Пасечник П В г Воронеж ЗАО НПП

Пасечник П. В. , г. Воронеж, ЗАО НПП «РЕЛЭКС»

История развития СУБД ЛИНТЕР®

• Самое важное звено любой автоматизированной системы – хранилище данных. Ибо всё другое восстановить относительно просто. • Мощный и гибкий комплекс средств защиты СУБД ЛИНТЕР® от простейших идентификации и аутентификации до разделения пользователей на группы и уровни протоколирования различных событий установки расписаний и т. д.

• Но главная и уникальная особенность этого комплекса в том, что он соответствует отечественному стандарту защиты данных. • СУБД ЛИНТЕР® и её клоны – это единственная универсальная СУБД данного класса прошедшая полную процедуру сертификации на 2 -й класс защиты от несанкционированного доступа.

КСЗ НСД СУБД ЛИНТЕР® состоит из двух частей КОМПЛЕКС средств защиты СУБД ЛИНТЕР® Базовый набор дискреционных правил (идентификация, аутентификация, привилегии и роли. . . ) Расширенный набор (мандатная защита, расписание, станции, аудит. . . )

DBA RESOURCE CONNECT Как и в других системах в ЛИНТЕР® присутствуют три главные категории пользователей – простые пользователи; – пользователи с возможностью изменения структуры базы данных – администраторы Суть элементы базового подхода к защите данных.

• Расширенный набор возможностей ЛИНТЕР® основывается на технологии меток данных. • Только при помощи специальных меток можно разделить информацию в базе данных на – уровни (секретности/важности); – группы.

• Все пользователи делятся на уровни и группы в соответствии с уровнем доверия к ним, а так же в соответствии с принадлежностью их к той или иной группе субъектов. • Такой принцип защиты информации называется мандатным принципом разграничения доступа. Совершенно секретно … … Общедоступная информация ГРУППЫ Информация отдела № 28 Только для служебного пользования … Информация отдела № 21 Информация отдела № 7 УРОВНИ Секретно

Строка (снабжена меткой) Мандатный принцип состоит в сопоставлении меток доступа субъектов и объектов БД – вплоть до отдельных полей записи Столбец (снабжен меткой) Поле (снабжено меткой)

Секретность, видимость и интегрированные показатели • Все пользователи и всё информационное пространство логически разбиваются на «клетки» . • Каждую такую информационную единицу защиты, каждую такую «клетку» , система предоставляет только для пользователя, который имеет ту же группу и уровень не ниже уровня «клетки» . • Структура базы должна быть спроектирована таким образом, чтобы позволять различным пользователям видеть только ту информацию, которая им предназначена. • Это «предназначение» может иметь различные назначения (функции), например, – – необходимость (доступно только то, без чего не обойтись); – целесообразность; – дезинформация и т. п.

• • • Предметом защиты становится не только непосредственно сама информация, но так же защищаются и другие интегрированные показатели. Все агрегаты (сумма, среднее, минимум, максимум и т. п. ) ЛИНТЕР® так же подсчитывает в соответствии с метками секретности. Поэтому приложение получит непротиворечивые данные строго в соответствии со статусом (меткой) того, кто этим приложением пользуется. 12000. 00 Пользователь A Пользователь B 2345. 00 SELECT AVG(”Зарплата”) FROM ”Завод ОГОНЕК” WHERE ”Должность” =‘Инженер‘

Секретность и специальная информация Специальная информация защищается единой меткой Изображения Документы Схемы

Защищается как единое значение Изображение Документ ГЕО-объект Схема Любые новые возможности, внедряемые в СУБД ЛИНТЕР®, не будут снижать защиту информации от несанкционированного доступа.

