Политики защиты информационной системы

Для каждой информационной системы руководством формируется политика безопасности. Строгость защиты данных ИС зависит от степени их конфиденциальности. Политика защиты может быть слабая, позволяющая всем пользователям широкие права доступа и полномочия, или сильная, когда права пользователей существенно ограничены и осуществляется жесткий контроль за действиями пользователей в информационной системе.

Пользователей информационной системы условно можно разделить на три группы: администраторы, разработчики и конечные пользователи.

Администратор информационной системы — это тот ИТ-специалист, в обязанности которого входит поддержание работоспособности информационной системы, реализация политики безопасности. В зависимости от размеров информационной системы, количества работающих, интенсивности работы может работать как один администратор, так и целый ИТ-отдел.

Важно!

Для администратора информационной системы, работающей под управлением СУБД Oracle, также существует несколько общих правил, связанных с безопасностью:

• • перед запуском системы в промышленную эксплуатацию он должен заменить пароли для учетных имен SYS и SYSTEM;
• • он не должен давать максимальные права и привилегии для своей учетной записи. Права лучше всего разбить на несколько учетных записей. Таким образом, если злоумышленники получат доступ к информационной системе с учетной записью администратора, они нс получат полного контроля над информационной системой;
• • он не должен назначать права по работе с данными для своей учетной записи. С данными должны работать только профильные специалисты, администратор занимается только обслуживанием системы.

Если в промышленной информационной системе продолжаются разработки, то для разработчиков проводится своя политика безопасности. В первую очередь разработчикам не разрешают вести разработки непосредственно в работающей системе — все они ведутся на тестовом экземпляре. В этом ограничении есть несколько преимуществ. Во-первых, разработчик не может выполнить каких-либо разрушительных действий с промышленной информационной системой. Во-вторых, он нс конкурирует за ресурсы с конечными пользователями.

Администратор информационной системы может выстраивать по отношению к разработчикам два варианта политики безопасности:

• • администратор выделяет разработчикам квоты в табличных пространствах. В выделенном табличном пространстве разработчик сам создает объекты в соответствии с поставленными задачами на реализацию функциональности;
• • администратор по запросу разработчика сам создает требуемые объекты, тем самым контролируя ресурсы информационной системы. Если разработчик использует тестовую базу данных (ИС), то политика защиты может быть менее жесткой.

Политика защиты для конечных пользователей информационной системы, как правило, вырабатывается на уровне всей компании. Пользователей обычно разбивают на группы, и для каждой группы формируется набор ролей, прав и привилегий. Для упрощения работы администраторы объединяют права и привилегии в роли, которые чаще всего назначаются пользователям или группам пользователей. Это не мешает назначить конкретному пользователю отдельные права.

В каждой базе данных хранится список пользователей. Для входа в систему пользователь запускает приложение, вводит имя и пароль. Для информационных систем, работающих с СУБД Oracle, существует два варианта аутентификации: с помощью СУБД или с помощью операционной системы. Последний вариант с точки зрения пользователя значительно проще и удобнее: входя в операционную систему, он вводит имя и пароль. Эти же имя и пароль автоматически передаются в информационную систему, что значительно ускоряет и упрощает вход в нее.

В СУБД Oracle администратор предварительно настраивает способ аутентификации пользователей. Если выбран способ с использованием имен информационной системы, то в Oracle хранятся все имена пользователей операционной системы, однако к каждому имени добавляется префикс, который также вводится и в настройках СУБД. Операционная система передает Oracle имя пользователя. СУБД автоматически добавляет к имени префикс из своих настроек. Имя с префиксом ищется в списке имен пользователей, хранящихся в информационной системе. По умолчанию задан префикс OPS$.

Поясним на примере. Пользователь имеет учетную запись в операционной системе IVAN. С этой учетной записью он подключается к информационной системе. Oracle проверяет: существует ли в базе данных пользователь OPSSIVAN? Если такой пользователь найден, то соединение с информационной системой разрешается.

