СУБД и другие программные продукты, содержащие структурированные и объемные базы данных – бухгалтерские, кадровые программы, SRM- и ERP-системы – ввиду того, что информация в них обработана и классифицирована, находятся в сфере интересов злоумышленников. Требования к технологиям защиты данных в них немного отличаются от условий обеспечения безопасности обычных хранилищ информации.

Объекты защиты

Создавая стратегию защиты информации, необходимо определиться с объектами, которые находятся в зоне риска. 

В качестве возможной мишени для злоумышленника выступают:

• базы данных, структурированные или нет, представленные в виде наборов файлов и записей;
• банки данных, включающие базу и систему управления ею (СУБД);
• прикладные приложения организаций;
• информационно-справочные системы;
• информационные базы экспертных учреждений;
• источники геолокационной информации.

Файлы, хранящиеся в таких системах, обычно имеют форматы DBF, MDB, XLS. Поиск возможен как по атрибутам файлов, так и по их содержимому. Программная часть дает возможности для обработки и анализа. 

Среди функций управления:

• показ;
• модификация;
• поиск;
• изменение структуры базы;
• генерация отчетов по изначально заданному или сконструированному на базе имеющихся модулей запросу.

В системах такого уровня важно, что гипотетический злоумышленник, даже не имея программного продукта, предназначенного для обработки данных, может выкачать из БД структурированную информацию и работать с ней при помощи любых средств просмотра данных, даже общедоступных MS Access и DBView. Это создает дополнительный риск.

Проблема в том, что существующие программы защиты информации от несанкционированной модификации или копирования основаны на обеспечении целостности программного кода, постоянной проверки файлов на подлинность и модификацию, отмене всех незапланированных изменений и возвращение к первоначальному уровню. Чаще всего в программы защиты встроен простой механизм проверки наличия некоего ключевого признака – электронного ключа или усложненной логики. Кроме того, отдельные участки кода могут шифроваться, при проверке считаются суммы цифр определенных участков кода, используются и другие антитрассировочные средства, помогающие избежать изменения кода средства, вплоть до технических. Часто для защиты программного кода используются USB-аппаратные ключи, без их подключения к компьютеру программа не запустится.

Но решения такого уровня не помогают, когда информация может быть извлечена из БД без активации программной оболочки. Если нет разработанной технологии защиты содержимого БД, возникает опасная ситуация. Нередко компании, реализуя технологию защиты данных, опираются только на организационные меры защиты: ограничивают допуск пользователей к компьютерам или посетителей на объект и при этом игнорируют современные меры защиты. От внешнего вмешательства в работу информационной системы организационные меры не защищают. 

Особенности защиты БД

Единственным возможным решением для системного обеспечения безопасности, кроме контроля доступа, становится шифрование информации в БД. Она должна шифроваться как внутри базы, так и при передаче по внешним каналам связи. Ключи для шифрования должны храниться вне БД, в электронном устройстве, подключаемом к компьютеру. 

Средства криптографической защиты должны обеспечивать:

• дешифрование данных при их чтении из файла;
• шифрование при записи новой информации.

При выборе средств защиты можно опираться на классификацию:

