Безопасность и администрирование БД

ЗАКЛЮЧЕНИЕ
Проведенное исследование, посвященное вопросам администрирования и обеспечения безопасности БД позволило решить все поставленные задачи. Для этого:
1. Был проведен анализ структуры современных СУБД, концепции построения, приведена классификация БД по основным признакам.
2. Проанализированы задачи, стоящие перед администраторами баз данных, выявлены узкие места, влияющие на эксплуатационные характеристики систем управления базами данных, проведено исследование средств мониторинга и аудита.
3. Рассмотрены механизмы обеспечения безопасности баз данных, модели управления доступом по отношению к базам данных, показаны достоинства выбора именно ролевой модели.
4. На практическом примере показан механизм обеспечения процессов администрирования и обеспечения безопасности в БД.
В услови ...

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 4
1. БАЗЫ ДАННЫХ И ИХ СВОЙСТВА. КОМПОНЕНТЫ СИСТЕМ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ 7
1.1. Концепция баз данных 7
1.2. Преимущества и требования к базам данных 7
1.3. Основные функции СУБД 8
1.4. Трехуровневая архитектура СУБД 8
1.5. Классификация баз данных 11
1.6. Свойства баз данных 12
1.7. Компоненты СУБД 13
1.8. Архитектура серверов баз данных 15
2. АДМИНИСТРИРОВАНИЕ БАЗ ДАННЫХ 17
2.1. Управление данными 17
2.2. Администраторы баз данных 17
2.3. Инструменты и параметры администрирования 19
2.3.1. Установка СУБД 19
2.3.2. Параметры запуска ядра СУБД 20
2.3.3. Параметры операций ввода – вывода 22
2.3.4. Основные параметры буферного пула 22
2.4. Средства мониторинга и сбора статистики 24
2.5. Способы реорганизации БД 26
2.6. Восстановление БД 27
2.7. Борьба с проблемами, возникающими при параллелизме 29
3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БАЗ ДАННЫХ 30
3.2. Принципы построения защиты БД 32
3.3. Ограничение доступа 33
3.4. Идентификация и аутентификация 34
3.5. Модели управления доступом 37
3.6. Языковые средства разграничения доступом 38
3.7. Протоколирование и аудит событий безопасности 40
3.8. Решение задачи администрирования и безопасности на примере СУБД MS SQL Server 41
ЗАКЛЮЧЕНИЕ 52
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 54

ВВЕДЕНИЕ
Современная жизнь немыслима без информационных технологий [16]. В информационном обществе любая профессиональная деятельность, так или иначе, связана с организацией сбора, хранения и обработки информации [6, 5]. Базы данных (БД) стали неотъемлемой частью повседневной жизни. Для эффективной работы с информацией такого огромного объема нужна высокая степень упорядоченности [7, 5]. Поддержка баз данных осуществляется при помощи организационного механизма, который носит название система управления базой данных (СУБД).
Согласно Федеральному закону РФ от 27.06.2006 № 249-ФЗ «Об информации, информационных технологиях и о защите информации» (по состоянию на 31.12.2014) под информационной системой понимается «совокупность содержащейся в базах данных информации и обеспечивающих ее обра ботку информационных технологий и технических средств» [5]. Соответственно, база данных является интегрированной компьютерной структурой совместного доступа, в которой хранятся специальным образом организованных данных, отображающих состояние объектов и их взаимосвязей в данной предметной области [19].
Актуальность выбранной темы заключается в повсеместном распространении информационных технологий, а, следовательно, в необходимости управлении (администрировании) баз данных и защиты их содержимого от несанкционированного доступа.
Создаваемые базы данных должны быть доступны не только для внутренних процессов, но в некоторых случаях и для пользователей, расположенных на значительном удалении. Поскольку количество и разнообразие людей, которые должны иметь доступ растет, становится очевидным, что традиционные процессы и системы управления безопасностью баз данных становятся уязвимыми.
