ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2023
Просмотров: 34
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Рис. 1 Мониторинг обращений к БД
Обеспечение информационной безопасности БД при использовании Гарды БД осуществляется за счет следующих возможностей системы:
позволяет формулировать критерии анализа и ставить их на контроль;
информирует пользователя системы о наступлении подозрительных событий в соответствии с за- ранее сформированными критериями анализа;
предоставляет доступ к данным аудита операций с БД, полученным в результате работы системы; предоставляет пользователю, обладающему соответствующими правами, возможности для настройки
всех компонентов системы. Преимущества Гарда БД:
отсутствие влияния на производительность СУБД;
невозможность вмешательства в работу аудита со стороны администраторов БД;
контроль всех обращений и операций с БД независимо от пользователя и приложения (авториза- ция, доступ к данным, изменение схемы данных, изменение данных, изменение прав доступа и т.д.);
предоставление дополнительной статистической информации по каждому событию (дата / время события, объем передаваемых данных, логин, IP-адрес и порт источника / приемника и т.д.);
построение статистических отчетов, ведение журналов событий независимость от топологии системы БД;
контроль нескольких независимых БД с единого центра управления; высокие скорости обработки данных (1 Гбит/сек и выше);
удобный интерфейс с механизмом уведомления пользователей системы в режиме реального време- ни.
Защита БД осуществляется за счет отслеживания подозрительных операций с БД. Подозрительные
операции идентифицируются на основании заранее заданных технических параметров, или критериев анализа.
В системе реализованы следующие типы критериев анализа:
IP-адрес клиента;
имя пользователя в БД; имя пользователя в ОС;
название клиентского приложения, используемого пользователем; результат аутентификации (успешная / неуспешная)
дата / время запроса;
имя объекта БД (таблицы, синонимы, представления, процедуры, функции); список запрашиваемых / передаваемых полей объекта БД;
объем данных ответа, превышающий указанную величину; объем данных запроса, превышающий указанную величину; тип команды SQL (SELECT/ALTER USER/DROP VIEW и др.); логические комбинации любых приведенных выше критериев. Структура системы включает:
Один анализатор на каждую БД;
до двух сетевых интерфейсов на каждую БД;
одновременный мониторинг нескольких БД с одного центра управления. [6]
В отличие от системы «Гарда БД», «Secret Net» представлена автономным и сетевым вариантами. Secret Net предназначен для защиты информации, составляющей коммерческую или государствен-
ную тайну или относящейся к персональным данным. Является эффективным средством защиты от внутренних (инсайдерских) угроз, может применяться как на автономных станциях, так и в инфор- мационных сетях.
Автономный вариант состоит из клиентской части Secret Net и предназначен для обеспечения защиты автономных компьютеров или рабочих станций и серверов сети.
Сетевой вариант – состоит из клиентской части, подсистемы управления и сервера безопасно- сти. Это позволяет реализовать защиту, как всех компьютеров сети, так и рабочих станций обра- батывающих и хранящих информацию ограниченного доступа. Наличие сервера безопасности и подси- стемы управления, позволяет обеспечить централизованное управление рабочими станциями и кон-
троль их работы. Система Secret Net построена на архитектуре клиент-сервер, которая обеспечи- вает централизованное хранение и обработка настроек системы защиты и распределяет работу ком- понентов, отвечающих за информационную безопасность.
Система защиты информации Secret Net обеспечивает:
идентификацию пользователей аппаратными средствами (Touch Memory, Proximity Card); мандатный доступ пользователей к данным;
дискреционное управление доступом к конкретным файлам (на локальных и удаленных дисках) в соответствии со степенью конфиденциальности сведений и уровнем допуска пользователя;
возможность подключения и использования криптографических средств защиты, а так же органи- зация обмена данными между рабочими станциями в криптографически защищенном виде;
централизованное управление доступом пользователей к общим ресурсам локальной сети; контроль работы пользователей;
контроль целостности прикладных программ. [7]
Из всех выше перечисленных систем, система «Chameleon» имеет свой плюс – присутствует аппа- ратное средство защиты информации.