• по способу запуска процессов шифрования и дешифрования. Они могут быть явными и скрытыми. В первом случае подпрограмма криптографической защиты встраивается в СКУД, каждое открытие файла пользователем, имеющим допуск, вызывает запуск операции дешифрования, запись сведений в файл автоматически запускает шифрование. Во втором случае программа криптозащиты строится по модели перехвата информации обращения к файлу и обработки данных. Процессы запускаются независимо друг от друга. Первый вариант считается более надежным, но вывод из строя СУБД повлияет на работу программы шифрования. Далеко не все они имеют штатный механизм криптографической защиты или опцию, которая позволяет дописывать ее код другим программистам;
• по методу встраивания системы защиты в программу просмотра. Встраивание бывает ручным, когда коды дописываются в ПО, и автоматическим, когда отдельно созданная утилита вызывается при запуске программы. Второй вариант обычно предусмотрен первоначальной архитектурой программы просмотра, шифровальщик уже является штатным средством, он не требует дополнительных усилий от специалистов компании. Ручное написание кода допустимо для процедур явного и скрытого шифрования. Автоматическое чаще применяется для скрытого;
• по выбранному алгоритму шифрования. Здесь градация идет на общеизвестные и часто используемые алгоритмы, механика работы которых понятна и трудность состоит в подборе ключа, и уникальные, создаваемые для конкретной программы или базы данных. В штатных ситуациях, если компания привлекает известных на рынке авторов криптографических алгоритмов, лучше выбрать готовые алгоритмы. Они проверены на практике экспертами и пользователями, выявленные в них уязвимости устранены. Созданный по заказу алгоритм может содержать и уязвимости, и незадекларированные возможности, специально заданные авторами для получения несанкционированного доступа к базе данных;
• по возможности поддержки операций с файлами, которые должна обеспечивать СУБД. Так, скрытая программа шифрования может работать с данными при любой операции – модификация, копирование, изменение систематизации, отнесение информации к другим категориям или внесение новых граф, а может реагировать на запрос только при чтении и записи. Оптимально настроенная система шифрования должна реагировать на все совершаемые в системе операции и через все имеющиеся системы взаимодействия. Например, если система взаимодействует с СУБД через MS-DOS, она обязана поддерживать файловые операции через управляющие блоки файла (FCB) и через описатели файлов (file handle). При взаимодействии через Windows требуется поддерживать операции через интерфейс MS-DOS, интерфейс Win16, интерфейс Win32, файлы, проецируемые в память (memory-mapped files), через инструмент асинхронного файлового ввода-вывода;
• по наличию собственной системы идентификации, отличной от используемой операционной системой. Это позволяет снизить число работающих с криптозащитой сотрудников и риски информационной безопасности.

Решение зависит от профессионализма сотрудников ИТ-департамента. Большинство компаний не имеют возможности выбора, приобретая СУБД с встроенной системой шифрования, не требующей доработки. К таким относится Microsoft SQL Server, где все уязвимости были выявлены и устранены. Но если СУБД создается самостоятельно на базе открытых кодов, задачи шифрования приходится решать, используя разработанные модули и скрипты из общедоступных библиотек. 

Средства безопасности данных

Предлагаемые на рынке программные продукты не ограничиваются средствами криптографической защиты, дополнительно хранилища информации оберегаются от несанкционированного доступа другими традиционными средствами. Это системы создания дифференцированного доступа, средства доверенной загрузки, DLP-системы, которые не заблокируют доступ к данным, но исключат любую возможность их копирования и передачи вовне из информационного периметра организации.

Если компания при разработке системы защиты информации решила приобрести один из программных продуктов, который обеспечит существующей СУБД внешний алгоритм шифрования, рынок предлагает несколько вариантов. Часто они работают с любым предложенным набором файлов и папок, не обязательно под управлением СУБД, любыми приложениями, помимо шифрования обеспечивают идентификацию и аутентификацию.

Для защиты конфиденциальной информации в базах данных рекомендуем использовать «СёрчИнформ Database Monitor». Бесплатный триал на месяц.  

Folder Lock

В сравнении с 10 конкурентами, программа получила золотую медаль качества за многочисленные возможности. Так называемая «конвертная» или самостоятельная версия взаимодействует с СУБД через собственные протоколы, устанавливается на сервер отдельно, в ней задается перечень ресурсов и операций, при которых необходимо шифрование. Используется стандартное 256-битное AES-шифрование, обеспечивающее, как заявляют разработчики, защиту уровня банков и военных ведомств. Дополнительно предлагается возможность сокрытия файлов или каталогов от неаутентифицированных пользователей. Файлы могут шифроваться в процессе получения или отправки и размещаться в скрытых папках – виртуальных сейфах. 

