Хищение информации из баз данных: некоторые способы борьбы с ними

Оглавление

Введение 3

Можно ли остановить хищение информации из баз данных? 4

Технические способы защиты 5

Чтобы снизить риски от внутренних угроз с помощью технических средств защиты, следует применять: 6

Методы противодействия типовым угрозам 12

Продукты, обеспечивающие защиту от хищения информации 16

Заключение 17

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Защита баз данных является одной  из самых сложных задач, стоящих  перед подразделениями, отвечающими  за обеспечение информационной безопасности. С одной стороны, для работы с  базой необходимо предоставлять  доступ к данным всем сотрудникам, кто  по долгу службы должен осуществлять сбор, обработку, хранение и передачу конфиденциальных данных. С другой стороны, укрупнение баз данных далеко не всегда имеет централизованную архитектуру (наблюдается ярко выраженная тенденция  к территориально распределенной системе), в связи с чем действия нарушителей становятся все более изощренными. При этом четкой и ясной методики комплексного решения задачи защиты баз данных, которую можно было бы применять во всех случаях, не существует, в каждой конкретной ситуации приходится находить индивидуальный подход.

Классический взгляд на решение  данной задачи включает обследование предприятия с целью выявления  таких угроз, как хищения, утрата, уничтожение, модификация, отказ от подлинности. На втором этапе следует  составление математических моделей  основных информационных потоков и  возможных нарушений, моделирование  типовых действий злоумышленников; на третьем - выработка комплексных  мер по пресечению и предупреждению возможных угроз с помощью  правовых, организационно-административных и технических мер защиты. Однако разнообразие деятельности предприятий, структуры бизнеса, информационных сетей и потоков информации, прикладных систем и способов организации доступа  к ним и т. д. не позволяет создать  универсальную методику решения.

Можно ли остановить хищение информации из баз данных?

 

Попробуем кратко сформулировать основные причины несанкционированного доступа к данным и поставленного  в ряде случаев на промышленные рельсы сбыта баз данных, содержащих персональные данные абонентов, партнеров или  сотрудников и коммерческие тайны  компаний.

Итак, имеются  следующие исходные данные:

-          многие не догадываются о том,  что их базы данных крадут;

-          кража и причиненный ущерб  имеют латентный характер;

-          если факт кражи данных установлен, большинство компаний замалчивают  причиненный ущерб. Одна из  причин этого – отсутствие  реальных механизмов сбора доказательной  базы по факту кражи конкретным  пользователем ресурсов;

-          технологии, позволяющие строго  персонифицировать действия пользователей  и разграничить их права, неизвестны  большинству руководителей;

-          возможность защиты данных от  системных администраторов также  малоизвестна, руководители предпочитают  считать их наиболее лояльными  сотрудниками;

-          бюджеты на информационную безопасность, как правило, невелики. Это не  позволяет решить проблему комплексно (введение штатных единиц, отвечающих  за информационную безопасность, формирование и реализация политик  безопасности, обучение персонала,  установка систем защиты и  т. д.).

 

Однако эффективные  способы защиты данных существуют даже в таких неблагоприятных условиях. Комплекс организационных, регламентирующих и административных мер при правильном подходе позволяет существенно  снизить риски утечки информации. Поскольку эти меры достаточно известны, обратимся к основным способам технической  защиты информации в базе данных.

Технические способы  защиты

 

В первую очередь  это управление доступом пользователей. Как известно, доказать безопасность системы проще всего при сведении реально работающей системы к  стандартным моделям безопасности. Однако модели дискреционного и мандатного доступа в большинстве случаев  не совсем удобны к применению на практике, поэтому в последнее время  возросла популярность моделей так  называемого ролевого управления доступом пользователей. С точки зрения перспективности, удобства управления и надежности, можно рекомендовать схемы ролевого управления, основанные на применении в качестве расширенных учетных  записей пользователей цифровых сертификатов Х.509. Для централизованного  управления доступом, в том числе  привилегированных пользователей (таких  как администраторы баз данных, системные  администраторы, администраторы прикладных систем) вводится роль администратора безопасности, назначающего и контролирующего  доступ к данным.

