- •Предисловие
- •1. Основы информационного обеспечения процессов и систем
- •1.1. Понятие и содержание информационного обеспечения
- •1.2. Структура и классификация информационных систем
- •1.3. Система представления и обработки данных фактографических аис
- •Вопросы и упражнения
- •2. Системы управления базами данных фактографических информационных систем
- •2.1. Функции, классификация и структура субд
- •2.2. Модели организации данных
- •2.2.1. Иерархическая и сетевая модели организации данных
- •2.2.2. Реляционная модель организации данных
- •2.3. Внутренняя схема баз данных фактографических аис
- •2.3.1. Физические структуры данных
- •2.3.2. Индексирование данных
- •2.3.3. Расстановка (хеширование) записей
- •Вопросы и упражнения
- •3. Основы создания автоматизированных информационных систем
- •3.1. Общие положения по созданию автоматизированных систем
- •3.2. Проектирование банков данных фактографических аис
- •3.2.1. Концептуальное проектирование
- •3.2.2. Проектирование схем реляционных баз данных
- •3.2.2.1. Проектирование и создание таблиц
- •3.2.2.2. Нормализация таблиц
- •Вопросы и упражнения
- •4. Ввод, обработка и вывод данных в фактографических аис
- •4.1. Языки баз данных
- •4.2. Ввод, загрузка и редактирование данных
- •4.2.1. Ввод и редактирование данных в реляционных субд
- •4.2.2. Особенности ввода и загрузки данных в субд с сетевой моделью организации данных
- •4.3. Обработка данных
- •4.3.1. Поиск, фильтрация и сортировка данных
- •4.3.2. Запросы в реляционных субд
- •4.3.2.1. Запросы на выборку данных
- •4.3.2.1.1. Запросы на выборку данных из одной таблицы
- •4.3.2.1.2. Запросы на выборку данных из нескольких таблиц
- •4.3.2.1.3. Вычисления и групповые операции в запросах
- •4.3.2.2. Запросы на изменение данных
- •4.3.2.3. Управляющие запросы
- •4.3.2.4. Подчиненные (сложные) запросы
- •4.3.2.5. Оптимизация запросов
- •4.3.3. Процедуры, правила (триггеры) и события в базах данных
- •4.3.4. Особенности обработки данных в субд с сетевой моделью организации данных
- •4.4. Вывод данных
- •Вопросы и упражнения
- •5. Распределенные информационные системы
- •5.1. Понятие распределенных информационных систем, принципы их создания и функционирования
- •5.2. Технологии и модели «Клиент-сервер»
- •5.2.1. Модель файлового сервера
- •5.2.2. Модель удаленного доступа к данным
- •5.2.3. Модель сервера базы данных
- •5.2.4. Модель сервера приложений
- •5.2.5. Мониторы транзакций
- •5.3. Технологии объектного связывания данных
- •5.4. Технологии реплицирования данных
- •Вопросы и упражнения
- •6. Документальные информационные системы
- •6.1. Общая характеристика и виды документальных информационных систем
- •6.2. Информационно-поисковые каталоги и тезаурусы
- •6.2.1. Классификационные системы поиска документов
- •6.2.2. Координация понятий в классификационных системах
- •6.2.3. Информационно-поисковые тезаурусы
- •6.2.4. Автоматизация индексирования документов
- •6.3. Полнотекстовые информационно-поисковые системы
- •6.3.1. Информационно-технологическая структура полнотекстовых ипс
- •6.3.2. Механизмы поиска документов в полнотекстовых ипс
- •6.3.3. Методы количественной оценки релевантности документов
- •6.4. Гипертекстовые информационно-поисковые системы
- •6.4.1. Гипертекст
- •6.4.2. Структура, принципы построения и использования гипертекстовых ипс
- •6.4.3. Модель организации данных в гипертекстовых ипс
- •6.4.4. Формирование связей документов в гипертекстовых ипс
- •Вопросы и упражнения
- •7. Администрирование информационных систем и защита данных
- •7.1. Администрирование информационных систем
- •7.2. Разграничение доступа и защита данных
- •7.2.1. Понятие и модели безопасности данных
- •7.2.2. Технологические аспекты защиты информации
- •7.2.2.1. Идентификация и аутентификация
- •7.2.2.2. Языки безопасности баз данных
- •7.2.2.3. Безопасность повторного использования объектов
- •7.2.2.4. Надежное проектирование и администрирование
- •7.2.3. Требования и классы защищенности автоматизированных (информационных) систем в «Руководящих документах...» Государственной технической комиссии при Президенте рф
- •Вопросы и упражнения
- •Литература
- •Алфавитно-предметный указатель Содержание
7.2.2.3. Безопасность повторного использования объектов
Компьютерная система в целом, устройства оперативной и внешней (дисковой) памяти в частности, являются классическим примером среды многократного повторного информационного использования. Технологии обеспечения безопасности повторного использования объектовнаправлены на предотвращениеугроз безопасностиот случайного или преднамеренногоизвлечения интересующей злоумышленника информации по следам предшествующей деятельности или из технологического «мусора».
Часть этих технологий реализуются на уровне операционных систем, а часть являются специфическими функциями, осуществляемыми в автоматизированных информационных системах СУБД. Данные технологии условно можно разделить на три группы:
• изоляция процессов;
• очистка памяти после завершения процессов;
• перекрытие косвенных каналов утечки информации.
