Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Статті та публікації

  1. Статті та публікації
  2. Статті та публікації
  3. Статті та публікації
  4. Статті та публікації
  5. Статті та публікації
  6. Статті та публікації
  7. Статті та публікації

Статті та публікації

Постійні пропозиції придбати різні (в більшості своїй відомчі) бази даних свідчать про те, що продаж конфіденційних відомостей про громадян і юридичних осіб стала окремим видом бізнесу. Якщо поява чергової опублікованій бази для громадян є просто ще одним малоприємним фактом оприлюднення відомостей про їхнє приватне життя, то на деяких підприємствах це може негативно вплинути на бізнес. Наприклад, для оператора стільникового зв'язку поширення бази білінгу може обернутися істотним відтоком абонентів до більш «надійного» оператору-конкуренту. Тому оператору часом економічно більш вигідно знайти "виробника", який підготував вкрадену базу до продажу, і викупити весь тираж. Але проблема перекриття можливих витоків при цьому залишається досить актуальною.

Захист баз даних є однією з найскладніших завдань, що стоять перед підрозділами, відповідають за забезпечення інформаційної безпеки. З одного боку, для роботи з базою необхідно надавати доступ до даних усім співробітникам, хто за службовим обов'язком повинен здійснювати збір, обробку, зберігання та передачу конфіденційних даних. З іншого боку, укрупнення баз даних далеко не завжди має централізовану архітектуру (спостерігається яскраво виражена тенденція до територіально розподіленої системі), в зв'язку з чим дії порушників стають все більш витонченими. При цьому чіткою і ясною методики комплексного вирішення завдання захисту баз даних, яку можна було б застосовувати у всіх випадках, не існує, в кожній конкретній ситуації доводиться знаходити індивідуальний підхід.

Класичний погляд на вирішення цієї задачі включає обстеження підприємства з метою виявлення таких загроз, як розкрадання, втрата, знищення, модифікація, відмова від дійсності. На другому етапі слід складання математичних моделей основних інформаційних потоків і можливих порушень, моделювання типових дій зловмисників; на третьому - вироблення комплексних заходів щодо припинення і попередження можливих загроз за допомогою правових, організаційно-адміністративних і технічних заходів захисту. Однак різноманітність діяльності підприємств, структури бізнесу, інформаційних мереж і потоків інформації, прикладних систем і способів організації доступу до них і т. Д. Не дозволяє створити універсальну методику рішення.


Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?


Довгий час захист баз даних асоціювалася з захистом локальної мережі підприємства від зовнішніх атак хакерів, боротьбою з вірусами і т. П. Останні аналітичні звіти консалтингових компаній виявили інші, більш важливі напрямки захисту інформаційних ресурсів компаній. Дослідження переконливо показали, що від витоку інформації з боку персоналу і зловмисних дій "всесильних" адміністраторів баз даних не рятують ні міжмережеві екрани, ні VPN, ні навіть "наворочені" системи виявлення атак і аналізу захищеності. Неавторизований доступ до даних і крадіжка конфіденційної інформації є головними складовими втрат підприємств після збитку, що наноситься вірусами (рис. 1).

Один з основних висновків звіту CSI / FBI - значно зрослий збиток від такої загрози, як крадіжка конфіденційних даних. Кожна американська компанія в середньому втратила 355,5 тис. Дол. Тільки через витоки конфіденційних даних за минулі 12 місяців. Середній розмір втрат від дій інсайдерів склав 300 тис. Дол. (Максимальний -1,5 млн дол.). Вирішення питань персоніфікованого доступу до конфіденційних даних дозволяє виявляти зловмисника за допомогою інформації, незаперечно доводить його провину. Це, в свою чергу, неможливо без застосування найсучасніших способів аутентифікації і управління доступом.


Чи можна зупинити розкрадання інформації з баз даних?


Спробуємо коротко сформулювати основні причини несанкціонованого доступу до даних і поставленого в ряді випадків на промислові рейки збуту баз даних, що містять персональні дані абонентів, партнерів або співробітників і комерційні таємниці компаній.


Отже, є такі вихідні дані:

  • багато хто не здогадуються про те, що їх бази даних крадуть;
  • крадіжка і завдані збитки мають латентний характер;
  • якщо факт крадіжки даних встановлено, більшість компаній замовчують завдані збитки.

Дослідження Ernst & Young з проблем внутрішніх загроз свідчать: близько 20% співробітників підприємств впевнені, що конфіденційна інформація "йде на сторону" з вини їхніх колег, при цьому керівники більшості компаній практично не діють. Причини такого становища такі.

  1. Висока латентність таких злочинів (понесені втрати виявляються через деякий час) і досить рідко розкриваються. Експерти називають такі цифри по приховуванню: США - 80%, Великобританія - до 85%, Німеччина - 75%, Росія - більше 90%. Прагнення керівництва "не виносити сміття з хати" погіршує ситуацію.
  2. Низький інтерес до розробки засобів, які ліквідують або зменшують ризики, пов'язані з внутрішніми загрозами; недостатня популяризація таких рішень. В результаті про засоби і методи захисту від крадіжки інформації легальними співробітниками мало хто знає.
  3. Недостатня пропозиція на ринку комплексних систем для боротьби з внутрішніми загрозами, особливо щодо крадіжок інформації з баз даних.


Практично 100% опитаних підтвердили використання в корпоративних мережах антивірусного ПО, 71% - антиспамових систем, але про захист від внутрішніх загроз не згадав ніхто.
Російська дійсність ще тривожніше. В опублікованій в лютому 2005 р інформації на сайті www.infowatch.ru наведені дані опитування представників 387 державних і комерційних структур (рис. 2). Ось основні висновки з даного дослідження:

  • 62% респондентів вважають, що дії інсайдерів - найбільша загроза для російських організацій;
  • 98% визнали порушення конфіденційності інформації найбільшою внутрішньої ІТ-загрозою;
  • 99,4% допускають можливість наявності незареєстрованих інцидентів внутрішньої І Б;
  • 87% вважають технічні засоби ефективним способом захисту. Однак всього 1% респондентів використовують їх, а 68% ніяких дій не роблять;
  • російські організації ососзнают небезпека внутрішніх ІТ-загроз, але не знають, як з нею боротися: 58% не інформовані про сущетсвующих технологічних рішеннях.


Одна з причин цього - відсутність реальних механізмів збору доказової бази по факту крадіжки конкретним користувачем ресурсів;

Однак ефективні способи захисту даних існують навіть в таких несприятливих умовах. Комплекс організаційних, що регламентують і адміністративних заходів при правильному підході дозволяє істотно знизити ризики витоку інформації. Оскільки ці заходи досить відомі, звернемося до основних способів технічного захисту інформації в базі даних.


Технічні способи захисту


В першу чергу це управління доступом користувачів. Як відомо, довести безпеку системи найпростіше при зведенні реально діючої системи до стандартних моделей безпеки. Однак моделі дискреційного і мандатної доступу в більшості випадків не зовсім зручні для застосування на практиці, тому останнім часом зросла популярність моделей так званого рольового управління доступом користувачів. З точки зору перспективності, зручності управління і надійності, можна рекомендувати схеми рольового управління, засновані на застосуванні в якості розширених облікових записів користувачів цифрових сертифікатів Х.509. Для централізованого управління доступом, в тому числі привілейованих користувачів (таких як адміністратори баз даних, системні адміністратори, адміністратори прикладних систем) вводиться роль адміністратора безпеки, призначає і контролює доступ до даних.

Ефективним способом захисту конфіденційної інформації, що зберігається в таблицях БД, може виявитися її шифрування за допомогою стійкого криптоалгоритму. Цим забезпечується зберігання інформації в «нечитабельним» вигляді. Для отримання "чистої" інформації користувачі, які мають санкціонований доступ до зашифрованих даних, мають ключ і алгоритм розшифрування. При цьому виникає проблема зберігання ключів шифрування - згадаймо хоча б про "паролі під килимком миші".

Припустимо, що проблема зберігання ключів вирішена, і легальний користувач вирішив скопіювати захищену інформацію, а це, зазначимо, він може зробити абсолютно вільно. Порівнянний або навіть більш значної шкоди може завдати передача ключа шифрування зацікавленій особі. А якщо в якості зловмисника виступає адміністратор БД ... Напрошується висновок, що шифрування не вирішує всіх проблем. Щоб знизити ризики від внутрішніх загроз за допомогою технічних засобів захисту, слід застосовувати:

  • Cтрогий аутентифікацію користувача і контроль доступу відповідно до рольовим управлінням, регульованим офіцером безпеки. Це дає можливість персоналізувати доступ і істотно знизити ризик відмови користувачів від скоєних ними дій;
  • шифрування трафіку між клієнтської робочої станцією і сервером БД, що запобіжить спроби крадіжки інформації на мережевому рівні;
  • криптографічне перетворення тих даних, які необхідно захистити. Це значно знизить ризик втрати інформації;
  • зберігання аутентификационной інформації та ключів шифрування на персоналізованому знімному носії, наприклад, на смарт-карті або USB-ключі. Це дозволить усунути проблему «забутих паролів» і підвищити персональну відповідальність співробітника;
  • аудит критичних (в плані безпеки) дій користувачів (бажано, позаштатними засобами аудиту БД). Поєднання аудиту і суворої персоніфікації - досить вагомий аргумент на користь відмови від протиправних дій для потенційних порушників.

Ефект від реалізації подібного підходу буде відчутним, але явно недостатнім для повного вирішення проблеми. Розробка і впровадження регламентів і політик безпеки, організаційні заходи, а також тренінги персоналу по роботі з конфіденційними даними - все це спрямовано на підвищення особистої відповідальності кожного співробітника і має доповнювати технічні заходи безпеки.


Краще рішення - "прозоре" додаток


В даний час розроблені технології, які дозволяють забезпечити надійний захист прикладних інформаційних систем. Вони реалізовані на базі найпоширенішою СУБД Oracle. При цьому повністю задіяні штатні механізми забезпечення безпеки ПО сервера і клієнта. Найцікавіше з пропонованих рішень -суворо двухфакторная аутентифікація в Oracle для архітектури додатку "клієнт - сервер".

Розглянемо це рішення докладніше. З усього розмаїття методів аутентифікації, що надаються СУБД Oracle (ім'я / пароль, RADIUS, Kerberos, SSL), в 99% випадків використовується аутентифікація по імені користувача і паролю. Безумовно, це найпростіший метод. Однак його зручність і, що більш важливо, безпеку залишають бажати кращого. Найбільш надійним методом сьогодні вважається аутентифікація за сертифікатом Х.509, яку підтримує Oracle. Сертифікати користувачів і закриті ключі можуть зберігатися або в файлах стандартного формату PKCS # 12, розміщених на відчужуваних носіях, або в реєстрі Windows на робочих станціях, при цьому вони захищені паролем. Однак парольний захист породжує проблеми безпеки - ключові контейнери можуть бути скопійовані і згодом "зламані" методом простого перебору паролів. Певні незручності викликає і прив'язка ключового контейнера до конкретної робочої станції.

Розглядається рішення знімає обидві проблеми: сертифікати встановлені безпосередньо в чиповой (інтелектуальної) смарт-карті; секретний ключ знаходиться в захищеній пам'яті і ніколи звідти не витягається; сертифікати "мобільні" - працювати з додатками Oracle можна з будь-якої робочої станції і від імені будь-якого користувача корпоративної мережі.

Установки - вказати, що ключовий контейнер поміщений в сховище сертифікатів (Certificate Store) Microsoft. У момент запиту на з'єднання з БД служба смарт-карти RTX дозволяє мережевим драйверам Oracle "бачити" всі сертифікати, встановлені на смарт-карті. Процес аутентифікації проходить в два етапи:

  • запит на вибір сертифіката (в залежності від обраного сертифіката користувач буде працювати з певною БД з заданими офіцером безпеки правилами). Якщо сертифікат єдиний, він вибирається автоматично;
  • запит PIN-коду смарт-карти для авторизації на операції з закритим ключем.

Коли клієнтові потрібно пред'явити свій сертифікат, служба смарт-карти «підказує» йому, по сертифікат слід брати з смарт-карти. Для підтвердження автентичності сервера клієнту необхідний особистий ключ для розшифровки відповіді сервера. Закритий ключ знаходиться в захищеній пам'яті смарт-карти, і всі операції з ним виконує вбудований в карту кріптопроцессор. Для таких операцій потрібна додаткова авторизація, тобто запитується PIN-код. Коли між клієнтом і сервером встановлені довірчі відносини, сервер перевіряє наявність розпізнавального імені користувача, для якого виданий сертифікат клієнта, в LDAP-каталозі - Oracle Internet Directory. Якщо такий знайдений, додатково визначаються екземпляр БД, схема і набір прав для клієнта. Після цього сервером створюється сесія користувача з зазначеними параметрами. Мережевий обмін між клієнтом і сервером відбувається по з'єднанню, захищеному певним криптоалгоритмом.

Замовник, налаштувати сервер БД, клієнтські робочі станції і встановив сертифікати користувачів на смарт-карти, отримує надійну аутентифікацію, зашифрований зв'язок між робочими станціями і сервером, і, найголовніше, -суворо персоналізацію доступу в БД. Всі програми, що працюють з Oracle - від DOS-консолі до складних ERP-систем, будуть працювати з розглянутим методом аутентифікації без яких-небудь доопрацювань.

Огляд технічних способів протидії типовим загрозам

Головним об'єктом атаки є, як правило, адміністративні повноваження. Їх можна отримати, дізнавшись в хешировать або символьному вигляді пароль адміністратора системи. Типові загрози і технічні методи протидії їм за допомогою технологій, заснованих на застосуванні вбудованих в Oracle коштів PKI, наведені в таблиці.


