Поняття ідентифікації й аутентифікації

У достовірних системах

Відомі більші вигоди, які дає перехід до відкритих систем. Але серед них не значиться безпека інформації. Це й зрозуміло - центр обробки даних передає деякі зі своїх функцій по контролі за системою відділам і користувачам і тим самим розсіює об'єкт безпеки.

Зберегти необхідний рівень безпеки системи можливо при використанні операційних систем класу В1 (Trusted), які дозволяють адміністраторові системи привласнити кожному користувачеві рівень доступності об'єктів системи (Secret, Confidential, Unclassified).

Обробка секретної й конфіденційної інформації жадає від системи використати механізм гарантії відповідної ідентифікації й аутентифікації користувачів. Всі можливі підходи до ідентифікації й аутентифікації повинні бути ідентифіковані, розглянуті й зрівняні із Критерієм Оцінки Вірогідності Обчислювальних Систем (TCSEC), або з «Жовтогарячою Книгою» (у Європі - Критерієм Оцінки Безпеки Інформаційних Технологій, або «Білою Книгою»).

TCSEC ділиться на чотири класи: D, З, У и А. Ці класи впорядковані, причому найвищий клас (А) зарезервований за системами, що мають найвищий рівень захисту інформації. Усередині класів У и С є підкласи, які теж упорядковані відповідно до забезпечуваного рівня захисту. Коротко говорячи, приналежність до класу D означає, що система не має засобів захисту інформації (некласифікована), до класу З - що вона має деякі засоби виборчого захисту (класифікована), до класу В - що до згаданого раніше засобам додаються гарантії безпеки й вони описуються як «повноважні» (секретна інформація), ну а якщо система віднесена до класу А, виходить, засобу захисту раніше перевірена (зовсім секретна інформація). Багато популярних операційних систем (наприклад, різні варіанти PС UNIX, Sun Solaris 2.3 і т.п.) відповідають класу С.

В1 - перший у класифікації рівень, у якому має місце контроль доступу й перенесення даних, заснований на рівнях конфіденційності. Для непривілейованих користувачів використаються дані ідентифікації й аутентифікації для визначення рівня авторизації поточного користувача, які Достовірна Комп'ютерна База (ТСВ - Trusted Computer Base) порівнює зі своєю базою даних користувачів, що містить ранги авторизації для кожного користувача. Якщо інформація, зазначена при входженні у зв'язок, коректний й її рівень визнаний відповідному запиту, ТСВ допускає користувача в систему. При спробі доступу до файлів ТСВ виступає в ролі арбітра, при цьому ТСВ ґрунтується на рівні користувача й мітці файлу або об'єкта, до яких користувач намагається одержати доступ. Оскільки рівень конфіденційності представляється рівнем прозорості й категорією доступу, а дозвіл на доступ до об'єкта визначається конфіденційністю й об'єкта, і суб'єкта (зовнішній п ( відношенню до ТСВ), авторизація суб'єкта стає компонентом вимог до авторизації.

Жовтогаряча Книга фокусує увагу на закінченні обчислювальних системах і визначає шість ключових вимог безпеки інформації:

1) система повинна мати чіткий сертифікат безпеки

2) кожен об'єкт, асоційований із цим сертифікаті! повинен мати мітку контролю доступу;

3) індивідуальні користувачі повинні бути ідентифіковані;

4) система повинна підтримувати сукупність відомостей, що накопичуються із часом і використовуваних для спрощений перевірки засобів захисту;

5) система повинна бути відкрита для незалежної оцінки безпеки інформації;

6) система повинна бути постійно захищена від змін конфігурації або яких-небудь інших змін.

Із часу випуску Жовтогарячої книги була опублікована безліч інших документів з різними квітами обкладинок. Ця «райдужна серія» охоплює питання Інтерпретації Достовірних Мереж (Trusted Network Interpretation), Інтерпретації Достовірних Баз Даних (Trusted DataBase Interpretation), посібника з паролів, посібник з виборчого контролю доступу й Перелік Оцінених Засобів.

Деякі реалізації

Корпорація Oracle розробила реляційну СУБД із забезпеченням багаторівневого захисту інформації (Multi-Level Security - MLS) - Trusted ORACLE7, що володіє, у тому числі, і всіма стандартними можливостями ORACLE7.