Администратор может задать любое значение префикса, в том числе и пустое (««). В последнем случае имена пользователей в операционной системе и в Oracle будут совпадать.

Важно!

После запуска системы в промышленную эксплуатацию префикс в настройках изменять не рекомендуется. Если это все же сделано, то потребуется изменить префикс для всех имен пользователей, хранящихся в базе данных Oracle. В противном случае ни один из пользователей не сможет войти в информационную систему.

Для аутентификации средствами СУБД необходимо задать пароль для каждого пользователя.

Далее мы рассмотрим некоторые принципиальные возможности СУБД Oracle по защите данных. Мы нс будем вдаваться в детали, связанные с настройкой Oracle и правами и привилегиями, необходимыми для создания или удаления объектов. Подробную информацию можно почерпнуть из специализированной литературы по администрированию базы данных Oracle.

Создание, изменение и удаление пользователей. Пользователь в СУБД Oracle создается с помощью команды CREATE USER. При создании пользователю нужно определить табличное пространство по умолчанию и дать системную привилегию CREATE SESSION или роль CONNECT. Каждое имя пользователя должно быть уникальным.

Например, мы хотим создать пользователя IVAN:

CREATE USER IVAN IDENTIFIED BY qaz;

DEFAULT TABLESPACE AURORA;

QUOTA 100M ON AURORA;

GRANT CONNECT TO IVAN;

Пользователь IVAN может подключаться к информационной системе с паролем qaz, для него в табличном пространстве по умолчанию AURORA выделено 100 Мб. Для того чтобы создать пользователя, который будет подключаться к информационной системе с помощью имени операционной системы, нужно дать следующие команды:

CREATE USER OPS$IVAN IDENTIFIED EXTERNALLY;

DEFAULT TABLESPACE AURORA;

QUOTA 100M ON AURORA;

GRANT CONNECT TO OPS$IVAN;

Следует обратить внимание, что в последнем примере имя пользователя содержит префикс, используемый по умолчанию. Если пользователь создает какие либо объекты без указания их месторасположения, то они сохраняются в табличном пространстве по умолчанию (в нашем примере это AURORA). Квоту для табличных пространств пользователю задавать необязательно, если он не создает каких-либо объектов. Обычно рекомендуют создавать квоты в табличном пространстве, но умолчанию. Если администратор хочет лишить пользователя создавать объекты в табличном пространстве, то нужно просто обнулить квоту.

По умолчанию пользователь не имеет квот ни для одного табличного пространства.

Для того чтобы изменить какие-либо параметры пользователя, нужно дать команду alter user.

Например, мы хотим для пользователя IVAN отобрать право создавать объекты в табличном пространстве AURORA:

ALTER USER IVAN;

QUOTA 0 ON AURORA;

С удалением пользователя в Oracle связаны некоторые особенности:

• • если пользователь удаляется из системы, то должны быть удалены все объекты, связанные с ним;
• • если пользователь соединен с базой данных, то его удалить нельзя. Для удаления такого пользователя нужно удалить все его открытые сессии.

Для удаления пользователя нужно дать команду:

DROP USER IVAN;

Если с пользователем связаны какие-либо объекты, то данная команда к успеху не приведет, будет выдано сообщение об ошибке. Для удаления такого пользователя нужно дать команду:

DROP USER IVAN CASCADE;

В этом случае вместе с пользователем будут также удалены и все связанные с ним объекты. Прежде чем удалять такого пользователя, необходимо оценить, не приведет ли такое удаление к катастрофическим последствиям для базы данных. Для того чтобы пользователь не смог получать доступ к информационной системе, его можно не удалять, а просто отобрать привилегию CREATE SESSION ИЛИ роль CONNECT.

Системные и объектные привилегии. Привилегия — это право выполнять какие-либо операции или право доступа к объектам базы данных.

Привилегии в Oracle бывают системные и объектные.

Системные привилегии позволяют выполнять определенную операцию или класс операций. В Oracle определено около 80 системных привилегий. Об?>ектные привилегии разрешают действия с объектами. К ним относятся: ALTER, SELECT, UPDATE, INSERT, DELETE, EXECUTE, INDEX, REFERENCES.

