 |
Secure Shell как средство замены уязвимых сервисов TCP/IP 2 глава
|
|
|
|
Наличие нескольких внутренних БД в распределенной системе, с одной стороны, усложняет проблему безопасности, а с другой - упрощает ее. Поскольку любая БД администрируется автономно, для каждой из них можно реализовать свой собственный способ защиты. Кроме того, в такой архитектуре легко изолировать и обслуживать конфиденциальную информацию. Когда хакер взламывает защиту БД, он получает доступ к содержимому только одной БД, а не ко всей системе в целом.
Для планирования общей системы защиты в распределенной среде полезно наметить уровни обороны. Чтобы добраться до данных, например, с помощью штатных программ администрирования, пользователю необходимо сначала попасть в компьютер (уровень защиты рабочей станции), потом в сеть (сетевой уровень защиты), а уж затем на сервер БД. При этом оперировать конкретными данными пользователь сможет лишь при наличии соответствующих прав доступа (уровень защиты СУБД). Для работы с БД через клиентское приложение придется преодолеть еще один барьер - уровень защиты приложения.
Система защиты должна предоставлять разные уровни доступа к данным: от самого простого (и распространенного), когда всем уполномоченным пользователям предоставляется возможность чтения всех таблиц БД с неконфиденциальной информацией, до наиболее сложного, при котором доступ к данным организован на уровне отдельных строк или столбцов таблиц, Между двух полюсов лежат промежуточные уровни: выборочное чтение и выборочная модификация. В первом случае пользователи могут только просматривать, а во втором - просматривать и редактировать записи из ограниченного списка таблиц, который заранее определяется администратором системы.
|
|
|
Более четко принципы создания защищенных средств связи объектов в распределенных системах могут быть сформулированы следующим образом:
1). Взаимодействие между объектами должно осуществляться по физически выделенному каналу.
2). Надо заранее предусмотреть ситуацию, когда все сообщения, передаваемые по каналу связи, могут быть перехвачены. Но это не должно нарушить безопасность системы в целом или привести к минимальным отрицательным последствиям.
3). Взаимодействие объектов должно быть организовано по виртуальному каналу связи.
4). Для создания виртуального канала рекомендуется использование криптоалгоритмов с открытым ключом (цифровая подпись сообщений и их шифрование).
5). На сетевом уровне должен быть обеспечен контроль за маршрутом сообщений для аутентификации адреса отправителя.
6). Для обеспечения доступности всех сетевых ресурсов должен осуществляться контроль за виртуальными соединениями – как при их создании, так и при использовании.
7). Полезно руководствоваться принципом, согласно которому наиболее безопасна та система, в которой информация о ее объектах изначально полностью определена и в которой не используются алгоритмы удаленного поиска.
8). Использование алгоритмов удаленного поиска лучше всего организовать с выделенного сервера, взаимодействие с которым осуществляется только по виртуальному (а не широковещательному) каналу с применением надежных алгоритмов защиты соединения с обязательным использованием статической ключевой информации.
Какие же средства обеспечения безопасности есть в арсенале администратора системы клиент/сервер?
Во-первых, это разнообразные коммерческие продукты третьих фирм. Например, аппаратно-программный комплекс PacketShaper фирмы Racketeer для назначения приоритетов доступа (группам, пользователям) к ресурсам Internet. Для трафика выделяются участки полосы пропускания (10 Мбит/с шириной) по приоритетам, определяемым по IP-адресу или типу используемого приложения. Аппаратная часть комплекса имеет два порта Ethernet и устанавливается между концентратором и маршрутизатором. Программная часть управляет пропускной способностью TCP-соединения по заголовкам пакетов без прерывания сеанса связи; а также контролирует уровни сервиса с возможностью регулировать скорость соединения и предотвращать перегрузку сети. Управление этим комплексом осуществляется через обычный браузер – Netscape Navigator или Microsoft Internet Explorer.
|
|
|
Вторым примером может служить FloodGate-1 фирмы Checkpoint Software. Это средство динамически управляет пропускной способностью сети на основе весовых коэффициентов и регулирует трафик, направляемый группам и отдельным пользователям в зависимости от использования и активности подключений и их приоритетов. Серверная часть устанавливается на рабочей станции UltraSPARC. FIoodGate-1 может работать автономно или на любой машине, находящейся между маршрутизатором и интра-сетью.
