Харківський національний університет імені В. Н. Каразіна 

Міністерство освіти і науки України 

 

Кваліфікаційна наукова 

праця на правах рукопису 

 

Вілігура Владислав Вікторович 

 

УДК 004.056: 004.65 

 

ДИСЕРТАЦІЯ 

МОДЕЛІ ТА МЕТОДИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ БАЗ ДАНИХ З 

УНІВЕРСАЛЬНИМ БАЗИСОМ ВІДНОШЕНЬ 

 

Спеціальність 125 Кібербезпека та захист інформації 

Галузь знань 12 Інформаційні технології 

 

Подається на здобуття наукового ступеня доктора філософії 

 

 

Дисертація містить результати власних досліджень. Використання ідей, 

результатів і текстів інших авторів мають посилання на відповідне джерело 

_________________В. В. Вілігура 

 

Науковий керівник: Узлов Дмитро Юрійович, кандидат технічних наук. 

 

 

 

Харків – 2024 



2 

АНОТАЦІЯ 

Вілігура В. В. Моделі і методи забезпечення безпеки баз даних з 

універсальним базисом відношень. – Кваліфікаційна наукова праця на правах 

рукопису.  

Дисертація на здобуття наукового ступеня доктора філософії за 

спеціальністю 125 Кібербезпека та захист інформації (Галузь знань 12 

Інформаційні технології). – Харківський національний університет імені 

В. Н. Каразіна Міністерства освіти і науки України, Харків, 2024.  

Дисертація присвячена розробці, удосконаленню та використанню моделей 

та методів забезпечення безпеки баз даних. 

Метою дисертаційної роботи є підвищення ефективності захисту баз 

даних, побудованих на основі схеми з універсальним базисом відношень, шляхом 

розробки та застосування моделей, методів та засобів забезпечення їхньої безпеки. 

У першому розділі дисертації (Сучасний стан, проблеми та завдання 

забезпечення безпеки баз даних) виконано аналіз сучасного стану, основних 

проблем забезпечення безпеки баз даних (БД) та постановку задач дослідження. 

Зокрема, було проведено аналіз підходів та досягнень у галузі забезпечення та 

оцінки безпеки інформаційних систем загалом та баз даних, як їх основного 

функціонального компонента, зокрема, в тому числі проведено аналіз формальних 

моделей управління доступом та забезпечення цілісності даних, як методологічної 

основи побудови систем захисту та оцінки їхньої безпеки. За результатами аналізу 

виявлено недоліки та невирішені питання, що стосуються безпеки баз даних та її 

оцінки, виходячи з яких сформульовано задачі дисертаційного дослідження. 

У другому розділі (Розробка моделі захисту та методу оцінки безпеки бази 

даних) вирішено завдання розробки та обґрунтування моделі захисту бази даних 

на основі системи безпеки з повним перекриттям та методу оцінки безпеки бази 

даних. Завдяки розширенню моделі Клементса–Гофмана (Clements–Hoffman 

model) за рахунок включення безлічі вразливостей об'єктів (що дозволяє більш 



3 

адекватно оцінювати ймовірність небажаного інциденту (реалізації загрози) у 

двофакторній моделі), певному інтегральному показнику захищеності БД (як 

величини зворотної сумарному залишковому ризику, складові компоненти якої 

представляються у вигляді відповідних лінгвістичних змінних), розробленому 

методу оцінювання основних компонент бар'єрів безпеки та захищеності бази 

даних в цілому, що спирається на теорію нечітких множин та ризику, стає 

можливою кількісна оцінка безпеки бази даних, що аналізується. Отримано 

перший та другий наукові результати – удосконалено: 

 модель системи безпеки з повним перекриттям Клементса–Гофмана, яка 

відрізняється від відомої розширеною, за рахунок доповнення моделі множиною 

вразливостей об'єктів, як окремо об'єктивно існуючої категорії, та 

конкретизованим для баз даних складом компонент, що дозволяє більш адекватно 

оцінювати ймовірність небажаного інциденту (реалізації загрози) та захищеність 

бази даних у цілому; 

 метод оцінювання основних компонент бар'єрів безпеки та захищеності 

бази даних в цілому, який на відміну від відомих, за рахунок комплексування 

вдосконаленої моделі Клементса–Гофмана, введеного інтегрального показника 

безпеки, положень теорії нечітких множин та ризику, дозволяє адаптуватися до 

нових умов функціонування та прозоро, комплексно та кількісно оцінювати 

безпеку баз даних з різними моделями даних. 

У третьому розділі (Розробка методів маскування даних) вирішено завдання 

розробки та обґрунтування методів маскування даних, що дозволяють зменшити 

ймовірність реалізації загрози логічного висновку та забезпечити більш 

ефективне приховування коду критично важливих модулів, що постійно 

зберігаються, яке вимагає значно більших обчислювальних і часових витрат на 

його розкриття зловмисником, ніж при використанні існуючих способів, що 

надаються розробниками деяких сучасних систем керування базами даних 

(СКБД). Отримано третій, четвертий та п'ятий наукові результати: 

удосконалено метод маскування MOBAT, що відрізняється від відомого, 

можливістю обфускації (англ. obfuscation) даних, шляхом математичних 



4 

перетворень на основі обчислення операцій за модулем, що застосовуються до 

елементів даних не тільки числового, а й широко поширеного в базах даних 

рядкового типу, що дозволяє суттєво розширити охоплення різноманітних 

маскованих з метою утруднення реалізації зловмисником загрози умовиводу 

даних БД; 

отримали подальший розвиток: 

 метод маскування елементів даних не ключових полів кортежів таблиць 

виробничої бази даних, що відрізняється від відомих оригінальним підходом до 

процесу перемішування з можливістю випадкової заміни елементів даних різного 

типу всередині заданого поля рядка та використання технології динамічного 

маскування, що дозволяє при менших обчислювальних витратах на перетворення 

і без зміни формату вихідних даних забезпечити ефективне приховування даних, 

яке ускладнює реалізацію загрози логічного висновку; 

 метод приховування коду збережених у базі даних програм, який на 

відміну від відомих, дозволяє за рахунок випадкової перестановки (що спирається 

на сучасний варіант алгоритму тасування Фішера-Йейтса) символів коду з 

можливою заміною кожного з них на інший випадково вибраний із стандарту 

Unicode забезпечити більше ефективний (якій вимагає значно більших 

обчислювальних витрат) захист коду від його розкриття зловмисником, при цьому 

гарантуючи цілісність коду. 

Отримано перший практичний результат: розроблений метод маскування 

елементів даних не ключових полів кортежів таблиць виробничої бази даних, 

орієнтований на заплутування, псевдонімізацію (англ. pseudonymisation) даних та 

ускладнення реалізації загрози логічного висновку, дозволяє зменшити час на 

відповідні операції перетворення на (10-17) % щодо методу класичного 

шифрування, при цьому не наводячи до зміни формату та збільшення розмірності 

даних, що зберігаються. Даний метод може бути також використаний у 

невиробничих базах даних, розширюючи можливості так званого статичного 

маскування даних. 



5 

У четвертому розділі (Розробка методу контролю цілісності та 

справжності збережених програм, заснованого на можливостях технології 

блокчейн) вирішено завдання розробки та обґрунтування методу контролю 

цілісності та справжності модулів, що постійно зберігаються, заснованого на 

можливостях технології блокчейн. Отримано шостий науковий результат: 

вперше запропоновано метод моніторингу, що ґрунтується на можливостях 

технології блокчейн, який на відміну від відомих дозволяє за рахунок 

використання створеної зумовленої структури, правил формування первинного та 

наступних блоків у блокчейновому ланцюжку, організації зберігання цієї 

структури в рамках реляційної моделі даних, способів обчислення кореня геш-

дерева, суворо контролювати набір програм БД, їх цілісність, справжність при 

менших обсягах збережених для цього даних і необхідних ресурсів процесора. 

Отримано другий практичний результат: запропонований метод 

моніторингу модулів БД, що постійно зберігаються, вимагає менших обсягів 

збережених для цього даних і ресурсів процесора, ніж відомий метод контрольних 

сум, який для підтримки аналогічного контролю цілісності та справжності PSM 

вимагає виконання процедур гешування та цифрового підпису із збереженням 

відповідних даних для кожного конкретного PSM у конкретній схемі БД, причому 

однаково, не забезпечуючи контроль всього набору PSM загалом. 

У п’ятому розділі (Реалізація методів і засобів захисту в базах даних, 

побудованих на основі схеми з універсальним базисом відношень) вирішено 

завдання обґрунтування та систематизації реалізованих заходів захисту, що 

забезпечують конфіденційність, цілісність даних та постійно збережених модулів 

баз даних з універсальним базисом відношень. Ці заходи ґрунтуються як на 

загальних формальних моделях управління доступом, забезпечення цілісності 

даних, методах, засобах, механізмах, що підтримуються СКБД, на платформі якої 

запропонована схема реалізується, так і на власних, розроблених у рамках 

створення інваріантної до предметних областей схеми БД. Отримано третій 

практичний результат: розроблені в процесі створення схеми БД з УБВ 

спеціальні заходи у вигляді відповідних методів, реалізованих об'єктів схеми 



6 

(тригерів, процедур, пакетів, таблиць, функцій) та правил їх використання 

підвищують безпеку таких БД, забезпечуючи високий ступінь контрольованості 

доступу до даних (аж до конкретного елемента), необхідну конфіденційність, 

цілісність даних та об'єктів схеми БД, на відміну від традиційних реляційних БД, 

що не володіють подібними заходами та функціональністю. 

У шостому розділі (Оцінка безпеки бази даних з універсальним базисом 

відношень) здійснено оцінку безпеки бази даних з універсальним базисом 

відношень та наведено порівняльний аналіз захищеності баз даних, побудованих 

за традиційною технологією та на основі універсального базису відношень. 

Порівняльний аналіз показав, що використання запропонованих у роботі рішень 

дозволить підвищити ефективність / результативність захисту баз даних, 

побудованих на основі схеми з універсальним базисом відношень, більш ніж у 1.5 

рази щодо традиційних реляційних БД. 

Ключові слова: інформаційна система, база даних, база даних з 

універсальним базисом відношень, об'єкт бази даних, безпека, кібербезпека, 

модель безпеки, модель системи захисту з повним перекриттям, ризик, генератор 

псевдовипадкових чисел, маскування даних, шифрування, криптографічний 

захист інформації, цілісність, блокчейн. 

 



7 

ABSTRACT 

Vilihura, V. V. Models and methods for ensuring the security of databases with 

the universal basis of relations. – Qualifying scientific work as a manuscript.  

Thesis for the degree of Doctor of Philosophy in specialty 125 Cybersecurity and 

information protection (Field of knowledge 12 Information Technology). – 

V. N. Karazin Kharkiv National University of the Ministry of Education and Science of 

Ukraine, Kharkiv, 2024.  

The thesis is devoted to the development, improvement and use of models and 

methods for ensuring database security. 

The purpose of the thesis is to increase the efficiency of protection of databases 

built based on the scheme with the universal basis of relations, through the development 

and application of models, methods and means of ensuring their security. 

In the first section of the thesis (Current State, problems and tasks of database 

security) the analysis of the current state, the main problems of ensuring the security of 

databases (DB) and the formulation of research tasks are carried out. In particular, an 

analysis of approaches and achievements in the field of ensuring and assessing the 

security of information systems in general and databases, as their main functional 

component, was carried out, in particular, an analysis of formal models of access control 

and ensuring the integrity of data as a methodological basis for building protection 

systems and assessing their security. Based on the results of the analysis, disadvantages 

and unresolved issues related to the security of databases and its assessment have been 

identified, on the basis of which the tasks of the thesis research have been formulated. 

In the second section (Development of the protection model and the method for 

assessing database security), the problem of developing and justifying the database 

security model based on a full overlap security system and the database security 

assessment method is solved. Due to the extension of the Clements–Hoffman model due 

to the inclusion of a set of vulnerabilities of objects (which allows for a more adequate 

assessment of the probability of an undesirable incident (threat realization) in a two-



8 

factor model), a certain integral indicator of database security (as the inverse of the total 

residual risk, the constituent components of which are represented in the form of 

corresponding linguistic variables), the developed method for assessing the main 

components of security barriers and security of the database as a whole, based on the 

theory of fuzzy sets and risk, it becomes possible to quantify the security of the analyzed 

database. The first and second scientific results were obtained – improved: 

 the model of the security system with a complete overlap of Clements-

Hoffmann, which differs from the well-known extended one, due to the addition of the 

model with a set of vulnerabilities of objects, as a separate objectively existing category, 

and a specified composition of components for databases, which allows for a more 

adequate assessment of the probability of an unwanted incident (threat implementation) 

and the security of the database as a whole; 

 the method for assessing the main components of security barriers and 

security of the database as a whole, which, unlike the known ones, due to the integration 

of the improved Clements-Hoffmann model, the introduced integral security indicator, 

the provisions of the theory of fuzzy sets and risk, allows adapting to new operating 

conditions and transparently, comprehensively and quantitatively assessing the security 

of databases with different data models. 

