Шифрование

Шифрование –это кодирование данных с использованием специального алгоритма, в результате чего данные становятся недоступными для чтения любой программой, не имеющей ключа дешифрования.

Шифрование для защиты данных в СУБД используется с целью предупреждения возможной угрозы несанкционированного доступа с внешней стороны (по отношению к СУБД). Некоторые СУБД включают средства шифрования, предназначенные для использования в подобных целях. Подпрограммы таких СУБД обеспечивают санкционированный доступ к данным (после их декодирования), хотя это будет связано с некоторым снижением производительности, вызванным необходимостью перекодировки. Шифрование также может использоваться для защиты данных при их передаче по линиям связи. Существует множество различных технологий кодирования данных с целью сокрытия передаваемой информации, причем одни из них называют необратимыми, а другие обратимыми. Необратимые методы, как и следует из их названия, не позволяют установить исходные данные, хотя последние могут использоваться для сбора достоверной статистической информации. Обратимые технологии используются чаще. Для организации защищенной передачи данных по незащищенным сетям должны использоваться системы шифрования,включающие следующие компоненты [2]:

• ключ шифрования, предназначенный для шифрования исходных данных (обычного текста);

• алгоритм шифрования, который описывает, как с помощью ключа шифрования преобразовать обычный текст в шифротекст;

• ключ дешифрования, предназначенный для дешифрования шифротекста;

• алгоритм дешифрования, который описывает, как с помощью ключа дешифрования преобразовать шифротекст в исходный обычный текст.

Некоторые системы шифрования, называемые симметричными (рис. 2 [2]), используют один и тот же ключ как для шифрования, так и для дешифрования, при этом предполагается наличие защищенных линий связи, предназначенных для обмена ключами. Однако большинство пользователей не имеют доступа к защищенным линиям связи, поэтому для получения надежной защиты длина ключа должна быть не меньше длины самого сообщения.

Рис. 2

Тем не менее большинство эксплуатируемых систем построено на использовании ключей, которые короче самих сообщений. Одна из распространенных систем шифрования называется DES (Data Encryption Standard) — в ней используется стандартный алгоритм шифрования, разработанный фирмой IBM (СУБД Oracle). В этой схеме для шифрования и дешифрования используется один и тот же ключ, который должен храниться в секрете, хотя сам алгоритм шифрования не является секретным. Этот алгоритм предусматривает преобразование каждого 64-битового блока обычного текста с использованием 56-битового ключа шифрования. Система шифрования DES расценивается как достаточно надежная далеко не всеми — некоторые разработчики полагают, что следовало бы использовать более длинное значение ключа. Так, в системе шифрования PGP (Pretty Good Privacy) используется 128-битовый симметричный алгоритм, применяемый для шифрования блоков отсылаемых данных.

В настоящее время ключи длиной до 64 бит раскрываются с достаточной степенью вероятности правительственными службами развитых стран, для чего используется специальное оборудование, хотя и достаточно дорогое. Тем не менее в течение ближайших лет эта технология может попасть в руки организованной преступности, крупных организаций и правительств других государств. Хотя предполагается, что ключи длиной до 80 бит также окажутся раскрываемыми в ближайшем будущем, есть уверенность, что ключи длиной 128 бит в обозримом будущем останутся надежным средством шифрования. Термины "сильное шифрование" и "слабое шифрование" иногда используются для подчеркивания различий между алгоритмами, которые не могут быть раскрыты с помощью существующих в настоящее время технологий и теоретических методов (сильные), и теми, которые допускают подобное раскрытие (слабые).

Другой тип систем шифрования предусматривает использование для шифровки и дешифровки сообщений различных ключей — подобные системы принято называть несимметричными (рис.3)[2].