Постоянно совершенствуется и законодательство Российской Федерации в области информационной безопасности. Вопросы безопасности и защиты информации регламентируются следующими нормативно – правовыми актами: Конституцией Российской Федерации (ст.ст. 23, 24, 41) [1], Гражданским кодексом РФ (ст.ст.139, 272-274) [2], Уголовным кодексом РФ (ст.ст. 138б 183) [3], Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» [4] и пр.
При написании работы использовались труды отечественных и зарубежных авторов, в которых освещаются вопросы построения, управления, администрирования и обеспечения безопасности баз данных: Дейта К.Дж., Бен-гана И., Кириллова В.В., Громова. Ю., Виейры Р., Хомоненко А.Д., Харченко В.С., Мацяшека Л.А., Феррайло Д., Куна Р., Садху Р., Койена Е., Юмана С., Коллегова Д., Семеновой Н.
Актуальность темы обусловлена тем, при исследовании предметной области затрагиваются отдельные аспекты управления базами данных и обеспечения безопасности без учета их влияния друг на друга. Недостаточно полно исследована область выбора оптимальной модели управления доступом по отношению к базам данных.
Предметом исследования данной работы являются механизмы администрирования и обеспечения безопасности баз данных. Объектом исследования являются информационные процессы, связанные с управлением и обеспечением безопасности.
Основной целью исследования является попытка показать неразрывность процессов администрирования и обеспечения безопасности БД, анализ существующих средств администрирования и управления доступом, выбор оптимальной модели управления доступом, существующей в настоящее время.
Поставленная в работе цель обусловила решение следующих задач:
• Провести анализ основных концепций построения СУБД, их структуру и состав, классификацию;
• проанализировать проблемы, влияющие на эксплуатационные характеристики БД, а также и средств их мониторинга и администрирования;
• провести анализ средств обеспечения безопасности БД;
• рассмотреть основные модели управления доступом и выбрать наиболее оптимальную;
• показать на практическом примере механизмы обеспечения процессов администрирования и безопасности БД.

Максимальное число заблокированных записей. Данный параметр определяет количество единовременно заблокированных записей. Ядро СУБД блокирует к ним доступ других пользователей до тех пор, пока они не будут освобождены (unlock) тем пользователем, захватившим их первым или ядром СУБД. Время блокировки (deadlock). Данный параметр ограничивает по времени длительность блокирования записей для проведения операции изменения. По истечении времени блокировки требуемая запись освобождается ядром и становится доступной для изменения. Процесс блокировки тесно связан с процессом обеспечения целостности при помощи механизма транзакций [7, 660]. Максимальное время неактивности соединения. При отсутствии обращения в течение заданного времени к ядру СУБД, соединение разрывается. Данный параметр используется для предотвращения ситуации, когда неработающее приложение занимает ресурсы СУБД.Максимальное число подключенных станций. Определяет максимальное число пользователей, одновременно работающих с базой данных.Параметры операций ввода – выводаДанная группа параметров влияет на производительность всей системы. Они тесно связаны с физическим проектированием БД.Параметры, определяющие пути к местам хранения индексных файлов. Файлы индексов должны размещаться на самых быстрых устройствах.Параметры, определяющие кластеризацию. Данные, которые часто выбираются вместе, храниться должны также вместе. Поэтому администратор должен задать соответствующие параметры расположения совместно используемой информации.Коэффициенты свободного пространства (FILL FACTOR) для данных и индексов определяют процент свободного пространства в блоках данных и блоках индексов. Они используются для размещения новых записей и минимизации областей переполнения, влияют на производительность операций ввода. Параметры сортировки. С целью улучшения производительности на операциях ввода и модификации рекомендуется ограничивать область, которая отводится под сортировку данных.Основные параметры буферного пулаБуферный пул — область оперативной памяти сервера базы данных, в которую помещаются страницы выбираемых данных и данные для записи в БД для временного хранения. Способ размещения данных в буферном пуле влияет на производительность БД. Рассмотрим параметры буферного пула [14, 49].