Современные
информационные технологи/Информационная безопасность
Дубчак
О. В., Грушенкова А.А.
Національний
авіаційний університет, Україна
ДИСКРЕЦІЙНИЙ ЗАХИСТ БАЗ ДАНИХ У WEB- ДОДАТКАХ
Вступ. За сучасного рівня
розвитку інформаційних технологій будь-які операції в мережі
Інтернет пов'язані з обміном великими потоками інформації, що проводиться
мільонами користувачів з усього світу. В інформаційному суспільстві, коли
значення інформації зростає швидкими темпами, як наслідок, зростають вимоги до ступеня
убезпеченості конфіденційності персональних даних (ПД). Саме тому під час
проектування та впровадження будь-якого Web-додатку
або Web-ресурсу пріорітетним
завданням є забезпечення захисту ПД користувачів від несанкціонованого доступу
та викрадення.
Актуальність. За відомостями InfoWatch,
за перше півріччя 2017 року серед даних, які зазнали витоку, лідируючі позиції
посіли ПД. На їхню долю припало 65,8%, тоді як решту склали в сумі
платіжна інформація, комерційна та державна таємниці. За прогнозами фахівців за підсумками 2017 року збитки
компаній від втрати конфіденційної інформації можуть перевищити $50 млрд.[1]
Постановка завдання. Домінуючим
інструментом в накопиченні та зберіганні даних у Web-додатках стали системи управління базами даних (СУБД), особливо
реляційні.
За умов
відсутності належного захисту баз даних (БД) втрата конфіденційної інформації критично
зростає, що може спричинити масштабні збитки для компанії, організації та
окремих осіб. Зважаючи на такий стан речей під час проектування Web-додатків першочергово
потрібно звернути увагу на безпеку використовуваних БД.
Викладення матеріалу. Слід
зазначити, що в сучасних СУБД достатньо розвинені засоби ДЗ. Сенс цієї технології захисту полягає у впровадженні розподілення
доступу до об'єктів БД. Дискреційне управління
доступом – це розмежування доступу між пойменованими суб'єктами і пойменованими
об'єктами.
Суб'єкт з певним правом доступу може передати це право
будь-кому з користувачів.
У Web-додатках користувачів БД можна розподілити на 3 групи:
·
Фахівці з програмування -
відповідають за створення Web-додатків,
у яких застосовується БД. Дана група
може виступати в ролі як користувачів, яким надано дозвіл керувати та
створювати об'єкти даних, так і звичайного користувача, який може тільки опрацьовувати
дані.
·
Кінцеві користувачі - мають обмежений
набір прав та можливостей взаємодії з даними, що зберігаються в БД. Зазвичай
взаємодіють з БД через Web-додатки.
·
Адміністратори – мають повний
контроль над СУБД. До їхніх можливостей входить створення та знищення БД, проведення
технічного контролю та нагляду за функціонуванням СУБД. [2]
ДЗ є багаторівневим логічним захистом. До даного виду захисту належить також і володіння
таблицею, власник якої може змінювати набір привілеїв. Інформація
про розподіл прав та ролей, а також про зареєстрованих користувачів БД
зберігається у системному каталозі СУБД. З'єднання
із системою неідентифікованих користувачів у такому випадку виключається. Після
вдалої ідентифікації користувача розпочинається сеанс роботи з БД, а всі його
дії напряму залежать від результату авторизації. Такий користувач, як адміністратор
БД, володіє всіма правами та привілеями Він відповідає за розподілення прав між
іншими користувачами та за надання останнім можливостей щодо використання створеної ним БД
та даних, що в ній зберігаються. Набір привілеїв може бути визначеним як для
конкретного зареєстрованого користувача, так і для групи користувачів.
Об'єктом захисту може бути таблиця, подання, збережена
процедура.
Суб'єктом ДЗ являються користувачі БД, група
користувачів або роль.
У такому випадку суб’єктом також може вважатися збережена
процедура.
Однак ДЗ як самостійна одиниця має обмежені можливості
та не забезпечує абсолютний захист даних у БД, оскільки доступ розподіляється
тільки відносно до об'єктів, а не даних, що зберігаються в них. У разі впровадження
ресурсу із застосуванням систем управління реляційними БД об'єктом буде,
наприклад, таблиця, а суб'єктом – користувач, який пройшов авторизацію. У цьому
випадку не можна в повному обсязі обмежити доступ тільки до тієї частини
інформації, що зберігається в БД. Дану проблему більшою частиною можна вирішити
за допомогою обмеження доступу до інформації, використовуючи збережені процедури,
які реалізують певний набір бізнес-процесів.
Висновки. Забезпечення інформаційної
безпеки СУБД набуває вирішального значення під час вибору конкретного засобу впровадження
необхідного рівня безпеки організації в цілому. Незважаючи на те, що технологія
дискреційного захисту не вирішує проблему безпеки даних у БД в повному обсязі,
вона являється потужним інструментом щодо обмеження доступу неавторизованих
користувачів до конфіденційної інформації. Значно посилити дану тактику захисту
можна завдяки ролевій моделі розподілу доступу, яка була створена як ще один
підхід до обмеження доступу для авторизованих користувачів.
Література
1. Объем утечек
конфиденциальной информации в мире. URL: https://www.rbc.ru/technology_and_media/10/10/2017/59db57549a7947f8d8839ac3
2. Козленко Л. Информационная
безопасность в современных СУБД. URL: http://compress.ru/article.aspx?id=10099