Порядок сертификации программного обеспечения по требованиям стандарта P A ...
6.n.danyukov oracle
1.
2. <Insert Picture Here>
Опции безопасности в СУБД Oracle
Николай Данюков
к.т.н., ведущий консультант, Oracle CIS
3. Основные требования заказчиков
Производительность
Масштабируемость
Надежность
Безопасность
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
4. Олег Смолий,
главный специалист Управления
по обеспечению безопасности ВТБ
“… для коммерческой организации я бы поставил потерю
репутации на первое место. Дело в том, что доброе имя
нельзя создать в короткий срок, имея даже очень много
денег. Организации тратят годы на то, чтобы сделать свою
торговую марку узнаваемой, развивают лояльность марке
со стороны клиентов. Между тем, всего одна утечка может
разом перечеркнуть долгие годы усилий.”
- InfoWatch, 31.01.07
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
5. Анна Усачева
руководитель пресс-службы
Мосгорсуда
“… Александр Паймуллин был признан виновным в
совершении преступления, предусмотренного
ст.159 ч.4 УК РФ (мошенничество, т. е. хищение
имущества в особо крупном размере), и ему было
назначено наказание в виде 7 лет лишения свободы в
колонии общего режима”
Москва, 23 декабря 2008
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
6. Payment Card Industry
(PCI)
Data Security Standard
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
7. Защита данных платежных карт
• Требование 3: Должна быть обеспечена защита данных платежных карт
при хранении
Шифрование является важнейшей составляющей защиты данных платежных карт. В случае обхода
мер по защите сети и получения доступа к зашифрованным данным злоумышленник не сможет
узнать содержимое данных или воспользоваться ими без наличия корректных криптографических
ключей.
• 3.4 Номера PAN должны быть приведены к нечитаемому виду вне
зависимости от места хранения (включая данные на портативных носителях,
резервных копиях, в журналах, а также данные, полученные или сохраненные
посредством беспроводных сетей) с помощью одного из перечисленных ниже
способов:
•…
• надежная криптография совместно с процессами и процедурами управления ключами
• …
• Номер (PAN, Primary Account Number)
• Имя держателя карты
• Дата истечения срока действия
• Сервисный код
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
8. Transparent
Data Encryption
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
9. Oracle Advanced Security
Transparent Data Encryption
Диск
Резервная копия
Экспортированные
данные
Приложение
Другие
данные
• Хранимые данные приведены к нечитаемому
формату
• Не требуется изменять приложение
• Эффективное средство для всех типов
данных
• Встроенные средства управления ключами
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
10. Защита на физическом уровне
Прозрачное преобразование данных
75000
Зашифровывание Расшифровывание
данных данных
при записи при чтении
75000 ^#^*>*
Шифрование
Tablespace
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
11. Защита на физическом уровне
Прозрачное шифрование
75000
Зашифровывание Расшифровывание
данных данных
при записи при чтении
75000 ^#^*>*
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
12. Защита на физическом уровне
Прозрачное шифрование
75000
Зашифровывание Расшифровывание
данных данных
при записи при чтении
75000 ^#^*>*
Шифрование симметричное
(3DES168, AES128, AES192, AES256)
Ключи шифрования защищаются
внешним ключом
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
13. Ключи прозрачного шифрования
Мастер-ключ
Мастер-ключ хранится
в PKCS#12 wallet
11gR2
содержание Wallet
(без видимых изменений)
Утилиты для работы с wallet:
(файл ewallet.p12)
mkwallet, mkstore, orapki, owm
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
14. Прозрачное шифрование
Защита WALLET. Простые рекомендации
• Измените права доступа к каталогу и wallet-файлу
• Directory 700 (owner rwx), ewallet.p12 600 (owner rw)
• Не используйте простые пароли для wallet
• Размещайте wallet вне каталога $ORACLE_BASE, чтобы избежать копирование
этого файла в ходе резервного копирования БД (данные и ключ к ним должны
храниться все же раздельно)
• Например: Можно поместить wallet в каталог
/etc/ORACLE/WALLETS/oracle, который открывается по умолчанию
утилитой Oracle Wallet Manager (требуется изменить значение параметра
ENCRYPTION_WALLET_LOCATION в файле sqlnet.ora)
oracle:/etc> whoami
root
oracle:/etc> mkdir -pv ORACLE/WALLETS/oracle
mkdir: created directory `ORACLE'
mkdir: created directory `ORACLE/WALLETS'
mkdir: created directory `ORACLE/WALLETS/oracle'
oracle:/etc> chown -R oracle:dba ORACLE/*
oracle:/etc> chmod -R 700 ORACLE/*
Если Вы забыли пароль для открытия wallet, то оценить шансы
по его подбору (взлому) поможет PKCS#5 RSA “Password-Based Cryptography Standard”
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
