Разработка системы защиты баз данных

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Факультет Телекоммуникаций и радиотехники

Направление (специальность)

Информационная безопасность телекоммуникационных систем

Кафедра Мультисервисных сетей и информационной безопасности

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Разработка системы защиты баз данных

Разработал

А.Д. Коротков

Самара 2017



Введение

Для современного этапа развития общества характерен непрерывный процесс информатизации и совершенствования информационных технологий. Сфера внедрения телекоммуникационных и вычислительных систем постоянно расширяется, затрагивая все новые стороны жизни общества. В связи с этим важной задачей является обеспечение достаточной степени защищенности этих систем для их эффективного функционирования в условиях проявления информационных угроз, для чего в свою очередь необходимо наличие адекватной методологии анализа и управления информационными рисками.

Для упорядочения представлений об информационных угрозах предпринимались неоднократные попытки их классификации в соответствии с признаками, приведенными выше, а также по другим признакам. В результате в литературе фигурирует множество различных классификационных схем, как правило, предназначенных для различных практических целей.

Большинство распределенных сетей функционируют и проектируются с учетом использования в них технологии межсетевого взаимодействия, реализованной в Internet. При этом, как правило, информационно-телекоммуникационная система базируется на применении стека протоколов межсетевого взаимодействия TCP/IP. В связи с этим в распределенных сетях могут реализовываться большинство атак, характерных для Internet.

Цель работы - разработать мероприятия по обеспечению безопасности базы данных.

Для достижения поставленной цели необходимо выполнить ряд задач:

- рассмотреть теоретические основы информационной безопасности;

- провести обзор законодательных актов, регулирующих защиту баз данных;

- предложить мероприятия по защите сайта и базы данных компании;

- рассмотреть меры по обеспечению техники безопасности;

- провести технико-экономическое обоснование мероприятий.

Объектом исследования является база данных. Предмет исследования - защита базы данных.

Основными источниками информации для написания дипломной работы послужили книги:

– Абрамов А.М., Никулин О.Ю., Петрушин А.Н. Системы управления доступом.

– Астахов А. Что такое аудит безопасности?

Цель и задачи написания работы определили ее структуру, которая состоит из введения, трех глав, заключения, списка используемых источников и приложений. Во ведении обосновывается актуальность работы, описываются поставленные цели и задачи, а также объект и предмет исследования. Первая глава раскрывает общие сведения о технологиях, которые возможно использовать для построения базы данных, вторая глава посвящена описанию баз данных, а третья - необходимости защиты баз данных и методам ее реализации. В заключении сделаны основные выводы и результаты по проделанной работе.

Практическая значимость работы заключается в возможности применения предложенных мероприятий для обеспечения безопасности базы данных любой компании.



1. Теоретические основы защиты персональных данных

1.1 Понятие и категории персональных данных

В соответствии с 152-ФЗ, каждое предприятие должно обеспечить защиту персональных данных своих сотрудников, клиентов и партнеров и принять все необходимые меры по защите ПДн.

Так как под понятие ПДн попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое - система защиты ПДн (СЗПДн) нужна фактически любой организации. В случае нарушения положений [1] компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица - к гражданской, уголовной, административной, дисциплинарной ответственности.

Под особым вниманием со стороны регулирующих органов оказываются [2]:

государственные организации или организации со значительной долей государственного участия;

организации нефтегазовой отрасли;

организации, обрабатывающие данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья;

организации, обрабатывающие данные более чем 100 000 субъектов ПДн;

организации, работающие на рынке с высокой и «некорректной» конкуренцией (с использованием административного ресурса).

Из этого списка видно, что в большинстве случаев в зоне риска проверок со стороны регуляторов оказываются крупные информационные системы ПДн (ИСПДн), которым свойственна сложная распределенная структура.

При проектировании систем защиты локальных (представляющих собой комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа) и автономных (представляющих собой автономные (не подключенные к иным информационным системам) комплексы технических и программных средств) ИСПДн большинство операторов стараются использовать отработанные методики и подходы. Для этого ими применяются типовые несложные решения, применение и проектирование СЗПДн на основе которых является задачей приведения к шаблону.

При проектировании систем защиты крупных распределенных ИСПДн разработка СЗПДн является сложной задачей, требующей участия высококвалифицированных специалистов в области защиты информации. В крупных распределенных ИСПДн появляется необходимость криптографической защиты передаваемых данных, ввиду распределенности и разнородности средств информатизации и защиты, остро становится вопрос выбора средств защиты информации (СЗИ), вопрос централизации механизмов мониторинга и управления.

Несмотря на то, что крупные распределенный ИСПДн требуют индивидуального подход в разработке СЗПДн, они обладают некоторыми общими характеристиками, позволяющими разработать общие принципы построения СЗПДн. Это позволяет произвести анализ приближенной к типовой модели угроз и нарушителя, анализ выбора СЗИ, технологий управления и мониторинга СЗПДн.

Согласно [3], распределенная ИСПДн представляет собой комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа. Необходимость создание распределенной ИСПДн возникает ввиду географической распределенности объектов информатизации.

В большинстве случаев распределенные ИСПДн имеют иерархическую структуру. Структура представлена на рис 1.1.

