Математические структуры и моделирование 2016. №1(37). С. 103-111
УДК 004.056.5,004.658
проблема гарантированного уничтожения информации в базах данных: подход на основе работы с файлами данных
Ю.В. Гольчевский
доцент, к.ф.-м.н., e-mail: [email protected] В.Н. Тропников
студент, e-mail: [email protected]
Институт точных наук и информационных технологий, ФГБОУ ВО «Сыктывкарский государственный университет имени Питирима Сорокина»
Аннотация. Проведённое исследование посвящено изучению вопроса безопасности уничтожения информации ограниченного доступа в базах данных. Описаны причины появления остаточной информации при выполнении некоторых операций с данными. Представлены способы ее гарантированного уничтожения в базах данных. Опробован метод гарантированного уничтожения на основе прямой работы с файлами данных.
Ключевые слова: гарантированное уничтожение информации, база данных, остаточная информация, информационная безопасность.
Введение
Практически вся информация пользователей, обрабатываемая с помощью средств вычислительной техники, хранится на различных внешних накопителях. Регулярно файлы изменяются и удаляются. Однако с помощью специального программного обеспечения (ПО) или оборудования можно полностью или частично восстановить удалённые данные. Среди них может быть и информация ограниченного доступа. Восстановление возможно в силу того, что на носителе находится информация, оставшаяся от формально удалённых данных.
Проблема гарантированного уничтожения информации (ГУИ) обычно решается с помощью средств защиты информации (СЗИ). Например, для автоматизированных систем имеются требования по обеспечению ГУИ [1]. В разных странах используются различные методы и стандарты обеспечения ГУИ. Примерами могут служить российский ГОСТ и американские стандарты DoD 5220.22-М, NAVSO Р-5239-26 и NIST 800-88 R1 [2-5], подходы, применяемые в Канаде и Австралии [6,7].
При этом, преимущественно, речь идёт об удалении остаточной информации от целых файлов, а не частей файлов, как, например, кортежей в базах данных (БД). Особенность в том, что при удалении записей в БД происходит не удаление файла, а изменение, что не позволяет СЗИ затереть удаляемую
104 Ю.В. Гольчевский, В.Н. Тропников. Проблема гарантированного...
информацию в соответствии с требованиями руководящих документов. Существует ряд исследований в этой области, включая исследования концепции защищённых хранилищ данных, например [8-10], но проблема остаётся до сих пор открытой.
1. Особенности удаления информации в базах данных
Далее под БД будем понимать физическое отражение информации, содержащейся на носителе информации в файле данных. Под термином «страница базы данных» — сегмент носителя, на котором хранится БД. Чтобы произвести операции чтения или записи в БД, необходимо обратиться к соответствующей странице, которая содержит в себе множество кортежей исследуемой БД.
Особенность хранения информации в БД под управлением наиболее распространённых систем управления базами данных (СУБД) заключается в том, что они состоят из файлов двух типов: файлов данных и файлов журналов, в которых хранятся транзакции БД, что позволяет восстановить базу на определённый момент времени [8].
Из анализа команд SQL следует, что ГУИ требуется не только при удалении записей в БД, но и при выполнении ряда других операций, например, оптимизации и обновления.
В некоторых СУБД удаление кортежа подразумевает установку флага удаления, при этом данные на носителе не изменяются. Флагом удаления считают особую последовательность битов, сигнализирующую о том, что кортеж удалён. Схема происходящих изменений приведена в работе [8] на рисунке 1Ь. Подобные удалённые кортежи далее будем называть «остаточной информацией». Анализ такого поведения для четырёх СУБД приведён в работе [11].
При обновлении записи таблицы возможны два варианта. В первом старый кортеж перезаписывается новым, во втором — старый помечается на удаление, а новый записывается на другое место на носителе. Схемы обновления кортежей приведены на рисунках 1с и 1d в [8]. В обоих случаях возможно появление остаточной информации. Чаще в СУБД используется второй метод обновления. Среди причин — необходимость обеспечения одновременного доступа к БД нескольким пользователям.
