Add to collection(s) Add to saved
  1. No category
Uploaded by Михаил

Лекция 4

advertisement 
Основные понятия безопасности баз данных.
Угрозы безопасности баз данных: общие и специфичные.
Требования безопасности баз данных
Введение
Вопросы информационной безопасности баз данных целесообразно рассматривать с
двух взаимодополняющих позиций:
•оценочные стандарты, направленные на классификацию информационных систем и
средств их защиты по требованиям безопасности;
•технические спецификации, которые регламентируют различные аспекты реализации
средств защиты.
Первый оценочный стандарт: Стандарт министерства обороны США «Критерии оценки
достоверных компьютерных систем»
Этапы развития концепций безопасности баз данных
•
•
•
•
Первый этап: обеспечение безопасности данных механизмами,
функционирующими по строго формальным алгоритмам. Программные
средства защиты включались в состав операционных систем и систем
управления базами данных . Слабым звеном разработанных механизмов
защиты была технология разграничения доступа пользователей к данным.
Второй этап: в составе операционных систем ядро безопасности
реализовывалось как функционально самостоятельная подсистема
управления механизмами защиты данных, которая включала технические,
программные, и лингвистические средства.
Третий этап: реализация принципа системности. Все средства и механизмы,
используемые для защиты данных, объединяются в систему обеспечения
безопасности данных, которая должна обеспечивать многоуровневую защиту
данных не только от злоумышленников, но и от обслуживающего персонала
АИС, а также случайных ошибок пользователей.
Четвертый этап: разработка и внедрение стандартов в области
информационной безопасности. Акцент сделан на безопасность баз данных
Стандартизация систем безопасности
«Критерии оценки надежных компьютерных систем» разработан
Национальным центром компьютерной безопасности (NCSC —National
Computer Security Center), опубликован Министерством обороны США в
1983 г.
«Руководящие документы по защите от несанкционированного доступа
к информации» опубликованы Государственной технической комиссией
при Президенте Российской Федерации (Гостехкомиссией) в 1992 г.
Международный стандарт ISO/IEC 15408 опубликован в 1999 г.
ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий» опубликован в 2002 г. на основе
ISO/IEC 15408 . Последняя версия утверждена в 2013 г7
ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий» выделяет 11 классов функциональных
требований к безопасности информационных систем:
•
•
•
•
•
•
•
•
•
•
•
аудит безопасности;
связь (передача данных);
криптографическая поддержка (криптографическая защита);
защита данных пользователя;
идентификация и аутентификация;
управление безопасностью;
приватность (конфиденциальность);
защита функций безопасности объекта;
использование ресурсов;
доступ к объекту оценки;
доверенный маршрут/канал.
По защищенности процессов обработки информации все
автоматизированные системы делятся на три группы
• Третья группа включает в себя автоматизированные системы, в
которых работает один пользователь.
• Вторая и первая группы включают многопользовательские системы, в
которых информация обрабатывается и хранится на носителях
различного уровня конфиденциальности.
Уровни построения комплексной системы обеспечения информационной
безопасности
•
•
•
•
уровень прикладного программного обеспечения, отвечающего за
взаимодействие с пользователем;
уровень системы управления базами данных, обеспечивающего хранение и
обработку данных информационной системы;
уровень операционной системы, отвечающего за функционирование СУБД и
иного прикладного программного обеспечения;
уровень среды доставки, отвечающего за взаимодействие информационных
серверов и потребителей информации.
Задачи обеспечения информационной безопасности систем баз
данных
конфиденциальности — обеспечения пользователям доступа только к данным, для которых
пользователь имеет явное или неявное разрешение на доступ (синонимы — секретность,
защищенность);
целостности — обеспечения защиты от преднамеренного или непреднамеренного изменения
информации или процессов ее обработки;
доступности — обеспечения возможности авторизованным в системе пользователям доступа
к информации в соответствии с принятой технологией (синоним — готовность).
Система защиты информации, реализованная в виде
комплекса программно-технических средств
состоит из четырех подсистем:
•
•
•
•
подсистемы управления доступом;
подсистемы регистрации и учета;
криптографической подсистемы;
подсистемы обеспечения целостности.
Анализ безопасности архитектурных решений и их
программных реализаций в СУБД
• идентификация и аутентификация субъектов системы,
• технологии реализации дискреционной, мандатной и ролевой модели
доступа к ресурсам системы,
• реализацию аудита действий пользователей.
