МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

Федеральное агентство по образованию

Федеральное Государственное бюджетное образовательное учреждение

высшего профессионального образования

«Магнитогорский государственный технический университет им. Г.И. Носова»

Кафедра информатики и информационной безопасности

Реферат по информатике

Тема: Защита баз данных.

(вариант № 17)

МАГНИТОГОРСК

2015

Оглавление

Ведение. 3

Oракул Баз Вальт. 4

Oракул Aдвансед Секюрити. 5

Oракул Лейбл Секюрити. 6

Oракул Секур Бейкап. 7

Архитектура Oракул Секур Бейкап. 7

Oракул Aудит Вальт. 8

Заключение. 9

Список литератур. 9

1.       

Ведение

Защита баз данных является одной из самых сложных задач, стоящих перед подразделениями, отвечающими за обеспечение информационной безопасности. Необходимо контролировать доступ сотрудников к информации, хранящейся в базе данных, ограничить администраторов базы данных от возможности чтения и изменения чувствительных данных, защитить информацию во время хранения и при передаче по сети. Таким образом, обеспечить безопасность баз данных возможно только использовав комплексный подход к защите. Для этих целей предлагается создать систему защиты баз данных (СЗ БД). СЗ БД ориентирована на СУБД Oracle, как одну из наиболее распространенных систем управления базами данных.

СЗ БД предназначена для выполнения следующих функций:

• разграничения полномочий внутри базы данных с реализацией ограничения доступа к данным защищаемых приложений со стороны администраторов;
• реализации мандатного доступа (с использованием меток) к данным;
• ограничения доступа и контроля выполнения команд в зависимости от времени, IP-адреса, выполняемой операции;
• строгой аутентификации при доступе к базе данных (X.509, Kerberos, Radius);
• защиты клиентского трафика (SSL) при сетевом доступе к базе данных;
• прозрачного шифрования чувствительной информации в базе данных и ее защиты на физических носителях информации;
• защиты резервных копий баз данных;
• консолидации, хранения и анализа данных аудита различных баз данных.

Основу СЗ БД составляют следующие компоненты: Oracle Database Vault, Oracle Advanced Security, Oracle Label Security, Oracle Secure Backup и Oracle Audit Vault.

Oракул Баз Вальт – средство защиты и ограничения доступа пользователей к важным данным и приложениям. Реализованные в продукте механизмы защиты базируются на использовании правил и безопасных областей (realm). Правила предполагают ограничение доступа к базе данных на основании IP адреса клиента Oracle и времени суток. Безопасные области позволяют предоставлять доступ строго к специфическим данным приложений или объектам базы данных (Рисунок 1).

Oracle Database Vault при необходимости позволяет внедрение правил, согласно которым для решения задач, предполагающих доступ к чувствительной информации, потребуется присутствие двух сотрудников. Данная возможность позволяет дополнительно защитить базу данных от злоумышленных действий сотрудников и атак изнутри.

Рис. 1. Oracle Database Vault

Oracle Database Vault реализует требования стандартов СТО БР ИББС-1.0-2006 в п. 6.2.3, 8.2.4.1, 8.2.4.3, 8.2.8.5, 8.2.8.10 и ISO 27001 в п. A.10.1.3, A.11.6.

Oracle Advanced Security - комплекс средств аутентификации и обеспечения сетевой безопасности, включающий в себя поддержку защищенных протоколов передачи данных, в том числе SSL (Рисунок 2). Oracle Advanced Security выполняет следующие функции:

• гарантирует конфиденциальность данных;
• гарантирует целостность данных;
• осуществляет аутентификацию пользователей, баз данных и web-серверов.

Oракул Aдвансед Секюрити защищает данные при передаче по сети, используя стандарты RC4 (ключи длиной 40, 56, 128 или 256 бит), DES (ключи длиной 40 или 56 бит), 3DES (ключи длиной 168 бит) или AES (ключи длинной 128, 192 или 256 бит). Для каждой сессии Oracle Net создается секретный ключ, обеспечивающий безопасность всего сетевого трафика между клиентами и сервером баз данных.

Oracle Advanced Security делает невозможным модификацию, добавление или удаление части передаваемых данных. Используя алгоритм MD5 или SHA-1, Oracle Net сразу по прибытию пакета данных проверяет его целостность.

Рис. 2. Oracle Advanced Security

Для подтверждения идентификации пользователей, баз данных и web-серверов обычно используют различные методы. Наиболее распространенным средством аутентификации пользователей является пароль. Очень часто используются более строгие методы, такие как токены, смарткарты и биометрическая аутентификация. Альтернативным методом проверки подлинности является аутентификация с использованием цифровых сертификатов. Этот способ подтверждения идентификации использует инфраструктуру открытых ключей Public Key Infrastructure (PKI) c поддержкой сертификатов X.509. Oracle Advanced Security позволяет использовать все вышеперечисленные методы.

Oracle Advanced Security реализует требования стандартов СТО БР ИББС-1.0-2006 в п. 8.2.4.3, 8.2.6.2, 8.2.8.7, 8.2.8.10 и ISO 27001 в п. A.10.8.4, A.10.9.2, A.11.4.2, А.12.3.