15. Прозрачное шифрование
Ключница (Wallet)
• Создать wallet (генерируется мастер-ключ):
alter system set key identified by “e3car61”
• Открыть wallet:
alter system set wallet open identified
by “e3car61”
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
16. Прозрачное шифрование
Защита данных в колонках таблиц
• Зашифровать данные в колонке для существующей таблицы:
alter table credit_rating modify
(person_id encrypt using „AES256‟,);
• Создать новую таблицу с защищаемой колонкой:
create table orders (
order_id number (12),
customer_id number(12),
credit_card varchar2(16) encrypt);
• Не поддерживается шифрование BLOB, CLOB
и ряда других типов данных…
• Размер данных увеличивается (33-48 bytes/row)
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
17. Прозрачное шифрование
Защита данных в колонках таблиц
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
18. Данные
колонки
CUST_NAME
alter table banking.customer_tbl modify (cust_name encrypt);
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
19. Данные
колонки
CUST_NAME
преобразованы
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
20. Ключи прозрачного шифрования
Мастер-ключ
Мастер-ключ хранится
в PKCS#12 wallet
Таблицы с защищенными
колонками
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
21. Ключи прозрачного шифрования
Ключи защищенных колонок
Ключи колонок защищены
мастер-ключом
Мастер-ключ
Пароль
Таблицы с защищенными
колонками
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
22. Ключи прозрачного шифрования
Доступ к данным разрешен
Данные защищенных
колонок таблиц доступны
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
23. Прозрачное шифрование
Индексирование
• Создание и использование индексов для защищенных колонок :
Alter table credit_rating modify
(person_id encrypt no salt)
Create index person_id_idx on credit_rating
(PERSON_ID)
Select score from credit_rating
where PERSON_ID = '235901';
• Индекс не может использоваться при non-equality поиске
• Индексируемое поле не может быть foreign key
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
24. Прозрачное шифрование
Защита данных в LOB (CLOB, BLOB) колоноках
• Создание новой таблицы с защищаемой LOB колонкой:
create table orders ( doc CLOB
encrypt using „AES128‟)
LOB (doc) STORE AS SECUREFILE
TABLESPACE obe_tbs2 );
• Шифрование LOB колонок возможно только для SECUREFILE
• зашифровываются все строки данных LOB колонки
• Шифрование BFILE и внешних таблиц не поддерживается
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
25. Прозрачное шифрование
Защита объектов в TABLESPACE
• Создание защищенного tablespace:
create tablespace securespace
datafile '/home/user/oradata/secure01.dbf'
size 150m
encryption using '3des168'
default storage(encrypt);
• Алгоритмы: 3DES168, AES128, AES192, AES256 Tablespace
• Существующее табличное пространство
не может быть зашифровано
• Ключ tablespace может быть изменен
• Обязательно использование опции SALT
Ключ физически хранится в Datafile Header Block.
Если файлов несколько, то он записывается в каждый из заголовков
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
26. Oracle Advanced Security
Transparent Data Encryption: Ключи
Ключи таблиц зашифрованы
с использованием
мастер-ключа
Мастер-ключи
хранятся в ключнице
формата PKCS#12
Пароль
Tablespace Tablespace ключ хранится
мастер-ключ
в Datafile Header Block
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
27. Oracle Advanced Security
Различие в преобразовании данных
SQL Layer SQL Layer
Buffer Cache
Колонки Табличные
Buffer Cache “SSN = 834-63-..” пространства
“*M$b@^s%&d7”
data blocks data blocks
“*M$b@^s%&d7” “*M$b@^s%&d7”
undo temp undo temp
blocks blocks blocks blocks
redo flashback redo flashback
logs logs logs logs
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
28. Oracle Advanced Security
Transparent Data Encryption: Ключ
Ключи таблиц зашифрованы
11gR2 с использованием
мастер-ключ
можно изменить мастер-ключа
Мастер-ключ
хранится в ключнице
формата PKCS#12
Пароль
Tablespace ключ хранится
в Datafile Header Block
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
29. Права доступа
Database DBA
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
30. Права доступа
Пароль для доступа к Wallet
отличается от system и DBA паролей
нет доступа к Wallet
Database DBA
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
31. Права доступа
Доступ к данным
разрешен
Database DBA
Мастер-ключ
Пароль
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
32. Права доступа
Доступ к данным
разрешен
Database DBA
Мастер-ключ
Пароль
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
33. Права доступа
SELECT ANY TABLE
Доступ к данным
разрешен
Database DBA
Мастер-ключ
Пароль
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
34. Права доступа
Как защитить данные от инсайдеров ?