Рис.3

Примером такой системы является система с открытым ключом, предусматривающая использование двух ключей, один из которых является открытым, а другой хранится в секрете. Алгоритм шифрования также может быть открытым, поэтому любой пользователь, желающий направить владельцу ключей зашифрованное сообщение, может использовать его открытый ключ и соответствующий алгоритм шифрования. Однако дешифровать данное сообщение сможет только тот, кто знает парный закрытый ключ шифрования. Системы шифрования с открытым ключом могут также использоваться для отправки вместе с сообщением "цифровой подписи", подтверждающей, что данное сообщение было действительно отправлено владельцем открытого ключа. Наиболее популярной несимметричной системой шифрования является RSA (это инициалы трех разработчиков данного алгоритма). Как правило, симметричные алгоритмы являются более быстродействующими, чем несимметричные, однако на практике обе схемы часто применяются совместно, когда алгоритм с открытым ключом используется для шифрования случайным образом сгенерированного ключа шифрования, а уже этот случайный ключ — для шифровки самого сообщения с применением некоторого симметричного алгоритма.

3. Организационно-технические средства обеспечения безопасности баз данных

Организационно-технические средства обеспечения безопасности БД включают такие методы, как выработку ограничений, соглашений и других административных мер, не связанных с компьютерной поддержкой. Основными организационно-техническими средствами контроля безопасности БД являются:

- меры обеспечения безопасности и планирование защиты от непредвиденных обстоятельств;

- контроль за персоналом;

- защита помещений и хранилищ;

- гарантийные соглашения;

- договора о сопровождении;

- контроль за физическим доступом.

Рассмотрим данные методы контроля безопасности БД.

Меры обеспечения безопасности и планирование защиты от непредвиденных обстоятельств..

Понятия выработки мер обеспечения безопасности и планирования защиты от непредвиденных обстоятельств существенно отличаются друг от друга. Первое предполагает исчерпывающее определение средств, посредством которых будет обеспечиваться защита вычислительной системы данной организации. Второе состоит в определении методов, с помощью которых будет поддерживаться функционирование организации в случае возникновения любой аварийной ситуации. Каждая организация должна подготовить и реализовать как перечень мер обеспечения безопасности, так и план защиты от непредвиденных обстоятельств.

В документе по мерам обеспечения безопасности должно быть определено следующее:

- область деловых процессов организации, для которой они устанавливаются;

- ответственность и обязанности отдельных работников;

- дисциплинарные меры, принимаемые в случае обнаружения нарушения
установленных ограничений;

- процедуры, которые должны обязательно выполняться.

Процедуры, определяемые как меры обеспечения безопасности, могут потребовать разработки других процедур, определение которых выходит за рамки данного документа. Например, одно из установленных в системе ограничений может заключаться в требовании, чтобы доступ к прикладным приложениям системы могли получать только авторизированные пользователи, однако способ реализации этого требования в данном документе не конкретизируется. Для исчерпывающего определения методов авторизации различных пользователей потребуется разработать отдельный набор процедур. Кроме того, дополнительно может быть подготовлен стандарт выполнения процедуры авторизации, устанавливающий, например, принятый формат паролей (если они используются в системе). В подобном случае документ с определением мер обеспечения безопасности постоянно сохраняет свою значимость, хотя может потребоваться его периодический пересмотр, тогда как выполняемые процедуры реализации этих требований должны модифицироваться при каждом внесении изменений в систему или модернизации используемой технологии.

План защиты от непредвиденных обстоятельств разрабатывается с целью подробного определения последовательности действий, необходимых для выхода из различных необычных ситуаций, не предусмотренных процедурами нормального функционирования системы — например, в случае пожара или диверсии. В системе может существовать единый план защиты от непредвиденных обстоятельств, а может быть несколько — каждый по отдельному направлению. Типичный план защиты от непредвиденных обстоятельств должен включать такие элементы, как:

- сведения о том, кто является главным ответственным лицом и как можно установить с ним контакт;

- информация о том, кто и на каком основании принимает решение о возникновении необычной ситуации;

- технические требования к передаче управления резервным службам, которые могут включать следующее:

* сведения о расположении альтернативных сайтов;

* сведения о необходимом дополнительном оборудовании;

* сведения о необходимости дополнительных линий связи.

- организационные требования в отношении персонала, который осуществляет передачу управления резервным службам;

- сведения о любых внешних источниках, в которых можно будет получить помощь, — например, о поставщиках оборудования;

- сведения о наличии страховки на случай данной конкретной ситуации.

Любой разработанный план защиты от непредвиденных обстоятельств должен периодически пересматриваться и тестироваться на предмет его осуществимости.