 

Эффективным способом защиты конфиденциальной информации, хранящейся в таблицах БД, может  оказаться ее шифрование с помощью  стойкого криптоалгоритма. Этим обеспечивается хранение информации в «нечитаемом» виде. Для получения «чистой» информации пользователи, имеющие санкционированный доступ к зашифрованным данным, имеют ключ и алгоритм расшифрования. При этом возникает проблема хранения ключей шифрования – вспомним хотя бы о «пароле под ковриком мыши».

 

Предположим, что проблема хранения ключей решена, и легальный пользователь решил  скопировать защищенную информацию, а это, отметим, он может сделать  совершенно свободно. Сопоставимый или  даже более значительный ущерб может  нанести передача ключа шифрования заинтересованному лицу. А если в качестве злоумышленника выступает администратор БД... Напрашивается вывод, что шифрование не решает всех проблем.

Чтобы снизить риски  от внутренних угроз с помощью  технических средств защиты, следует  применять:

 

-          строгую аутентификацию пользователя  и контроль доступа в соответствии  с ролевым управлением, регулируемым  офицером безопасности. Это дает  возможность персонализировать  доступ и существенно снизить  риск отказа пользователей от  совершенных ими действий;

-          шифрование трафика между клиентской  рабочей станцией и сервером  БД, что предотвратит попытки  кражи информации на сетевом  уровне;

-          криптографическое преобразование  тех данных, которые необходимо  защитить. Это значительно снизит  риск потери информации;

-          хранение аутентификационной информации и ключей шифрования на персонализированном съемном носителе, например, на смарт-карте или USB-ключе. Это позволит устранить проблему «забытых паролей» и повысить персональную ответственность сотрудника;

-          аудит критических (в плане  безопасности) действий пользователей  (желательно, нештатными средствами  аудита БД). Сочетание аудита и  строгой персонификации – достаточно  веский аргумент в пользу отказа  от противоправных действий для  потенциальных нарушителей.

 

Эффект от реализации подобного подхода будет  ощутимым, но явно недостаточным для  полного решения проблемы. Разработка и внедрение регламентов и  политик безопасности, организационные  меры, а также тренинги персонала  по работе с конфиденциальными данными  – все это направлено на повышение  личной ответственности каждого сотрудника и должно дополнять технические меры безопасности.

 

 

В наше время  трудно кого-либо удивить происшествиями в области информационной безопасности. Все чаще мы сталкиваемся с различными угрозами в этой области. Практически  каждый день приносит все новые и  новые сведения об атаках хакеров (заметим, только что обнаруженных и нередко  успешных), вирусных эпидемиях, атаках со стороны обиженных сотрудников. Именно последние становятся наибольшей угрозой в различных организациях.

 

Картина вырисовывается безрадостная, а выход состоит  в создании хорошо подготовленного  подразделения — службы защиты информации, или, как ее еще называют, службы компьютерной безопасности.

 

Казалось  бы, можно возложить эти задачи на системного администратора или в  крайнем случае создать отдельную  единицу — администратора информационной безопасности в составе ИТ- подразделений.

 

Допустим, вы решили выбрать один из этих двух вариантов. Давайте рассмотрим, к чему же это  приведет.

 

В первом случае системный администратор, фыркнув  про себя, повернется и уйдет, думая, что он и так занимается вопросами  информационной безопасности. Но у  него и без того масса работы, а следовательно, либо задачи по защите информации будут выполняться в  последнюю очередь, либо качество остальной  работы заведомо ухудшится. Кроме того, системный администратор, в силу своего подхода к решению подобных задач, постарается решить ее исключительно  техническими методами. И это приведет к тому, что задача решена не будет, так как информационная безопасность — это комплекс организационно-технических мер, и одних лишь технических методов решения здесь недостаточно.

 

Второй вариант  лучше предыдущего, но не намного. В  этом случае финансирование защиты информации будет осуществляться по остаточному  принципу. Будет ли руководство фирмы  прислушиваться к мнению какого-то там администратора информационной безопасности? Тем более если мнение последнего будет противоречить  мнению начальника службы ИТ? А ведь любое предположение администратора информационной безопасности будет «портить жизнь» персоналу ИТ-службы. Как вы думаете, долго ли начальник ИТ-службы будет терпеть самостоятельного администратора информационной безопасности?