Во-вторых, это встроенные возможности СУБД, которые администратор может и должен использовать в целях защиты информации. Их ценность в том, что контроль доступа происходит постоянно, а не только в момент загрузки приложения. Контроль доступа к БД может быть полностью реализован на сервере. Клиентское приложение просто считывает пароль пользователя и отсылает его на сервер. Далее СУБД по своим внутренним таблицам пользователей проверяет, имеет ли право данный пользователь работать в БД. В случае положительного ответа формируется соединение с рабочей станцией, в противном случае выдается предупреждение и связь с сервером не устанавливается.
В крупных ИС число таблиц может достигать нескольких сотен, и задавать права доступа по всем таблицам для каждого пользователя утомительно. Этот процесс упрощается за счет функций предоставления прав доступа группам пользователей с последующей корректировкой индивидуальных прав. Принадлежность пользователя к конкретной группе определяется типом выполняемых им функций, или ролей, в системе (например, группа разработчиков, менеджеров, операторов, участников тестирования). К сожалению, во многих СУБД минимальным элементом данных, для которого возможен контроль доступа, является таблица. На практике же часто требуется контролировать доступ по отдельным записям или полям. В этом случае проблему приходится решать либо на уровне приложения, например, с помощью табличных фильтров, либо за счет модификации структуры БД путем денормализации таблиц, либо комбинируя оба способа.
|
|
|
Применение средств защиты на уровне приложения - наиболее сложный и дорогой вариант, так как реализовать его может только сам разработчик приложения. Этот метод дает более строгий контроль доступа к данным, поскольку позволяет заложить в систему хитроумные алгоритмы всевозможных проверок, отличные от стандартных, хорошо известных хакерам.
Некоторые разработчики коммерческих приложений вместе с основными продуктами поставляют собственные программы администрирования своих же приложений. При этом администратору системы не нужны внешние программы администрирования, так как вся необходимая информация (списки пользователей, их пароли и права доступа) контролируется упомянутыми утилитами. Средствами утилиты администрирования, которой известна структура меню курируемого приложения, можно открыть или закрыть для его пользователей в соответствии с их ролями соответствующие пункты меню. На уровне интерфейса запрещенные пункты меню отмечаются другим цветом или вообще отсутствуют.
Если с помощью встроенных средств администрирования СУБД контроль доступа на уровне отдельных записей или полей таблиц обеспечить не удается, то это можно сделать на уровне административной утилиты, настроив фильтры типа пользователь/табличный параметр, которые будут накладываться на таблицы во время их индикации в основном приложении.
Чтобы обеспечить контроль целостности структуры БД, прикладная система или утилита администрирования может проверить текущее состояние БД и сравнить его с эталоном (аналогом контрольной суммы), характеристика которого жестко "зашита" в код приложения. При обнаружении несовпадения в аудиторском журнале будет сделана соответствующая запись, или приложение само перестанет работать. Например, легко подменить стандартную процедуру одноименной новой, которая будет делать то же, что и старая, плюс дополнительные функции, полезные хакеру.
|
|
|
На прикладном уровне удобно отслеживать также и те ограничения, которые накладывает поставщик ПО, продавая конкретную конфигурацию системы. Типичный вариант: число одновременно работающих пользователей не должно превышать указанного в лицензии.
Особую роль играют аудиторские журналы, но не те, которые ведутся самой СУБД, а собственные журналы приложения, где фиксируются ошибки и сообщения прикладной системы, а также информация о всех действиях пользователей. Анализ этих журналов позволяет произвести статистический учет ошибок, установить, какие функции системы пользуются наибольшей популярностью, составить профиль активности пользователей (с какими данными они работают, сколько времени на это тратят и т.д.).
Наконец, на прикладном уровне можно реализовать традиционные защитные мероприятия, касающиеся процедуры регистрации пользователей, работы экранных заставок и блокираторов клавиатуры.
Программы управления безопасностью в распределенных системах - мониторы безопасности (о них речь пойдет в специальном разделе, посвященном вспомогательным средствам обеспечения ИБ) - используют глобальные таблицы безопасности (ГТБ), в которых хранятся пользовательские пароли для доступа ко всем узлам системы. Если пользователь правильно вводит первый пароль, от ввода остальных он освобождается. Всю работу за него выполняет монитор, который следит за тем, к какой подсистеме обращается пользователь, выбирает нужный пароль из таблицы и передает его на вход соответствующей подсистемы. В сложных сетевых средах для реализации процедур однократной регистрации применяются также доверительные отношения между серверами разных доменов.