Рис 1.1 - Структура распределенной ИСПДн

Сервера распределенной ИСПДн могут выносятся в центр обработки данных (ЦОД). В большинстве случаев он находится в административном центре предприятия в выделенном серверном помещении, либо же выносится в отдельное строение, предназначенное исключительно для ЦОД и осуществляющих его поддержку структур.

К одной из главных особенностей распределенной ИСПДн относится передача ПДн по неконтролируемому каналу, чаще всего представляющему из себя сеть связи общего пользования (ССОП) или Интернет. Эта особенность влияет на множество характеристик безопасности ИСПДн. В том числе появляется необходимость криптографической защиты передаваемых данных, ввиду распределенности и разнородности средств информатизации и средств защиты, остро становится вопрос централизации механизмов мониторинга и управления. Это значительно усложняет структуру СЗПДн, взаимосвязи её компонент с внешней средой системы.

В соответствии с [3] выделяются следующие категории ПДн в рамках ИСПДн:

категория 1 - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 - ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 - ПДн, позволяющие идентифицировать субъекта персональных данных;

категория 4 - обезличенные и (или) общедоступные ПДн.

В ИС большинства предприятий ведётся бухгалтерский и кадровый учёт, база данных клиентов.

Состав, результат анализа ПДн, обрабатываемых в ИСПДн, представлены в приложении Б.

Опираясь проведенный анализ сформированы следующие правила определения категории ПДн (относительно к составу ПДн) при объединении ПДн касающихся одного и того же лица:

если объединяются данные категории 4 (обезличенные), то полученный в результате массив данных также будет иметь 4 категорию;

если объединяются данные категории 4 (общедоступные), то полученный в результате массив данных также будет иметь 4 категорию;

если объединяются данные 3 категории (позволяющие идентифицировать субъекта ПДн) и данные категории 3 или 4 (при этом никакие данные из этих категорий не относятся к перечню данных входящих в категорию 1), то итоговый массив данных будет категории 2 (данные позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию);

если объединяются данные 2 категории и какие-либо данные категории 2-4 (при этом никакие данные из этих категорий не относятся к перечню данных входящих в категорию 1), то итоговый массив данных также будет иметь 2 категорию.

Отображение данных правил в табличной форме представлено в таблице 1.2.

Таблица 1.2 Итоговые категории объединяемых типов данных

Объединяемые типы ПДн	4 категория (обезличенные)	4 категория (общедоступные)	3 категория	2 категория
	входят в категорию 1	не входят в категорию 1
4 категория (обезличенные)	входят в категорию 1	4	4	1	1	1
	не входят в категорию 1		4	2	2	2
4 категория (общедоступные)			4	2	2
3 категория				2	2
2 категория					2
1 категория

В результате, в типовой распределенной ИСПДн обрабатываются ПДн 2 категории.

Классификация информационных систем персональных данных

В соответствии со статьей 19 из [1], оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.

В общем случае можно выделить следующие основные характеристики безопасности:

конфиденциальность ПДн;

целостность ПДн;

доступность ПДн.

Также возможны следующие дополнительные характеристики безопасности:

неотказуемость;

учетность (свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта (ИСО 7498-2:99));

аутентичность (свойство обеспечения идентичности субъекта или ресурса заявленной идентичности. Аутентичность применяется к таким субъектам как пользователи, процессы, системы и информация (ISO/IEC 13335-1:2004); - идентичность объекта тому, что заявлено);

адекватность (свойство соответствия преднамеренному поведению и результатам (ISO/IEC 13335-1:2004)).

Однако, учитывая необязательность их рассмотрения ([7], раздел «Определение характеристик безопасности») далее эти характеристики безопасности не рассматриваются.

Так как для распределенной ИСПДн кроме обеспечения конфиденциальности необходимо так же обеспечить целостность и доступность - ИСПДн является специальной (в соответствии с [3]). Класс специальных ИСПДн определяется на основе модели угроз безопасности ПДн.

В соответствии с порядком проведения классификации ИСПДн, установленным [3], ИСПДн подразделяются на следующие классы:

класс 1 (К1) - ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;

класс 2 (К2) - ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;

класс 3 (КЗ) - ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;

класс 4 (К4) - ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

1.2 Обзор СУБД

Несмотря на то, что технологии баз данных становятся все более распространенными в практике, многие разработчики прикладных систем, администраторы баз данных и конечные пользователи недостаточно хорошо понимают, что такое современные базы данных и системы управления базами данных (СУБД).

Во всей истории вычислительной техники можно проследить две основных области ее использования. Первая область - применение вычислительной техники для выполнения численных расчетов, которые слишком долго или вообще невозможно производить вручную. Вторая область - это использование средств вычислительной техники в автоматических или автоматизированных информационных системах. В самом широком смысле информационная система представляет собой программно-аппаратный комплекс, функции которого состоят в надежном хранении информации в памяти компьютера, выполнении специфических для данного приложения преобразований информации и/или вычислений, предоставлении пользователям удобного и легко осваиваемого интерфейса. Обычно такие системы имеют дело с большими объемами информации, и эта информация имеет достаточно сложную структуру.

Вторая область использования вычислительной техники возникла несколько позже первой. Это связано с тем, что на заре вычислительной техники возможности компьютеров по хранению информации были очень ограниченными.