The third section (Development of data masking methods) solves the problem of 

developing and justifying data masking methods that reduce the probability of the threat 

of logical inference and ensure more effective hiding of the code of critically stored 

modules, which requires much more computational and time costs for its disclosure by 

an attacker than when using the existing methods provided by the developers of some 

modern database management systems (DBMS). The third, fourth and fifth scientific 

results were obtained: 

the method of masking MOBAT, which differs from the known one, in the 

possibility of obfuscation of data, has been improved by means of mathematical 

transformations based on the calculation of operations by modulus, applied to data 

elements not only numeric, but also widespread in databases of string type, which allows 



9 

to significantly expand the coverage of various masked in order to complicate the threat 

of inference of database data by an attacker; 

have been further developed: 

 the method of masking data elements of non-key fields of tuples of tables of 

the production database, which differs from the known ones in the original approach to 

the shuffle process with the possibility of random replacement of data elements of 

different types within a given field of the row and the use of dynamic masking 

technology, which allows with lower computing costs for transformation and without 

changing the format of the original data to ensure effective data hiding, which makes 

difficult to implement the threat of a logical conclusion; 

 the method of hiding the code of programs stored in the database, which, 

unlike the known ones, allows, due to the random rearrangement (based on the modern 

version of the Fisher-Yates shuffle algorithm) of the code symbols with the possible 

replacement of each of them with another randomly selected from the Unicode standard, 

to provide more effective (which requires much higher computing costs) protection of 

the code from its disclosure by an attacker, while guaranteeing the integrity of the code. 

The first practical result was obtained: the developed method of masking data 

elements of non-key fields of tuples of tables of the production database, focused on 

obfuscation, pseudonymisation of data and complication of the implementation of the 

threat of logical inference, allows to reduce the time for the corresponding conversion 

operations by (10-17)% regarding the method of classical encryption, while not leading 

to a change in the format and an increase in the dimension of the stored data. This 

method can also be used in non-production databases, expanding the possibilities of so-

called static data masking. 

In the fourth section (Development of the method for controlling the integrity and 

authenticity of stored programs based on the capabilities of blockchain technology), the 

problem of developing and substantiating a method for controlling the integrity and 

authenticity of permanently stored modules, based on the capabilities of blockchain 

technology, is solved. The sixth scientific result was obtained: for the first time a method 

of monitoring based on the capabilities of blockchain technology is proposed, which, 



10 

unlike the known ones, allows, through the use of the created predetermined structure, 

rules for the formation of the primary and subsequent blocks in the blockchain chain, 

the organization of storage of this structure within the framework of a relational data 

model, methods of calculating the root of the hash tree, to strictly control the set of 

database programs, their integrity, authenticity with smaller volumes of data stored for 

this and the necessary resources processor. 

The second practical result is obtained: the proposed method of monitoring 

permanently stored database modules requires smaller amounts of data and processor 

resources stored for this purpose than the well-known method of checksums, which, in 

order to maintain similar control over the integrity and authenticity of PSM, requires the 

execution of hashing and digital signature procedures with the preservation of the 

corresponding data for each specific PSM in a specific database schema, and in the same 

way, without providing control of the entire PSM set as a whole. 

In the fifth section (Implementation of methods and means of protection in 

databases built based on the scheme with the universal basis of relations) the problem 

of substantiation and systematization of the implemented protection measures that 

ensure confidentiality, data integrity and permanently stored database modules with the 

universal basis of relations is solved. These measures are based on both general formal 

models of access control, data integrity, methods, means, mechanisms supported by the 

DBMS, on the platform of which the proposed scheme is being implemented, and on 

our own, developed within the framework of creating a database scheme invariant to 

subject areas. The third practical result was obtained: special measures developed in the 

process of creating a database schema with UBV in the form of appropriate methods, 

implemented schema objects (triggers, procedures, packages, tables, functions) and 

rules for their use increase the security of such databases, providing a high degree of 

control of access to data (up to a specific element), the necessary confidentiality, 

integrity of data and objects of the database scheme, in contrast to traditional relational 

databases, that do not have such measures and functionality. 

In the sixth section (Assessment of the security of database with the universal 

basis of relations) an assessment of the security of a database with the universal basis of 



11 

relations is carried out and a comparative analysis of the security of databases built on 

the traditional technology and on the basis of the universal basis of relations is provided. 

A comparative analysis has shown that the use of the solutions proposed in the work 

will increase the efficiency / effectiveness of the protection of databases built on the 

basis of the scheme with the universal basis of relations, more than 1.5 times relative to 

traditional relational databases. 

Keywords: information system, database, database with the universal basis of 

relations, database object, security, cyber security, security model, full overlap security 

system model, risk, pseudorandom number generator, data masking, encryption, 

information cryptographic protection, integrity, blockchain. 

 



12 

СПИСОК ПУБЛІКАЦІЙ ЗДОБУВАЧА ЗА ТЕМОЮ ДИСЕРТАЦІЇ 

Наукові публікації у фахових виданнях України: 

1. Yesin V. I., Vilihura V. V. Some approach to data masking as means to counter the 

inference threat. Radiotekhnika. 2019. № 198. P. 113–130.  

(Особистий внесок здобувача: розроблені метод маскування даних на основі 

обчислення операцій за модулем, метод маскування даних поля рядка таблиці 

бази даних). 

2. Вілігура В. В., Горбенко Ю. І., Єсін В. І., Рассомахін С. Г. Використання 

формальних моделей безпеки в захищених базах даних. Фізико-математичне 

моделювання та інформаційні технології. 2021. № 32. С. 70–74. 

(Особистий внесок здобувача: аналіз моделей безпеки на основі дискреційної, 

мандатної, рольової політики із зазначенням рекомендацій щодо їх застосування 

при розробці захищених баз даних). 

3. Єсін В. І., Вілігура В. В. Дослідження основних методів і схем шифрування з 

можливостю пошуку. Радіотехніка. 2022. № 209. С. 138–155. 

(Особистий внесок здобувача: аналіз моделей та архітектур існуючих захищених 

пошукових систем з урахуванням особливостей сценаріїв їхнього 

функціонування; порівняльний аналіз продуктивності відомих класичних схем 

симетричного шифрування з можливістю пошуку). 

4. Єсін В. І., Вілігура В. В. Дослідження основних схем шифрування з можливістю 

пошуку у базах даних, які підтримують SQL. Радіотехніка. 2022. № 210. С. 53–

74. 

(Особистий внесок здобувача: аналіз основних систем шифрування з можливістю 

пошуку в базах даних, які підтримують мову структурних запитів SQL, з метою 

виявлення слабких і сильних сторін аналізованих систем та реалізованих у них 

методів для визначення можливості практичного їх використання в конкретних 

умовах функціонування). 

5. Єсін В. І., Вілігура В. В. Основні категорії NewSQL баз даних та їх особливості. 

Радіотехніка. 2022. № 211. С. 37–66. 



13 

(Особистий внесок здобувача: аналіз важливих характеристик (зокрема безпеки), 

властивих NewSQL, традиційним реляційним і NoSQL системам баз даних, із 

зазначенням рекомендацій щодо їх застосування у майбутньому, на наступному 

витку спіралі розвитку технологій баз даних). 

6. Єсін В. І., Вілігура В. В., Сватовський І. І. Забезпечення безпеки у розподілених 

інформаційних системах: основні аспекти. Радіотехніка. 2023. Вип. 214. С. 32–

63. 

(Особистий внесок здобувача: аналіз актуальних сучасних методів, прийомів та 

засобів забезпечення безпеки розподілених інформаційних системах та їх 

основного функціонального компонента – бази даних). 

7. Єсін В. І., Вілігура В. В., Узлов Д. Ю. Огляд існуючих моделей та основних 

принципів нульової довіри. Радіотехніка. 2024. Вип. 217. С. 39–54. 

(Особистий внесок здобувача: аналіз моделей та ключових принципів концепції 

нульової довіри, як нового фундаментального підходу до інформаційної безпеки, 

кібербезпеки). 

Наукова публікація у зарубіжних виданнях, що входять до міжнародних 

наукометричних баз Scopus та Web of Science: 

8. Yesin V. I., Vilihura V. V. Method for development of databases easily adaptable to 

variations in the subject domain. Telecommunications and Radio Engineering. 2019. 

№ 78(7). P. 595–605. (Scopus). 

(Особистий внесок здобувача: оцінка завершеності створення бази даних, що 

відповідає заданим вимогам, на основі аналізу певних значень показників якості). 

9. Yesin V. I., Karpinski M., Yesina M. V., Vilihura V. V. Formalized representation 

for the data model with the universal basis of relations. International Journal of 

Computing. 2019. № 18(4). P. 453–460. (Scopus). 

(Особистий внесок здобувача: розробка принципів побудови алгоритму 

відображення концептуальної моделі предметної області у відношення 

універсального базису, що дозволяє в умовах динамічних змін предметних 



14 

областей спростити процес створення логічних схем реляційних баз даних, що 

задовольняють заданим вимогам). 

10. Yesin V. I., Yesina M. V., Vilihura V. V. Monitoring the integrity and authenticity 

of stored database objects. Telecommunications and Radio Engineering. 2020. 

№ 79(12). P. 1029–1054. (Scopus). 

(Особистий внесок здобувача: визначення структур блоків у блокчейновому 

ланцюжку та методів обчислення кореня геш-дерева, що формується на основі 

бінарних дерев різних типів, розробка принципів відображення структури 

блокчейну у відношення реляційної моделі даних, що дозволяє забезпечувати 

своєчасний моніторинг цілісності, справжності об'єктів, що зберігаються в базі 

даних при меншому обчислювальному ресурсі і меншій надмірності необхідних 

для цього даних, порівняно з існуючими методами). 

11. Yesin V., Karpinski M., Yesina M., Vilihura V., K. Warwas K. Hiding the Source 

Code of Stored Database Programs. Information. 2020. № 11(12). 576. (Scopus, Web 

of Science). 

(Особистий внесок здобувача: розробка методу та основних принципів побудови 

алгоритмів маскування вихідного коду збережених програм та дослідження їх 

властивостей). 

12. Yesin V., Karpinski M., Yesina M., Vilihura V., Warwas K. Ensuring Data Integrity 

in Databases with the Universal Basis of Relations. Applied Sciences. 2021. № 11(18). 

8781. (Scopus, Web of Science). 

(Особистий внесок здобувача: аналіз моделі Кларка-Вілсона та розробка на основі 

її рекомендацій методів та засобів, що забезпечують цілісність основних 

компонентів бази даних з універсальним базисом відношень). 

13. Yesin V., Karpinski M., Yesina M., Vilihura V., Rajba S. A. Technique for 

Evaluating the Security of Relational Databases Based on the Enhanced Clements–

Hoffman Model. Applied Sciences. 2021. № 11(23). 11175. (Scopus, Web of Science). 

(Особистий внесок здобувача: розробка вдосконаленої моделі Клементса-

Хоффмана та методу оцінювання захищеності бази даних, дослідження безпеки 

реляційних баз даних, спроектованих за різними технологіями). 



15 

14. Yesin V., Karpinski M., Yesina M., Vilihura V., Kozak R., Shevchuk R. Technique 

for Searching Data in a Cryptographically Protected SQL Database. Applied Sciences. 

2023. № 13(20). 11525. (Scopus, Web of Science) 

(Особистий внесок здобувача: розробка методики пошуку в криптографічно 

захищеній базі даних, що дозволяє серверу СКБД виконувати функції пошуку за 

зашифрованими даними так само, як і в незашифрованій базі даних, і що 

забезпечує належну конфіденційність даних, що зберігаються, при прийнятних 

накладних витратах). 

Наукові праці, які засвідчують апробацію матеріалів дисертації: 

15. Вілігура В. В., Єсін В. В. Використання національного криптоалгоритму для 

захисту персональних даних в СУБД Oracle. Комп’ютерне моделювання у 

наукоємних технологіях (КМНТ-2016): Праці науково-технічної міжнародної 

конференції, 26-31 травня 2016 р. Харків: Харківський національний університет 

імені В. Н. Каразіна, 2016. С. 77–80. 

(Особистий внесок здобувача: оцінка можливості та доцільності використання 

національного криптоалгоритму «Калина» для захисту персональних даних в 

СКБД Oracle). 

16. Yesin V. I., Karpinski M., Yesina M. V., Vilihura V. V., Veselska O., L. Wieclaw 

L. Approach to Managing Data From Diverse Sources. Intelligent Data Acquisition and 

Advanced Computing Systems: Technology and Applications (IDAACS): Proceedings of 

the 2019 10th IEEE International Conference, 18-21 September, 2019, Metz, France, 

Volume 1, P. 1–6. (Scopus, Web of Science). 

(Особистий внесок здобувача: розробка методу, операції якого спрямовані на 

підготовку інформаційних продуктів та конфігураційної бази даних середовища 

управління простором даних компанії до використання). 

17. Вілігура В. В. Систематизація загроз і вразливостей характерних для баз даних 

і СУБД. Праці 7-ої Міжнародній конференції «Комп'ютерне моделювання в 

наукоємних технологіях (КМНТ-2021), 21-23 квітня 2021 р. Харків: Харківський 

національний університет імені В. Н. Каразіна, 2021. С. 83–86. 



16 

Наукові публікації, що додатково відображають зміст дисертації: 

18. Advances in Information Security and Privacy. In: Lax G., Russo A. (eds). MDPI: 

Basel, Switzerland. 2022. 344 p. (Yesin V., Karpinski M., Yesina M., Vilihura V., Rajba 

S. A., Warwas K. P. 257–294). ISBN 978-3-0365-5296-5 (hardback); ISBN 978-3-

0365-5295-8 (PDF). https://doi.org/10.3390/books978-3-0365-5295-8. 

(Особистий внесок здобувача: аналіз моделей Кларка-Вілсона та Клементса-

Хоффмана із розробкою методів та засобів, що забезпечують цілісність основних 

компонентів бази даних з універсальним базисом відношень, та дозволяють 

оцінювати захищеність баз даних, спроектованих за різними технологіями). 

19. Mathematics and Computer Science – Contemporary Developments. In: El-Sayed 

Mohamed Abo-Dahab Khedary (eds). BP International: Hooghly, West Bengal, India, 

2024. Vol. 1. 95 p. (Yesin V., Karpinski M., Yesina M., Vilihura V., Kozak R., 

Shevchuk R. Introducing a Technique for Searching Data in a Cryptographically 

Protected SQL Database. P. 1–29.). ISBN 978-81-977283-5-8 (Print), ISBN 978-81-

977283-6-5 (eBook). https://doi.org/10.9734/bpi/mcscd/v1. 

(Особистий внесок здобувача: розробка методики пошуку даних у 

криптографічно захищеній базі даних із збереженням конфіденційності даних, що 

зберігаються, при прийнятних накладних витратах). 

 



17 

ЗМІСТ 

ПЕРЕЛІК СКОРОЧЕНЬ, УМОВНИХ ПОЗНАЧЕНЬ ……………………............. 20 

ВСТУП ………………………………………………………………........................ 22 

1 СУЧАСНИЙ СТАН, ПРОБЛЕМИ ТА ЗАВДАННЯ ЗАБЕЗПЕЧЕННЯ 

БЕЗПЕКИ БАЗ ДАНИХ …………………………………………………................ 33 

1.1 Сучасний стан та основні проблеми забезпечення безпеки баз даних ……… 33 

1.2 Аналіз формальних моделей безпеки та їх застосування для баз даних …… 42 

1.2.1 Моделі управління доступом ……………………………………................ 44 

1.2.1.1 Моделі безпеки на основі дискреційної політики …………………….. 44 

1.2.1.2 Моделі безпеки на основі мандатної політики ……………………….. 49 

1.2.1.3 Рольова модель управління доступом ………………………................ 54 

1.2.2 Модель забезпечення цілісності даних Кларка-Вілсона ………………… 57 

1.3 Висновки за розділом …………………………………………………............. 64 

2 РОЗРОБКА МОДЕЛІ ЗАХИСТУ ТА МЕТОДУ ОЦІНКИ БЕЗПЕКИ БАЗИ 

ДАНИХ ....................................................................................................................... 67 

2.1 Формалізація задачі забезпечення безпеки бази даних на основі системи 

захисту з повним перекриттям ……………………………………………………. 68 

2.2 Показник захищеності бази даних …………………………............................. 72 

2.3 Удосконалена модель Клементса–Гофмана для баз даних …………………. 73 

2.4 Метод оцінювання основних компонентів бар'єрів безпеки та захищеності 

бази даних ................................................................................................................... 80 

2.5 Висновки за розділом ………………………………………………………….. 93 

3 РОЗРОБКА МЕТОДІВ МАСКУВАННЯ ДАНИХ ……………………………... 95 

3.1 Метод маскування даних на основі обчислення операцій за модулем …….. 95 

3.2 Метод маскування даних поля рядка таблиці бази даних .............................. 99 

3.2.1 Характеристика основних етапів процесу маскування …………….......... 102 

3.2.2 Характеристика основних етапів процесу зворотного до маскування ….. 106 

3.2.3 Важливі модифікації методу маскування даних …………………………. 109 



18 

3.2.4 Порівняльний аналіз можливостей запропонованого методу та методу 

шифрування щодо приховування даних …………………………………………... 113 

3.2.5 Рекомендації щодо застосування методів маскування даних …………… 117 

3.3 Метод приховування вихідного коду збережених програм ............................ 119 

3.3.1 Характеристика основних етапів процесу маскування ………………….. 119 

3.3.2 Характеристика основних етапів зворотного до маскування процесу ….. 128 

3.3.3 Оцінка можливості використання шифрування для приховування 

вихідного коду збережених програм ……………………………………………… 131 

3.4 Висновки за розділом …………………………………………………............. 133 

4 РОЗРОБКА МЕТОДУ КОНТРОЛЮ ЦІЛІСНОСТІ ТА СПРАВЖНОСТІ 

ЗБЕРЕЖЕНИХ ПРОГРАМ, ЗАСНОВАНОГО НА МОЖЛИВОСТЯХ 

ТЕХНОЛОГІЇ БЛОКЧЕЙН ………………………………………………………... 136 

4.1 Визначення структури первинного блока ………............................................ 137 

4.2 Визначення структури блоків …….................................................................... 138 

4.3 Методи знаходження кореневого значення геш-дерева …….......................... 140 

4.3.1 Метод обчислення кореня дерева Меркла, що формується на основі 

незбалансованого бінарного дерева ………………………………………………. 143 

4.3.2 Метод обчислення кореня дерева Меркла, що формується на основі 

повного бінарного дерева ……………………………………….............................. 145 

4.4 Відображення структури блокчейна у відношення реляційної моделі …….. 149 

4.5 Висновки за розділом …………………………………………………………. 155 

5 РЕАЛІЗАЦІЯ МЕТОДІВ І ЗАСОБІВ ЗАХИСТУ В БАЗАХ ДАНИХ, 

ПОБУДОВАНИХ НА ОСНОВІ СХЕМИ З УНІВЕРСАЛЬНИМ БАЗИСОМ 

ВІДНОШЕНЬ ………………………………………………………………………. 157 

5.1 Методи та засоби забезпечення конфіденційності даних …............................. 157 

5.2 Забезпечення цілісності баз даних з універсальним базисом відношень 

відповідно до рекомендацій моделі Кларка-Вілсона …………………………….. 160 

5.3 Систематизація реалізованих заходів захисту ……………………………….. 171 

5.4 Висновки за розділом ………………………………………………………….. 174 



19 

6 ОЦІНКА БЕЗПЕКИ БАЗИ ДАНИХ З УНІВЕРСАЛЬНИМ БАЗИСОМ 

ВІДНОШЕНЬ ……………………………………………………………….............. 176 

6.1 Основні прийняті припущення .......................................................................... 176 

6.2 Порівняльний аналіз захищеності баз даних, побудованих за традиційною 

технологією та на основі універсального базису відношень ……………………. 180 

6.3 Висновки за розділом ………………………………………………………….. 183 

ВИСНОВКИ ………………………………………………………………………... 185 

ПЕРЕЛІК ПОСИЛАНЬ …………………………………………………….............. 189 

ДОДАТОК А. СПИСОК ПУБЛІКАЦІЙ ЗДОБУВАЧА ЗА ТЕМОЮ 

ДИСЕРТАЦІЇ ……………………………………………………………….............. 214 

ДОДАТОК Б. ТЕРМІНОЛОГІЧНИЙ БАЗИС ДОСЛІДЖЕННЯ ……………….. 219 

ДОДАТОК В. ПРИКЛАДИ ПЕРЕТВОРЕНЬ …………………………………….. 224 

ДОДАТОК Г. ПРИКЛАДИ СТРУКТУРИ БЛОКІВ ЛАНЦЮЖКА БЛОКІВ 

БЛОКЧЕЙНА ……………………………………………………............................. 235 

ДОДАТОК Д. ЛІСТИНГИ ПРОГРАМ, ЩО РЕАЛІЗУЄ МЕТОДИ 

ПРИХОВУВАННЯ, ТА ПРИКЛАД ШАБЛОНУ КОМАНД З УПРАВЛІННЯ 

ДОСТУПОМ ……………………………………………........................................... 238 

ДОДАТОК Е. РЕЗУЛЬТАТИ ОЦІНКИ ОСНОВНИХ КОМПОНЕНТ БАР'ЄРІВ 

БЕЗПЕКИ …………………………………………………………………………… 245 

ДОДАТОК Ж. АКТИ ВПРОВАДЖЕНЬ РЕЗУЛЬТАТІВ ДИСЕРТАЦІЙНОЇ 

РОБОТИ …………………………………………….................................................. 250 

 

 



20 

ПЕРЕЛІК СКОРОЧЕНЬ, УМОВНИХ ПОЗНАЧЕНЬ 

ACID – Atomicity, Consistency, Isolation, Durability 

BLOB – Binary Large Object 

CIA – Confidentiality, Integrity, Availability 

CLOB – Character Large Object 

CWE – Common Weakness Enumeration 

DISA – Defense Information Systems Agency 

EISP – Enterprise Information Security Policies 

FGAC – Fine Grained Access Control 

FPE – Format-Preserving Encryption 

HIPAA – Health Insurance Portability and Accountability Act 

ISSP – Issue-Specific Security Policies 

GDPR – General Data Protection Regulation 

ID – Identifier 

IMA – Inverse masking algorithm 

MA – Masking algorithm 

MAC – Message Authentication Code 

MOBAT – Modulus Based Technique 

NIST – National Institute of Standards and Technology 

OLS – Oracle Label Security 

PCI DSS – Payment Card Industry Data Security Standard 

PK – Primary Key 

PSM – Persistent Stored Modules 

PRNG – Pseudorandom Number Generators 

RAID – Redundant Array of Independent Disks 

RBAC – Role-Based Access Control 

RDBMS – Relational Database Management System 

RLS – Row-Level Security 

SQL – Structured Query Language 



21 

SysSP – Systems-Specific Security Policies 

TAM – Type Access Matrix 

TDE – Transparent Data Encryption 

UML – Unified Modeling Language  

VPD – Virtual Private Database 

XML – Extensible Markup Language 

АБД – адміністратор бази даних 

БД – база даних 

БД з УБВ – база даних з універсальним базисом відношень 

ГПВЧ – генератор псевдовипадкових чисел 

ВК – відкритий ключ 

ЗІ – захист інформації 

ЗК – закритий ключ 

ІБ – інформаційна безпека 

ІС – інформаційна система 

ІСОУ – інформаційна система організаційного управління 

ІТ – інформаційна технологія 

ЛКГ – лінійний конгруентний генератор 

ММД – мова моделі даних 

НСД – несанкціонований доступ 

ОС – операційна система 

ПЗ – програмне забезпечення 

ПрО – предметна область 

РБД – реляційна БД 

РСКБД – реляційна СКБД 

СД – сховище даних 

СКБД – система керування базами даних 

СУІБ – система управління інформаційною безпекою 

УБВ – універсальний базис відношень 

 

http://www.oracle.com/technology/deploy/security/database-security/transparent-data-encryption/index.html


22 

ВСТУП 

Обґрунтування вибору теми дослідження. У сучасному світі інформація 

перетворилася на один з найважливіших ресурсів суспільства, а інформаційні 

системи (ІС), основним функціональним компонентом яких є бази даних (БД), 

стали необхідним інструментом практично у всіх сферах діяльності людини, 

надаючи їй достовірну інформацію для прийняття оптимального рішення. При 

цьому вдосконалення технологій баз даних це напрям, що динамічно 

розвивається, дослідження в якому не припиняються, а ведуться з наростаючою 

інтенсивністю, так як з часом змінюються середовища та умови функціонування 

систем баз даних, удосконалюються апаратні засоби та засоби програмування, 

з'являються нові сфери застосунків, змінюються їх характер та вимоги. Зростання 

Великих Даних (Big Data) та бачення світу, керованого даними, відкривають 

багато цікавих можливостей, одночасно виявляючи безліч невирішених проблем 

[1, 2]. У тому числі, нова епоха Big Data, що залучила багатьох дослідників у «гру 

управління даними» і змусила відмовитися від звичних способів проектування, 

розробки та впровадження рішень управління даними, загострила проблему 

безпеки даних. Так як зріс інтерес до інформації, що циркулює всередині ІС, не 

тільки з боку законних користувачів і власників, але і з боку зловмисників. Для 

останніх бази, сховища даних, як найважливіший інформаційний ресурс, є одним 

із найуразливіших і найпривабливіших елементів ІС. За своєю природою, як 

неодноразово заявляв відомий учений, спеціаліст у галузі безпеки Росс Андерсон, 

«великі бази даних ніколи не будуть вільні від зловживань… якщо ви проектуєте 

велику систему для полегшення доступу, вона стає небезпечною, а якщо ви робите 

її водонепроникною (англ. watertight), її неможливо використовувати» [3]. 