Самый простой и распространенный способ - это централизованный контроль средств безопасности, впервые реализованный в продуктах RACF и ACF2 и позднее заимствованный другими программами. Суть его в том, что для всех элементов распределенной системы используется единый пароль, который после ввода или замены тиражируется по всем узлам системы. Недостаток этой схемы в следующем: при зависании процессора, на котором работает процедура тиражирования, блокируется работа всей системы. Кроме того, если кто-то сумеет перехватить (дешифровать, угадать) пароль на одном узле, то получит свободный доступ к системе в целом.
|
|
|
Другой, более надежный, но и более сложный в реализации способ заключается в том, что ГТБ доступны всем подчиненным системам. В результате можно отказаться от унификаций паролей на всех подсистемах и контролировать доступ ко всем ресурсам из любого узла. При таком подходе администратор только раз настраивает пароли пользователей для всех уровней (сетевого, операционной системы и сервера БД). Эти первичные пароли запоминаются в ГТБ и затем используются монитором безопасности, сопровождающим пользователя в его перемещении по узлам распределенной среды. В дальнейшем пароли каждого уровня не требуется менять вручную, поскольку они автоматически генерируются имеющимися на более низких уровнях подсистемами защиты. Обновленные пароли снова передаются "наверх" в ГТБ. Таким образом, на всех узлах системы действуют уникальные пароли, которые сгенерированы машинным способом и с трудом поддаются подбору. Несмотря на то, что машинные пароли на практике никто не вводит вручную, системы защиты каждого уровня все же могут администрироваться индивидуально, а не только из центрального пункта. Недостаток описанной схемы заключается в том, что сбой централизованной системы защиты, работающей на выделенном процессоре, блокирует доступ всех пользователей к системе в целом. Для борьбы с этой проблемой приходится прибегать к "горячему" резервированию, т.е. хранить копии таблиц безопасности на резервной машине. В этом случае отказ одного процессора будет активизировать работу другого.
Укажем некоторые программные средства компьютерной защиты для среды клиент/сервер.
AutoSecure фирмы Platinum Technology. ПО AutoSecure (первоначально известное под именем SeOS компании Метсо Software) представляет собой набор средств защиты вычислительных систем с серверами под ОС Unix, HP-UX, AIX и SunOS/Solaris и клиентскими станциями с интерфейсом Motif.
В состав программы входят три независимых модуля:
1) AutoSecure Access Control – контролирует доступ пользователей к защищаемым программам и файлам, а в случае попыток несанкционированного доступа извещает о них администратора системы;
2) AutoSecure Security Administrator – служит для ведения списков пользователей, групп пользователей, защищаемых ресурсов, настройки прав доступа пользователей к ресурсам;
3) AutoSecure Single Sign On - открывает пользователям доступ к данным, хранящимся на мэйнфреймах. В этом случае администратор и пользователи получают такой же уровень безопасности и комфортности, как и на больших машинах, где используются системы RACF корпорации IBM или ACF2 от Computer Associates. Ниже приведены основные особенности продукта фирмы Platinum:
• защита корпоративных данных от НСД за счет идентификации пользователей и проверки их полномочий;
• предотвращение случаев нарушения системы защиты и уведомление системного администратора при обнаружении попыток "взлома" и подозрительного поведения пользователей (вроде попыток подбора пароля, запуска приложений из закрытых каталогов и пр.);
• фиксация пользовательской активности в системных журналах;
• возможность администрирования системы защиты с локальных или удаленных компьютеров:
• масштабируемость системы в зависимости от размера компьютерной сети;
• минимизация сетевого трафика без снижения общей производительности за счет обработки авторизованного запроса на том компьютере, откуда он поступил;
• возможность адаптации к промышленным стандартам за счет поддержки технологии защиты, принятой в распределенной вычислительной среде DCE;
• возможность ограничения прав суперпользователя (пользователь Unix с максимальными правами доступа).
Guardian DataLynx. Guardian за короткий срок стал стандартом де-факто для систем учета и контроля доступа в среде Unix. Программа поддерживает около 20 версий этой ОС и имеет общий для всех платформ графический интерфейс Motif. С помощью ПО Guardian администратор системы может назначить временные рамки, в пределах которых пользователи могут регистрироваться в системе. Как только время работы истекает, Guardian вынуждает пользователя закончить работу.