Chameleon – это система защиты коммерческой информации и персональных данных (БД, файловых архивов, электронной переписки и приложений) на серверах и ПК от принудительного изъятия или кражи. Система основана на надежном шифровании данных.
Основные возможности системы:
надежная защита любой конфиденциальной информации, которая может быть размещена на элек- тронных носителях, т.е. любых БД, файловых архивов, переписки по электронной почте;
защита приложений. На зашифрованном диске можно установить различные программные продукты, которые будут доступны и видны операционной системе (ОС) только после подключения диска;
оперативная блокировка доступа к
информации в экстренных ситуациях;
сокрытие самого факта наличия конфиденциальной информации и компрометирующих приложений от посторонних;
высокая скорость работы;
доступ к ложной информации под «принуждением».
Вся конфиденциальная информация хранится в зашифрованной области на жестком диске (может быть зашифрован и весь жесткий диск целиком). Для создания шифрованных разделов используется бесплатно распространяемая программа TrueCrypt (www.truecrypt.org) с открытыми кодами.
В качестве алгоритмов шифрования могут быть использованы открытые алгоритмы, такие как AES, Serpent, Blowfish и др.
Шифрование информации ведется «на лету», т.е. Вы работаете с шифрованным разделом как с обычным жестким диском.
Возможность мгновенного отключения всех зашифрованных дисков при нажатии "красной кнопки". Использование для шифрования данных криптостойких алгоритмов с длиной ключа от 128 бит.
Наличие интерфейса для подключения различных устройств, с которых может подаваться сигнал тревоги - "красных кнопок", радио-брелков, датчиков и устройств контроля доступа в помещение.
При отключении питания носители информации отключаются автоматически. Надежное удаление информации обо всех недавно открытых документах.
Возможность запуска маскирующих приложений.
На сервер, на котором находится диск с зашифрованными данными, устанавливается серверная часть ПО. На компьютеры-клиенты устанавливается клиентская часть. Аппаратные компоненты ком- плекса, радиобрелки, «красные кнопки», GSM-модемы, могут быть подключены как к серверу, так и к клиентским компьютерам. Подключение аппаратной части осуществляется через COM-порт.
И клиентская и серверная части программного комплекса
, состоят из двух компонентов – это менеджер задач и исполняемый сервис. В менеджере задач хранятся все аппаратные настройки ком- плекса и последовательность действий, которую необходимо совершить при возникновении нештатной ситуации. Сервис служит «сторожевым псом». Он постоянно отслеживает нештатные ситуации, в слу- чае возникновения которой выполняет действия, запрограммированные в менеджере задач. Такими действиями могут быть:
отключение диска с зашифрованной информацией; перезагрузка или выключение компьютера; запуск приложений;
остановка приложений; выключения компьютера; уничтожение файлов и т.д.
Аппаратные компоненты комплекса, могут быть установлены на любом компьютере, входящем в за- щищаемую локальную сеть. Единственное ограничение – это то, что питание на устройства берется с блока питания компьютера, к которому они подключены. Т.е. Вы можете и радиокнопку и GSM- модем подключить к любому компьютеру в сети, но желательно устанавливать их на компьютер (сер- вер), оборудованный резервной системой питания (бесперебойным источником), поскольку это обес- печит надежность срабатывания всей системы в целом. При возникновении экстренной ситуации сер- вис, запущенный на компьютере, отсылает серверу сообщение, после чего сервер дает команду всем клиентам локальной сети выполнить задания, которые содержит их менеджер задач. [8]
СУБД Oracle имеет поддержку использования других программных средств, например, «Аладдин Р.Д.».
Суть метода состоит в применении штатных механизмов инфраструктуры открытых ключей и орга- низации доступа пользователей к информации по предъявлению цифровых сертификатов Х.509, под- держиваемых средствами Oracle Advanced Security, в двух уровнях: для аутентификации в корпора- тивной сети (например, под управлением Microsoft Windows Server 2000/2003) и для доступа к конфиденциальным данным, которые обрабатываются и хранятся на серверах Oracle. Оба сертификата хранятся в персональном идентификаторе