Количество буферов. Так как скорость обработки данных в оперативной памяти выше, чем на диске, большинство данных, необходимых прикладной программе, СУБД помещает в буферный пул. Администратор БД определяет максимальное количество буферов. Часть из них используется под операции записи в БД, поэтому администратор должен задать процент буферного пространства, предназначенного для операций чтения и записи. Соотношение необходимой памяти для операций чтения и операций записи обычно составляет 80/20.Параметр очистки буферного пула. Перед записью в журнал транзакций данные хранятся в буферном пуле. По мере заполнения буфера данные переписываются на диск. Частота перезаписи буфера на диск определяется ядром СУБД. Необходимо проводит синхронизацию окончания транзакции и очистку буферного пула. Администратор БД должен предусмотреть, чтобы записи из буферного пула переносились в область данных и журнал транзакций СУБД либо в определенное время, либо по специальным командам.Упреждающая выборка. Как правило, в составе СУБД имеются средства, позволяющие держать в буферном пуле наиболее часто используемые данные. Частоту выбора отслеживает ядро СУБД. Администратор БД может повлиять на эту статистику при помощи задания определенных параметров ядра. Помимо этого, прикладные программы посылают ядру СУБД асинхронные требования предварительного чтения записей. Данные требования попадают в общую очередь упреждающей (предварительной) выборки. По мере появления доступных ресурсов ядро переносит запрошенные страницы с диска в буферный пул путем чтения данных крупными блоками или выборочного чтения с различных дисков. Такое распределение позволяет одновременно считывать данные с нескольких дисков, и администратор БД должен это учитывать, помещая данные на различные жесткие диски.Средства мониторинга и сбора статистикиМониторинг СУБД и баз данных проводится с целью поддержания работоспособности и производительности СУБД, а также для отслеживания аварийных ситуаций и сбора статистики. Мониторинг реализуется при помощи отдельных утилит СУБД, представляющих собой программные продукты, входящие в состав СУБД.С целью мониторинга ядро СУБД собирает информацию как от приложений, работающих с базой данных, так и от системных средств самой СУБД. Данная информация может использоваться администратором баз данных дляопределения необходимого объема аппаратных ресурсов (на основе информации об их использовании);анализа производительности отдельных приложений или SQL-запросов;отслеживания интенсивности использования таблиц;оценки эффективности используемых методов доступа;настройки параметров ядра СУБД в целях повышения производительности;оценки последствий вносимых оптимизационных изменений.Утилита мониторинга может запускаться в момент запуска ядра СУБД и работать постоянно в течение сеанса работы ядра, а может запускаться в определенные моменты времени вручную для контроля текущей ситуации или выявления каких-либо событий. Если текущее значение индикатора является меньше, чем соответствующее ему пороговое значение, генерируется предупреждающее сообщение. Монитор снимков позволяет фиксировать состояние БД в определенный момент времени. Монитор событий осуществляет сбор информации в момент, когда происходит определенное событие в БД. Информация, получаемая системным монитором, может храниться в файлах или в БД, отображаться на экране или обрабатываться клиентским приложением.Администратор системы должен следить за тем, чтобы приложения, работающие с БД, имели средства сбора или предоставления статистики. Каждое приложение должно учитывать общее время работы, системное время, процессорное время (total time, system time, process time).Цель сбора статистики — обеспечение максимальной производительности путем настройки соответствующих параметров, выяснение активности пользователей и затрат по каждому из запросов и операций.Сбор статистики может начинаться вместе с запуском ядра СУБД или с началом сессии данного приложения. Мониторинг позволяет собирать:статистику открытий;количество операций ввода-вывода и время;статистику закрытий БД;количество установленных соединений в течение работы сеанса ядра СУБД;количество взаимоблокировок записей БД;количество обрабатываемых транзакций в единицу времени;статистику по кодам возврата от операций с БД.