Большое внимание система уделяет дисциплине ведения паролей. Так, программа регулярно напоминает пользователям о необходимости смены паролей, заставляет всех или некоторых пользователей изменять пароли при очередной регистрации, ведет учет ранее вводимых паролей, автоматически генерирует миллионы паролей с форматным контролем (FIPS-181). Когда пользователь превышает число допустимых попыток ввода паролей, Guardian блокирует его вход в систему. Предусмотрено постоянное ведение журналов, в которых фиксируется история работы пользователей.
Программа функционирует на компьютерах HP, IBM и Sun Microsystems.
OmniGuard фирмы Axent Technologies - комплект продуктов, предназначенный для решения проблем безопасности в системах клиент/сервер. Пакет состоит из шести компонентов, позволяющих администрировать базы данных в распределенных сетях масштаба предприятия.
Функции продукта охватывают все аспекты проблемы безопасности в архитектурах клиент/сервер, включая управление защитой данных, идентификацию и администрирование пользователей, мониторинг трафика, контроль за вторжением в систему извне, обеспечение безопасного обмена сообщениями и файлами.
OmniGuard реализован в архитектуре клиент/сервер, поддерживает несколько платформ и конструктивно состоит из трех частей: презентационной части, управляющего сервера и интеллектуального агента. По желанию интерфейс пользователя может быть настроен под X/Motif или Windows. Управляющий сервер работает на платформах NetWare, OpenVMS и различных вариантах Unix.
DBA-Xpert for Oracle фирмы Compuware – средство централизованного администрирования и обеспечения защиты информации в распределенных системах.
Продукт поддерживает работу с произвольным числом баз данных. Имеются средства анализа и навигации для БД Oracle.
Состоит из трех компонентов: Secure-Xpert (централизованное управление системой безопасности для распределенных данных), Change-Xpert (функции синхронизации) и Reorg-Xpert (операции по загрузке/выгрузке данных).
SQL Secure 3.1 фирмы BrainTree Technology – приложение класса клиент/сервер для администрирования средств защиты информации в базах данных Oracle. Программа фиксирует попытки внедрения в систему извне, синхронизирует пароли пользователей в нескольких БД, позволяет гибко настроить процесс внутреннего аудита, регламентирует доступ пользователей к таблицам базы данных на уровне строк.
Благодаря компоненту Password Manager пользователь может работать с несколькими базами данных на разных аппаратных платформах, используя единый пароль. Кроме того, возможна настройка механизма управления паролями пользователей в соответствии с принятыми в конкретной организации стандартами: предусмотрено задание минимальной длины пароля и срока его действия, допустимого числа попыток подбора пароля при регистрации в базе данных.
Администратор может запрограммировать ряд действий, выполняемых в случае обнаружения в системе несанкционированного пользователя или попыток ее "взлома", к которым относятся запрет дальнейшей работы с БД и активизация аварийной процедуры.
Программный модуль Audit Manager предназначен для просмотра аудиторских журналов. При этом возможно наложение фильтра просмотра и определение порядка сортировки записей в журналах. Дополнительно можно описать критические события и действия, которые должны выполняться в случае их возникновения.
Secure Network Services фирмы Oracle – набор сервисных средств, предназначенный для работы с продуктом SQL*Net корпорации Oracle и поддерживающий стандарт шифрования информации R4 компании RSA Data Security. Аппаратные платформы – DEC, Hewlett-Packard, Silicon Graphics и др.
Вопросы для самоконтроля по разделу 4
1. Сколько уровней выделяют в модели информационной системы при организации доступа в другие сети?
2. На каком уровне модели информационной системы организация определяет сервисы, которые станут доступными для пользователей из Internet внутри сети организации?
3. На каком уровне модели информационной системы организация определяет сервисы и службы, которые будут открыты ее сотрудникам в сети Internet?
4. На каком уровне модели информационной системы организация определяет правила разграничения доступа к информационным ресурсам своей сети?
5. На каком уровне модели информационной системы организация определяет правила доступа к ресурсам ОС?
6. На каком уровне модели информационной системы организация определяет правила работы с прикладными программами?
7. На каком уровне модели информационной системы организация определяет правила взаимодействия с удаленными пользователями своей сети?
8. Перечислите этапы создания комплексной системы обеспечения информационной безопасности.
9. На каком этапе производится поиск уязвимых мест в сети организации?
10. Осуществление каких мероприятий предполагает управление безопасностью интрасети?
11. В чем особенности защиты архитектуры клиент/сервер?
12. В чем особенности защиты распределенных сред?