Но поскольку в информационных системах требуется поддержка сложных структур данных, эти индивидуальные средства управления данными составляли существенную часть информационных систем, практически повторяясь (как программные компоненты) от одной системы к другой. Стремление выделить общую часть информационных систем, ответственную за управление сложно структурированными данными явилось первой побудительной причиной создания СУБД, которая, возможно, могла бы представлять некоторую общую библиотеку программ, доступную каждой информационной системе.

Однако очень скоро стало понятно, что невозможно обойтись такой общей библиотекой программ, реализующей над стандартной базовой файловой системой более сложные методы хранения данными.

Прежде чем приступить к конкретному обзору Систем Управления Базами Данных (СУБД), необходимо дать ряд определений терминам, использующимся для описания СУБД.

Данные - это информация, зафиксированная в определенной (структурированной) форме, пригодной для последующей обработки, хранения и передачи.

Банк Данных (БнД) - это информационная система, включающая в себя информационные, математические (алгоритмические), программные, языковые, организационные и технические средства (аппаратная платформа и операционная система) обеспечивающие в совокупности централизованную поддержку и коллективное использование данных пользователем БнД.

Языковые средства - языки, с помощью которых описывается структура данных (DDL) и языки манипулирование данными (DML - SQL).

База Данных (БД) - это структурированная определенным образом совокупность данных, относящихся к конкретной задаче.

Система Управления Базами Данных (СУБД) представляет собой комплекс инструментальных средств (программных и языковых) реализующих централизованное управление БД и обеспечивающих доступ к данным (изменения, добавления, удаления, резервного копирования и т.д.

По логическому представлению структуры данных СУБД делятся на несколько типов: реляционные, сетевые и иерархические. Главная характеристика, определяющая тип - это используемое представление данных.

Сегодня основы современной информационной технологии составляют базы данных (БД) и системы управления базами данных (СУБД), роль которых как единого средства хранения, обработки и доступа к большим объемам информации постоянно возрастает. При этом существенным является постоянное повышение объемов информации, хранимой в БД, что влечет за собой требование увеличения производительности таких систем. Резко возрастает также в разнообразных применениях спрос на интеллектуальный доступ к информации. Это особенно проявляется при организации логической обработки информации в системах баз знаний, на основе которых создаются современные экспертные системы. Быстрое развитие потребностей применений БД выдвигает новые требования к СУБД: поддержка широкого спектра типов представляемых данных и операций над ними (включая фактографические, документальные, картинно-графические данные); естественные и эффективные представления в БД разнообразных отношений между объектами предметных областей (например, пространственно-временных с обеспечением визуализации данных); поддержка непротиворечивости данных и реализация дедуктивных БД; обеспечение целостности БД в широком диапазоне разнообразных предметных областей и операционных обстановок; управление распределенными БД, интеграция неоднородных баз данных; существенное повышение надежности функционирования БД.

На российском рынке наиболее популярны СУБД Progress (Progress software), Oracle RDBMS v7 (Oracle), Microsoft SQL Server v6.5 (Microsoft), DB2 (IBM), Sybase System 11 (Sybase).

Oracle DB. Необходимость в защите данных растет вместе с повышением требований к конфиденциальности и расширением нормативно-правовой базы в сочетании с ростом угрозы со стороны хакеров, недобросовестного персонала, организованной преступности и других лиц, способных похитить ценные данные. Ситуация в сфере безопасности дополнительно усложняется из-за быстрого расширения доступа к конфиденциальным данным через Интернет, беспрецедентного уровня технической осведомленности, растущей экономической конкуренции и стремления организаций повысить эффективность за счет консолидации и облачных вычислений. Информация, уязвимая для атак, охватывает персональные данные, интеллектуальную собственность, данные кредитных карт, финансовую информацию, данные государственных организаций и конкурсные заявки. Среди методик атак -- взлом учетных записей привилегированных пользователей, использование уязвимых мест в приложениях, кража носителей и другие виды современных атак, известных как развитые устойчивые угрозы или целевые кибератаки (APT). В ответ на растущие угрозы был принят ряд нормативных актов, в том числе несколько государственных законов США о конфиденциальности, стандарт безопасности данных в индустрии платежных карт (PCI-DSS), закон о защите данных Великобритании, закон о защите личных данных Республики Корея и многие другие.

Для лучшего понимания приоритета защиты баз данных необходимо рассмотреть потенциальные источники уязвимости.

- Угрозы, направленные на операционную систему, позволяют обойти базу данных путем непосредственного доступа к файлам данных в обход защиты приложения, средств контроля доступа внутри базы данных, средств сетевой безопасности и шифрования дисков;

- Распространение рабочих данных за пределы системы безопасности производственной среды усложняет выполнение нормативных требований и повышает риск утечки информации;

- Конфиденциальная информация может быть раскрыта лицам, не имеющим служебной необходимости в доступе к ней, из-за недосмотра в процессе разработки или сложностей при изменении унаследованных приложений;

- Учетные записи привилегированных пользователей и приложения с чрезмерными привилегиями могут стать мишенью для узкоспециализированных атак или источником внутренних угроз;

- Нерегламентированный доступ к данным приложения со стороны привилегированных пользователей может нарушать внутренние политики, нормативные предписания и соглашения об уровне обслуживания, а также подвергать данные риску внешних атак;

- Обход приложения путем внедрения SQL-кода может открыть злоумышленникам или неавторизованным пользователям доступ к большому количеству конфиденциальной информации;

- Изменения конфигурации или изменения, создающие отклонение от внутренних стандартов развертывания и лучших практик обеспечения безопасности, могут сказаться на результатах аудита, нарушить непрерывность бизнес-процессов и повысить угрозу безопасности.

