6.n.danyukov oracle

1,033 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,033
On SlideShare
0
From Embeds
0
Number of Embeds
63
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

6.n.danyukov oracle

  1. 1. <Insert Picture Here> Опции безопасности в СУБД Oracle Николай Данюков к.т.н., ведущий консультант, Oracle CIS
  2. 2. Основные требования заказчиков Производительность Масштабируемость Надежность Безопасность Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  3. 3. Олег Смолий, главный специалист Управления по обеспечению безопасности ВТБ “… для коммерческой организации я бы поставил потерю репутации на первое место. Дело в том, что доброе имя нельзя создать в короткий срок, имея даже очень много денег. Организации тратят годы на то, чтобы сделать свою торговую марку узнаваемой, развивают лояльность марке со стороны клиентов. Между тем, всего одна утечка может разом перечеркнуть долгие годы усилий.” - InfoWatch, 31.01.07 Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  4. 4. Анна Усачева руководитель пресс-службы Мосгорсуда “… Александр Паймуллин был признан виновным в совершении преступления, предусмотренного ст.159 ч.4 УК РФ (мошенничество, т. е. хищение имущества в особо крупном размере), и ему было назначено наказание в виде 7 лет лишения свободы в колонии общего режима” Москва, 23 декабря 2008 Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  5. 5. Payment Card Industry (PCI) Data Security Standard Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  6. 6. Защита данных платежных карт • Требование 3: Должна быть обеспечена защита данных платежных карт при хранении Шифрование является важнейшей составляющей защиты данных платежных карт. В случае обхода мер по защите сети и получения доступа к зашифрованным данным злоумышленник не сможет узнать содержимое данных или воспользоваться ими без наличия корректных криптографических ключей. • 3.4 Номера PAN должны быть приведены к нечитаемому виду вне зависимости от места хранения (включая данные на портативных носителях, резервных копиях, в журналах, а также данные, полученные или сохраненные посредством беспроводных сетей) с помощью одного из перечисленных ниже способов: •… • надежная криптография совместно с процессами и процедурами управления ключами • … • Номер (PAN, Primary Account Number) • Имя держателя карты • Дата истечения срока действия • Сервисный код Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  7. 7. Transparent Data Encryption Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  8. 8. Oracle Advanced Security Transparent Data Encryption Диск Резервная копия Экспортированные данные Приложение Другие данные • Хранимые данные приведены к нечитаемому формату • Не требуется изменять приложение • Эффективное средство для всех типов данных • Встроенные средства управления ключами Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  9. 9. Защита на физическом уровне Прозрачное преобразование данных 75000 Зашифровывание Расшифровывание данных данных при записи при чтении 75000 ^#^*>* Шифрование Tablespace Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  10. 10. Защита на физическом уровне Прозрачное шифрование 75000 Зашифровывание Расшифровывание данных данных при записи при чтении 75000 ^#^*>* Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  11. 11. Защита на физическом уровне Прозрачное шифрование 75000 Зашифровывание Расшифровывание данных данных при записи при чтении 75000 ^#^*>* Шифрование симметричное (3DES168, AES128, AES192, AES256) Ключи шифрования защищаются внешним ключом Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  12. 12. Ключи прозрачного шифрования Мастер-ключ Мастер-ключ хранится в PKCS#12 wallet 11gR2 содержание Wallet (без видимых изменений) Утилиты для работы с wallet: (файл ewallet.p12) mkwallet, mkstore, orapki, owm Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  13. 13. Прозрачное шифрование Защита WALLET. Простые рекомендации • Измените права доступа к каталогу и wallet-файлу • Directory 700 (owner rwx), ewallet.p12  600 (owner rw) • Не используйте простые пароли для wallet • Размещайте wallet вне каталога $ORACLE_BASE, чтобы избежать копирование этого файла в ходе резервного копирования БД (данные и ключ к ним должны храниться все же раздельно) • Например: Можно поместить wallet в каталог /etc/ORACLE/WALLETS/oracle, который открывается по умолчанию утилитой Oracle Wallet Manager (требуется изменить значение параметра ENCRYPTION_WALLET_LOCATION в файле sqlnet.ora) oracle:/etc> whoami root oracle:/etc> mkdir -pv ORACLE/WALLETS/oracle mkdir: created directory `ORACLE' mkdir: created directory `ORACLE/WALLETS' mkdir: created directory `ORACLE/WALLETS/oracle' oracle:/etc> chown -R oracle:dba ORACLE/* oracle:/etc> chmod -R 700 ORACLE/* Если Вы забыли пароль для открытия wallet, то оценить шансы по его подбору (взлому) поможет PKCS#5 RSA “Password-Based Cryptography Standard” Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  14. 