У минулому компанії, які бажали захистити секретну або конфіденційну інформацію, змушені були використати для цих цілей спеціальне або виділене встаткування. З появою таких продуктів, як Trusted ORACLE7, ця необхідність відпала. Trusted ORACLE7 дозволяє розміщати важливу для конкурентів інформацію в базі даних, у якій зберігається загальна інформація, без усякого ризику, що якийсь користувач випадково або навмисно одержить доступ до секретної або конфіденційної інформації.

Trusted ORACLE7 функціонує з використанням двох наборів правил: Виборче Керування Доступом (DAC - Discretionary Access Control) і Повноважне Керування Доступом (MAC - Mandatory Access Control). Використання DAC обмежується такими об'єктами баз даних, як таблиці, види, послідовності й збережені процедури, засновані на ідентифікації користувачів, і групові асоціації. Творець об'єктів баз даних - наприклад, таблиць - може надавати доступ іншому користувачеві.

MAC являє собою крок уперед у порівнянні з DAC і позначає зміст об'єктів баз даних. MAC обмежує доступ до об'єкта шляхом порівняння так називаної мітки об'єкта з рівнем авторизації користувача. Крім міток MAC Trusted ORACLE7 позначає такі елементи об'єктів, як рядка й таблиці. У результаті цієї властивості навіть за умови, що DAC намагається дати користувачеві доступ до позначеного об'єкта, йому буде дозволений доступ, тільки якщо його рівень авторизації буде не нижче, ніж рівень авторизації інформації, до якої намагається одержати доступ користувач.

Зверніть увагу, що Trusted ORACLE7 повинна функціонувати над ОС із багаторівневим захистом інформації, щоб забезпечити рівні захисту інформації, закладені в ній при проектуванні. Обмін між системами з багаторівневим захистом (мітковий), а також між системою з багаторівневим захистом і звичайною системою, що не використає мітки, можливий тільки за допомогою мітковий мережного протоколу. Такі протоколи передають на додаток до інших атрибутів захисту інформації, подібно ідентифікаторам користувачів або груп, мітки пакетів, які звичайно породжуються з міток передавального процесу. Більшість загальних міткових протоколів є варіантами протоколу MaxSix, що представляє собою сукупність мережних протоколів захисту інформації й програмних інтерфейсів, теоретично спроектованого для підтримки мереж OSI й TCP/IP, хоча в цей час є тільки реалізації MaxSix. Протоколи MaxSix відповідають RIPCO, CIPCO й DNSIX. Більшість постачальників робочих станцій MLS з Режимом Поділу на Секції (CMW - Compartamented Mode Workstation) реалізували протоколи MaxSix у своїх захищених ОС. MaxSix забезпечує не тільки служби расставления міток і трансляції, але й допускає єдину заздалегідь певну мітку MLS.

Таким чином, позначений сервер у дійсності діє як сторож; аналогічно, БД Trusted ORACLE7 на цьому сервері працює як сторож сервера СУБД.

Як і звичайні протоколи, SQL* Net підтримує ці міткові протоколи за допомогою протокольних адаптерів; наприклад, є реалізації адаптерів протоколів SQL* Net для TNET фірми Sun, MaxSix фірми DEC й MaxSix фірми HP. На станціях, де багаторівневе середовище з'єднується з не мітковий середовищем, на одній стороні з'єднання (багаторівневої) працює адаптер SQL* Net для варіанта MaxSix, а на іншій - адаптер SQL* Net для протоколу TCP/IP (не міткове середовище).

Всі продукти корпорації Oracle Developer 2000, Designer 2000 й ін. можуть використатися з Trusted ORACLE7.

Перспективи розвитку

З появою Oracle RDBMS версії 7.2 розробники додатків зможуть поставляти код PL/SQL у згорнутому (Wrapped) форматі. Розроблювач, що планує поширювати додатка на PL/SQL, більше не повинен відправляти вихідний код PL/SQL. Приховання вихідного коду полегшує захист інтелектуальної власності й зменшує можливі зловживання або перекручування додатків.

Наши рекомендации