Для обеспечения безопасности и соответствия нормативам требуется детальная многоуровневая модель защиты, включающая средства предотвращения и обнаружения угроз, а также средства административного контроля. Средства контроля должны соответствовать уровню конфиденциальности данных, их расположению, среде и применимым нормативным актам. Кроме того, следует обратить внимание, как потеря, кража или несанкционированное использование данных повлияет на бизнес. Система безопасности Oracle Database 12c в сочетании с решениями Oracle Audit Vault and Database Firewall и Oracle Key Vault предоставляет беспрецедентные возможности защиты данных и борьбы с киберугрозами. Развертывание средств защиты Oracle Database 12c и управление ими несложно благодаря упрощенной установке и настройке, а также новому меню безопасности в Oracle Enterprise Manager 12c. Oracle Database 12c предлагает множество усовершенствований в сфере безопасности и новые возможности, включающие условный аудит, анализ привилегий, редакция данных, расширенное управление ключами шифрования, подлинную защиту приложений, обязательные области безопасности, оптимизацию производительности и многое другое. Средства безопасности полностью интегрированы в архитектуру Oracle Multitenant и могут настраиваться под отдельные подключаемые базы данных.

Предотвращение обхода базы данных. Обход средств защиты базы данных возможен из-за угрозы несанкционированного доступа к файлам целевой операционной системы и носителям с резервными копиями. Выбор этих объектов в качестве цели для атак упрощает действия злоумышленника, при этом не требуется доступа к базе данных, практически не создается записей аудита и полностью обходятся средства контроля доступа к связанным базам данных и приложениям. Одна из самых распространенных технологий для защиты от угроз обхода базы данных -- это шифрование. Ключевым фактором широкого признания технологий шифрования стало принятие законодательным собранием Калифорнии в 2003 г. законопроекта 1386 (SB1386). В этом документе тема шифрования была впервые представлена широкой аудитории благодаря положению, снимающему необходимость уведомления владельцев в случае, если скомпрометированные данные были зашифрованы. Сегодня необходимость защиты конфиденциальной информации становится глобальной проблемой по мере расширения производственной и коммерческой деятельности. Помимо законов о конфиденциальности, введенный в 2006 г. стандарт безопасности данных в индустрии платежных карт (PCI-DSS) обратил внимание общественности на вопросы безопасности и необходимость сделать данные владельца карты нечитаемыми при хранении и передаче.

Предотвращение доступа к данным на уровне ОС. Хотя шифрование информации на носителях резервных копий и их правильная утилизация -- самые известные способы обеспечения безопасности, все более сложные атаки производятся на сами серверы с целью получения доступа непосредственно к файлам данных, содержащим конфиденциальную информацию. Oracle Advanced Security в Oracle Database 12c обеспечивает лучшие в отрасли механизмы шифрования, в том числе прозрачное шифрование данных (TDE), и редактирование отображаемых данных, крайне необходимые для защиты конфиденциальных данных приложения. TDE помогает предотвратить несанкционированный доступ к конфиденциальной информации посредством прямого обращения к операционной системе, носителям резервных копий и экспортированным базам данных. Конфиденциальные данные, такие как информация о кредитных картах или номера социального страхования, могут быть автоматически зашифрованы при записи на физические носители информации и храниться в защищенном формате.

Путем шифрования данных TDE защищает конфиденциальную информацию в среде базы данных от несанкционированного доступа извне и не дает привилегированным и другим пользователям операционной системы напрямую обращаться к такой информации в файлах базы данных. TDE также обеспечивает защиту в случае кражи, потери или ненадлежащей утилизации физических носителей информации и резервных копий базы данных

Управление ключами шифрования. Oracle Key Vault (OKV) позволяет заказчикам быстро внедрять шифрование и другие решения для обеспечения безопасности благодаря централизованному управлению ключами шифрования, бумажниками Oracle Wallet, хранилищами ключей Java и файлами учетных данных. Хранилище OKV оптимизировано для управления главными ключами Oracle Advanced Security TDE. Это полнофункциональное программное решение с высоким уровнем безопасности использует Oracle Linux и технологии Oracle Database для обеспечения защиты, доступности и масштабируемости. Браузерная консоль управления упрощает администрирование OKV, подготовку конечных точек серверов, безопасное управление группами ключей и создание отчетов об обращениях к ключам. Для распределения обязанностей роли администраторов можно разделить по функциям управления ключами, системой и аудитом.