Контроль за персоналом

Создатели коммерческих СУБД возлагают всю ответственность за эффективность управления системой на ее пользователей. Поэтому, с точки зрения защиты системы, исключительно важную роль играют отношение к делу и действия людей, непосредственно вовлеченных в эти процессы. Важность этого замечания подчеркивается тем, что основной риск в любой организации связан с действиями, производимыми сотрудниками самой организации, а не с возможными внешними угрозами. Отсюда следует, что обеспечение необходимого уровня контроля за персоналом позволяет минимизировать возможный риск.

Защита помещений и хранилищ

Основное оборудование системы, включая принтеры, если они используются для печати конфиденциальной информации, должно размещаться в запираемом помещении с ограниченным доступом, который должен быть разрешен только основным специалистам. Все остальное оборудование, особенно переносное, должно быть надежно закреплено в месте размещения и снабжено сигнализацией. Однако условие держать помещение постоянно запертым может оказаться нежелательным или неосуществимым, поскольку работникам может требоваться постоянный доступ к установленному там оборудованию.

Выше, при обсуждении вопросов резервного копирования, уже упоминалось о необходимости иметь защищенное помещение, предназначенное для хранения носителей информации. Для любой организации жизненно необходимо иметь подобное надежно защищенное место, в котором будут храниться копии программ, резервные копии системы, прочие архивные материалы и документация. Предпочтительно, чтобы это помещение находилось на площадке, отличной от места расположения основного оборудования системы. Все носители информации, включая диски и магнитные ленты, должны храниться в несгораемых сейфах. Аналогичным образом должна сохраняться и документация. Все, что хранится в подобном помещении, должно быть зарегистрировано в специальном каталоге, с указанием даты помещения носителя или документа на хранение. Периодичность, с которой новые материалы будут помещаться в подобный архив, должна регламентироваться разработанными процедурами копирования. Кроме того, организации могут использовать и внешние хранилища, периодически доставляя туда вновь созданные резервные копии и другие архивные материалы, причем частота доставки также должна определяться установленными нормами и процедурами.

Гарантийные договора

Гарантийные договора представляют собой юридические соглашения в отношении программного обеспечения, заключаемые между разработчиками программ и их заказчиками, на основании которых некоторая третья организация обеспечивает хранение исходного текста программ приложения, разработанного для заказчика. Это одна из форм страховки потребителя на случай, если организация-разработчик отойдет от дел. В этом случае клиент получит право забрать исходные тексты программ у третьей организации, вместо того чтобы остаться с приложением, лишенным всякого сопровождения. Данная область юриспруденции считается одной из тех, в которых очень часто допускаются ошибки и различные недооценки. По мнению некоторых авторов (Revella, 1993), 95% всех гарантийных договоров по программному обеспечению не достигает своей изначальной цели. Чтобы избежать ошибок, при заключении подобных соглашений необходимо тщательно продумывать следующее:

- тип помещаемых на хранение материалов;

- процедуры обновления и поддержания актуальности этих материалов;

- сведения о любом используемом программном обеспечении от сторонних производителей;

- необходимость проведения верификации помещенных на хранение материалов;

- условия, при которых материалы могут быть переданы клиенту;

- четкая регламентация процесса передачи сохраняемых материалов.

Для программ и БД специального назначение хранение исходных текстов программ должно осуществляться только в заказывающем органе.

Договора о сопровождении

Для всего используемого организацией оборудования и программного обеспечения между стороной разработки или изготовления обязательно должны быть заключены соответствующие договора о сопровождении. Установленный интервал ожидания ответа в случае любого отказа или ошибки зависит от важности отказавшего элемента для нормального функционирования всей системы. Например, если произойдет отказ сервера базы данных, желательна немедленная реакция обслуживающей организации с целью скорейшего возвращения системы в работоспособное состояние. Однако в случае отказа принтера договор вполне может предусматривать устранение неисправности в течение рабочего дня или даже двух — предполагается, что всегда найдется подходящий резервный принтер, который можно будет использовать до устранения аварии. В некоторых случаях договором может быть предусмотрена временная замена неисправного оборудования на период ремонта отказавших технических средств.

