Защита «бумажная» и реальная

«Крипто БД» представляет собой программно-аппаратный комплекс для обеспечения конфиденциальности и целостности информации в СУБД Oracle, использующий электронные ключи и смарт-карты eToken для хранения ключевой информации. По словам разработчиков, с помощью «Крипто БД» можно выборочно шифровать произвольное число колонок таблиц в СУБД Oracle, что заметно снижает нагрузку на аппаратные ресурсы по сравнению с шифрованием всего массива информации базы данных.

Комплекс «Крипто БД» состоит из сервера баз данных, клиентского ПО eToken SecurLogon, консоли управления ключами и паролями, рабочей станции коллектора аудита (предлагается опционально). Решение совместимо с Oracle Database в редакциях Standard/Enterprise Edition версий 9i/10g/11g. На клиентских машинах оно работает под управлением ОС Windows XP/Vista (32/64 бит). Лицензируется «Крипто БД» по модели «клиент-сервер»: с использованием серверных лицензий и лицензий клиентского доступа.

Руководитель направления защиты баз данных компании «Аладдин Р.Д.» Александр Додохов пояснил, что выбор СУБД Oracle не случаен: «сегодня это доминирующая платформа на российском рынке, кроме того, она имеет наилучшие штатные средства защиты». СУБД Oracle используют многие российские компании, в том числе государственные организации, которые могут применять только сертифицированные, соответствующие требованиям регуляторов средства защиты информации.

Наличие сертификата ФСБ России означает, что решение «Крипто БД»  могут использовать, в том числе, государственные органы власти, а также банки, коммерческие организации, перед которыми стоит задача защиты конфиденциальных данных в базах данных Oracle.

Александр Додохов отметил, что защиту информации в базе данных можно представить двояко: как «бумажную» и реальную. «Бумажная» - это наличие необходимых сертификатов. Однако понятно, что реальная защита – это задача нетривиальная. Любая компания, которую заботит защита информации в базе данных, вынуждена отвечать на целый ряд вопросов. Например, имеет ли СУБД штатные средства защиты, если – да, то реально ли они защищают от несанкционированного доступа? Есть ли наложенные средства защиты информации для данной конкретной СУБД, насколько они эффективны? Используемые приложения позволяют использовать встроенные или наложенные СЗИ? Насколько «утежеляет» работу приложения использование СЗИ? Какова стоимость системы защиты информации, стоимость технической поддержки? Живы ли разработчики СЗИ? Имеются ли сертификаты?

Штатные средства могут защитить информацию от посягательств простого пользователя. Чтобы защитить информацию от действий сисадмина, нужны встроенные или наложенные средства, к которым относится «Крипто БД». По словам Александра Додохова, этим решением разработчики постарались ответить практически на все, перечисленные выше, вопросы.

По статистике, собранной Verizon Investigative Response и United States Security Services,  в 2010 году 98% утечек происходит с серверов. Именно на сервере хранится большая часть корпоративной информации. 70% утечек – это результат действий внешних агентов, 48% утечек были вызваны инсайдерами, 11%  - инициировано соучастниками их бизнес-партеров, 27% утечек произошло по вине участников нескольких категорий злоумышленников.

Утечки осуществляются в 48% случаев пользователями, неправомерно присвоившими себе  несоответствующие их должностным полномочиям привилегии. 40% случаев вызвано действиями хакеров. 38% утечек вызвано вредоносным ПО, 28% утечек провоцируется социальными методами (например, подарок секретарше). 15% приходится на физические атаки.

За последний год стала заметна тенденция кражи хакерами не самой информации, а учетных записей. То же и с вредоносным ПО. Здесь также вектор сместился в сторону кражи учетных записей.

«Крипто БД», по словам Александра Додохова, с помощью функций шифрования данных и дискретного разграничения доступа устраняет первые три вида утечек. Риск физических атак  уменьшается также с помощью шифрования данных. Чтобы исключить риски, связанные с социальными методами добывания конфиденциальной информации, продукт имеет функцию мониторинга и аудита.

Областью применения «Крипто БД» являются информационные системы с приложениями «Клиент-сервер» (возможно «прозрачное» встраивание в 95% информационных систем), многозвенные приложения ИС, терминальный доступ (для этого требуется дополнительный анализ ИС в зависимости от потребностей заказчика), автоматические процессы. Нижний предел стоимости серверной лицензии продукта – 300 тысяч рублей.

Что касается ограничений, то «Крипто БД» не применимо для защиты гостайны, продукт осуществляет криптографическую защиту по классам КС1 и КС2. При использовании в качестве наложенного средства, «Крипто БД» вызывает деградацию производительности 5-35%.

Заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов рассказал, что в ближайших планах компании намечено развитие функциональных возможностей «Крипто БД». Имеется в виду реализация поддержки работы решения с тонкими клиентами и различными ключевыми носителями, представленными на российском рынке, использование eToken GOST на рабочих станциях клиентов. Компания также планирует завершить сертификацию «Крипто БД» во ФСТЭК России на использование этого решения для защиты автоматизированных систем до уровня 1В включительно и ИСПДн 1 класса включительно. Намечена сертификация по уровню защиты КС3. Планируется провести интеграцию со встроенными средствами разделения доступа Oracle (сертифицированные версии).

Ранее по этой теме:

1. 10.11.2010 Kraftway совместно с компанией Aladdin Security Solutions R. D. разработала программно-аппаратный комплекс «Ключ доверенной загрузки»
2. 27.10.2010 Digital Security и Aladdin: комплексный подход к защите ДБО
3. 22.09.2010 Aladdin выпускает Secret Disk Enterprise для защиты данных крупного бизнеса
4. 21.09.2010 Нужен не продукт, но инфраструктура комплексной защиты информации