Уменьшение вероятности раскрытия конфиденциальных данных. Ограничение распространения конфиденциальных данных и контроль доступа к ним -- широко известный принцип безопасности. Однако теперь понятно, что можно значительно усилить контроль доступа к конфиденциальным данным, не снижая эффективности операционной деятельности бизнеса. Цель состоит в том, чтобы сократить спектр возможных атак путем ограничения ненужного распространения конфиденциальных данных за пределы консолидированной базы данных. Такое распространение может происходить из-за неграмотно спроектированных приложений, отображающих конфиденциальные данные, пересылки копий рабочих данных в среды тестирования и разработки или при обмене данными с бизнес-партнерами. Независимо от пути распространения, излишнее раскрытие конфиденциальной информации облегчает взлом и другие способы несанкционированного доступа и затрудняет обнаружение таких событий.

Предотвращение обхода приложений. Распространенной чертой многих кибератак и утечек конфиденциальной информации является использование учетных данных привилегированных пользователей для получения полного доступа к базе данных. Некоторые из таких атак выполняются внутренними пользователями, другие -- хакерами. Учетные записи привилегированных пользователей базы данных со свободным круглосуточным доступом к данным приложения представляют собой основную цель для злоумышленников [9]. Для борьбы с такими атаками требуются методы глубокой защиты. Необходимый уровень контроля безопасности зависит от приложения и степени конфиденциальности данных. Например, контроль привилегированных пользователей может быть крайне необходим в производственных системах, но менее важен в системах тестирования и разработки, где конфиденциальные данные были замаскированы и заменены на фиктивные. Сразу несколько превентивных средств контроля могут применяться в системах высокой важности, и только часть из них -- в менее важных системах. Защита от обхода привилегированными пользователями Oracle Database Vault помогает предотвратить утечку данных и повысить общую безопасность базы данных с помощью средств контроля над привилегированными пользователями, конфигурациями и разделением обязанностей. Правильная настройка этих средств контроля может создать безопасную среду базы данных, защитить от внутренних и внешних атак и предотвратить несанкционированные изменения, которые могли бы привести к невозможности выявления нарушений при аудите или открыть дверь для хакеров [10].

Предотвращение несанкционированных изменений. Средства контроля выполнения команд SQL в Oracle Database Vault позволяют контролировать операции внутри базы данных для предотвращения несанкционированных изменений в производственной среде, которые могут негативно повлиять на состояние безопасности и соответствие нормативам. Несанкционированные изменения могут значительно ослабить защиту базы данных, сказаться на результатах аудита, нарушить соответствие нормативам и привести к утечкам данных. Средства контроля выполнения команд SQL позволяют полностью блокировать потенциально опасные операции или выполнять контрольную проверку стандартных параметров, таких как IP-адрес, метод аутентификации и имя программы. Средства контроля выполнения команд SQL можно настроить для команд database connect, create table, truncate table, create directory, create database link, create user и многих других. Они предотвращают случайные изменения конфигурации и не позволяют хакерам и злоумышленникам внутри организации манипулировать приложениями. Определение минимальных привилегий Oracle Database Vault в Oracle Database 12c предоставляет новую функцию анализа привилегий. Анализ привилегий Oracle Database Vault помогает повысить безопасность приложений путем определения фактически используемых привилегий во время выполнения. Привилегии, которые определены как неиспользуемые, можно рассмотреть на предмет возможной их отмены, что поможет сократить спектр потенциальных атак и реализовать модель минимальных привилегий.

Обнаружение внутренних и внешних угроз [11]. Соблюдение нормативных требований и снижение риска взломов являются одними из приоритетных задач обеспечения безопасности в современных условиях. Традиционные брандмауэры по периметру сети организации играют важную роль в защите центров обработки данных от несанкционированного доступа извне, но сейчас появляются все более сложные виды атак, которые обходят периметр безопасности, используют доверенные промежуточные уровни и даже маскируются под привилегированных внутренних пользователей. Исследование множества инцидентов нарушения безопасности показало, что своевременная проверка данных аудита могла помочь выявить несанкционированную деятельность уже на ранних этапах и уменьшить последовавшие финансовые убытки. Согласно различным исследованиям и опросам, значительный процент взломов с утечкой данных был совершен при использовании учетных данных внутренних пользователей, обычно с расширенным уровнем доступа к системам и данным.

Чтобы повысить эффективность аудита внутри базы данных, для упрощения настройки и управления Oracle Database 12c представляет функцию условного аудита на основе политик. Политики включают в себя параметры аудита, а условия позволяют ускорить процесс аудита на основе параметров, связанных с сессией базы данных. Например, можно определить политику аудита, которая проверяет все действия за пределами указанного IP-адреса и имени пользователя. Соединения вне политики могут проверяться полностью, в то время как для других соединений не будут создаваться никакие данные аудита, что позволит сделать аудит избирательным и высокоэффективным.

Мониторинг данных аудита Компонент Audit Vault в решении Oracle Audit Vault and Database Firewall помогает реализовать принцип «доверяй, но проверяй» путем консолидации и мониторинга данных аудита из баз данных Oracle и не Oracle, Microsoft Active Directory, Microsoft Windows, Oracle Solaris, Oracle Linux и кластерной файловой системы Oracle ASM. Модульная архитектура консолидирует пользовательские данные аудита из таблиц приложений и других источников. Нативные данные аудита предоставляют возможность для комплексного обзора деятельности базы данных с полным контекстом выполнения команд, независимо от того, была команда выполнена напрямую, с использованием динамических SQL или через хранимые процедуры.