Применение команды VACUUM (или аналогичной) позволяет оптимизировать освобождённое в результате работы команд удаления и обновления пространство на носителе информации. В результате её выполнения кортежи БД реорганизуются так, чтобы занимать минимально возможное число страниц. При этом кортежи, помеченные на удаление, перезаписываются. В результате дисковое пространство с освобождёнными страницами БД возвращается файловой системе. На рисунке 1а приведён пример страницы БД до выполнения команды оптимизации, а на 1б — после её выполнения.
Проблема ГУИ при выполнении данной операции заключается в том, что освобождаемое дисковое пространство может содержать старые страницы БД, хотя действия разных СУБД в этой ситуации несколько отличаются. В результате имеется возможность полного или частичного восстановления старых данных, имевшихся в БД.
Математические структуры и моделирование. 2016. № 1(37)
105
а б
Рис. 1. Страница БД до (а) и после (б) выполнения оптимизации
Продемонстрируем сказанное выше на примере использования БД в СУБД MySQL. Создадим БД с именем Test, которая содержит таблицу Peoples. Выполним операции, приводящие к возникновению остаточной информации. Например, сначала удалим некоторые четыре записи. Представление таблицы на жёстком диске после такого удаления отражено на рисунке 2. Прямоугольниками обведена удалённая информация. Видно, что фактически данные не удаляются с носителя. В заголовок записи заносится флаг удаления, исходная информация, хранящаяся в записи, практически полностью сохранилась. При этом не составит труда рассчитать критический объем информации, для которого возникающие потери практически не чувствительны.
Также была смоделирована ситуация, когда одна запись заменяется записью большего объёма, другая — меньшего. Такая процедура была повторена несколько раз. Анализ данных на носителе после этого показал, что в случае обновления записи на запись меньшего объёма может получаться остаточная информация. В случае обновления записи более длинной — получали фрагментацию записи. Действия были повторены для разных таблиц. На рисунке 3 приведён один пример представления записи таблицы до обновления и после. Прямоугольниками выделены исходная запись и запись, на которую её заменили. Видно, что при обновлении записи часть информации осталась без изменений.
Далее моделировалась ситуация выполнения оптимизации таблиц. Из таблицы были удалены несколько записей, после чего была выполнена оптимизация. Анализ результатов показал, что происходило перемещение неудалённых записей и сокращалось место на носителе информации, отводимое под БД. При этом удалённые записи физически перезаписывались. Степень гарантии невозможности восстановления зависит от числа таких перезаписей. Если данные уничтожаются методом однократной перезаписи (что обычно и происходит), то такой способ не удовлетворяет требованиям по обеспечению ГУИ в автомати-
106 Ю.В. Гольчевский, В.Н. Тропников. Проблема гарантированного...