Секретность и версионность данных Метка#1 Фамилия Метка#2 Имя Метка#3 Отчество Меняем метку Метка#2 Получаем новую версию данных Метка#1 Фамилия Метка#2 а Имя Метка#3 Отчество

Секретность и индексация данных § Выбор максимального ограничения используется для создания меток ключей индексов § Каждое поле составного ключа снабжено меткой секретности § Все слова одного документа (фразовый индекс) получают одну и ту же метку § Аналогично и все данные, которые представляют данные в индексе получат одну и ту же метку (например, контур гео-данных - полигон)

Протоколирование – как один из способов обнаружения попыток взлома • дополнительным аппаратом, усложняющих попытки взлома, служит AUDIT‑подсистема СУБД ЛИНТЕР®. Входы в систему Запрос к конкретной таблице Время запроса Адрес станции AUDIT-подсистема ЛИНТЕР (система протоколирования) Изменение схемы БД Попытки понижения секретности Изменение подсистемы доступа Новый пользователь

Организация рабочих станций Характеристики станции включают: § общее число неуспешных попыток обращения со станции; § текущее число неуспешных попыток обращения со станции; § флаги доступа (доступ запрещен, требуется проверка группы); § уровни доступа с устройства для мандатного доступа; § маска групп разрешенных для доступа; § маска временного доступа(с точностью до получаса на неделю); § время последнего неудачного доступа; § время последнего успешного доступа; § дата+время, с которого возможен доступ с данной станции; § дата+время, до которого возможен доступ с данной станции; § маска разрешенных для доступа дней недели.

Шифрация базы данных • В СУБД ЛИНТЕР® предусмотрена защита данных от физической кражи БД • База данных целиком шифруется при помощи современных криптографических алгоритмов • Применение оптимизированных алгоритмов шифрации и управления буферным кешем обеспечивают минимальное падение производительности • В текущей версии поддерживаются алгоритмы ГОСТ, AES, DES. • Возможна поддержка любых специфических алгоритмов

Проблемы роста объёма базы данных Описанный комплекс мер делает СУБД ЛИНТЕР® уникальной системой среди её собратьев аналогичного класса. • • Этот комплекс мер в большей или меньшей мере усложняет систему. Сама база данных, индексы, журнальные файлы и т. п. станут большими, возможно гораздо большими. Такая база потребует большего объёма ввода-вывода при обработке запросов. Некоторые способы оптимизации вообще не будут использоваться в хорошо защищённой системе. – • • Например, если в обычной системе предикат «НЕ РАВНО» можно зачастую обрабатывать через предикат «РАВНО» с последующим отрицанием, то в защищённой системе это невозможно, т. к. среди тех, что не совпадают с равными, могут быть недоступные данному пользователю. Таким образом, такая «горе оптимизация» превращается дополнительную работу и, поэтому отвергается всегда (в системе с мандатным доступом). Чрезмерное увлечение защитой может привести к ряду неоптимальностей в работе как СУБД, так и приложений. Можно настолько загрузить подсистему протоколирования (AUDIT), что она будет протоколировать практически каждое движение прикладных программ. Составление расписания рабочих станций так же может превратится в «одно сплошное неудобство» , если мы попытаемся обязательно использовать все возможности предоставляемые СУБД ЛИНТЕР. Очевидно, что нужно достаточно разумно относится к возможностям КСЗ СУБД ЛИНТЕР®. Предусматриваются многие возможности, но в каждом конкретном случае нужны обычно только некоторые из них.

Обеспечение режима высокой готовности Механизм поддержки резервных серверов Подсистема горячего резервирования (“hot standby server”) - позволяет использовать СУБД ЛИНТЕР® для построения программных комплексов с жёсткими требованиями по отказоустойчивости, перебои в работе которых недопустимы. • Механизм поддержки резервных серверов СУБД ЛИНТЕР® позволяет снизить время простоя АС в случае: – отказа оборудования (аппаратный сбой, нехватка ресурсов и т. п. ); – программного сбоя ОС; – проведение плановых работ (ремонт, замена устройств и т. п. ) – других нештатных ситуаций…

ПОЧЕМУ ЛИНТЕР? § Отечественная система. § Уникальная (по защите данных) СУБД. § Сертифицированная. § Совместимая (поддерживает отечественные и мировые стандарты). § Надёжная.

ПОЧЕМУ ЛИНТЕР? § Много-платформенная (более 15 программноаппаратных платформ). § Масштабируемая. § Развивающаяся. § Разнообразные средства разработки. § Средства поддержки real-time (ОС РВ Багет, QNX, Vx. Works, OS-9, OS/9000 …)

ПОЧЕМУ ЛИНТЕР? § Стабильный коллектив обслуживания и развития с 25 -ти летним стажем. § 15 -ти летняя история использования в России и за её пределами. § Программа обучения (в том числе удалённого).