Данные аудита из баз данных автоматически удаляются после перемещения на сервер Audit Vault. Сервер Audit Vault поддерживает политики хранения данных в течение нескольких дней, недель или лет в зависимости от источника, что позволяет соответствовать внутренним или внешним нормативным требованиям.

Разработка защищенных приложений. Большинство приложений, разработанных за последние 20 лет, используют 3-уровневую архитектуру и подключаются к базе данных как один большой пользователь приложения. Эти изменения в моделях безопасности обусловлены развитием Интернета и, следовательно, возможностью сделать приложения легкодоступными, а также необходимостью масштабирования для тысяч пользователей. В то же время такие требования, как распространение идентификационных данных, детальный контроль доступа и аудит, стали важными средствами управления безопасностью. Кроме того, появляются все новые требования конфиденциальности и соответствия нормативам, а угрозы утечек конфиденциальной информации продолжают развиваться. В действительности количество, масштаб и частота утечек все время увеличиваются. Корпорация Oracle первой начала разрабатывать расширенные функции безопасности баз данных для соответствия новым требованиям. Это такие технологии, как Oracle Virtual Private Database и Oracle Label Security. В Oracle Database 12c впервые представлена платформа авторизации баз данных нового поколения Real Application Security -- самое передовое в отрасли решение для разработки защищенных приложений. Базовый детальный контроль доступа Решение Oracle Virtual Private Database (VPD), впервые представленное в Oracle8i, в настоящее время широко используется для реализации детального контроля доступа в приложениях. Оно позволяет разработчикам приложений связывать хранимый программный модуль PL/SQL с таблицей приложения, представлением или синонимом. Программный модуль срабатывает при обращении к объекту приложения через SQL. Он вычисляет предикат или условие where, которое добавляется к исходному SQL-оператору. Во многих случаях программный модуль опрашивает определенные таблицы метаданных, содержащие информацию о ролях и привилегиях пользователей, поскольку практически каждое современное приложение имеет собственный уникальный набор таблиц безопасности. Другой распространенный подход при использовании VPD -- инициализация контекста приложения Oracle, когда новый пользователь инициализируется в приложении.

Детальный контроль доступа на основе классификации. Контроль доступа к данным на основе классификации -- распространенный стандарт в средах правительственных и военных организаций, обычно называемый многоуровневой безопасностью [11]. Доступ к бизнес-объектам контролируется на основе метки классификации данных, которая присваивается объекту, и уровня полномочий пользователя. Классификация данных позволяет размещать информацию разной степени конфиденциальности в одной таблице приложения. Кроме обеспечения многоуровневой безопасности метки классификации можно использовать для изъятия или виртуального секционирования информации в одной таблице, что устраняет необходимость в специальных представлениях. Oracle Label Security назначает данным приложения метку или класс конфиденциальности и контролирует доступ, сравнивая метки данных с уровнем полномочий или правами доступа пользователя, сделавшего запрос. Метки данных добавляются в существующие таблицы в виде скрытых столбцов, что обеспечивает прозрачность для приложений, поскольку происходит опосредованный доступ к данным, но сама метка не возвращается в SQL-оператор.

Oracle Database 12c предоставляет самые передовые в отрасли функции обеспечения безопасности, включающие средства предотвращения и обнаружения угроз, а также средства административного контроля. Oracle Database 12c предлагает новые возможности, разработанные для обнаружения и предотвращения обычных и сложных атак: условный аудит, редакцию отображаемых данных, подлинную защиту приложений, анализ привилегий, усиленные средства контроля обхода приложений, новые административные роли для типовых задач и многое другое. Средства безопасности полностью интегрированы в архитектуру Oracle Multitenant и могут настраиваться под каждую подключаемую базу данных. Политики условного аудита в Oracle Database 12c упрощают конфигурацию аудита, что повышает значимость информации как для аудиторов, так и сотрудников службы безопасности. Риск раскрытия конфиденциальных данных в приложениях и других местах можно снизить с помощью редакции данных Oracle Advanced Security и средства Oracle Data Masking and Subsetting. Данные кредитных карт, даты рождения и другие личные сведения могут автоматически редактироваться перед возвратом в приложения. Данные, передаваемые партнерам внутри и за пределами организации, могут маскироваться, что позволяет уменьшить расходы для удовлетворения нормативным требованиям и другие расходы, связанные с утечкой данных. Управление ключами шифрования стало проще благодаря новому интерфейсу для Transparent Data Encryption (TDE), а новая роль в Oracle Database 12c обеспечивает усиленную защиту и разделение обязанностей для управления ключами шифрования. Недавно выпущенный продукт Oracle Key Vault ускоряет внедрение шифрования благодаря централизованному управлению ключами шифрования, бумажниками Oracle Wallet, хранилищами ключей Java и файлами учетных данных для всего предприятия. Средства контроля обхода приложений усилены с помощью усовершенствования областей Oracle Database Vault, что создает дополнительную мощную защиту для приложений и объектов высокой важности. Новая возможность анализа привилегий в Oracle Database Vault показывает, как реально используются привилегии и роли базы данных внутри приложения, помогая привести существующие и новые приложения к соблюдению принципа минимальных привилегий и сократить площадь возможных атак. Oracle Database 12c Real Application Security представляет новую мощную платформу авторизации для поддержки стандартов безопасности приложений, которая позволяет определять пользователей, роли и привилегии приложения в базе данных.



