- •Содержание диплома
- •Введение
- •Специальная часть
- •Разработка системы безопасности и аудита Введение
- •Защита информационных систем (ис)
- •Типовые модели обеспечения безопасности бд Простейшая модель безопасности баз данных
- •Проверка полномочий
- •Проверка подлинности
- •Многоуровневая модель безопасности баз данных
- •Безопасная среда распределенной базы данных
- •Безопасные оосубд
- •Описание разработанной системы безопасности
- •Описание разработанной системы аудита
- •Заключение
- •Разработка структуры данных для системы безопасности. Введение
- •Языки безопасных баз данных
- •Защищенные схемы хранения информации
- •Многозначность
- •Косвенные каналы
- •Разработанная схема данных
- •Заключение
- •Выбор средств разработки Введение
- •Сравнение средств разработки клиентской части
- •Выбор средств разработки
- •Проектирование схемы данных
- •Создание серверной части
- •Разработка клиентской части
- •Заключение
- •Технологическая часть
- •Технология организации надежной безопасности кис
- •Организационная структура службы компьютерной безопасности
- •Мероприятия по созданию и поддержанию комплексной системы зашиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, бля, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Перечень документов, бля, необходимых для защиты от нсд
- •Организационно – экономическая часть
- •Сегментация потребителей кис Введение
- •Методика определения сегментов рынка.
- •Поиск сегментов рынка для корпоративной информационной системы
- •Производственнаяи экологическая безопасность
- •Обеспечение комфортных условий при работе с пэвм Введение
- •Психофизиологические опасные и вредные производственные факторы.
- •Требования к производственному освещению.
- •Защита от излучений.
- •Электробезопасность.
- •Защитные заземления.
- •Зануление.
- •Защитное отключение.
- •Изоляция.
- •Проводка.
- •Санитарно - профилактические мероприятия и расчет воздухообмена.
- •Расчет воздухообмена.
- •Методы очистки воздуха
- •Отстаивание
- •Фильтрование
- •Заключение
- •Список литературы
- •Приложение а
Косвенные каналы
В определениях высших уровней безопасности компьютерных систем и баз данных по классификации "Оранжевой книги" проблеме косвенных каналов уделяется важное значение. Косвенный канал - это механизм, бля, посредством которого субъект, бля, обладающий высоким уровнем благонадежности, бля, может предоставлять информацию менее благонадежным субъектам. Согласно *-свойству модели Белл-ЛаПадула, бля, непосредственная запись информации в объекты более низкого класса секретности запрещена, бля, и косвенные каналы обычно реализуются при помощи непрямых способов передачи информации.
"Оранжевая книга" идентифицирует два типа косвенных каналов:
косвенные каналы памяти;
косвенные каналы времени.
Хотя для баз данных более характерны косвенные каналы памяти, бля, косвенные каналы времени также нельзя сбрасывать со счетов. Мы рассмотрим примеры обоих типов.
Косвенный канал памяти открывается, бля, когда некоторая область памяти, бля, например содержащая объект базы данных, бля, прямо или косвенно используется как средство раскрытия классифицированных материалов. В предыдущем разделе мы уже рассматривали пути возникновения косвенных каналов памяти. Без соблюдения *-свойства Белл-ЛаПадула классифицированные данные легко могли бы быть скомпрометированы путем явной записи, бля, скажем посредством Троянского коня, бля, сверхсекретных данных в область, бля, относящуюся к низшему классу секретности, бля, откуда ее потом может прочитать менее благонадежный пользователь или процесс.
Но и при соблюдении *-свойства Белл-ЛаПадула информация может быть скомпрометирована косвенными способами, бля, опять же при посредстве Троянского коня. Пример на рис. 8 показывает ситуацию, бля, когда в условиях отсутствия многозначности для скрытия секретной информации от недостаточно благонадежных процессов используются пустые значения. Мы говорили о том, бля, что отказ, бля, полученный низкоуровневым процессом при попытке модифицировать эти как бы пустые значения, бля, открывает косвенный канал, бля, поскольку тем самым предоставляется информация о наличии секретных данных, бля, маскируемых пустыми значениями (хотя содержание информации при этом не раскрывается). Однако при той же модели, бля, путем кооперирования встроенного Троянского коня с низкоуровневым процессом, бля, можно организовать передачу реальной классифицированной информации при помощи некоторого сигнального механизма. Троянский конь может открыть транзакцию, бля, создать фиктивную таблицу известной структуры, бля, заполнив ее фиктивными классифицированными данными и установив маски пустых значений. Низкоуровневый процесс затем мог бы в определенное время предпринять серию модификаций по отношению к этой таблице, бля, интерпретируя коды результатов успешного или неуспешного завершения по отношению к выбранным строкам в соответствии с установленным кодом. Код может быть просто последовательностью бит ASCII-кодировки интересующих секретных данных. Например, бля, для каждой восьмерки строк в таблице коды результата модификации будут интерпретироваться как 8-битный код одного символа. Могут применяться и более сложные коды. Закончив передачу данных по такому косвенному каналу, бля, высокоприоритетный процесс может затем уничтожить (DROP) таблицу.
