CC BY
35
УДК 004.056
В.Е. Мухин, Я.И. Корнага
многоуровневая модель с дифференциальным уровнем доверия к субъектам для повышения защищенности
распределенных баз данных
Распределенные базы данных (РБД), стали доминирующим инструментом хранения больших массивов информации. Современные информационные приложения полагаются не на файловые структуры операционных систем, а на многопользовательские РБД, реализованные по технологии клиент/сервер. В этой связи обеспечение информационной безопасности РБД и, в первую очередь, их серверных компонентов приобретает решающее значение.
Для РБД важны все три основных аспекта информационной безопасности: конфиденциальность, целостность и доступность [1, 2]. Общая идея защиты баз данных состоит в следовании рекомендациям, сформулированным для класса безопасности С2 в «Критериях оценки надежных компьютерных систем». В принципе для ряда РБД реализуются средства защиты, характерные для класса В1, однако практическое применение подобных средств эффективно лишь в том случае, когда все компоненты информационной структуры организации соответствуют категории безопасности В. Следует учитывать два обстоятельства. Во-первых, для подавляющего большинства коммерческих организаций класс безопасности С2 достаточен. Во-вторых, более защищенные версии средств защиты отстают по своим возможностям от обычных и представляют собой несколько устаревшие (хотя и тщательно проверенные) продукты [3, 4].
На рис. 1 представлена обобщенная схема средств поддержки безопасной обработки данных в распределенных базах данных в клиент-серверной технологии. Она включает в себя следующие элементы:
компьютерную сеть - среду передачи данных;
сервер базы данных; базу данных;
рабочие станции клиентов-субъектов, которые формируют запросы на сервер базы данных; сервер безопасности данных, в состав которо-
го входят блоки аутентификации, разграничения доступа к данным, шифрования и управления мониторингом [5, 6].
Клиент в данной модели через компьютерную сеть выполняет запросы к базе данных, которые независимо от типа сети (локальная, корпоративная, глобальная) попадают на сервер безопасности данных [7, 8].
Сервер безопасности данных состоит из четырех блоков, отвечающих за определенное направление защиты данных.
Первый блок выполняет внутреннюю аутентификацию, проводимую средствами СУБД, и внешнюю, которая проводится средствами операционной системы. Процедура аутентификации реализуется путем проверки идентификатора пользователя и его пароля в зависимости от раздела БД, к которому он обращается.
Второй блок сервера безопасности данных - механизм разграничения доступа. В клиент-серверных системах обычно используются три модели: дискреционная, мандатная и ролевая. Первая и вторая модели используются для построения традиционных средств защиты СУБД, а ролевая разработана сравнительно недавно, она является более сложной и базируется на принципах, заложенных как в дискреционной, так и в мандатной моделях.
Третий блок - блок шифрования. В СУБД данные шифруются прозрачным и непрозрачным способом, каждый из которых имеет свои преимущества и недостатки. Для шифрования обычно используются алгоритмы шифрования, в частности, алгоритмы группы AES, RSA. Шифрование запросов можно проводить на уровне как самой операционной системы, так и СУБД.
Четвертый блок сервера безопасности данных - блок управления мониторингом. Важным является фактор оперативного реагирования на угрозы, связанный с тем, что процедура мониторинга проводится по собранным статистическим данным в течение определенного периода времени. С другой стороны, этого недостаточно для
4
Проблемы передачи и обработки информации^
Рис. 1. Средства поддержки безопасной обработки данных в распределенных базах данных
поддержания комплексной защиты СУБД, следовательно, требуется разработка таких средств мониторинга, которые позволят проанализировать все запросы клиентов-рабочих станций на сервер базы данных с точки зрения вероятности реализации несанкционированного доступа
Безопасная среда распределенной базы данных
Вариант архитектуры безопасной СУБД для распределенной БД (рис. 2) предусматривает наличие нескольких уровней секретности в пределах одной СУБД.
Операции низкого уровня обрабатываются традиционно. Операции высокого уровня и многоуровневые операции обрабатываются СУБД, в которой хранятся высокосекретные данные и копии данных низших степеней секретности. Отметим, что такая архитектура подразумевает использование средств тиражирования, в ней должны присутствовать менеджеры тиражирования и необходима соответствующая политика обеспечения целостности данных.
Многоуровневая модель безопасности баз данных
Комбинация средств проверки полномочий и проверки подлинности - эффективный подход к обеспечению безопасности баз данных. Однако он оказывается неудовлетворительным в том случае, если в учреждении необходимо организовать реальную многоуровневую среду защиты информации.