2. Анализ атак и уязвимостей баз данных

В 2010 году число утечек данных достигло рекордно высокого уровня, причем в 47 процентах атак злоумышленникам потребовалось лишь пара часов, а то и минут, чтобы проникнуть в систему и получить доступ к данным. В 44 процентах случаев для этого потребовалось несколько дней, согласно данным опубликованного в 2011 году совместного отчета компании Verizon и Секретной службы США о расследовании утечек данных. Итак, преступники проникают в систему -- причем быстро. А ответные действия часто оказывается запоздалыми. Время между взломом обороны и его обнаружением порой измерялось неделями (в 38 процентах случаев), а то и месяцами (в 36 процентах случаев).

Последовательный подход к вопросу нападения на СУБД является довольно разумным и именно его я буду рассматривать, поэтому начну рассматривать ситуацию, когда у злоумышленника нет никакой информации о системе, к которой он пытается получить доступ, равно как и никаких логических прав.

Для проникновения в СУБД, злоумышленнику придется пройти через межсетевой экран, который преграждает ему путь в СУБД.

Межсетевой экран - программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах прошлого столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.

Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как «своего» и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда. Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов, в том числе и встроенных в операционные системы (например, Network Monitor в Windows NT 4.0). Его можно подобрать при помощи специальных программ, доступных в Internet, например, при помощи L0phtCrack для Windows или Crack для Unix.

Таким образом даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем.

VPN (Virtual Private Network -- виртуальная частная сеть) -- обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений, передаваемых по логической сети сообщений).

Единственное, за что он можем «зацепиться» в таком случае, это открытые порты сервера, на котором функционирует СУБД. Oracle обладает как минимум одним сетевым сервисом, который обеспечивает сетевое функционирование СУБД и, как правило, всегда запущен, - это сетевая служба TNS Listener (далее - Листенер). Разумеется, возможна ситуация, когда на сервере установлены дополнительные компоненты системы, такие как Oracle Application Server и прочие сервисы, но сейчас нас интересует самая типичная ситуация. И первое, с чем нужно ознакомиться злоумышленнику, так и администратору, имеющим дело с Oracle, это с Листенером. Листенер Oracle - компонент сетевого доступа к СУБД Oracle. Это отдельный процесс, который принимает по своему протоколу клиентские запросы на соединение и направляет их для обработки в соответствующий серверный процесс СУБД. Листенер поддерживает соединения по протоколам SNMP и SSL. Обычно атаки на Листенер рассматриваются как первый этап цепочки атак на СУБД. Со ответственно, вероятность компрометации СУБД в большой степени зависит от правильной конфигурации Листенера. Незащищенный (неправильно сконфигурированный с точки зрения безопасности) Листенер предоставляет нарушителю возможность осуществления огромного спектра атак, включая удаленное выполнение команд и атаки типа «отказ в обслуживании».

Сетевая служба TNS Listener - достаточно мощный инструмент, почти полностью контролирующий доступ к СУБД и предоставляющий возможность доступа к командам ОС. Листенер состоит из двух исполняемых и нескольких конфигурационных файлов. Исполняемые файлы tnslsnr и lsnrctl расположены в директории $ORACLE_ HOME/bin (переменная $ORACLE_HOME отображает путь к директории, в которую установлена СУБД). Конфигурационные файлы расположены в директории $ORACLE_HOME/network/admin. Рассмотрим подробнее назначение этих файлов.

Tnslsnr - отвечает за весь основной функционал службы - процесс tnslsnr, который выполняет роль прокси-сервера и перенаправляет запросы от клиента непосредственно к СУБД. Процесс tnslsnr по умолчанию запускается с привилегиями пользователя Oracle в ОС UNIX и с привилегиями пользователя Local System в ОС Windows NT/2000/2003. Так как учетная запись «oracle», создаваемая при установке СУБД на UNIXсистемах, не имеет административных привилегий, риск поставить под угрозу весь сервер при компрометации Листене ра в UNIXсистемах по умолчанию ниже.

Lsnrctl - является консольной утилитой, используемой для администрирования Листенера. С ее помощью можно управлять Листенером как локально, так и удаленно. Команды управления включают в себя возможность настройки протоколирования событий, смены пароля или удаленного перезапуска Листенера.

Sqlnet.ora - этот конфигурационный файл отвечает за сетевые настройки Листенера. В нем нас прежде всего интересуют опции, связанные с безопасностью - это настройки шифрования передачи данных, аутентификации и разграничения прав доступа к Листенеру по IP адресам (Valid Node Checking).

Listener.ora - этот конфигурационный файл отвечает за связь Листенера с СУБД. Для нас важнейшим моментом является хранимая в нем строка подключения, которая со держит такие параметры подключения, как системный идентификатор (SID) и порт, на который будут приниматься запросы для данного SID

Tnsnames.ora - этом файле хранится соответствие кратких имен (Net Service Names) длинным дескрипторам соединений для упрощения межсетевого взаимодействия. Нам это файл интересен тем, что в нем может находиться информация о SSL сертификатах, используемых для аутентификации. В нем также могут храниться данные для подключения к другим серверам СУБД, в том числе и SID.