Усе це змушує шукати нові підходи ефективного вирішення новостворених 

і традиційних проблем: організації архітектури систем баз даних, методів доступу; 

вдосконалення технологій та методів моделювання даних; розвитку 

функціональності користувальницьких інтерфейсів; інтеграції інформаційних 

ресурсів; удосконалення методології розробки застосунків; забезпечення безпеки 



23 

даних тощо. При цьому слід враховувати і виходити з того, що для різних 

конкретних цілей необхідні різні системи як діючі, так і перспективні, що 

дозволяють вирішувати актуальні проблеми користувачів цих систем в умовах 

обмежених ресурсів, що виділяються. Разом з тим, як зазначають фахівці 

всесвітньо відомої компанії Gartner, Inc. [4] вибір продукту, заснований на його 

особливій популярності, може бути дуже недалекоглядним. 

Проведені дослідження актуального стану інформатизації у різних 

компаніях, організаціях, установах свідчать, що у багатьох із них сьогодні 

експлуатуються різнопланові інформаційні системи організаційного управління 

(ІСОУ), призначені для автоматизації функцій управлінського персоналу, як 

промислових підприємств, так і непромислових організацій. Основними 

функціями подібних систем є: оперативний контроль та регулювання, 

оперативний облік та аналіз, перспективне та оперативне планування, 

бухгалтерський облік, управління збутом та постачанням та інші економічні та 

організаційні завдання. При цьому для вирішення нових завдань, пов'язаних з 

розширенням сфери діяльності та, відповідно, предметних областей (ПрО), у них 

виникає потреба у більш функціональних, з покращеними характеристиками 

якості інформаційних систем, у тому числі що забезпечують високі вимоги 

безпеки даних, що зберігаються, та в сукупності, що вимагають менших витрат на 

супровід. 

У цих умовах затребуваними стають проекти з розробки нових ІСОУ та їх 

інтеграції з інформаційними системами, що існують; з розробки нових ІСОУ з 

метою заміни існуючих ІС; модернізації існуючих ІСОУ. Суть даних проектів 

полягає у систематичній трансформації існуючої системи – проведенні процедур 

реінжинірингу існуючих ІС та їх основного функціонального компонента – бази 

даних. При цьому однією з важливих вимог, що висуваються до процесу 

реінжинірингу існуючих ІСОУ та їх баз даних, є своєчасність завершення 

відповідних проектів з інформаційних технологій (ІТ) у рамках запланованого 

бюджету із заданими характеристиками якості. Проте, як свідчать результати 

аналізу ІT-проектів [5-7], багато проектів було провалено або завершено із 



24 

запізненням, причому з набагато більшими витратами, ніж планувалося. Це, як 

правило, пов'язане з обмеженістю функціональності відповідних методів 

проектування. У контексті баз даних, конкретніше реляційних баз даних (РБД), як 

тих, що отримали найбільше поширення (цю тезу підтверджують результати DB-

Engines і PYPL (PopularitY of Programming Language) рейтингів [8, 9], а також 

звіти експертів Gartner, Inc.), в тому числі і в ІС класу, що розглядається, зазначена 

обмеженість обумовлена орієнтацією традиційної методології їх проектування на 

ітераційну, досить складну та трудомістку процедуру створення унікальних 

концептуальної моделі, логічної та фізичної схем при розробці нової БД, або на 

істотне їх перетворення при модернізації. Що часто спричиняє значні, не завжди 

прогнозовані об'єктивні витрати часових та фінансових ресурсів. У зв'язку з чим 

для вирішення цієї проблеми в роботах [10-15] було методологічно обґрунтовано 

та запропоновано використання баз даних, побудованих на основі схеми з 

універсальним базисом відношень. Однак, хоча в частині цих робіт і були 

порушені питання присвячені необхідності забезпечення безпеки даних, що 

зберігаються в ній, але глибокого опрацювання ця проблема в них не отримала. 

На сучасному етапі розвитку теорії та практики забезпечення безпеки 

інформації, у тому числі в базах та сховищах даних, склалася суперечлива 

ситуація, коли з одного боку є підвищена увага до цих питань, що виражається: 

1) у виконанні великої наукової та практичної роботи зі створення, 

організації та дослідження процесів функціонування, удосконалення та розвитку 

систем захисту інформації, що була проведена і тієї, що проводиться сьогодні 

вітчизняними та зарубіжними вченими, серед яких R. J. Anderson, E. Bertino, 

L. J. Hoffman, W. Mao, C. P. Pfleeger, R. S. Sandhu, B. Schneier, І. Д. Горбенко, 

В. О. Хорошко, В. В. Домарєв, О. Г. Корченко та багатьох інших; 

2) у постійному зростанні асигнувань на забезпечення захисту. За оцінками 

експертів Gartner, Inc. [16], витрати кінцевих користувачів на ринку інформаційної 

безпеки та управління ризиками, будуть збільшуватися із середнім річним темпом 

зростання в 10.8 % з 2020 по 2025 рік і досягнуть 228 мільярдів доларів США; 



25 

3) у прийнятті великої кількості різних міжнародних, вітчизняних 

стандартів та інших законодавчих актів у галузі інформаційної безпеки (ІБ), що 

передбачають високі вимоги до захисту інформації (ЗІ) в інформаційних системах, 

що створюються та експлуатуються, та штрафи за їх невиконання. Наприклад, за 

недотримання положень Загального регламенту захисту персональних даних 

Європейського Союзу (General Data Protection Regulation – GDPR) 

передбачаються серйозні штрафні санкції до компаній-власників баз даних до 20 

мільйонів євро або до 4% загального річного обороту попереднього фінансового 

року, залежно від того що вище [17]. За умисне розкриття персональних даних про 

здоров'я (з метою продажу, передачі або використання інформації) відповідно до 

Закону про переносимість та відповідальність медичного страхування (HIPAA) 

передбачається штраф до 250 тис. доларів США, позбавлення волі до 10 років або 

те й інше [18]. 

Що в цілому має покращити ситуацію із захищеністю ІС та їх основного 

функціонального компонента – БД. 

З іншого боку, спостерігається постійне зростання завданих власникам 

інформаційних ресурсів збитків (тобто дія породжує протидію), про що свідчать 

дані, що регулярно публікуються авторитетними експертами. Згідно зі 

статистикою, останніми роками у світі неухильно зростає кількість витоків та 

обсяг скомпрометованих даних. Згідно з дослідженнями Dell Technologies [19-21] 

було виявлено, що значне зростання породило закономірні складнощі, пов'язані з 

проблемами забезпечення безпеки. Найбільшу небезпеку для даних становить 

зростаюча кількість інцидентів: від кібератак до втрати даних та простою систем. 

Зловмисники продовжують удосконалювати шкідливе програмне забезпечення 

(ПЗ) і виводять його на нові рівні складності та сили ураження. При цьому вони 

все більше починають використовувати шифрування, щоб уникнути виявлення. 

Зростання і різноманітність типів і сімейств шкідливого ПЗ продовжують 

посилювати хаос у ландшафті атак і практично зводять нанівець зусилля 

захисників щодо запобігання і стримування загроз [22]. Шкідливе ПЗ – це 

інноваційна загроза, що швидко розвивається [23]. Також у наші дні серйозною 



26 

проблемою є атаки, пов'язані зі зловживанням законним програмним 

забезпеченням хакерами, які намагаються сховатися за нормальною активністю 

користувачів і систем. Зростаючі можливості кібер-злочинних груп, що 

використовують нові техніки злому, а також складність виявлення таких 

проникнень звичайними засобами викликає серйозну занепокоєність у 

департаментах ІТ-безпеки. Ця проблема посилюється, до того ж, гострою 

нестачею кваліфікованих спеціалістів з питань безпеки. Так експерти Panda 

Security [24] вважали, що до 2021 дефіцит таких фахівців може становити 3,5 

мільйона осіб. Кіберзлочинці вдаються до більш витончених методів атак, 

здійснюючи їх, наприклад, навіть за допомогою пристроїв, що застосовуються для 

контролю та забезпечення безпеки, або, адаптуючи шкідливі програми на базі 

відкритих вихідних кодів, щоб перетворити їх на загрози [25]. 

З усього вищесказаного стає очевидним, що сучасні підходи до 

забезпечення безпеки інформації не повною мірою відповідають відповідним 

вимогам щодо її захисту. Зокрема, без необхідного захисту баз і сховищ даних, 

разом із відповідними чутливими даними, нові інформаційні технології здатні 

порушити як приватне життя людей, а й діяльність різних великих організацій. 

У ситуації, що склалася, беручи до уваги сучасний стан розвитку технологій 

баз, сховищ даних, у тому числі побудованих на основі схеми з універсальним 

базисом відношень, науково-практичні досягнення в галузі ІБ, кваліфікацію 

зловмисників, які постійно вдосконалюють можливості відповідного впливу за 

допомогою шкідливого програмного забезпечення, положення та рекомендації 

різних нормативно-правових актів, доцільним є перегляд підходу до вирішення 

проблеми управління даними та забезпечення їх безпеки, результатом якого були 

певні методи, прийоми, засоби, актуальні як у теоретичному, так і в прикладному 

аспектах.  

При цьому, доцільність досліджень саме баз даних з універсальним базисом 

відношень (УБВ) обумовлена тим, що, по-перше, це дозволить переконатися в 

безпеці даних, що зберігаються і оброблюються в них, а також показати певні 

переваги в захищеності таких БД перед традиційними реляційними базами даних 



27 

ІСОУ. По-друге, на їх прикладі, через те, що бази даних з УБВ можуть 

використовуватися в різній якості – як звичайна БД, сховище даних різних 

предметних областей (ПрО) або конфігураційна БД середовища управління 

простором даних [10-15, 26], застосовуючи певні нові підходи, стає можливою 

розробка деякого цілісного рішення, що забезпечує безпеку реляційних баз даних. 

Окремі елементи такого рішення можуть бути використані для захисту баз та 

сховищ даних із різними моделями (реляційними, NoSQL, NewSQL [7, 27-33]). 

Все вищенаведене дозволяє зробити висновок про актуальність і 

своєчасність рішення науково-прикладного завдання, яке полягає в розробці та 

застосуванні моделей, методів і засобів, що дозволяють підвищити захищеність 

баз даних, побудованих на основі схеми з універсальним базисом відношень. 

Зв'язок роботи з науковими програмами, планами, темами. 

Дисертаційні дослідження проводились в рамках науково-дослідницьких 

робіт: № 39-18 «Механізми, методи, протоколи та засоби криптографічного 

захисту інформації у пост квантовий період» (Шифр «Квант-2019»), № 29-19 

«Механізми та засоби електронного підпису у пост квантовий період», (Шифр 

«Квант-2020»), № 28-20 «Механізми та засоби асиметричних криптоперетворень 

у постквантовий період» (Шифр «Квант-2021»), «Математичні та програмні 

моделі, методи та механізми криптографічного захисту інформації для пост-

квантового середовища в інтересах національної безпеки держави» 

(№ ДР 0121U109939), № 34-21 «Методи та алгоритми постквантових 

криптоперетворень, їх стандартизація та впровадження» (Шифр «Квант-2022»), 

№ 09-22 «Методи та засоби генерування псевдовипадкових та випадкових 

послідовностей на основі класичних та квантових ефектів» (Шифр «Квант-2023»). 

Мета і завдання дослідження. Метою дисертаційної роботи є підвищення 

ефективності захисту баз даних, побудованих на основі схеми з універсальним 

базисом відношень, шляхом розробки та застосування моделей, методів та засобів 

забезпечення їхньої безпеки. 

Для досягнення поставленої мети були сформульовані та вирішені такі 

завдання: 



28 

1. Аналіз сучасного стану та основних проблем забезпечення безпеки баз 

даних. Обґрунтування напряму досліджень. 