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1S
177917952 00 00 00 60 FF FF FF FF FF FF FF FF 00 00 00 00 'яяяяяяяя
177917968 00 00 00 60 ЕС Е8 Е4 ОА С5 Е2 ЕЗ ES ED FC Е5 Е2 'мид Евгеньев
177917984 Е8 F7 Е2 6С OF 32 00 ЕЗ 2Е 20 СЗ ЕО Е2 F0 £8 ЕВ ича112 г. Гаврил
177918000 ЕЕ Е2 20 CF ЕЕ F1 ЕО Е4 2С 20 F3 ЕВ 2Е 20 С1 ЕО ов Посал/ ул. Ба
177918016 Е9 ЕЛ ЕО ЕВ FC F1 ЕА ЕО FF 2С 20 Е4 ЕЕ ЕС 20 36 йхальская, дом 6
177918032 36 2С 20 ЕА Е2 2Е 20 38 30 00 00 00 00 00 00 00 6, ха. 80
177918048 00 00 00 54 00 00 00 00 00 00 00 00 00 00 00 X
177918064 00 00 02 2С ЕО ED F2 Е8 Е9 ОА D1 F2 Е5 EF ЕО ED 1,антий Степан
177918080 ЕЕ Е2 Е8 F7 4В 72 OF 27 00 ЕЗ 2Е 20 D1 F2 Е5 EF овичкп’ г. Степ
177918096 ED ЕЕ Е5 2С 20 F3 ЕВ 2Е 20 D5 F0 F3 F9 В8 £2 ЕО ное, ул. Хрущева
177918112 2С 20 Е4 ЕЕ ЕС 20 33 33 2С 20 ЕА Е2 2Е 20 35 37 , дом 33/ кв. 57
177918128 00 00 00 00 03 00 4А 12 00 03 00 00 00 07 DF ЕА ^ Л i »ях
177918144 ЕЕ Е2 ЕВ ES Е2 06 D1 ЕО ЕС F1 ЕЕ ED ОВ СЗ F0 Е8 овлев-Самсон/Гри
177918160 ЕЗ ЕЕ F0 FC Е5 Е2 ЕЗ F7 SB 82 OF 2S 00 ЕЗ 2Е 20 горьевич[,1% г.
177918176 DO F3 F7 FC Еб 2С 20 F3 ЕВ 2Е 20 СВ Е5 F1 ED ЕО Ручьи, ул. Лесна
177918192 FF 2С 20 Е4 ЕЕ ЕС 20 36 31 2С 20 ЕА Е2 2Е 20 32 я, дом 61/ кв. 2
177918208 38 36 00 00 00 00 00 00 00 00 00 00 00 00 00 00 86
177918224 00 00 00 00 03 00 51 OF 00 04 00 00 00 08 D1 ЕО 1 Q1 1 Qca
177918240 Е2 Е5 ЕВ FC Е5 Е2 09 СА ЕЕ ED Е4 F0 £0 F2 £8 Е9 вельоа Комдратий
177918256 ОВ СО ED ЕО F2 ЕЕ ЕВ FC ES Е2 Е8 F7 96 78 OF 28 /Анатольевич-хк <
177918272 00 ЕЗ 2Е 20 D2 Е5 F0 Е5 ED FC ЕЗ ЕО 2С 20 F3 ЕВ г. Тереньга, ул
177918288 2Е 20 СВ ES ED Е8 ED £0 2С 20 Е4 ЕЕ ЕС 20 39 31 . Ленина/ дом 91
177918304 2С 20 ЕА Е2 2Е 20 31 38 30 00 00 00 00 00 00 00 / кв. 180
177918320 00 00 00 00 00 00 00 00 03 00 54 04 00 05 00 00 l XJ |
177918336 00 07 С4 ЕО Е2 FB Е4 ЕЕ Е2 07 CD Е8 ЕА ЕЕ ЕВ ЕО •Давыдов*Нихола
177918352 Е9 09 С1 ЕЕ F0 £8 F1 ЕЕ £2 £8 F7 D6 6С OF 30 00 й БорисовичЦИО
177918368 ЕЗ 2Е 20 СЗ ЕЕ ЕВ Е8 F6 FB ED ЕЕ 2С 20 F3 ЕВ 2Е Г. ГОЛИЦЬШО/ ул.
