Концентрация информации в компьютерах - аналогично концентрации наличных денег в банках - заставляет все более усиливать контроль в целях защиты информации. Юридические вопросы, частная тайна, национальная безопасность - все эти соображения требуют усиления внутреннего контроля в коммерческих и правительственных организациях. Работы в этом направлении привели к появлению новой дисциплины: безопасность информации. Специалист в области безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.
Сложность создания системы защиты информации определяется тем, что данные могут быть похищены из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении.
Безопасность в среде баз данных
Очевидные достоинства баз данных в современной среде обработки данных служат гарантией их дальнейшего развития и использования. Контроль доступа в этой области важен ввиду колоссальной концентрации информации.
В настоящий момент "хребтом" базовых систем обработки информации во многих больших организациях является локальная сеть, которая постепенно занимает такое же место и в фирмах меньшего размера. Растущая популярность локальных сетей требует соответствующей защиты информации, но исторически они были спроектированы как раз не для разграничения, а для облегчения доступа и коллективного использования ресурсов. В среде локальных сетей в пределах здания или района (городка) сотрудник, имеющий доступ к физической линии, может просматривать данные, не предназначенные для него. В целях защиты информации в различных комбинациях используются контроль доступа, авторизация и шифрование информации, дополненные резервированием.
Определение потребности в защите информации
Обеспечение безопасности информации - дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.
Если локальная сеть разрабатывались в целях совместного использования лицензионных программных средств, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования/дешифрования информации.
Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в большей степени переносят критическую корпоративную информацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций разворачивают мощные распределенные базы данных и приложения клиент/сервер для управления коммерческими данными. При увеличении распределения возрастает также и риск неавторизованного доступа к данным и их искажения.
Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации.
Финансовые службы компаний (прежде всего в США) представляют важную и большую пользовательскую базу и часто специфические требования предъявляются к алгоритму, используемому в процессе шифрования. Опубликованные алгоритмы, например DES (См. ниже), являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy).
Шифрование
Шифрование данных может осуществляться в режимах On-Line (в темпе поступления информации) и Off-Line (автономном). Остановимся подробнее на первом типе, представляющем больший интерес. Наиболее распространены два алгоритма.
Стандарт шифрования данных DES (Data Encryption Standard) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией Американских Банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадриллионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную.
Алгоритм RSA был изобретен Ривестом, Шамиром и Альдеманом в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов.
DES, технически, является СИММЕТРИЧНЫМ алгоритмом, а RSA - АСИММЕТРИЧНЫМ, то есть он использует разные ключи при шифровании и дешифровании. Пользователи имеют два ключа и могут широко распространять свой открытый ключ. Открытый ключ используется для шифрования сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, а RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования). Если ключи DES можно сгенерировать за микросекунды, то примерное время генерации ключа RSA - десятки секунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES - разработчики аппаратуры.
Решения
Примером архитектуры клиент/сервер, которую хорошо дополняют средства шифрования, могут служить Oracle Server, сетевые продукты (SQL*Net) и программное обеспечение клиента.
Сетевая служба безопасности (SNS - Secure Network Services) предлагает стандартный, оптимизированный алгоритм шифрования DES с ключом длиной 56 бит для организаций, от которых требуется использовать стандарт DES. Для заказчиков вне пределов США или Канады SNS предлагает DES40, в котором комбинируется использование алгоритма шифрования DES с общепринятым ключом длиной 40 бит (экспорт технологий шифрования в США законодательно ограничен). Наряду с DES возможно также использование алгоритма шифрования RSA RC4.
Секретный, генерируемый случайным образом ключ для каждой сессии SQL*Net сохраняет весь сетевой трафик - включая пароли, значения данных, SQL-утверждения и сохраняемые вызовы и результаты.
Для обнаружения модификации или подмены данных во время передачи SNS генерирует криптографически защищенное значение, вычисляемое по содержимому сообщения, и включает его в каждый пакет, передаваемый по сети. При получении пакета в пункте назначения SNS немедленно производит проверку целостности каждого пакета.