Таблиця. Методи протидії типовим загрозам


Загроза Протидія Метод Розкрадання інформації з БД неуполномочен¬ним користувачем Шифрування бази даних і рольове управління доступом Установка системи управління доступом по цифрових сертифікатах, шифрування критичних сегментів бази Розкрадання інформації з БД з боку легального користувача (перевищення повноважень) Рольовий управління, детальний аудит Аутентифікація і додатковий моніторинг дій користувача (не грошима СУБД) Розкрадання або використання чужої облікового запису (через відсутність захисту облікового запису), наприклад, системного адміністратора Аутентификация по цифровому сертифікату Використання механізму SSL-аутентифікації Використання відомих паролів, установ¬ленних за замовчуванням (якщо вони не були переустановлені користувачем) Розкрадання пароля (наприклад, за допомогою сніфера - ПО для перехоплення вводяться паролів) Підбір пароля (наприклад, методом перебору по словнику) Перехоплення пароля під час передачі по мережі Злом пароля ключового контейнера (wallet). Аутентифікація по цифровому сертифікату Відмова від використання паролів, перехід на SSL-аутентифікацію з використанням сертифікатів Розкрадання або копіювання ключового контейнера або його резервної копії Закритий ключ зберігається що не експортіруе¬мий в захищеній пам'яті інтелектуальної смарт-карти Використання смарт-карт технологій для безпечного зберігання закритих ключів Перехоплення закритого ключа (в момент його використання за допомогою спеціального ПО) Апаратна реалізація криптографічних операцій в смарт-карті використання смарт -карт технологій для апаратного виполне¬нія криптографічних операцій (SSL) в процесорі смарт-кар¬ти без «виходу» закритих ключів назовні Дублювання смарт-карти (копіювання закритих ключів в інший токен) Доступ до захищеної пам'яті смарт-карти, в якій зберігаються закриті ключі, захищений PIN-кодом. Експорт закритих ключів зі смарт-карти виключений Закриті ключі, згенеровані смарт-картою або імпортіро¬ванние в неї, зберігаються в закритій пам'яті смарт-карти і не можуть бути з неї вилучені (міжнародні сертифікати безопас¬ності ITSEC Level E4, FIPS 140-1 - Level 2, 3) Перехоплення переданих по мережі даних шифрування мережевого трафіку Використання SSL-протоколу для шифрування переданих по мережі даних за допомогою вбудованих в Oracle алгоритмів симетричного шифрування

Найближчі перспективи


Отже, для мінімізації ризику втрат необхідна реалізація комплексу нормативних, організаційних і технічних захисних заходів, в першу чергу: введення рольового управління доступом, організація доступу користувачів по пред'явленню цифрового сертифікату, а в найближчій перспективі - промислове рішення з вибіркового шифрування і застосування алгоритмів ГОСТ для шифрування обраних сегментів бази.

Для повного вирішення проблеми захисту даних адміністратор безпеки повинен мати можливість проводити моніторинг дій користувачів, в тому числі з правами адміністратора. Оскільки штатна система аудиту не має достатніх засобів захисту, необхідна незалежна система, що захищає корпоративну мережу не тільки зовні, але і зсередини. В майбутньому повинні також з'явитися типові методики комплексного вирішення завдання захисту баз даних для підприємств різного масштабу - від дрібних до територіально розподілених.

Статті та публікації

Постійні пропозиції придбати різні (в більшості своїй відомчі) бази даних свідчать про те, що продаж конфіденційних відомостей про громадян і юридичних осіб стала окремим видом бізнесу. Якщо поява чергової опублікованій бази для громадян є просто ще одним малоприємним фактом оприлюднення відомостей про їхнє приватне життя, то на деяких підприємствах це може негативно вплинути на бізнес. Наприклад, для оператора стільникового зв'язку поширення бази білінгу може обернутися істотним відтоком абонентів до більш «надійного» оператору-конкуренту. Тому оператору часом економічно більш вигідно знайти "виробника", який підготував вкрадену базу до продажу, і викупити весь тираж. Але проблема перекриття можливих витоків при цьому залишається досить актуальною.

Захист баз даних є однією з найскладніших завдань, що стоять перед підрозділами, відповідають за забезпечення інформаційної безпеки. З одного боку, для роботи з базою необхідно надавати доступ до даних усім співробітникам, хто за службовим обов'язком повинен здійснювати збір, обробку, зберігання та передачу конфіденційних даних. З іншого боку, укрупнення баз даних далеко не завжди має централізовану архітектуру (спостерігається яскраво виражена тенденція до територіально розподіленої системі), в зв'язку з чим дії порушників стають все більш витонченими. При цьому чіткою і ясною методики комплексного вирішення завдання захисту баз даних, яку можна було б застосовувати у всіх випадках, не існує, в кожній конкретній ситуації доводиться знаходити індивідуальний підхід.

Класичний погляд на вирішення цієї задачі включає обстеження підприємства з метою виявлення таких загроз, як розкрадання, втрата, знищення, модифікація, відмова від дійсності. На другому етапі слід складання математичних моделей основних інформаційних потоків і можливих порушень, моделювання типових дій зловмисників; на третьому - вироблення комплексних заходів щодо припинення і попередження можливих загроз за допомогою правових, організаційно-адміністративних і технічних заходів захисту. Однак різноманітність діяльності підприємств, структури бізнесу, інформаційних мереж і потоків інформації, прикладних систем і способів організації доступу до них і т. Д. Не дозволяє створити універсальну методику рішення.


Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?


Довгий час захист баз даних асоціювалася з захистом локальної мережі підприємства від зовнішніх атак хакерів, боротьбою з вірусами і т. П. Останні аналітичні звіти консалтингових компаній виявили інші, більш важливі напрямки захисту інформаційних ресурсів компаній. Дослідження переконливо показали, що від витоку інформації з боку персоналу і зловмисних дій "всесильних" адміністраторів баз даних не рятують ні міжмережеві екрани, ні VPN, ні навіть "наворочені" системи виявлення атак і аналізу захищеності. Неавторизований доступ до даних і крадіжка конфіденційної інформації є головними складовими втрат підприємств після збитку, що наноситься вірусами (рис. 1).

Один з основних висновків звіту CSI / FBI - значно зрослий збиток від такої загрози, як крадіжка конфіденційних даних. Кожна американська компанія в середньому втратила 355,5 тис. Дол. Тільки через витоки конфіденційних даних за минулі 12 місяців. Середній розмір втрат від дій інсайдерів склав 300 тис. Дол. (Максимальний -1,5 млн дол.). Вирішення питань персоніфікованого доступу до конфіденційних даних дозволяє виявляти зловмисника за допомогою інформації, незаперечно доводить його провину. Це, в свою чергу, неможливо без застосування найсучасніших способів аутентифікації і управління доступом.


Чи можна зупинити розкрадання інформації з баз даних?


Спробуємо коротко сформулювати основні причини несанкціонованого доступу до даних і поставленого в ряді випадків на промислові рейки збуту баз даних, що містять персональні дані абонентів, партнерів або співробітників і комерційні таємниці компаній.


Отже, є такі вихідні дані:

  • багато хто не здогадуються про те, що їх бази даних крадуть;
  • крадіжка і завдані збитки мають латентний характер;
  • якщо факт крадіжки даних встановлено, більшість компаній замовчують завдані збитки.

Дослідження Ernst & Young з проблем внутрішніх загроз свідчать: близько 20% співробітників підприємств впевнені, що конфіденційна інформація "йде на сторону" з вини їхніх колег, при цьому керівники більшості компаній практично не діють. Причини такого становища такі.

  1. Висока латентність таких злочинів (понесені втрати виявляються через деякий час) і досить рідко розкриваються. Експерти називають такі цифри по приховуванню: США - 80%, Великобританія - до 85%, Німеччина - 75%, Росія - більше 90%. Прагнення керівництва "не виносити сміття з хати" погіршує ситуацію.
  2. Низький інтерес до розробки засобів, які ліквідують або зменшують ризики, пов'язані з внутрішніми загрозами; недостатня популяризація таких рішень. В результаті про засоби і методи захисту від крадіжки інформації легальними співробітниками мало хто знає.
  3. Недостатня пропозиція на ринку комплексних систем для боротьби з внутрішніми загрозами, особливо щодо крадіжок інформації з баз даних.


Практично 100% опитаних підтвердили використання в корпоративних мережах антивірусного ПО, 71% - антиспамових систем, але про захист від внутрішніх загроз не згадав ніхто.
Російська дійсність ще тривожніше. В опублікованій в лютому 2005 р інформації на сайті www.infowatch.ru наведені дані опитування представників 387 державних і комерційних структур (рис. 2). Ось основні висновки з даного дослідження:

  • 62% респондентів вважають, що дії інсайдерів - найбільша загроза для російських організацій;
  • 98% визнали порушення конфіденційності інформації найбільшою внутрішньої ІТ-загрозою;
  • 99,4% допускають можливість наявності незареєстрованих інцидентів внутрішньої І Б;
  • 87% вважають технічні засоби ефективним способом захисту. Однак всього 1% респондентів використовують їх, а 68% ніяких дій не роблять;
  • російські організації ососзнают небезпека внутрішніх ІТ-загроз, але не знають, як з нею боротися: 58% не інформовані про сущетсвующих технологічних рішеннях.


Одна з причин цього - відсутність реальних механізмів збору доказової бази по факту крадіжки конкретним користувачем ресурсів;

Однак ефективні способи захисту даних існують навіть в таких несприятливих умовах. Комплекс організаційних, що регламентують і адміністративних заходів при правильному підході дозволяє істотно знизити ризики витоку інформації. Оскільки ці заходи досить відомі, звернемося до основних способів технічного захисту інформації в базі даних.


Технічні способи захисту


В першу чергу це управління доступом користувачів. Як відомо, довести безпеку системи найпростіше при зведенні реально діючої системи до стандартних моделей безпеки. Однак моделі дискреційного і мандатної доступу в більшості випадків не зовсім зручні для застосування на практиці, тому останнім часом зросла популярність моделей так званого рольового управління доступом користувачів. З точки зору перспективності, зручності управління і надійності, можна рекомендувати схеми рольового управління, засновані на застосуванні в якості розширених облікових записів користувачів цифрових сертифікатів Х.509. Для централізованого управління доступом, в тому числі привілейованих користувачів (таких як адміністратори баз даних, системні адміністратори, адміністратори прикладних систем) вводиться роль адміністратора безпеки, призначає і контролює доступ до даних.

Ефективним способом захисту конфіденційної інформації, що зберігається в таблицях БД, може виявитися її шифрування за допомогою стійкого криптоалгоритму. Цим забезпечується зберігання інформації в «нечитабельним» вигляді. Для отримання "чистої" інформації користувачі, які мають санкціонований доступ до зашифрованих даних, мають ключ і алгоритм розшифрування. При цьому виникає проблема зберігання ключів шифрування - згадаймо хоча б про "паролі під килимком миші".

Припустимо, що проблема зберігання ключів вирішена, і легальний користувач вирішив скопіювати захищену інформацію, а це, зазначимо, він може зробити абсолютно вільно. Порівнянний або навіть більш значної шкоди може завдати передача ключа шифрування зацікавленій особі. А якщо в якості зловмисника виступає адміністратор БД ... Напрошується висновок, що шифрування не вирішує всіх проблем. Щоб знизити ризики від внутрішніх загроз за допомогою технічних засобів захисту, слід застосовувати:

  • Cтрогий аутентифікацію користувача і контроль доступу відповідно до рольовим управлінням, регульованим офіцером безпеки. Це дає можливість персоналізувати доступ і істотно знизити ризик відмови користувачів від скоєних ними дій;
  • шифрування трафіку між клієнтської робочої станцією і сервером БД, що запобіжить спроби крадіжки інформації на мережевому рівні;
  • криптографічне перетворення тих даних, які необхідно захистити. Це значно знизить ризик втрати інформації;
  • зберігання аутентификационной інформації та ключів шифрування на персоналізованому знімному носії, наприклад, на смарт-карті або USB-ключі. Це дозволить усунути проблему «забутих паролів» і підвищити персональну відповідальність співробітника;
  • аудит критичних (в плані безпеки) дій користувачів (бажано, позаштатними засобами аудиту БД). Поєднання аудиту і суворої персоніфікації - досить вагомий аргумент на користь відмови від протиправних дій для потенційних порушників.

Ефект від реалізації подібного підходу буде відчутним, але явно недостатнім для повного вирішення проблеми. Розробка і впровадження регламентів і політик безпеки, організаційні заходи, а також тренінги персоналу по роботі з конфіденційними даними - все це спрямовано на підвищення особистої відповідальності кожного співробітника і має доповнювати технічні заходи безпеки.


Краще рішення - "прозоре" додаток


В даний час розроблені технології, які дозволяють забезпечити надійний захист прикладних інформаційних систем. Вони реалізовані на базі найпоширенішою СУБД Oracle. При цьому повністю задіяні штатні механізми забезпечення безпеки ПО сервера і клієнта. Найцікавіше з пропонованих рішень -суворо двухфакторная аутентифікація в Oracle для архітектури додатку "клієнт - сервер".

Розглянемо це рішення докладніше. З усього розмаїття методів аутентифікації, що надаються СУБД Oracle (ім'я / пароль, RADIUS, Kerberos, SSL), в 99% випадків використовується аутентифікація по імені користувача і паролю. Безумовно, це найпростіший метод. Однак його зручність і, що більш важливо, безпеку залишають бажати кращого. Найбільш надійним методом сьогодні вважається аутентифікація за сертифікатом Х.509, яку підтримує Oracle. Сертифікати користувачів і закриті ключі можуть зберігатися або в файлах стандартного формату PKCS # 12, розміщених на відчужуваних носіях, або в реєстрі Windows на робочих станціях, при цьому вони захищені паролем. Однак парольний захист породжує проблеми безпеки - ключові контейнери можуть бути скопійовані і згодом "зламані" методом простого перебору паролів. Певні незручності викликає і прив'язка ключового контейнера до конкретної робочої станції.

Розглядається рішення знімає обидві проблеми: сертифікати встановлені безпосередньо в чиповой (інтелектуальної) смарт-карті; секретний ключ знаходиться в захищеній пам'яті і ніколи звідти не витягається; сертифікати "мобільні" - працювати з додатками Oracle можна з будь-якої робочої станції і від імені будь-якого користувача корпоративної мережі.

Установки - вказати, що ключовий контейнер поміщений в сховище сертифікатів (Certificate Store) Microsoft. У момент запиту на з'єднання з БД служба смарт-карти RTX дозволяє мережевим драйверам Oracle "бачити" всі сертифікати, встановлені на смарт-карті. Процес аутентифікації проходить в два етапи:

  • запит на вибір сертифіката (в залежності від обраного сертифіката користувач буде працювати з певною БД з заданими офіцером безпеки правилами). Якщо сертифікат єдиний, він вибирається автоматично;
  • запит PIN-коду смарт-карти для авторизації на операції з закритим ключем.

