2584
.pdfиспользуемых в несанкционированных попытках печати платежных документов. Похищения и фальсификация вовсе не обязательно связаны с изменением каких-либо данных, что справедливо и в отношении потери конфиденциальности или нарушения неприкосновенности личных данных.
Потеря конфиденциальности и нарушение Неприкосновенности личных данных
Понятие конфиденциальности означает необходимости сохранения данных в тайне. Как правило, конфиденциальными считаются те данные, которые являются критичными для всей организации, тогда как понятие неприкосновенности данных касается требования защиты информации об отдельных работниках. Следствием нарушения в системе защиты, вызвавшего потерю конфиденциальности данных, может быть утрата позиций в конкретной борьбе, тогда как следствием нарушения неприкосновенности личных данных будут юридические меры, принятые в отношении организации.
Утрата целостности и потеря доступности данных
Утрата целостности приводит к искажению или разрушению данных, что может иметь самые серьезные последствия для дальнейшей работы организации. В настоящее время множество организаций функционирует в непрерывном режиме, представляя свои услуги клиентам по 24 часа в сутки и по 7 дней в неделю. Потеря доступности данных будет означать, что либо данные, либо система, и другие одновременно окажутся недоступными пользователям, что может подвергнуть опасности само дальнейшее существование организации. В некоторых случаях те события, которые послужили причиной перехода системы в недоступное состояние, могут одновременно вызвать и разрушение данных в базе.
Защита базы данных имеет целью минимизировать потери, вызванные заранее предусмотренными событиями.
120
Принимаемые решения должны обеспечивать эффективное использование понесенных затрат и исключать излишнее ограничение представляемых пользователям возможностей. В последнее время уровень компьютерной преступности существенно возрос, причем прогнозы на будущее неутешительны и предвещают продолжение его роста и в новом столетии. Компьютерные преступления могут угрожать любой части системы, поэтому наличие необходимых мер защиты является жизненно важным.
Типы опасностей
Под опасностью будем понимать любую ситуацию или событие, намеренное или непреднамеренное, которое способно неблагоприятно повлиять на систему, а следовательно, и на всю организацию.
Угроза может быть вызвана ситуацией или событием, способным принести вред организации, причиной которого может служить человек, происшествие или стечение обстоятельств. Вред может быть очевидным (например, потеря оборудования, программного обеспечения или данных ) или неочевидным (например, потеря доверия партнеров или клиентов ). Перед каждой организацией стоит проблема выяснения всех возможных опасностей, что в некоторых случаях является совсем непростой задачей. Поэтому на выявление хотя бы важнейших угроз может потребоваться достаточно много времени и усилий, что следует учитывать. В предыдущем разделе мы указали основные области, в которых следует ожидать потерь в случае намеренного (заранее задуманного) или ненамеренного (случайного) происшествия. Преднамеренные угрозы всегда осуществляются людьми и могут быть совершены как авторизированными, так и неавторизированными пользователями, причем последние могут не принадлежать организации.
121
Любая опасность должна рассматриваться как потенциальная возможность нарушения системы защиты, которая в случае своей реализации может оказать то или иное негативное влияние. Например, следствием просмотра и раскрытия засекреченных данных могут стать похищения и фальсификация, утрата конфиденциальности и нарушение неприкосновенности личных данных в организации. Хотя некоторые типы опасностей могут быть как намеренными, так и непреднамеренными, результаты в любом случае будут одинаковы.
Уровень потерь, понесенных организацией в результате реализации некоторой угрозы, зависит от многих факторов, включая наличие заранее продуманных контрмер и планов преодоления непредвиденных обстоятельств. Например, если отказ оборудования вызвал разрушение вторичных хранилищ данных, вся работа в системе должна быть свернута до полного устранения последствий аварии.
Имеется ли в системе резервное оборудование с развернутым программным обеспечением.
Когда в последний раз выполнялось резервное копирование системы.
Время, необходимое на восстановление системы. Существует ли возможность восстановления и ввода
в эксплуатацию разрушенных данных.
Любая организация должна установить типы возможных опасностей, которым может подвергнуться ее компьютерная система, после чего разработать соответствующие планы и требуемые контрмеры, с оценкой уровня затрат, необходимых для их реализации. Безусловно, затраты времени, усилий и денег едва ли окажутся эффективными, если они будут касаться потенциальных опасностей, способных причинить организации лишь
122
незначительный ущерб. Деловые процессы организации могут быть подвержены таким опасностям, которые непременно следует учитывать, однако часть из них может иметь место в исключительно редких ситуациях.
Тем не менее, даже столь маловероятные обстоятельства должны быть приняты во внимание, особенно если их внимание может оказаться весьма существенным.
