E-mail:
Пароль:
Забыли пароль?

Защита данных средствами российской сертифицированной СУБД ЛИНТЕР

Алексей Егоров

Учитывая сложившуюся геополитическую обстановку и стремление к повышению конкурентоспособности вооруженных сил России несложно сделать вывод, что наш ВПК как никогда нуждается в современных отечественных софтверных решениях. И, разумеется, что такие решения обязаны максимально соответствовать жестким требованиям по защите информации, производительности, масштабировании и универсальности. Воронежская компания РЕЛЭКС выпускает уникальный для российского ИТ-рынка отечественный программный продукт СУБД ЛИНТЕР. С 1990 года ЛИНТЕР активно используется в частных и государственных проектах, став основой для сотен софтверных решений.

Специализированная версия СУБД ЛИНТЕР БАСТИОН сертифицирована в 8-м управлении Генерального штаба Вооруженных сил Российской Федерации. Полученный сертификат позволяет использовать СУБД в автоматизированных системах оборонного назначения до класса защищенности 1Б включительно, то есть «совершенно секретно».

В настоящее время различные версии семейства СУБД ЛИНТЕР сертифицированы ФСТЭК России и Министерством обороны РФ, что позволяет реализовывать на базе ЛИНТЕР автоматизированные системы практически любого уровня защищённости.

Также рад сообщить вам об успешном завершении работ специалистами ЗАО «МЦСТ» и Группы компаний «РЕЛЭКС» по интеграции средств мандатной защиты ОС Эльбрус и СУБД ЛИНТЕР.

Интегрированный комплекс защитных средств ОС Эльбрус и СУБД ЛИНТЕР обеспечивает наивысший уровень безопасности хранимой и обрабатываемой информации в сравнении с другими решениями, предлагаемыми как на рынке проприетарного, так и свободно-распространяемого ПО, используя только российские лицензионно-чистые разработки.

Полученное решение имеет широкий спектр применений, как в государственной сфере, так и в бизнесе. Тандем двух отечественных софтверных продуктов полностью соответствует идеям «Национальной программной платформы», культивирующей развитие и распространение российского программного обеспечения.

Следующим направлением сотрудничества Группы компаний «РЕЛЭКС» и ЗАО «МЦСТ» рассматривается разработка совместных решений для критически важных применений высокопроизводительных многопроцессорных комплексов повышенной надежности и защищенности.

В развитие и поддержание идей «Национальной программной платформы» Группа компаний РЕЛЭКС и ОАО НПО «РусБИТех» представили совместное защищённое решение: СУБД ЛИНТЕР БАСТИОН в среде ОС Astra Linux Special Edition на прошедшей в конце октября этого года выставке ИКТ SofTool 2011.

Для исключения несанкционированного доступа к информации в БД СУБД ЛИНТЕР применяет следующие методы:

  • авторизация пользователей;
  • дискреционная защита (привилегии, роли);
  • мандатная защита;
  • контроль доступа с удаленных станций;
  • протоколирование работы пользователя;
  • контроль за хранением информации;
  • удаление остаточной информации;
  • аудит выполняемых операций.

В современном мире стремительно увеличиваются объемы хранимой информации, а вместе с этим и вероятность её нелегального использования. Новейшие достижения электроники позволяют получать секретные данные самыми немыслимыми способами. Ущерб от несанкционированного использования информации может оказаться огромным, а в некоторых случаях и невосполнимым. Для того, чтобы защитить данные частных лиц, в 2006 году был принят Федеральный Закон № 152-ФЗ «О защите персональных данных». В соответствии с ним, построение системы защиты ПДн состоит из 11 пунктов, которые представлены на слайде. СУБД ЛИНТЕР может использоваться при разработке модели угроз для ИСПДн, а так же для разработки и реализации системы защиты ПДн.

Модель защиты данных в СУБД ЛИНТЕР основана на описании отношений между субъектами контроля и объектами доступа. Субъектом контроля является пользователь БД, представленный в ней некоторым идентификатором с определенными характеристиками. Идентификатор используется для авторизации доступа к БД. Отдельно выделяется системный пользователь, или администратор безопасности – пользователь, который является владельцем БД.

Объектами доступа являются объекты БД, это таблицы, представления, синонимы и др.

Отношения между субъектами контроля и объектами доступа основаны на двух принципах:

  1. дискреционный принцип – для каждой пары «субъект-объект» можно задать явное и недвусмысленное перечисление возможных действий субъекта по отношению к объекту. Например, для пользователя А можно задать действия по отношению к таблице В. Например, если действие DELETE не установлено, то пользователь А не сможет удалять данные из таблицы B.
  2. мандатный принцип – контроль доступа осуществляется на основе сравнения меток безопасности объектов и субъектов, например, пользователь с меткой безопасности «Для служебного пользования» не сможет получить доступ к данным с меткой «Секретно», хотя доступ к таблице,в которой могут оказаться данные разного уровня секретности, ему не запрещен.

