Компания «Аладдин Р.Д.» представила новый программный продукт — eToken «Крипто БД», предназначенный для защиты данных в СУБД Oracle. Данный продукт разработан компанией «Аладдин Р.Д.» в сотрудничестве с компанией Oracle и расширяет стандартные механизмы безопасности СУБД Oracle.
Как часто Вы задумываетесь о безопасности Ваших данных? Вы уверены, что Ваши данные защищены? Насколько Вы доверяете своим специалистам, обслуживающим Вашу СУБД?
Скажу очень простую и избитую фразу: «данные может украсть тот, кто имеет к ним доступ».
А теперь давайте посмотрим, кто может иметь доступ ко ВСЕМ данным, хранящимся в СУБД? Совершенно верно — администратор СУБД, или тот, кто им может притвориться, украв, например, пароль. Как защититься от администратора? Да никак! Он царь и бог в системе, он может её убить и возродить из пепла. Он может посмотреть и изменить любые данные в любой базе в любой таблице. И с этим ничего не поделаешь.
Но что если данные зашифровать? То есть администратор системы будет иметь к ним доступ, но они для него будут бесcмысленным набором символов.
Что если злоумышленник получил несанкционированный доступ к базе, но не смог «понять» те данные, которые он украл?
Вот оно — Решение! Украсть непонятный набор символов это не то самое, что украсть данные!
Проблему обозначили, тенденцию решения наметили, теперь немного конкретики.
Программный продукт «Крипто БД» позволяет шифровать данные в столбцах таблиц базы данных Oracle с использованием алгоритмов ГОСТ.
Не буду описывать процесс установки, лучше расскажу как работает данный программный продукт.
В продукте существует 3 основных роли:
— Администратор СУБД — сотрудник отвечающий за корректную бесперебойную работу системы.
— Офицер безопасности — сотрудник отвечающий за разграничение прав доступа к данным, причём в штатном режиме офицер безопасности доступа к данным не имеет.
— Пользователь — сотрудник имеющий права на доступ к данным и их обработку.
Права доступа предоставляются на основе цифровых сертификатов, которые записаны смарт-карты eToken.
Рассмотрим процесс первоначального шифрования данных и процесс разграничения прав доступа. Итак, у нас есть таблица, содержащая данные, которые мы хотим защитить. Например, это список сотрудников с паспортными данными, домашними адресами и сведениями о заработной плате. Шифровать всю таблицу смысла нет, ну и любое шифрование означает снижение производительности, по этому будем шифровать только «критичные» столбцы — паспортные данные и информацию о заработной плате. Таким образом, мы будем шифровать всего два столбца из всей таблицы. Для шифрования этих столбцов необходимо сформировать ключи для симметричного шифрования данных — эту функцию выполняет Офицер безопасности. После того как ключи сформированы, администратор СУБД предоставляет Офицеру безопасности доступ к таблице, в которой необходимо защитить данные. Офицер безопасности с помощью сформированных ранее ключей шифрования зашифровывает указанные столбцы (паспортные данные и информацию о заработной плате), после чего доступ к таблице у него отбирается. Таким образом, продукт позволяет устанавливать защиту как на новые пустые таблицы, так и на таблице уже содержащие данные.
Столбцы зашифрованы, что же дальше? А дальше нам необходимо раздать права пользователям. Для этого Офицер безопасности регистрирует цифровые сертификаты пользователей и на этих сертификатах зашифровывает симметричные ключи шифрования данных. Получаем, что для каждого пользователя, имеющего права на обработку данных существует копия симметричного ключа шифрования данных, зашифрованного открытым ключом (сертификатом) пользователя.
В дополнении к шифрованию данных, продукт «Крипто БД» так же позволяет осуществлять аудит попыток доступа к зашифрованным данным. Причём система аудита может быть вынесена на отдельную машину, подконтрольную только Офицеру безопасности.
Исходя из вышесказанного получаем следующее:
— Администратор СУБД -имеет все права в системе и отвечает за её работоспособность. Он так же имеет доступ ко всем данным, но данные, которые мы зашифровали, администратор СУБД получит в виде неприемлемом для дальнейшей обработки.
— Офицер безопасности имеет все ключи шифрования данных, но не имеет прав доступа к самим данным, так как сразу после установки защиты, у него эти права отбираются. Так же Офицер безопасности имеет доступ к данным аудита.
— Пользователь, имеющий права необходимы права на получает данные в расшифрованном виде, пригодном для последующей обработки.
Это можно изобразить следующей схемой:
Думаю настало время для технических подробностей. Программный продукт «Крипто БД» написан на внутренних языках СУБД Oracle, следовательно при внедрении данного программного продукта не происходит никакой модификации Oracle и не требуется какой-либо перенастройки СУБД.
Так как код написан на внутренних языках СУБД, то администратор СУБД может его изменить и встроить туда какой-либо код, позволяющий ему получить зашифрованные данные в открытом виде. Для защиты от этой ситуации в «Крипто БД» предусмотрен механизм проверки целостности программного кода продукта.
На текущий момент у продукта есть ряд ограничений, которые будут исправлены в следующих версиях:
— «Крипто БД» работает только с приложениями использующими «толстый» клиент Oracle. То есть на рабочей станции пользователя обязательно должен быть установлен Oracle Client.
— «Крипто БД» пока не умеет работать на кластерах, будет исправлено в следующей версии продукта.