177918384 20 С2 ЕО ЕЗ ЕЕ ED ED Е8 ЕА ЕЕ Е2 20 33 2D FF 2С Вагонников 3-я,
177918400 20 Е4 ЕЕ ЕС 20 37 30 2С 20 ЕА £2 2Е 20 31 36 31 дом 70, хв. 161
177918416 00 00 00 00 03 00 50 04 00 06 00 00 00 07 С1 ЕО 1 - «Ба
177918432 F0 ЕО ED ЕЕ Е2 06 СС ЕЕ Е8 F1 Е5 Е9 09 СО ED Е4 раков-Моисей Анд
177918448 F0 Е5 Е5 Е2 Е8 F7 8С 7D OF 2D 00 ЕЗ 2Е 20 D3 F1 реевичЬ)!- г. Ус
177918464 F2 FC 2D С8 F8 Е8 ЕС 2С 20 F3 ЕВ 2Е 20 D1 F2 F0 ть-Ипим, ул. Стр
177918480 ЕЕ Еб F2 Е5 ЕВ Е5 Е9 2С 20 Е4 ЕЕ ЕС 20 3S 37 2С оителей/ дом S?/
177918496 20 ЕА Е2 2Е 20 31 33 32 00 00 00 00 00 00 00 60 ха. 132 '
177918S12 00 00 00 00 00 00 00 60 00 00 00 00 00 00 02 8С ' lb
177918S28 ЕО Е7 ЕО F0 08 С5 ЕЗ ЕЕ F0 ЕЕ Е2 Е8 F7 67 84 OF азарОЕгоровича„1
177918544 2F 00 ЕЗ 2Е 20 СВ £5 F1 ЕЕ £7 ЕО Е2 ЕЕ £4 F1 ЕА / г. Ласозааодсх
177918560 2С 20 F3 ЕВ 2Е 20 С1 ЕО Е1 ЕО Е5 Е2 F1 ЕА ЕО FF / ул. Бабаевская
177918576 2С 20 Е 4 ЕЕ ЕС 20 37 37 2С 20 ЕА Е2 2Е 20 31 31 / дом 77/ кв. 11
177918S92 36 00 00 00 00 00 00 00 00 00 00 00 00 00 00 5С 6 ^
177918608 00 00 00 00 00 00 02 2С FF FF FF FF FF FF FF FF
177918624 DO ЕЕ ЕЗ ED Е5 Е4 ЕО ОС С2 ЕО ЕВ Е5 ED F2 Е8 ED РогнедаСВалентин
177918640 ЕЕ Е2 ED ЕО 54 79 OF 2В 00 ЕЗ 2Е 20 D1 F3 Е4 Е8 овнаТу!+ г. Суди
177918656 F1 ЕВ ЕО Е2 ЕВ FC 2С 20 F3 ЕВ 2Е 20 С1 ЕО Е4 FE славль/ ул. Бадк
177918672 ЕВ Е8 ED ЕО 2С 20 Е4 ЕЕ ЕС 20 37 30 2С 20 ЕА Е2 лина, дом 70/ кв
Рис. 2. Представление таблицы на носителе после удаления записей
зированных системах, предъявляемым в Российской Федерации для некоторых классов.
Исходя из анализа существующих работ, такая ситуация характерна и для других СУБД. Таким образом, исследованные операции обновления и удаления кортежей не являются безопасными, поскольку приводят к возникновению остаточной информации. Команду оптимизации однозначно назвать безопасной нельзя, поскольку используемый метод затирания не соответствует требованиям нормативных документов.
Математические структуры и моделирование. 2016. № 1(37)
107
163312016 03 01 61 OF 00 ОЕ сс 2Е DE 2Е 20 СВ Е5 F0 ЕС ЕЕ L а» ЯМ.Ю. Лермо
163312032 ED F2 ЕЕ Е2 4F 01 С1 Е5 ЕВ Е5 Е5 F2 20 EF ЕО F0 нтовО Белеет пар
163312048 F3 F1 20 ЕЕ Е4 Е8 ED ЕЕ ЕА Е8 Е9 ОА С2 20 F2 F3 ус одинокий В ту
163312064 ЕС Е0 ED Е5 20 ЕС ЕЕ F0 FF 20 ЕЗ ЕЕ ЕВ F3 El ЕЕ мане моря голубо
163312080 ЕС 21 2Е 2Е 2Е ОА D7 F2 ЕЕ 20 Е8 F9 Е5 F2 20 ЕЕ м! . . . Что ищет о
163312096 ED 20 Е2 20 F1 F2 F0 ЕО ED Е5 20 Е4 ЕО ЕВ Е5 ЕА н в стране далек
163312112 ЕЕ Е9 3F ОА D7 F2 ЕЕ 20 ЕА Е8 ED F3 ЕВ 20 ЕЕ ED ой? Что кинул он
163312128 20 Е2 20 ЕА F0 ЕО FE 20 F0 ЕЕ Е4 ED ЕЕ ЕС 3F 2Е в краю родном?.