•
•
•
•
В процессе исследования дискреционной модели доступа важно обратить
внимание на особенности реализации системных привилегий и привилегий
доступа к объекту системы, в частности, механизмы предоставления и отзыва
привилегий.
Важнейший вопрос при проведении исследования реализации мандатной
модели управления доступом — технология присваивания и изменения меток
для объектов и субъектов. Реализация разграничения доступа на уровне
кортежей предполагает наличие специального столбца с меткой доступа.
Ролевая модель доступа широко распространена в мировой практике
обеспечения защищенных технологий обработки баз данных.
Роль — это поименованный набор привилегий, который может быть
предоставлен пользователю или другой роли; по сути, языковое средство для
автоматизации работы администратора по разграничению доступа.
Представление — это поименованная динамически поддерживаемая сервером
выборка из одной или нескольких таблиц. Оператор SELECT, определяющий
выборку, ограничивает видимые пользователем данные. Кроме того,
представление позволяет эффективно ограничить данные, которые
пользователь может модифицировать.
Триггеры как средство обеспечения информационной
безопасности
Триггеры — это совокупности предложений языка SQL или некоторого иного
процедурного языка, автоматически запускаемые сервером при регистрации
определенных событий в системе (таких как операций INSERT, UPDATE, DELETE )
Рассматривают два способа использования триггеров для повышения
защищенности системы:
1) дополнительный контроль допустимости действий пользователя;
2) ведение специализированного (нестандартного) аудита действий
пользователя.
Особенностью триггеров является автоматически реализуемая возможность
выполнить необходимые проверки полномочий перед выполнением операций
над таблицами.
Современные СУБД промышленного уровня поддерживает триггеры,
запускаемые для определенных системных событий, в частности: начала и
завершения сессии взаимодействия пользователя с системой, запуска и останова
экземпляра сервера баз данных, создания и уничтожения объектов и т. п.
Аудит
Аудит – автоматическое ведение протоколов действий пользователей
системы.
В СУБД средство ведения аудита реализовано в виде набора
возможностей, управляемых языковыми средствами системы, или
независимой утилиты.
Средства аудита выполняют фиксацию информации об активности
пользователей системы в словаре данных или в файле операционной
системы — журнале аудита.
Информация о настройках системы аудита хранится в специальном
конфигурационном файле.
Файл настройки или параметры команды активизации аудита
определяют перечень событий, которые фиксируются системой аудита.
Анализ безопасности взаимодействия с внешними
компонентами
• вопросы сопряжения с элементами операционной системы — анализ
управляющих и информационных потоков вниз
• вопросы сопряжения с программным обеспечением промежуточного
уровня (прослушивающие процессы, HTTP-серверы, мониторы
транзакций и т. п.) — анализ управляющих и информационных потоков
вверх
• возможности пользователей СУБД несанкционированно осуществлять
чтение и запись в файлы и устройства операционной системы, включая
возможность модификации записей аудита, осуществляемых во
внешние файлы
Исследование вопросов сопряжения с программным
обеспечением промежуточного уровня должно включать
•
•
•
•
выявление портов взаимодействия с внешним программным обеспечением и
механизмов их активизации и переназначения (внутренние и внешние);
устойчивость к перегрузкам каналов с шумовым трафиком и вставкам ложных
пакетов;
возможности внутреннего и внешнего управления активизацией и
перенастройкой параметров протоколов ODBC и JDBC;
анализ алгоритмов и технологий линейного шифрования трафика
межсерверного обмена и взаимодействия клиентского программного
обеспечения с серверами баз данных.
Угрозы безопасности баз данных
Угрозой информационной безопасности автоматизированной
информационной системе (АИС) - возможность воздействия на информацию,
обрабатываемую в системе, приводящего к искажению, уничтожению,
копированию, блокированию доступа к информации, а также возможность
воздействия на компоненты информационной системы, приводящего к утрате,
уничтожению или сбою функционирования носителя информации или средства
управления программно-аппаратным комплексом системы.
Угроза нарушения конфиденциальности данных включает в себя любое
умышленное или случайное раскрытие информации, хранящейся в
вычислительной системе или передаваемой из одной системы в другую.
Угроза нарушения целостности включает в себя любое умышленное или
случайное изменение информации, обрабатываемой в информационной
системе или вводимой из первичного источника данных.
