Безопасность и Аудит. Ключевые понятия и участники системы безопасности. Модели управления доступом
Аудит информационной безопасности — мероприятия для проверки текущего состояния защиты ИТ-инфраструктуры, выявления потенциальных угроз и уязвимостей; процедура трассировки потоков данных в БД для проверки работы компонентов, обнаружения и устранения ошибок. По результатам проведения аудита можно сформировать перечень мероприятий, направленных на повышение стабильности системы и защиты от несанкционированного доступа, кибератак. Он позволяет:
- дать независимую оценку уровня безопасности инфобазы;
- проконтролировать все данные, которые задействовали пользователи, убедиться в их целостности;
- составить перечень слабых мест, совершенствование которых повысит уровень безопасности базы данных;
- разработать перечень рекомендаций по дальнейшей эксплуатации БД с максимальной защитой хранящейся информации.
При проверке данных аудиторы могут обнаружить:
- блокировки и ошибки;
- превышение допустимого времени ожидания;
- другие неестественные процессы.
Основные функции системы безопасности:
- Проверка подлинности (аутентификация) ****– процедура проверки соответствия некоего лица и его учетной записи в компьютерной системе. Например: Пользовательский идентификатор и пароль = некоторая конфиденциальная информация, знание которой обеспечивает владение определенным ресурсом. Аутентификация != Идентификация.
- Идентификация — это процедура распознавания пользователя по его личному идентификатору. Эта функция выполняется при попытке пользователя войти в сеть.
- Аутентификация — это процедура проверки подлинности заявленного пользователя, процесса или устройства. Данная процедура позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет.
- Эти две процедуры тесно взаимосвязаны и от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу.
- Авторизация ****– это предоставление лицу прав на какие-то действия в системе.
Дополнительные функции:
- Шифрование
- Используется для скрытия информации от неавторизованных пользователей при передаче или при хранении, предотвращения изменения информации при передаче или хранении, аутентификации источника информации и предотвращения отказа отправителя информации от того факта, что данные были отправлены именно им.
- Контекстное переключение
- При создании базы данных ей задается контекст — область ее видимости. База данных может быть создана в одном из двух контекстах:
app и user.
app — база данных видна только для одной пары «пользователь + приложение» (база данных привязана к одному токену).user — база данных доступна для пар «пользователь + приложение1», «пользователь + приложение2» и т. д. (база данных привязана к нескольким токенам).
- Олицетворение
- Олицетворение — это способность серверного приложения выступать от имени клиентского приложения. Когда сервер устанавливает соединение с источником данных, он использует олицетворение, чтобы можно было выполнить проверку доступа для импорта и обработки данных.
- Встроенные средства управления ключами
- Управление ключами шифрования заключается в создании новых ключей базы данных, создании резервной копии ключей сервера и базы данных и знании порядка восстановления, удаления и смены ключей.
- SQL Server имеет два типа ключей: симметричные и асимметричные. В симметричных ключах для шифрования и расшифровки данных используется одинаковый пароль. При использовании асимметричных ключей один пароль применяется для шифрования данных (открытый ключ), а другой для расшифровки данных (закрытый ключ).
Три ключевых понятия системы безопасности:
- Участники системы безопасности (Principals)