Изоляция процессовявляется стандартным принципом и приемом обеспечения надежности многопользовательских (многопроцессных) систем и предусматривает выделение каждому процессу своих непересекающихся с другими вычислительных ресурсов, прежде всего областей оперативной памяти. В СУБД данные задачи решаются мониторами транзакций, рассмотренными в п. 5.2.5.
Очистка памяти после завершения процессовнаправлена непосредственно на предотвращение несанкционированного доступа к конфиденциальной информации после завершения работы процессов с конфиденциальными данными уполномоченными пользователями. Так же как и изоляция процессов, чаще всего данная функция выполняется операционными системами. Кроме того, следует отметить, что очистке подлежат не только собственно участки оперативной памяти, где во время выполнения процессов размещались конфиденциальные данные, но и участки дисковой памяти, используемые в системах виртуальной памяти, в которых или операционная система, или сама СУБД АИС временно размещает данные во время их обработки. Ввиду этого функции очистки дисковой памяти после завершения выполнения отдельных транзакций, запросов, процедур могут входить в перечень обязательных функций самой СУБД в части ее надстройки над возможностями операционной системы по организации размещения данных и доступу к данным на внешней и в оперативной памяти (см. п. 2.1).
Как уже отмечалось, при реализации систем разграничения доступа возможны косвенные каналы утечки информации. Помимо проблем с разграничением доступа на уровне полей, источниками косвенных каналов утечки информации являются еще и ряд технологических аспектов, связанных с характеристиками процессов обработки данных. В этом плане различают косвенные каналы«временные»*и«по памяти».
* Ударение на последнем слоге.
В первом случае некоторые элементы конфиденциальной информации или, во всяком случае, подозрение на наличие такой информации, неуполномоченный пользователь получает на основе анализа времени выполнения отдельных процессов уполномоченными пользователями (скажем, по неправдоподобно большому времени для очевидно простой или какой-либо типовой операции).
Во втором случае соответственно «подозрение» вызывает занимаемый объем некоторых объектов (файлов, таблиц и т. п.), объем содержимого которых, с точки зрения того, что «видит» пользователь, явно не соответствует их фактическому объему.
Специфический косвенный канал утечки информации, относящийся именно к СУБД, в том числе и при использовании техники «представлений», связан с агрегатными (статистическими) функциями обработки данных, который можно пояснить на следующем примере. Предположим, пользователь в своем «представлении» базы данных видит не всю таблицу «Сотрудники», а только записи, непосредственно относящиеся к его подразделению. Тем не менее, формируя и выполняя запрос на выборку данных с вычисляемым полем «МахОклад» при использовании соответствующей агрегатной статистической функции«Мах()>>, пользователь может получить хоть и в обезличенном виде, но не предназначенные для него данные, в том случае, если процессор и оптимизатор запросов не «сливает» сам запрос с соответствующим «представлением» базы данных.
Иначе говоря, все операции обработки данных должны выполняться строго над той выборкой данных, которая соответствует «представлению» пользователя.
Приведенный пример иллюстрирует также то, что монитор безопасности СУБД должен реализовываться на нулевом уровне, т. е. на уровне ядра системы, являясь органичной составной частью компонент представления данных и доступа к данным (см. рис. 7.2).
В наиболее критичных сточки зрения безопасности информации случаях применяют еще один, наиболее жесткий вариант — технологию разрешенных процедур. В этом случае пользователям системы разрешается работать с базой данныхисключительно через запуск разрешенных процедур.
Данный подход основывается на также уже рассмотренной технике хранимых (stored) процедур.Администратором системы для каждого пользователя формируется набор процедур обработки данных в соответствии с полномочиями и функциями пользователя. Для безопасности хранимые процедуры в файле данныхшифруются.
Ядро СУБД после идентификации и аутентификации пользователя при его входе в систему предъявляет ему разрешенный набор процедур. Непосредственного доступа к самим данным пользователь не имеет и работает только с результатами их обработки по соответствующим процедурам.
Данные АИС размещаются в файлах данных,структура которых может быть известна нарушителю. Поэтому еще однойугрозой безопасностиданных АИС является возможностьнесанкционированного доступа к файлам данных вне программного обеспечения АИС (СУБД) средствами операционной системы или дисковых редакторов.Длянейтрализацииэтой угрозы применяются методы и средства криптозащиты.В большинстве случаев криптографические средства защиты встраиваются непосредственно в программное обеспечение СУБД. Файл (файлы) базы данных* при размещении на устройствах дисковой памяти шифруется. Соответственно, криптографическая подсистема при открытии файла данных его дешифрует. Специфической особенностью СУБД является особый порядок работы с файлами базы данных через организацию специальной буферизации страниц в оперативной памяти. Поэтому криптографическая подсистема встраивается в ядро СУБД, перехватывая все операции считывания страниц в оперативную память и, соответственно их дешифрируя, и все операции обратного «выталкивания» страниц из оперативной памяти на диски и, соответственно, шифруя данные.
* В том числе с авторизованными хранимыми процедурами и запросами представлений.
В развитых СУБД имеется возможность выборочного шифрования объектов базы данных исходя из уровня их конфиденциальности, вплоть до шифрования отдельных полей записей.