Особо отметим, что администратор БД должен требовать от прикладных программистов обработки кода возврата от любой операции с БД. При некоторых, определенных для каждой СУБД, кодах возврата возникают фатальные события, требующие немедленного реагирования администратора БД.Часто также полезно иметь статистику по следующим показателям:стоимость процессора (сколько команд процессора, тратится на запрос);стоимость ввода-вывода (сколько команд ввода-вывода тратится на запрос);число предикатов, используемых в запросе;избирательность, т. е. вероятность того, что каждая найденная строка удовлетворяет предикату; обычно избирательность должна составлять около 10%);число занятых при запросе страниц в буферном пуле СУБД.Способы реорганизации БДРеорганизация БД — это изменение логической, концептуальной или физической схемы базы данных.Реорганизация используется приизменении связей между объектами;добавлении новых типов данных;изменении законодательных актов, требующих, например, расщепления записей для хранения в защищенной области;создании новой БД на основе уже имеющихся БД, например при слиянии компаний;при необходимости переноса данных на другие физические носители или системы ввода-вывода в случае нехватки места;реиндексировании данных, вследствие нарушения физической или логической целостности данных, либо в результате изменения эксплуатационных характеристик.В каждом случае применяется определенная стратегия. Реорганизация на месте. Все запросы пользователей блокируются на время проведения реорганизации. После ее завершения пользователям вновь разрешается доступ к БД. При данной стратегии велика вероятность потерь данных. Реорганизация путем выгрузки и загрузки. Работа пользователей останавливается, ядро СУБД работает в автономном режиме. Данные выгружаются, реорганизуются и вновь загружаются. Данная стратегия безопасна с точки зрения угроз потерь данных. Недостаток — требуется много ресурсов и времени для реализации.Реорганизация приращениями. Данная стратегия не предусматривает остановки работы пользователей, а выполняется по мере выборки элемента данных. При этом реорганизация протекает приращениями, в момент, когда пользователь ссылается на какую-нибудь единицу данных в БД. Подобная реорганизация обычно производится ядром СУБД в процессе работы.Реорганизация, параллельная с эксплуатацией. В данной стратегии не требуется запуск ядра СУБД в автономном режиме. Пользователь сохраняет доступ к реорганизованной части БД, в то время как один или более внутренних процессов осуществляют модификацию БД либо на месте, либо путем загрузки и перезагрузки. Подобный тип реорганизации требует осторожности со стороны администратора БД, который должен оценить необходимость реорганизации, наилучший момент ее проведения и определить стратегию. Администратор БД непосредственно осуществляет реорганизацию с помощью средств СУБД или специально разработанного программного обеспечения. Учитывая высокую стоимость реорганизации (с точки зрения возможного простоя и требуемых ресурсов), задача администратора базы данных заключается в проектировании такой структуры БД, чтобы необходимость реорганизации была минимальной.Восстановление БДВосстановление БД — это процесс возвращения БД в состояние, потерянное в результате сбоя или отказа. Существует множество различных сбоев и отказов, способных повлиять на функционирование БД. Каждый из них может привести к потерям данных или их целостности. Соответственно для каждого из них требуются определенные виды восстановления данных.Общие принципы восстановления данных:результаты зафиксированных транзакций сохраняются в восстановленном состоянии базы данных; результаты незафиксированных транзакций отсутствуют в восстановленном состоянии базы данных. Таким образом, восстанавливается последнее по времени согласованное состояние базы данных. В процессе восстановления СУБД автоматически пытается восстановить потерянные данные и целостность БД. Для этого в журнале транзакций ищется последняя с конца файла отметка о перезаписи файла на диск и выполняется докат базы данных (начиная с этой отметки и до конца файла). Далее, для устранения изменений, сделанных неполной транзакцией, происходит откат данных (читаются с конца и до начала сегмента отката записи «до обновления» и записываются в БД)Любая СУБД предоставляет средства (утилиты), позволяющие копировать на внешние носители (жесткие диски или магнитные ленты) БД и журналы транзакций. Перед резервным копированием администратор БД должен проивзести тестирование БД на целостность. Если тестирование имеет отрицательный результат, копирование проводить нельзя, так как получится не резервная копия, а копия разрушенной информации. В этом случае администратору базы данных следует не проводить резервное копирование, а восстанавливать из доступных копий данные на последний возможный период времени.