Источники угроз информации баз данных
Внешние источники:
•
•
•
•
•
умышленные, деструктивные действия лиц с целью искажения, уничтожения
или хищения программ, данных и документов системы, причиной которых
являются нарушения информационной безопасности защищаемого объекта;
искажения в каналах передачи информации, поступающей от внешних
источников, циркулирующих в системе и передаваемой потребителям, а
также недопустимые значения и изменения характеристик потоков
информации из внешней среды и внутри системы;
сбои и отказы в аппаратуре вычислительных средств;
вирусы и иные деструктивные программные элементы, распространяемые с
использованием систем телекоммуникаций, обеспечивающих связь с внешней
средой или внутренние коммуникации распределенной системы баз данных;
изменения состава и конфигурации комплекса взаимодействующей
аппаратуры системы за пределы, проверенные при тестировании или
сертификации системы.
Источники угроз информации баз данных
Внутренние источники:
•
•
•
•
•
системные ошибки при постановке целей и задач проектирования
автоматизированных информационных систем и их компонент, допущенные
при формулировке требований к функциям и характеристикам средств
обеспечения безопасности системы;
ошибки при определении условий и параметров функционирования внешней
среды, в которой предстоит использовать информационную систему и, в
частности, программно-аппаратные средства защиты данных;
ошибки проектирования при разработке и реализации алгоритмов
обеспечения безопасности аппаратуры, программных средств и баз данных;
ошибки и несанкционированные действия пользователей,
административного и обслуживающего персонала в процессе эксплуатации
системы;
недостаточная эффективность используемых методов и средств обеспечения
информационной безопасности в штатных или особых условиях эксплуатации
системы.
Классификация угроз информационной безопасности.
Классификация по цели реализации угрозы
1. Нарушение конфиденциальности информации, т. е. использование
информации, хранящейся в системе, лицами или процессами, которые не
были определены владельцами информации.
2. Нарушение целостности информации, т. е. модификация или
уничтожение информации для ее обесценивания путем утраты
соответствия с состоянием моделируемых сущностей реального мира.
3. Полное или частичное нарушение работоспособности системы за счет
вывода из строя или некорректного изменения режимов работы
компонентов системы, включая их модификацию или подмену.
Классификация угроз информационной безопасности.
Классификация по природе возникновения угрозы
1. Естественные угрозы—угрозы, вызванные воздействием на систему баз данных и ее
компоненты объективных физических процессов или стихийно развивающихся
природных явлений.
2. Искусственные угрозы — угрозы информационной безопасности систем баз данных,
связанных с деятельностью человека.
Классификация угроз информационной безопасности.
Классификация по природе возникновения угрозы
1. Естественные угрозы—угрозы, вызванные воздействием на систему баз данных и ее
компоненты объективных физических процессов или стихийно развивающихся
природных явлений.
2. Искусственные угрозы — угрозы информационной безопасности систем баз данных,
связанных с деятельностью человека.
Классификация угроз информационной безопасности.
Классификация по локализации источника угрозы
Угрозы, источником которых является человек:
•
•
•
•
•
разглашение, передача или утрата атрибутов разграничения доступа (паролей,
ключей шифрования, электронных замков и т. п.) легальными пользователями
системы;
подкуп или шантаж обслуживающего персонала или пользователей, имеющих
необходимые полномочия, с целью получения их параметров для процедур
аутентификации;
копирование конфиденциальных данных легальным пользователем системы с целью
неправомерного использования (продажа, шантаж и т. п.);
взлом системы защиты с целью выполнения деструктивных действий лицом, не
являющимся законным пользователем системы;
внедрение агентов фирм-конкурентов или преступных организаций в
обслуживающий персонал атакуемой информационной системы (в том числе в
административную группу, в группу обеспечения информационной безопасности).
Классификация угроз информационной безопасности.
Классификация по локализации источника угрозы
Угрозы, источником которых являются штатные программно-аппаратные средства
информационной системы:
•
•
•
неквалифицированное использование или ошибочный ввод параметров
программ, способных привести к полной или частичной потере
работоспособности системы (аварийное завершение системных процессов,
нецелевое расходование вычислительных ресурсов и т. п.);
неквалифицированное использование или ошибочный ввод параметров
программ, способных привести к необратимым изменениям в системе
(инициализация баз данных, форматирование или реструктуризацию
носителей информации, удаление данных и т. п.);
отказы и сбои в работе операционной системы, СУБД и прикладных
программ.
Классификация угроз информационной безопасности.