163312144 2Е 2Е ОА ОА со и ЕЗ F0 ЕО FE F2 20 Е2 ЕЕ ЕВ ED FB .. Играют волны
163312160 20 2D 20 Е2 Е5 F2 Е5 F0 20 F1 Е2 Е8 F9 Е5 F2 2С - ветер свищет,
163312176 0А С8 20 ЕС ЕО F7 F2 ЕО 20 ЕЗ ED Е5 F2 F1 FF 20 И мачта гнется
163312192 Е8 20 F1 ЕА F0 FB EF Е8 F2 2Е 2Е 2Е ОА D3 Е2 FB и скрыпит... Увы
163312208 2С 20 2D 20 ЕЕ ED 20 F1 F7 ЕО F1 F2 Е8 FF 20 ED , - он счастия н
1633122241 Е5 20 Е8 F9 Е5 F2 ОА С8 20 ED Е5 20 ЕЕ F2 20 F1 е ищет И не от с
163312240 F7 ЕО F1 F2 Е8 FF 20 El Е5 Еб Е8 F2 21 ОА ОА CF частия бежит} П
163312256 ЕЕ Е4 20 ED Е8 ЕС 20 F1 F2 F0 F3 FF 20 F1 Е2 Е5 од ним струя све
1633122721 F2 ЕВ Е5 Е9 20 ЕВ ЕО Е7 F3 F0 Е8 2С ОА CD ЕО Е4 тлей лазури, Над
163312288 20 ED со Ы ЕС 20 ЕВ F3 F7 20 F1 ЕЕ ЕВ ED F6 ЕО 20 ним луч солнца
163312304 Е7 ЕЕ ЕВ ЕЕ F2 ЕЕ Е9 2Е 2Е 2Е ОА СО 20 ЕЕ ED 2С золотой... А он.
163312320 20 ЕС FF F2 Е5 Еб ED FB Е9 2С 20 EF F0 ЕЕ F1 Е8 мятежный, проси
163312336 F2 20 El F3 F0 Е8 2С ОА СА ЕО ЕА 20 El F3 Е4 F2 т бури, Как будт
1633123521 ЕЕ 20 Е2 20 El F3 F0 FF F5 20 Е5 F1 F2 FC 20 EF о в бурях есть п
163312368, ЕЕ ЕА ЕЕ Е9 21 00 00 00 00 00 00 00 00 00 00 00 ОКОЙ J
Offset 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
163312016 03 00 7F 0D 00 ОЕ сс 2Е DE 2Е 20 СВ Е5 F0 ЕС ЕЕ
163312032 ED F2 ЕЕ Е2 6D 00 С1 Е5 ЕВ Е5 Е5 F2 20 EF ЕО F0
163312048, F3 F1 20 ЕЕ Е4 Е8 ED ЕЕ ЕА Е8 Е9 ОА С2 20 F2 F3
163312064 ЕС ЕО ED Е5 20 ЕС ЕЕ F0 FF 20 ЕЗ ЕЕ ЕВ F3 El ЕЕ
163312080 ЕС 21 2Е 2Е 2Е ОА D7 F2 ЕЕ 20 Е8 F9 ES F2 20 ЕЕ
163312096 ED 20 Е2 20 F1 F2 F0 ЕО ED Е5 20 Е4 ЕО ЕВ Е5 ЕА
163312112 ЕЕ Е9 3F ОА D7 F2 ЕЕ 20 ЕА Е8 ED F3 ЕВ 20 ЕЕ ED
163312128 20 Е2 20 ЕА F0 ЕО FE 20 F0 ЕЕ Е4 ED ЕЕ ЕС 3F 2Е
163312144 2Е 2Е ОА 00 00 00 00 00 00 00 00 00 00 00 00 00
163312160 00 00 00 Е4 FF FF FF FF FF FF FF FF FF FF FF FF
163312176 FF FF FF FF ЕО F7 F2 ЕО 20 ЕЗ ED Е5 F2 F1 FF 20
163312192 Е8 20 F1 ЕА F0 FB EF Е8 F2 2Е 2Е 2Е ОА D3 Е2 FB
163312208 2С 20 2D 20 ЕЕ ED 20 F1 F7 ЕО F1 F2 ЕЗ FF 20 ED
163312224 Е5 20 Е8 F9 Е5 F2 ОА О со 20 ED Е5 20 ЕЕ F2 20 F1
