CC BY
153
Секция
«ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ»
УДК 004.65
Е. Г. Абдугалимова, К. В. Степурко Научный руководитель - М. Н. Фаворская Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
СРАВНИТЕЛЬНЫЙ АНАЛИЗ СИСТЕМ БЕЗОПАСНОСТИ БАЗ ДАННЫХ
Проанализированы средства обеспечения безопасности доступа, используемые в известных СУБД. Показано, что наиболее часто применяются средства на уровне избирательного управления доступом к базам данных. Рассмотрены виды шифрования данных, применяемые в СУБД.
Существенным аспектом СУБД является защита данных. В современных СУБД поддерживается как избирательный, так и обязательный подходы к обеспечению безопасности данных. В случае избирательного управления, некий пользователь обладает различными правами, или привилегиями, и полномочиями при работе с различными объектами. В случае обязательного управления, каждому объекту присваивается некий квалификационный уровень, а каждому пользователю предоставляются права доступа к тому или иному уровню. Как правило, для идентификации и проверки подлинности пользователя применяется либо соответствующий механизм операционной системы, либо функциональные возможности SQL-оператора «connect». В момент начала сеанса работы с сервером базы данных пользователь идентифицируется под своим логином, а средством аутентификации служит пароль. Все операции над базой данных, которые будут выполнены после этого, СУБД связывает с конкретным пользователем, который запустил приложение. Некоторые СУБД («Oracle», «Sybase», «InterBase») используют собственную систему паролей, в других СУБД («Ingres», «Informix», «MS SQL Server») применяется идентификатор пользователя и его пароль из операционной системы.
Одна из проблем защиты данных возникает по той причине, что при работе с базами данных инициируются процессы, которые могут запускаться как пользователями, так и прикладными программами. Одно из решений проблемы заключается в том, чтобы прикладной программе также были предоставлены некоторые привилегии доступа к объектам базы данных. В этом случае пользователь, не обладающий специальными привилегиями доступа к некоторым объектам базы данных, может запустить прикладную программу, которая имеет такие же привилегии. В СУБД «Ingres» и «Oracle» решение данной проблемы обеспечивается использованием механизма ролей. Роль представляет собой именованный объект, хранящийся в базе данных, и связывается с конкретной прикладной программой для придания последней привилегий доступа к базам данных, таблицам, представлениям и процедурам базы данных. Роль создается и удаляется администратором базы данных, ей может быть придан
определенный пароль. Как только роль создана, ей можно предоставить привилегии доступа к объектам базы данных [1].
Еще одним эффективным способом обеспечения безопасности является шифрование данных. По способу функционирования системы шифрования СУБД делят на два класса: системы прозрачного шифрования (включаются администратором) и системы, вызываемые пользователем (непрозрачное шифрование). Прозрачное шифрование данных («Transparent Data Encryption») выполняется в реальном времени для шифрования и дешифрования файлов данных и журналов в операциях ввода-вывода. В таких системах криптографические преобразования осуществляются незаметно для пользователя. Преимуществом прозрачного шифрования является то, что данные на носителе (в файле, таблицах и так далее) всегда зашифрованы, а в незашифрованном виде находятся минимальное время. Шифрование пользователем может использовать как средства шифрования самой СУБД, так и внешние по отношению к СУБД утилиты для шифрования. Для непрозрачного шифрования может использоваться язык SQL или его расширения. При непрозрачном шифровании обычно используется ключ шифрования базы данных («Data Encryption Key-DEK»), защищенный главным ключом или сертификатом СУБД. Преимущества непрозрачного шифрования: минимальная нагрузка на центральный процессор для шифрования и дешифрования и отсутствие необходимости администрирования [2].
Современные СУБД включают резервное копирование и аудит как непременные составляющие системы безопасности. Суть резервного копирования состоит в том, что сохраняются копии баз данных. При необходимости из этой копии восстанавливается версия базы, актуальная на предыдущий момент времени. При этом часто используются варианты полного копирования (копируется вся база данных) или частичного копирования (копируются только изменения с предыдущей копии). При копировании база данных может сжиматься или шифроваться. Аудит состоит в отслеживании всех значимых с точки зрения безопасности событий. Обычно они сохраняются в текстовом файле (так называемый «log-файл»). Этот файл шиф-
Секция «Информационные системы и технологии»
руется при использовании прозрачного шифрования для повышения защищенности базы данных от атак злоумышленников [1].
Существенной проблемой является также и обеспечение безопасности операционной системы, а, следовательно, и данных, хранящихся в ней. Основными механизмами защиты в операционных системах являются:
• идентификация и аутентификация пользователя при входе в систему;
• разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (отдельно к объектам файловой системы, к устройствам, к реестру операционной системы, к принтерам и др.);
• аудит (регистрация событий) [3].
Таким образом, проанализированы способы и методы обеспечения безопасности данных, используемые современными СУБД. Несмотря на существую-
щие методы, проблема обеспечения безопасности далека от своего окончательного решения, поэтому требуется дальнейшее развитие средств защиты данных на алгоритмическом, организационном, аппаратном и программном уровнях.
Библиографические ссылки
1. Безопасность базы данных. URL: http://http://aU4study.ru.
2. Шифрование данных в СУБД. URL: http:// compsmir.ru.
3. Безбогов А. А. Безопасность операционных систем : учеб. пособие. М. : Машиностроение-!, 2007. 220 с.
© Абдугалимова Е. Г., Степурко К. В., 2012
УДК 004.056.53
У. А. Александрова Научный руководитель - В. В. Кукарцев Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
ОБЕСПЕЧЕНИЕ СОХРАННОСТИ ДАННЫХ ПРИ ИСПОЛЬЗОВАНИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Освещены угрозы при использовании мобильных приложений и предложены пути по увеличению уровня сохранности данных.
Сейчас банками предлагается установка на телефон специальных приложений, которые в чем-то повторяют функции интернет-банкинга, но приспособлены для работы на платформах и малых экранах смартфонов, коммуникаторов, а также планшетных компьютеров. Однако в связи с внедрением мобильного банкинга возникли значительные проблемы с информационной безопасностью.
После внедрения мобильных сервисов, банки столкнулись с новыми рисками, которые существенно отличались от привычных, вроде кредитов на чужой паспорт или скиммеров на банкоматах. С другой стороны, из-за реальной угрозы оттока клиентов ввиду финансового кризиса банкам пришлось активнее работать над удобством предоставления своих услуг [1].
Главная угроза безопасности мобильного банкинга заключается не в ИТ-инфраструктуре самого банка и не в каналах передачи данных. Наименее надежная часть системы - это сам клиент и его мобильное устройство. Причем банк не может контролировать клиента и указывать ему правила безопасного поведения при работе со счетом. Он может лишь обратить его внимание на это.
Банк не может проверить документы человека, работающего в системе через смартфон или планшет. Отсюда возникают угрозы: злоумышленник может завладеть мобильным устройством или же данные из устройства могут быть перехвачены шпионским ПО и отправлены преступникам. Ежегодно в России происходит около 100 тыс. краж/утерь мобильников и КПК.
Если владелец записал в памяти телефона свой пароль к банковскому приложению, преступник имеет большие шансы снять с его счета все доступные средства. Помимо этого, клиент может стать жертвой несанкционированного доступа к его данным, просто загрузив со стороннего сайта игру или другое приложение, содержащее вредоносный код. Во время очередного выхода в интернет личные данные отправятся к новому владельцу.
Случаи реальных мошеннических действий со счетами клиентов через мобильные устройства банки предпочитают не разглашать, опасаясь за свою репутацию, которая дороже денег. Но известны ситуации, когда осуществлялась атака пользователей интернет-клиентов как минимум двух крупных российских банков, когда троянская программа меняла записи в файле hosts на компьютерах жертв и вместо сайта своего банка люди попадали на фишинговые сайты, где и вводили пароли [2].
Что касается мобильных устройств, то, согласно отчету фирмы Juniper Networks, за последний год вчетверо выросло число вирусов, выявленных для системы Android. Существуют зловредные программы и для других мобильных платформ, включая iOS. Иногда ошибаются сами банки. Так, недавно Sitibank обнаружил критическую уязвимость в своем мобильном клиенте для iPhone. Приложение сохраняло скрытые файлы с персональными данными об аккаунте клиента, включая номера банковских счетов, выставленные на оплату счета и пароли доступа к системе.