Контроль за физическим доступом

Физическая защита используется в основном на верхних уровнях защиты и состоит в физическом преграждении доступа посторонних лиц в помещения ВС на пути к данным и процессу их обработки. Для физической защиты применяются следующие средства:

• сверхвысокочастотные, ультразвуковые и инфракрасные системы обнаружения движущихся объектов, определения их размеров, скорости и направления перемещения;

• лазерные и оптические системы, реагирующие на пересечение нарушителями световых лучей;

• телевизионные системы наблюдения за охраняемыми объектами;

• кабельные системы, в которых небольшие объекты окружают кабелем, чувствительным к приближению нарушителя;

• системы защиты окон и дверей от несанкционированного проникновения, а также наблюдения и подслушивания;

• механические и электронные замки на двери и ворота;

• системы нейтрализации излучений.

Комплексное использование физических средств защиты позволяет достаточно качественно защитить данные от доступа к ним нарушителей.

Аппаратная защита

Аппаратная защита реализуется аппаратурой в составе ЭВМ или с помощью специализированных устройств. Основными аппаратными средствами защиты являются средства защиты процессоров и основной памяти, устройств ввода-вывода, систем передачи данных по каналам связи, систем электропитания, устройств внешней памяти (зеркальные диски) и т. д. Аппаратные средства защиты процессоров производят контроль допустимости выдаваемых из программ команд. Средства защиты памяти обеспечивают режим совместного использования и разграничения оперативной памяти при выполнении программ. К аппаратным средствам защиты устройств ввода-вывода относятся различные схемы блокировки от несанкционированного использования. Средства защиты передачи данных по каналам связи представляют собой схемы засекречивания (шифрования) информации.

Защита от компьютерных вирусов

Важнейшей проблемой, особенно актуальной для среды ПК, является риск занесения в систему нежелательных и зачастую просто опасных программ, называемых компьютерными вирусами. Беспечное и небрежное отношение к методам использования оборудования часто приводит к поражению систем различными вирусами — например, в тех случаях, когда персонал приносит на рабочие места и запускает на своих компьютерах различные игровые программы. Распространению вирусов в системе способствует бесконтрольный обмен дискетами, хотя некоторые вирусы способны самостоятельно распространяться в сетевой среде.

Установленные требования к защите системы должны содержать четкие указания о процедурах, которые должны применяться к любому программному обеспечению, прежде чем оно будет допущено к установке в системе — даже в тех случаях, когда оно поступило непосредственно от разработчика или другого надежного источника. Кроме того, в этих требованиях должно явно указываться, что в системе может использоваться только программное обеспечение, прошедшее необходимый контроль. Надежной защитой от данного типа угрозы могут также служить надлежащие процедуры поверки и тестирования нового и модернизированного программного обеспечения.

4. Основные мероприятия по созданию системы защиты БД

Основными мероприятиями по созданию системы защиты БД являются [3,4,5,7]:

• определение состава группы защиты;

• определение анализируемой области и сбор информации о системе;

• выявление всех существующих средств защиты;

• выявление и оценка всех имеющихся активов;

• выявление и оценка всех существующих опасностей и угроз;

• подбор необходимых контрмер, проведение сравнительного анализа требуемых затрат и достигаемого эффекта, сравнение с уже существующими средствами защиты;

• подготовка рекомендаций;

• тестирование системы защиты.

Определение состава группы защиты

Любая организация, нуждающаяся в обеспечении защиты своей вычислительной среды, должна выделить группу людей, ответственных за проведение соответствующих мер. Хотя размер и состав группы должны определяться, прежде всего, масштабом и сложностью структуры самой организации, весьма вероятными кандидатами на участие в подобной группе являются представители отдела автоматизации, отдела кадров, юридической службы, службы, отвечающей за эксплуатацию строений. Цели, стоящие перед группой защиты:

• разработка требований защиты, включая подготовку необходимых стандартов и требуемых процедур;

• проведение анализа риска;

• подбор, рекомендация и эффективная реализация необходимых мер защиты;

• контроль функционирования и сопровождение системы защиты;

• поддержание оптимального баланса между защищенностью системы и эффективностью ее использования.