Концепция многоуровневой защиты подразумевает, что
в компьютерной системе хранится информация, относящаяся к разным классам секретности;
часть пользователей не имеет доступа к некоторым секретным классам информации.
Классический пример подобной среды - компьютерная система закрытого учреждения, где в логически единой распределенной базе данных содержится информация от полностью открытой до особо секретной, при этом степень благонадежности (доверия) пользователей также варьируется от допуска только к несекретной информации до допуска к совершенно секретным данным.
Рис. 2. Архитектура безопасной СУБД с многоуровневым компонентом
Таким образом, пользователь, имеющий низкий уровень доверия, может выполнять свою работу в системе, содержащей сверхсекретную информацию, но ни при каких обстоятельствах не должен быть допущен к ней.
Предлагается построение многоуровневой защиты баз данных на основе модели Белла-ЛаПадула (Bell-LaPadula). Объекты классифицируются, а субъектам назначается один из уровней доверия. Классы и уровни доверия представляются классами доступа, которые характеризуются двумя компонентами: первый компонент определяет иерархическое положение класса, второй -представляет собой множество элементов из неиерархического набора категорий, которые могут относиться к любому уровню иерархии.
Так, на предприятии возможны такие уровни иерархии: секретно; для ограниченного распространения; конфиденциально; для служебного пользования; несекретно. Второй компонент в такой организации может принадлежать к набору категорий: недоступно для служащих по контракту; финансовая информация компании; информация об окладах.
Далее формируется матрица соотношений между иерархическими и неиерархическими компонентами. Пусть некоторый объект классифици-
рован как особо секретный, но ему не приписана ни одна из категорий неиерархического набора, тогда он может предоставляться определенным лицам, в то время как менее секретный объект может иметь категорию «недоступно для посторонних лиц» и, следовательно, не должен им предоставляться. В матричной модели создается «решетка», где неирархические компоненты каждого уровня иерархии автоматически приписываются и всем более высоким уровням («обратное наследование»). Эта модель отображена на рис. 3.
Следует отметить, что субъект имеет право на запись в объект только в том случае, если класс субъекта такой же или ниже, чем класс записываемого объекта. Это означает, что информация, принадлежащая к какому-либо уровню секретности, никогда не может быть записана в какой-либо объект, имеющий более низкий уровень секретности, поскольку это может привести к деградации защиты классифицированной информации.
С учетом двух принятых в матричной модели ограничений (простое свойство секретности и право записи) формируется база данных с многоуровневой защитой. Заметим, что субъект 1 (пользователь или процесс), имеющий высший уровень доверия, может читать информацию всех кортежей, но в силу права записи он может за-
4
Проблемы передачи и обработки информации
Высший уровень
□ □
□ □
□
Низший уровень
Рис. 3. Решетка классов доступа в матричной модели (□) иерархическая категория, «базовые» привилегии; (□) неиерархическая категория
писать данные только в кортеж наивысшей классификации (субъект может записывать информацию только «вверх по иерархии», но не «вниз по иерархии»). Субъект 2, принадлежащий к классу «секретно», не может прочитать «особо секретную» информацию, но может прочитать остальную. В то же время, субъекту 2 разрешена запись информации класса «секретно» и класса «особо секретно» (запись «вверх»).
Формирование уровня доверия к субъектам распределенных баз данных
Для поддержки безопасности распределенных БД на основе многоуровневого подхода требуются специальные механизмы формирования уровня доверия к субъектам.
Суть предлагаемого подхода заключается в следующем. В процессе функционирования РБД каждому новому субъекту изначально присваивается начальный, в общем случае минимальный (возможно, нулевой) уровень доверия со стороны механизмов безопасности РБД, ввиду того, что поведение данного субъекта не определено, т. к. отсутствует соответствующая статистическая информация. Таким образом, если другое не определено, новый субъект в начальный период его взаимодействия с РБД не имеет достаточного уровня доверия для обработки им конфиденциальной информации (определенного уровня секретности) и, следовательно, он может обрабатывать лишь открытые данные. В процессе функционирования РБД постоянно выполняется мониторинг действий субъекта и передаваемых им данных.
По умолчанию новый субъект автоматически принимает установленную в системе политику безопасности. В общем случае подразумевается, что новый субъект доверяет, как минимум, администратору безопасности РБД или домену, поддерживающим базовые функции безопасности РБД. Далее, в процессе работы с БД уровень доверия к субъекту изменяется, тем самым формируется показатель рейтинга субъекта на основе соответствующей статистической информации.