Существующие примеры брешей, обнаружившихся в защите компьютерных систем, демонстрируют тот факт, что даже высочайшего уровня защищенности самой системы может оказаться недостаточно, если вся деловая среда не будет иметь необходимого уровня защиты. Целью является достижение баланса между обоснованным уровнем реализации защитных механизмов, функционирование которых не вызывает излишних ограничений в работе пользователей, и издержками на их поддержание.
Некоторые из угроз могут носить случайный характер. По всей видимости, именно случайные опасности являются причиной основной части потерь в большинстве организаций. Любой случайный инцидент, послуживший причиной нарушения системы защиты, должен быть зафиксирован в документации, с указанием сведений о персонах, связанных с его появлением. Время от времени подобные записи должны анализироваться с целью установления частоты возникновения сходных инцидентов связанных с одними и теми же людьми. Полученные сведения следует использовать для уточнения существующих процедур и установленных ограничений. Например, повторяющееся рассоединение или обрыв кабелей должен послужить причиной пересмотра способа укладки или маршрута их проведения. Аналогично, повторяющееся внесение в систему вирусов и другого нежелательного программного обеспечения должно быть расценено как серьезная угроза, однако здесь могут иметь место трудности с оценкой или преднамеренности их появления. Тем не менее, могут быть разработаны
123
процедуры, предназначенные для проверки всего нового программного обеспечения и носителей, поступающих в распоряжение организации. Они могут быть дополнены ограничениями, запрещающими работникам использовать их собственное программное обеспечение. После принятия подобных мер появление в системе вирусов едва ли можно будет расценивать как случайное.
Типы возможных угроз лежат в широком диапазоне от пожаров и наводнений, непосредственно воздействующих на все элементы системы, до некоторых специфических инцидентов, воздействующих лишь на одну из ее частей. Например, случайный обрыв кабеля может блокировать работу только одного пользователя и не оказать влияния на состояние программного обеспечения или данных. Как бы там ни было, хотя, на первый взгляд, некоторые из событий не оказывают заметного влияния на систему, их звуки в последствии могут быть весьма существенными. Поэтому при анализе отдельных опасностей оценка их возможного влияния должна производится с разных точек зрения. Например, если обратиться к случаю отказа оборудования, послужившего причиной разрушения устройств внешней памяти, то полезно будет дать ответы на все приведенные ниже вопросы.
Существуют ли резервное оборудование, которое может быть использовано немедленно?
Защищено ли резервное оборудование надлежащим образом?
Может ли используемое программное обеспечение нормально работать на резервном оборудовании?
Если резервных устройств не существует, насколько быстро удастся устранить возникшую проблему?
Когда в последний раз создавалась резервная копия базы данных и файла журнала?
124
Находятся ли носители с резервной копией в пожарозащищенном месте или вне расположения организации?
Если большая часть базы данных подлежит восстановлению с резервной копии и из файлов журнала, то сколько времени потребуется на эту процедуру?
Каков объем потерь в результатах обработки данных и имеется ли возможность восстановить утраченные данные?
Сможет ли организация продолжать нормально функционировать, пока система будет неактивна, и если да, то как долго?
Окажет ли инцидент какое-либо прямое воздействие на клиентов организации?
Если система будет восстановлена, то сохраниться ли угроза повторения данного инцидента, если для его предотвращения не будут приняты какиелибо специальные меры?
Можно ли использовать данный инцидент для доработки существующих планов устранения непредвиденных обстоятельств?
Если при анализе последствий только одного события потребовалось ответить на столько вопросов, то для исчерпывающего анализа всех возможных опасностей понадобится ответить на гораздо большее их число. Ответы на вопросы должны позволить оценить вероятный эффект события, выраженный в уровне потери данных, времени, средств и других менее очевидных показателях например, степени доверия клиентов. Для получения полной оценки всех возможных опасностей следует выполнить процедуру оценки риска. Существуют различные методики выполнения данной оценки, как ручные, так и с помощью специализированных программных пакетов.
125
Контрмеры компьютерные средства контроля
Вотношении опасностей, угрожающих компьютерным системам, могут быть приняты контрмеры самых различных типов, начиная от физического наблюдения и заканчивая административно-организационными процедурами.
Несмотря на широкий диапазон компьютерных средств контроля, доступных в настоящее время на рынке, общий уровень защищенности СУБД определяется возможностями используемой операционной системы, поскольку работа этих двух компонентов тесно связанна между собой.
Вэтом разделе мы обсудим различные компьютерные средства контроля, доступные в многопользовательской среде. Обычно для платформы IBM PC применяются не все перечисленные ниже типы средств контроля.
Авторизация пользователей. Представления.
Резервное копирование и восстановление. Поддержка целостности.
Шифрование. Вспомогательные процедуры.
Авторизация пользователей
Авторизация - это предоставление прав (или привилегий), позволяющих их владельцу иметь законный доступ к системе или к ее объектам.