Определение анализируемой области и сбор информации о системе

При анализе функционирования организации, рекомендуется последовательно сосредотачивать внимание на одной определенной области — например, на отдельной компьютерной подсистеме. Все особенности функционирования этой подсистемы должны быть зафиксированы в документации, что позволит ясно представить ее функциональное назначение.

Выявление всех существующих средств защиты

Необходимо выделить все существующие средства противодействия возможным угрозам. Все они последовательно должны сравниваться с любыми предлагаемыми новыми средствами с целью создания оптимального набора необходимых контрмер, отвечающего уровню подверженности системы той или иной опасности.

Выявление и оценка всех имеющихся ресурсов

Каждый связанный с системой актив должен быть выявлен и оценен. Оценке подлежит все оборудование системы, все используемое в ней программное обеспечение (как прикладное, так и системное), все необходимые и используемые данные, задействованный персонал, строения и другие элементы — например, энергия, документация и расходные материалы. При определении цены обязательно потребуется выполнить некоторые расчеты. Для таких активов, как оборудование, отправной точкой расчетов является их стоимость. Однако задача оценки стоимости данных является более сложной, если только данные не были куплены в некотором внешнем источнике - в этом случае отправной точкой расчетов также является их цена. Обычно данные могут подвергаться опасности потери различных уровней — полному уничтожению, временной недоступности или просто несанкционированному раскрытию. Может быть установлена стоимость любого элемента данных на каждый возможный случай их потери. Помимо всего прочего, она будет зависеть от таких требований, как сохранение неприкосновенности личных данных, коммерческая тайна и др. Максимальная стоимость устанавливается на случай максимально возможных потерь. После выполнения независимой оценки отдельных активов следует установить взаимосвязи между ними — например, сохранение данных зависит от определенного оборудования и программного обеспечения. Полученные результаты сопоставляются и согласовываются, причем самая большая стоимость устанавливается на случай самого тяжелого из всех существующих вариантов потерь.

Выявление и оценка всех существующих опасностей и угроз

Каждая потенциально возможная опасность должна быть зафиксирована, начиная от самых очевидных, которые могут происходить очень часто, и заканчивая абсолютно исключительными ситуациями, которые возникают крайне редко, но все же потенциально возможны. Каждая опасность рассматривается в свете потерь, к которым она может привести. Для каждого типа актива системы определяется показатель в отношении каждой потенциальной угрозы, вызывающей каждый тип потери. Это значение должно учитывать вероятность появления данной угрозы. Аналогичным образом устанавливается значение, определяющее вероятность реализации угрозы на практике (уязвимость). Все эти цифры затем обобщаются и согласуются с целью определения риска, создаваемого каждым типом опасности.

Подбор необходимых контрмер, проведение сравнительного анализа требуемых затрат и достигаемого эффекта, сравнение с уже существующими средствами защиты

После завершения оценки риска можно выбрать контрмеры, необходимые для его уменьшения, руководствуясь соотношением стоимости и эффективности. В каждом случае может быть доступно несколько различных вариантов; целью данного этапа является достижение максимальной эффективности за минимальную цену, что и будет характеризовать общие выгоды от реализации той или иной контрмеры. Обязательно следует провести сравнение с уже существующими мерами обеспечения безопасности, поскольку они вполне могут обеспечивать достаточно высокий уровень защищенности той или иной части системы.

Подготовка рекомендации

Завершив подбор всех необходимых контрмер, группа защиты должна подготовить отчет, содержащий подробные рекомендации, сделанные на базе выполненного обследования, В отчете должна быть указана реальная стоимость каждой из рекомендуемых мер защиты, а также предоставлен список всех поставщиков нового оборудования (если оно необходимо). Помимо подачи рекомендаций, в обязанности группы защиты входит наблюдение за их практической реализацией.

Тестирование системы защиты

Очень полезной практикой следует считать периодическое проведение тестирования всех реализованных средств защиты, что позволяет получить гарантии их реальной способности противостоять различным опасностям и угрозам. Подобное тестирование позволяет выявить и те средства, которые потенциальные злоумышленники могут разработать в ответ на установленные меры защиты, что, в свою очередь, послужит основанием для дальнейшего совершенствования и укрепления защиты системы.