Классификация по локализации источника угрозы
Угрозы, источником которых являются несанкционированно используемые программноаппаратные средства:
•
•
•
•
нелегальное внедрение и использование программ, не являющихся
необходимыми для выполнения нарушителем своих служебных обязанностей;
нелегальное внедрение (из-за халатности легального пользователя) и
использование троянских программ, предназначенных для исследования
параметров автоматизированной информационной системы, сбора данных,
зомбирования компьютера с последующим нецелевым расходованием
ресурсов и т. п.;
заражение компьютера вирусами с деструктивными функциями;
работа генераторов шума и подобных источников электромагнитного
излучения.
Классификация угроз информационной безопасности.
Классификация по локализации источника угрозы
Угрозы, источником которых является среда обитания:
•
•
•
•
•
внезапное и длительное отключение систем электропитания;
техногенные и природные катастрофы;
всплески природных электромагнитных излучений. Классификация по расположению
источника угроз. Угрозы, источник которых расположен вне контролируемой зоны
места расположения автоматизированной информационной системы:
нарушение нормальной работы или разрушение систем жизнеобеспечения зданий, в
которых расположены технические средства и обслуживающий персонал систему —
блокирование физического доступа на объект размещения автоматизированной
системы обслуживающего персонала или пользователей;
нарушение нормальной работы или разрушение внешних каналов связи (проводные
линии, радиоканалы, оптоволокно).
Классификация угроз информационной безопасности.
Классификация по локализации источника угрозы
Угрозы, источник которых расположен в пределах контролируемой зоны
расположения автоматизированной информационной системы, исключая
места расположения клиентских терминалов и серверных помещений:
• нарушение нормальной работы или разрушение систем электропитания и
водоснабжения помещений, в которых расположены технические средства,
обеспечивающие работу автоматизированной системы;
• физическое разрушение линий связи или аппаратуры, обеспечивающей
работу информационной системы;
• считывание конфиденциальной информации из аппаратных средств
телекоммуникационной или вычислительной техники с использованием
перехвата электромагнитных излучений;
• выведения из рабочего состояния обслуживающего персонала (организация
саботажа, применение отравляющих веществ, психотропных средств и т. п.).
Классификация угроз информационной безопасности.
Классификация по локализации источника угрозы
Угрозы, источник которых имеет доступ к терминальным устройствам
автоматизированной информационной системы:
•
•
•
•
получение параметров входа в систему и аутентифицирующей информации с
использованием видеонаблюдения, клавиатурных закладок и технологий
подбора паролей;
получение параметров входа в систему и аутентифицирующей информации с
использованием мошеннических приемов, насилия или угрозы насилия;
получение возможности несанкционированного входа в систему в период,
когда легальный пользователь покинул рабочее место, не завершив сеанс
взаимодействия с системой;
получение конфиденциальной информации из распечаток результатов
выполнения запросов и иных выводимых системой данных.
Классификация угроз информационной безопасности.
Классификация по локализации источника угрозы
Угрозы, источник которых имеет доступ к помещениям, где расположены серверы
автоматизированной информационной системы:
• физическое разрушение элементов серверов и коммутационной аппаратуры;
• выключение электропитания серверов и коммутационной аппаратуры;
• остановка серверных и иных критически важных для функционирования
автоматизированной системы процессов;
• уничтожение или модификация критически важных для функционирования
автоматизированной системы файлов операционной системы;
• нарушение штатной работы базовой операционной системы, например, за счет
запуска процессов, активно расходующих ресурсы системы, критически важных для
функционирования операционной системы файлов и т. п.;
• рассылка сообщений, дезорганизующих работу пользователей и обслуживающего
персонала системы.
Классификация угроз информационной безопасности.
Классификация по способу воздействия на методы и средства
хранения данных информационной системы
Угрозы нарушения информационной безопасности данных, хранимых на
внешних запоминающих устройствах :
•
•
•
нарушение конфиденциальности, уничтожение или модификация данных,
сохраненных средствами создания резервных копий на магнитных носителях,
путем незаконного восстановления баз данных с последующей заменой
реальной копии или без таковой;
нарушение конфиденциальности, уничтожение или модификация данных,
созданных штатными средствами ведения журнала изменений баз данных;
дискредитация криптографических систем защиты информации путем
создания копии носителей ключевой информации;
создание несанкционированных копий файлов операционной системы,
содержащих информацию баз данных для проведения последующего анализа
с целью доступа к конфиденциальной информации.
Классификация угроз информационной безопасности.