14. Прозрачное шифрование Ключница (Wallet) • Создать wallet (генерируется мастер-ключ): alter system set key identified by “e3car61” • Открыть wallet: alter system set wallet open identified by “e3car61” Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  15. 15. Прозрачное шифрование Защита данных в колонках таблиц • Зашифровать данные в колонке для существующей таблицы: alter table credit_rating modify (person_id encrypt using „AES256‟,); • Создать новую таблицу с защищаемой колонкой: create table orders ( order_id number (12), customer_id number(12), credit_card varchar2(16) encrypt); • Не поддерживается шифрование BLOB, CLOB и ряда других типов данных… • Размер данных увеличивается (33-48 bytes/row) Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  16. 16. Прозрачное шифрование Защита данных в колонках таблиц Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  17. 17. Данные колонки CUST_NAME alter table banking.customer_tbl modify (cust_name encrypt); Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  18. 18. Данные колонки CUST_NAME преобразованы Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  19. 19. Ключи прозрачного шифрования Мастер-ключ Мастер-ключ хранится в PKCS#12 wallet Таблицы с защищенными колонками Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  20. 20. Ключи прозрачного шифрования Ключи защищенных колонок Ключи колонок защищены мастер-ключом Мастер-ключ Пароль Таблицы с защищенными колонками Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  21. 21. Ключи прозрачного шифрования Доступ к данным разрешен Данные защищенных колонок таблиц доступны Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  22. 22. Прозрачное шифрование Индексирование • Создание и использование индексов для защищенных колонок : Alter table credit_rating modify (person_id encrypt no salt) Create index person_id_idx on credit_rating (PERSON_ID) Select score from credit_rating where PERSON_ID = '235901'; • Индекс не может использоваться при non-equality поиске • Индексируемое поле не может быть foreign key Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  23. 23. Прозрачное шифрование Защита данных в LOB (CLOB, BLOB) колоноках • Создание новой таблицы с защищаемой LOB колонкой: create table orders ( doc CLOB encrypt using „AES128‟) LOB (doc) STORE AS SECUREFILE TABLESPACE obe_tbs2 ); • Шифрование LOB колонок возможно только для SECUREFILE • зашифровываются все строки данных LOB колонки • Шифрование BFILE и внешних таблиц не поддерживается Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  24. 24. Прозрачное шифрование Защита объектов в TABLESPACE • Создание защищенного tablespace: create tablespace securespace datafile '/home/user/oradata/secure01.dbf' size 150m encryption using '3des168' default storage(encrypt); • Алгоритмы: 3DES168, AES128, AES192, AES256 Tablespace • Существующее табличное пространство не может быть зашифровано • Ключ tablespace может быть изменен • Обязательно использование опции SALT Ключ физически хранится в Datafile Header Block. Если файлов несколько, то он записывается в каждый из заголовков Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  25. 25. Oracle Advanced Security Transparent Data Encryption: Ключи Ключи таблиц зашифрованы с использованием мастер-ключа Мастер-ключи хранятся в ключнице формата PKCS#12 Пароль Tablespace Tablespace ключ хранится мастер-ключ в Datafile Header Block Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  26. 26. Oracle Advanced Security Различие в преобразовании данных SQL Layer SQL Layer Buffer Cache Колонки Табличные Buffer Cache “SSN = 834-63-..” пространства “*M$b@^s%&d7” data blocks data blocks “*M$b@^s%&d7” “*M$b@^s%&d7” undo temp undo temp blocks blocks blocks blocks redo flashback redo flashback logs logs logs logs Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  27. 27. Oracle Advanced Security Transparent Data Encryption: Ключ Ключи таблиц зашифрованы 11gR2 с использованием мастер-ключ можно изменить мастер-ключа Мастер-ключ хранится в ключнице формата PKCS#12 Пароль Tablespace ключ хранится в Datafile Header Block Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  28. 28. Права доступа Database DBA Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  29. 29. Права доступа Пароль для доступа к Wallet отличается от system и DBA паролей нет доступа к Wallet Database DBA Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  30. 30. Права доступа Доступ к данным разрешен Database DBA Мастер-ключ Пароль Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  31. 31. Права доступа Доступ к данным разрешен Database DBA Мастер-ключ Пароль Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  32. 