Безопасность повторного использования объектов

• изоляция процессов;
• очистка памяти после завершения процессов;
• перекрытие косвенных каналов утечки информации.

Изоляция процессов является стандартным принципом и приемом обеспечения надежности многопользовательских (многопроцессных) систем и предусматривает выделение каждому процессу своих непересекающихся с другими вычислительных ресурсов, прежде всего областей оперативной памяти. В СУБД данные задачи решаются мониторами транзакций.

Очистка памяти после завершения процессов направлена непосредственно на предотвращение несанкционированного доступа к конфиденциальной информации после завершения работы процессов с конфиденциальными данными уполномоченными пользователями. Так же как и изоляция процессов, чаще всего данная функция выполняется операционными системами. Кроме того, следует отметить, что очистке подлежат не только собственно участки оперативной памяти, где во время выполнения процессов размещались конфиденциальные данные, но и участки дисковой памяти, используемые в системах виртуальной памяти, в которых или операционная система, или сама СУБД АИС временно размещает данные во время их обработки — razgovorodele.ru. Ввиду этого функции очистки дисковой памяти после завершения выполнения отдельных транзакций, запросов, процедур могут входить в перечень обязательных функций самой СУБД в части ее надстройки над возможностями операционной системы по организации размещения данных и доступу к данным на внешней и в оперативной памяти.

Как уже отмечалось, при реализации систем разграничения доступа возможны косвенные каналы утечки информации. Помимо проблем с разграничением доступа на уровне полей, источниками косвенных каналов утечки информации являются еще и ряд технологических аспектов, связанных с характеристиками процессов обработки данных. В этом плане различают косвенные каналы «временные»* и «по памяти».

* Ударение на последнем слоге.

В первом случае некоторые элементы конфиденциальной информации или, во всяком случае, подозрение на наличие такой информации, неуполномоченный пользователь получает на основе анализа времени выполнения отдельных процессов уполномоченными пользователями (скажем, по неправдоподобно большому времени для очевидно простой или какой-либо типовой операции). Во втором случае соответственно «подозрение» вызывает занимаемый объем некоторых объектов (файлов, таблиц и т. п.), объем содержимого которых, с точки зрения того, что «видит» пользователь, явно не соответствует их фактическому объему.

Специфический косвенный канал утечки информации, относящийся именно к СУБД, в том числе и при использовании техники «представлений», связан с агрегатными (статистическими) функциями обработки данных, который можно пояснить на следующем примере. Предположим, пользователь в своем «представлении» базы данных видит не всю таблицу «Сотрудники», а только записи, непосредственно относящиеся к его подразделению. Тем не менее, формируя и выполняя запрос на выборку данных с вычисляемым полем «МахОклад» при использовании соответствующей агрегатной статистической функции «Мах()», пользователь может получить хоть и в обезличенном виде, но не предназначенные для него данные, в том случае, если процессор и оптимизатор запросов не «сливает» сам запрос с соответствующим «представлением» базы данных. Иначе говоря, все операции обработки данных должны выполняться строго над той выборкой данных, которая соответствует «представлению» пользователя.

Приведенный пример иллюстрирует также то, что монитор безопасности СУБД должен реализовываться на нулевом уровне, т. е. на уровне ядра системы, являясь органичной составной частью компонент представления данных и доступа к данным.

В наиболее критичных сточки зрения безопасности информации случаях применяют еще один, наиболее жесткий вариант — технологию разрешенных процедур. В этом случае пользователям системы разрешается работать с базой данных исключительно через запуск разрешенных процедур. Данный подход основывается на также уже рассмотренной технике хранимых (stored) процедур. Администратором системы для каждого пользователя формируется набор процедур обработки данных в соответствии с полномочиями и функциями пользователя. Для безопасности хранимые процедуры в файле данных шифруются.

Ядро СУБД после идентификации и аутентификации пользователя при его входе в систему предъявляет ему разрешенный набор процедур. Непосредственного доступа к самим данным пользователь не имеет и работает только с результатами их обработки по соответствующим процедурам.

Данные АИС размещаются в файлах данных, структура которых может быть известна нарушителю. Поэтому еще одной угрозой безопасности данных АИС является возможность несанкционированного доступа к файлам данных вне программного обеспечения АИС (СУБД) средствами операционной системы или дисковых редакторов. Для нейтрализации этой угрозы применяются методы и средства криптозащиты. В большинстве случаев криптографические средства защиты встраиваются непосредственно в программное обеспечение СУБД. Файл (файлы) базы данных* при размещении на устройствах дисковой памяти шифруется — razgovorodele.ru. Соответственно, криптографическая подсистема при открытии файла данных его дешифрует. Специфической особенностью СУБД является особый порядок работы с файлами базы данных через организацию специальной буферизации страниц в оперативной памяти. Поэтому криптографическая подсистема встраивается в ядро СУБД, перехватывая все операции считывания страниц в оперативную память и, соответственно их дешифрируя, и все операции обратного «выталкивания» страниц из оперативной памяти на диски и, соответственно, шифруя данные.

* В том числе с авторизованными хранимыми процедурами и запросами представлений.

В развитых СУБД имеется возможность выборочного шифрования объектов базы данных исходя из уровня их конфиденциальности, вплоть до шифрования отдельных полей записей.