SELECT ANY TABLE
Database DBA
Мастер-ключ
Пароль
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
35. Права доступа
Так ли хороши «альтернативные» СЗИ?
Изменение
стандартных
процедур
SGA обработки
Неправильная работа с SGA может
привести к потере данных
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
36. Реализация программы
управления уязвимостями
• Требование 6: Должна обеспечиваться безопасность при разработке и
поддержке систем и приложений
…Если выполняется разработка приложений внутри организации, большого количества уязвимостей
можно избежать, используя стандартные процессы разработки систем и приемы безопасного
программирования.
• 6.2 Должен существовать процесс идентификации вновь обнаруженных
уязвимостей безопасности (например, подписка на рассылки, связанные с
информационной безопасностью и обнаружением уязвимостей, свободно
доступные в сети Интернет). Должно выполняться обновление стандартов
конфигурирования с целью устранения новых обнаруженных уязвимостей.
• Цель данного требования состоит в том, что организации должны своевременно узнавать о
новых уязвимостях для того, чтобы они могли защищать свои сети и внедрять процедуры
устранения вновь обнаруженных и имеющих отношение к их системам уязвимостей в свои
стандарты конфигурирования.
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
38. Реализация программы
управления уязвимостями
• Требование 6: Должна обеспечиваться безопасность при разработке и
поддержке систем и приложений
…Если выполняется разработка приложений внутри организации, большого количества уязвимостей
можно избежать, используя стандартные процессы разработки систем и приемы безопасного
программирования.
• 6.3.2 Должны быть разделены среды разработки, тестирования и
эксплуатации
• Разделяются среды разработки/тестирования и среды эксплуатации и используются
механизмы контроля доступа для реализации разделения этих сред
• 6.3.4 Для тестирования или разработки не должны использоваться данные из
среды эксплуатации (реальные номера PAN)
• Данные из среды эксплуатации (реальные номера PAN) не используются для
тестирования и разработки или уничтожаются перед вводом в эксплуатацию
Пояснение: В среде разработки обычно осуществляется менее жесткий контроль за
обеспечением безопасности. Использование в такой среде реальных данных
позволит потенциальным злоумышленникам, равно как и разработчикам, получить
неавторизованный доступ к информации, используемой в эксплуатационной среде
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
39. Data Masking Pack
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
40. Утечки информации
При разработке и тестировании сложных приложений
Data Masking Pack
Oracle Enterprise Manager
Данные, представленные для
тестирования
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
42. Процедура преобразования данных
EM Data Masking Pack : Workflow
OFF-LINE
Database
Masking
Данные, представленные для
тестирования
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
43. Реализация мер
по строгому контролю доступа
• Требование 7: Доступ к данным платежных карт должен быть ограничен
в соответствии со служебной необходимостью
Данное требование обеспечивает то, что доступ к критичным данным может быть осуществлен
только авторизованными сотрудниками.
• 7.1 Доступ к вычислительным ресурсам и данным платежных карт должен
быть предоставлен только тем сотрудникам, которым он необходим для
выполнения должностных обязанностей
• Права привилегированных пользователей ограничены минимально достаточными
полномочиями, необходимыми для выполнения их должностных обязанностей
• Назначение полномочий в системах сотрудникам выполняется в соответствии с
должностью и выполняемыми функциями
• Для предоставления полномочий необходимо наличие заявки с перечнем
запрашиваемых прав, утвержденной руководством
• Использование автоматизированных систем контроля доступа
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
44. Database Vault
”Руководителям организаций важно,
чтобы администраторы баз данных
управляли базами данных,
Noel Yuhanna,
а не данными ...” Senior Analyst
Forrester Research
“Microsoft, IBM и Sybase не имеют аналогичных средств”