В заключении скажу, что данный продукт уже прошёл сертификацию по классам защиты КС1, КС2 и может использоваться при построении систем класса защищённости до 1Г и в информационных системах обработки персональных данных до 1 класса включительно.
Как часто Вы задумываетесь о безопасности Ваших данных? Вы уверены, что Ваши данные защищены? Насколько Вы доверяете своим специалистам, обслуживающим Вашу СУБД?
Скажу очень простую и избитую фразу: «данные может украсть тот, кто имеет к ним доступ».
А теперь давайте посмотрим, кто может иметь доступ ко ВСЕМ данным, хранящимся в СУБД? Совершенно верно — администратор СУБД, или тот, кто им может притвориться, украв, например, пароль. Как защититься от администратора? Да никак! Он царь и бог в системе, он может её убить и возродить из пепла. Он может посмотреть и изменить любые данные в любой базе в любой таблице. И с этим ничего не поделаешь.
Но что если данные зашифровать? То есть администратор системы будет иметь к ним доступ, но они для него будут бесcмысленным набором символов.
Что если злоумышленник получил несанкционированный доступ к базе, но не смог «понять» те данные, которые он украл?
Вот оно — Решение! Украсть непонятный набор символов это не то самое, что украсть данные!
Проблему обозначили, тенденцию решения наметили, теперь немного конкретики.
Программный продукт «Крипто БД» позволяет шифровать данные в столбцах таблиц базы данных Oracle с использованием алгоритмов ГОСТ.
Не буду описывать процесс установки, лучше расскажу как работает данный программный продукт.
В продукте существует 3 основных роли:
— Администратор СУБД — сотрудник отвечающий за корректную бесперебойную работу системы.
— Офицер безопасности — сотрудник отвечающий за разграничение прав доступа к данным, причём в штатном режиме офицер безопасности доступа к данным не имеет.
— Пользователь — сотрудник имеющий права на доступ к данным и их обработку.
Права доступа предоставляются на основе цифровых сертификатов, которые записаны смарт-карты eToken.
Рассмотрим процесс первоначального шифрования данных и процесс разграничения прав доступа. Итак, у нас есть таблица, содержащая данные, которые мы хотим защитить. Например, это список сотрудников с паспортными данными, домашними адресами и сведениями о заработной плате. Шифровать всю таблицу смысла нет, ну и любое шифрование означает снижение производительности, по этому будем шифровать только «критичные» столбцы — паспортные данные и информацию о заработной плате. Таким образом, мы будем шифровать всего два столбца из всей таблицы. Для шифрования этих столбцов необходимо сформировать ключи для симметричного шифрования данных — эту функцию выполняет Офицер безопасности. После того как ключи сформированы, администратор СУБД предоставляет Офицеру безопасности доступ к таблице, в которой необходимо защитить данные. Офицер безопасности с помощью сформированных ранее ключей шифрования зашифровывает указанные столбцы (паспортные данные и информацию о заработной плате), после чего доступ к таблице у него отбирается. Таким образом, продукт позволяет устанавливать защиту как на новые пустые таблицы, так и на таблице уже содержащие данные.
Столбцы зашифрованы, что же дальше? А дальше нам необходимо раздать права пользователям. Для этого Офицер безопасности регистрирует цифровые сертификаты пользователей и на этих сертификатах зашифровывает симметричные ключи шифрования данных. Получаем, что для каждого пользователя, имеющего права на обработку данных существует копия симметричного ключа шифрования данных, зашифрованного открытым ключом (сертификатом) пользователя.
В дополнении к шифрованию данных, продукт «Крипто БД» так же позволяет осуществлять аудит попыток доступа к зашифрованным данным. Причём система аудита может быть вынесена на отдельную машину, подконтрольную только Офицеру безопасности.
Исходя из вышесказанного получаем следующее:
— Администратор СУБД -имеет все права в системе и отвечает за её работоспособность. Он так же имеет доступ ко всем данным, но данные, которые мы зашифровали, администратор СУБД получит в виде неприемлемом для дальнейшей обработки.
— Офицер безопасности имеет все ключи шифрования данных, но не имеет прав доступа к самим данным, так как сразу после установки защиты, у него эти права отбираются. Так же Офицер безопасности имеет доступ к данным аудита.
— Пользователь, имеющий права необходимы права на получает данные в расшифрованном виде, пригодном для последующей обработки.
Это можно изобразить следующей схемой:
Думаю настало время для технических подробностей. Программный продукт «Крипто БД» написан на внутренних языках СУБД Oracle, следовательно при внедрении данного программного продукта не происходит никакой модификации Oracle и не требуется какой-либо перенастройки СУБД.
Так как код написан на внутренних языках СУБД, то администратор СУБД может его изменить и встроить туда какой-либо код, позволяющий ему получить зашифрованные данные в открытом виде. Для защиты от этой ситуации в «Крипто БД» предусмотрен механизм проверки целостности программного кода продукта.
На текущий момент у продукта есть ряд ограничений, которые будут исправлены в следующих версиях:
— «Крипто БД» работает только с приложениями использующими «толстый» клиент Oracle. То есть на рабочей станции пользователя обязательно должен быть установлен Oracle Client.
— «Крипто БД» пока не умеет работать на кластерах, будет исправлено в следующей версии продукта.
В заключении скажу, что данный продукт уже прошёл сертификацию по классам защиты КС1, КС2 и может использоваться при построении систем класса защищённости до 1Г и в информационных системах обработки персональных данных до 1 класса включительно.