Защита от внутренних атак

ризацией. То есть при смене пароля пользователь должен обязательно пройти аутентификацию / авторизацию на старом пароле. Кроме того, Администратор безопасности может принудительно сменить пароль пользователю или заблокировать пользователя.

Чтобы повысить защищенность парольной аутентификации / авторизации от внутренних атак в системе "ДБО BS-Client" не используется прямое хранение парольной информации. Вместо этого используется схема авторизации подписью. При заведении пароля по нему однозначно строится закрытый криптографический ключ по ассиметричному криптографическому алгоритму. По этому закрытому ключу генерируется открытый ключ, который и сохраняется в базе данных в качестве парольной информации.

При аутентификации пользователя ядро системы генерирует случайный набор данных и передает системе аутентификации. Система аутентификации запрашивает у пользователя пароль. По введенному паролю опять строится закрытый ключ и этим ключом подписываются переданные случайные данные. Подпись передается обратно ядру. Далее ядро проверяет подпись под данными при помощи, открытого ключа, сохраненного в базе данных. Если подпись верна, то введенный пароль совпадает с паролем, заведенным в системе.

Такая схема дает несколько преимуществ:

•Информация о пароле, хранящаяся в базе (открытый ключ), не является секретной и не позволяет восстановить пароль (или закрытый ключ, соответствующий паролю).

•Информация, передаваемая между ядром системы и системой аутентификации, не является секретной, так как она не содержит не только самого пароля, но даже и фиксированного хэша от него. Передается только подпись паролем случайных данных. Так как при аутентификации случайные данные всякий раз другие, то перехват этой информации не позволяет взломать систему.

7.2.Права пользователей в системе

7.2.1. Общее описание системы прав

Система прав, реализованная в системе "ДБО BS-Client" базируется на системе привилегий, ролей и профилей. Определение данных терминов в контексте Системы дано ниже.

Привилегия – право (или наоборот запрет) на совершение некоторого действия в системе. Системные привилегии заданы раз и навсегда и означают строго фиксированное действие. Например, привилегия «VIEW_ANY_USER_TABLE» позволяет просматривать любые несистемные таблицы. Привилегия может иметь один или несколько параметров. Так, например, привилегия «EDIT_TABLE_RECORD» имеет два параметра (имя таблицы и фильтр).

К существующему в системе перечню привилегий можно добавить новые привилегии. В этом случае сама система никак не будет их обрабатывать, но внешние модули получат возможность узнать, есть ли права на эту привилегию у текущего пользователя и самим обработать ситуацию недостаточности прав и т.п.

Роль – набор привилегий. Задается списком привилегий (с заполненными параметрами) и списком ролей включенных в данную роль. Причем привилегии могут быть указаны как предоставленными (granted), так и запрещенными (revoked). Все привилегии, содержащиеся во вложенных ролях, автоматически считаются принадлежащими данной роли. Запрет при-

26

Защита от внутренних атак

вилегии всегда мажорирует ее разрешение. Роли могут редактироваться и являются настраиваемыми.

Профиль – набор правил работы с паролем (время истечения, временные ограничения и т.п.) и самой системой (имя главной формы, язык и т.п.). Набор параметров здесь строго фиксирован; меняются только их значения. В системе можно завести произвольное количество профилей.

Пользователь – пользователь системы. Каждый пользователь имеет свой идентификатор («логин») и пароль. Пользователю всегда назначен только один профиль и одна или несколько ролей, а также отдельные привилегии.

7.2.2. Система прав доступа к СУБД и серверу ДБО

Для повышения защищенности в системе "ДБО BS-Client" произведено разделение понятий «пользователь системы» и «пользователь базы данных».

Так, соединение с базой данных, в общем случае, выполняется с одним именем пользователя и паролем, а вход в систему "ДБО BS-Client" – с другим. В общем случае эти вещи между собой никак не связаны. Пароль пользователя, точнее информация для его проверки (см. разд. 7.1 «Аутентификация и авторизация внутренних пользователей» [стр. 25]) хранится в DSP-структуре соответствующей пользователю и является максимально защищенным (не взламывается и восстановлению не подлежит).

При определенных настройках, пароль к базе данных вообще не хранится на клиенте и конфиденциальность пароля обеспечивается средствами СУБД. Таким образом, в общем (максимально защищенном случае) пользователю предлагается ввести пароль к базе данных и пароль в систему.

7.2.3. Система прав разграничения доступа по документам

В "ДБО BS-Client" присутствует система разграничения прав доступа по документам на банковской стороне, реализованная на прикладном уровне. Она называется системой Кураторов.

Кураторы – пользователи системы "ДБО BS-Client", ответственные за сопровождение фиксированного набора организаций клиентов.

Система подразумевает жесткое разграничение прав просмотра кураторами документов только клиентов, на которые им выданы соответствующие права администратором сервера ДБО. Ограничение касается как входящих, так и исходящих документов организаций клиентов.

Примечание

Реализация Кураторов в Системе сделана независимо от системы привилегий, описанных

вразд. 7.2.1 «Общее описание системы прав» [стр. 26], используя механизм фильтрации записей

ввизуальном интерфейсе.

27