163312240 F7 ЕО F1 F2 Е8 FF 20 El Е5 Еб Е8 F2 21 ОА ОА CF
163312256 ЕЕ Е4 20 ED Е8 ЕС 20 F1 F2 F0 F3 FF 20 F1 Е2 Е5
163312272 F2 ЕВ Е5 Е9 20 ЕВ ЕО Е7 F3 F0 Е8 2С ОА CD ЕО Е4
163312288 20 ED Я со ЕС 20 ЕВ F3 F7 20 F1 ЕЕ ЕВ ED F6 ЕО 20
163312304 Е7 ЕЕ ЕВ ЕЕ F2 ЕЕ Е9 2Е 2Е 2Е ОА СО 20 ЕЕ ED 2С
163312320 20 ЕС FF F2 Е5 Еб ED FB Е9 2С 20 EF F0 ЕЕ F1 Е8
163312336 F2 20 El F3 F0 Е8 2С ОА СА ЕО ЕА 20 El F3 Е4 F2
1633123521 ЕЕ 20 Е2 20 El F3 F0 FF F5 20 Е5 F1 F2 FC 20 EF
163312368, ЕЕ ЕА ЕЕ Е9 21 00 00 00 00 00 00 00 00 00 00 00
1 с да.ю. лермо нтовт Белеет пар ус одинокий В ту мане моря голубо м! . . . Что ищет о н в стране далек ой? Что кинул он в краю родном?.
дяяяяяяяяяяяя яяяяачта гнется и скрыпит... Увы , - он счастия н е ищет И не от с частия бежит} П од ним струя све тлей лазури, Над ним луч солнца золотой... А он, мятежный, проси т бури, Как будт о в бурях есть п окой!
Рис. 3. Представление записи на носителе до и после обновления
2. Требования к гарантированному уничтожению информации
В Российской Федерации к автоматизированным системам, производящим обработку информации ограниченного доступа, предъявляется ряд требований по защите, в том числе и требования по ГУИ. Согласно [1] для автоматизированных систем некоторых классов очистка осуществляется путём однократной, а для других — двукратной записи в любую освобождаемую область, использованную для хранения защищаемой информации. Эти требования обычно реализуются с помощью СЗИ, например, таких как Secret Net и Dallas Lock, СГУ-2, программы TERRIER.
Чтобы обеспечить ГУИ в БД, необходимо выполнить два условия. Первое — не должна появляться остаточная информация на страницах БД, второе —
108 Ю.В. Гольчевский, В.Н. Тропников. Проблема гарантированного...
не должна появляться остаточная информация в файловой системе. Поскольку перечисленные выше программные средства не предоставляет возможности затирания внутри файла, то реализация требований только с их помощью невозможна.
