Основные методы защиты данных в реляционных БД

 

Режимы аутентификации в СУБД SQL-сервер

SQL Server предлагает два режима аутентификации пользователей: режим аутентификации средствами Windows; смешанный режим аутентификации , используются как возможности Windows, так и SQL сервера.

Этапы создания учетной записи пользователя:

• создать в базе данных учетную запись пользователя, указав для него пароль и принятое по умолчанию имя базы данных (процедура sp_addlogin).
• добавить этого пользователя во все необходимые базы данных (процедура sp_adduser).
• предоставить ему в каждой базе данных соответствующие привилегии (команда GRANT) .

Создание новой учетной записи может быть произведено с помощью системной хранимой процедуры:

sp_addlogin

[@login=] 'учетная_запись'

[, [@password=] 'пароль']

[, [@defdb=] 'база_данных_по_умолчанию'] [11]

После завершения аутентификации и получения идентификатора учетной записи (login ID) пользователь считается зарегистрированным, и ему предоставляется доступ к серверу. Для каждой базы данных, к объектам которой он намерен получить доступ, учетная запись пользователя (login) ассоциируется с пользователем (user) конкретной базы данных, что осуществляется посредством процедуры:

sp_adduser

[@loginame=] 'учетная_запись'

[, [@name_in_db=] 'имя_пользователя']

[, [@grpname=] 'имя_роли']

Пользователь, который создает объект в базе данных, например таблицу, хранимую процедуру и т.д, становится его владельцем. Владелец объекта имеет все права доступа к созданному им объекту. Чтобы пользователь мог создать объект, владелец базы данных должен предоставить ему соответствующие права. Полное имя создаваемого объекта включает в себя имя создавшего его пользователя.

Владелец объекта не имеет специального пароля или особых прав доступа. Он неявно имеет полный доступ, но должен явно предоставить доступ другим пользователям.

SQL Server позволяет передавать права владения от одного пользователя другому. Роль позволяет объединить в одну группу пользователей, выполняющих одинаковые функции. [11]

В SQL Server реализовано два вида стандартных ролей: на уровне сервера и на уровне баз данных. При установке SQL Server создаются фиксированные роли сервера, например, sysadmin с правом выполнения любых функций SQL-сервера, и фиксированные роли базы данных, например, db_owner с правом полного доступа к базе данных.

Среди фиксированных ролей базы данных существует роль public, которая имеет специальное назначение, т.к. ее членами являются все пользователи, имеющие доступ к базе данных.

Можно включить любую учетную запись SQL Server (login) или учетную запись Windows в любую роль сервера. [11]

Роли базы данных позволяют объединять пользователей в одну административную единицу и работать с ней как с обычным пользователем. Можно назначить права доступа к объектам базы данных для конкретной роли, при этом автоматически все члены этой роли наделяются одинаковыми правами.

Различные действия по отношению к роли осуществляются при помощи специальных процедур.

Каждая СУБД должна поддерживать механизм, гарантирующий, что доступ к базе данных смогут получить пользователи, имеющие соответствующее разрешение. Язык SQL включает операторы GRANT и REVOKE, предназначенные для организации защиты таблиц в базе данных. Механизм защиты построен на использовании идентификаторов пользователей, предоставляемых им прав владения и привилегий. [11]

Идентификатором пользователя называется обычный идентификатор языка SQL, который применяется для обозначения некоторого пользователя базы данных. Каждому пользователю должен быть назначен собственный идентификатор, присваиваемый администратором базы данных. Идентификатор пользователя, связывается с некоторым паролем. Идентификатор пользователя определяет, на какие объекты базы данных пользователь может ссылаться и какие операции с этими объектами он имеет право выполнять.

При подключении к SQL Server все возможные действия пользователей определяются правами соответствующими их учетной записи, группе или роли, в которых они состоят.

Права делятся на три категории:

• права доступа к объектам ;
• права на выполнение команд ;
• неявные права.

(табл 2 приложение) [11]

Работа с данными и выполнение хранимых процедур требуют наличия класса доступа, называемого правами на доступ к объектам баз данных. Под объектами подразумеваются таблицы, столбцы таблиц, представления, хранимые процедуры.

Для различных объектов применяются разные наборы прав доступа к ним:

SELECT, INSERT, UPDATE, DELETE, REFERENCES – для таблицы или представления;

SELECT, UPDATE – для конкретного столбца таблицы или представления;

EXECUTE – для хранимых процедур и функций.

Право INSERT позволяет вставлять новые строки в таблицу или представление и выдается только на уровне таблицы или представления; оно не может быть выдано на уровне столбца.

Право UPDATE выдается либо на уровне таблицы, что позволяет изменять в ней все данные, либо на уровне отдельного столбца, что разрешает изменять данные только в его пределах.

Право DELETE позволяет удалять строки из таблицы или представления, выдается только на уровне таблицы или представления, но не может быть выдано на уровне столбца.

Право SELECT разрешает выборку данных и может выдаваться как на уровне таблицы, так и на уровне отдельного столбца.

