Обобщенная модель информационной безопасности системы управления базами данных

Abstract

Статья посвящена описанию обобщенной модели информационной безопасности систем управления базами данных (СУБД). Модель построена на основе анализа систем информационной безопасности СУБД Oracle 12с, IBM DB2 и Microsoft SQL Server 2012, но при этом является обобщенной и не соответствует в полной мере ни одной из перечисленных СУБД. Можно говорить лишь о степени соответствия. Модель включает девять поименованных уровней и три процесса. На каждом уровне модели располагаются объекты базы данных, сервера СУБД и операционной системы. Разбиение на уровни осуществляется по следующему принципу: безопасность каждого уровня модели (кроме самого верхнего) определяется объектами и механизмами, определенными на более высоких уровнях. Описание модели включает перечень объектов каждого уровня с пояснением принципов межуровневого взаимодействия. Самый нижний уровень (первый) модели содержит реляционные таблицы базы данных, самый верхний (девятый) – объекты операционной системы (процессы, пользователи, файлы и пр.). В модели вводится понятие поверхности базы данных. Каждая поверхность определяет один из способов логического представления базы данных пользователю. Модель описывает три процесса: аутентификации, авторизации и аудита. Процесс аутентификации затрагивает три верхних уровня, процесс авторизации – три следующих, процесс аудита – все девять уровней модели. Модель может применяться при проектировании информационных систем, при этом она позволяет сформулировать основные требования к информационной безопасности данных до выбора СУБД. Кроме того, модель может быть использована в учебном процессе с целью системного описания технологии обеспечения информационной безопасности, применяемой современными СУБД.