Для версий СУБД Oracle ниже 10g по умолчанию возможно неавторизированное подключение к службе Листенера и осуществление удаленного управления сервисом. В общем случае злоумышленник может выполнить следующие действия:

- получить детальную информацию об атакуемой системе:

§ имена сервисов (SERVICE_NAME) и системные идентификаторы (SID); - версию СУБД;

§ пути к журналам регистрации событий;

§ версию ОС, на которой установлена СУБД;

§ переменные окружения (ORACLE_HOME и т.п.);

- произвести атаку на отказ в обслуживании;

- выполнить SQL команды от имени администратора БД (DBA);

- получить удаленный доступ к системе.

Для получения детальной информации о системе используется стандартная утилита lsnrctl, входящая в набор устанавливаемых с клиентом для СУБД Oracle утилит. Для получения информации о конфигурации службы Листенера можно воспользоваться командой status.

Ответ сервера содержит много интересной информации:

- SID базы данных;

- версия СУБД;

- пути к log файлу;

- операционная система, на которой установлена СУБД;

- переменная окружения ORACLE_HOME;

- дополнительные приложения, установленные на сервере.

Через захват службы Листенера злоумышленник может выполнить атаки типа:

- Отказ в обслуживании;

- Добавление пользователя с правами DBA;

- Получение административных прав на сервере;

- Удаленная остановка Листенера;

- Возможна смена пароля на Листенер и как следствие закрытие администратору доступа.

После захвата службы Листенер злоумышленник попытается подключиться к СУБД, если целью атаки было захват информации.

Для подключения к СУБД Oracle необходимо знание пяти параметров:

- IP адрес сервера;

- порт службы TNS Listener;

- системный идентификатор (System Identifier [SID]) или имя сервиса (Ser vice Name);

- имя пользователя;

- пароль.

Далее мы рассмотрим, как в БД Oracle получить эти данные.

SID Каждый экземпляр базы данных идентифицируется с помощью SID (System IDentifier - системный идентификатор). Экземпляр - это понятие, логически включающее все те компоненты, которые необходимы для доступа к информации в БД. SID состоит из алфавитно-цифровых символов, хранится в переменной среды ORACLE_SID и используется утилитами и сетевыми компонентами для доступа к СУБД. SERVICE NAME Имя сервиса - это сравнительно новое понятие, введенное начиная с СУБД Oracle 8i. SERVICE_NAMES определяют одно или ряд имен для подключения к одному экземпляру базы данных, то есть можно указать несколько имен сервиса, ссылающихся на один экземпляр, с различными настройками. Знание того и другого значения поможет нам подключиться к СУБД.

Получение IP адреса и порта не вызывают каких-либо затруднений. Что касается SID базы данных или SERVICE_NAME, то в старых версиях их можно получить при помощи утилиты lsnrctl.

В выводе команды мы можем видеть имя сервиса и экземпляр базы данных, он же - SID. Для того чтобы подключиться к СУБД, зная имя сервиса, а также имя пользователя и пароль можно воспользоваться утилитой sqlplus,

Таким образом, нашей первостепенной целью является получение SID или SERVICE_NAME базы данных.

Как уже было сказано выше, получить SID можно при помощи утилиты lsnrctl, точнее, можно было в старых версиях СУБД. В случае если мы имеем дело с версией СУБД Oracle 10g R1 и выше, то в ней по умолчанию включена опция LOCAL_OS_AUTHENTICATION, и командой services или status получить SID не удастся, тем самым доступ к СУБД будет осложнен.

Аналогичная ситуация произойдет в случае установки пароля на Листенер версии 10g R2 и выше, там команды services или status также не выдают SID (точнее, эти команды запрещены вообще). Но даже в случае защиты службы Листенера в новых версиях существует множество способов получения имени базы данных. Вопрос альтернативных подходов к определению SID базы данных является весьма актуальным и может стать первым шагом на пути к получению административного доступа ко всей СУБД. В связи с этим, мной были проведены исследования в этой области в результате чего были изучены существующие методы и найдено несколько новых, которые будут представлены в этой главе. Рассмотрим, какие способы получения SID существуют на данный момент и насколько вероятно использование этих способов на практике. Все существующие способы можно разбить на три группы:

- подбор SID;

- утечки информации из сторонних приложений;

- комбинированные методы с использованием Data Mining.

Первое, что приходит на ум в случае, если нам нужно узнать какое-нибудь не известное значение, это попытаться подобрать его. Подбирать SID можно тремя способами:

- проверкой на стандартные значения SID;

- перебором SID по словарю;

- подбором SID методом полного перебора (Brute force).

Проверки рекомендуется выполнять в очередности, указанной выше.

Зачастую администраторы оставляют SID, предлагаемый по умолчанию в процессе установки самой СУБД или сторонних приложений, таких как, SAP или Oracle ЕBS. Например, стандартным SID при установке версии Oracle 10G является orcl, а стандартное значение SID при установке Oracle 10g Express Edition - XE.

Для того чтобы проверить все SID, перечис ленные в этом списке, можно воспользоваться утилитами, реализующими атаку перебора SID по словарю. Самыми известными утилитами такого рода являются:

- sidguess - утилита, написанная специалистами из RedDatabaseSecurity для подбора SID по словарю и методом полного перебора;

...