Коли клієнтові потрібно пред'явити свій сертифікат, служба смарт-карти «підказує» йому, по сертифікат слід брати з смарт-карти. Для підтвердження автентичності сервера клієнту необхідний особистий ключ для розшифровки відповіді сервера. Закритий ключ знаходиться в захищеній пам'яті смарт-карти, і всі операції з ним виконує вбудований в карту кріптопроцессор. Для таких операцій потрібна додаткова авторизація, тобто запитується PIN-код. Коли між клієнтом і сервером встановлені довірчі відносини, сервер перевіряє наявність розпізнавального імені користувача, для якого виданий сертифікат клієнта, в LDAP-каталозі - Oracle Internet Directory. Якщо такий знайдений, додатково визначаються екземпляр БД, схема і набір прав для клієнта. Після цього сервером створюється сесія користувача з зазначеними параметрами. Мережевий обмін між клієнтом і сервером відбувається по з'єднанню, захищеному певним криптоалгоритмом.

Замовник, налаштувати сервер БД, клієнтські робочі станції і встановив сертифікати користувачів на смарт-карти, отримує надійну аутентифікацію, зашифрований зв'язок між робочими станціями і сервером, і, найголовніше, -суворо персоналізацію доступу в БД. Всі програми, що працюють з Oracle - від DOS-консолі до складних ERP-систем, будуть працювати з розглянутим методом аутентифікації без яких-небудь доопрацювань.

Огляд технічних способів протидії типовим загрозам

Головним об'єктом атаки є, як правило, адміністративні повноваження. Їх можна отримати, дізнавшись в хешировать або символьному вигляді пароль адміністратора системи. Типові загрози і технічні методи протидії їм за допомогою технологій, заснованих на застосуванні вбудованих в Oracle коштів PKI, наведені в таблиці.


Таблиця. Методи протидії типовим загрозам


Загроза Протидія Метод Розкрадання інформації з БД неуполномочен¬ним користувачем Шифрування бази даних і рольове управління доступом Установка системи управління доступом по цифрових сертифікатах, шифрування критичних сегментів бази Розкрадання інформації з БД з боку легального користувача (перевищення повноважень) Рольовий управління, детальний аудит Аутентифікація і додатковий моніторинг дій користувача (не грошима СУБД) Розкрадання або використання чужої облікового запису (через відсутність захисту облікового запису), наприклад, системного адміністратора Аутентификация по цифровому сертифікату Використання механізму SSL-аутентифікації Використання відомих паролів, установ¬ленних за замовчуванням (якщо вони не були переустановлені користувачем) Розкрадання пароля (наприклад, за допомогою сніфера - ПО для перехоплення вводяться паролів) Підбір пароля (наприклад, методом перебору по словнику) Перехоплення пароля під час передачі по мережі Злом пароля ключового контейнера (wallet). Аутентифікація по цифровому сертифікату Відмова від використання паролів, перехід на SSL-аутентифікацію з використанням сертифікатів Розкрадання або копіювання ключового контейнера або його резервної копії Закритий ключ зберігається що не експортіруе¬мий в захищеній пам'яті інтелектуальної смарт-карти Використання смарт-карт технологій для безпечного зберігання закритих ключів Перехоплення закритого ключа (в момент його використання за допомогою спеціального ПО) Апаратна реалізація криптографічних операцій в смарт-карті використання смарт -карт технологій для апаратного виполне¬нія криптографічних операцій (SSL) в процесорі смарт-кар¬ти без «виходу» закритих ключів назовні Дублювання смарт-карти (копіювання закритих ключів в інший токен) Доступ до захищеної пам'яті смарт-карти, в якій зберігаються закриті ключі, захищений PIN-кодом. Експорт закритих ключів зі смарт-карти виключений Закриті ключі, згенеровані смарт-картою або імпортіро¬ванние в неї, зберігаються в закритій пам'яті смарт-карти і не можуть бути з неї вилучені (міжнародні сертифікати безопас¬ності ITSEC Level E4, FIPS 140-1 - Level 2, 3) Перехоплення переданих по мережі даних шифрування мережевого трафіку Використання SSL-протоколу для шифрування переданих по мережі даних за допомогою вбудованих в Oracle алгоритмів симетричного шифрування

Найближчі перспективи

Статті та публікації

Постійні пропозиції придбати різні (в більшості своїй відомчі) бази даних свідчать про те, що продаж конфіденційних відомостей про громадян і юридичних осіб стала окремим видом бізнесу. Якщо поява чергової опублікованій бази для громадян є просто ще одним малоприємним фактом оприлюднення відомостей про їхнє приватне життя, то на деяких підприємствах це може негативно вплинути на бізнес. Наприклад, для оператора стільникового зв'язку поширення бази білінгу може обернутися істотним відтоком абонентів до більш «надійного» оператору-конкуренту. Тому оператору часом економічно більш вигідно знайти "виробника", який підготував вкрадену базу до продажу, і викупити весь тираж. Але проблема перекриття можливих витоків при цьому залишається досить актуальною.

Захист баз даних є однією з найскладніших завдань, що стоять перед підрозділами, відповідають за забезпечення інформаційної безпеки. З одного боку, для роботи з базою необхідно надавати доступ до даних усім співробітникам, хто за службовим обов'язком повинен здійснювати збір, обробку, зберігання та передачу конфіденційних даних. З іншого боку, укрупнення баз даних далеко не завжди має централізовану архітектуру (спостерігається яскраво виражена тенденція до територіально розподіленої системі), в зв'язку з чим дії порушників стають все більш витонченими. При цьому чіткою і ясною методики комплексного вирішення завдання захисту баз даних, яку можна було б застосовувати у всіх випадках, не існує, в кожній конкретній ситуації доводиться знаходити індивідуальний підхід.

Класичний погляд на вирішення цієї задачі включає обстеження підприємства з метою виявлення таких загроз, як розкрадання, втрата, знищення, модифікація, відмова від дійсності. На другому етапі слід складання математичних моделей основних інформаційних потоків і можливих порушень, моделювання типових дій зловмисників; на третьому - вироблення комплексних заходів щодо припинення і попередження можливих загроз за допомогою правових, організаційно-адміністративних і технічних заходів захисту. Однак різноманітність діяльності підприємств, структури бізнесу, інформаційних мереж і потоків інформації, прикладних систем і способів організації доступу до них і т. Д. Не дозволяє створити універсальну методику рішення.


Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?


Довгий час захист баз даних асоціювалася з захистом локальної мережі підприємства від зовнішніх атак хакерів, боротьбою з вірусами і т. П. Останні аналітичні звіти консалтингових компаній виявили інші, більш важливі напрямки захисту інформаційних ресурсів компаній. Дослідження переконливо показали, що від витоку інформації з боку персоналу і зловмисних дій "всесильних" адміністраторів баз даних не рятують ні міжмережеві екрани, ні VPN, ні навіть "наворочені" системи виявлення атак і аналізу захищеності. Неавторизований доступ до даних і крадіжка конфіденційної інформації є головними складовими втрат підприємств після збитку, що наноситься вірусами (рис. 1).

Один з основних висновків звіту CSI / FBI - значно зрослий збиток від такої загрози, як крадіжка конфіденційних даних. Кожна американська компанія в середньому втратила 355,5 тис. Дол. Тільки через витоки конфіденційних даних за минулі 12 місяців. Середній розмір втрат від дій інсайдерів склав 300 тис. Дол. (Максимальний -1,5 млн дол.). Вирішення питань персоніфікованого доступу до конфіденційних даних дозволяє виявляти зловмисника за допомогою інформації, незаперечно доводить його провину. Це, в свою чергу, неможливо без застосування найсучасніших способів аутентифікації і управління доступом.


Чи можна зупинити розкрадання інформації з баз даних?


Спробуємо коротко сформулювати основні причини несанкціонованого доступу до даних і поставленого в ряді випадків на промислові рейки збуту баз даних, що містять персональні дані абонентів, партнерів або співробітників і комерційні таємниці компаній.


Отже, є такі вихідні дані:

  • багато хто не здогадуються про те, що їх бази даних крадуть;
  • крадіжка і завдані збитки мають латентний характер;
  • якщо факт крадіжки даних встановлено, більшість компаній замовчують завдані збитки.

Дослідження Ernst & Young з проблем внутрішніх загроз свідчать: близько 20% співробітників підприємств впевнені, що конфіденційна інформація "йде на сторону" з вини їхніх колег, при цьому керівники більшості компаній практично не діють. Причини такого становища такі.

  1. Висока латентність таких злочинів (понесені втрати виявляються через деякий час) і досить рідко розкриваються. Експерти називають такі цифри по приховуванню: США - 80%, Великобританія - до 85%, Німеччина - 75%, Росія - більше 90%. Прагнення керівництва "не виносити сміття з хати" погіршує ситуацію.
  2. Низький інтерес до розробки засобів, які ліквідують або зменшують ризики, пов'язані з внутрішніми загрозами; недостатня популяризація таких рішень. В результаті про засоби і методи захисту від крадіжки інформації легальними співробітниками мало хто знає.
  3. Недостатня пропозиція на ринку комплексних систем для боротьби з внутрішніми загрозами, особливо щодо крадіжок інформації з баз даних.


Практично 100% опитаних підтвердили використання в корпоративних мережах антивірусного ПО, 71% - антиспамових систем, але про захист від внутрішніх загроз не згадав ніхто.
Російська дійсність ще тривожніше. В опублікованій в лютому 2005 р інформації на сайті www.infowatch.ru наведені дані опитування представників 387 державних і комерційних структур (рис. 2). Ось основні висновки з даного дослідження:

  • 62% респондентів вважають, що дії інсайдерів - найбільша загроза для російських організацій;
  • 98% визнали порушення конфіденційності інформації найбільшою внутрішньої ІТ-загрозою;
  • 99,4% допускають можливість наявності незареєстрованих інцидентів внутрішньої І Б;
  • 87% вважають технічні засоби ефективним способом захисту. Однак всього 1% респондентів використовують їх, а 68% ніяких дій не роблять;
  • російські організації ососзнают небезпека внутрішніх ІТ-загроз, але не знають, як з нею боротися: 58% не інформовані про сущетсвующих технологічних рішеннях.


Одна з причин цього - відсутність реальних механізмів збору доказової бази по факту крадіжки конкретним користувачем ресурсів;

Однак ефективні способи захисту даних існують навіть в таких несприятливих умовах. Комплекс організаційних, що регламентують і адміністративних заходів при правильному підході дозволяє істотно знизити ризики витоку інформації. Оскільки ці заходи досить відомі, звернемося до основних способів технічного захисту інформації в базі даних.


Технічні способи захисту


В першу чергу це управління доступом користувачів. Як відомо, довести безпеку системи найпростіше при зведенні реально діючої системи до стандартних моделей безпеки. Однак моделі дискреційного і мандатної доступу в більшості випадків не зовсім зручні для застосування на практиці, тому останнім часом зросла популярність моделей так званого рольового управління доступом користувачів. З точки зору перспективності, зручності управління і надійності, можна рекомендувати схеми рольового управління, засновані на застосуванні в якості розширених облікових записів користувачів цифрових сертифікатів Х.509. Для централізованого управління доступом, в тому числі привілейованих користувачів (таких як адміністратори баз даних, системні адміністратори, адміністратори прикладних систем) вводиться роль адміністратора безпеки, призначає і контролює доступ до даних.

Ефективним способом захисту конфіденційної інформації, що зберігається в таблицях БД, може виявитися її шифрування за допомогою стійкого криптоалгоритму. Цим забезпечується зберігання інформації в «нечитабельним» вигляді. Для отримання "чистої" інформації користувачі, які мають санкціонований доступ до зашифрованих даних, мають ключ і алгоритм розшифрування. При цьому виникає проблема зберігання ключів шифрування - згадаймо хоча б про "паролі під килимком миші".

Припустимо, що проблема зберігання ключів вирішена, і легальний користувач вирішив скопіювати захищену інформацію, а це, зазначимо, він може зробити абсолютно вільно. Порівнянний або навіть більш значної шкоди може завдати передача ключа шифрування зацікавленій особі. А якщо в якості зловмисника виступає адміністратор БД ... Напрошується висновок, що шифрування не вирішує всіх проблем. Щоб знизити ризики від внутрішніх загроз за допомогою технічних засобів захисту, слід застосовувати:

  • Cтрогий аутентифікацію користувача і контроль доступу відповідно до рольовим управлінням, регульованим офіцером безпеки. Це дає можливість персоналізувати доступ і істотно знизити ризик відмови користувачів від скоєних ними дій;
  • шифрування трафіку між клієнтської робочої станцією і сервером БД, що запобіжить спроби крадіжки інформації на мережевому рівні;
  • криптографічне перетворення тих даних, які необхідно захистити. Це значно знизить ризик втрати інформації;
  • зберігання аутентификационной інформації та ключів шифрування на персоналізованому знімному носії, наприклад, на смарт-карті або USB-ключі. Це дозволить усунути проблему «забутих паролів» і підвищити персональну відповідальність співробітника;
  • аудит критичних (в плані безпеки) дій користувачів (бажано, позаштатними засобами аудиту БД). Поєднання аудиту і суворої персоніфікації - досить вагомий аргумент на користь відмови від протиправних дій для потенційних порушників.

Ефект від реалізації подібного підходу буде відчутним, але явно недостатнім для повного вирішення проблеми. Розробка і впровадження регламентів і політик безпеки, організаційні заходи, а також тренінги персоналу по роботі з конфіденційними даними - все це спрямовано на підвищення особистої відповідальності кожного співробітника і має доповнювати технічні заходи безпеки.


Краще рішення - "прозоре" додаток


В даний час розроблені технології, які дозволяють забезпечити надійний захист прикладних інформаційних систем. Вони реалізовані на базі найпоширенішою СУБД Oracle. При цьому повністю задіяні штатні механізми забезпечення безпеки ПО сервера і клієнта. Найцікавіше з пропонованих рішень -суворо двухфакторная аутентифікація в Oracle для архітектури додатку "клієнт - сервер".

Розглянемо це рішення докладніше. З усього розмаїття методів аутентифікації, що надаються СУБД Oracle (ім'я / пароль, RADIUS, Kerberos, SSL), в 99% випадків використовується аутентифікація по імені користувача і паролю. Безумовно, це найпростіший метод. Однак його зручність і, що більш важливо, безпеку залишають бажати кращого. Найбільш надійним методом сьогодні вважається аутентифікація за сертифікатом Х.509, яку підтримує Oracle. Сертифікати користувачів і закриті ключі можуть зберігатися або в файлах стандартного формату PKCS # 12, розміщених на відчужуваних носіях, або в реєстрі Windows на робочих станціях, при цьому вони захищені паролем. Однак парольний захист породжує проблеми безпеки - ключові контейнери можуть бути скопійовані і згодом "зламані" методом простого перебору паролів. Певні незручності викликає і прив'язка ключового контейнера до конкретної робочої станції.

Розглядається рішення знімає обидві проблеми: сертифікати встановлені безпосередньо в чиповой (інтелектуальної) смарт-карті; секретний ключ знаходиться в захищеній пам'яті і ніколи звідти не витягається; сертифікати "мобільні" - працювати з додатками Oracle можна з будь-якої робочої станції і від імені будь-якого користувача корпоративної мережі.

Установки - вказати, що ключовий контейнер поміщений в сховище сертифікатів (Certificate Store) Microsoft. У момент запиту на з'єднання з БД служба смарт-карти RTX дозволяє мережевим драйверам Oracle "бачити" всі сертифікати, встановлені на смарт-карті. Процес аутентифікації проходить в два етапи:

  • запит на вибір сертифіката (в залежності від обраного сертифіката користувач буде працювати з певною БД з заданими офіцером безпеки правилами). Якщо сертифікат єдиний, він вибирається автоматично;
  • запит PIN-коду смарт-карти для авторизації на операції з закритим ключем.

Коли клієнтові потрібно пред'явити свій сертифікат, служба смарт-карти «підказує» йому, по сертифікат слід брати з смарт-карти. Для підтвердження автентичності сервера клієнту необхідний особистий ключ для розшифровки відповіді сервера. Закритий ключ знаходиться в захищеній пам'яті смарт-карти, і всі операції з ним виконує вбудований в карту кріптопроцессор. Для таких операцій потрібна додаткова авторизація, тобто запитується PIN-код. Коли між клієнтом і сервером встановлені довірчі відносини, сервер перевіряє наявність розпізнавального імені користувача, для якого виданий сертифікат клієнта, в LDAP-каталозі - Oracle Internet Directory. Якщо такий знайдений, додатково визначаються екземпляр БД, схема і набір прав для клієнта. Після цього сервером створюється сесія користувача з зазначеними параметрами. Мережевий обмін між клієнтом і сервером відбувається по з'єднанню, захищеному певним криптоалгоритмом.

Замовник, налаштувати сервер БД, клієнтські робочі станції і встановив сертифікати користувачів на смарт-карти, отримує надійну аутентифікацію, зашифрований зв'язок між робочими станціями і сервером, і, найголовніше, -суворо персоналізацію доступу в БД. Всі програми, що працюють з Oracle - від DOS-консолі до складних ERP-систем, будуть працювати з розглянутим методом аутентифікації без яких-небудь доопрацювань.

Огляд технічних способів протидії типовим загрозам

Головним об'єктом атаки є, як правило, адміністративні повноваження. Їх можна отримати, дізнавшись в хешировать або символьному вигляді пароль адміністратора системи. Типові загрози і технічні методи протидії їм за допомогою технологій, заснованих на застосуванні вбудованих в Oracle коштів PKI, наведені в таблиці.


Таблиця. Методи протидії типовим загрозам


Загроза Протидія Метод Розкрадання інформації з БД неуполномочен¬ним користувачем Шифрування бази даних і рольове управління доступом Установка системи управління доступом по цифрових сертифікатах, шифрування критичних сегментів бази Розкрадання інформації з БД з боку легального користувача (перевищення повноважень) Рольовий управління, детальний аудит Аутентифікація і додатковий моніторинг дій користувача (не грошима СУБД) Розкрадання або використання чужої облікового запису (через відсутність захисту облікового запису), наприклад, системного адміністратора Аутентификация по цифровому сертифікату Використання механізму SSL-аутентифікації Використання відомих паролів, установ¬ленних за замовчуванням (якщо вони не були переустановлені користувачем) Розкрадання пароля (наприклад, за допомогою сніфера - ПО для перехоплення вводяться паролів) Підбір пароля (наприклад, методом перебору по словнику) Перехоплення пароля під час передачі по мережі Злом пароля ключового контейнера (wallet). Аутентифікація по цифровому сертифікату Відмова від використання паролів, перехід на SSL-аутентифікацію з використанням сертифікатів Розкрадання або копіювання ключового контейнера або його резервної копії Закритий ключ зберігається що не експортіруе¬мий в захищеній пам'яті інтелектуальної смарт-карти Використання смарт-карт технологій для безпечного зберігання закритих ключів Перехоплення закритого ключа (в момент його використання за допомогою спеціального ПО) Апаратна реалізація криптографічних операцій в смарт-карті використання смарт -карт технологій для апаратного виполне¬нія криптографічних операцій (SSL) в процесорі смарт-кар¬ти без «виходу» закритих ключів назовні Дублювання смарт-карти (копіювання закритих ключів в інший токен) Доступ до захищеної пам'яті смарт-карти, в якій зберігаються закриті ключі, захищений PIN-кодом. Експорт закритих ключів зі смарт-карти виключений Закриті ключі, згенеровані смарт-картою або імпортіро¬ванние в неї, зберігаються в закритій пам'яті смарт-карти і не можуть бути з неї вилучені (міжнародні сертифікати безопас¬ності ITSEC Level E4, FIPS 140-1 - Level 2, 3) Перехоплення переданих по мережі даних шифрування мережевого трафіку Використання SSL-протоколу для шифрування переданих по мережі даних за допомогою вбудованих в Oracle алгоритмів симетричного шифрування

Найближчі перспективи

Статті та публікації

Постійні пропозиції придбати різні (в більшості своїй відомчі) бази даних свідчать про те, що продаж конфіденційних відомостей про громадян і юридичних осіб стала окремим видом бізнесу. Якщо поява чергової опублікованій бази для громадян є просто ще одним малоприємним фактом оприлюднення відомостей про їхнє приватне життя, то на деяких підприємствах це може негативно вплинути на бізнес. Наприклад, для оператора стільникового зв'язку поширення бази білінгу може обернутися істотним відтоком абонентів до більш «надійного» оператору-конкуренту. Тому оператору часом економічно більш вигідно знайти "виробника", який підготував вкрадену базу до продажу, і викупити весь тираж. Але проблема перекриття можливих витоків при цьому залишається досить актуальною.

Захист баз даних є однією з найскладніших завдань, що стоять перед підрозділами, відповідають за забезпечення інформаційної безпеки. З одного боку, для роботи з базою необхідно надавати доступ до даних усім співробітникам, хто за службовим обов'язком повинен здійснювати збір, обробку, зберігання та передачу конфіденційних даних. З іншого боку, укрупнення баз даних далеко не завжди має централізовану архітектуру (спостерігається яскраво виражена тенденція до територіально розподіленої системі), в зв'язку з чим дії порушників стають все більш витонченими. При цьому чіткою і ясною методики комплексного вирішення завдання захисту баз даних, яку можна було б застосовувати у всіх випадках, не існує, в кожній конкретній ситуації доводиться знаходити індивідуальний підхід.

Класичний погляд на вирішення цієї задачі включає обстеження підприємства з метою виявлення таких загроз, як розкрадання, втрата, знищення, модифікація, відмова від дійсності. На другому етапі слід складання математичних моделей основних інформаційних потоків і можливих порушень, моделювання типових дій зловмисників; на третьому - вироблення комплексних заходів щодо припинення і попередження можливих загроз за допомогою правових, організаційно-адміністративних і технічних заходів захисту. Однак різноманітність діяльності підприємств, структури бізнесу, інформаційних мереж і потоків інформації, прикладних систем і способів організації доступу до них і т. Д. Не дозволяє створити універсальну методику рішення.


Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?


Довгий час захист баз даних асоціювалася з захистом локальної мережі підприємства від зовнішніх атак хакерів, боротьбою з вірусами і т. П. Останні аналітичні звіти консалтингових компаній виявили інші, більш важливі напрямки захисту інформаційних ресурсів компаній. Дослідження переконливо показали, що від витоку інформації з боку персоналу і зловмисних дій "всесильних" адміністраторів баз даних не рятують ні міжмережеві екрани, ні VPN, ні навіть "наворочені" системи виявлення атак і аналізу захищеності. Неавторизований доступ до даних і крадіжка конфіденційної інформації є головними складовими втрат підприємств після збитку, що наноситься вірусами (рис. 1).

Один з основних висновків звіту CSI / FBI - значно зрослий збиток від такої загрози, як крадіжка конфіденційних даних. Кожна американська компанія в середньому втратила 355,5 тис. Дол. Тільки через витоки конфіденційних даних за минулі 12 місяців. Середній розмір втрат від дій інсайдерів склав 300 тис. Дол. (Максимальний -1,5 млн дол.). Вирішення питань персоніфікованого доступу до конфіденційних даних дозволяє виявляти зловмисника за допомогою інформації, незаперечно доводить його провину. Це, в свою чергу, неможливо без застосування найсучасніших способів аутентифікації і управління доступом.


Чи можна зупинити розкрадання інформації з баз даних?


Спробуємо коротко сформулювати основні причини несанкціонованого доступу до даних і поставленого в ряді випадків на промислові рейки збуту баз даних, що містять персональні дані абонентів, партнерів або співробітників і комерційні таємниці компаній.


Отже, є такі вихідні дані:

  • багато хто не здогадуються про те, що їх бази даних крадуть;
  • крадіжка і завдані збитки мають латентний характер;
  • якщо факт крадіжки даних встановлено, більшість компаній замовчують завдані збитки.

Дослідження Ernst & Young з проблем внутрішніх загроз свідчать: близько 20% співробітників підприємств впевнені, що конфіденційна інформація "йде на сторону" з вини їхніх колег, при цьому керівники більшості компаній практично не діють. Причини такого становища такі.

  1. Висока латентність таких злочинів (понесені втрати виявляються через деякий час) і досить рідко розкриваються. Експерти називають такі цифри по приховуванню: США - 80%, Великобританія - до 85%, Німеччина - 75%, Росія - більше 90%. Прагнення керівництва "не виносити сміття з хати" погіршує ситуацію.
  2. Низький інтерес до розробки засобів, які ліквідують або зменшують ризики, пов'язані з внутрішніми загрозами; недостатня популяризація таких рішень. В результаті про засоби і методи захисту від крадіжки інформації легальними співробітниками мало хто знає.
  3. Недостатня пропозиція на ринку комплексних систем для боротьби з внутрішніми загрозами, особливо щодо крадіжок інформації з баз даних.


Практично 100% опитаних підтвердили використання в корпоративних мережах антивірусного ПО, 71% - антиспамових систем, але про захист від внутрішніх загроз не згадав ніхто.
Російська дійсність ще тривожніше. В опублікованій в лютому 2005 р інформації на сайті www.infowatch.ru наведені дані опитування представників 387 державних і комерційних структур (рис. 2). Ось основні висновки з даного дослідження:

  • 62% респондентів вважають, що дії інсайдерів - найбільша загроза для російських організацій;
  • 98% визнали порушення конфіденційності інформації найбільшою внутрішньої ІТ-загрозою;
  • 99,4% допускають можливість наявності незареєстрованих інцидентів внутрішньої І Б;
  • 87% вважають технічні засоби ефективним способом захисту. Однак всього 1% респондентів використовують їх, а 68% ніяких дій не роблять;
  • російські організації ососзнают небезпека внутрішніх ІТ-загроз, але не знають, як з нею боротися: 58% не інформовані про сущетсвующих технологічних рішеннях.


Одна з причин цього - відсутність реальних механізмів збору доказової бази по факту крадіжки конкретним користувачем ресурсів;

Однак ефективні способи захисту даних існують навіть в таких несприятливих умовах. Комплекс організаційних, що регламентують і адміністративних заходів при правильному підході дозволяє істотно знизити ризики витоку інформації. Оскільки ці заходи досить відомі, звернемося до основних способів технічного захисту інформації в базі даних.


Технічні способи захисту


В першу чергу це управління доступом користувачів. Як відомо, довести безпеку системи найпростіше при зведенні реально діючої системи до стандартних моделей безпеки. Однак моделі дискреційного і мандатної доступу в більшості випадків не зовсім зручні для застосування на практиці, тому останнім часом зросла популярність моделей так званого рольового управління доступом користувачів. З точки зору перспективності, зручності управління і надійності, можна рекомендувати схеми рольового управління, засновані на застосуванні в якості розширених облікових записів користувачів цифрових сертифікатів Х.509. Для централізованого управління доступом, в тому числі привілейованих користувачів (таких як адміністратори баз даних, системні адміністратори, адміністратори прикладних систем) вводиться роль адміністратора безпеки, призначає і контролює доступ до даних.

Ефективним способом захисту конфіденційної інформації, що зберігається в таблицях БД, може виявитися її шифрування за допомогою стійкого криптоалгоритму. Цим забезпечується зберігання інформації в «нечитабельним» вигляді. Для отримання "чистої" інформації користувачі, які мають санкціонований доступ до зашифрованих даних, мають ключ і алгоритм розшифрування. При цьому виникає проблема зберігання ключів шифрування - згадаймо хоча б про "паролі під килимком миші".

Припустимо, що проблема зберігання ключів вирішена, і легальний користувач вирішив скопіювати захищену інформацію, а це, зазначимо, він може зробити абсолютно вільно. Порівнянний або навіть більш значної шкоди може завдати передача ключа шифрування зацікавленій особі. А якщо в якості зловмисника виступає адміністратор БД ... Напрошується висновок, що шифрування не вирішує всіх проблем. Щоб знизити ризики від внутрішніх загроз за допомогою технічних засобів захисту, слід застосовувати:

  • Cтрогий аутентифікацію користувача і контроль доступу відповідно до рольовим управлінням, регульованим офіцером безпеки. Це дає можливість персоналізувати доступ і істотно знизити ризик відмови користувачів від скоєних ними дій;
  • шифрування трафіку між клієнтської робочої станцією і сервером БД, що запобіжить спроби крадіжки інформації на мережевому рівні;
  • криптографічне перетворення тих даних, які необхідно захистити. Це значно знизить ризик втрати інформації;
  • зберігання аутентификационной інформації та ключів шифрування на персоналізованому знімному носії, наприклад, на смарт-карті або USB-ключі. Це дозволить усунути проблему «забутих паролів» і підвищити персональну відповідальність співробітника;
  • аудит критичних (в плані безпеки) дій користувачів (бажано, позаштатними засобами аудиту БД). Поєднання аудиту і суворої персоніфікації - досить вагомий аргумент на користь відмови від протиправних дій для потенційних порушників.