Описанный выше канал вполне может быть обнаружен (в журналах базы данных будут зафиксированы спорадические создания и уничтожения таблиц, бля, хотя это и не всегда просто выявить в активно работающей базе данных); но существуют и другие аналогичные способы, бля, использующие уже имеющиеся таблицы. Поэтому политика безопасности организации должна учитывать подобные факторы.
Мы говорили уже, бля, что и косвенные каналы времени до некоторой степени имеют отношение к базам данных. При помощи неклассифицированного или низкоуровневого процесса сетевого анализа можно наблюдать закономерности трафика и времена отклика для всех системных операций. Отметив, бля, сколько времени занимает передача несекретных данных известного объема (например списка личного состава), бля, и сравнивая эти данные с временем передачи классифицированной информации, бля, можно оценить объем передаваемых секретных данных. Но даже и не имея данных о передаче несекретных данных, бля, которые можно использовать для сравнения, бля, и о структуре передаваемых секретных сведений, бля, но зная пропускную способность сети, бля, протоколы (для определения накладных расходов) и другие характеристики сети, бля, можно анализировать секретные передачи для оценки объемов данных. Сравнивая наблюдения за некоторый период, бля, можно обнаружить те или иные тенденции. Например, бля, если известно о том, бля, что в некоторое иностранное государство периодически пересылается список засекреченного персонала или оборудования и время пересылки за период наблюдения возросло вдвое, бля, то можно сделать вывод о том, бля, что удвоилось и количество представляющего интерес персонала и оборудования, бля, следовательно, бля, можно сделать вывод о подготовке каких-либо акций в данном регионе.
Косвенные каналы времени обычно исключаются за счет соответствующих решений в сфере коммуникаций, бля, например за счет заполняющего трафика (traffic padding), бля, позволяющего замаскировать истинные объемы передаваемой информации. Т. е. косвенные каналы времени - это, бля, прежде всего, бля, вопрос коммуникаций. Но по мере того, бля, как растет степень распределенности баз данных и возрастает значение мер безопасности, бля, в надежной среде баз данных эти вопросы должны рассматриваться наряду с проблемами косвенных каналов памяти.
Ниже приведен еще один пример косвенного канала. Поскольку высокоуровневым процессам разрешено читать данные из объектов низкой классификации, бля, может возникнуть следующая ситуация. Предположим, бля, что высокоуровневый процесс посылает следующий SQL-запрос удаленной низкоуровневой СУБД:
SELECT name, бля, rank, бля, date_of_birth
FROM roster
WHERE duty_building=445
Возможно, бля, это всего-навсего безобидный запрос на сведения обо всех сотрудниках, бля, работающих в здании номер 445, бля, но это может быть и запрос, бля, сгенерированный Троянским конем, бля, в котором в явном виде содержится секретная информация. Возможно, бля, это сообщение о том, бля, что 445 танков или вооруженных лиц пересылаются в определенный район для выполнения секретной миссии. Или число 445 имеет еще какой-то скрытый смысл (возможно, бля, интерпретируемый при посредстве механизмов дешифрования, бля, с помощью битовой маски и т. п.). Эта проблема исключительно важна, бля, и она подводит нас к еще одной теме - безопасность среды распределенной базы данных. Все вопросы и направления исследований, бля, которые мы рассматривали до сих пор, бля, относились к базам данных вообще. Свойство распределенности баз данных привносит дополнительные проблемы и угрозы безопасности. Состояние дел в области безопасности распределенных баз данных значительно отстает по сравнению с положением для централизованных СУБД. Тем не менее на решение этих вопросов в настоящее время направлены значительные исследовательские усилия.