Реализация политики безопасности баз данных

Общие положения политики безопасности организации, относящиеся к защитным сервисам, могут состоять в следующем.

  • Описания правил идентификации и аутентификации всех субъектов доступа (порядок аутентификации, разделение функций пользователя и администратора, условия, накладываемые на порядок аутентификации в зависимости от статуса и условий работы пользователя в информационной системе).
  • Описания управления доступом к информационным ресурсам сервиса безопасности (модель доступа, критерии предоставления доступа, наборы привилегий субъектов доступа, порядок изменения правил доступа).
  • Описание подотчетности пользователей, реализуемой посредством сервиса безопасности (какие действия пользователей при работе с какими сервисами могут быть подотчетны при применении объекта оценки, описанного в профиле).
  • Описания правил протоколирования и аудита для анализа функционирования сервиса безопасности.
  • Обеспечение доступности коммуникационных каналов.
  • Описания правил обеспечения конфиденциальности и целостности управляющей информации (в частности, при удаленном администрировании).
  • Описания порядка обеспечения целостности аппаратно-программной и информационной частей сервиса безопасности (список контролируемых компонент, порядок контроля и т.д.).
  • Обеспечение невозможности обхода защитных средств (набор управленческих решений, обеспечивающих соответствующие предположения безопасности).

Согласно Оранжевой книге, политика безопасности должна включать в себя по крайней мере следующие элементы:

  • произвольное управление доступом;
  • безопасность повторного использования объектов;
  • метки безопасности;
  • принудительное управление доступом.

Лекция 9: Безопасность баз данных


Читать еще…

Понравилась статья? Поделиться с друзьями: