актером даних.
Пояснимо суть подібних проблем таким чином. Припустимо, в базі даних є таблиця із записами по співробітниках з полями В«Ліч_ №В», В«ПрізвищеВ», В«ПідрозділВ», В«ПосадаВ». Припустимо також, що в структурі організації є засекречений підрозділ В«Отдел_0В», відоме для всіх непосвячених під назвою В«Група консультантівВ». Відповідно поля В«ПідрозділВ», В«ПосадаВ» для записів співробітників цього підрозділу будуть мати подвійні значення - одне справжнє (секретне), інше для прикриття (легенда). Записи таблиці В«ПрацівникиВ» в цьому випадку можуть мати вигляд:
Таблиця 1
В
У таблиці знаком [С] позначені секретні значення, знаком [НС] несекретні значення відповідних полей. Як видно з наведеної таблиці, вимоги першої нормальної форми в таких випадках порушуються.
Більше того, навіть якщо взяти більш простий випадок, коли конфіденційні дані за деякими полям користувачам, які не мають відповідного ступеня допуску, просто не показуються, тобто такий користувач В«бачитьВ» у секретних полях деяких записів просто порожні значення, то тим не менше виникають непрямі канали порушення конфіденційності. Так як насправді у відповідному полі дані є, то при спробі запису в ці поля неуповноважених на це користувач отримає відмову, і, тим самим, В«відчуєВ» щось недобре, підозріле, скажімо, щодо запису співробітника з власним номером 007. Це і є непрямий канал.
У більш загальному вигляді під непрямим каналом порушення конфіденційності мається на увазі механізм, за допомогою якого суб'єкт, що має високий рівень благонадійності, може надати певні аспекти конфіденційної інформації суб'єктам, ступінь допуску яких нижче рівня конфіденційності цієї інформації.
У певною мірою проблему багатозначності і непрямих каналів можна вирішувати через нормалізацію відповідних таблиць, розбиваючи їх на зв'язані таблиці, рівень конфіденційності яких, або конфіденційності частині записів яких, буде різним.
Інші підходи грунтуються на розширенні реляційної моделі у бік багатозначності і допущення існування в таблицях кортежів з однаковими значеннями ключових полів.
Технологічні аспекти захисту інформації
Практична реалізація політик і моделей безпеці, а також аксіоматичних принципів побудови та функціонування захищених інформаційних систем обумовлює необхідність вирішення низки програмно-технологічних завдань, які можна згрупувати за такими напрямками:
• технології ідентифікації і аутентифікації;
• мови безпеки баз даних;
• технології забезпечення безпеки повторного використання об'єктів;
• технології надійного проектування та адміністрування.
Ідентифікація і аутентифікація
Технології ідентифікації і аутентифікації є обов'язковим елементом захищених систем, оскільки забезпечують аксіоматичний принцип персоналізації суб'єктів і, тим самим, реалізують перший (вихідний) програмно-технічний рубіж захисту інформації в комп'ютерних системах.
Під ідентифікацією розуміється розрізнення суб'єктів, об'єктів, процесів за їх образам, висловлюваним іменами.
Під аутентифікацією розуміється перевірка та підтвердження справжності образу ідентифікованого суб'єкта, об'єкта, процесу.
Як випливає із самої суті даних понять, в основі технологій ідентифікації та аутентифікації лежить ідеологія статистичного розпізнавання образів, обумовлюючи, відповідно, принципове наявність помилок першого (Неправильне розпізнавання) і другого (неправильне нераспознавание) роду. Методи, алгоритми і технології розпізнавання спрямовані на забезпечення задаються ймовірностей цих помилок при певних вартісних чи інших витратах.
У системотехнічному плані структуру систем ідентифікації/аутентифікації можна проілюструвати схемою, наведеною на рис. 5. p> При реєстрації об'єкту ідентифікації/аутентифікації в системі монітором безпеки формується його образ, інформація по якому піддається необоротного без знання алгоритму і шифру-ключа, тобто криптографічному, перетворенню і збережено як ресурсу, доступного в системі виключно монітору безпеки. Таким чином формується інформаційний масив внутрішніх образів об'єктів ідентифікації/аутентифікації.
В
Рис. 5. Системотехнічний аспект ідентифікації/аутентифікації
Згодом при ідентифікації/аутентифікації (черговий вхід в систему користувача, що запит процесу на доступ до об'єкта, автентифікація об'єкта системи при виконанні над ним дій і т. д.) об'єкт через канал переносу інформації передає монітору безпеки інформацію про свій спосіб, яка піддається відповідному перетворенню. Результат цього перетворення порівнюється з відповідним зареєстрованим внутрішнім чином, і при їх збігу приймається рішення про розпізнавання (ідентифікації) і автентичності (Аутентифікації) об'єкта. p> Інформаційний масив внутрішніх образів ...