2. Розробка та обґрунтування моделі захисту бази даних на основі системи 

безпеки з повним перекриттям та методу оцінки безпеки БД. 

3. Розробка та обґрунтування методів маскування даних, що дозволяють 

зменшити ймовірність реалізації загрози логічного висновку та приховати код 

критично важливих модулів, що постійно зберігаються. 

4. Розробка та обґрунтування методу контролю цілісності та справжності 

модулів, що постійно зберігаються, заснованого на можливостях технології 

блокчейн. 

5. Обґрунтування та систематизація реалізованих заходів захисту, що 

забезпечують конфіденційність, цілісність даних та постійно збережених модулів 

баз даних з універсальним базисом відношень. 

6. Оцінка безпеки бази даних із універсальним базисом відношень. 

Об'єкт дослідження – процес забезпечення безпеки баз даних в умовах 

реалізації різних типів загроз. 

Предмет дослідження – моделі та методи управління доступом, 

забезпечення конфіденційності, цілісності та справжності даних, що зберігаються 

в базах даних з універсальним базисом відношень. 

Методи дослідження. 

Методи досліджень визначені сутністю розв'язуваних задач і включають 

основні положення теорії множин, у тому числі нечітких, теорії графів, баз даних, 

розділи сучасної криптографії, методи математичної логіки та статистики, методи 

маскування, що знайшли застосування у певних класах завдань із приховування 

інформації в базах та сховищах даних, сучасний варіант алгоритму тасування 

Фішера-Йейтса, методи верифікації блоків даних у сучасній блокчейновій моделі. 

Наукова новизна одержаних результатів. У результаті вирішення 

поставлених завдань були отримані наступні нові наукові результати. 

1. Вперше запропоновано метод моніторингу збережених програм, що 

ґрунтується на можливостях технології блокчейн, який на відміну від відомих 



29 

дозволяє за рахунок використання створеної зумовленої структури, правил 

формування первинного та наступних блоків у блокчейновому ланцюжку, 

організації зберігання цієї структури в рамках реляційної моделі даних, способів 

обчислення кореня геш-дерева, суворо контролювати набір програм БД, їх 

цілісність, справжність при менших обсягах збережених для цього даних і 

необхідних ресурсів процесора. 

2. Удосконалено: 

 модель системи безпеки з повним перекриттям Клементса–Гофмана, яка 

відрізняється від відомої розширеною, за рахунок доповнення моделі множиною 

вразливостей об'єктів, як окремо об'єктивно існуючої категорії, та 

конкретизованим для баз даних складом компонент, що дозволяє більш адекватно 

оцінювати ймовірність небажаного інциденту (реалізації загрози) та захищеність 

бази даних у цілому; 

 метод оцінювання основних компонент бар'єрів безпеки та захищеності 

бази даних в цілому, який на відміну від відомих, за рахунок комплексування 

вдосконаленої моделі Клементса–Гофмана, введеного інтегрального показника 

безпеки, положень теорії нечітких множин та ризику, дозволяє адаптуватися до 

нових умов функціонування та прозоро, комплексно та кількісно оцінювати 

безпеку баз даних з різними моделями даних; 

 метод маскування MOBAT, що відрізняється від відомого, можливістю 

обфускації даних, шляхом математичних перетворень на основі обчислення 

операцій за модулем, що застосовуються до елементів даних не тільки числового, 

а й широко поширеного в базах даних рядкового типу, що дозволяє суттєво 

розширити охоплення різноманітних маскованих з метою утруднення реалізації 

зловмисником загрози умовиводу даних БД. 

3. Отримали подальший розвиток: 

 метод маскування елементів даних не ключових полів кортежів таблиць 

виробничої бази даних, що відрізняється від відомих оригінальним підходом до 

процесу перемішування з можливістю випадкової заміни елементів даних різного 

типу всередині заданого поля рядка та використання технології динамічного 



30 

маскування, що дозволяє при менших обчислювальних витратах на перетворення 

і без зміни формату вихідних даних забезпечити ефективне приховування даних, 

яке ускладнює реалізацію загрози логічного висновку; 

 метод приховування коду збережених у базі даних програм, який на 

відміну від відомих, дозволяє за рахунок випадкової перестановки (що спирається 

на сучасний варіант алгоритму тасування Фішера-Йейтса) символів коду з 

можливою заміною кожного з них на інший випадково вибраний із стандарту 

Unicode забезпечити більше ефективний (якій вимагає значно більших 

обчислювальних витрат) захист коду від його розкриття зловмисником, при цьому 

гарантуючи цілісність коду. 

Практичне значення отриманих результатів. 

1. Розроблений метод маскування елементів даних не ключових полів 

кортежів таблиць виробничої бази даних, орієнтований на заплутування, 

псевдонімізацію даних та ускладнення реалізації загрози логічного висновку, 

дозволяє зменшити час на відповідні операції перетворення на (10-17) % щодо 

методу класичного шифрування, при цьому не наводячи до зміни формату та 

збільшення розмірності даних, що зберігаються. Даний метод може бути також 

використаний у невиробничих базах даних, розширюючи можливості так званого 

статичного маскування даних. 

2. Запропонований метод моніторингу модулів БД, що постійно 

зберігаються, вимагає менших обсягів збережених для цього даних і ресурсів 

процесора, ніж відомий метод контрольних сум, який для підтримки аналогічного 

контролю цілісності та справжності PSM вимагає виконання процедур гешування 

та цифрового підпису із збереженням відповідних даних для кожного конкретного 

PSM у конкретній схемі БД, причому однаково, не забезпечуючи контроль всього 

набору PSM загалом. 

3. Розроблені в процесі створення схеми БД з УБВ спеціальні заходи у 

вигляді відповідних методів, реалізованих об'єктів схеми та правил їх 

використання підвищують безпеку таких баз даних, забезпечуючи високий 

ступінь контрольованості доступу до даних (аж до конкретного елемента), 



31 

необхідну конфіденційність, цілісність даних та об'єктів схеми БД, на відміну від 

традиційних РБД, що не володіють подібними заходами та функціональністю. 

Використання запропонованих рішень дозволяє підвищити ефективність / 

результативність захисту баз даних, побудованих на основі схеми з універсальним 

базисом відношень, більш ніж у 1.5 рази щодо традиційних реляційних БД. 

Теоретичні та практичні результати дисертаційних досліджень реалізовані 

у приватному акціонерному товаристві «Інститут інформаційних технологій» та 

застосовуються у навчальному процесі Харківського національного університету 

імені В. Н. Каразіна. 

Особистий внесок здобувача. 

Дисертаційна робота є самостійно виконаною науковою працею, в якій 

викладено моделі і методи забезпечення безпеки баз даних з універсальним 

базисом відношень. Усі наукові результати, викладені в дисертаційній роботі, 

одержані автором особисто і відображені у наукових публікаціях. З наукових 

праць, виданих у співавторстві, у роботі використані лише ті положення, що 

становлять індивідуальний внесок автора. Конкретний внесок здобувача в цих 

роботах зазначений у списку наукових публікацій, опублікованих за темою 

дисертації. 

Апробація матеріалів дисертації. Основні результати дисертаційної 

роботи були представлені, доповідались та обговорювались на 7 наукових 

конференціях: XIІ Міжнародній науково-практичній конференції «Теоретичні та 

прикладні аспекти побудови програмних систем (TAAPSD’2015)» (м. Київ, 

2015 р.), Міжнародній науково-практичній конференції «Комп'ютерне 

моделювання в наукоємних технологіях (КМНТ-2016)» (м. Харків, 2016 р.), 

Восьмої міжнародної науково-технічної конференції «Сучасні напрями розвитку 

інформаційно-комунікаційних технологій та засобів управління» (м. Харків, 

2018 р.), X Міжнародній конференції IEEE «Intelligent Data Acquisition and 

Advanced Computing Systems: Technology and Applications (IDAACS)» (м. Мец, 

Франція, 2019 р.), III Міжнародній науково-практичній конференції «Проблеми 

кібербезпеки інформаційно-телекомунікаційних систем (PCSITS)» (м. Київ, 



32 

2020 р.), Міжнародній науково-практичній конференції «Комп'ютерне 

моделювання в наукоємних технологіях (КМНТ-2021)» (м. Харків, 2021 р.), 

Міжнародній наукової конференції «Питання оптимізації обчислень (ПОО-

XLVІI)» (Львів, 2021 р.). 

Публікації. Основні результати дисертаційних досліджень опубліковано у 

19 наукових працях, серед яких: 7 статей у фахових виданнях України, 7 статей у 

зарубіжних виданнях (індексується у Scopus, Web of Science), 2 розділи у 

колективних монографіях, 3 матеріали та тези доповідей на конференціях (у тому 

числі 1 конференція, матеріали якої індексується у Scopus та Web of Science). 

Структура та обсяг дисертації. 

Дисертація складається зі вступу, 6 розділів, висновків, переліку посилань 

та додатків. Загальний обсяг дисертації складає 252 сторінки, з яких анотація на 

10 сторінках, список публікацій здобувача за темою дисертації на 5 сторинках, 

зміст на 3 сторінках, перелік умовних позначень на 2 сторинках, основний текст 

на 168 сторінках, список використаних джерел із 247 найменувань на 25 

сторінках, додатки на 39 сторінках. Робота містить 12 таблиць та 39 рисунків. 



33 

1. СУЧАСНИЙ СТАН, ПРОБЛЕМИ ТА ЗАВДАННЯ ЗАБЕЗПЕЧЕННЯ 

БЕЗПЕКИ БАЗ ДАНИХ 

1.1. Сучасний стан та основні проблеми забезпечення безпеки баз даних 

Як зазначалося у вступі, у всьому світі фахівці виявляють великий 

постійний науковий та практичний інтерес до проблеми інформаційної безпеки ІС 

та БД. Особливої актуальності питання захисту даних набули після прийняття 

Загального регламенту захисту персональних даних Європейського Союзу [17], 

закону України «Про захист персональних даних» [34], необхідності дотримання 

різних міжнародних законів та стандартів, у тому числі Стандарту безпеки даних 

індустрії платіжних карток [35, 36] та деяких інших. Відповідно до цих 

законодавчих актів власники баз даних зобов'язані забезпечити їх захист. При 

цьому значущість питань захисту даних істотно зростає, якщо розглядаються не 

просто одиночні джерела даних, а структури у вигляді безлічі інформаційних 

продуктів, у тому числі, об'єднаних деяким середовищем управління, подібно до 

того, що розглядається в роботах [15, 37]. А оскільки ландшафт даних стає більш 

складним, організаціям потрібні гнучкі, стійкі стратегії захисту даних, які можуть 

працювати і масштабуватись у багатоплатформеному, багатохмарному світі [20]. 

Серед тих, що мають безпосереднє відношення до актуальних сьогодні 

проблем забезпечення безпеки баз, сховищ даних (основні поняття, визначення 

даної галузі знань, які використовуються в подальшому в дисертаційній роботі 

наведені в Додатку Б), з можливими варіантами їхнього розв'язання, можна 

відзначити такі дослідження, що відбилися у різних авторитетних джерелах. Так, 

у відомій роботі [38] автори, розглядаючи основні концепції інформаційної 

безпеки, особливу увагу приділяють необхідності збалансованого захисту 

конфіденційності, цілісності та доступності даних, дотримання політик безпеки, 

формулюють основні принципи забезпечення цілісності даних та визначають 

механізми СКБД, які полегшують застосування цих принципів. Для забезпечення 

безпеки даних БД розглядається можливість використання кількох різних, але 



34 

взаємно підтримувальних підходів. А саме використання методу контролю 

доступу, аудиту і так званого методу толерантності, при якому допускається 

можливість деяких порушень безпеки (допускаючи певний рівень ризику щодо 

потенційних порушень безпеки, важливо розуміти, який ризик допустимий). 

Фокусуючись на реляційних системах, автори пропонують використання 

мандатних та дискреційних моделей управління доступом. Окрему 

занепокоєність викликає проблема логічного висновку, яка, на думку авторів, 

існуватиме навіть у ідеальній системі, повністю вільній від прихованих каналів. 