32. Права доступа SELECT ANY TABLE Доступ к данным разрешен Database DBA Мастер-ключ Пароль Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  33. 33. Права доступа Как защитить данные от инсайдеров ? SELECT ANY TABLE Database DBA Мастер-ключ Пароль Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  34. 34. Права доступа Так ли хороши «альтернативные» СЗИ? Изменение стандартных процедур SGA обработки Неправильная работа с SGA может привести к потере данных Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  35. 35. Реализация программы управления уязвимостями • Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений …Если выполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессы разработки систем и приемы безопасного программирования. • 6.2 Должен существовать процесс идентификации вновь обнаруженных уязвимостей безопасности (например, подписка на рассылки, связанные с информационной безопасностью и обнаружением уязвимостей, свободно доступные в сети Интернет). Должно выполняться обновление стандартов конфигурирования с целью устранения новых обнаруженных уязвимостей. • Цель данного требования состоит в том, что организации должны своевременно узнавать о новых уязвимостях для того, чтобы они могли защищать свои сети и внедрять процедуры устранения вновь обнаруженных и имеющих отношение к их системам уязвимостей в свои стандарты конфигурирования. Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  36. 36. Обновления Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  37. 37. Реализация программы управления уязвимостями • Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений …Если выполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессы разработки систем и приемы безопасного программирования. • 6.3.2 Должны быть разделены среды разработки, тестирования и эксплуатации • Разделяются среды разработки/тестирования и среды эксплуатации и используются механизмы контроля доступа для реализации разделения этих сред • 6.3.4 Для тестирования или разработки не должны использоваться данные из среды эксплуатации (реальные номера PAN) • Данные из среды эксплуатации (реальные номера PAN) не используются для тестирования и разработки или уничтожаются перед вводом в эксплуатацию Пояснение: В среде разработки обычно осуществляется менее жесткий контроль за обеспечением безопасности. Использование в такой среде реальных данных позволит потенциальным злоумышленникам, равно как и разработчикам, получить неавторизованный доступ к информации, используемой в эксплуатационной среде Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  38. 38. Data Masking Pack Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  39. 39. Утечки информации При разработке и тестировании сложных приложений Data Masking Pack Oracle Enterprise Manager Данные, представленные для тестирования Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  40. 40. Oracle Data Masking Pack Концепция LAST_NAME SSN SALARY AGUILAR 203-33-3234 40,000 BENSON 323-22-2943 60,000 D‟SOUZA 989-22-2403 80,000 FIORANO 093-44-3823 45,000 LAST_NAME SSN SALARY ANSKEKSL 111—23-1111 40,000 BKJHHEIEDK 111-34-1345 60,000 KDDEHLHESA 111-97-2749 80,000 FPENZXIEK 111-49-3849 45,000 Данные, представленные для тестирования Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  41. 41. Процедура преобразования данных EM Data Masking Pack : Workflow OFF-LINE Database Masking Данные, представленные для тестирования Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  42. 42. Реализация мер по строгому контролю доступа • Требование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостью Данное требование обеспечивает то, что доступ к критичным данным может быть осуществлен только авторизованными сотрудниками. • 7.1 Доступ к вычислительным ресурсам и данным платежных карт должен быть предоставлен только тем сотрудникам, которым он необходим для выполнения должностных обязанностей • Права привилегированных пользователей ограничены минимально достаточными полномочиями, необходимыми для выполнения их должностных обязанностей • Назначение полномочий в системах сотрудникам выполняется в соответствии с должностью и выполняемыми функциями • Для предоставления полномочий необходимо наличие заявки с перечнем запрашиваемых прав, утвержденной руководством • Использование автоматизированных систем контроля доступа Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  43. 43. Database Vault ”Руководителям организаций важно, чтобы администраторы баз данных управляли базами данных, Noel Yuhanna, а не данными ...” Senior Analyst Forrester Research “Microsoft, IBM и Sybase не имеют аналогичных средств” Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  44. 