Ефект від реалізації подібного підходу буде відчутним, але явно недостатнім для повного вирішення проблеми. Розробка і впровадження регламентів і політик безпеки, організаційні заходи, а також тренінги персоналу по роботі з конфіденційними даними - все це спрямовано на підвищення особистої відповідальності кожного співробітника і має доповнювати технічні заходи безпеки.


Краще рішення - "прозоре" додаток


В даний час розроблені технології, які дозволяють забезпечити надійний захист прикладних інформаційних систем. Вони реалізовані на базі найпоширенішою СУБД Oracle. При цьому повністю задіяні штатні механізми забезпечення безпеки ПО сервера і клієнта. Найцікавіше з пропонованих рішень -суворо двухфакторная аутентифікація в Oracle для архітектури додатку "клієнт - сервер".

Розглянемо це рішення докладніше. З усього розмаїття методів аутентифікації, що надаються СУБД Oracle (ім'я / пароль, RADIUS, Kerberos, SSL), в 99% випадків використовується аутентифікація по імені користувача і паролю. Безумовно, це найпростіший метод. Однак його зручність і, що більш важливо, безпеку залишають бажати кращого. Найбільш надійним методом сьогодні вважається аутентифікація за сертифікатом Х.509, яку підтримує Oracle. Сертифікати користувачів і закриті ключі можуть зберігатися або в файлах стандартного формату PKCS # 12, розміщених на відчужуваних носіях, або в реєстрі Windows на робочих станціях, при цьому вони захищені паролем. Однак парольний захист породжує проблеми безпеки - ключові контейнери можуть бути скопійовані і згодом "зламані" методом простого перебору паролів. Певні незручності викликає і прив'язка ключового контейнера до конкретної робочої станції.

Розглядається рішення знімає обидві проблеми: сертифікати встановлені безпосередньо в чиповой (інтелектуальної) смарт-карті; секретний ключ знаходиться в захищеній пам'яті і ніколи звідти не витягається; сертифікати "мобільні" - працювати з додатками Oracle можна з будь-якої робочої станції і від імені будь-якого користувача корпоративної мережі.

Установки - вказати, що ключовий контейнер поміщений в сховище сертифікатів (Certificate Store) Microsoft. У момент запиту на з'єднання з БД служба смарт-карти RTX дозволяє мережевим драйверам Oracle "бачити" всі сертифікати, встановлені на смарт-карті. Процес аутентифікації проходить в два етапи:

  • запит на вибір сертифіката (в залежності від обраного сертифіката користувач буде працювати з певною БД з заданими офіцером безпеки правилами). Якщо сертифікат єдиний, він вибирається автоматично;
  • запит PIN-коду смарт-карти для авторизації на операції з закритим ключем.

Коли клієнтові потрібно пред'явити свій сертифікат, служба смарт-карти «підказує» йому, по сертифікат слід брати з смарт-карти. Для підтвердження автентичності сервера клієнту необхідний особистий ключ для розшифровки відповіді сервера. Закритий ключ знаходиться в захищеній пам'яті смарт-карти, і всі операції з ним виконує вбудований в карту кріптопроцессор. Для таких операцій потрібна додаткова авторизація, тобто запитується PIN-код. Коли між клієнтом і сервером встановлені довірчі відносини, сервер перевіряє наявність розпізнавального імені користувача, для якого виданий сертифікат клієнта, в LDAP-каталозі - Oracle Internet Directory. Якщо такий знайдений, додатково визначаються екземпляр БД, схема і набір прав для клієнта. Після цього сервером створюється сесія користувача з зазначеними параметрами. Мережевий обмін між клієнтом і сервером відбувається по з'єднанню, захищеному певним криптоалгоритмом.

Замовник, налаштувати сервер БД, клієнтські робочі станції і встановив сертифікати користувачів на смарт-карти, отримує надійну аутентифікацію, зашифрований зв'язок між робочими станціями і сервером, і, найголовніше, -суворо персоналізацію доступу в БД. Всі програми, що працюють з Oracle - від DOS-консолі до складних ERP-систем, будуть працювати з розглянутим методом аутентифікації без яких-небудь доопрацювань.

Огляд технічних способів протидії типовим загрозам

Головним об'єктом атаки є, як правило, адміністративні повноваження. Їх можна отримати, дізнавшись в хешировать або символьному вигляді пароль адміністратора системи. Типові загрози і технічні методи протидії їм за допомогою технологій, заснованих на застосуванні вбудованих в Oracle коштів PKI, наведені в таблиці.


Таблиця. Методи протидії типовим загрозам


Загроза Протидія Метод Розкрадання інформації з БД неуполномочен¬ним користувачем Шифрування бази даних і рольове управління доступом Установка системи управління доступом по цифрових сертифікатах, шифрування критичних сегментів бази Розкрадання інформації з БД з боку легального користувача (перевищення повноважень) Рольовий управління, детальний аудит Аутентифікація і додатковий моніторинг дій користувача (не грошима СУБД) Розкрадання або використання чужої облікового запису (через відсутність захисту облікового запису), наприклад, системного адміністратора Аутентификация по цифровому сертифікату Використання механізму SSL-аутентифікації Використання відомих паролів, установ¬ленних за замовчуванням (якщо вони не були переустановлені користувачем) Розкрадання пароля (наприклад, за допомогою сніфера - ПО для перехоплення вводяться паролів) Підбір пароля (наприклад, методом перебору по словнику) Перехоплення пароля під час передачі по мережі Злом пароля ключового контейнера (wallet). Аутентифікація по цифровому сертифікату Відмова від використання паролів, перехід на SSL-аутентифікацію з використанням сертифікатів Розкрадання або копіювання ключового контейнера або його резервної копії Закритий ключ зберігається що не експортіруе¬мий в захищеній пам'яті інтелектуальної смарт-карти Використання смарт-карт технологій для безпечного зберігання закритих ключів Перехоплення закритого ключа (в момент його використання за допомогою спеціального ПО) Апаратна реалізація криптографічних операцій в смарт-карті використання смарт -карт технологій для апаратного виполне¬нія криптографічних операцій (SSL) в процесорі смарт-кар¬ти без «виходу» закритих ключів назовні Дублювання смарт-карти (копіювання закритих ключів в інший токен) Доступ до захищеної пам'яті смарт-карти, в якій зберігаються закриті ключі, захищений PIN-кодом. Експорт закритих ключів зі смарт-карти виключений Закриті ключі, згенеровані смарт-картою або імпортіро¬ванние в неї, зберігаються в закритій пам'яті смарт-карти і не можуть бути з неї вилучені (міжнародні сертифікати безопас¬ності ITSEC Level E4, FIPS 140-1 - Level 2, 3) Перехоплення переданих по мережі даних шифрування мережевого трафіку Використання SSL-протоколу для шифрування переданих по мережі даних за допомогою вбудованих в Oracle алгоритмів симетричного шифрування

Найближчі перспективи

Статті та публікації

Постійні пропозиції придбати різні (в більшості своїй відомчі) бази даних свідчать про те, що продаж конфіденційних відомостей про громадян і юридичних осіб стала окремим видом бізнесу. Якщо поява чергової опублікованій бази для громадян є просто ще одним малоприємним фактом оприлюднення відомостей про їхнє приватне життя, то на деяких підприємствах це може негативно вплинути на бізнес. Наприклад, для оператора стільникового зв'язку поширення бази білінгу може обернутися істотним відтоком абонентів до більш «надійного» оператору-конкуренту. Тому оператору часом економічно більш вигідно знайти "виробника", який підготував вкрадену базу до продажу, і викупити весь тираж. Але проблема перекриття можливих витоків при цьому залишається досить актуальною.

Захист баз даних є однією з найскладніших завдань, що стоять перед підрозділами, відповідають за забезпечення інформаційної безпеки. З одного боку, для роботи з базою необхідно надавати доступ до даних усім співробітникам, хто за службовим обов'язком повинен здійснювати збір, обробку, зберігання та передачу конфіденційних даних. З іншого боку, укрупнення баз даних далеко не завжди має централізовану архітектуру (спостерігається яскраво виражена тенденція до територіально розподіленої системі), в зв'язку з чим дії порушників стають все більш витонченими. При цьому чіткою і ясною методики комплексного вирішення завдання захисту баз даних, яку можна було б застосовувати у всіх випадках, не існує, в кожній конкретній ситуації доводиться знаходити індивідуальний підхід.

Класичний погляд на вирішення цієї задачі включає обстеження підприємства з метою виявлення таких загроз, як розкрадання, втрата, знищення, модифікація, відмова від дійсності. На другому етапі слід складання математичних моделей основних інформаційних потоків і можливих порушень, моделювання типових дій зловмисників; на третьому - вироблення комплексних заходів щодо припинення і попередження можливих загроз за допомогою правових, організаційно-адміністративних і технічних заходів захисту. Однак різноманітність діяльності підприємств, структури бізнесу, інформаційних мереж і потоків інформації, прикладних систем і способів організації доступу до них і т. Д. Не дозволяє створити універсальну методику рішення.


Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?


Довгий час захист баз даних асоціювалася з захистом локальної мережі підприємства від зовнішніх атак хакерів, боротьбою з вірусами і т. П. Останні аналітичні звіти консалтингових компаній виявили інші, більш важливі напрямки захисту інформаційних ресурсів компаній. Дослідження переконливо показали, що від витоку інформації з боку персоналу і зловмисних дій "всесильних" адміністраторів баз даних не рятують ні міжмережеві екрани, ні VPN, ні навіть "наворочені" системи виявлення атак і аналізу захищеності. Неавторизований доступ до даних і крадіжка конфіденційної інформації є головними складовими втрат підприємств після збитку, що наноситься вірусами (рис. 1).

Один з основних висновків звіту CSI / FBI - значно зрослий збиток від такої загрози, як крадіжка конфіденційних даних. Кожна американська компанія в середньому втратила 355,5 тис. Дол. Тільки через витоки конфіденційних даних за минулі 12 місяців. Середній розмір втрат від дій інсайдерів склав 300 тис. Дол. (Максимальний -1,5 млн дол.). Вирішення питань персоніфікованого доступу до конфіденційних даних дозволяє виявляти зловмисника за допомогою інформації, незаперечно доводить його провину. Це, в свою чергу, неможливо без застосування найсучасніших способів аутентифікації і управління доступом.


Чи можна зупинити розкрадання інформації з баз даних?


Спробуємо коротко сформулювати основні причини несанкціонованого доступу до даних і поставленого в ряді випадків на промислові рейки збуту баз даних, що містять персональні дані абонентів, партнерів або співробітників і комерційні таємниці компаній.


Отже, є такі вихідні дані:

  • багато хто не здогадуються про те, що їх бази даних крадуть;
  • крадіжка і завдані збитки мають латентний характер;
  • якщо факт крадіжки даних встановлено, більшість компаній замовчують завдані збитки.

Дослідження Ernst & Young з проблем внутрішніх загроз свідчать: близько 20% співробітників підприємств впевнені, що конфіденційна інформація "йде на сторону" з вини їхніх колег, при цьому керівники більшості компаній практично не діють. Причини такого становища такі.

  1. Висока латентність таких злочинів (понесені втрати виявляються через деякий час) і досить рідко розкриваються. Експерти називають такі цифри по приховуванню: США - 80%, Великобританія - до 85%, Німеччина - 75%, Росія - більше 90%. Прагнення керівництва "не виносити сміття з хати" погіршує ситуацію.
  2. Низький інтерес до розробки засобів, які ліквідують або зменшують ризики, пов'язані з внутрішніми загрозами; недостатня популяризація таких рішень. В результаті про засоби і методи захисту від крадіжки інформації легальними співробітниками мало хто знає.
  3. Недостатня пропозиція на ринку комплексних систем для боротьби з внутрішніми загрозами, особливо щодо крадіжок інформації з баз даних.


Практично 100% опитаних підтвердили використання в корпоративних мережах антивірусного ПО, 71% - антиспамових систем, але про захист від внутрішніх загроз не згадав ніхто.
Російська дійсність ще тривожніше. В опублікованій в лютому 2005 р інформації на сайті www.infowatch.ru наведені дані опитування представників 387 державних і комерційних структур (рис. 2). Ось основні висновки з даного дослідження:

  • 62% респондентів вважають, що дії інсайдерів - найбільша загроза для російських організацій;
  • 98% визнали порушення конфіденційності інформації найбільшою внутрішньої ІТ-загрозою;
  • 99,4% допускають можливість наявності незареєстрованих інцидентів внутрішньої І Б;
  • 87% вважають технічні засоби ефективним способом захисту. Однак всього 1% респондентів використовують їх, а 68% ніяких дій не роблять;
  • російські організації ососзнают небезпека внутрішніх ІТ-загроз, але не знають, як з нею боротися: 58% не інформовані про сущетсвующих технологічних рішеннях.


Одна з причин цього - відсутність реальних механізмів збору доказової бази по факту крадіжки конкретним користувачем ресурсів;

Однак ефективні способи захисту даних існують навіть в таких несприятливих умовах. Комплекс організаційних, що регламентують і адміністративних заходів при правильному підході дозволяє істотно знизити ризики витоку інформації. Оскільки ці заходи досить відомі, звернемося до основних способів технічного захисту інформації в базі даних.


Технічні способи захисту


В першу чергу це управління доступом користувачів. Як відомо, довести безпеку системи найпростіше при зведенні реально діючої системи до стандартних моделей безпеки. Однак моделі дискреційного і мандатної доступу в більшості випадків не зовсім зручні для застосування на практиці, тому останнім часом зросла популярність моделей так званого рольового управління доступом користувачів. З точки зору перспективності, зручності управління і надійності, можна рекомендувати схеми рольового управління, засновані на застосуванні в якості розширених облікових записів користувачів цифрових сертифікатів Х.509. Для централізованого управління доступом, в тому числі привілейованих користувачів (таких як адміністратори баз даних, системні адміністратори, адміністратори прикладних систем) вводиться роль адміністратора безпеки, призначає і контролює доступ до даних.

Ефективним способом захисту конфіденційної інформації, що зберігається в таблицях БД, може виявитися її шифрування за допомогою стійкого криптоалгоритму. Цим забезпечується зберігання інформації в «нечитабельним» вигляді. Для отримання "чистої" інформації користувачі, які мають санкціонований доступ до зашифрованих даних, мають ключ і алгоритм розшифрування. При цьому виникає проблема зберігання ключів шифрування - згадаймо хоча б про "паролі під килимком миші".