Автори роботи [39], досліджуючи найбільш важливі концепції, що лежать в 

основі безпеки баз даних, і говорячи про доступність та можливості застосування 

для цього таких методів, як шифрування, цифрові підписи, відзначають, що дійсно 

всеосяжний підхід до захисту даних повинен також включати механізми 

забезпечення дотримання політик контролю доступу. При цьому контроль 

доступу повинен ґрунтуватися на вмісті даних, кваліфікацій, характеристик 

суб'єктів та деякої іншої контекстної інформації. Аналізуючи розвиток підходів 

до безпеки в історичному аспекті автор дослідження [40] зазначає, що багато 

проблем із захистом даних, що зберігаються в базі даних, найчастіше виникають 

не через відсутність досліджень, а через недостатню безпеку у відповідній 

реалізації бази даних або працюючих з ній застосунків. Незважаючи на значні 

покращення в моделях контролю доступу та механізмах безпеки, більшість баз 

даних, як і раніше, уразливі для різних загроз безпеці констатують автори роботи 

[41]. Причиною цього вони вважають те, що існуючі бази даних рідко 

розробляються з великим урахуванням вимог до безпеки, покладаючись на 

політики та механізми безпеки, які додаються згодом спеціальним чином. У таких 

випадках необхідний узгоджений підхід, який дозволяє організаціям спочатку 

оцінити поточне настроювання безпеки бази даних, тобто її політики та 

механізми, а потім перебудувати та вдосконалити механізми цілеспрямованим 

чином, тобто застосувати еволюційний, а не революційний підхід до підвищення 

безпеки баз даних. У монографії [42] авторами наводиться та досліджується 

список вимог до безпеки баз даних, розглядаються проблеми забезпечення 



35 

надійності та цілісності БД, особливо виділяється проблема виведення та 

агрегації, ідеального вирішення якої, на їхню думку, не існує. Однак при цьому 

вони пропонують деякі підходи до її вирішення, використовуючи методи 

приховування явно конфіденційної інформації; відстеження того, що знає 

користувач (це, природно, може призвести до максимально безпечного викриття, 

але це надзвичайно дорого, оскільки інформація повинна зберігатися про всіх 

користувачів, навіть якщо більшість із них не намагається отримати 

конфіденційні дані); маскування даних. У роботі [43] рекомендується зосередити 

зусилля на забезпеченні безпеки бази даних (під якою передбачається 

забезпечення конфіденційності, цілісності, доступності та неможливості відмови 

від авторства), враховуючи, насамперед, вплив втрати даних для бізнесу. Автори 

надають перевагу кількісному підходу до оцінки ризику перед якісним. Для 

забезпечення безпеки БД у роботі [44] пропонується використовувати такі методи 

як контроль доступу, боротьба з ін'єкціями SQL, шифрування, маскування даних. 

Не можна не відзначити результати досліджень, викладені в монографії [7], в якій 

наголошується, що питання безпеки належать не тільки до даних, що зберігаються 

в базі даних. Порушення безпеки можуть вплинути на інші частини системи баз 

даних, що, у свою чергу, наражає на небезпеку і власне базу даних. Отже, безпека 

БД може бути забезпечена лише у випадку, якщо буде забезпечена безпека 

обладнання, програмного забезпечення, персоналу та даних. Щодо загроз, які 

можуть негативно вплинути на роботу розрахованих на багато користувачів 

систем баз даних рекомендується використовувати такі заходи безпеки як: 

авторизацію; контроль доступу (дискреційний, мандатний методи контролю 

доступу, багаторівневі відносини та поліінстанцію), застосування уявлень; 

резервне копіювання та відновлення; підтримку цілісності; шифрування; 

використання відмовостійкої апаратури. 

Сьогодні ми живемо в суспільстві, що базується на даних. Дедалі частіше на 

прийняття рішень впливають результати аналізу відповідних даних. [2]. Дані 

знаходяться в центрі всього. Тобто область баз даних збільшила широту 

охоплення, а, отже, з'явилися й нові проблеми. Наприклад, потреба в управлінні 



36 

даними (причому дані можуть зберігатися і переміщуватися не тільки всередині 

різних ІС, але також між організаційними одиницями та національними 

кордонами) призвела до появи конфіденційних хмарних обчислень, що 

передбачають зберігання даних у зашифрованому вигляді при використанні 

хмарних ресурсів. Занепокоєння викликають питання етики та правомірності 

використання даних (відповідно до встановлених політик). На новий рівень 

виходить проблема агрегації та логічного висновку. Як відомо, серед загроз, які 

складно контролювати в рамках СКБД, особливе місце займає загроза, пов'язана з 

можливістю зловмисниками робити умовиводи на основі різних алгебраїчних 

обчислень, порівнянь, фільтрації даних, до яких він допущений, без необхідності 

прямого доступу до самого захищеного об'єкта [42]. Проблема агрегації і 

об'єднання виникає щоразу, коли набір даних, що агрегується чи об'єднується, 

утворює більш важливі відомості порівняно з важливістю тих окремо взятих 

даних, на основі яких і виходять ці відомості. Використання складних, а також 

послідовності простих логічно пов'язаних запитів дозволяє зловмиснику 

отримувати дані, безпосередній доступ до яких йому навпростець закрито. У міру 

того, як ми продовжуємо агрегувати дані, ключовою проблемою стає 

балансування дотримання конфіденційності / приватності даних (англ. data 

privacy) з їх аналітичним використанням для підтримки прийняття рішень [2]. В 

епоху великих даних проблема захищеності чутливих даних ще більше 

загострюється, тому що технічні засоби захисту недоторканності приватного 

життя здають свої позиції [45]. І нині не існує ідеальних рішень проблем, 

пов'язаних із логічним висновком, агрегацією та об'єднанням [42]. Як правило, 

протидія подібним загрозам здійснюється такими методами, як [38, 42, 44, 46-48]: 

блокування відповіді за неправильної кількості запитів; контроль запитів, що 

надходять (або аудит); спотворення відповіді шляхом навмисного коригування 

даних (обмежене придушення відповіді (часткова видача запитаних даних), 

об'єднані результати, випадкове збурення даних, свопінг / обмін даних, 

приховування, випадковий вибір запису для обробки, контекстно-орієнтований 

захист, поліінстанція (багатоекзеплярність – наявність відносин з кількома 



37 

екземплярами з різним рівнем (класом) доступу), диференціальна приватність та 

деякими іншими. 

При цьому важливо розуміти, що, обмежуючи зловмиснику можливість 

робити логічні висновки щодо отриманої інформації, використовуючи такі 

методи, ми автоматично обмежуємо запити користувачам, які не передбачають 

здійснення несанкціонованого доступу до даних. Більше того, спроби перевірити 

запитані звернення щодо можливості робити неприпустимі, з точки зору власника 

даних, умовиводи можуть знизити продуктивність СКБД [42]. Більшість 

досліджень, пов'язана з вивченням можливості робити умовиводи на основі 

отриманих різними способами даних з баз, сховищ даних була проведена на 

початку 1980-х років. Однак і на сьогоднішній день аспекти, пов'язані з 

компрометацією конфіденційності даних, що видобуваються шляхом умовиводу, 

значною мірою залишаються невирішеними [42, 48, 49]. Наприклад, відомі різні 

методи маскування даних БД, сховищ даних, що знайшли досить широке 

застосування у певних класах завдань, а саме [42, 44, 50-59]: заміна, перестановка, 

випадкове відхилення даних (існуюче значення замінюється випадковим у 

певному діапазоні), шифрування, у тому числі шифрування із збереженням 

формату (FPE), видалення (просте видалення даних стовпця шляхом заміни його 

значеннями NULL), заміна на символ константу (даний метод є окремим 

випадком методу підстановки, коли всі символи, що маскуються, замінюються 

одним і тим же символом, наприклад, «X», метод маскування числових даних 

шляхом певних математичних перетворень з використанням операцій з модулю 

(MOBAT), складне маскування, токенізація, а також деякі інші. Однак більшість 

цих методів, за винятком методів шифрування, у тому числі FPE [57, 58], 

токенезації [60, 61] і MOBAT [52, 53, 55], використовується для статичного 

маскування невиробничих БД і після їх застосування не дозволяє скасувати 

операції, щоб повернутися до вихідних даних, що не є прийнятним, особливо для 

виробничих БД. При цьому метод шифрування, у тому числі із збереженням 

формату [57, 58] є досить ресурсомістким [44, 51]. Техніка MOBAT спеціально 

розроблена для маскування лише числових значень [52, 53], а досить часто 



38 

виникає потреба маскування не лише числових значень. При цьому спроби 

застосування процедури маскування до не числових даних у модифікованому 

методі MOBAT, викладені в роботі [55], не вирішують цю проблему повною 

мірою. Досі неясно, яким чином диференціальну приватність можна ефективно 

впровадити до платформ управління базами даних без суттєвого обмеження 

областей запитів [2]. 

Забезпечення інформаційної безпеки баз даних неможливе без розгляду 

аспектів забезпечення цілісності даних. Багато, особливо комерційних організацій 

більше стурбовані цілісністю своїх даних, ніж їх конфіденційністю [60]. 

Цілісність для них є більш важливою. Якщо ви публікуєте інформацію в Інтернеті 

на Web-сервері і вашою метою є зробити її доступною для найширшого кола 

людей, то конфіденційність у цьому випадку не потрібна. Зате істотно 

підвищується відповідальність за надання неспотвореної інформації, що 

отримується з БД, наприклад, про відомості, що зберігаються в ній, з офіційних 

правових, нормативних, фінансових, медичних та інших документів організації, у 

тому числі і самих цих документів. Інформація має бути справжньою чи 

непідробною. Дані повинні бути правильними, правдивими, бути справжнім 

відображенням реальності. У цілому ж, і в комерційному, і у військовому 

середовищі важко уявити систему, для якої були б не важливі властивості 

цілісності [62]. Залежно від важливості аналізованого аспекту цілісності та 

області використання даних, можуть використовуватись різні методи та засоби, 

що гарантують цілісність даних при різних можливих загрозах. Так правильність, 

неспотвореність і незмінність даних може забезпечуватися з допомогою методів і 

засобів спеціальних технологій розмежування доступу, що ґрунтуються на 

формальних моделях цілісності [63]. Неспотвореність даних при зберіганні та 

передачі в інформаційних системах може забезпечуватись за рахунок 

криптографічних примітивів, таких як: цифровий підпис, криптографічні геш-

функції, коди автентичності. Також важливу роль у механізмі забезпечення 

цілісності БД грає концепція правильно сформованої транзакції [38]. Крім того, 

беручи до уваги двоїсту природу систем баз даних, як інформаційного продукту з 



39 

двома компонентами (активами): власне збереженими в БД даними, доступними 

для використання, та програмними засобами СКБД, а також можливості 

шкідливого впливу на ці активи, доцільним є забезпечення безпеки їх обох. Тобто 

потрібно забезпечити захист не тільки даних (фактів), що зберігаються в БД, але 

й інших важливих об'єктів бази даних, які здійснюють управління даними. 

Постійний моніторинг цих об'єктів бази даних є дуже важливим, оскільки деякі з 

атак на БД і не тільки на неї (наприклад, можна атакувати операційну систему 

через вразливість сервера БД) можуть бути виявлені саме на основі аналізу зміни 

(навмисної або випадкової) цих об'єктів (порушення їх цілісності, автентичності), 

або їх набору (збільшення чи зменшення їхньої кількості) на сервері БД. Мова йде 

про так звані модулі, що постійно зберігаються (PSM), – спеціальним чином 

оформлені програми, що включають оператори SQL, які зберігаються в базі 

даних, можуть викликатися застосунками та виконуються всередині СКБД. У 

PSM визначаються модулі, які є колекціями визначень функцій та процедур, 

оголошень тимчасових таблиць та деяких інших необов'язкових оголошень [32]. 

Подібні фрагменти коду зазвичай створюються за допомогою мови SQL і 

конкретної реалізації у вибраній СКБД. З іншого боку, із низки причин: 

дотримання прав інтелектуальної власності; комерційна цінність; код забезпечує 

вирішення завдань захисту та розподілу прав доступу до даних; неприпустимість 

модифікації коду іншими користувачами або процесами (шкідливими 

програмами), код цих програм доцільно приховати. Для приховування коду 

розробники деяких СКБД пропонують різноманітні засоби. Так в СКБД Microsoft 

SQL Server можна скористатися механізмами шифрування коду процедур, що 

зберігаються, для чого в конструкціях CREATE PROCEDURE і ALTER PROCEDURE слід 

використовувати опцію WITH ENCRYPTION [64], в СКБД Oracle для приведення 

коду PL/SQL до нечитаного вигляду можуть використовуватися утиліта wrap, 

вбудовані пакети DBMS_DDL та DBMS_WRAP [65, 66]. Однак, як відзначають фахівці 

в галузі безпеки баз даних і показує практика, використовувані вбудовані засоби 

приховування збережених програм, які поставляються разом із СКБД, є 

недостатньо ефективними і їх порівняно легко можуть оминути зловмисники, 



40 

особливо ті, що мають права привілейованого користувача [67-69]. Наприклад, 

збережені процедури, зашифровані за допомогою опції WITH ENCRYPTION в СКБД 

Microsoft SQL Server, можуть бути досить просто розшифровані за допомогою 

утиліти «dSQLSRVD», збереженої процедури «Decryptsp2K» або нових 

безкоштовних автономних інструментів, таких як ApexSQL Decrypt і dbForge SQL 

Dec. На сьогоднішній день відомі алгоритм і програми, що виконують зворотне 

перетворення нечитаного звичайними засобами, так званого «wrap» коду 

збережених процедур, функцій, пакетів у СКБД Oracle, наприклад, такі, як on-line 

програма Unwrap It!, PL/SQL Unwrapper для SQL Developer. Таким чином, можна 

зробити висновок, що наявні можливості вбудованих в деякі СКБД засобів, не 

повною мірою можуть забезпечити ефективне приховування коду збережених 

програм, не кажучи вже про іншу категорію СКБД, де такі взагалі відсутні. 