Устойчивость к искажению данных обеспечивается следующим образом:
1) криптографически защищенная контрольная сумма в каждом пакете SQL*Net обеспечивает защиту от модификации данных и замены операции;
2) при обнаружении нарушений операции незамедлительно автоматически завершаются;
3) информация о всех нарушениях регистрируется в журнале.
Наряду с этим обеспечивается многопротокольная перекодировка данных, т.е. полностью поддерживается Oracle MultiProtocol Interchange - при работе с зашифрованной сессией можно начинать работу с одним сетевым протоколом, а заканчивать с другим, при этом не требуется дешифрование или перешифрование информации. SNS полностью поддерживается сквозными шлюзами, Oracle Transparent Gateways, и процедурными шлюзами, Oracle Procedural Gateways, которые дают возможность организовывать полностью зашифрованные сессии клиент/сервер к отличным от Oracle источникам данных, включая Adabas, CA-Datacom, DB2, DRDA, FOCUS, IDMS, IMS, ISAM, MUMPS, QSAM, Rdb, RMS, SAP, SQL/DS, SQL/400, SUPRA, Teradata, TOTAL, VSAM и другие.
SNS работает со всеми основными протоколами, поддерживаемыми SQL*Net, включая AppleTalk, Banyan, DECnet, LU6.2, MaxSix, NetBIOS, SPX/IPX, TCP/IP, Х.25 и другие.
Обеспечивается независимость от топологии сети - SNS работает во всех основных сетевых средах, поддерживаемых SQL*Net.
SNS представляет собой дополнительный продукт к стандартному пакету SQL*Net, то есть требуется предварительно приобрести лицензию на SQL*Net. Продукт надо покупать и для клиента, и для сервера.
Вместе тем СУБД Oracle, начиная с версии 7.1, пароль передается по сети в зашифрованном виде.
Это означает, что при организации связи клиент/сервер используется новый протокол установления связи, в котором применяется сеансовый ключ, пригодный только для единственной попытки соединения с базой данных и используемый в качестве ключа для шифрования пароля, прежде чем он будет передан клиентам. Oracle-сервер находит зашифрованный пароль для этого пользователя и использует его в качестве ключа, которым он зашифровывает сеансовый ключ. Затем сервер пересылает этот зашифрованный сеансовый ключ клиенту. Клиент шифрует (применяя тот же самый односторонний алгоритм, который используется сервером) пароль, введенный пользователем, и с его помощью дешифрует зашифрованный сеансовый ключ. Обнаружив этот сеансовый ключ, он использует его - это становится совместным секретом клиента и сервера - для шифрования пароля пользователя. Этот зашифрованный пароль затем передается через сеть серверу. Сервер дешифрует пароль и затем зашифровывает его, используя односторонний алгоритм сервера; результат этих вычислений сверяется со значением, хранимым в словаре данных. Если они совпадают, клиенту предоставляется доступ. Такой подход реализуется как в соединениях типа клиент/сервер, так и сервер/сервер, где сеансы устанавливаются через так называемые полномочные звенья баз данных (т.е. звенья баз данных без вложенных имен пользователей и паролей).
Понятия идентификации и аутентификации в достоверных системах
Известны большие выгоды, которые дает переход к открытым системам. Но среди них не значится безопасность информации. Это и понятно - центр обработки данных передает некоторые из своих функций по контролю за системой отделам и пользователям и тем самым рассеивает объект безопасности.
Сохранить требуемый уровень безопасности системы возможно при использовании операционных систем класса В1 (Trusted), которые позволяют администратору системы присвоить каждому пользователю уровень доступности объектов системы (Secret, Confidential, Unclassified).
Обработка секретной и конфиденциальной информации требует от системы использовать механизм гарантии соответствующей идентификации и аутентификации пользователей. Все возможные подходы к идентификации и аутентификации*) должны быть идентифицированы, рассмотрены и сравнены с Критерием Оценки Достоверности Вычислительных Систем (TCSEC) или с "Оранжевой Книгой" (в Европе - Критерием Оценки Безопасности Информационных Технологий, или "Белой Книгой").