Роли. Роль группирует несколько привилегий и других ролей. Таким образом, она позволяет назначать или отзывать пользователю сразу несколько привилегий.

Каждому пользователю может быть назначено несколько ролей, каждая роль может быть назначена нескольким пользователям. При ее создании можно потребовать подтверждение права пользователя при включении назначенной ему роли. Подтверждение осуществляется с помощью ввода пароля базы данных или операционной системы, даже если пользователь ранее уже вводил пароль, подключаясь к базе данных. Роль также может создаваться и без авторизации.

Каждая создаваемая роль должна иметь уникальное имя среди пользователей и ролей в базе данных. В Oracle существуют предопределенные роли, к числу которых относится CONNECT, дающая право на соединение с базой данных.

В следующем примере создается роль manager, которая будет авторизоваться с помощью базы данных:

CREATE ROLE manager IDENTIFIED BY passw;

Для создания роли, авторизация которой будет проходить с помощью операционной системы, нужно дать команду.

CREATE ROLE manager IDENTIFIED EXTERNALLY;

После того как роль создана, в ней отсутствуют какие-либо привилегии (проще говоря, роль пустая). Их нужно назначить.

Иногда возникает необходимость удалить роль, что приводит к ее удалению из списков ролей пользователей. Привилегии и роли, назначенные для удаляемой роли, удалены не будут.

Для удаления роли нужно дать команду.

DROP ROLE manager;

Назначение привилегий и ролей пользователям и ролям. Системные и объектные привилегии создаются с помощью одной и той же команды: GRANT. Существует единственное ограничение: в одной команде одновременно не могут присутствовать системные и объектные привилегии.

В примере ниже пользователю IVAN предоставлена возможность создавать объекты table.

GRANT create table TO IVAN;

Системные привилегии или роли могут назначаться пользователям опцией admin OPTIONS. Пользователь, которому назначена привилегия с такой опцией, получает дополнительные возможности:

• • он может назначать эту системную привилегию или роль другим пользователям и ролям, в том числе с опцией ADMIN OPTIONS;
• • он может отзывать эту системную привилегию или роль у других пользователей и ролей;
• • если это роль, то он может ее корректировать и даже удалить.

Когда пользователь создает роль, то эта роль автоматически назначается ее создателю с опцией admin options.

Назначим роль manager пользователю IVAN с опцией ADMIN OPTIONS:

GRANT manager TO IVAN WITH ADMIN OPTIONS;

Теперь пользователь IVAN может не только использовать все привилегии, назначенные роли manager, но и назначать и отзывать роль manager у любого пользователя по своему усмотрению (даже если не он назначал пользователю эту привилегию или роль), в том числе у пользователя, назначившего ему эту роль.

Рассмотрим это на примере.

• 1. Администратор назначил пользователю, А привилегию create table с опцией ADMIN OPTIONS.
• 2. Пользователь, А создает таблицы.
• 3. Пользователь, А назначает привилегию create table с опцией ADMIN options пользователю В.
• 4. Пользователь В создает таблицы.
• 5. Пользователь В отзывает привилегию create table у пользователя Л. Таблицы, созданные пользователем А, остаются.
• 6. Администратор отзывает привилегию create table у пользователя В. Таблицы, созданные пользователями, А и В, остаются.

Такая возможность обычно предоставляется только администраторам информационной системы и крайне редко предоставляется другим пользователям.

В следующем примере пользователям IVAN и VICTOR предоставляются объектные привилегии select, insert для таблицы PriceList:

GRANT SELECT, INSERT ON PriceList TO IVAN, VICTOR;

Для того чтобы разрешить работать только с определенными столбцами таблицы (например, Id, Name), нужно дать следующую команду:

GRANT INSERT (Id, Name) ON PriceList TO IVAN, VICTOR;

Одной командой можно назначить все объектные привилегии. Например, для таблицы PriceList:

GRANT ALL ON PriceList TO IVAN, VICTOR;

Так же как и системные, объектные привилегии могут назначаться с расширенными правами. Для этого используется опция GRANT OPTION. Пользователь, которому назначена привилегия с этой опцией, дополнительно получает следующие возможности:

• • может назначать эту системную привилегию или роль другим пользователям и ролям, в том числе с опцией grant options;
• • может отзывать эту системную привилегию или роль у других пользователей и ролей.