Дискреционный принцип является стандартным способом разграничения доступа в реляционных СУБД. Наличие средств мандатного разграничения доступа в СУБД ЛИНТЕР является требованием для соответствия 2 классу защищенности АС.

Авторизация пользователей

Пользователи – это субъекты БД. Каждая БД ЛИНТЕР имеет, как минимум, одного пользователя. Информация о пользователях БД хранится в системной таблице полномочий. Доступ пользователя к БД возможен только после прохождения процедуры авторизации доступа, в ходе которой пользователь должен предъявить свое регистрационное имя и пароль.

В СУБД ЛИНТЕР каждому пользователю, при его создании администратором БД, назначается одна из трех возможных категорий:

  1. Connect-категория. Предоставляет пользователю наименьшие права: доступ к БД с возможностью подавать SQL–запросы на манипулирование данными;
  2. Resource-категория. Предоставляет пользователю все права Connect-категории, а также право изменять схему БД (создавать/удалять/изменять структуру объектов БД) и передавать другим пользователям права на свои объекты;
  3. DBA-категория. Предоставляет пользователю уровень администратора БД с максимальными правами, включающими права Resource-категории и право создавать новых пользователей БД.

Привилегии

Каждому пользователю предоставляются определённые права при работе с чужими объектами БД – привилегии. Предоставлять другим пользователям привилегии доступа к своим объектам БД (таблице, хранимой процедуре, триггеру) может только владелец этого объекта. Привилегии устанавливают степень свободы данного пользователя при манипулировании чужими данными, например,

  • SELECT – читать данные;
  • INSERT – добавлять новые данные; и др.

Поскольку роли упрощают управление привилегиями, то привилегии обычно назначаются ролям, а не конкретным пользователям.

Роли

Некоторая совокупность прав дискреционного доступа может быть создана и назначена без привязки к конкретному пользователю. Такая именованная совокупность прав называется ролью. После создания роли и присвоения ей прав она может быть назначена любому количеству пользователей, а каждому пользователю, в свою очередь, может быть назначено любое количество ролей.

Мандатная защита

Мандатный принцип защиты информации основан на понятии метка безопасности или метка доступа. Метка доступа в СУБД ЛИНТЕР состоит из трех составляющих: метка группы пользователя и два уровня доступа.

Уровень доступа представляет собой идентификатор, соответствующий числовому значению в диапазоне от 1 до 10. Два уровня доступа отражают ограничения на действия, связанные с чтением и модификацией данных: уровень доступа на чтение – RAL (Read Access Level) и уровень доступа на запись – WAL (Write Access Level).

Метками доступа снабжается информация всех уровней – от таблицы до столбца и записи, включая значения полей записи, т.е. уровни доступа являются характеристикой этих данных. Поэтому свой собственный уровень доступа может иметь даже отдельное значение конкретного атрибута конкретной строки таблицы. Это позволяет, в частности, защитить какие-то конкретные строки или даже отдельные ячейки таблицы, пометив их как секретные в таблице, которая в целом секретной не является.

Метки доступа являются неотъемлемой частью самих данных и физически хранятся вместе с данными. Все субъекты доступа также снабжаются метками. При проверке доступа субъекта к конкретному объекту СУБД осуществляет дополнительную проверку и отвергает действие субъекта при отсутствии у него соответствующих прав.

Согласно правилам мандатного доступа, пользователь не увидит данных, секретность которых превышает его уровень доступа, и не сможет понизить секретность доступной ему информации ниже назначенного ему уровня доверия, даже если он получит возможность видеть и модифицировать данные по дискреционному принципу.

При установленной мандатной защите уровни доступа субъекта и объекта БД контролируются СУБД ЛИНТЕР при попытке получения любого доступа субъекта к объекту.

В итоге, при подаче к БД одного и того же запроса пользователи, имеющие разные уровни доступа, увидят различные результаты.

Шифрация базы данных

В СУБД ЛИНТЕР предусмотрена защита данных от физической кражи БД, которая целиком шифруется при помощи современных алгоритмов. Таким образом, даже при наличии физического доступа к файлам БД, злоумышленник не получит доступа к секретной ин-формации. Применение оптимизированных алгоритмов шифрации и управления буферным пулом обеспечивают минимальное падение производительности.