Система безопасности SQL Server имеет иерархическую структуру, и поэтому роли базы данных включают в себя учетные записи и группы Windows, пользователей и роли SQL Server. Пользователь же, в свою очередь, может участвовать в нескольких ролях и одновременно иметь разные права доступа для разных ролей. Когда одна из ролей, в которых состоит пользователь, имеет разрешение на доступ к данным, он автоматически имеет аналогичные права. Тем не менее, если возникает необходимость, пользователю можно запретить доступ к данным или командам, тогда аннулируются все разрешения на доступ, полученные им на любом уровне иерархии. При этом гарантируется, что доступ останется запрещенным независимо от разрешений, предоставленных на более высоком уровне. [10,11]

Для запрещения доступа к объектам базы данных используется команда:

<запрещение_доступа>::=

DENY {ALL [PRIVILEGES]| | <привилегия> [11]

 

 

Заключение

 

Целью данной работы являлось рассмотрение общих вопросов защиты информации, а также основных методов защиты данных, таких как криптографические методы, методы аутентификации и идентификации, а также вопросов защиты информации в системах управления базами данных.

Для достижения данной цели были реализованы следующие задачи:

- рассмотрено понятие информационной  безопасности и общие вопросы  информационной безопасности в РФ;

- более подробно рассмотрены  общие понятия угроз и способов  защиты информации;

- детально рассмотрены криптографические  методы информации, а также методы аутентификации и идентификации;

- рассмотрены и проанализированы способы защиты данных в реляционных БД.

В заключение также следует отметить, что по прогнозам аналитиков в области информационной безопасности мир киберпреступности в ближайшие годы разделится на два основных лагеря: стационарный и мобильный. Первый будет ориентироваться на корпоративный сектор, т.к. стационарные ПК останутся основными рабочими инструментами во многих областях деятельности компаний и предприятий мира. Второй лагерь будет ориентирован больше на мобильные технологияи, т.е. на населении. Большого роста количества угроз следует ожидать именно в мобильном секторе, т.к. корпоративный сектор вероятнее всего перейдет в разряд профессионального и им будут заниматься только киберпреступники очень высокого уровня. Все остальные, сконцентрируют свое внимание на мобильных технологиях, с целью мошенничества получения выгоды от массовости использования. [10]

 

 

 

 

 

Список  источников

1.Аверченков В.И. Аудит информационной безопасности органов исполнительной власти/ В.И Аверченков ,М.Ю. Рытов ,М.В. Рудановский ,

А.В.Кувыклин. – М.: Издательство: ФЛИНТА, 2011.- 
100 с.;

 

2. Аверченков В.И. Разработка системы технической информации/ В.И. Аверченков, М.Ю.Рытов ,А.В. Кувыклин , Т.Р.Гайнулин : уч пос. – М.: Издательство: ФЛИНТА, 2011.-110 с.;

 

3.Бабаш А.В. Основы компьютерной безопасности/ А.В. Бабаш, Е.К Баранова.. – Москва, 2009 г.-78 с.

 

4. Байбурин В.Б. Введение в защиту информации/ В.Б. Байбурин, М.Б. Бровкова и др. – Москва: ФОРУМ-ИНФРА, 2004. -232 с . 

 
5. Белов Е.Б. Основы информационной безопасности. Ученое пособие для вузов/ Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов.-М Горячая линия – Телеком, 2006.- 244 с.

 

6. Блинов А.М. Информационная безопасность:/ Блинов А.М. Учебное пособие. Часть 1. – СПб.: Изд-во СПбГУЭФ, 2010. – 96 с.

 

7. Галатенко В.А. Основы информационной безопасности: Курс лекций/ В.А. Галатенко. — М.: ИН-ТУИТ.РУ «Интернет-Университет Информационных технологий», 2003. – 280 с.  
 
8. Алгоритмы криптографии. Методы криптографии. Алгоритмы криптографии URL: http://alexinternetclic.ru/

 

9. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895) Система ГАРАНТ URL: http://base.garant.ru/182535/#ixzz3MWTZchbchttp://base.garant.ru/182535/ 

10. Основные методы защиты данных URL : http://www.intuit.ru/studies/courses/5/5/lecture/154

 

11. Основные методы защиты данных. Управление пользователями URL : http://www.intuit.ru/studies/courses/5/5/lecture/154

 

Приложение

 

 

 

 

Табл 1 «Классификация угроз информационной безопасности» [5]

 

 

рис 2 Криптографические методы [8]

Пользователь A	Пользователь B	Пользователь C	ПользовательD	Пользователь E
GRANT INSERT ON Товар TO B WITH GRANT OPTION	Получение права
	GRANT INSERT ON Товар TO C WITH GRANT OPTION	Получение права от B. Получение права от E		GRANT INSERT ON Товар TO C WITH GRANT OPTION
		GRANT INSERT ON Товар TO D	Получениеправа
REVOKE INSERT ON Товар TO B CASCADE	Отмена права	Сохранение права	Сохранениеправа	Сохранение права

 табл 1: Оперции с объектами СУБД SQL server [11]