Для формирования рейтинга (уровня доверия) субъекта используются механизмы мониторинга действий субъекта, а также статистические данные, преобразуемые в рекомендации, получаемые от механизмов безопасности РБД, интегрированных в систему.
Уровень доверия Тп.(?) к /-му субъекту рассчитывается как
(
Тп1 (?) = Тп0
N
л
N(?) + 1
(1)
где Тп0 - начальный уровень доверия к субъекту; N(1:) - число случаев нарушения безопасности, инициированных или связанных с /-м субъектом на интервале времени (0, ?); - критичное число случаев нарушения безопасности на том же интервале времени.
События нарушения безопасности РБД разделяются на преднамеренные и случайные действия субъектов. В общем случае субъекты РБД и соответственно узлы, с которых они взаимодействуют с РКС, могут случайным образом совершать непреднамеренные ошибочные действия, формально связанные с попыткой нарушения безопасности. Управление параметром который фактически определяет предельно допустимое число случаев нарушения безопасности, вызванных случайными действиями субъектов, позволяет учесть данные случаи.
В общем случае уровень доверия Тп к -му субъекту в процессе его взаимодействия с РБД может повышаться, снижаться или оставаться постоянным. Так, если число случаев нарушения безопасности N (1), связанных с -м субъектом на интервале наблюдения (0, :) превышает установленное критичное число N^(N.(0 > Л11т), то уровень доверия к данному субъекту снижается; если число случаев нарушения безопасности меньше значения N^(N¡(1) < то уровень доверия к субъекту,
наоборот, повышается.
0,5 0,45 0,4 0,35 Q3 0,25 02 0,15 01 0,05 0
гг
I I I I I I
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
Рис. 4. Изменение рейтинга (уровень доверия) субъектов в защищенных РБД
Предлагается нормировать уровень доверия к субъекту на интервале (0, ...,1). Для этого определяется максимально возможный уровень доверия Тп к субъектам при фиксированном начальном уровне доверия:
Tn = Tn * N
(2)
Далее, для нормирования уровня доверия Tn (t) полученные значения Tn(t) делятся на
ТпП0ГШ
max
Tnnoim,(t) = ^. (3)
Tnmax
Весь период взаимодействия субъекта с РБД (0, ?) представим в виде конечных интервалов наблюдения (t, t), на которых в зависимости от результатов действий субъекта на данном интервале уровень доверия к нему снижается или повышается. В результате динамика изменения уровня
доверия ТПп к /-му субъекту представляет собой кусочную функцию (рис. 4).
Для повышения безопасности РБД предложена многоуровневая модель безопасности баз данных и подход к формированию уровня доверия к субъектам на основе оперативного учета числа случаев нарушения безопасности с их стороны. Реализация средств защиты РБД на основе предложенных механизмов обеспечивает поддержку высокого уровня защищенности РБД в условиях динамического изменения числа пользователей-субъектов распределенных баз данных.
Предложенные средства соответствует основным требованиям к построению системы безопасности РБД, а также имеют возможность расширения путем включения дополнительных механизмов.
СПИСОК ЛИТЕРАТУРЫ
1. Смирнов, С.Н. Безопасность систем баз данных [Текст] / С.Н. Смирнов. -М.: Гелиус АРБ, 2007. -352 с.
2. Мельников, В.П. Информационная безопасность и защита информации [Текст] / В.П. Мельников. -М.: Academiya, 2007.
3. Lunt, T.F. Research Directions in Database Security [Text] / T.F. Lunt. -NY: Springer-Verlag, 1998.
4. Ладыженский, Г.М. Системы управления базами данных [Текст] / Г.М. Ладыженский. -Jet Infosystems. -2007.
5. Поляков, А. Безопасность Oracle глазами ауди-
тора: нападение и защита [Текст] / А. Поляков. -М.: ДМК Пресс, 2009. -336 с.
6. Гринченко, Н.Н. Проектирование баз данных [Текст] / Н.Н. Гринченко, Е.В. Гусев, Н.П. Макаров. -2007. -468 с.
7. Шварц, Б. Базы данных. Оптимизация производительности [Текст] / Б. Шварц, П. Зайцев, В. Ткачен-ко. -М.: Символ-Плюс, 2010. -832 с.
8. Бородина, А.И. Технологии баз данных и знаний [Текст] / А.И. Бородина. -Мн.: Изд-во БГЭУ, 2008. -505 с.