13. Хорошо ли с точки зрения защиты информации хранить данные в отдельных таблицах баз данных, географически удаленных друг от друга, или используя горизонтальную или вертикальную фрагментацию?
14. Как определить степень защиты всей системы?
15. Можно ли использовать встроенные защитные возможности ОС для защиты архитектуры клиент/сервер?
16. Какова защита на уровне приложений для архитектуры клиент/сервер?
17. Назовите некоторые разработки третьих фирм для защиты архитектуры клиент/сервер.
5. ЗАЩИТА ХОСТОВ ИНТРАСЕТИ
Как уже отмечалось выше, хостом в компьютерной сети обычно называют компьютер, который выполняет централизованные функции поддержки этой сети. Именно узел делает программы и файлы данных доступными для других компьютеров в Internet.
Выделим основные причины уязвимости хостов интрасети:
1) открытость сети Internet, свободный доступ к информации по организации сетевого взаимодействия, протоколам и механизмам защиты;
2) наличие ошибок в ПО, ОС и утилитах, которые открыто публикуются в сети;
3) разнородность используемых версий ПО и ОС. которые совместно не могут обеспечить хорошую защиту хоста;
4) сложность организации защиты межсетевого взаимодействия между отдельными хостами;
5) ошибки конфигурирования систем и средств защиты, устанавливаемых на хостах;
6) неправильное или ошибочное администрирование систем, установленных на хостах;
7) несвоевременное отслеживание и выполнение рекомендаций специалистов по защите и анализу случаев вторжения для ликвидации лазеек и ошибок в ПО;
8) "экономия" на средствах и системах обеспечения безопасности или полное их игнорирование;
9) умолчание о случаях нарушения безопасности своего хоста или сети.
Далее в данном разделе рассматривается защита систем управления базами данных и сетевых операционных систем.
5.1. Защита систем управления базами данных
Системы управления базами данных, в особенности реляционные СУБД, стали доминирующим инструментом хранения больших массивов информации. Сколько-нибудь развитые информационные приложения полагаются не на файловые структуры операционных систем, а на многопользовательские СУБД, выполненные в технологии клиент/сервер. В этой связи обеспечение информационной безопасности СУБД (всех трех ее основных аспектов: конфиденциальность, целостность и доступность) и, в первую очередь, их серверных компонентов приобретает решающее значение для безопасности организации в целом. Когда базы данных располагались на больших мэйнфреймах, они разделяли средства защиты с операционными системами. С приходом клиент/серверных приложений пользователи получают возможность миновать процедуру загрузки в ОС и обращаться напрямую к базам данных, где средства защиты не столь надежны.
Общая идея защиты баз данных состоит в следовании рекомендациям, сформулированным для класса безопасности С2 в "Критериях оценки надежных компьютерных систем". В принципе, некоторые СУБД, например INGRES, предлагают дополнения, характерные для класса В1, однако практическое применение подобных дополнений имеет смысл, только если все компоненты информационной структуры организации соответствуют категории безопасности В.
Можно назвать следующие основные направления борьбы с потенциальными угрозами конфиденциальности и целостности данных [67]:
• идентификация и проверка подлинности (аутентификация) пользователей (применяются либо соответствующие механизмы операционной системы, либо SQL-оператор CONNECT);
• управление доступом к данным (владелец объекта передает права доступа к нему (чаще говорят - привилегии доступа и безопасности) по своему усмотрению);
• механизм подотчетности всех действий, влияющих на безопасность;
• защита регистрационной информации от искажений и ее анализ;
• очистка объектов перед их повторным использованием;
• защита информации, передаваемой по линиям связи.
Все эти универсальные рекомендации применимы и к СУБД. Кроме того, специфика СУБД делает потенциально возможными новые угрозы и, соответственно, требует особых мер защиты (например, использования "представлений" - средств управления доступом в СУБД; представления позволяют сделать видимыми для субъектов определенные столбцы базовых таблиц или отобрать определенные строки).
СУБД имеют строгую внутреннюю структуру, и операции над их элементами определены довольно четко. Как правило, эти операции включают в себя четыре основных действия – поиск, вставку, удаление и замену элемента, а остальные носят вспомогательный характер и применяются довольно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев злоумышленники не удостаивают СУБД своим вниманием, предпочитая взламывать защиту интрасети на уровне ОС и получать доступ к файлам СУБД средствами ОС. Но в тех случаях, когда используется СУБД с недостаточно надежными защитными механизмами или плохо протестированная версия СУБД, или администратор СУБД допустил ошибки при определении политики безопасности, злоумышленник без труда преодолеет защиту, реализуемую на уровне СУБД.
Существуют два специфических сценария атаки на СУБД:
1) в первом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись представляет собой денежную сумму, которая хранится на личном счету хакера в банке, а округляемые числовые поля относятся к счетам других клиентов банка);
2) во втором случае злоумышленник получает доступ к полям записей СУБД, содержащим только накопляемую статистическую информацию. Задача взломщика – сформулировать запрос таким образом, чтобы множество записей, для которого собирается статистика, состояло только из одной записи.
Главный источник угроз, специфичных для СУБД, лежит в самой природе баз данных, хранящей информацию. Основным средством взаимодействия с СУБД является язык SQL - мощный непроцедурный инструмент определения и манипулирования данными. Хранимые процедуры добавляют к нему управляющие конструкции. Механизм правил дает возможность выстраивать сложные, трудные для анализа цепочки действий, позволяя попутно неявным образом передавать право на выполнение процедур, даже не имея, строго говоря, полномочий на это. В результате потенциальный злоумышленник получает в свои руки мощный и удобный инструментарий, а все развитие СУБД направлено на то, чтобы сделать этот инструментарий еще мощнее и удобнее.
Получение информации путем логических выводов. Нередко путем логического вывода можно извлечь из базы данных информацию, на получение которой стандартными средствами у пользователя не хватает привилегий.
Если для реализации контроля доступа используются представления и эти представления допускают модификацию, с помощью операций модификации/вставки можно получить информацию о содержимом базовых таблиц, не располагая прямым доступом к ним.
Основным средством борьбы с подобными угрозами, помимо тщательно проектирования модели данных, является механизм размножения строк. Суть его в том, что в состав первичного ключа, явно или неявно, включается метка безопасности, за счет чего появляется возможность хранить в таблице несколько экземпляров строк с одинаковыми значениями "содержательных" ключевых полей. Наиболее естественно размножение строк реализуется в СУБД, поддерживающих метки безопасности (например, в INGRES/Enhanced Security), однако и стандартными SQL-средствами можно получить удовлетворительное решение.
Агрегирование данных. Агрегирование - это метод получения новой информации путем комбинирования данных, добытых легальным образом из различных таблиц. Агрегированная информация может оказаться более секретной, чем каждый из компонентов, ее составивших. Информация об отдельных частях сама по себе не является секретной (какой смысл скрывать материал, размеры и количество гаек?). В то же время анализ всей базы позволяет узнать, как сделать ракету, что может считаться государственной тайной.
Повышение уровня секретности данных при агрегировании вполне естественно - это следствие закона перехода количества в качество. Бороться с агрегированием можно за счет тщательного проектирования модели данных и максимального ограничения доступа пользователей к информации.
Покушения на высокую готовность (доступность). Если пользователю доступны все возможности SQL, он может довольно легко затруднить работу других пользователей инициировав, например, длительную транзакцию, захватывающую большое число таблиц. Современные многопотоковые серверы СУБД отражают лишь самые прямолинейные атаки, состоящие, например, в запуске в "часы пик" операции массовой загрузки данных. Поэтому не рекомендуется предоставлять пользователям непосредственного SQL-доступа к базе данных, используя в качестве фильтров серверы приложений. Выбор подобной архитектуры разумен и по многим другим соображениям.
В качестве угрозы, специфичной для реляционных СУБД, упомянем ссылочные ограничения. Строго говоря, наложение такого ограничения препятствует удалению строк из таблицы, содержащей первичные ключи, хотя в современных версиях SQL можно запросить так называемое каскадное удаление. Впрочем, искажение прочих ограничений на таблицы и их столбцы по-прежнему остается опасным средством покушения на доступность данных.
Защита коммуникаций между сервером и клиентами. Проблема защиты коммуникаций между сервером и клиентами не является специфичной только для СУБД, она присуща всем распределенным системам. Вполне естественно, что и решения здесь ищутся общие, такие, например, как в распределенной вычислительной среде Distributed Computing Environment (DCE) концерна OSF. Разработчикам СУБД остается "погрузить" свои программные продукты в эту среду, что и сделала компания Informix, реализовав Informix-DCE/Net. Informix-DCE/Net открывает доступ к сервисам DCE для всех инструментальных средств Informix, a также любых приложений или инструментальных комплексов от независимых поставщиков, которые используют интерфейс ODBC.
|
|
|
