Реализация монитора безопасности СУБД MySQL в DBF/DAM- системах | Прикладная дискретная математика. Приложение. 2014. № 7.

Реализация монитора безопасности СУБД MySQL в DBF/DAM- системах

Предлагается прототип механизма, реализующего политику мандатного управления доступом типа multilevel security (MLS) и type enforcement (TE) на основе разработанной ранее формальной ДП-модели, а также механизм сокрытия структуры базы данных на основе метода переписывания запросов. Прототип реализован в виде DBF/DAM-модуля - для MySQL-proxy, функционирующей между клиентом и сервером системы управления базами данных (СУБД) MySQL как прокси-сервер. При реализации модели безопасности предложен и использован подход, при котором функции в коде соответствуют де-юре правилам формальной ДП-модели.

Implementation of RDBMS MySQL security monitor in DBF/DAM systems.pdf В настоящее время активно развивается подход на основе DBF/DAM-технологий, заключающийся в реализации специализированного прокси-сервера, обепечивающего базовое управление доступом, защиту от основных атак и мониторинг СУБД. Такие системы получили название Database Firewall (DBF) или Database Activity Monitoring (DAM) [1]. Все основные DBF/DAM-системы, к которым можно отнести, например, Oracle Database Firewall, GreenSQL, McAfee DAM, Imperva SecureSphere, ориентированы, как правило, на обнаружение подозрительной активности пользователя и предотвращение возможных атак. При этом механизмам управления доступом уделяется недостаточно внимания, так как предполагается, что они уже реализованы на уровне самой СУБД. В связи с этим реализация современных научно обоснованных механизмов управления доступом на урове DBF/DAM-систем, несомненно, является перспективным направлением и позволяет решить следующие проблемы реализации политик управления доступом в изначально дискреционных СУБД: - необходимость изменять исходный код защищаемой СУБД; - реализацию механизма управления доступом для всех СУБД, поддерживающих язык SQL; - необходимость изменять существующую инфраструктуру СУБД; - уменьшение «поверхности атак» на защищаемую СУБД. Предлагается прототип механизма управления доступом, реализующий политики мандатного управления доступом типа MLS и TE на основе разработанной ранее формальной ДП-модели [2] в виде DBF/DAM-модуля - для MySQL-proxy, а также механизм сокрытия структуры БД на основе метода переписывания запросов. При реализации ДП-модели в коде используется подход, заключающийся в разделении кода на две части: функции управления доступом, соответствующие де-юре правилам преобразования ДП-модели и реализующие логику политик безопасности, и функции адаптации, необходимые для взаимодействия элементов СУБД с элементами механизмов управления доступом. Основой прототипа является система MySQL-proxy [3]. Данная система функционирует между клиентом и сервером СУБД MySQL, предназначена для балансировки нагрузки, обработки запросов, проходящих как от клиента к серверу, так и от сервера к клиенту, реализует механизм аварийного переключения. Для обработки запросов MySQL-proxy использует встроенный язык Lua [4]. Реализован модуль на языке Lua для MySQL-proxy, выполняющий следующие функции: 1) присвоение сущностям (базам данных, таблицам и столбцам) меток безопасности, а также их хранение; 2) синтаксический анализ запроса с целью идентификации всех сущностей; 3) принятие решения о продолжении обработки запроса или его прекращении на основе меток безопасности и мандатной политики управления доступом; 4) сокрытие внутренней структуры БД.

Ключевые слова

компьютерная безопасность, управление доступом, реализация моделей безопасности, DBF/DAM-системы, СУБД MySQL, MySQL-proxy, computer security, access control implementation, DBF/DAM systems, RDBMS MySQL, MySQL-proxy

Авторы

ФИООрганизацияДополнительноE-mail
Ткаченко Николай ОлеговичТомский государственный университетаспирантn.o.tkachenko@gmail.com
Всего: 1

Ссылки

Database Activity Monitoring / Database Firewall. http://www.provision.ro/threat-management/database-security/database-activity-monitoring-database-firewall# pagei-1| pagep-1|
Колегов Д. Н., Ткаченко Н. О., Чернов Д. В. Разработка и реализация мандатных механизмов управления доступом в СУБД MySQL //Прикладная дискретная математика. Приложение. 2013. №6. С. 62-67.
Hinz S., DuBois P., and Stephens J. MySQL 5.7 Reference Manual. http://dev.mysql.com/ doc/refman/5.7/en/mysql-proxy.html
Ierusalimschy R., Henrique de Figueiredo L., and Celes W. The Programming Language Lua. Lua 5.2 Reference Manual. http://lua.org/manual/5.2/
 Реализация монитора безопасности СУБД MySQL в DBF/DAM- системах | Прикладная дискретная математика. Приложение. 2014. № 7.

Реализация монитора безопасности СУБД MySQL в DBF/DAM- системах | Прикладная дискретная математика. Приложение. 2014. № 7.