TCSEC делится на четыре класса: 0, С, В и А. Эти классы упорядочены, причем самый высокий класс (А) зарезервирован за системами, имеющими наивысший уровень защиты информации. Внутри классов В и С имеются подклассы, которые тоже упорядочены в соответствии с обеспечиваемым уровнем защиты. Коротко говоря, принадлежность к классу 0 означает, что система не имеет средств защиты информации (неклассифицированная), к классу С - что она имеет некоторые средства избирательной защиты (классифицированная), к классу В - что к упомянутым ранее средствам добавляются гарантии безопасности и они описываются как "полномочные" (секретная информация), ну а если система отнесена к классу А, значит, средства защиты ранее проверены (совершенно секретная информация). Многие популярные операционные системы (например, различные варианты РС UNIX, Sun Solaris 2.3 и т.п.) соответствуют классу С. В1 - первый в классификации уровень, в котором имеет место контроль доступа и переноса данных, основанный на уровнях конфиденциальности. Для непривилегированных пользователей используются данные идентификации и аутентификации для определения уровня авторизации текущего пользователя, которые Достоверная Компьютерная База (ТСВ - Trusted Computer Base) сравнивает со своей базой данных пользователей, содержащей ранги авторизации для каждого пользователя. Если информация, указанная при вхождении в связь, корректна и ее уровень признан соответствующим запросу, ТСВ допускает пользователя в систему. При попытке доступа к файлам ТСВ выступает в роли арбитра, при этом ТСВ основывается на уровне пользователя и метке файла или объекта, к которым пользователь пытается получить доступ. Поскольку уровень конфиденциальности представляется уровнем прозрачности и категорией доступа, а разрешение на доступ к объекту определяется конфиденциальностью и объекта, и субъекта (внешний по отношению к ТСВ), авторизация субъекта становится компонентом требований к авторизации.
Оранжевая Книга фокусирует внимание на законченных вычислительных системах и определяет шесть ключевых требований безопасности информации:
1) система должна иметь четкий сертификат безопасности;
2) каждый объект, ассоциированный с этим сертификатом, должен иметь метку контроля доступа;
3) индивидуальные пользователи должны быть идентифицированы;
4) система должна поддерживать совокупность сведений, накапливающихся со временем и используемых для упрощения проверки средств защиты;
5) система должна быть открыта для независимой оценки безапасности информации;
6) система должна быть постоянно защищена от изменения конфигурации или каких-либо других изменений.
Со времени выпуска Оранжевой книги было опубликовано множество других документов с различными цветами обложек. Эта "радужная серия" охватывает вопросы Интерпретации Достоверных Сетей (Trusted Network Interptetation), Интерпретации Достоверных Баз Данных (Trusted Database Interptetation), руководства по паролям, руководство по избирательному контролю доступа и Перечень Оцененных Средств.
Реализации
Корпорация Oracle разработала реляционную СУБД с обеспечением многоуровневой защиты информации (Multi-Level Security - MLS) - Trusted ORACLE7, обладающую, в том числе, и всеми стандартными возможностями Oracle7.
В прошлом компании, которые желали защитить секретную или конфиденциальную информацию, вынуждены были использовать для этих целей специальное или выделенное оборудование. С появлением таких продуктов, как Trusted ORACLE7, эта необходимость отпала. Trusted ORACLE7 позволяет размещать важную для конкурентов информацию в базе данных, в которой хранится общая информация, без всякого риска, что какой-то пользователь случайно или преднамеренно получит доступ к секретной или конфиденциальной информации.
Trusted ORACLE7 функционирует с использованием двух наборов правил: Избирательное Управление Доступом (DAC - Discretionary Access Control) и Полномочное Управление Доступом (МАС - Mandatory Access Control). Использование DAC ограничивается такими объектами баз данных, как таблицы, виды, последовательности и хранимые процедуры, основанные на идентификации пользователей, и групповые ассоциации. Создатель объектов баз данных - например, таблиц - может предоставлять доступ другому пользователю.
МАС представляет собой шаг вперед по сравнению с DAC и помечает содержание объектов баз данных. МАС ограничивает доступ к объекту путем сравнения так называемой метки объекта с уровнем авторизации пользователя. Помимо меток МАС Trusted ORACLE7 помечает такие элементы объектов, как строки и таблицы. В результате этого свойства даже при условии, что DAC пытается дать пользователю доступ к помеченному объекту, ему будет разрешен доступ, только если его уровень авторизации будет не ниже, чем уровень авторизации информации, к которой пытается получить доступ пользователь.
