверка прав доступа, по результатам которой доступ к объекту либо получается, либо нет.
В системе используются следующие категории прав:
Для информационных объектов: S, U, I, D (от SELECT, UPDATE, INSERT, DELETE).
Для функциональных объектов: E (от EXECUTE).
Такой комплексный подход обеспечивает достаточно надежную систему безопасности для КИС, работающей по защищенным каналам. В случае незащищенных каналов следует использовать либо соответствующее оборудование для защиты каналов от НСД, либо программные средства, например, специальную надстройку для ORACLE, шифрующую сетевой траффик SQL*Net - клиента.
1.1.4 Описание разработанной системы аудита
Система аудита в КИС является совершенно необходимой составляющей системы безопасности. Как показывает практика, основной угрозой для безопасности КИС выступают вовсе не хакеры и шпионы, а непреднамеренные и злоумышленные действия сотрудников, которые, по ошибке, невнимательности, либо преднамеренно, уничтожают, изменяют или добавляют информацию в систему, что приводит к негативным последствиям. Причем, с точки зрения информации эти действия вполне допустимы и их автоматический анализ практически невозможен, так как система не в состоянии определить, какие данные являются истинными, а какие - испорченными. С другой стороны, КИС - это большая и сложная система, управление которой - сложная задача и система аудита призвана упростить эту задачу.
Система аудита, по возможности, строится из двух составляющих:
Системный аудит.
Аудит прикладной.
Системная составляющая аудита обеспечивается функциональностью СУБД, определяемой ее разработчиками. Это, как минимум, журналирование изменений данных, производимых пользователем. В настоящее время большинство СУБД поддерживают эту возможность. Но при увеличении объема изменяемой информации такие журналы могут оказаться неприемлемыми без прикладной системы аудита из-за необходимости просматривать огромные объемы неклассифицированной информации.
Прикладная система аудита реализуется алгоритмически и служит фиксации в журналах действий пользователя.
Действия могут быть нескольких типов:
Вход, выход из системы.
Обращение к защищенной информации.
Выполнение определенных функций системы.
Дополнительной возможностью является накопление статистической информации по работе пользователей системы.
Разработанная система аудита работает в соединении с системой безопасности. При любом обращении к функции, определяющей права пользователя, делается соответствующая запись в журнал аудита о том, кто, когда и на какой объект затребовал права и какие именно права были затребованы. Также фиксируется, успешно ли прошла проверка прав пользователя.
Подобные документы
Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Реализация базы данных и серверной части информационной системы склада средствами СУБД Microsoft SQL Server. Анализ предметной области, информационных задач, пользовательской системы. Программа реализации проекта. Выработка требований и ограничений.
курсовая работа [2,4 M], добавлен 15.11.2015Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Определение автоматизированных информационных систем. Обоснование выбора среды разработки информационной системы. Создание запросов для выбора информации. Логическая и физическая структура реляционной базы данных. Разработка интерфейса пользователя.
курсовая работа [2,1 M], добавлен 16.04.2017Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Исследование системы безопасности предприятия ООО "Информационное партнерство". Организационная структура компании, направления обеспечения информационной безопасности. Используемые средства защиты; методы нейтрализации и устранения основных угроз.
курсовая работа [149,1 K], добавлен 18.08.2014Особенности информационной безопасности банков. Человеческий фактор в обеспечении информационной безопасности. Утечка информации, основные причины нарушений. Комбинация различных программно-аппаратных средств. Механизмы обеспечения целостности данных.
контрольная работа [22,3 K], добавлен 16.10.2013Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.
презентация [118,4 K], добавлен 19.01.2014