При совместном использовании средств СУБД и СЗИ можно достичь желаемого результата. Например, после выполнения операций, при которых появляется остаточная информация, можно выполнять команду оптимизации БД, а затем затирать свободное пространство с помощью СЗИ. Однако, во-первых, этот метод нельзя считать безопасным, так как операция оптимизации таблиц БД может не соответствовать требованиям по ГУИ в Российской Федерации, а во-вторых, в это время теряется доступ к БД.
3. Обеспечение гарантированного уничтожения остаточной информации в базах данных
Для обеспечения ГУИ в БД можно предложить два способа. Первый — расширение функционала СУБД. Для этого необходимо изменить работу команд СУБД, в результате выполнения которых может появляться остаточная информация. Второй — создание программы, которая будет работать непосредственно с файлами таблиц и затирать в них остаточную информацию согласно предъявляемым требованиям.
3.1. Метод расширения функционала СУБД
Возможные методы расширения функционала СУБД достаточно подробно описаны в работе [8]. Во-первых, требуется реализовать интерфейс определения пользователем настроек безопасности БД, в том числе и настроек стирания данных. Для этого требуется расширить функционал команды создания таблицы. Для определения используемых циклов перезаписи можно ввести команды, описанные в работе [8]. Во-вторых, необходимо реализовать алгоритм перезаписи данных для команд, приводящих к возможности появления остаточной информации, а также выбор требуемого алгоритма пользователем. В-третьих, необходимо определить процесс выбора пользователем создания обычной или защищённой таблицы, к которой будут применяться описанные алгоритмы затирания удаляемой информации.
Главное преимущество реализации ГУИ данным способом — доступность информации, содержащейся в БД. Затирание остаточной информации происходит сразу, нет необходимости останавливать работу СУБД и проводить дополнительное обслуживание. Основной недостаток — значительное падение производительности СУБД при выполнении многократной перезаписи.
3.2. Метод работы с файлами данных
При непосредственной работе с файлами данных уничтожение остаточной информации в БД производится не средствами СУБД, а сторонней программой.
Математические структуры и моделирование. 2016. № 1(37)
109
В ходе исследования была разработана программа, осуществляющая очистку файлов данных таблиц MySQL, На рисунке 4 приведена блок-схема алгоритма.
Сначала считываются номера секторов, которые занимает файл таблицы, затем выполняется чтение файла. Данные первого сектора, принадлежащего файлу, заносятся в кэш программы и производится поиск остаточной информации. Если она обнаружена — производится затирание в соответствии с выбранным алгоритмом, иначе в кэш загружается следующий сектор, в котором расположен файл. Алгоритм возвращается к третьему шагу. Это повторяется, пока не будут проверены все секторы файла таблицы.
Остановимся на нескольких проблемах, возникающих при таком подходе. Основную сложность составляет алгоритм поиска остаточной информации. Возникает проблема — если запись таблицы располагается более чем в одном секторе, возникает необходимость считывать её заголовок, чтобы это обнаружить. Иначе очистка остаточной информации будет произведена неправильно и БД будет повреждена. Вторая проблема, требующая проработки, — отслеживание дискового пространства, освобождаемого при оптимизации таблиц БД. Ещё одна особенность состоит в том, что при прямой работе с файлами данных могут появляться расхождения с журналами транзакций. Восстановление состояния БД в соответствии с журналами будет невозможно. То есть для последующей корректной работы пользователя с БД недостаточно только изменять сами данные, но и возникает необходимость соответствующим образом модифицировать и файлы журналов.
В отличие от предыдущего, данный метод не приводит к падению производительности СУБД. Также положительной стороной является ситуативность его использования. Основной недостаток — временная потеря доступа к данным. Стоит заметить, что при работе с Большой БД очистка может занять достаточно продолжительное время. Также недостатком можно считать и невозможность корректной работы пользователя с БД при отсутствии корректировки журналов транзакций.
Анализ результатов работы данной программы позволяет сделать вывод, что такой метод может эффективно применяться для уничтожения остаточной информации.