 

Служба информационной безопасности должна быть самостоятельным  подразделением и подчиняться напрямую первому лицу в организации.

 

«Люди, ведающие воротами, оружием и охраной, зачастую действуют автономно от сотрудников, занимающихся ИТ, — комментирует Крис Кристиансен, аналитик IDC. — Необходимо, однако, иметь информацию о том, кто был в здании, куда пошел, к каким информационным системам мог получить доступ. Две службы, отвечающие за безопасность, должны работать скоординированно, и тогда каждая из них станет сильнее». Наверное, в будущем мы увидим объединение служб физической и информационной безопасности, однако, на мой взгляд, это эволюционный процесс и на данном этапе еще довольно сложно найти людей, которые были бы специалистами в обоих вопросах.

В большинстве  случаев специалисты в области  информационной безопасности ничего не понимают в безопасности физической, и наоборот, поэтому насильственное слияние двух подразделений будет  только мешать работе. Печальные свидетельства тому имеются в изобилии. При подчинении одной службы другой на подчиненной будут просто экономить. Зачем оплачивать то, чего не понимаешь! Мой практический опыт показал, что на данном этапе эти службы должны работать в тесном сотрудничестве, но не быть во взаимном подчинении.

 

Вместе с  тем стоит помнить, что не бизнес существует ради безопасности, а безопасность существует ради бизнеса! На предприятии  должна быть создана устойчивая «треугольная»  структура — «аудит — служба защиты информации — ИТ-служба». Необходимо четко определить границы ответственности, чтобы служба информационной безопасности не превратилась в не подвластного никому, все контролирующего монстра.

 

Как только речь заходит о средствах защиты информации, все сразу вспоминают межсетевые экраны и антивирусные программы, но это не панацея. Какое бы приложение вы ни купили, потребуется человек, который будет его обслуживать. Нет ничего хуже, чем великолепное антивирусное программное обеспечение, которое содержит старые антивирусные базы. Руководство уверено, что антивирусная защита существует, но ввиду быстрого устаревания антивирусных баз его  ценность равна нулю. То же касается и межсетевых экранов.

 

Нетрудно  подсчитать, что содержание службы информационной безопасности из трех человек (минимальный состав отдела информационной безопасности — начальник, аналитик и администратор ИБ) обойдется  компании намного дешевле возможных  убытков. Следует смириться с  тем, что данный отдел никогда  не будет приносить явную прибыль, однако его назначение — уменьшить  возможные убытки.

По сравнению  с физической безопасностью информационная находится еще на начальной стадии развития, образно говоря, в младенчестве. Она ориентирована на киберпространство, где все должно быть определено только при помощи нулей и единиц. Это приводит к непониманию со стороны руководства необходимости различных мер защиты. Чтобы обосновать приобретение соответствующих технических и программных средств, необходимо объяснить их назначение простым и понятным руководству языком.

 

Одним из способов защиты данных криптографическая защита данных. Защита данных с помощью  криптографических преобразований (преобразование данных шифрованием  и(или) выработкой имитовставки) - одно из возможных решений проблемы их безопасности. Криптографическая защита данных представляет собой шифрование данных с целью скрыть их смысл. До тех пор, пока пользователь не идентифицирован по ключу, смысл данных ему не доступен.

 

Ряд данных критичен к искажениям, которые нельзя обнаружить из контекста, поэтому используемые способы шифрования чувствительны  к искажению любого символа. Они  гарантируют не только высокую секретность, но и эффективное обнаружение  любых искажений или ошибок.

 

Криптографическая защита, не требуя больших затрат, обеспечивает надежную защиту данных в информационных и телекоммуникационных сетях (ИТКС). Вместе с тем необходимо понимать, что умелая поддержка ряда административных мер должна защитить саму криптографию, ее ключи и людей от возможного обмана или угроз применения физической силы.