Если пользователь создает какой-либо объект, он автоматически получает все объектные привилегии, связанные с этим объектом, с опцией GRANT OPTIONS.

Для отзыва системных и объектных привилегий дается команда REVOKE. Отзовем у пользователя IVAN системную привилегию create table на создание таблиц:

REVOKE create table ТО IVAN;

Отозвать только опцию admin options нельзя. Сначала нужно отозвать системную привилегию или роль, а затем вновь ее назначить без ОПЦИИ ADMIN OPTIONS.

Отзовем объектную привилегию SELECT для таблицы PriceList у пользователя IVAN:

REVOKE SELECT ON PriceList TO IVAN;

Точно так же отзываются все привилегии по таблице (даже если назначалась только одна):

REVOKE ALL ON PriceList TO IVAN;

Отозвать только опцию GRANT OPTIONS нельзя. Сначала нужно отозвать объектную привилегию или роль, а затем вновь ее назначить без ОПЦИИ GRANT OPTIONS.

Если была назначена объектная привилегия на определенные столбцы таблицы, то нельзя выборочно отозвать привилегию на один столбец. Нужно отозвать привилегию по всем столбцам таблицы, а потом вновь ее назначить уже на те столбцы, привилегии на которые должны остаться:

REVOKE INSERT ON PriceList TO IVAN, VICTOR;

GRANT INSERT (Name) ON PriceList TO IVAN, VICTOR;

В примере мы отозвали привилегию INSERT для столбца Id таблицы PriceList для пользователей IVAN и VICTOR.

Ниже приведены несколько запросов к базе данных, которые позволяют получить информацию о существующих и назначенных привилегиях и ролях.

Запрос.

SELECT * FROM sys. dba_sys_privs;

выдает перечень системных привилегий, которые назначались пользователям и ролям.

Запрос.

SELECT * FROM sys. dba_role_privs;

выдает перечень ролей, которые назначались пользователям и другим ролям.

Для получения объектных привилегий, назначенных другим пользователям, нужно выполнить запрос.

SELECT * FROM sys. dba_tab_privs;

Следующий запрос выдаст все роли, которые включены для текущего пользователя:

SELECT * FROM session_roles;

Для того чтобы просмотреть все роли базы данных и методы авторизации для каждой роли, нужно выполнить запрос.

SELECT * FROM sys. dba_roles;

За более подробной информацией следует обращаться к руководствам по базе данных Oracle или к другим книгам, посвященным администрированию базы данных Oracle.

Контрольные вопросы и задания

• 1. Перечислите основные подсистемы информационной системы Oracle E-business Suite.
• 2. Перечислите модули, которые входят в подсистему «Oracle Управление персоналом».
• 3. Что входит в состав глобальной системной области экземпляра Oracle?
• 4. Какие существуют фоновые процессы экземпляра Oracle?
• 5. Без каких фоновых процессов экземпляр Oracle не будет работать?
• 6. Объясните, что такое «холодное» и «горячее» копирование.
• 7. Какова технология восстановление файлов данных в Oracle?
• 8. В чем разница между текущими и архивными файлами журнала транзакций? Объясните, как используется каждый из этих типов файлов.
• 9. Какая политика защиты базы данных в СУБД Oracle применяется для администраторов?
• 10. Как удалить пользователя, который создавал объекты в базе данных Oracle?
• 11. Как создать новые привилегии и роли?
• 12. Зачем используют импорт и экспорт в СУБД Oracle?
• 13. Что входит в состав экземпляра Oracle?
• 14. Как провести дефрагментацию табличных пространств в Oracle?