Припустимо, що проблема зберігання ключів вирішена, і легальний користувач вирішив скопіювати захищену інформацію, а це, зазначимо, він може зробити абсолютно вільно. Порівнянний або навіть більш значної шкоди може завдати передача ключа шифрування зацікавленій особі. А якщо в якості зловмисника виступає адміністратор БД ... Напрошується висновок, що шифрування не вирішує всіх проблем. Щоб знизити ризики від внутрішніх загроз за допомогою технічних засобів захисту, слід застосовувати:

  • Cтрогий аутентифікацію користувача і контроль доступу відповідно до рольовим управлінням, регульованим офіцером безпеки. Це дає можливість персоналізувати доступ і істотно знизити ризик відмови користувачів від скоєних ними дій;
  • шифрування трафіку між клієнтської робочої станцією і сервером БД, що запобіжить спроби крадіжки інформації на мережевому рівні;
  • криптографічне перетворення тих даних, які необхідно захистити. Це значно знизить ризик втрати інформації;
  • зберігання аутентификационной інформації та ключів шифрування на персоналізованому знімному носії, наприклад, на смарт-карті або USB-ключі. Це дозволить усунути проблему «забутих паролів» і підвищити персональну відповідальність співробітника;
  • аудит критичних (в плані безпеки) дій користувачів (бажано, позаштатними засобами аудиту БД). Поєднання аудиту і суворої персоніфікації - досить вагомий аргумент на користь відмови від протиправних дій для потенційних порушників.

Ефект від реалізації подібного підходу буде відчутним, але явно недостатнім для повного вирішення проблеми. Розробка і впровадження регламентів і політик безпеки, організаційні заходи, а також тренінги персоналу по роботі з конфіденційними даними - все це спрямовано на підвищення особистої відповідальності кожного співробітника і має доповнювати технічні заходи безпеки.


Краще рішення - "прозоре" додаток


В даний час розроблені технології, які дозволяють забезпечити надійний захист прикладних інформаційних систем. Вони реалізовані на базі найпоширенішою СУБД Oracle. При цьому повністю задіяні штатні механізми забезпечення безпеки ПО сервера і клієнта. Найцікавіше з пропонованих рішень -суворо двухфакторная аутентифікація в Oracle для архітектури додатку "клієнт - сервер".

Розглянемо це рішення докладніше. З усього розмаїття методів аутентифікації, що надаються СУБД Oracle (ім'я / пароль, RADIUS, Kerberos, SSL), в 99% випадків використовується аутентифікація по імені користувача і паролю. Безумовно, це найпростіший метод. Однак його зручність і, що більш важливо, безпеку залишають бажати кращого. Найбільш надійним методом сьогодні вважається аутентифікація за сертифікатом Х.509, яку підтримує Oracle. Сертифікати користувачів і закриті ключі можуть зберігатися або в файлах стандартного формату PKCS # 12, розміщених на відчужуваних носіях, або в реєстрі Windows на робочих станціях, при цьому вони захищені паролем. Однак парольний захист породжує проблеми безпеки - ключові контейнери можуть бути скопійовані і згодом "зламані" методом простого перебору паролів. Певні незручності викликає і прив'язка ключового контейнера до конкретної робочої станції.

Розглядається рішення знімає обидві проблеми: сертифікати встановлені безпосередньо в чиповой (інтелектуальної) смарт-карті; секретний ключ знаходиться в захищеній пам'яті і ніколи звідти не витягається; сертифікати "мобільні" - працювати з додатками Oracle можна з будь-якої робочої станції і від імені будь-якого користувача корпоративної мережі.

Установки - вказати, що ключовий контейнер поміщений в сховище сертифікатів (Certificate Store) Microsoft. У момент запиту на з'єднання з БД служба смарт-карти RTX дозволяє мережевим драйверам Oracle "бачити" всі сертифікати, встановлені на смарт-карті. Процес аутентифікації проходить в два етапи:

  • запит на вибір сертифіката (в залежності від обраного сертифіката користувач буде працювати з певною БД з заданими офіцером безпеки правилами). Якщо сертифікат єдиний, він вибирається автоматично;
  • запит PIN-коду смарт-карти для авторизації на операції з закритим ключем.

Коли клієнтові потрібно пред'явити свій сертифікат, служба смарт-карти «підказує» йому, по сертифікат слід брати з смарт-карти. Для підтвердження автентичності сервера клієнту необхідний особистий ключ для розшифровки відповіді сервера. Закритий ключ знаходиться в захищеній пам'яті смарт-карти, і всі операції з ним виконує вбудований в карту кріптопроцессор. Для таких операцій потрібна додаткова авторизація, тобто запитується PIN-код. Коли між клієнтом і сервером встановлені довірчі відносини, сервер перевіряє наявність розпізнавального імені користувача, для якого виданий сертифікат клієнта, в LDAP-каталозі - Oracle Internet Directory. Якщо такий знайдений, додатково визначаються екземпляр БД, схема і набір прав для клієнта. Після цього сервером створюється сесія користувача з зазначеними параметрами. Мережевий обмін між клієнтом і сервером відбувається по з'єднанню, захищеному певним криптоалгоритмом.

Замовник, налаштувати сервер БД, клієнтські робочі станції і встановив сертифікати користувачів на смарт-карти, отримує надійну аутентифікацію, зашифрований зв'язок між робочими станціями і сервером, і, найголовніше, -суворо персоналізацію доступу в БД. Всі програми, що працюють з Oracle - від DOS-консолі до складних ERP-систем, будуть працювати з розглянутим методом аутентифікації без яких-небудь доопрацювань.

Огляд технічних способів протидії типовим загрозам

Головним об'єктом атаки є, як правило, адміністративні повноваження. Їх можна отримати, дізнавшись в хешировать або символьному вигляді пароль адміністратора системи. Типові загрози і технічні методи протидії їм за допомогою технологій, заснованих на застосуванні вбудованих в Oracle коштів PKI, наведені в таблиці.


Таблиця. Методи протидії типовим загрозам


Загроза Протидія Метод Розкрадання інформації з БД неуполномочен¬ним користувачем Шифрування бази даних і рольове управління доступом Установка системи управління доступом по цифрових сертифікатах, шифрування критичних сегментів бази Розкрадання інформації з БД з боку легального користувача (перевищення повноважень) Рольовий управління, детальний аудит Аутентифікація і додатковий моніторинг дій користувача (не грошима СУБД) Розкрадання або використання чужої облікового запису (через відсутність захисту облікового запису), наприклад, системного адміністратора Аутентификация по цифровому сертифікату Використання механізму SSL-аутентифікації Використання відомих паролів, установ¬ленних за замовчуванням (якщо вони не були переустановлені користувачем) Розкрадання пароля (наприклад, за допомогою сніфера - ПО для перехоплення вводяться паролів) Підбір пароля (наприклад, методом перебору по словнику) Перехоплення пароля під час передачі по мережі Злом пароля ключового контейнера (wallet). Аутентифікація по цифровому сертифікату Відмова від використання паролів, перехід на SSL-аутентифікацію з використанням сертифікатів Розкрадання або копіювання ключового контейнера або його резервної копії Закритий ключ зберігається що не експортіруе¬мий в захищеній пам'яті інтелектуальної смарт-карти Використання смарт-карт технологій для безпечного зберігання закритих ключів Перехоплення закритого ключа (в момент його використання за допомогою спеціального ПО) Апаратна реалізація криптографічних операцій в смарт-карті використання смарт -карт технологій для апаратного виполне¬нія криптографічних операцій (SSL) в процесорі смарт-кар¬ти без «виходу» закритих ключів назовні Дублювання смарт-карти (копіювання закритих ключів в інший токен) Доступ до захищеної пам'яті смарт-карти, в якій зберігаються закриті ключі, захищений PIN-кодом. Експорт закритих ключів зі смарт-карти виключений Закриті ключі, згенеровані смарт-картою або імпортіро¬ванние в неї, зберігаються в закритій пам'яті смарт-карти і не можуть бути з неї вилучені (міжнародні сертифікати безопас¬ності ITSEC Level E4, FIPS 140-1 - Level 2, 3) Перехоплення переданих по мережі даних шифрування мережевого трафіку Використання SSL-протоколу для шифрування переданих по мережі даних за допомогою вбудованих в Oracle алгоритмів симетричного шифрування

Найближчі перспективи

Статті та публікації

Постійні пропозиції придбати різні (в більшості своїй відомчі) бази даних свідчать про те, що продаж конфіденційних відомостей про громадян і юридичних осіб стала окремим видом бізнесу. Якщо поява чергової опублікованій бази для громадян є просто ще одним малоприємним фактом оприлюднення відомостей про їхнє приватне життя, то на деяких підприємствах це може негативно вплинути на бізнес. Наприклад, для оператора стільникового зв'язку поширення бази білінгу може обернутися істотним відтоком абонентів до більш «надійного» оператору-конкуренту. Тому оператору часом економічно більш вигідно знайти "виробника", який підготував вкрадену базу до продажу, і викупити весь тираж. Але проблема перекриття можливих витоків при цьому залишається досить актуальною.

Захист баз даних є однією з найскладніших завдань, що стоять перед підрозділами, відповідають за забезпечення інформаційної безпеки. З одного боку, для роботи з базою необхідно надавати доступ до даних усім співробітникам, хто за службовим обов'язком повинен здійснювати збір, обробку, зберігання та передачу конфіденційних даних. З іншого боку, укрупнення баз даних далеко не завжди має централізовану архітектуру (спостерігається яскраво виражена тенденція до територіально розподіленої системі), в зв'язку з чим дії порушників стають все більш витонченими. При цьому чіткою і ясною методики комплексного вирішення завдання захисту баз даних, яку можна було б застосовувати у всіх випадках, не існує, в кожній конкретній ситуації доводиться знаходити індивідуальний підхід.

Класичний погляд на вирішення цієї задачі включає обстеження підприємства з метою виявлення таких загроз, як розкрадання, втрата, знищення, модифікація, відмова від дійсності. На другому етапі слід складання математичних моделей основних інформаційних потоків і можливих порушень, моделювання типових дій зловмисників; на третьому - вироблення комплексних заходів щодо припинення і попередження можливих загроз за допомогою правових, організаційно-адміністративних і технічних заходів захисту. Однак різноманітність діяльності підприємств, структури бізнесу, інформаційних мереж і потоків інформації, прикладних систем і способів організації доступу до них і т. Д. Не дозволяє створити універсальну методику рішення.


Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?


Довгий час захист баз даних асоціювалася з захистом локальної мережі підприємства від зовнішніх атак хакерів, боротьбою з вірусами і т. П. Останні аналітичні звіти консалтингових компаній виявили інші, більш важливі напрямки захисту інформаційних ресурсів компаній. Дослідження переконливо показали, що від витоку інформації з боку персоналу і зловмисних дій "всесильних" адміністраторів баз даних не рятують ні міжмережеві екрани, ні VPN, ні навіть "наворочені" системи виявлення атак і аналізу захищеності. Неавторизований доступ до даних і крадіжка конфіденційної інформації є головними складовими втрат підприємств після збитку, що наноситься вірусами (рис. 1).

Один з основних висновків звіту CSI / FBI - значно зрослий збиток від такої загрози, як крадіжка конфіденційних даних. Кожна американська компанія в середньому втратила 355,5 тис. Дол. Тільки через витоки конфіденційних даних за минулі 12 місяців. Середній розмір втрат від дій інсайдерів склав 300 тис. Дол. (Максимальний -1,5 млн дол.). Вирішення питань персоніфікованого доступу до конфіденційних даних дозволяє виявляти зловмисника за допомогою інформації, незаперечно доводить його провину. Це, в свою чергу, неможливо без застосування найсучасніших способів аутентифікації і управління доступом.


Чи можна зупинити розкрадання інформації з баз даних?


Спробуємо коротко сформулювати основні причини несанкціонованого доступу до даних і поставленого в ряді випадків на промислові рейки збуту баз даних, що містять персональні дані абонентів, партнерів або співробітників і комерційні таємниці компаній.


Отже, є такі вихідні дані:

  • багато хто не здогадуються про те, що їх бази даних крадуть;
  • крадіжка і завдані збитки мають латентний характер;
  • якщо факт крадіжки даних встановлено, більшість компаній замовчують завдані збитки.

Дослідження Ernst & Young з проблем внутрішніх загроз свідчать: близько 20% співробітників підприємств впевнені, що конфіденційна інформація "йде на сторону" з вини їхніх колег, при цьому керівники більшості компаній практично не діють. Причини такого становища такі.

  1. Висока латентність таких злочинів (понесені втрати виявляються через деякий час) і досить рідко розкриваються. Експерти називають такі цифри по приховуванню: США - 80%, Великобританія - до 85%, Німеччина - 75%, Росія - більше 90%. Прагнення керівництва "не виносити сміття з хати" погіршує ситуацію.
  2. Низький інтерес до розробки засобів, які ліквідують або зменшують ризики, пов'язані з внутрішніми загрозами; недостатня популяризація таких рішень. В результаті про засоби і методи захисту від крадіжки інформації легальними співробітниками мало хто знає.
  3. Недостатня пропозиція на ринку комплексних систем для боротьби з внутрішніми загрозами, особливо щодо крадіжок інформації з баз даних.


Практично 100% опитаних підтвердили використання в корпоративних мережах антивірусного ПО, 71% - антиспамових систем, але про захист від внутрішніх загроз не згадав ніхто.
Російська дійсність ще тривожніше. В опублікованій в лютому 2005 р інформації на сайті www.infowatch.ru наведені дані опитування представників 387 державних і комерційних структур (рис. 2). Ось основні висновки з даного дослідження:

  • 62% респондентів вважають, що дії інсайдерів - найбільша загроза для російських організацій;
  • 98% визнали порушення конфіденційності інформації найбільшою внутрішньої ІТ-загрозою;
  • 99,4% допускають можливість наявності незареєстрованих інцидентів внутрішньої І Б;
  • 87% вважають технічні засоби ефективним способом захисту. Однак всього 1% респондентів використовують їх, а 68% ніяких дій не роблять;
  • російські організації ососзнают небезпека внутрішніх ІТ-загроз, але не знають, як з нею боротися: 58% не інформовані про сущетсвующих технологічних рішеннях.


