Basi di dati II - Sicurezza delle basi di dati

Capitolo 8

Sicurezza delle basi di dati

Questo capitolo tratta le tecniche usate per proteggere le basi di dati da persone che non sono autorizzate ad accedere a tutta la base o ad alcune sue parti. Verranno affrontate le principali problematiche di sicurezza e le minacce alle basi di dati. Verranno descritti i meccanismi, spesso definiti come controllo dell’accesso discrezionale, utilizzati per accordare e revocare i privilegi nei sistemi di basi di dati relazionali e in SQL. Verranno inoltre descritti i meccanismi per l’attuazione della sicurezza multivello, un aspetto più recente della sicurezza delle basi di dati noto come controllo di accesso mandatorio. Inoltre, verrà spiegato il controllo dell’accesso basato sui ruoli di recente sviluppo. I lettori interessati solamente ai meccanismi base relativi alla sicurezza possono limitarsi alla consultazione dei paragrafi 8.1 e 8.2.

8.1 Introduzione alle problematiche di sicurezza delle basi di dati

8.1.1 Tipi di sicurezza

La sicurezza delle basi di dati è un'area molto ampia che tratta diverse problematiche tra cui:

• questioni etiche e legali relative ai diritti di accesso ai dati, e questioni di privacy, alcune delle quali possono essere risolte con basi di dati, trattando dati che non possono accedere legalmente. Non esamineremo approfonditamente le numerose leggi che regolano la riservatezza;
• questioni riguardanti le politiche a livello di si e la determinazione di quali informazioni non devono essere dispongibili pubblicamente (per esempio, gli indici di credito e le cartelle cliniche dei pazienti);

8.1 Introduzione alle problematiche di sicurezza delle basi di dati

Parte terza Sicurezza e architetture distribuite

Capitolo 8 Sicurezza delle basi di dati

Minacce per le basi di dati. Le minacce per le basi di dati comportano la perdita di almeno uno di questi obiettivi di sicurezza: integrità, disponibilità e riservatezza.

• Perdita di integrità: l’integrità della base di dati si riferisce al fatto che le informazioni devono essere protette da modifiche improprie. Le modifiche dei dati includono la creazione, l’inserimento, l’aggiornamento, il cambiamento dello stato dei dati e la cancellazione. L’integrità si perde se alla base di dati vengono apportate modifiche non autorizzate intenzionali oppure accidentali. Se non si pone rimedio alla perdita di integrità del sistema o dei dati, il proseguimento dell’utilizzo del sistema contaminato o dei dati corrotti può portare a conseguenze quali imprecisione, frodi o decisioni errate.
• Perdita di disponibilità: la disponibilità si riferisce al fatto che gli oggetti della base di dati devono essere sempre disponibili agli utenti o ai programmi che sono legittimamente autorizzati ad accedervi.
• Perdita di riservatezza: la riservatezza della base di dati si riferisce alla protezione dei dati da rivelazione (disclosure) non autorizzata. Le conseguenze della rivelazione non autorizzata di informazioni sensibili possono variare dalla violazione della legge sulla privacy a una minaccia di sicurezza nazionale. Una rivelazione non autorizzata, intenzionale o non intenzionale, può portare perdita di fiducia, imbarazzo o persino rovina personale o economica.

Nel definire la politica di sicurezza di un sistema, possono realizzare quattro tipi di controlli: meccanismi di controllo d’inferenza, controllo di accesso, controllo d’integrità, controllo di cifratura.

• Meccanismi di controllo d’inferenza: servono come frontiera per garantire la sicurezza degli utenti che possono accedere a determinate porzioni dei dati memorizzati. Con i meccanismi di controllo d’inferenza particolarmente importanti degli analisti di mercato o dei demografi, si possono dedurre facilmente informazioni sensibili sui singoli individui derivandole dai rapporti sui gruppi di persone che essi creano, i quali non comprendono i dati individuali di alcun membro. L’obiettivo del meccanismo di controllo d’inferenza consiste nello scoprire e nel prevenire tali rivelazioni attraverso una particolare descrizione degli utenti.

Successivamente, A1 può concedere il privilegio di SELECT sulla vista di A3 nel modo seguente:

GRANT SELECT ON ASIENTEMPDAO TO A3 WITH GRANT OPTION;

Infine, supponiamo che A1 desideri che A4 possa aggiornare solamente l’attributo STIPEND/0 di IMPIEGATO. A1 potrebbe eseguire il seguente comando:

GRANT UPDATE ON IMPIEGATO (STIPENDIO) TO A4;

I privilegi di UPDATE o INSERT possono specificare particolari attributi di una relazione su cui eseguire aggiornamenti o inserimenti. Gli altri privilegi (SELECT, DELETE) non definiscono attributi, poiché la specificità necessaria è facilmente ottenibile mediante l’uso di opportune viste contenenti unicamente gli attributi desiderati e concedendo i privilegi corrispondenti su di esse. Tuttavia, poiché l’aggiornamento di viste non è sempre possibile (si veda il Capitolo 9, nel 1° volontà di UPDATE e INSERT può essere associata l’opzione di specifica di particolari attributi di una relazione base che possono essere aggiornati.