Oракул Лейбл Секюрити представляет собой набор процедур и ограничений (constraints) встроенных в ядро базы данных, которые позволяют осуществить мандатный контроль доступа (Рисунок 3). Для использования Oracle Label Security, необходимо создать одну или несколько политик безопасности, каждая из которых содержит набор меток (label). Каждая из меток соответствует некоторому уровню безопасности. Метки служат для классификации данных по уровням безопасности и используются для определения того, какой пользователь к каким данным имеет доступ. После создания политики она применяется к защищаемым таблицам.

Рисунок 3. Oracle Label Security

Каждому из пользователей также назначаются метка, в соответствие с его функциональными обязанностями. Так как данные классифицированы по уровням безопасности, каждый конкретный пользователь получает доступ в соответствие с назначенной ему меткой. Он может оперировать только данными, находящимися на том уровне безопасности, который соответствует его метке и на уровнях ниже. Oracle Label Security изменяет запросы и вычисляет уровни доступа «на лету» для реализации созданной политики.

Oracle Label Security реализует требования стандартов СТО БР ИББС-1.0-2006 в п. 8.2.4.3, 8.2.8.10 и ISO 27001 в п. A.11.6.

Oракул Секур Бейкап представляет собой автоматизированную систему управления резервным копированием на ленты. Эта система обеспечивает высокопроизводительное резервное копирование баз данных Oracle и поддерживает шифрование данных на лентах. Система может использоваться как с версией Oracle Database 10g, так и с более ранними версиями. Oracle Secure Backup выполняет следующие функции:

• централизованное управление ленточными носителями посредством создания единого репозитария для хранения информации обо всех критических резервных файлах организации;
• создание гибкого расписания резервного копирования;

·         защита содержимого резервного копирования посредством механизмов шифрования данных.

Архитектура Oракул Секур Бейкап состоит из административного сервера, сервера управления устройствами записи и клиентов (Рисунок 4). Административный сервер отвечает за управление всей резервной информацией. Эта информацией хранится в Oracle Secure Backup каталоге и включает в себя информацию обо всех устройствах, серверах и клиентах в административном домене. Сервер управления устройствами записи отвечает за управление всевозможными устройствами, предназначенными для выполнения функций резервного копирования. На текущий момент в списке поддерживаемых устройств содержится более 200 различных моделей для работы с ленточными накопителями. Управление происходит по протоколу Network Data Management Protocol (NDMP). В роли клиентов Oracle Secure Backup выступают базы данных, они предоставляют информацию для резервного копирования через RMAN интерфейс.

Рис. 4. Oracle Secure Backup

Oracle Secure Backup является важной частью процесса восстановления после сбоев. Oracle Secure Backup реализует требования стандартов СТО БР ИББС-1.0-2006 в п. 8.2.8.10, 9.2 и ISO 27001 в п. А.12.3, А.14.1.

Oракул Aудит Вальт предназначен для сбора, консолидации и анализа данных аудита СУБД организации и защиты от внутренних угроз. Oracle Audit Vault имеет клиент-серверную архитектуру (Рисунок 5). Серверный компонент Audit Vault представляет собой хранилище данных, построенное на основе СУБД Oracle Database 10g с установленной компонентой Oracle Database Vault. Приложения сервера Audit Vault позволяют управлять агентами Audit Vault и строить отчеты о текущем состоянии информационной безопасности. (1)

Клиентская часть, агент Audit Vault, отвечает за управление сборщиками данных. Сборщики данных предоставляют интерфейс для работы с заданными источниками данных аудита. Они действуют как промежуточное звено между источником данных и сервером, выполняя функции по извлечению данных аудита из базы данных и пересылая их на сервер Audit Vault по протоколу SQL*Net. На текущий момент сбор данных аудита возможен с СУБД Oracle 9i и более поздних версий. В ближайшее время планируется выпуск сборщиков данных для SQL Server и IBM UDB. Для систем, не поддерживаемых на текущий момент, существует возможность создания произвольных сборщиков данных аудита посредством Audit Vault Collector SDK.

Рис. 5. Oracle Audit Vault

Oracle Audit Vault реализует требования стандартов СТО БР ИББС-1.0-2006 п. 9.3, 10.5, 10.9 и ISO 27001 п. A.10.6, A.10.10, A.13.2.

Заключение
Информационные активы составляют основу бизнеса любой организации, а базы данных являются доминирующим инструментом для хранения структурированной информации. Растущие масштабы краж критически важных данных делают все более актуальной необходимость в защите баз данных. Особенно значимым является создание системы защиты от внутренних злоумышленников. СЗ БД играет важнейшую роль в автоматизации контроля над действиями пользователей, работающими с базами данных, защите от внешних и внутренних угроз, и повышении надежности функционирования баз данных. (1)

Оглавление

 

 

Список литератур

1. 1. http://www.lins-m.ru/index.php?ID=155.

2. https://ru.wikipedia.org/wiki/%D0%91%D0%B0%D0%B7%D0%B0_%D0%B4%D0%.