Одна з причин цього - відсутність реальних механізмів збору доказової бази по факту крадіжки конкретним користувачем ресурсів;

Однак ефективні способи захисту даних існують навіть в таких несприятливих умовах. Комплекс організаційних, що регламентують і адміністративних заходів при правильному підході дозволяє істотно знизити ризики витоку інформації. Оскільки ці заходи досить відомі, звернемося до основних способів технічного захисту інформації в базі даних.


Технічні способи захисту


В першу чергу це управління доступом користувачів. Як відомо, довести безпеку системи найпростіше при зведенні реально діючої системи до стандартних моделей безпеки. Однак моделі дискреційного і мандатної доступу в більшості випадків не зовсім зручні для застосування на практиці, тому останнім часом зросла популярність моделей так званого рольового управління доступом користувачів. З точки зору перспективності, зручності управління і надійності, можна рекомендувати схеми рольового управління, засновані на застосуванні в якості розширених облікових записів користувачів цифрових сертифікатів Х.509. Для централізованого управління доступом, в тому числі привілейованих користувачів (таких як адміністратори баз даних, системні адміністратори, адміністратори прикладних систем) вводиться роль адміністратора безпеки, призначає і контролює доступ до даних.

Ефективним способом захисту конфіденційної інформації, що зберігається в таблицях БД, може виявитися її шифрування за допомогою стійкого криптоалгоритму. Цим забезпечується зберігання інформації в «нечитабельним» вигляді. Для отримання "чистої" інформації користувачі, які мають санкціонований доступ до зашифрованих даних, мають ключ і алгоритм розшифрування. При цьому виникає проблема зберігання ключів шифрування - згадаймо хоча б про "паролі під килимком миші".

Припустимо, що проблема зберігання ключів вирішена, і легальний користувач вирішив скопіювати захищену інформацію, а це, зазначимо, він може зробити абсолютно вільно. Порівнянний або навіть більш значної шкоди може завдати передача ключа шифрування зацікавленій особі. А якщо в якості зловмисника виступає адміністратор БД ... Напрошується висновок, що шифрування не вирішує всіх проблем. Щоб знизити ризики від внутрішніх загроз за допомогою технічних засобів захисту, слід застосовувати:

  • Cтрогий аутентифікацію користувача і контроль доступу відповідно до рольовим управлінням, регульованим офіцером безпеки. Це дає можливість персоналізувати доступ і істотно знизити ризик відмови користувачів від скоєних ними дій;
  • шифрування трафіку між клієнтської робочої станцією і сервером БД, що запобіжить спроби крадіжки інформації на мережевому рівні;
  • криптографічне перетворення тих даних, які необхідно захистити. Це значно знизить ризик втрати інформації;
  • зберігання аутентификационной інформації та ключів шифрування на персоналізованому знімному носії, наприклад, на смарт-карті або USB-ключі. Це дозволить усунути проблему «забутих паролів» і підвищити персональну відповідальність співробітника;
  • аудит критичних (в плані безпеки) дій користувачів (бажано, позаштатними засобами аудиту БД). Поєднання аудиту і суворої персоніфікації - досить вагомий аргумент на користь відмови від протиправних дій для потенційних порушників.

Ефект від реалізації подібного підходу буде відчутним, але явно недостатнім для повного вирішення проблеми. Розробка і впровадження регламентів і політик безпеки, організаційні заходи, а також тренінги персоналу по роботі з конфіденційними даними - все це спрямовано на підвищення особистої відповідальності кожного співробітника і має доповнювати технічні заходи безпеки.


Краще рішення - "прозоре" додаток


В даний час розроблені технології, які дозволяють забезпечити надійний захист прикладних інформаційних систем. Вони реалізовані на базі найпоширенішою СУБД Oracle. При цьому повністю задіяні штатні механізми забезпечення безпеки ПО сервера і клієнта. Найцікавіше з пропонованих рішень -суворо двухфакторная аутентифікація в Oracle для архітектури додатку "клієнт - сервер".

Розглянемо це рішення докладніше. З усього розмаїття методів аутентифікації, що надаються СУБД Oracle (ім'я / пароль, RADIUS, Kerberos, SSL), в 99% випадків використовується аутентифікація по імені користувача і паролю. Безумовно, це найпростіший метод. Однак його зручність і, що більш важливо, безпеку залишають бажати кращого. Найбільш надійним методом сьогодні вважається аутентифікація за сертифікатом Х.509, яку підтримує Oracle. Сертифікати користувачів і закриті ключі можуть зберігатися або в файлах стандартного формату PKCS # 12, розміщених на відчужуваних носіях, або в реєстрі Windows на робочих станціях, при цьому вони захищені паролем. Однак парольний захист породжує проблеми безпеки - ключові контейнери можуть бути скопійовані і згодом "зламані" методом простого перебору паролів. Певні незручності викликає і прив'язка ключового контейнера до конкретної робочої станції.

Розглядається рішення знімає обидві проблеми: сертифікати встановлені безпосередньо в чиповой (інтелектуальної) смарт-карті; секретний ключ знаходиться в захищеній пам'яті і ніколи звідти не витягається; сертифікати "мобільні" - працювати з додатками Oracle можна з будь-якої робочої станції і від імені будь-якого користувача корпоративної мережі.

Установки - вказати, що ключовий контейнер поміщений в сховище сертифікатів (Certificate Store) Microsoft. У момент запиту на з'єднання з БД служба смарт-карти RTX дозволяє мережевим драйверам Oracle "бачити" всі сертифікати, встановлені на смарт-карті. Процес аутентифікації проходить в два етапи:

  • запит на вибір сертифіката (в залежності від обраного сертифіката користувач буде працювати з певною БД з заданими офіцером безпеки правилами). Якщо сертифікат єдиний, він вибирається автоматично;
  • запит PIN-коду смарт-карти для авторизації на операції з закритим ключем.

Коли клієнтові потрібно пред'явити свій сертифікат, служба смарт-карти «підказує» йому, по сертифікат слід брати з смарт-карти. Для підтвердження автентичності сервера клієнту необхідний особистий ключ для розшифровки відповіді сервера. Закритий ключ знаходиться в захищеній пам'яті смарт-карти, і всі операції з ним виконує вбудований в карту кріптопроцессор. Для таких операцій потрібна додаткова авторизація, тобто запитується PIN-код. Коли між клієнтом і сервером встановлені довірчі відносини, сервер перевіряє наявність розпізнавального імені користувача, для якого виданий сертифікат клієнта, в LDAP-каталозі - Oracle Internet Directory. Якщо такий знайдений, додатково визначаються екземпляр БД, схема і набір прав для клієнта. Після цього сервером створюється сесія користувача з зазначеними параметрами. Мережевий обмін між клієнтом і сервером відбувається по з'єднанню, захищеному певним криптоалгоритмом.

Замовник, налаштувати сервер БД, клієнтські робочі станції і встановив сертифікати користувачів на смарт-карти, отримує надійну аутентифікацію, зашифрований зв'язок між робочими станціями і сервером, і, найголовніше, -суворо персоналізацію доступу в БД. Всі програми, що працюють з Oracle - від DOS-консолі до складних ERP-систем, будуть працювати з розглянутим методом аутентифікації без яких-небудь доопрацювань.

Огляд технічних способів протидії типовим загрозам

Головним об'єктом атаки є, як правило, адміністративні повноваження. Їх можна отримати, дізнавшись в хешировать або символьному вигляді пароль адміністратора системи. Типові загрози і технічні методи протидії їм за допомогою технологій, заснованих на застосуванні вбудованих в Oracle коштів PKI, наведені в таблиці.


Таблиця. Методи протидії типовим загрозам


Загроза Протидія Метод Розкрадання інформації з БД неуполномочен¬ним користувачем Шифрування бази даних і рольове управління доступом Установка системи управління доступом по цифрових сертифікатах, шифрування критичних сегментів бази Розкрадання інформації з БД з боку легального користувача (перевищення повноважень) Рольовий управління, детальний аудит Аутентифікація і додатковий моніторинг дій користувача (не грошима СУБД) Розкрадання або використання чужої облікового запису (через відсутність захисту облікового запису), наприклад, системного адміністратора Аутентификация по цифровому сертифікату Використання механізму SSL-аутентифікації Використання відомих паролів, установ¬ленних за замовчуванням (якщо вони не були переустановлені користувачем) Розкрадання пароля (наприклад, за допомогою сніфера - ПО для перехоплення вводяться паролів) Підбір пароля (наприклад, методом перебору по словнику) Перехоплення пароля під час передачі по мережі Злом пароля ключового контейнера (wallet). Аутентифікація по цифровому сертифікату Відмова від використання паролів, перехід на SSL-аутентифікацію з використанням сертифікатів Розкрадання або копіювання ключового контейнера або його резервної копії Закритий ключ зберігається що не експортіруе¬мий в захищеній пам'яті інтелектуальної смарт-карти Використання смарт-карт технологій для безпечного зберігання закритих ключів Перехоплення закритого ключа (в момент його використання за допомогою спеціального ПО) Апаратна реалізація криптографічних операцій в смарт-карті використання смарт -карт технологій для апаратного виполне¬нія криптографічних операцій (SSL) в процесорі смарт-кар¬ти без «виходу» закритих ключів назовні Дублювання смарт-карти (копіювання закритих ключів в інший токен) Доступ до захищеної пам'яті смарт-карти, в якій зберігаються закриті ключі, захищений PIN-кодом. Експорт закритих ключів зі смарт-карти виключений Закриті ключі, згенеровані смарт-картою або імпортіро¬ванние в неї, зберігаються в закритій пам'яті смарт-карти і не можуть бути з неї вилучені (міжнародні сертифікати безопас¬ності ITSEC Level E4, FIPS 140-1 - Level 2, 3) Перехоплення переданих по мережі даних шифрування мережевого трафіку Використання SSL-протоколу для шифрування переданих по мережі даних за допомогою вбудованих в Oracle алгоритмів симетричного шифрування

Найближчі перспективи

Статті та публікації

Постійні пропозиції придбати різні (в більшості своїй відомчі) бази даних свідчать про те, що продаж конфіденційних відомостей про громадян і юридичних осіб стала окремим видом бізнесу. Якщо поява чергової опублікованій бази для громадян є просто ще одним малоприємним фактом оприлюднення відомостей про їхнє приватне життя, то на деяких підприємствах це може негативно вплинути на бізнес. Наприклад, для оператора стільникового зв'язку поширення бази білінгу може обернутися істотним відтоком абонентів до більш «надійного» оператору-конкуренту. Тому оператору часом економічно більш вигідно знайти "виробника", який підготував вкрадену базу до продажу, і викупити весь тираж. Але проблема перекриття можливих витоків при цьому залишається досить актуальною.

Захист баз даних є однією з найскладніших завдань, що стоять перед підрозділами, відповідають за забезпечення інформаційної безпеки. З одного боку, для роботи з базою необхідно надавати доступ до даних усім співробітникам, хто за службовим обов'язком повинен здійснювати збір, обробку, зберігання та передачу конфіденційних даних. З іншого боку, укрупнення баз даних далеко не завжди має централізовану архітектуру (спостерігається яскраво виражена тенденція до територіально розподіленої системі), в зв'язку з чим дії порушників стають все більш витонченими. При цьому чіткою і ясною методики комплексного вирішення завдання захисту баз даних, яку можна було б застосовувати у всіх випадках, не існує, в кожній конкретній ситуації доводиться знаходити індивідуальний підхід.

Класичний погляд на вирішення цієї задачі включає обстеження підприємства з метою виявлення таких загроз, як розкрадання, втрата, знищення, модифікація, відмова від дійсності. На другому етапі слід складання математичних моделей основних інформаційних потоків і можливих порушень, моделювання типових дій зловмисників; на третьому - вироблення комплексних заходів щодо припинення і попередження можливих загроз за допомогою правових, організаційно-адміністративних і технічних заходів захисту. Однак різноманітність діяльності підприємств, структури бізнесу, інформаційних мереж і потоків інформації, прикладних систем і способів організації доступу до них і т. Д. Не дозволяє створити універсальну методику рішення.


Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?


Довгий час захист баз даних асоціювалася з захистом локальної мережі підприємства від зовнішніх атак хакерів, боротьбою з вірусами і т. П. Останні аналітичні звіти консалтингових компаній виявили інші, більш важливі напрямки захисту інформаційних ресурсів компаній. Дослідження переконливо показали, що від витоку інформації з боку персоналу і зловмисних дій "всесильних" адміністраторів баз даних не рятують ні міжмережеві екрани, ні VPN, ні навіть "наворочені" системи виявлення атак і аналізу захищеності. Неавторизований доступ до даних і крадіжка конфіденційної інформації є головними складовими втрат підприємств після збитку, що наноситься вірусами (рис. 1).

Один з основних висновків звіту CSI / FBI - значно зрослий збиток від такої загрози, як крадіжка конфіденційних даних. Кожна американська компанія в середньому втратила 355,5 тис. Дол. Тільки через витоки конфіденційних даних за минулі 12 місяців. Середній розмір втрат від дій інсайдерів склав 300 тис. Дол. (Максимальний -1,5 млн дол.). Вирішення питань персоніфікованого доступу до конфіденційних даних дозволяє виявляти зловмисника за допомогою інформації, незаперечно доводить його провину. Це, в свою чергу, неможливо без застосування найсучасніших способів аутентифікації і управління доступом.


Чи можна зупинити розкрадання інформації з баз даних?


Спробуємо коротко сформулювати основні причини несанкціонованого доступу до даних і поставленого в ряді випадків на промислові рейки збуту баз даних, що містять персональні дані абонентів, партнерів або співробітників і комерційні таємниці компаній.


Отже, є такі вихідні дані:

  • багато хто не здогадуються про те, що їх бази даних крадуть;
  • крадіжка і завдані збитки мають латентний характер;
  • якщо факт крадіжки даних встановлено, більшість компаній замовчують завдані збитки.

Дослідження Ernst & Young з проблем внутрішніх загроз свідчать: близько 20% співробітників підприємств впевнені, що конфіденційна інформація "йде на сторону" з вини їхніх колег, при цьому керівники більшості компаній практично не діють. Причини такого становища такі.

  1. Висока латентність таких злочинів (понесені втрати виявляються через деякий час) і досить рідко розкриваються. Експерти називають такі цифри по приховуванню: США - 80%, Великобританія - до 85%, Німеччина - 75%, Росія - більше 90%. Прагнення керівництва "не виносити сміття з хати" погіршує ситуацію.
  2. Низький інтерес до розробки засобів, які ліквідують або зменшують ризики, пов'язані з внутрішніми загрозами; недостатня популяризація таких рішень. В результаті про засоби і методи захисту від крадіжки інформації легальними співробітниками мало хто знає.
  3. Недостатня пропозиція на ринку комплексних систем для боротьби з внутрішніми загрозами, особливо щодо крадіжок інформації з баз даних.