Контроль доступа к БД с рабочих станций

Основополагающим понятием в процессе контроля доступа пользователя к БД с удаленного компьютера является понятие сетевой станции. Сетевой станцией для СУБД ЛИНТЕР является любая рабочая станция, имеющая уникальный идентификатор – адрес в сети.

СУБД ЛИНТЕР позволяет администратору безопасности регулировать доступ к БД с сетевых рабочих станций по следующим критериям:

  • по графику (расписанию) работы пользователя; например, пользователю Х доступ к БД разрешен по будням с 8.00 до 12.00 и с 13.00 до 17.00;
  • по количеству одновременно активных логических соединений к БД;
  • по списку разрешенных для доступа к БД станций; например, доступ к БД «Бухгалтерия» может быть запрещен с сетевых рабочих станций, установленных в службе технической поддержки;
  • по уровням доступа;
  • по списку разрешенных для доступа групп; например, доступ к БД «Бухгалтерия» с сетевых рабочих станций, установленных вфинансово-экономическом отделе, разрешен только пользователям группы «Бухгалтеры» и запрещен пользователям группы «Экономисты».

СУБД ЛИНТЕР поддерживает несколько типов сетевых протоколов, что требует различного подхода к интерпретации сетевых адресов. В общем случае сетевой адрес состоит из адреса подсети и адреса станции. СУБД ЛИНТЕР позволяет управлять доступом как на уровне конечной станции, так и на уровне подсети. В последнем случае ограничения, наложенные на всю подсеть, распространяются на все станции, расположенные в данной подсети.

При попытке установить соединение с БД с некоторой сетевой станции СУБД выполняет следующие действия:

  • проводит стандартную идентификацию и аутентификацию пользователя;
  • проверяет наличие у пользователя Connect–категории или выше;
  • получает у операционной системы тип сети и адрес сети – источника запроса на установку соединения;
  • проверяет, ограничен ли доступ для данного пользователя (по расписанию работы);
  • проверяет, существует ли для данного пользователя список разрешенных или запрещенных сетевых станций;
  • если такой список существует, то проверяется совпадение меток доступа для пользователя и разрешенной станции (группа пользователя должна содержаться в маске групп пользователей у станции; уровень RAL пользователя не должен быть выше уровня RAL станции, уровень WAL пользователя не должен быть ниже уровня WAL станции);
  • если мандатный доступ разрешен, проверяется возможность данного пользователя работать с этой станции в текущий момент времени;
  • если запрещенных комбинаций не обнаружено, то доступ разрешается.

Уровни мандатного доступа для сетевой станции представляют собой два числа, аналогичные уровням доступа субъектов и объектов БД.

Доступ физических лиц к консоли сервера СУБД ЛИНТЕР для изменения параметров работы со станциями должен строго ограничиваться административными мерами.

Защита ввода-вывода на внешний носитель

Для размещения файлов таблиц и временных рабочих файлов СУБД ЛИНТЕР использует внешние устройства постоянного хранения информации.

Местоположение конкретного файла БД (файла таблицы или рабочего файла) внутри СУБД однозначно идентифицируется 4-х символьным идентификатором – ЛИНТЕР-именем внешнего устройства. ЛИНТЕР-имя используется при создании новых базовых таблиц или изменении местоположения файлов уже существующих таблиц.

Защита внешних устройств необходима для того, чтобы пользователь, имеющий доступ к конфиденциальным данным, не мог поместить эти данные в ту таблицу, файлы которой находятся на некотором незащищенном устройстве (например, дискете). Администратор безопасности БД может ограничить набор физических каталогов, в которых будут храниться данные, и обеспечить недоступность этих каталогов другим пользователям средствами ОС.

Защита ввода-вывода на внешние устройства возможна только в том случае,если в СУБД инициированы расширенные средства защиты информации.

Протоколирование доступа к БД

Расширенные средства защиты информации предполагают не только управление доступом пользователей к БД, но и фиксацию всех попыток обойти установленные ограничения, регистрацию характера запрашиваемой из БД информации.

Указанные функции выполняет подсистема регистрации событий, то есть аудита, которая позволяет регистрировать следующие события:

  • включение механизмов идентификации/аутентификации;
  • SQL–запросы на доступ к ресурсам БД;
  • создание/удаление объектов БД;
  • действия по изменению правил доступа;
  • попытки доступа к БД и действия администратора СУБД. Доступ физических лиц к консоли сервера СУБД ЛИНТЕР для изменения параметров работы со станциями должен строго ограничиваться административными мерами.

Все подлежащие регистрации действия записываются в системной таблице $$$AUDIT. Кроме регистрации событий, в эту таблицу может помещаться информация о внутренних кодах завершения СУБД, изменении состояния пользовательских событий, установленных в СУБД и т.д.