44. Oracle® Database Vault ? • Опция СУБД Oracle 10g Release 2 EE Oracle 11g EE или Oracle 9i R2 (9.2.0.8) EE • Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных (DBA) • Обеспечение доступа к данным на основе динамически настраиваемых правил • Повышение защищенности объектов БД от несанкционированных изменений • Разделение полномочий пользователей в • Обеспечивает возможность безопасной соответствии с их функциональными консолидации IT-ресурсов организации обязанностями и надежный внутренний контроль • Все механизмы “встроены” в БД Oracle Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  45. 45. Oracle Database Vault Защита от внутренних нарушителей Снабжение DBA HR Приложение Финансы •select * from finance.customers • Привилегированные пользователи не смогут злоупотреблять своими правами • Разделение полномочий по функциональным обязанностям • Защита от запрещенных действия внутри БД • Обеспечение доступа к данным приложений только через приложения (запрет «прямого» доступа к данным) Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  46. 46. Защищенная область Пример использования Пользователь SYSTEM может просматривать конфиденциальные данные SELECT ANY TABLE hr.employees Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  47. 47. Database Vault Интерфейс администратора Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  48. 48. Защищенная область Создана Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  49. 49. Защищенная область Результат применения Даже пользователь SYSTEM не может просматривать защищенные данные SELECT ANY TABLE hr.employees Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  50. 50. Реализация мер по строгому контролю доступа • Требование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов Продуманная политика информационной безопасности определяет стратегию защиты информации в компании и распределяет обязанности за обеспечение безопасности. Все сотрудники должны быть осведомлены о необходимости защиты данных и своих обязанностях по их защите. • 12.2 Должны быть разработаны типовые периодически выполняемые процедуры обеспечения безопасности, соответствующие требованиям данного стандарта (например, процедуры управления пользовательскими учетными записями и процедуры анализа журналов регистрации событий). • Действующие постоянно процедуры защиты выступают в качестве «настольных инструкций» для использования сотрудниками при выполнении своих повседневных обязанностей по администрированию и поддержке систем. Недокументированные действующие процедуры защиты могут привести к тому, что сотрудники не будут знать полный круг своих обязанностей, к процессам, которые не смогут быть воспроизведены в кратчайшие сроки новыми сотрудниками, а также к потенциальным уязвимостям в этих процессах, которые могут предоставить злоумышленнику возможность получения доступа к критичным системам и ресурсам. Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  51. 51. Многофакторная авторизация Правила (Rule Sets) Локальный компьютер ? TRUE or FALSE AND / OR Рабочие часы ? TRUE or FALSE AND / OR AND / OR APP.STATUS column > 0 ? TRUE or FALSE Rule Set Result TRUE or FALSE Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  52. 52. Динамическая настройка правил Создание правила Non Work Hourse HR Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  53. 53. Список контролируемых команд Command Rule Flexibility Alter Database Alter Database Alter Table Alter Function Audit Alter Tablespace Alter Package Body Alter Procedure Alter Profile Alter Session Alter System Alter Synonym Alter Table Alter Trigger Alter User Password Alter Tablespace Alter View Change Password Connect Comment Create Function Create Index Create Package Create Database Link Create Procedure Create Role Create Package Body Create User Create View Create Table Grant Insert Noaudit Rename Lock Table Create Tablespace Create Trigger Truncate Table Update Insert Delete Execute Select Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  54. 54. Многофакторная авторизация Фактор DOMAIN. Диапазоны IP-адресов HIGHLY SECURE SECURE NOT SECURE Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  55. 55. Многофакторная авторизация Фактор DOMAIN. Проверка ORCL_DBV IP 192.168.214.51 IP 192.168.214.251 Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  56. 56. Правила выполнения команд Запрет команды ALTER SYSTEM 1 2 3 Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  57. 57. Отчеты и аудит • Более 30 предустановленных отчетов о выполнении политик безопасности • Аудит попыток нарушений защиты • Отчеты по защищенным областям (Realms), выполнении правил (Rules) и условий (Factors) • Списки системных и пользовательских привилегий на доступ и обработку данных Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
  58. 58. 123317, Россия, Москва, Пресненская наб.,10 Москва-Сити, бизнес-центр "Башня на Набережной", Блок С Nikolay.Danyukov@oracle.com

×