Одним з основних завдань у галузі проектування та управління ІБ є 

отримання достатніх та достовірних доказів безпеки досліджуваної системи [70]. 

Розробникам, керівникам проектів та виконавчому керівництву потрібна 

інформація про стан безпеки системи на різних етапах її життєвого циклу. А для 

того, щоб можна було б перевірити висновки щодо ступеня забезпечення безпеки, 

її необхідно якось виміряти. Вимірювання безпеки – це складна проблема, яку не 

можна недооцінювати. Показники інформаційної безпеки, як наголошується в 

документі NIST [71], – це важливий фактор при прийнятті обґрунтованих рішень 

з різних аспектів безпеки, починаючи від проектування архітектур та засобів 

управління безпекою до ефективності / результативності (англ. effectiveness) та 

ефективності / продуктивності (англ. efficiency) операцій із забезпечення безпеки. 

При цьому під ефективністю / результативністю розуміється властивість об'єкта 

оцінки, що представляє, наскільки добре він забезпечує безпеку в контексті його 

фактичного або передбачуваного використання [72, 73]. Ефективність / 

результативність безпеки означає впевненість у тому, що механізми забезпечення 

безпеки системи відповідають заявленим цілям безпеки (тобто вони не роблять 

нічого, крім того, що вони повинні робити, задовольняючи при цьому очікування 

щодо відмовостійкості) [70, 71, 74]. Під ефективністю / продуктивністю безпеки 



41 

розуміється впевненість (гарантія) у тому, що в досліджуваній системі було 

досягнуто належної якості безпеки та дотримано обмежень щодо ресурсів, часу та 

вартості [70, 74]. 

Основою для проведення будь-яких робіт у галузі інформаційної безпеки, 

включаючи оцінювання ефективності захисту, є міжнародні стандарти, зокрема 

такі, як ISO/IEC 15408 [75], ISO/IEC 27001 [76], ISO/IEC 27004 [77]. Так 

міжнародний стандарт ISO/IEC 15408 визначає загальний набір вимог до 

функціональних можливостей безпеки продуктів інформаційних технологій, які 

можуть бути реалізовані у вигляді апаратного, програмно-апаратного або 

програмного забезпечення, та до заходів довіри, що застосовуються до цих 

продуктів ІТ при оцінці безпеки, а також загальну методологію оцінки з 

урахуванням загроз, вразливостей, активів, ризиків заподіяння збитків та вибору 

контрзаходів. ISO/IEC 15408 застосовується до ризиків, що виникають внаслідок 

людської діяльності (зловмисної або іншої), та до ризиків, що виникають не 

внаслідок дій людини. Він є досить гнучким, що дозволяє застосовувати низку 

методів оцінки до низки властивостей безпеки ІТ-продуктів. Тому користувачам 

стандарту рекомендується виявляти обережність, щоб запобігти зловживанню 

цією гнучкістю. Наприклад, використання положень стандарту у поєднанні з 

невідповідними методами оцінки, невідповідними властивостями безпеки або 

невідповідними продуктами ІТ може призвести до безглуздих результатів оцінки. 

На цей час було зроблено багато серйозних спроб виміряти чи оцінити 

безпеку, зокрема, використовуючи критерії оцінки довірених комп'ютерних 

систем [78], критерії оцінки безпеки інформаційних технологій [72], модель 

зрілості можливостей проектування систем безпеки [73], загальні критерії [79]. 

Проте кожна спроба мала лише обмежений успіх [71]. Пропоновані сьогодні різні 

підходи до оцінки ефективності захисту активів [80-86], які умовно можна 

класифікувати як вартісні, функціональні та засновані на аналізі ризиків [80], з 

відповідними методами та показниками, також повною мірою не вирішують 

проблему. Так як у загальному випадку постановка завдання забезпечення ІБ 

може змінюватись у широких межах, а ефективність функціонування системи ЗІ 



42 

залежить від безлічі факторів та оцінюється сукупністю показників, що 

перебувають у складних взаємозв'язках, тому закономірним є різноманіття таких 

різних не пов'язаних методів оцінки ефективності захисту активів. У зв'язку з чим, 

через відсутність єдиного загальноприйнятого підходу до розв'язання завдань 

даного класу – оцінювання ефективності системи захисту, визначення певної 

суворої методології, що дозволяє оцінювати безпеку баз даних, необхідні 

подальші дослідження. 

Викладене вище свідчить, що незважаючи на досягнуті результати та 

прогрес у вирішенні безлічі проблем безпеки БД, через об'єктивні обставини, 

пов'язані з розвитком технологій БД, збільшенням широти охоплення, 

зростаючою кваліфікацією зловмисників, що постійно вдосконалюють 

можливості шкідливого впливу, введенням нових положень та рекомендацій 

різних нормативно-правових актів, є насущна потреба у перегляді підходу до 

вирішення проблеми управління даними та забезпечення їхньої безпеки шляхом 

знаходження нових рішень у вигляді певних моделей, методів, прийомів, засобів, 

актуальних як у теоретичному, так і у прикладному аспектах. Цей напрямок 

залишається плідною сферою досліджень. 

1.2. Аналіз формальних моделей безпеки та їх застосування для баз 

даних 

Аналіз теоретичних і прикладних аспектів забезпечення ІБ дозволив 

виявити і сформулювати ряд загальних принципів, якими слід керуватися при 

проектуванні і експлуатації захищених ІС [38, 87, 88]: розумної достатності; 

мінімуму привілеїв; поділу обов'язків / привілеїв; цілеспрямованості; системності; 

комплексності; безперервності; керованості; поєднання уніфікації та 

оригінальності. 

Забезпечити безпеку легше, якщо є чітка модель того, що потрібно захищати 

і кому і що дозволено робити. [89]. Тому невід'ємною частиною будь-якого 

проекту зі створення чи оцінки безпеки баз даних, як зазначається у роботі [90], є 



43 

наявність моделі безпеки, під якою розуміється формальний вираз політики 

безпеки [91, 92]. Основна мета створення політики безпеки ІС та опису її у вигляді 

формальної моделі – це визначення умов, яким має підпорядковуватися поведінка 

системи, визначення показників та критерію безпеки, а також проведення 

формального доказу відповідності системи, що захищається, цьому критерію при 

дотриманні встановлених правил та обмежень [91]. Формальна модель політики 

безпеки (що представлена у вигляді математичних виразів, схем, діаграм, 

алгоритмів і т. д.) грає важливу роль у процесах розробки та дослідження 

інформаційних систем у цілому, та БД зокрема, оскільки забезпечує системний 

підхід. Моделі безпеки дозволяють вирішити ряд завдань, що виникають у ході 

розробки та дослідження захищених систем, таких як [87]: вибір та обґрунтування 

базових принципів архітектури захищених ІС, що визначають механізми 

реалізації засобів та методів ЗІ; підтвердження властивостей захищеності 

створюваних систем шляхом формального доказу дотримання політики безпеки; 

складання формальної специфікації політики безпеки як найважливішої складової 

частини організаційного та документаційного забезпечення створюваних 

захищених ІС. Розумне використання відповідних моделей – це один із важливих 

кроків на шляху забезпечення безпеки ІС і бази даних, а розробка відповідних 

моделей – це перший крок на шляху до створення теоретичних основ забезпечення 

безпеки в ІС [88]. 

Найбільш поширеною парадигмою моделей забезпечення безпеки даних є 

суб'єктно-об'єктна абстракція. Формально суб'єктно-об'єктна модель ІС це трійка: 

, ,S O Op  ,      (1.1) 

де S  і O  це на два класи сутностей: активні сутності – суб'єкти (користувачі, 

процеси) 1 2{ , ,..., }mS s s s  та пасивні сутності – об'єкти 1 2{ , ,..., }nO o o o  (в якості 

таких об'єктів для РБД можуть розглядатися таблиці, уявлення, домени (типи), 

атрибути, кортежі, процедури, функції, тригери та деякі інші). Активність 

сприймається як можливість виконувати операції над об'єктами (пасивними 

сутностями). 1 2{ , ,..., }LOp op op op  – множина операцій над об'єктами. 



44 

Серед формальних моделей безпеки доречно проаналізувати такі їх основні 

класи, що набули широкого поширення і мають пряме відношення до аспектів, що 

розглядаються в роботі: 

a) моделі управління доступом: моделі безпеки на основі дискреційної 

політики; моделі безпеки на основі мандатної політики; моделі безпеки на основі 

рольової політики; 

b) моделі забезпечення цілісності даних. 

Розгляд цих моделей безпеки є доцільним з кількох причин. По-перше, вони 

можуть бути безпосередньо використані для аналізу безпеки як існуючих, так і 

перспективних ІС та їх основного функціонального компонента – БД, особливо у 

випадках, коли потрібне отримання гарантій захищеності ІС. Класичні моделі 

безпеки ІС дозволяють формально аналізувати властивості різних механізмів 

захисту ІС По-друге, існуючі моделі безпеки можуть бути використані як основа 

для розробки більш досконалих моделей, що дозволяють більш точно описувати 

та досліджувати особливості функціонування механізмів захисту сучасних ІС. По-

третє, володіння знаннями про моделі безпеки ІС надає фахівцю в галузі 

комп'ютерної безпеки можливості для суворого наукового та теоретично 

обґрунтованого викладу результатів прикладних досліджень [93]. 

1.2.1. Моделі управління доступом 

У цьому підрозділі розглянемо основні положення найпоширеніших 

моделей безпеки, що ґрунтуються на контролі доступу суб'єктів до об'єктів, та 

загальному критерії безпеки ІС, який формулюється наступним чином. 

Визначення 1. Інформаційна система безпечна тоді і лише тоді, коли 

суб'єкти не мають жодних можливостей порушувати (обминати) встановлену в 

ній політику безпеки. 

1.2.1.1. Моделі безпеки на основі дискреційної політики 

Роботи з моделей дискреційного доступу до інформації в ІС з'явилися ще в 

(60-70)-х роках минулого століття. Вони досить широко висвітлені у науковій 



45 

літературі. Найбільш відомі з них – це модель ADEPT-50 [94], п'ятивимірний 

простір Хартсона [95], модель Харрісона-Руццо-Уллмана [96], модель Take-Grant 

[97]. Авторами цих моделей був зроблений значний внесок у теорію безпеки 

комп'ютерних систем. Їхні роботи заклали основу для подальшого створення та 

розвитку захищених ІС. 

У теоретичному та практичному плані найбільшого розвитку та 

застосування отримали дискреційні моделі, засновані на матриці доступу – 

таблиці ( M ), яка описує права доступу суб'єктів ( S ) до об'єктів (O ), рядки якої 

відповідають суб'єктам доступу 1 2, ,..., ms s s , стовпці об'єктам доступу 1 2, ,..., no o o , а 

в комірках (елементах матриці [ , ]i jM s o ) записуються дозволені операції (види 

доступу) 1 2, ,..., Lop op op  відповідного суб'єкта над відповідним об'єктом. У 

наведеній на рисунку 1.1 матриці доступу M  види доступу lop  ( 1...l L ) 

допускають такі операції (види доступу): читання ( dr ), запис з модифікацією ( w

), запис без модифікації (тільки з новим записом або дописуванням в файл) ( a ), 

запуск об'єкта на виконання ( e ). Однак, як зазначається в монографії [88], при 

необхідності елементи матриці можуть містити покажчики на процедури. Ці 

процедури виконуються при кожній спробі доступу до заданого об'єкта. Тим 

самим рішення про доступ може прийматися на підставі складніших залежностей 

не настільки очевидних, як у простій матриці доступу. 

 
1o  2o  … 

jo   
no  

1s  
dr  dr , w   e   dr  

2s  dr , a  -  dr   e  

…       

is  dr  -  -  dr  

…       

ms  dr , w  -  e   e  

Рисунок 1.1. Матриця доступу M  

Дана модель передбачає, що всі спроби доступу до об'єктів перехоплюються 

і перевіряються спеціальним керуючим процесом (так званим монітором безпеки). 