Практично 100% опитаних підтвердили використання в корпоративних мережах антивірусного ПО, 71% - антиспамових систем, але про захист від внутрішніх загроз не згадав ніхто.
Російська дійсність ще тривожніше. В опублікованій в лютому 2005 р інформації на сайті www.infowatch.ru наведені дані опитування представників 387 державних і комерційних структур (рис. 2). Ось основні висновки з даного дослідження:

  • 62% респондентів вважають, що дії інсайдерів - найбільша загроза для російських організацій;
  • 98% визнали порушення конфіденційності інформації найбільшою внутрішньої ІТ-загрозою;
  • 99,4% допускають можливість наявності незареєстрованих інцидентів внутрішньої І Б;
  • 87% вважають технічні засоби ефективним способом захисту. Однак всього 1% респондентів використовують їх, а 68% ніяких дій не роблять;
  • російські організації ососзнают небезпека внутрішніх ІТ-загроз, але не знають, як з нею боротися: 58% не інформовані про сущетсвующих технологічних рішеннях.


Одна з причин цього - відсутність реальних механізмів збору доказової бази по факту крадіжки конкретним користувачем ресурсів;

Однак ефективні способи захисту даних існують навіть в таких несприятливих умовах. Комплекс організаційних, що регламентують і адміністративних заходів при правильному підході дозволяє істотно знизити ризики витоку інформації. Оскільки ці заходи досить відомі, звернемося до основних способів технічного захисту інформації в базі даних.


Технічні способи захисту


В першу чергу це управління доступом користувачів. Як відомо, довести безпеку системи найпростіше при зведенні реально діючої системи до стандартних моделей безпеки. Однак моделі дискреційного і мандатної доступу в більшості випадків не зовсім зручні для застосування на практиці, тому останнім часом зросла популярність моделей так званого рольового управління доступом користувачів. З точки зору перспективності, зручності управління і надійності, можна рекомендувати схеми рольового управління, засновані на застосуванні в якості розширених облікових записів користувачів цифрових сертифікатів Х.509. Для централізованого управління доступом, в тому числі привілейованих користувачів (таких як адміністратори баз даних, системні адміністратори, адміністратори прикладних систем) вводиться роль адміністратора безпеки, призначає і контролює доступ до даних.

Ефективним способом захисту конфіденційної інформації, що зберігається в таблицях БД, може виявитися її шифрування за допомогою стійкого криптоалгоритму. Цим забезпечується зберігання інформації в «нечитабельним» вигляді. Для отримання "чистої" інформації користувачі, які мають санкціонований доступ до зашифрованих даних, мають ключ і алгоритм розшифрування. При цьому виникає проблема зберігання ключів шифрування - згадаймо хоча б про "паролі під килимком миші".

Припустимо, що проблема зберігання ключів вирішена, і легальний користувач вирішив скопіювати захищену інформацію, а це, зазначимо, він може зробити абсолютно вільно. Порівнянний або навіть більш значної шкоди може завдати передача ключа шифрування зацікавленій особі. А якщо в якості зловмисника виступає адміністратор БД ... Напрошується висновок, що шифрування не вирішує всіх проблем. Щоб знизити ризики від внутрішніх загроз за допомогою технічних засобів захисту, слід застосовувати:

  • Cтрогий аутентифікацію користувача і контроль доступу відповідно до рольовим управлінням, регульованим офіцером безпеки. Це дає можливість персоналізувати доступ і істотно знизити ризик відмови користувачів від скоєних ними дій;
  • шифрування трафіку між клієнтської робочої станцією і сервером БД, що запобіжить спроби крадіжки інформації на мережевому рівні;
  • криптографічне перетворення тих даних, які необхідно захистити. Це значно знизить ризик втрати інформації;
  • зберігання аутентификационной інформації та ключів шифрування на персоналізованому знімному носії, наприклад, на смарт-карті або USB-ключі. Це дозволить усунути проблему «забутих паролів» і підвищити персональну відповідальність співробітника;
  • аудит критичних (в плані безпеки) дій користувачів (бажано, позаштатними засобами аудиту БД). Поєднання аудиту і суворої персоніфікації - досить вагомий аргумент на користь відмови від протиправних дій для потенційних порушників.

Ефект від реалізації подібного підходу буде відчутним, але явно недостатнім для повного вирішення проблеми. Розробка і впровадження регламентів і політик безпеки, організаційні заходи, а також тренінги персоналу по роботі з конфіденційними даними - все це спрямовано на підвищення особистої відповідальності кожного співробітника і має доповнювати технічні заходи безпеки.


Краще рішення - "прозоре" додаток


В даний час розроблені технології, які дозволяють забезпечити надійний захист прикладних інформаційних систем. Вони реалізовані на базі найпоширенішою СУБД Oracle. При цьому повністю задіяні штатні механізми забезпечення безпеки ПО сервера і клієнта. Найцікавіше з пропонованих рішень -суворо двухфакторная аутентифікація в Oracle для архітектури додатку "клієнт - сервер".

Розглянемо це рішення докладніше. З усього розмаїття методів аутентифікації, що надаються СУБД Oracle (ім'я / пароль, RADIUS, Kerberos, SSL), в 99% випадків використовується аутентифікація по імені користувача і паролю. Безумовно, це найпростіший метод. Однак його зручність і, що більш важливо, безпеку залишають бажати кращого. Найбільш надійним методом сьогодні вважається аутентифікація за сертифікатом Х.509, яку підтримує Oracle. Сертифікати користувачів і закриті ключі можуть зберігатися або в файлах стандартного формату PKCS # 12, розміщених на відчужуваних носіях, або в реєстрі Windows на робочих станціях, при цьому вони захищені паролем. Однак парольний захист породжує проблеми безпеки - ключові контейнери можуть бути скопійовані і згодом "зламані" методом простого перебору паролів. Певні незручності викликає і прив'язка ключового контейнера до конкретної робочої станції.

Розглядається рішення знімає обидві проблеми: сертифікати встановлені безпосередньо в чиповой (інтелектуальної) смарт-карті; секретний ключ знаходиться в захищеній пам'яті і ніколи звідти не витягається; сертифікати "мобільні" - працювати з додатками Oracle можна з будь-якої робочої станції і від імені будь-якого користувача корпоративної мережі.

Установки - вказати, що ключовий контейнер поміщений в сховище сертифікатів (Certificate Store) Microsoft. У момент запиту на з'єднання з БД служба смарт-карти RTX дозволяє мережевим драйверам Oracle "бачити" всі сертифікати, встановлені на смарт-карті. Процес аутентифікації проходить в два етапи:

  • запит на вибір сертифіката (в залежності від обраного сертифіката користувач буде працювати з певною БД з заданими офіцером безпеки правилами). Якщо сертифікат єдиний, він вибирається автоматично;
  • запит PIN-коду смарт-карти для авторизації на операції з закритим ключем.

Коли клієнтові потрібно пред'явити свій сертифікат, служба смарт-карти «підказує» йому, по сертифікат слід брати з смарт-карти. Для підтвердження автентичності сервера клієнту необхідний особистий ключ для розшифровки відповіді сервера. Закритий ключ знаходиться в захищеній пам'яті смарт-карти, і всі операції з ним виконує вбудований в карту кріптопроцессор. Для таких операцій потрібна додаткова авторизація, тобто запитується PIN-код. Коли між клієнтом і сервером встановлені довірчі відносини, сервер перевіряє наявність розпізнавального імені користувача, для якого виданий сертифікат клієнта, в LDAP-каталозі - Oracle Internet Directory. Якщо такий знайдений, додатково визначаються екземпляр БД, схема і набір прав для клієнта. Після цього сервером створюється сесія користувача з зазначеними параметрами. Мережевий обмін між клієнтом і сервером відбувається по з'єднанню, захищеному певним криптоалгоритмом.

Замовник, налаштувати сервер БД, клієнтські робочі станції і встановив сертифікати користувачів на смарт-карти, отримує надійну аутентифікацію, зашифрований зв'язок між робочими станціями і сервером, і, найголовніше, -суворо персоналізацію доступу в БД. Всі програми, що працюють з Oracle - від DOS-консолі до складних ERP-систем, будуть працювати з розглянутим методом аутентифікації без яких-небудь доопрацювань.

Огляд технічних способів протидії типовим загрозам

Головним об'єктом атаки є, як правило, адміністративні повноваження. Їх можна отримати, дізнавшись в хешировать або символьному вигляді пароль адміністратора системи. Типові загрози і технічні методи протидії їм за допомогою технологій, заснованих на застосуванні вбудованих в Oracle коштів PKI, наведені в таблиці.


Таблиця. Методи протидії типовим загрозам


Загроза Протидія Метод Розкрадання інформації з БД неуполномочен¬ним користувачем Шифрування бази даних і рольове управління доступом Установка системи управління доступом по цифрових сертифікатах, шифрування критичних сегментів бази Розкрадання інформації з БД з боку легального користувача (перевищення повноважень) Рольовий управління, детальний аудит Аутентифікація і додатковий моніторинг дій користувача (не грошима СУБД) Розкрадання або використання чужої облікового запису (через відсутність захисту облікового запису), наприклад, системного адміністратора Аутентификация по цифровому сертифікату Використання механізму SSL-аутентифікації Використання відомих паролів, установ¬ленних за замовчуванням (якщо вони не були переустановлені користувачем) Розкрадання пароля (наприклад, за допомогою сніфера - ПО для перехоплення вводяться паролів) Підбір пароля (наприклад, методом перебору по словнику) Перехоплення пароля під час передачі по мережі Злом пароля ключового контейнера (wallet). Аутентифікація по цифровому сертифікату Відмова від використання паролів, перехід на SSL-аутентифікацію з використанням сертифікатів Розкрадання або копіювання ключового контейнера або його резервної копії Закритий ключ зберігається що не експортіруе¬мий в захищеній пам'яті інтелектуальної смарт-карти Використання смарт-карт технологій для безпечного зберігання закритих ключів Перехоплення закритого ключа (в момент його використання за допомогою спеціального ПО) Апаратна реалізація криптографічних операцій в смарт-карті використання смарт -карт технологій для апаратного виполне¬нія криптографічних операцій (SSL) в процесорі смарт-кар¬ти без «виходу» закритих ключів назовні Дублювання смарт-карти (копіювання закритих ключів в інший токен) Доступ до захищеної пам'яті смарт-карти, в якій зберігаються закриті ключі, захищений PIN-кодом. Експорт закритих ключів зі смарт-карти виключений Закриті ключі, згенеровані смарт-картою або імпортіро¬ванние в неї, зберігаються в закритій пам'яті смарт-карти і не можуть бути з неї вилучені (міжнародні сертифікати безопас¬ності ITSEC Level E4, FIPS 140-1 - Level 2, 3) Перехоплення переданих по мережі даних шифрування мережевого трафіку Використання SSL-протоколу для шифрування переданих по мережі даних за допомогою вбудованих в Oracle алгоритмів симетричного шифрування

Найближчі перспективи


Отже, для мінімізації ризику втрат необхідна реалізація комплексу нормативних, організаційних і технічних захисних заходів, в першу чергу: введення рольового управління доступом, організація доступу користувачів по пред'явленню цифрового сертифікату, а в найближчій перспективі - промислове рішення з вибіркового шифрування і застосування алгоритмів ГОСТ для шифрування обраних сегментів бази.

Для повного вирішення проблеми захисту даних адміністратор безпеки повинен мати можливість проводити моніторинг дій користувачів, в тому числі з правами адміністратора. Оскільки штатна система аудиту не має достатніх засобів захисту, необхідна незалежна система, що захищає корпоративну мережу не тільки зовні, але і зсередини. В майбутньому повинні також з'явитися типові методики комплексного вирішення завдання захисту баз даних для підприємств різного масштабу - від дрібних до територіально розподілених.

Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?
Чи можна зупинити розкрадання інформації з баз даних?
Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?
Чи можна зупинити розкрадання інформації з баз даних?
Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?
Чи можна зупинити розкрадання інформації з баз даних?
Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?
Чи можна зупинити розкрадання інформації з баз даних?
Розкрадання інформації з баз даних: місцеві особливості Росії або відображення світових тенденцій?
Чи можна зупинити розкрадання інформації з баз даних?

Новости

Пиротехника своими руками в домашних
Самые лучшие полезные самоделки рунета! Как сделать самому, мастер-классы, фото, чертежи, инструкции, книги, видео. Главная САМОДЕЛКИ Дизайнерские

Фольгированные шары с гелием
Для начала давайте разберемся и чего же выполнен фольгированный шар и почему он летает дольше?! Как вы помните, наши латексные шарики достаточно пористые, поэтому их приходится обрабатывать специальным

Как сделать красивую снежинку из бумаги
Красивые бумажные снежинки станут хорошим украшением дома на Новый год. Они создадут в квартире атмосферу белоснежной, зимней сказки. Да и просто занимаясь вырезанием из бумаги снежинок разнообразной

Все товары для праздника оптом купить
Как сделать правильный выбор в работе, бизнесе и жизни, о котором никогда не придется жалеть. Мы хотим рассказать вам об удивительной и очень простой технике 7 вопросов, которые позволят оценить ситуацию

Надувные шарики с гелием с доставкой
На праздники часто бывают востребованы воздушные шарики, надутые гелием. Обычно, их покупают уже готовыми (надутыми) и привозят на праздник. Или, приглашают специалистов, которые приезжают и надувают

2400 наименований пиротехники
В последние десятилетия наша страна может похвастаться появлением нескольких десятков отечественных производителей, специализирующихся на выпуске пиротехники. Если вы сомневаетесь, какой фейерверк заказать,

Как сделать из бумаги самолет
 1. Самолеты сделанный по первой и второй схеме являются самыми распространенными. Собирается такое оригами своими руками достаточно быстро, несмотря на это самолет летит достаточно далеко за счет свое

Аниматоры на детские праздники в Зеленограде
Уж сколько раз твердили миру…Что готовиться ко дню рождения нужно заранее, а не бегать в предпраздничный день угорелой кошкой. Нельзя впихнуть в 24 часа дела, рассчитанные на недели. К празднику нужно