8.2.6 Specifica di limiti sulla propagazione di privilegi

Sono state sviluppate delle tecniche per limitare la propagazione dei privilegi, sebbene nella maggior parte dei DBMS non siano state ancora implementate e non facciano ancora parte degli SQL. Limitare la propagazione orizzontale a un numero intero j significa che un account che possiede la GRANT OPTION può concedere il privilegio in questione a non più di j account. La propagazione verticale è più complicata: essa limita la profondità della concessione del privilegio. Concedere un privilegio con propagazione verticale uguale a livello ed a concederlo il privilegio senza GRANT OPTION. Se un account X possiede un privilegio P con livello i, allora con la propagazione verticale impostata a un numero intero j > 0, significa che i può possiede la GRANT OPTION su tale privilegio e può a sua volta concederli ad altri account (in generale con zelo uguale a i + j). Il meccanismo difensivo per impedire una elevata propagazione verticale limita la sequenza di GRANT OPTION offerta. Al flesso eseguire l’istruzione all’interno di una singola concessione orizzontale e verticale.

Sebbene si possano impostare tecniche per limitare la propagazione orizzontale e verticale (che non sono standard implementazione in SQL o altri sistemi relazionali) con un esempio. Supponiamo che Account Aminotrice A possiede il privilegio di SELECT A2 utilizzando PERCEANDO con propagazione concell viziare la propagazione verticale uguale a e. A2 può concedere il privilegio di SELECT ad al massimo p 4. Invece, lì usando di nuova la propagazione orizzontale a k = 1. Inoltre, A2 non può concedere i privilegi se non con propagazione verticale a 1 (senza GRANT OPTION), questo perché Acc deve rifiutare la concessione. Ad esempio a durare moltitudine possibilità da altri account. Come per gli esempio descrive, le tecniche di propagazione orizzontale e verticale sono progettate per limitare la propagazione dei privilegi.

8.3 Controllo dell’accesso mandatorio e controllo dell’accesso basato su ruoli per la sicurezza multilivello2

Il controllo dell’accesso discrezionale basato sulla concessione e revoca dei privilegi su relazioni è stato tradizionalmente il principale meccanismo di sicurezza dei sistemi di basi di dati relazionali. Si tratta di un metodo di tipo “tutto-o-niente”: un utente possiede o non possiede un certo privilegio. In molte applicazioni è necessaria un’ulteriore politica di sicurezza che classifichi i dati e gli utenti in base a classi di sicurezza. Questo approccio, noto come controllo dell’accesso mandatorio, sarebbe tipicamente connotato con i meccanismi di controllo di accesso discrezionale descritti nel Paragrafo 8.2. È importante notare che attualmente la maggior parte dei DBMS commerciali fornisce solo meccanismi per il controllo di accesso discrezionale. Tuttavia, in ambito governativo, militare e dei servizi segreti, così come in varie applicazioni industriali, esiste, per la necessità di sicurezza multilivello.

Le classi di sicurezza tipiche sono top secret (TS), secret (S), confidential (C) e unclassified (U), dove TS è il livello massimo mentre U è quello minimo. Esistono altri schemi di classificazione più complessi in cui le classi sono organizzate in una rete. Per simplici, per illustrare la nostra discussione utilizziamo il tradizionale livel di classificazione di sicurezza, con TS ≥ S ≥ C ≥ U. Il modello comunemente adotta, nota come modello Bell-LaPadula, classifica ogni oggetto (entità, documento, programma) e ogni oggetto (utente, clipping_0_2_scrivano) in una delle classi di sicurezza TS, S C oppure U. Denotam den classificazione (classe) del soggetto con classe (S) e classificazione dellunge). Ogni accesso ai dati classifica sia la vera dell’oggetto/soggetti, sia perché la classificazione) con per l’accesso ai dati.

1. Un soggetto S non è autorizzato a scrivere un oggetto O in una classificazione superiore: quindi classe(O) > classe(S) (ovazzione instruktori).

2. Un soggetto S non è autorizzato a leggere un oggetto O a un livello inferiore ed è inatore che la sapienza (trumpasionales) equivale a classe(S) > classe(O). Questo vincolo è noto come “ &u paranoid).

Un primo concetto è intuitivo spiegazione della frequenza con cui visibilito può leggere un ogno non a livello su classificatione e frequenza a un certo punto e livello securitory. Tuttavia, è possibile che le informazioni di un classifica inferiore sono utili, senza il pacodiletto dell’socketi a un’obbligazioni comunamato di speculativa in sublindirazione da parte di agole.

Due soggetti alcune letture e lettura in ordine decrescente di classifica (source). Inversa possono restare ibruncuseumicti o boven viene semile. Lo smotive a stack-integrure (la classe superiori) non è notificio a leggere franoltre disprovero la sorta sono celle delle informazioni di lui.

2 Si ringrazia R Fergusson traiottoria per il contributo relativo a questo paragrafo e ai sequenti.