III. Конфиденциальность информации

Как известно политика безопасности - это совокупность норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.

Направление развития функциональности защиты информации см. гл. XV “Будущее системы ЛИНТЕР”.

В СУБД ЛИНТЕР политика безопасности реализуется с помощью двух основных подсистем:
• подсистема управления доступом к информации,
• подсистема поддержания высокой готовности информации.

A. Управление доступом к информации

В СУБД ЛИНТЕР реализовано большое количество способов управления доступом к информации:
1. Авторизация пользователей
производится при установлении соединения с системой. Проверке подлежит регистрационное имя пользователя и его секретный пароль. Если процесс авторизации пользователя прошел успешно, то все дальнейшие запросы к СУБД по данному соединению однозначно связываются с данным пользователем.
2. Контроль доступа к информации (ядро безопасности)
проходит любой запрос на доступ к любым объектам базы данных. При необходимости, отметка о прохождении запроса (удачном/неудачном) протоколируется в журнале системы защиты. При этом используются критерии дискреционной и мандатной защиты, а так же проверяется возможность работы данного пользователя с конкретной клиентской станции.
3. Дискреционная защита
в СУБД ЛИНТЕР реализована с помощью аппарата привилегий, которые можно подразделить на две категории: привилегии безопасности (позволяют выполнять административные действия) и привилегии доступа (определяют права доступа конкретных субъектов к определенным объектам).
4. Привилегии безопасности

Таких привилегий (категорий пользователей) три:
• Администратор базы данных – категория DBA. Это управляющий созданием БД, ее конфигурированием, регистрацией пользователей, групп, ролей, записью регистрационной информации и т.п.
• Привилегированные пользователи БД – категория RESOURCE. Это пользователи, которые имеют право на создание собственных объектов БД и управление привилегиями доступа к ним.
• Пользователи БД – категория CONNECT оперируют с объектами БД в рамках выделенных им привилегий доступа.

5. Привилегии доступа

• SELECT - на выборку данных,
• INSERT - на добавление данных,
• DELETE - на удаление данных,
• UPDATE - на обновление данных,
• ALTER - на изменение параметров таблицы,
• INDEX - на создание/удаление индексов,
• ALL - включает все вышеперечисленные права доступа.

Эти привилегии может присваивать/изымать только владелец соответствующих объектов:
• таблиц,
• представлений,
• синонимов.

Привилегии можно объединять в роли.
6. Использование представлений для управления доступом
позволяет сделать видимыми для пользователя только определенные данные таблиц. Не предоставляя субъектам прав доступа к базовым таблицам, и сконструировав подходящие представления, администратор базы защитит таблицы от несанкционированного доступа и снабдит каждого пользователя своим видением базы данных.
7. Иерархия прав доступа

позволяет реализовать следующие виды ограничения доступа:
• операционные ограничения (за счет прав доступа SELECT, INSERT, UPDATE, DELETE, применимых ко всем или только некоторым столбцам таблицы);
• ограничения по значениям (за счет механизма представлений);

8. Мандатная защита
предназначена для построения информационных систем с высокой степенью защищённости и состоит в назначении различных уровней ценности для всей хранимой информации.
Для этого в СУБД ЛИНТЕР используются метки доступа. Метка доступа состоит из трех частей: группы доступа (именованная совокупность пользователей) и двух уровней доступа.
Для субъектов базы данных они называются: уровень доверия пользователя (WAL) и уровень доступа пользователя (RAL). Для объектов базы данных они называются: уровень чтения данных (RAL) и уровень доступа данных (WAL).
Метки доступа могут быть назначены всем субъектам базы и объектам: начиная от таблиц и до полей записей включительно.
9. Контроль доступа с удаленных станций
или сопоставление пользователя с устройством позволит учитывать различный уровень защищенности самих клиентских станций. При правильной политике безопасности ЛИНТЕР не допустит использование канала связи, в котором ценная информация может быть скомпрометирована.
Основополагающим понятием в процессе сопоставления пользователя с устройством является понятие сетевого устройства. Сетевым устройством в ЛИНТЕР считается любое устройство, имеющее уникальный идентификатор - адрес в сети. Каждое сетевое устройство в ЛИНТЕР характеризуется целой совокупностью параметров (адрес устройства, тип сети, тип подсети, маска разрешенного времени доступа, уровни мандатного доступа, маска разрешенных групп).
Разрешенные времена доступа могут быть указаны вплоть до временных интервалов в течение дня.
10. Протоколирование работы
или система слежения ЛИНТЕР применяется для контроля функционирования подсистемы защиты, обнаружения попыток несанкционированного доступа, исправления их последствий и предотвращения их в будущем.
В СУБД ЛИНТЕР производится протоколирование широкого спектра событий. Для того, чтобы информация об определенном событии заносилась в журнал, необходимо выставить флаг протоколирования этого события.

В журнал системы безопасности заносятся следующая информация:
• отметка времени;
• имя пользователя;
• имя объекта;
• группа события;
• тип события;
• статус завершения ЛИНТЕР.

Сюда же заносится дополнительная информация о клиентской станции (сетевой адрес, PID клиента, сокет клиента), с которой пришел запрос.
Регулярный мониторинг журнала системы безопасности позволяет поддерживать надежность системы защиты на высоком уровне и своевременно реагировать на попытки обойти систему защиты.
11. Контроль за хранением информации
со стороны СУБД ЛИНТЕР позволит учитывать различный уровень защищенности внешних устройств постоянного хранения информации для размещения таблиц данных и временных рабочих файлов.
Например, часть таблиц может быть расположена на диске сервера, находящегося в охраняемом помещении, а часть размещена на жестком диске другой ЭВМ или даже на гибком диске. Защищённость устройства в последнем случае гораздо более низкая, и, следовательно, здесь не может быть расположена секретная информация.
Доступ к устройству в ЛИНТЕР может быть разрешен/запрещен различным группам пользователей. Кроме того, устройству назначается метка доступа, характеризующая его уровень защищенности и ограничивающая степень секретности содержащейся на нем информации.

В СУБД ЛИНТЕР каждое устройство характеризуется следующей информацией:
• идентификатором устройства;
• именем устройства;
• физическим путем к устройству;
• описанием устройства;
• параметрами доступа к устройству.

12. Удаление остаточной информации
закрывает еще один канал нелегального доступа к охраняемым данным – анализ остаточной информации. Анализу поддается как информация в оперативной памяти, так и информация во внешней памяти.
Для предотвращения этого в обоих случаях освободившееся пространство очищается с помощью записи маскирующей информации.

B. Поддержание высокой готовности информации

Помимо механизмов управления доступом к информации в СУБД ЛИНТЕР существуют механизмы поддержки высокой готовности информации.

Под этим подразумевается обеспечение доступа к информации в режиме реального времени, гарантированная независимость целостности и сохранности информации от сбоев в системе, от попыток разрушения информации, от аварийных ситуаций различного рода и т.д.