Безопасность баз данных

Безопасность  данных в Oracle 7

Ограничение доступа

Если вы предполагаете, что подключаться к вашей базе данных могут лишь определенный круг пользователей  и что они могут запускать только те модули, на выполнение которых им явно предоставлено право, то нужно подумать о следующем уровне безопасности — ограничении доступа этих пользователей к данным.

Огромным шагом вперед в обеспечении безопасности данных стало введение ролей в Oracle7. До Oracle7 каждому пользователю приходилось  явно предоставлять права доступа  к каждому объекту базы данных, который ему разрешено было использовать. Этот процесс упрощается за счет того, что доступ к совокупности объектов предоставляется роли, а затем  право на использование этой роли предоставляется соответствующим  лицам. С помощью команды GRANT мы можем  предоставить пользователям право  выполнять над объектами БД (например, над таблицами) операции SELECT, INSERT, UPDATE и DELETE. Однако само по себе это не обеспечивает значительной гибкости. Мы можем ограничить доступ пользователей частями таблицы, разделив ее по горизонтали (ограничив пользователя определенными строками), по вертикали (ограничив его определенными столбцами) или и по горизонтали, и по вертикали. Как это сделать?

Обратимся к таблице PAYROLL. Мы не хотим, чтобы все пользователи видели столбец SALARY, и желаем ограничить доступ пользователей так, чтобы  они могли видеть только записи о  сотрудниках их отдела.

 

ID	NAME	DEFT	PAYMENT_PERIOD	SALARY
1	JONES	10	WEEKLY	120
2	COOPER	10	MONTHLY	900
3	DAVIS	10	WEEKLY	150
4	ARMSTRONG	20	MONTHLY	1030
5	KEMP	20	MONTHLY	1005
6	FISHER	30	WEEKLY	150

                                     PAYROLL  - Таблица 1 

Мы можем определить представление  и предоставить пользователям доступ к этому представлению, а не к  базовой таблице (PAYROLL). Они смогут запрашивать данные этой таблицы  лишь через представление, которое  ограничивает их доступ. Определение  такого представления приведено  ниже.

CREATE VIEW vjpayroll AS SELECT id

, name , dept

, payment_period FROM payroll WHERE dept = (SELECT dept

FROM mysys_users WHERE username = USER) WITH CHECK OPTION;

Столбец SALARY в этом примере  не включен в представление, поэтому  зарплату в нем увидеть нельзя, а фраза WHERE гарантирует, что пользователи смогут запрашивать данные из таблицы PAYROLL только по своему отделу.

По поводу этого решения  надо сказать следующее. Во-первых, мы должны сделать так, чтобы пользователи не могли изменить свой отдел, обновив  значение MYSYSJUSERS, и затем запросить  записи из другого отдела. Во-вторых, с помощью этого представления  пользователи могли бы обновлять, вставлять  и удалять даже не относящиеся  к их отделу строки таблицы PAYROLL, если бы мы не отключили эту функцию  с помощью фразы WITH CHECK OPTION.

Существует единственное примечание:

Вряд ли представление V_PAYROLL будет обновляемым, потому что к  столбцу SALARY почти наверняка применено  ограничение NOT NULL. Тем не менее, мы рекомендуем  использовать опцию WITH CHECK OPTION во всех ограничивающих представлениях, так  как в версии 7.3 значительно увеличилось  число обновляемых представлений.

Ограничение на просмотр данных с помощью представлений работает очень хорошо. Но для большой таблицы  со сложными требованиями к безопасности, возможно, придется создать несколько  представлений и заставить приложения решать, какое из них необходимо для конкретного пользователя. Реализовывать  это внутри приложения нежелательно, поэтому нужно исследовать другие решения. Мы можем инкапсулировать  все операции над таблицей PAYROLL в  хранимый пакет или же разработать  несколько триггеров. Давайте рассмотрим первое решение.

Использование пакетов

В пакете есть методы (процедуры/функции), позволяющие оперировать таблицей или запрашивать из нее строки. Пользователю, у которого есть разрешение на выполнение пакета, но нет полномочий на доступ к таблице, содержимое и  структура таблицы непосредственно  недоступны. Владелец пакета имеет  полный доступ к PAYROLL, а вызывающий пользователь — нет. Когда пользователь выполняет хранимую процедуру, т.е., по сути, использует представление, он действует с разрешением на доступ, предоставленным ее владельцу.

3 Юридическая защита авторских прав на базы данных

По мере формирования рынка программ и одновременного возникновения такого явления, как пиратское копирование программ, возникла острая необходимость обеспечения их эффективной правовой охраны, что привело к закреплению в международном праве и национальном законодательстве государств норм, регулирующих отношения по использованию и охране компьютерных программ. Также как и доходы от продажи программного обеспечения, убытки от его нелегального распространения исчисляются астрономическими суммами. Эта проблема распространилась в последние годы в связи с появившейся возможностью передачи значительных объемов информации за короткий промежуток времени посредством сети «Интернет».

Наряду с компьютерными программами  особое значение приобретают базы данных определенным образом подобранная и систематизированная информация, имеющая существенное коммерческое значение и поэтому также требующая охраны от несанкционированного копирования.

Охрана компьютерных программ авторским правом является наиболее простой и достаточно эффективной формой. По сравнению с другим возможным вариантом патентной охраной, авторско-правовая охрана является более оперативной, дешевой и демократичной. При этом не требуется долгой процедуры экспертизы программы на мировую новизну, за время которой компьютерная программа может морально устареть и оказаться невостребованной на рынке. Именно поэтому авторско-правовой метод охраны компьютерных программ получил преимущественное признание.Одним из наиболее ощутимых и значимых преимуществ охраны компьютерных программ и баз данных авторским правом является то, что авторское право на произведения науки, литературы, искусства возникает в силу факта их создания; для предоставления охраны достаточно того, что компьютерная программа является результатом творчества и существует в какой-либо объективной форме.

