XS
SM
MD
LG
 
ВАШЕ ИМЯ *
ТЕЛЕФОН *
Перезвоните мне

Защита данных в СУБД ORACLE и оптимизация решений безопасности

Нормативные требования

Банковский сектор

  • Принятые НБУ Стандарты управления информационной безопасностью - 65.1 СУІБ 1.0:2010, СУІБ 2.0:2010 на базе международных стандартов ISO/IEC 27001, ISO/IEC 27005
  • Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard.

Персональные данные

  • С 1 января 2011 г. вступил в действие закон Украины № 2297-VI "О защите персональных данных"

Рекомендации по управлению ИБ

  • CobiT (Control Objectives for Information and related Technology) – это набор стандартов и рекомендаций, разработанный ISACA (Information Systems Audit and Control Association) и ITGI (IT Governance Institute), определяющий цели контроля ИТ, которые следует использовать для управления ИБ.
  • NIST Special Publication 800-39 - Managing Information Security Risk(March 2011)

ORACLE ADVANCED SECURITY

Oracle Database Enterprise Edition Option

Transparent Data Encryption - прозрачное шифрование данных

  • 10g R2 Column Encryption - шифрование столбцов данных.
  • 11g R1 Tablespace Encryption - шифрование табличных пространств.
  • 11g R1 Поддержка устройств Hardware Security Modules для хранения ключей шифрования.
  • 11.2.0.2 Автоматическое использование аппаратного ускорения шифрования AES на процессорах Intel Xeon серии 5600.


Альтернативные решения

  • Аппаратное шифрование на уровне дисков + меры защиты на уровне операционной системы.
  • Шифрование разделов диска или файлов данных.Например TrueCrypt - свободное ПО с открытым исходным кодом работающее на 32 и 64-битных платформах Windows, Mac OS, Linux использующее алгоритмы AES, Serpent, Twofish.
  • Шифрование данных на уровне приложения.


Network Encryption - шифрование сетевого трафика Oracle Net

  • Поддержка алгоритмов AES , 3DES, RC4, SHA1
  • Проверка целостности данных
  • Поддержка Secure Sockets Layer (SSL) - протокола TLS 1.0 и сертификатов X.509


Альтернативные решения

  • Аппаратное шифрование уровне на сетевых устройств - коммутаторов или аппаратных шифраторов
  • Использование Open SSL
  • Использование протокола SSH-2 для туннелирования сетевого трафика
  • Шифрование данных на уровне приложения.


Strong Authentication (Kerberos, PKI, RADIUS)

  • Аутентификация пользователей БД по протоколу RADIUS.
  • Аутентификация пользователей БД через сертификаты X.509 v3 (PKI).
  • Централизованная аутентификация пользователей БД по протоколу Kerberos v5.
  • Поддержка Enterprise User Security (EUS) - централизации учетных записей пользователей баз данных через LDAP сервер - Oracle Internet Directory (OID).


Альтернативные решения

  • Использование Native аутентификации Windows поддерживающей Microsoft реализацию протокола Kerberos v5 - в sqlnet.ora SQLNET.AUTHENTICATION_SERVICES= (NTS).
  • Использование парольной аутентификации в OID для централизации учетных записей пользователей баз данных Enterprise User Security.

ORACLE DATABASE VAULT

Oracle Database Enterprise Edition Option

 

Realms – защищенные области

  • Защита данных от использования привилегии SYSDBA.
  • Защита данных от использования системных привилегий (ANY).
  • Защита данных от владельцев схем.


Альтернативные решения

  • Отказ от постоянного использования учетной записи владельца ПО Oracle на уровне Операционной Системы. Предоставление этой учетной записи только на период установки и обновления ПО и первоначальной выдачи административных привилегий.
  • Использование персональных учетных записей на уровне ОС для запуска и остановки БД используя привилегию SYSOPER.
  • Отказ от постоянного использования системной учетной записей базы данных - SYS.
  • Отказ от постоянного использования привилегий SYSDBA на уровне СУБД.

 

Realms – защищенные области

  • Защита данных от использования привилегии SYSDBA.
  • Защита данных от использования системных привилегий (ANY).
  • Защита данных от владельцев схем.


Альтернативное решение (продолжение)

  • Использование системных учетных записей базы данных SYS, SYSTEM только для первоначальной выдачи административных привилегий.
  • Отказ от использования роли DBA. Роли обладающие мощными системными привилегиями - EXP_FULL_DATABASE, IMP_FULL_DATABASE и другие предоставлять только на период выполнения административной задачи.
  • Создание отдельных ролей для выполнения различных административных задач и предоставление их персонально.
  • Для создания и обслуживания учетных записей пользователей базы данных создать отдельную роль которую предоставить администратору учетных записей (не АБД). Это позволит реализовать принцип взаимного контроля.
  • Жесткий контроль и аудит выдачи системных привилегий GRAN ANY позволяющих предоставлять роли, объектные и системные привилегии.
  • Жесткий контроль и аудит выдачи системных ANY привилегий (таких как SELECT ANY TABLE) позволяющих получить доступ к «чужим» данным .

 

Realms – защищенные области

  • Защита данных от использования привилегии SYSDBA
  • Защита данных от использования системных привилегий (ANY)
  • Защита данных от владельцев схем


Альтернативное решение (продолжение)

  • Отказ от постоянного использования учетных записей владельцев схем приложений. Предоставление этих учетных записей только на период установки приложений и первоначальной выдачи объектных привилегий.
  • Использование персональных учетных записей на уровне БД для работы с приложением. Необходимые объектные привилегии предоставлять только через роли.
  • Создание ролей для администрирования приложений на уровне СУБД. Предоставление такой роли только объектных привилегий необходимых для администрирования приложения. Предоставление таких ролей администраторам приложений.


Command Rules – командные правила

  • Многофакторная авторизация
  • Применение политики безопасности к различным командам


Альтернативные решения

  • Использование триггеров Oracle срабатывающих при выполнении DML и DDL команд.
  • Использование AFTER LOGON триггера для проверки.
  • спользование функции контекста (sys_context) в пространстве имен USERENV для получения различных данных о сеансе пользователя Например: CLIENT_IDENTIFIER, HOST, IP_ADDRESS, OS_USER

Защита и консолидация записей аудита баз данных

  • Oracle Database 9i, 10g, 11g
  • Microsoft SQL Server 2000, 2005
  • IBM DB2 8.2, 9.5
  • Sybase ASE 12.5 - 15.0


Альтернативное решение для Oracle Database

  • Запись журнала стандартного аудита СУБД в системный журнал SYSLOG на UNIX платформах. Значение параметров инициализации AUDIT_TRAIL = OS, AUDIT_SYSLOG_LEVEL = 'facility.priority' административных привилегий.
  • Централизация записей аудита путем направления записей системного журнала SYSLOG на удаленную UNIX систему. В файле конфигурации syslogd - /etc/syslog.conf вместо имени журнального файла нужно указать имя syslog сервера.

Наши предложения

  • Обследование текущего состояния безопасности информационных систем, в том числе серверов баз данных, серверов приложений и других компонентов ИС;
  • Предоставление рекомендаций по улучшению текущего состояния безопасности и соответствию нормативным требованиям;
  • Группы рекомендаций:
    1. Выполнить срочно, требуются минимальные ресурсы, без дополнительных финансовых затрат;
    2. Выполнить побыстрее, требуются определенные ресурсы, но без финансовых затрат;
    3. Желательно выполнить, требуются ресурсы, финансовые затраты - отдельные проекты.