Предлагаются услуги шифрования электронной почты, резервного копирования файлов и папок, создания защищенных дисков. Шифровать диски целиком программа не способна, но скрыть их существование сможет. Еще одна опция – создание электронного «бумажника» с повышенной степенью защиты, где можно хранить данные о счетах, номерах карт, платежах клиентов. Минус – нет возможности произвести проверку электронной подписи.

SentinelShell от Rainbow

Простое программное средство, решающее единственную проблему. Конвертная версия устанавливается отдельно от СУБД и шифрует или дешифрует информацию при обращении к файлам или таблицам. Продукт работает с MS-DOS и Win 32, способен защитить файлы во всех приложениях, с которыми работают операционные системы. При настройке нужно указать имена и маски файлов, подлежащих шифрованию, а также перечень команд, на которые следует реагировать. 

Применяются электронные ключи Sentinel Pro и Sentinel SuperPro. Алгоритм шифрования не раскрывается, он собственной разработки. Программа легко устанавливается, у любого класса пользователей не возникает проблем при работе с ней. 

PGP Desktop от Symantec

Многофункциональный продукт, обеспечивающий не только криптологическую, но и комплексную защиту баз данных, файлов и папок. Шифрование многоуровневое, последовательное, сначала шифруются паки, потом файлы, потом данные. Обеспечивается встроенное и внешнее, «прозрачное», шифрование. Программа встраивается в операционную систему, в меню Проводник. Там находится контекстное меню к функциям шифрования и подписи файла электронной подписью, автоматически они не запускаются.

Эта технология защиты данных интересна опцией создания архива, который расшифровывается при распаковке. Возможности у продукта комплексные – программа шифрует электронную почту и сообщения, передаваемые в рамках корпоративной почты, что исключает доступ к ним третьих лиц. Позволяет шифровать жесткий диск целиком и создавать скрытые виртуальные диски. Алгоритм шифрования – стандартный 256-битный AES. Программа способна зашифровать любой стабильный, не относящийся к трафику, информационный объект и сведения, передаваемые по большинству каналов обмена информацией, но не работает с популярными Skype и Viber.

HL-CRYPT от FAST Software Security AG

Немецкий продукт представляет собой простую конвертную программу шифрования БД, файлов и папок. Компания работает на рынке средств криптографической защиты с 1959 года, имеет хорошую репутацию, создает собственные проверенные алгоритмы шифрования. Решение взаимодействует с большинством операционных систем. Используются электронные ключи типа HardLock EYE и HardLock Twin. 

Однако в 2020-м хакеры смогли похитить у разработчика СКЗИ их собственные базы, потребовав 23 млн долларов выкупа. Причиной могло быть то, что компания понадеялась на общую защиту ИС и не стала шифровать информацию, а средства контроля внешних вторжений и антивирусы не смогли распознать новую вредоносную программу.

CyberSafe Top Secret

Еще один комплексный продукт для защиты информации. Производитель имеет собственный сервер электронных ключей, где они размещаются в закрытом доступе, а администраторы получают возможность генерировать новые пары для шифрования. Программа шифрует во внутреннем режиме только файлы, но делает это с соблюдением требований ГОСТа и выполнением алгоритмов сертифицированного криптопровайдера «КриптоПро», отвечающего за работу с электронной подписью, что позволяет применять решение в государственных компаниях и банках.

Во внешнем режиме программа шифрует файлы. Работает с криптозащитой электронной почты, способна поставить электронную подпись под документом и проверить правильность подписи под входящим сообщением или файлом. Создает зашифрованные виртуальные диски и шифрует разделы жесткого диска. Предоставляет возможность резервного копирования БД на облачные ресурсы. Имеет опцию собственной двухфакторной аутентификации. Есть возможность определить доверенные приложения, работающие с зашифрованными файлами.

***

Выбор конкретного решения зависит от концепции построения информационной системы компании. При выработке технологии защиты данных опираться надо не только на текущие возможности, но и на перспективы компании.

23.11.2020