Аварийное восстановление происходит Во-первых, если что-то произошло со средой хранения данных (media failor), администратор БД восстанавливает данные по последней копии на другом носителе (жестком диске), которую он дополняет данными из журнала транзакций.Во-вторых, если произошел сбой по питанию, либо прерывание работы ядра СУБД или ядра операционной системы. В этом случае ядро СУБД производит автооткат транзакций и само обеспечивает восстановление. Необходимо понимать, что в этом случае может быть разрушена целостность БД, и администратору базы данных придется восстанавливать ее с помощью последних копий и журналов транзакций.Восстановление предыдущей версии данных, например, откат на версию месячной давности согласно резервной копии, проводится из-за обнаруженных ошибок данных.Восстановление с повторением транзакций. Проводится откат на старую версию согласно резервной копии и повтор транзакции согласно журналу транзакций. Администратор БД может осуществлять это при обнаружении потери целостности данных утилитами тестирования целостности.Борьба с проблемами, возникающими при параллелизмеУправление параллельным доступом представляет собой комплекс мероприятий по обеспечению целостности и непрерывности в системах коллективного пользования. Параллельным доступом называют ситуацию, когда несколько пользователей требуют доступа к одним и тем же ресурсам. При параллелизме обработка транзакций выполняется одновременно. Проблемы, возникающие при параллелизме:изменения данных может быть осуществлено без учета модификаций, сделанных другим процессом;изменения данных могут быть отменены одним процессом, в то время как измененными данными воспользовался другой процесс;одно действие может частично воздействовать на результат другого;если процессы попытаются выполнить конфликтующие друг с другом действия, может возникнуть тупиковая ситуация.Для управления параллелизмом применяется механизм одновременного доступа к объекту не более чем одной транзакции в один и тот же момент времени.Блокировки задерживают определенные операции с БД, пока другие операции или транзакции не завершены. Размер блокируемого элемента может изменяться и влияет на производительность системы. В то же время введение блокировок ведет к возникновению тупиков и бесконечных ожиданий. Для борьбы с ними используют:блокировку всех элементов данных;использование планировщика транзакций;использование контрольных точек.Контрольная точка фиксирует состояние системы в определенный период времени. В случае обнаружения ошибок откат программы происходит к ближайшей контрольной точке. Но это требует дополнительного расхода памяти и времени.Можно также не предпринимать никаких действий, осуществляя постоянный контроль состояния процесса, и, в случае обнаружения блокировок, предпринимать конкретные меры по выходу из этого состояния.В главе исследован процесс управления БД, который и называется администрированием. Администратор БД должен хорошо знать внутреннюю архитектуру используемой СУБД с целью достижения оптимальной производительности с учетом решаемых задач.ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БАЗ ДАННЫХПричины нарушения работы БД подразделяют на:случайные (неумышленные): сбои в работе оборудования, ошибки программных средств, ошибки ввода/вывода, действия физических полей, стихийные бедствия, халатность персоналанеслучайные (умышленные): корыстные и некорыстные.Согласно отчету ORX Global Database 75% потерь обусловлено влиянием человеческого фактора [23].Нарушение системы безопасности приводит к возникновению «дыр», вследствие чего:невозможно своевременно предоставлять пользователям требуемый доступ к ресурсам;невозможно создавать учетные записи пользователей с необходимыми полномочиями;невозможно вовремя блокировать доступ к освобождаемым ресурсам.Под защитой данных понимается комплекс мероприятий, предназначенных для обеспечения целостности, непротиворечивости, секретности и безопасности данных.Целостность - это свойство данных, заключающееся в нахождении значений данных в установленных диапазонах.