Обратите внимание, что Trusted ORACLE7 должна функционировать над ОС с многоуровневой защитой информации, чтобы обеспечить уровни защиты информации, заложенные в ней при проектировании. Обмен между системами с многоуровневой защитой (меточной), а также между системой с многоуровневой защитой и обычной системой, не использующей метки, возможен только посредством меточного сетевого протокола. Такие протоколы передают в дополнение к другим атрибутам защиты информации, подобно идентификаторам пользователей или групп, метки пакетов, которые обычно порождаются из меток передающего процесса, Большинство общих меточных протоколов являются вариантами протокола MaxSix, представляющего собой совокупность сетевых протоколов защитвы информации и программных интерфейсов, теоретически спроектированного для поддержки сетей OSI и TCP/IP, хотя в настоящее время имеются только реализации MaxSix. Протоколы MaxSix соответствуют RIPCO, CIPCO и DNSIX. Большинство поставщиков рабочих станций MLS с Режимом Разделения на Секции (CMW - Compartamented Mode Workstation) реализовали протоколы MaxSix в своих защищенных ОС. MaxSix обеспечивает не только службы расставления меток и трансляции, но и допускает единственную заранее определенную метку MLS.
Таким образом, помеченный сервер в действительности действует как сторож; аналогично, БД Trusted ORACLE7 на этом сервере работает как сторож сервера СУБД.
Как и обычные протоколы, SQL*Net поддерживает эти меточные протоколы посредством протокольных адаптеров; например, имеются реализации адаптеров протоколов SQL*Net для TNET фирмы Sun, MaxSix фирмы ВЕС и MaxSix фирмы HP. На станциях, где многоуровневая среда соединяется с неметочной средой, на одной стороне соединения (многоуровневой) работает адаптер SQ1*Net для варианта MaxSix, а на другой - адаптер SQL*Net для протокола TCP/IP (неметочная среда).
Все продукты корпорации Oracle Developer 2000, Designer 2000 и др. могут использоваться с Trusted ORACLE7.
С появлением Oracle RDBMS версии 7.2 разрабочики приложений смогут поставлять код PL/SQL в свернутом (Wrapped) формате. Разработчик, который планирует распространять приложения на PL/SQL, больше не должен отправлять исходный код PL/SQL. Скрытие исходного кода облегчает защиту интеллектуальной собственности и уменьшает возможные злоупотребления или искажения приложений.
Защищенные СУБД других поставщиков
Компания Informix поставляет OnLine/Secure 5.0, который, подобно другим конкурирующим продуктам в данной области, представляет собой реляционную СУБД, обеспечивающую многоуровневую защиту информации в БД и работающую с использованием двух наборов правил ВАС и МАС. Аналогичные механизмы поддерживает Sybase в продукте Secure SQ Server Version 10.0.
***
Ни одна компьютерная система защиты информации не является абсолютно безопасной. Однако адекватные меры защиты значительно затрудняют доступ к системе и снижают эффективность усилий злоумышленника (отношение средних затрат на взлом защиты системы и ожидаемых результатов) так, что проникновение в систему становится нецелесообразным. Ключевым элементом в системе безопасности является администратор системы. Какие бы средства вы ни приобретали, качество защиты будет зависеть от способностей и усилий этого человека.
Литература
1. Information Security Service DATAPRO International, McGraw-Hill, Inc.
2. ORACLE7 Server Concepts Manual. P/N б693-70.
3. Trusted ORACLE7 Server Administrator's Guide P/N 6610-70.
4. Trusted ORACLE7 Technical Overview. P/N А14774.
5. Computer Security and Evaluations Criteria White Paper. P/N А 12974.
6. SQL*Net v.2 Administrator's Guide. P/N б545-20
7. MultiProtocol Interchange Administrator's Guide. P/N 6544-10.
В. И. Беляев
*) Аутентификация - от английского authentiication. В русскоязычных текстах встречается еще один, на наш взгляд более точный вариант прочтения: аутентикация (прим. ред.)