• Ограничить доступ по IP адресам клиентских машин;
• ввести идентификатор получателя с паролем для данного вида документов.
Такого рода ввод ограничений стал использоваться достаточно часто, т.к. многие стремятся в Internet, чтобы использовать его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению прав доступа удобно производить саморассылку информации на получение которой существует договор.
Ограничения по IP адресам
Доступ к приватным документам можно разрешить, либо наоборот запретить используя IP адреса конкретных машин или сеток, например:
123.456.78.9
123.456.79.
В этом случае доступ будет разрешен (или запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетки 123.456.79.
Ограничения по идентификатору получателя
Доступ к приватным документам можно разрешить, либо наоборот запретить используя присвоенное имя и пароль конкретному пользователю, причем пароль в явном виде нигде не хранится.
Рассмотрим такой пример: Агенство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW Сервер находится в сети Internet и общедоступен.
Рис. 3. Пример списка вестников издательства
Выберем Вестник, предоставляемый конкретному подписчику. На клиентском месте подписчик получает сообщение:
Рис.4. Окно ввода пароля
Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае - получает сообщение:
Рис. 5. Окно неправильного ввода пароля
Базы данных (БД) - хранилище структурированных данных, снабженное СУБД, реализующей функции: просмотр, сортировка, выборка, модификация, выполнение операций определения статических характеристик и т. п.
Как правило, на компьютере пользователя размещаются личные БД, обслуживающие процессы одного пользователя.
В локальных и корпоративных сетях обычно используются централизованные БД, а в глобальных сетях - распределённые (серверы с БД размещаются на различных объектах сети).
Если централизованные БД проще решают проблемы защиты от преднамеренных угроз, то распределённые (при условии дублирования данных) обладают высокой защищённостью от стихийных бедствий, аварий, сбоев и диверсий.
Защита информации В БД, в отличие от защиты данных в файлах, имеет особенности:
а) необходимость учёта функционирования СУБД при выборе механизмов защиты;
б) разграничение доступа к информации реализуется не на уровне файлов, а на уровне частей БД. Средства защиты в БД должны взаимодействовать не только с ОС, но и с СУБД. Возможно встраивание механизмов защиты в СУБД или использование их в виде отдельных компонент.
Обычно придать новые функции СУБД можно только на этапе разработки СУБД, а в эксплуатируемые -дополнительные компоненты вносятся расширением или модификацией языка управления.
Сегодняшние БД успешно разграничивают доступ, поддерживают физическую целостность и логическую сохранность данных.
Разграничение доступа к записям, и даже к полям записей, осуществляется С помощью разграничения полномочий и преодолеть эту защиту можно с помощью фальсификации полномочий или внедрения спецпрограмм.
Разграничение доступа к файлам БД и к частям БД осуществляется СУБД путём установления полномочий и контроля этих полномочий при допуске. Полномочия пользователей устанавливаются администратором СУБД.
Типовой идентификатор пользователя - это пароль, передаваемый в зашифрованном виде.
В распределённых АС подтверждение подлинности пользователя дополняется процедурой взаимной аутентификации, а коды аутентификации, относящиеся к конфиденциальной информации, хранятся на внешних ЗУ в зашифрованном виде.
Физическая целостность БД достигается путём использований отказоустойчивых устройств (напр., технология RAID - распределение целого по различным местам хранения).
Логическая сохранность данных Означает невозможность нарушения структуры модели данных.
Логическая целостность и непротиворечивость обеспечивается СУБД на этапе описания модели данных.
В БД, работающих с конфиденциальной информацией, дополнительно используются криптографические средства защиты: шифрование как с помощью единого ключа, так и с помощью индивидуальных ключей пользователей.
С зашифрованными БД работают в 2-х режимах:
а) при выполнении запроса необходимый файл расшифровывается на внешнем носителе, с открытой информацией выполняются необходимые действия,
после чего информация на внешнем запоминающем устройстве опять зашифровывается.
Здесь независимы между собой средства шифрования и СУБД, работающие последовательно друг задругом.
Но при сбое или отказе в системе может оказаться, что часть БД на внешнем носителе останется записанной в открытом виде.
б) СУБД исполняет запросы без расшифровывания на внешнем ЗУ. Поиск необходимых файлов, записей, полей, групп полей не требует расшифрования. Расшифовывание производится в оперативной памяти непосредственно перед выполнением конкретных действий с данными. Такой режим возможен, если процедуры шифрования встроены в СУБД.
Вследствие концентрации в БД большого количества разнообразной информации, а также возможностью использования сложных запросов обработки данных, существуют следующие специфические угрозы информации:
а) Инференция - получение конфиденциальной информации из сведений с меньшей степенью конфиденциальности путём умозаключений. Аналитик может получить конфиденциальные сведения путём сравнения, дополнения и фильтрации данных. Обрабатывая информацию из открытых БД, средств массовой информации, а также используя просчёты лиц, определяющих степень конфиденциальности явлений, процессов, фактов, полученных результатов, - достигается высокая эффективность получения конфиденциальной информации.
б) Агрегирование - способ получения более важных сведений по сравнению с важностью тех отдельно взятых данных, на основе которых получаются эти сведения. Как агрегирование, так и инференция относятся к способам получения информации, применяемым не только к БД.
в) Комбинирование запросов - способ, используемый при работе с БД. Использование сложных, а также последовательности простых логически связанных запросов позволяет получить данные, к которым доступ пользователю закрыт (обычно базы со статистическими данными). При этом отдельные записи, поля являются закрытыми.
Сложные перекрёстные запросы с использованием дополнительной информации об особенностях интересующей записи (поля), путём последовательной фильтрации записей позволяют получить доступ к нужной записи (полю).
Для противодействия таким угрозам используются способы:
1) блокировка ответа при неправильном числе запросов: отказ в выполнении запроса, если в нём содержится больше определённого числа совпадающих записей из предыдущих запросов. Это принцип минимальной взаимосвязи запросов. Но сложно запоминать и сравнивать все предыдущие запросы.
2) коррекция ответа путём округления или другим преднамеренным образом: это незначительное изменение точного ответа на запрос.
Чтобы сохранить приемлемую точность статистической информации применяется "свопинг" данных -взаимный обмен значений полей записи, в результате чего все статистики i-ro порядка, включающие i атрибутов, оказываются защищенными для всех i, меньших или равных некоторому числу. Выявив некоторые данные, нельзя определить, к какой конкретно записи они относятся.
3) разделение баз данных на группы: в группу включается не более определённого числа записей. Запросы разрешены к любому множеству групп, но запрещаются к подмножеству записей из одной группы. Это ограничивает возможность выделения данных на уровне не ниже группы записей. Этот способ применяется редко из-за сложности получения статистических данных, обновления и реструктуризации данных.
4) случайный выбор записи для обработки: такая организация выбора записей не позволяет проследить множество запросов.
5) контекстно-ориентированная защита: это назначение атрибутов доступа (чтение, вставка, удаление, обновление, управление и т.п.) элементам БД (записям, полям, группам полей) в зависимости от предыдущих запросов пользователя.
Например, если пользователю доступны в отдельных запросах поля "идентификационные номера" и "фамилии сотрудников", а также "идентификационные номера" и "размер заработной платы", то сопоставив ответы по этим запросам, пользователь может получить закрытую информацию о заработной плате конкретных работников. Для исключения этого, пользователю надо запретить доступ к полю "идентификатор сотрудника" во втором запросе, если он уже выполнил первый запрос.
6) контроль поступающих запросов: эффективный метод, защиты в БД - фиксируется наличие "подозрительных" запросов или комбинации запросов. Анализ этих попыток позволяет выявить каналы возможного несанкционированного доступа к закрытым данным.