Непротиворечивость - это свойство данных, заключающееся в отсутствии копии данных находящихся на разных стадиях обновления.Безопасность - это свойство данных, заключающееся в невозможности их физического уничтожения.Секретность - это свойство данных, заключающееся в невозможности несанкционированного доступа.На рисунке 7 показаны возможные каналы утечки информации и нарушения безопасности БД.Рисунок 7 – Каналы нарушения безопасности БД1 – подключение к каналам связи2 – сбор электромагнитного излучения3 – ошибки коммутации4 – перекрестные помехи5 – отключение системы защиты6 – сбор «мусора»7 – подглядывание, подслушивание8 – внесение ошибок в программные средства защиты и обработки данных.3.2. Принципы построения защиты БДОсновными принципами построения защиты БД являются:Простота. Открытость механизма защиты. Разделение полномочий. Минимальность полномочий. Максимальная обособленность механизма защиты. Психологическая привлекательность. В контексте баз данных термин безопасность означает защиту данных от несанкционированного раскрытия, изменения или уничтожения. SQL позволяет индивидуально защищать как целые таблицы, так и отдельные их поля. Для этого имеются две более или менее независимые возможности:механизм представлений, используемый для скрытия засекреченных данных от пользователей, не обладающих правом доступа;подсистема санкционирования доступа, позволяющая предоставить указанным пользователям определенные привилегии на доступ к данным и дать им возможность избирательно и динамически передавать часть выделенных привилегий другим пользователям, отменяя впоследствии эти привилегии, если потребуется.Обычно при установке СУБД в нее вводится какой-либо идентификатор, который рассматривается как идентификатор наиболее привилегированного пользователя - системного администратора. Каждый, кто может войти в систему с этим идентификатором (и может выдержать тесты на достоверность), будет считаться системным администратором до выхода из системы. Системный администратор может создавать базы данных и имеет все привилегии на их использование. Эти привилегии или их часть могут предоставляться другим пользователям (пользователям с другими идентификаторами). В свою очередь, пользователи, получившие привилегии от системного администратора, могут передать их (или их часть) другим пользователям, которые могут их передать следующим и т.д.3.3. Ограничение доступаОграничение доступа может осуществляться на уровне пользователей. Система имен пользователей, паролей и регистрация в системе обеспечивает права пользователя на доступ к системе. Каждый пользователь системы должен быть детерминирован. При входе выделяют две процедуры: Процедура идентификации - проверка имени пользователя.Процедура верификации - проверка пароля, т.е. правильности ввода имени. Возможно применение идентификации по отпечаткам пальцев, радужке глаза, видео, аудио - распознавание и т.д.Каждый пользователь наделяется правом на обработку только тех данных, к которым он имеет доступ. Данные подразделяются на определенные категории в соответствии с алгоритмами обработки этих данных. Ограничения, как правило, устанавливаются на следующие виды действий: администрирование (как правило, изменение структуры); чтение (просмотр); запись; модификация (изменение);удаление;добавление; передача прав.на уровне данных. Данные подразделяются на следующие категории:системные (прозрачные или невидимые) - никто не должен иметь к ним доступ;пользовательские.3.4. Идентификация и аутентификацияТехнология идентификации и аутентификации является обязательным элементом защиты. Она представляет первый (исходный) программно-технический рубеж защиты информации в компьютерных системах.Под идентификацией понимается различение субъектов, объектов, процессов по их образам, выражаемым именами.Под аутентификацией понимается проверка и подтверждение подлинности образа идентифицированного субъекта, объекта, процесса.При регистрации в системе объекта идентификации/аутентификации монитором безопасности формируется его образ, информация по которому подвергается необратимому без знания алгоритма и шифра-ключа, т.е. криптографическому, преобразованию и сохраняется в виде ресурса, доступного в системе исключительно монитору безопасности. Информационный массив внутренних образов объектов идентификации/аутентификации является критическим ресурсом системы, несанкционированный доступ к которому дискредитирует всю систему безопасности.