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
45. Oracle® Database Vault ?
• Опция СУБД Oracle 10g Release 2 EE
Oracle 11g EE
или Oracle 9i R2 (9.2.0.8) EE
• Возможность ограничивать (исключать)
доступ к данным приложений со стороны
администратора базы данных (DBA)
• Обеспечение доступа к данным на основе
динамически настраиваемых правил
• Повышение защищенности объектов БД
от несанкционированных изменений
• Разделение полномочий пользователей в
• Обеспечивает возможность безопасной
соответствии с их функциональными
консолидации IT-ресурсов организации
обязанностями и надежный внутренний
контроль • Все механизмы “встроены” в БД Oracle
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
46. Oracle Database Vault
Защита от внутренних нарушителей
Снабжение
DBA
HR
Приложение Финансы
•select * from finance.customers
• Привилегированные пользователи не смогут злоупотреблять
своими правами
• Разделение полномочий по функциональным обязанностям
• Защита от запрещенных действия внутри БД
• Обеспечение доступа к данным приложений только через
приложения (запрет «прямого» доступа к данным)
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
47. Защищенная область
Пример использования
Пользователь SYSTEM
может просматривать
конфиденциальные данные
SELECT ANY TABLE
hr.employees
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
48. Database Vault
Интерфейс администратора
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
49. Защищенная область
Создана
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
50. Защищенная область
Результат применения
Даже пользователь SYSTEM
не может просматривать
защищенные данные
SELECT ANY TABLE
hr.employees
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
51. Реализация мер
по строгому контролю доступа
• Требование 12: Должна поддерживаться политика информационной
безопасности, регламентирующая деятельность сотрудников и
контрагентов
Продуманная политика информационной безопасности определяет стратегию защиты информации
в компании и распределяет обязанности за обеспечение безопасности. Все сотрудники должны быть
осведомлены о необходимости защиты данных и своих обязанностях по их защите.
• 12.2 Должны быть разработаны типовые периодически выполняемые
процедуры обеспечения безопасности, соответствующие требованиям
данного стандарта (например, процедуры управления пользовательскими
учетными записями и процедуры анализа журналов регистрации событий).
• Действующие постоянно процедуры защиты выступают в качестве «настольных
инструкций» для использования сотрудниками при выполнении своих повседневных
обязанностей по администрированию и поддержке систем. Недокументированные
действующие процедуры защиты могут привести к тому, что сотрудники не будут
знать полный круг своих обязанностей, к процессам, которые не смогут быть
воспроизведены в кратчайшие сроки новыми сотрудниками, а также к потенциальным
уязвимостям в этих процессах, которые могут предоставить злоумышленнику
возможность получения доступа к критичным системам и ресурсам.
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
52. Многофакторная авторизация
Правила (Rule Sets)
Локальный компьютер ? TRUE or FALSE
AND / OR
Рабочие часы ? TRUE or FALSE
AND / OR
AND / OR
APP.STATUS column > 0 ? TRUE or FALSE
Rule Set Result TRUE or FALSE
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
53. Динамическая настройка правил
Создание правила Non Work Hourse
HR
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
54. Список контролируемых команд
Command Rule Flexibility
Alter Database Alter Database Alter Table
Alter Function Audit Alter Tablespace
Alter Package Body Alter Procedure Alter Profile
Alter Session Alter System Alter Synonym
Alter Table Alter Trigger Alter User
Password Alter Tablespace Alter View
Change Password Connect Comment
Create Function Create Index Create Package
Create Database Link Create Procedure Create Role
Create Package Body Create User Create View
Create Table Grant Insert
Noaudit Rename Lock Table
Create Tablespace Create Trigger Truncate Table
Update Insert Delete
Execute Select
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
55. Многофакторная авторизация
Фактор DOMAIN. Диапазоны IP-адресов
HIGHLY SECURE
SECURE
NOT SECURE
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
56. Многофакторная авторизация
Фактор DOMAIN. Проверка
ORCL_DBV
IP 192.168.214.51
IP 192.168.214.251
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
57. Правила выполнения команд
Запрет команды ALTER SYSTEM
1
2
3
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
58. Отчеты и аудит
• Более 30 предустановленных
отчетов о выполнении политик
безопасности
• Аудит попыток нарушений
защиты
• Отчеты по защищенным
областям (Realms), выполнении
правил (Rules) и условий
(Factors)
• Списки системных и
пользовательских привилегий
на доступ и обработку данных
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва