Особенности защиты информации в базах данных

⇐ ПредыдущаяСтр 18 из 33Следующая ⇒

Базы данных рассматриваются как надёжное хранилище структурированных данных, снабжённое специальным механизмом для их эффективного использования в интересах пользователей (процессов). Таким механизмом является система управления базой данных (СУБД). Под системой управления базой данных понимаются программные или аппаратно-программные средства, реализующие функции управления данными, такие как: просмотр, сортировка, выборка, модификация, выполнение операций определения статистических характеристик и т. п. Базы данных размещаются:

· на компьютерной системе пользователя;

· на специально выделенной ЭВМ (сервере).

Как правило, на компьютерной системе пользователя размещаются личные или персональные базы данных, которые обслуживают процессы одного пользователя.

В вычислительных сетях базы данных размещаются на серверах. В локальных и корпоративных сетях, как правило, используются централизованные базы данных. Общедоступные глобальные сети имеют распределённые базы данных. В таких сетях серверы размещаются на различных объектах сети. В качестве серверов часто используются специализированные ЭВМ, приспособленные к хранению больших объёмов данных, обеспечивающие сохранность и доступность информации, а также оперативность обработки поступающих запросов. В централизованных базах Данных проще решаются проблемы защиты информации от преднамеренных угроз, поддержания актуальности и непротиворечивости данных. Достоинством распределённых баз данных, при условии дублирования данных, является их высокая защищённость от стихийных бедствий, аварий, сбоев технических средств, а также диверсий.

Защита информации в базах данных, в отличие от защиты данных в файлах, имеет и свои особенности:

· необходимость учёта функционирования системы управления базой данных при выборе механизмов защиты;

· разграничение доступа к информации реализуется не на уровне файлов, а на уровне частей баз данных.

При создании средств защиты информации в базах данных необходимо учитывать взаимодействие этих средств не только с ОС, но и с СУБД. При этом возможно встраивание механизмов защиты в СУБД или использование их в виде отдельных компонент. Для большинства СУБД придание им дополнительных функций возможно только на этапе разработки СУБД. В эксплуатируемые системы управления базами данных дополнительные компоненты могут быть внесены путём расширения или модификации языка управления. Таким путём можно осуществлять наращивание возможностей, например, в СУБД СА-Сliрреr 5.0.

В современных базах данных довольно успешно решаются задачи разграничения доступа, поддержания физической целостности и логической сохранности данных. Алгоритмы разграничения доступа к записям и даже к полям записей в соответствии с полномочиями пользователя хорошо отработаны, и преодолеть эту защиту злоумышленник может лишь с помощью фальсификации полномочий или внедрения вредительских программ. Разграничение доступа к файлам баз данных и к частям баз данных осуществляется СУБД путем установления полномочий пользователей и контроля этих полномочий при допуске к объектам доступа.

Полномочия пользователей устанавливаются администратором СУБД. Обычно стандартным идентификатором пользователя является пароль, передаваемый в зашифрованном виде. В распределённых КС процесс подтверждения подлинности пользователя дополняется специальной процедурой взаимной аутентификации удалённых процессов. Базы данных, содержащих конфиденциальную информацию, хранятся на внешних запоминающих устройствах в зашифрованном виде.

Физическая целостность баз данных достигается путем использования отказоустойчивых устройств, построенных, например, по технологии RAID. Логическая сохранность данных означает невозможность нарушения структуры модели данных. Современные СУБД обеспечивают такую логическую целостность и непротиворечивость на этапе описания модели данных.

В базах данных, работающих с конфиденциальной информацией, необходимо дополнительно использовать криптографические средства закрытия информации. Для этой цели используется шифрование как с помощью единого ключа, так и с помощью индивидуальных ключей пользователей. Применение шифрования с индивидуальными ключами повышает надежность механизма разграничения доступа, но существенно усложняет управление.

Возможны два режима работы с зашифрованными базами данных. Наиболее простым является такой порядок работы с закрытыми данными, при котором для выполнения запроса необходимый файл или часть файла расшифровывается на внешнем носителе, с открытой информацией производятся необходимые действия, после чего информация на ВЗУ снова зашифровывается. Достоинством такого режима является независимость функционирования средств шифрования и СУБД, которые работают последовательно друг за другом. В то же время сбой или отказ в системе может привести к тому, что на ВЗУ часть базы данных останется записанной в открытом виде.

Второй режим предполагает возможность выполнения СУБД запросов пользователей без расшифрование информации на ВЗУ. Поиск необходимых файлов, записей, полей, групп полей не требует расшифрование. Расшифрование производится в ОП непосредственно перед выполнением конкретных действий с данными. Такой режим возможен, если процедуры шифрования встроены в СУБД. При этом достигается высокий уровень защиты от несанкционированного доступа, но реализация режима связана с усложнением СУБД. Придание СУБД возможности поддержки такого режима работы осуществляется, как правило, на этапе разработки СУБД.

При построении защиты баз данных необходимо учитывать ряд специфических угроз безопасности информации, связанных с концентрацией в базах данных большого количества разнообразной информации, а также с возможностью использования сложных запросов обработки данных. К таким угрозам относятся:

· инференция;

· агрегирование;

· комбинация разрешённых запросов для получения закрытых данных.

Под инференцией понимается получение конфиденциальной информации из сведений с меньшей степенью конфиденциальности путём умозаключений.

Если учитывать, что в базах данных хранится информация, полученная из различных источников в разное время, отличающаяся степенью обобщённости, то аналитик может получить конфиденциальные сведения путям сравнения, дополнения и фильтрации данных, к которым он допущен. Кроме того, он обрабатывает информацию, полученную из открытых баз данных, средств массовой информации, а также использует просчёты лиц, определяющих степень важности и конфиденциальности отдельных явлений, процессов, фактов, полученных результатов. Такой способ получения конфиденциальных сведений, например, по материалам средств массовой информации, используется давно, и показал свою эффективность.

Близким к инференция является другой способ добывания конфиденциальных сведений - агрегирование.

Под агрегированием понимается способ получения более важных сведений по сравнению с важностью тех отдельно взятых данных, на основе которых и получаются эти сведения.

Так, сведения о деятельности одного отделения или филиала корпорации обладают определенным весом. Данные же за всю корпорацию имеют куда большую значимость.

Если инференция и агрегирование являются способами добывания информации, которые применяются не только в отношении баз данных, то способ специального комбинирования запросов используется только при работе с базами данных. Использование сложных, а также последовательности простых логически связанных запросов позволяет получать данные, к которым доступ пользователю закрыт. Такая возможность имеется, прежде всего, в базах данных, позволяющих получать статистические данные. При этом отдельные записи, поля, (индивидуальные данные) являются закрытыми. В результате запроса, в котором могут использоваться логические операции AND, OR, NOT, пользователь может получить такие величины как количество записей, сумма, максимальное или минимальное значение. Используя сложные перекрёстные запросы и имеющуюся в его распоряжении дополнительную информацию об особенностях интересующей записи (поля), злоумышленник путём последовательной фильтрации записей может получить доступ к нужной записи (полю).

Противодействие подобным угрозам осуществляется следующими методами:

· блокировка ответа при неправильном числе запросов;

· искажение ответа путям округления и другой преднамеренной коррекции данных;

· разделение баз данных;

· случайный выбор записи для обработки;

· контекстно-ориентированная защита;

· контроль поступающих запросов.

Метод блокировки ответа при неправильном числе запросов предполагает отказ в выполнении запроса, если в нем содержится больше определённого числа совпадающих записей из предыдущих запросов. Таким образом, данный метод обеспечивает выполнение принципа минимальной взаимосвязи вопросов. Этот метод сложен в реализации, так как необходимо запоминать и сравнивать все предыдущие запросы.

Метод коррекции заключается в незначительном изменении точного ответа на запрос пользователя. Для того, чтобы сохранить приемлемую точность статистической информации, применяется так называемый свопинг данных. Сущность его заключается во взаимном обмене значений полей записи, в результате чего все статистики i-го порядка, включающие i атрибутов, оказываются защищёнными для всех i, меньших или равных некоторому числу. Если злоумышленник сможет выявить некоторые данные, то он не сможет определить, к какой конкретно записи они относятся.

Применяется также метод разделения баз данных на группы. В каждую группу может быть включено не более определённого числа записей. Запросы разрешены к любому множеству групп, но запрещаются к подмножеству записей из одной группы. Применение этого метода ограничивает возможности выделения данных злоумышленником на уровне не ниже группы записей. Метод разделения баз данных не нашёл широкого применения из-за сложности получения статистических данных, обновления и реструктуризации данных.

Эффективным методом противодействия исследованию баз данных является метод случайного выбора записей для статистической обработки. Такая организация выбора записей не позволяет злоумышленнику проследить множество запросов.

Сущность контекстно-ориентированной защиты заключается в назначении атрибутов доступа (чтение, вставка, удаление, обновление, управление и т. д.) элементам базы данных (записям, полям, группам полей) в зависимости от предыдущих запросов пользователя. Например, пусть пользователю доступны в отдельных запросах поля: «идентификационные номера» и «фамилии сотрудников», а также «идентификационные номера» и «размер заработной платы». Сопоставив ответы по этим запросам, пользователь может получить закрытую информацию о заработной плате конкретных работников. Для исключения такой возможности пользователю следует запретить доступ к полю «идентификатор сотрудника» во втором запросе, если он уже выполнил первый запрос.

Одним из наиболее эффективных методов защиты информации в базах данных является контроль поступающих запросов на наличие «подозрительных» запросов или комбинации запросов. Анализ подобных попыток позволяет выявить возможные каналы получения несанкционированного доступа к закрытым данным.

Лекция 11(2 часа)

Тема:

«ЭФФЕКТИВНОСТЬ ЗАЩИЩЕННОЙ АС. УПРАВЛЕНИЕ РИСКАМИ»

Защита информационных ресурсов АС должна быть продумана и эффективна, поскольку она предназначена для защиты различных ресурсов организации, в т.ч. и финансовых. В этом смысле приобретение дорогого средства информационной безопасности может идти вразрез с самими целями безопасности.

Например, если компьютер содержит конфиденциальную информацию, то его следует поместить за межсетевой экран, установить антивирусное обеспечение, сканнер атак на хост, программу контроля целостности системных файлов и оснастить его проверкой доступа по биометрическим показателям.

Некоторые руководящие документы по ИБ указывают косвенно или явно на два принципа определения требуемого уровня защиты:

1. «Сумма затрат на обеспечение защиты не должна превосходить суммы ущерба от атаки, которую система должна предотвратить» (характерно для коммерческих организаций, ориентированных на получение прибыли);

2. «Суммарные расходы, понесенные злоумышленником на преодоление защиты должны превышать выгоду от результатов атаки» (характерно для организаций, работающий с государственной тайной, когда построение системы защиты предусматривает существенные расходы, встречается реже).

Однако, если измерить расходы на приобретение и установку СЗИ достаточно легко, то измерить, сколько необходимо потратить на обеспечение безопасности сложнее. Выбрать подходящий вариант из имеющихся альтернатив СЗИ можно только после оценки потенциального ущерба от того, что атака будет реализована по причине отсутствия каких-либо конкретных средств защиты.

Оценка рисков как часть направления информационной безопасности – управления рисками, является существенным инструментом построении защиты. Но для должного использования этого инструмента необходимо перейти от качественных показателей к количественным (какие суммы потребуется выплатить клиентам, конкурентам, сколько займут судебные издержки). Это процесс значительно облегчается еcли произведена полная инвентаризация информационных объектов АС.

Управление рисками – это процесс определения, анализа и оценки, снижения, устранения или переноса (перенаправления) риска, который заключается в ответе на следующие вопросы:

- что может произойти?

- каков в этом случае будет ущерб (результат)?

- насколько мы уверены в ответах на предыдущие вопросы? (оценка вероятности);

- что можно сделать для снижения (устранения) вероятности события?

- сколько это будет стоить?

- насколько эффективно то, что может быть сделано?

Сам риск состоит из понятия вероятности, т.е., чем больше вероятность первых трех вопросов, тем больше риск, и наоборот.

Информационный актив – набор информации, который используется организацией в работе и может состоять из более мелких поднаборов. При оценке должно быть проведено отделение собственно информации, как виртуальной составляющей, от ее носителя (физического объекта).

Соответственно стоимость возможного ущерба может быть оценена как сумма:

- стоимости замены информации (при ее утрате);

- стоимости замены ПО поддержки (при его повреждении);

- стоимости нарушения конфиденциальности, целостности, доступности (если они нарушены).

Стоимость аппаратного и сетевого обеспечения учитывается отдельно.

Стандартная методика управления рисками состоит из следующих компонент:

1. Определение политики управления рисками. Построенная на общих принципах обеспечения ИБ (Generally Accepted System Security Principles – GASSP) политика позволяет избежать субъективного подхода.

2. Определение персонала, который будет заниматься устранением рисками и обеспечение его финансирования (оплата труда, обучение, приобретение автоматизированных средств, методик оценки рисков).

3. Определение методологии и средств, с помощью которых будет производиться оценка риска. Следует быть уверенным в правильности этой оценки.

4. Идентификация и измерение риска. На этом этапе определяют сферу применения работ, имеющиеся угрозы, информационные активы и их значимость, проанализировать уязвимость активов, которые могут повлиять на частоту появления и размер ущерба. Производится сведение полученных данных с установкой метрик. Для качественной оценки достаточно таблицы с оценкой уровня риска (высокий, средний, низкий) для каждого из активов. Для количественной оценки используется конкретная методика (рассмотрены ниже).

5. Установка критериев применимости рисков. На основе полученной информации специалисты по управлению рисками вместе с руководством организации должны определить приемлемость риска на основе принятой методики (например, неприемлемым может быть риск потери 100 000$ с вероятностью 0, 03).

6. Избежание (уменьшение) риска. Необходимо определить уязвимости, которые становятся неприемлемыми при данных критериях, и определить меры для их устранения. Этот процесс проходит следующие фазы:

А) выбор средств для снижения риска

Б) оценка эффективности этих средств

В) отчет руководству о предлагаемых мероприятиях.

7. Мониторинг работы управления рисками. Для обеспечения адекватности предполагаемых мер предполагаемым рискам, необходимо периодически производить переоценку рисков при изменении внешних и внутренних обстоятельств и угроз.

МЕТОДИКИ ОЦЕНКИ РИСКОВ

Модель качественной оценки

Качественная оценка обычно сводится к построению таблицы вида:

Риск атаки	Важность актива
Важный	Критический	Жизненный
Низкий
Средний
Высокий

Таблица заполняется экземплярами информационных активов или отдельными системами на основе интуитивного представления заполняющего об информации, или на основе заполнения подготовленных для компетентных сотрудников организации анкет. Решение принимается в зависимости от конкретной организации для объектов, лежащих ниже или на второстепенной диагонали матрицы.

Возможен еще более упрощенный подход под названием основная линия (Baseline). Он заключается в том, что организация анализирует обстановку с построением систем безопасности, сложившуюся в отрасли, и сравнивает со схемой безопасности в данной компании. Если обнаруживаются рассогласования, ресурсы перенаправляются на приведение ситуации к уровню, близкому к среднему. Средний уровень оценивается применительно к данной области деятельности и к размерам предприятия, т.к. защищаемые объекты должны быть сопоставимы для крупных и мелких фирм.

Положительные стороны оценки риска по качественной модели заключаются в следующем:

- вычисления ускоряются и упрощаются;

- нет необходимости присваивать денежную стоимость активу;

- нет необходимости вычислять частоту появления угрозы и точный размер ущерба;

- не нужно вычислять соответствие предлагаемых мер угрозам.

Отрицательные – субъективность подхода к оценке, отсутствие возможности установить точное соответствие затрат угрозам.

⇐ Предыдущая 13 14 15 16 171819 20 21 22 Следующая ⇒