Заслуживает внимания и такая мысль: в выборе авторскоправовой формы охраны доминирующую роль сыграли компании  производители и распространители программного обеспечения, максимально заинтересованные в легком, быстром и широком получении прав на результаты своего труда без соблюдения каких-либо формальностей и без государственно-территориальных ограничений. А авторскоправовая схема охраны программного обеспечения полностью соответствует данным требованиям и способствует  легкому получению охраны на международном рынке.

Особого внимания заслуживает  законодательная практика Российской Федерации. Действующая с 1 января 2008 года часть четвертая Гражданского кодекса Российской Федерации устанавливает принципиально новые правила в отношении охраны баз данных. Определение базы данных дано в статье 1260 ГК РФ: базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли     быть

найдены и обработаны с  помощью ЭВМ.

В отношении базы данных Гражданский кодекс Российской  Федерации предусматривает две возможные формы охраны. База данных охраняется авторским правом, если она является результатом творческой деятельности по подбору или расположению включенных в нее материалов. Одновременно с этим база данных может охраняться смежным правом, которое признается за ее изготовителем независимо от наличия авторских прав на эту базу данных. Изготовителем базы данных в соответствии со статьей 1333 Гражданского кодекса Российской Федерации признается лицо, организовавшее создание базы данных и работу по сбору, обработке и расположению составляющих ее материалов. Как следует из нормы статьи 1334 ГК РФ, исключительное право признается в отношении не любых баз данных, а только тех, создание которых требует существенных финансовых, материальных, организационных или иных затрат. Законодатель не называет критериев для определения существенности этих затрат, однако делает оговорку относительно того, что при отсутствии доказательств иного базой данных, создание которой  требует   существенных затрат, признается база

данных, содержащая не менее 10 тысяч самостоятельных информационных элементов (материалов). Изготовителю такой базы данных принадлежит исключительное право извлекать из нее материалы и осуществлять их последующее использование в любой форме и любым способом. Исключительное смежное право изготовителя базы данных действует в течение 15 лет, однако этот срок возобновляется при каждом обновлении базы данных.

Признание права – первый из перечисленных в п. 1 ст. 18 Закона РФ «О правовой охране программ для  ЭВМ и баз данных» способов защиты авторских прав. Этот способ защиты играет в основном превентивную роль и служит установлению определенности во взаимоотношениях субъектов гражданского права. Признание права как способ защиты применяется, когда оспаривается или отрицается принадлежность определенному  лицу исключительных авторских прав на программу для ЭВМ или базу данных. Признание права как средство его защиты может быть реализовано  лишь в судебном порядке путем  подтверждения наличия или отсутствия у лица отдельных авторских правомочий или их совокупности.

П. 1 ст. 17 Закона РФ «О правовой охране программ для ЭВМ и баз  данных» определяет нарушителя авторского права как физическое или юридическое  лицо, которое не выполняет требований настоящего закона в отношении исключительных прав правообладателей, в том числе ввозит в Российскую Федерацию экземпляры программы для ЭВМ или базы данных, изготовленные без разрешения их правообладателя. Это может выражаться в присвоении авторства, осуществлении перечисленных в ст. 10 Закона РФ «О правовой охране программ для ЭВМ и баз данных» действий без разрешения правообладателя и т. д. Отдельное выделение импорта экземпляров программы для ЭВМ или базы данных, изготовленных без разрешения их правообладателей объясняется тем, что в государстве, где данные экземпляры были изготовлены, это действие может считаться законным и не влекущим ответственности.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

Конфигурация, к которой  имеет доступ хотя бы один программист, не может считаться безопасной. Следовательно  обеспечение информационной безопасности баз данных - дело весьма сложное  во многом в силу самой природы  реляционных СУБД.

 Информационная безопасность в наше время развивается быстрыми темпами. Этому способствуют как общий прогресс информационных технологий, так и в другом случае, эта информация может стать объектом добычи или вандализма, поэтому она нуждается в защите.

В итоге, такая динамичность объективно затрудняет обеспечение  надежной защиты от несанкционированного доступа. Такими причинами является:

• конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки системы, что ведет к снижению качества тестирования и выпуску продуктов  с дефектами защиты;

• навязываемая потребителям парадигма постоянного наращивания  аппаратного и программного обеспечения  вступает в конфликт с бюджетными ограничениями, из-за чего снижается  доля ассигнований на безопасность;

• повышение быстродействия микросхем, развитие архитектур с высокой  степенью параллелизма позволяет методом  грубой силы (перебором вариантов) преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;

• развитие сетей, увеличение числа связей между информационными  системами, рост пропускной способности  каналов расширяют число потенциальных  злоумышленников, имеющих техническую  возможность осуществить нападение;

• появление новых информационных сервисов ведет и к появлению  новых угроз как «внутри» сервисов, так и на их стыках.

Кроме систематического применения всего арсенала средств, описанных  в настоящей работе, необходимо использование  административных и процедурных  мер. Только тогда можно рассчитывать на успех в деле обеспечению информационной безопасности современных серверов баз данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. А.В.Кузин, С.В.Левонисова "Базы данных" Издательский центр „академия“, 2008 г.

2. В. Индриков, АО ВЕСТЬ  “Объектно-ориентированный подход  и современные мониторы транзакций”  [Электронный ресурс] http://www.citforum.ru

3. Том Кайт "Oracle для профессионалов" ДиаСофтЮП, 2003 г