Заключение
Описанные методы гарантированного уничтожения остаточной информации отличаются противоположностью своих достоинств и недостатков. Первый метод увеличивает время выполнения запросов удаления и обновления БД, при этом к информации всегда имеется доступ. Во втором — не происходит ухудшения производительности, но для обеспечения безопасности БД требуется приостанавливать доступ к данным. Каждый из методов может применяться для обеспечения ГУИ, выбор зависит от условий эксплуатации БД.
На практике протестирован метод ГУИ на основе прямой работы с файлами данных при помощи разработанной программы. Полученный результат показал,
110 Ю.В. Гольчевский, В.Н. Тропников. Проблема гарантированного...
Рис. 4. Блок-схема реализованного алгоритма ГУИ
что его можно использовать для уничтожения остаточной информации.
Хотелось бы отметить, что данный вопрос необходимо решать и на организационном уровне. Например, стоит предъявить необходимые требования к разработчикам СУБД по обеспечению ГУИ, либо доработать требования к соответствующим СЗИ.
Литература
1. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утв. решением Гостехкомиссии России от 30.03.1992). URL: http://base.consultant.ru/cons/cgi/online.cgi? req=doc;base=EXP;n=575668 (дата обращения: 28.05.2015).
2. ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования». Портал Фе-
Математические структуры и моделирование. 2016. № 1(37)
111
дерального агентства по техническому регулированию и метрологии, URL: http: //protect.gost.ru/document.aspx?control=7&id=134268 (дата обращения: 28,05,2015),
3, DoD 5220,22-М, URL: http://www.fas.org/sgp/library/nispom/
nispom200 6.pdf (дата обращения: 28,05,2015),
4, US Naval Information Systems Management Center: NAVSO P-5239-26, URL: http: //fas.org/irp/doddir/navy/5239_2 6.htm (дата обращения: 28,05,2015),
5, NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitization, URL: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP. 800-88r1.pdf (дата обращения: 28,05,2015),
6, Government of Canada, IT Security Guidance, Clearing And Declassifying Electronic Data Storage Devices (ITSG-06), URL: https://www.cse-cst.gc. ca/en/system/files/pdf_documents/itsg0 6-eng.pdf (дата обращения: 28,05,2015),
7, Australian Government ICT Security Manual 2014 - Controls, URL:
http://www.asd.gov.au/publications/Information_Security_ Manual_2014_Controls.pdf (дата обращения: 28,05,2015),
8, Grebhahn A,, SchAler M,, KOppen V, Secure Deletion: Towards Tailor-Made Privacy in Database Systems, URL: http://www.iti.cs.uni-magdeburg.de/iti_db/ publikationen/ps/auto/GSKl3.pdf (дата обращения: 11,06,2015),
9, Miklau G,, Neil Levine B., Stahlberg P, Securing history: Privacy and accountability in database systems // 3rd Biennial Conference on Innovative Data Systems Research (CIDR), Asilomar, 2007, P, 387-396,
10, Diesburg S,M,, Wang A,A, A Survey Of Confidential Data Storage And Deletion Methods // ACM Computing Surveys, 2010, Vol, 43, № 1, P, 2:1-2:27,
11, Stahlberg P, Threats to Privacy in the Forensic Analysis of Database Systems, UMassAmherst Center for Forensics, URL: http://forensics.umass.edu/ pubs/stahlberg07forensicDB.pdf (дата обращения: 07,06,2015),
the problem of secure deletion in databases: the method based on the direct operation with data files
Yu.V. Golehevskiy
Ph.D. (Phys.-Math,), Associate Professor, e-mail: [email protected]
V.N. Tropnikov
Student, e-mail: [email protected] Syktyvkar State University n.a. Pitirim Sorokin
Abstract. The problem of secure deletion of confidential information in databases was investigated. The causes of the residual information appearance as a result of some operations with data were described. The ways of data secure deletion in databases were presented. The method of secure deletion on the basis of direct operation with data files was tested.
Keywords: secure deletion, database, residual information, information security.