Механизмы защиты данных
При старте ядра СУБД проверяется целостность файлов БД путем сравнения эталонных контрольных сумм и фактических. При несовпадении - ядро СУБД будет остановлено.
Модель защиты данных в СУБД ЛИНТЕР основана на описании отношений между субъектами контроля и объектами доступа.
Субъектом контроля является пользователь БД, представленный в ней некоторым идентификатором с определенными характеристиками. Идентификатор используется для авторизации доступа к БД. Отдельно выделяется системный пользователь, или администратор безопасности (АБ). АБ – это пользователь, который является владельцем БД (всех её системных таблиц). Он не может быть удален из БД.
СУБД ЛИНТЕР может работать только с идентифицированным пользователем. Для идентификации пользователя используется уникальное символьное имя пользователя (не более 66 символов). Для того чтобы подтвердить подлинность идентификатора, пользователь обязан пройти процедуру аутентификации, т.е. проверки правильности ввода его конфиденциального пароля.
Объектами доступа являются объекты БД (таблицы, представления, синонимы и др.).
Отношения между субъектами контроля и объектами доступа основаны на двух принципах:
-
дискреционный принцип – для каждой пары «субъект-объект» можно задать явное и недвусмысленное перечисление возможных действий субъекта по отношению к объекту. Например, для пользователя (субъекта) «Client» можно задать следующие действия по отношению к таблице «Sale» (объекту):
-
чтение данных (SELECT);
-
корректировку данных (UPDATE);
-
добавление данных (INSERT)
и др.
Например, если действие DELETE не установлено, то пользователь «Client» не сможет удалять данные из таблицы «Sale».
-
-
мандатный принцип – контроль доступа осуществляется на основе сравнения меток безопасности объектов и субъектов (например, пользователь с меткой безопасности «Для служебного пользования» не сможет получить доступ к данным с меткой «Секретно», хотя доступ к таблице, в которой могут оказаться данные разного уровня секретности, ему не запрещен).
Примечание
Механизм мандатного доступа поддерживается только в СУБД ЛИНТЕР БАСТИОН.
Дискреционный принцип является стандартным способом разграничения доступа в реляционных СУБД. Наличие средств мандатного разграничения доступа в СУБД ЛИНТЕР является требованием для соответствия второму уровню доверия согласно «Требованиям по безопасности информации для средств технической защиты информации и средств обеспечения информационной безопасности информационных технологий» и второму классу защиты от несанкционированного доступа в соответствии с документом «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Для исключения несанкционированного доступа (НСД) к информации в БД СУБД ЛИНТЕР применяет следующие методы:
-
контроль целостности файлов БД;
-
авторизация пользователей;
-
дискреционная защита (привилегии, роли);
-
мандатная защита;
-
контроль доступа с удаленных компьютеров (рабочих станций);
-
протоколирование работы пользователя;
-
контроль хранения информации;
-
удаление остаточной информации;
-
аудит выполняемых операций.
Каждое функциональное расширение СУБД, связанное с хранением дополнительной информации, например, поддержка меток секретности влечёт за собой непременное замедление работы всей СУБД в большей или меньшей степени. Некоторые поисковые SQL-запросы при наличии комплекса средств защиты перестают оптимизироваться, увеличиваются размеры индексных структур, добавляются новые системные таблицы и т.п. Исходя из этого, следует использовать лишь минимально необходимый уровень защиты.
Поэтому не всегда оправданным подходом при проектировании системы безопасности БД является желание использовать одновременно все возможные средства комплекса средств защиты от НСД: все уровни, все группы, полный аудит (протоколирование всех неразрешённых действий), все виды расписаний работы с рабочими станциями, все виды работы с устройствами и т.п.