Классификация по способу воздействия на методы и средства
хранения данных информационной системы
Угрозы нарушения информационной безопасности данных, хранимых в
оперативной памяти серверов и клиентских компьютеров:
•
•
•
изменение информации в оперативной памяти, используемой СУБД для
кэширования данных, организации хранения промежуточных результатов
выполнения запросов, констант и переменных процессов обработки данных;
изменение информации в оперативной памяти, используемой операционной
системой для кэширования данных, организации многопользовательского
режима работы, констант и переменных процессов обработки данных;
изменение информации в оперативной памяти, используемой прикладными
программами в процессе организации и выполнения сессии взаимодействия с
сервером баз данных и прослушивающим процессом.
Классификация угроз информационной безопасности.
Классификация по способу воздействия на методы и средства
хранения данных информационной системы
Угрозы нарушения информационной безопасности данных,
отображаемой на терминале пользователя или принтере:
• организация имитации процесса установления взаимодействия с
сервером (ложной сессии) с целью получения идентификаторов и
аутентифицирующей информации пользователей;
• изменение элементов данных, выводимых на терминал пользователя за
счет перехвата потока вывода;
• изменение элементов данных, выводимых на принтер за счет перехвата
потока вывода.
Классификация угроз информационной безопасности.
Классификация по способу воздействия на методы и средства
хранения данных информационной системы
Классификация по характеру воздействия на информационную
систему:
• активное воздействие, т. е. выполнение пользователем системы баз
данных каких-либо действий, выходящих за рамки его обязанностей,
предусматривающих взаимодействие с системой, или действия
внешнего по отношению к ИС пользователя или процесса, нацеленные
на достижение одной или нескольких перечисленных выше целей;
• пассивное воздействие, т. е. наблюдение пользователем значений
каких-либо параметров СУБД или системы баз данных, а также
различных побочных эффектов и косвенных признаков с целью
получения конфиденциальной информации на основе анализа
собранных данных.
Угрозы, специфичные для систем управления базами данных
• угрозы конфиденциальности информации,
• угрозы целостности информации,
• угрозы доступности.
Угрозы, специфичные для систем управления базами данных.
Угрозы конфиденциальности информации
1. Инъекция SQL.
2. Логический вывод на основе функциональных зависимостей.
3. Логический вывод на основе ограничений целостности.
4. Использование oneраmopa UPDATE для получения конфиденциальной
информации.
Угрозы, специфичные для систем управления базами данных.
Угрозы целостности информации
Модификация данных в реляционных СУБД возможна с помощью SQLоператоров UPDATE, INSERT и DELETE. Потенциальная опасность
возникает из-за того, что пользователь, обладающий соответствующими
привилегиями, может модифицировать все записи в таблице. Ограничить
множество записей, доступных для модификации, можно с помощью
создания представлений с оператором CHECK, но этот (равно как и любой
другой) требует предварительного осмысливания существа задачи и
соответствующего проектирования схемы.
Угрозы, специфичные для систем управления базами данных.
Угрозы доступности
1. Использование свойств первичных и внешних ключей
2. Блокировка записей при изменении
3. Загрузка системы бессмысленной работой
4. Атаки типа троянский конь
Требования к безопасности баз данных
Не зависящие от данных:
•Функционирование в доверенной среде
•Организация физической безопасности файлов данных
•Организация безопасной и актуальной настройки СУБД
Зависящие от данных:
•Безопасность пользовательского программного обеспечения
•Безопасная организация и работа с данными
Спасибо за внимание!
Related documents
1. Информационные угрозы.
1. Информационные угрозы.
Майнор БПД тема 16
Майнор БПД тема 16
Рыженкова Л.О.
Рыженкова Л.О.
Безопасность коммуникаций в современном бизнесе
Безопасность коммуникаций в современном бизнесе
5. Экономические основы обеспечения БЖД
5. Экономические основы обеспечения БЖД
О Б Е С П Е Ч Е Н И... П С И Х О Л О Г И Ч... Б Е З О П А С Н О С... Л И Ч Н О С Т И Р...
О Б Е С П Е Ч Е Н И... П С И Х О Л О Г И Ч... Б Е З О П А С Н О С... Л И Ч Н О С Т И Р...
Программа «Безопасность»
Программа «Безопасность»
группы 313201-303202, 203201
группы 313201-303202, 203201
Финансовая безопасность
Финансовая безопасность
Финансовая безопасность
Финансовая безопасность
Download
advertisement