Средства автоматизации пользователей могут быть встроены непосредственно в программное обеспечение и управлять не только предоставленными пользователям правами доступа к системе или объектам, но и набором операций, которые пользователи могут выполнять с каждым доступным ему объектом. По этой причине механизм авторизации часто иначе называют подсистемой управления доступом. Термин ―владелец‖ в определении может
126
представлять пользователя-человека или программу. Термин ―объект‖ может представлять таблицу данных, представление, приложение, процедуру или любой другой объект, который может быть создан в рамках системы. В некоторых системах все предоставляемые субъекту права должны быть явно указаны для каждого из объектов, к которым этот субъект должен обращаться. Процесс авторизации включает аутентификацию субъектов, требующих получения доступа к объектам.
Аутентификация - это механизм определения того, является ли пользователь тем, за кого себя выдает.
За представление пользователям доступа к компьютерной системе обычно отвечает системный администратор. Каждому пользователю присваивается уникальный идентификатор, который используется операционной системой для определения того, кто есть кто. С каждым идентификатором связывается определенный пароль, выбираемый пользователем и известный операционной системе. При регистрации пользователь должен предоставлять системе свой пароль для выполнения проверки (аутентификации) того, является ли он тем, за кого себя выдает.
Подобная процедура позволяет организовать контролируемый доступ к компьютерной системе, но не обязательно предоставляет право доступа к СУБД или иной прикладной программе. Для получения пользователем права доступа к СУБД может использоваться отдельная подобная процедура. Ответственность за предоставление прав доступа к СУБД обычно несет администратор базы данных (АБД), в обязанности которого входит создание индивидуальных идентификаторов пользователей, но на этот раз уже в среде самой СУБД. Каждый из идентификаторов пользователей СУБД так же связывается с паролем, который должен быть известен только данному пользователю. Этот пароль будет
127
использоваться подпрограммами СУБД для идентификации данного пользователя.
Некоторые СУБД поддерживают списки разрешенных идентификаторов пользователей и связанных с ними паролей, отличающиеся от аналогичного списка, поддерживаемого операционной системой. Другие типы СУБД поддерживают списки, элементы которых приведены в соответствие существующим спискам пользователей операционной системы и выполняют регистрацию исходя из текущего идентификатора пользователя, указанного им при регистрации
всистеме. Это предотвращает попытки пользователей зарегистрироваться в среде СУБД под идентификатором, отличным от того, который они использовали при регистрации
всистеме.
Использование паролей является наиболее распространенным методом аутентификации пользователей. Однако этот подход не дает абсолютной гарантии, что данный пользователь является именно тем, за кого себя выдает. Ниже в этой главе мы обсудим методы, позволяющие сократить подобный риск.
Привилегии
Как только пользователь получит право доступа к СУБД , ему могут автоматически предоставляться различные другие привилегии, связанные с его идентификатором. В частности, эти привилегии могут включать разрешение на доступ к определенным базам данных, таблицам, представлениям и индексам или же право запуска различных утилит СУБД. Некоторые типы СУБД функционируют как закрытые системы, поэтому пользователям помимо разрешения на доступ к самой СУБД потребуется иметь отдельные разрешения и на доступ к конкретным ее объектам. Эти разрешения выдаются либо АБД, либо владельцами определенных объектов системы. В противоположность этому,
открытые |
системы |
по |
умолчанию |
предоставляют |
|
|
|
128 |
|
авторизированным пользователям полный доступ ко всем объектам базы данных. В этом случае привилегии устанавливаются посредством явной отмены тех или иных прав конкретных пользователей. Типы привилегий, которые могут быть предоставлены авторизированным субъектам, включают, например, право доступа к указанным базам данных, право выборки данных, право создания таблиц и других объектов.
Право владения и привилегии
Некоторыми объектами в среде СУБД владеет сама СУБД. Обычно это владение организуется посредством использования специального идентификатора особого суперпользователя 
например, с именем Database Administrator. Как правило, владение некоторым объектом предоставляет его владельцу весь возможный набор привилегий в отношении этого объекта. Это правило применяется ко всем авторизированным пользователям, получающим права владения определенными объектами. Любой вновь созданный объект автоматически передается во владения его создателю, который и получает весь возможный набор привилегий для данного объекта. Тем не менее, хотя пользователь может быть владельцем некоторого представления, единственной привилегией, которая будет представлена ему в отношении этого объекта, может оказаться право выборки данных из этого представления. Причиной подобных ограничений состоит в том, что данный пользователь имеет столь ограниченный набор прав в отношении базовых таблиц созданного им представления. Принадлежащие владельцу привилегии могут быть переданы им другим авторизированным пользователям. Например, владелец нескольких таблиц базы данных может предоставить другим пользователям право выборки информации из этих таблиц, но не позволить им вносить в эти таблицы какие-либо изменения. В некоторых типах СУБД, всякий раз, когда
129