В подсистеме протоколирования СУБД ЛИНТЕР предусмотрено три типа установок:

  1. глобальные:для всех пользователей и объектов БД;
  2. персональные: для конкретных пользователей или объектов БД;
  3. локальные: для конкретных пользователей и объектов БД, то есть установки между конкретными пользователями и конкретными объектами.

Анализ установок проверяются в порядке их перечисления – глобальные, персональные и локальные. Таким образом, глобальные установки обладают наименьшим приоритетом, локальные – наибольшим. Для протоколирования можно указать множество событий из разных групп:

  • системные события (старт/останов/рестарт ядра СУБД, старт/останов подсистемы аудита, регистрация кодов завершения СУБД ЛИНТЕР);
  • события, связанные с изменением схемы БД (создание/удаление объектов БД);
  • события, связанные с подсистемой доступа (создание/изменение/удаление субъектов, привилегий, групп, уровней и т.д.);
  • события, связанные с таблицами БД (выборка, изменение, добавление, удаление строк и т.д.);
  • события, связанные с пользователями (соединение/отсоединение, открытие/закрытие курсоров, завершение транзакций, отказ в доступе и т.д.).

Удаление остаточной информации

Для исключения несанкционированного доступа к данным рабочая оперативная и внешняя память после удаления данных очищается средствами СУБД с помощью записи маскирующей информации.

Это делается только в том случае, если инициализирована подсистема защиты информации от несанкционированного доступа.

Следует особо отметить, что все вышеперечисленное, а так же документация СУБД ЛИНТЕР было полностью разработано специалистами Группы компаний РЕЛЭКС, при этом не использовались никакие коды открытых и коммерческих СУБД. Существуют различные слухи о том, что СУБД ЛИНТЕР является клоном СУБД Oracle 5 версии. Мы можем со всей ответственностью заявить, что они совершенно безосновательны. Так же СУБД ЛИНТЕР не является клоном ныне существующих или ранее существовавших открытых СУБД. Отдельно следует отметить путаницу между понятиями СУБД ЛИНТЕР и СУБД Линтер-ВС.

СУБД Линтер-ВС и ее отличия от ЛИНТЕР

По заказу Министерства обороны РФ в конце 90-х годов специалистами Группы компаний РЕЛЭКС была разработана система Линтер-ВС 6.0. Прототипом данной системы стала коммерческая версия СУБД ЛИНТЕР 5.7 образца 1999 года, также разработанная в Группе компаний РЕЛЭКС. Несмотря на схожесть названий и одного и того же производителя эти системы изначально заметно отличались друг от друга, более того, история их дальнейшего развития оказалась также различной.

К сожалению, исторически так сложилось, что две разные системы поставляются разными организациями под схожими названиями. Из-за этого возникает путаница – неискушенному пользователю иногда достаточно сложно разобраться в этих названиях. Более того, к настоящему моменту появилась третья – совершенно другая система, не имеющая ничего общего с описанными системами, за исключением названия. Это СУБД Линтер-ВС 6.0.x. Надеемся, что наше описание внесёт некоторую ясность в этот вопрос.

Линтер-ВС 6.0, созданная на основе СУБД ЛИНТЕР 5.7, была поставлена на вооружение, и её поставками в рамках Министерства обороны РФ занимается только московский институт - ВНИИНС.

Сегодня в Министерство обороны помимо Линтер-ВС 6.0 поставляется СУБД Линтер-ВС 6.0.x 2001 года, которая не является новой версией системы, а представляет собой совершенно новую систему, собранную на базе открытых исходных кодов PostgreSQL 7.4.3.

Коммерческая версия СУБД ЛИНТЕР версии 5.7 за прошедшие годы значительно изменилась и сейчас СУБД ЛИНТЕР поставляется на рынок только версий 5.9, 6.0 и 6.1. Функциональные отличия различных версий СУБД ЛИНТЕР Вы можете на нашем сайте.

В сегодняшнем докладе мы рассмотрели основные средства защиты информации СУБД ЛИНТЕР и хотели бы уделить отдельное внимание планам на повышение надежности и безопасности нашей системы. В настоящее время ведутся активные работы над новой архитектурой ядра — параллельной. Данная архитектура позволит значительно повысить скорость работы СУБД ЛИНТЕР даже в самых критичных приложениях. В рамках работ по интеграции СУБД ЛИНТЕР с другими отечественными сертифицированными решениями Группа компаний РЕЛЭКС намерена и дальше развивать сотрудничество с компаниями-участниками проекта «Национальная программная платформа» для предоставления российской оборонной отрасли широкого спектра отечественных защищенных софтверных решений.


Возврат к списку

ѕрокрутить вверх