46 

Таким чином, суб'єкт is  отримає ініційований ним доступ lop  до об'єкта jo  тільки 

в разі, якщо елемент матриці [ , ]i jM s o  має значення lop . 

За принципом управління доступом виділяються два підходи [87, 90]: 

примусове керування доступом; добровільне керування доступом. На практиці ж 

у більшості випадків, у тому числі і для БД, застосовується комбінований спосіб 

управління доступом, коли певна частина повноважень доступу до об'єктів 

встановлюється привілейованим користувачем (принцип примусового 

управління), а інша частина – власниками об'єктів (принцип добровільного 

управління) [90]. У багатьох ІС права володіння об'єктами можуть передаватися. 

В результаті при добровільному управлінні доступом реалізується повністю 

децентралізований принцип управління процесом розмежування доступу. Такий 

підхід забезпечує гнучкість формування правил розмежування доступу для 

конкретної сукупності користувачів до активів, але призводить до ускладнення 

загального контролю стану безпеки активів в системі. Що в свою чергу вимагає 

додаткового дослідження умов і процесів поширення прав доступу [87]. 

У теоретичному плані вперше дана проблема була досліджена Харрісоном 

(Harrison), Руццо (Ruzzo) і Уллманом (Ullman), які для цього розробили 

спеціальну формальну модель дискреційного доступу (скорочено – модель HRU) 

[96]. У даній моделі додатково до суб'єктів S , об'єктів O  (для того, щоб включити 

в область дії моделі і відносини між суб'єктами, прийнято вважати, що всі суб'єкти 

одночасно є і об'єктами: S O ) і кінцевого набору прав доступу 1 2( , ,..., )KR r r r   

( [ , ]M s o R ), вводиться також простір станів системи ( , , )Q S O M . Простір 

станів системи утворюється декартовим добутком множин складових її об'єктів, 

суб'єктів і прав: S O M  . Будь-який елемент матриці M  містить набір прав 

суб'єкта is  до об'єкта jo , що належать множині прав доступу R . Поведінка 

системи в часі розглядається як послідовність станів { }vQ , кожний наступний стан 

є результатом застосування деякої команди ( C  , де C  – кінцевий набір 



47 

команд) до попереднього: 1 ( )v vQ Q   . Критерій безпеки в моделі HRU 

формулюється в такий спосіб. 

Визначення 2. Система є безпечною щодо права kr  ( 1...k K ; для простоти 

часто надалі замість kr  використовуватимемо узагальнене позначення r R ), 

якщо для заданого початкового стану 0 0 0 0( , , )Q S O M  не існує застосовної до 0Q  

послідовності команд, в результаті якої право r  буде занесено до елементу 

матриці M , в якій воно було відсутнє в початковому стані 0Q . Іншими словами 

це означає, що суб'єкт ніколи не отримає право доступу r  до об'єкта, якщо він не 

мав його спочатку. Якщо ж право r  виявилося в комірці матриці M , в якій воно 

спочатку було відсутнє, то кажуть, що стався витік права r  [98]. 

З критерію безпеки випливає, що для цієї моделі ключову роль грає вибір 

значень прав доступу та їх використання в умовах певних команд. По суті дана 

модель описує не лише доступ суб'єктів до об'єктів, а поширення прав доступу від 

суб'єкта до суб'єкта, оскільки саме зміна змісту елементів матриці доступу 

визначає можливість виконання команд, у тому числі команд, що модифікують 

саму матрицю доступу, які потенційно можуть призвести до порушення критерію 

безпеки. Однак, Харрісон, Руццо та Уллман довели, що в загальному випадку не 

існує алгоритму, який може для довільної системи, її початкового стану 

0 0 0 0( , , )Q S O M  та загального права r  вирішити, чи ця конфігурація є безпечною. 

Тим не менш, саме модель HRU послужила основою для цілого класу моделей 

політик безпеки таких, наприклад, як модель TAM [99], модель TAKE-GRANT 

[97] та деяких інших, які використовуються для управління доступом та контролю 

за поширенням прав у різних системах [91]. Розвиток моделей дискреційного 

управління доступом полягає переважно у побудові різноманітних модифікацій 

моделі HRU, а також у пошуку мінімально можливих обмежень, які можна 

накласти на опис системи, щоб питання її безпеки було обчислювально 

вирішуваним [98]. Так модель TAKE-GRANT спрямована на аналіз шляхів 

поширення прав доступу в системах дискреційного керування доступом. Основна 

її мета – визначення та обґрунтування умов перевірки, що алгоритмічно 



48 

перевіряються, можливості витоку права доступу за вихідним графом доступів, 

що відповідає деякому стану системи [96]. Використовуючи правила 

перетворення: «take», «grant», «create» и «delete», можна відтворити стани, в яких 

буде перебувати система залежно від розподілу та зміни прав доступу. Модель 

TAKE-GRANT, як і її розширена модель [100], відіграє важливу методологічну 

роль, надаючи теоретико-графовий інструмент аналізу систем розмежування 

доступу з погляду санкціонованого та несанкціонованого з боку певних суб'єктів 

поширення прав доступу в рамках дискреційної політики. Основні рішення 

розглянутих вище моделей знайшли сьогодні застосування в різних СКБД 

(переважно реляційних) при наданні користувачам прав на виконання тих чи 

інших операцій з тими чи іншими об'єктами. Дискреційна модель розмежування 

доступу до СКБД ґрунтується на таких основних положеннях. 

1. Усі суб'єкти ( S ) та об'єкти (O ) БД повинні бути ідентифіковані, тобто 

кожній сутності (активній, пасивній) має бути присвоєний унікальний 

ідентифікатор. 

2. Для кожного об'єкта ( jo ) БД має бути визначено користувач-власник  

( jowner

is s S  ). 

3. Для суб'єктів ( S ) мають бути визначені права доступу (привілеї чи 

повноваження) до різних об'єктів (O ). У стандарті SQL визначено такі типи 

привілеїв доступу [32, 101]: SELECT, INSERT, DELETE, UPDATE, REFERENCES, USAGE, 

TRIGGER, EXECUTE, UNDER. Інформація про привілеї (аналог матриці доступів) 

зберігається в системному каталозі СКБД у вигляді повноважень, виражених за 

допомогою певної мови опису. Важлива роль забезпечення безпеки даних у 

традиційних СКБД відводиться уявленням, які дозволяють контролювати, які дані 

доступні тому чи іншому суб'єкту [102]. 

4. Власник об'єкта ( jowner
s ) повинен мати право визначення прав доступу до 

об'єкта іншим суб'єктам ( is S ). Суб'єкт отримує / втрачає певні права (привілеї) 

двома способами: перший пов'язаний із створенням об'єкта ( jo ) та його 

володінням, другий – шляхом передачі/відкликання певних прав одним 



49 

суб'єктом – іншому [32]. Для цих цілей у стандарті SQL визначені оператори 

GRANT / REVOKE, які дають змогу одному користувачеві призначати (надавати) 

певні права іншому або відкликати їх у іншого. 

5. У системі існує привілейований користувач ( pvs S ), що має право повного 

доступу до будь-якого об'єкта. При цьому слід зазначити, що реалізація цього 

положення не повинна дозволяти такому користувачеві використати свої 

повноваження непомітно для реального власника об'єкта (що найчастіше сьогодні 

не завжди виконується). 

Підсумовуючи вищесказане, можна зробити певні висновки про переваги та 

недоліки дискреційної політики керування доступом та моделях безпеки, 

побудованих на її основі. До переваг дискреційної політики доступу можна 

віднести відносну простоту та гнучкість реалізації системи керування доступом. 

Що підтверджується діючими ІС, безпека яких забезпечується виконанням вимог 

цієї політики. Наприклад, класична модель HRU досі широко використовується 

при проведенні формальної верифікації коректності побудови систем 

розмежування доступу у автоматизованих системах, що добре захищені [98, 103]. 

До недоліків дискреційних моделей відносяться: статичність встановлених правил 

керування доступом (зазвичай, вони не враховують динаміку змін станів ІС); 

неможливість контролювати повною мірою потоки інформації між об'єктами; 

складність відстеження наданих суб'єктам привілеїв за їх великої кількості; 

відсутність механізму керування доступом до конфіденційної інформації. Крім 

цього, при використанні таких моделей досить складно (алгоритмічно важко 

вирішувана задача) перевірити чи приведуть дії суб'єкта, який керується деяким 

набором правил, до порушення безпеки чи ні. Усе це зумовило подальший пошук 

та розробку інших моделей управління доступом. 

1.2.1.2. Моделі безпеки на основі мандатної політики 

Найбільшого поширення серед моделей мандатного управління доступу 

(багаторівневого захисту) набула модель Белла-ЛаПадули [104], основними 



50 

елементами якої є: S  – множина суб'єктів; O  – множина об'єктів; 

, , ,{ } { , , , }dread write append exeR r wc e et au   – множина видів доступу  

( a =append – доступ на запис в кінець об'єкта); { }B b S O R     – множина 

можливих множин поточних доступів у системі; L  – решітка рівнів безпеки L  

(наприклад, { , , , , }L U SU C S TS , де U  – нетаємно, SU  – чутливо, але нетаємно, 

C  – конфіденційно, S  – таємно, TS  – цілком таємно, U SU C S TS    ); 

1 2{ , ,..., }cM M M M  – множина можливих матриць доступів, де 2 pc n m   , 

| |p R , [ , ]M s o R   – права доступу суб'єкта s  до об'єкта o , 1..c  ; 

( , , ) S O S

s o cf f f F L L L     – трійка функцій ( , , )s o cf f f , що задають відповідно: 

:sf S L  – рівень безпеки (доступу) суб'єктів; :of O L  – рівень безпеки 

об'єктів; :cf S L  – поточний рівень безпеки (доступу) суб'єктів, при цьому для 

будь-якого s S  виконується нерівність ( ) ( )c sf s f s ; V B M F    – множина 

станів системи; Q  – множина запитів системі; D  – множина відповідей на запити, 

наприклад, D ={yes, no, error}; W Q D V V     – множина дій системи, де 

четвірка 
*( , , , )q d v v W  означає, що система за запитом q  з відповіддю d  

перейшла зі стану v  до стану 
*v  і деякі інші. 

Основні властивості (правила, що забезпечують розмежування доступу) 

безпеки моделі, що розглядається: 

1. Властивість простої безпеки (ss). Суб'єкт на рівні безпеки l L  може 

проводити операцію читання тільки щодо об'єктів свого або нижчого рівня. Ця 

властивість також відома як правило – немає читання нагору (NRU). 

2. Властивість * (*-property; правило – немає запису вниз (NWD)). Суб'єкт із 

заданим рівнем безпеки l L  може здійснювати запис тільки в об'єкти свого або 

вищого рівня. 

3. Властивість дискреційної безпеки (ds). Права дискреційного доступу 

суб'єкта до об'єкта визначаються з урахуванням матриці доступу M . Термін 

«дискреційна» безпека є доречним у контексті конкретних рішень цієї моделі, 

оскільки в модель включена можливість змінювати M  (структуру дозволів). 



51 

Для СКБД особливо багато уваги методам мандатного управління доступом 

стало приділятися на початку 90-х. Це було пов'язано, як зазначає К. Дейт [27], з 

тим фактом, що згідно з вимогами Міністерства оборони США будь-яка СКБД, 

що використовується в цьому відомстві, повинна була підтримувати принципи 

мандатного управління доступом. Тому розробникам СКБД довелося розпочати 

суперництво за якнайшвидшу розробку методів такого управління. Мандатна 

модель управління доступу до СКБД ґрунтується на таких основних положеннях: 

1. Усі суб'єкти ( S ) та об'єкти (O ) БД мають бути ідентифіковані. 

2. Повинні бути визначені решітка рівнів безпеки L . 

3. Кожному об'єкту БД o O  повинен бути присвоєний рівень безпеки (мітка 

конфіденційності), що визначає обмеження на доступ до даного об'єкта. 

4. Кожному суб'єкту БД s S  має бути присвоєний рівень безпеки – рівень 

доступу, що задає рівень повноважень даного суб'єкта. 

5. Суб'єкт s S  може отримати доступ до об'єкта БД o O  тільки у випадку, 

коли рівень доступу суб'єкта дозволяє надати йому даний доступ до об'єкта із 

заданим рівнем конфіденційності, і реалізація доступу не призведе до виникнення 

інформаційних потоків від об'єктів з високим рівнем конфіденційності до об'єктів 

з низьким рівнем конфіденційності. 

Важливою відмінністю мандатного управління доступу від дискреційного є 

те, що в мандатній моделі контролюються не операції, що виконуються суб'єктом 

над об'єктом, а потоки інформації, які можуть бути лише двох видів: або від 

суб'єкта до об'єкта (запис), або від об'єкта до суб'єкта (читання).