С. А. Большаков

Потребность в защите электронной информации становиться все более актуальной. Этому вопросу посвящено много разработок и исследований. Но цель нашей статьи иная, подчеркну самое главное, что, на наш взгляд, не является пока достаточно известным в мире информационных технологий. Необходимость защиты информации в информационных системах жестко регламентируется законодательством Российской Федерации. Существуют десятки законов РФ и отраслевых стандартов, которые определяют необходимость защиты информации и требования к ее организации. Недавно (24 января 2001 года) на эту тему в Interface Ltd был проведен семинар, результаты обсуждений по этой теме Вы можете найти на сайте.

В связи этим актуальным становиться переориентация на программные продукты и, в частности, СУБД, которые обеспечивают полную или частичную защиту. Так получилось, что большинство SQL серверов являются открытыми и прозрачными не только для пользователей, но и для попыток несанкционированного доступа: практически любой запрос позволяет получить доступ к информации, хранимой в БД. Получение или подбор системного пароля при нынешних уровнях производительности компьютеров не является для взломщиков непреодолимой преградой. Одним из первых в мире, и первым в своем классе СУБД, предоставляет полную защиту SQL СУБД фирмы Centura - Centura SQLBase SafeGarde.

Этот программный продукт является популярным у нас в стране и за рубежом по причинам, которые будут отмечены ниже. Здесь же скажем, что популярность его должна еще больше возрасти в связи с тем, что, начиная с января 2000 года, вышла новая версия программного продукта SQLBase SafeGarde (или даже семейство версий), рассчитанных на обеспечение пользователей СУБД всеми необходимыми механизмами защиты информации. Характерной чертой продукта, как и, впрочем идеологии фирмы Centura, является ориентация на пользователя, что в данном случае означает минимум переработок для внедрения механизмов защиты в существующих БД и минимум затрат при построении новых систем с защитой информации. Это достигается тем, что подключаются и настраиваются защитные процедуры на административном уровне. О том, как это реализовано и может быть сделано при эксплуатации СУБД и пойдет речь в данной статье.

Сначала несколько слов о самом программном продукте для тех, кто недостаточно знаком с продуктами Centura. Остальные читатели могут опустить следующие два подраздела.

СУБД SQLBase имеет продолжительную историю, начало которой нужно искать в 1980 году. За этот период развитие СУБД шло в ногу со временем, было создано много версий, которые неизменно находили широкое применение. Ниже приведены основное сведения относительно версий, защиты данных в SQLBase и перспективы развития.

Семейство версий СУБД SQLBase:

• SQLBase 5.14 , 5.20, 6.0, 6.01, 6.1, 7.01 – версии без защиты информации
• SQLBase 7.5 ,7.5.1 (Standart , SafeGarde, SafeGarde Max) – с защитой
• SQLBase Desktop 7.5.1 - однопользовательский вариант (настольный СУБД)

• 7.5.x S Standard Edition нет шифрования данных.
• 7.5.x M SafeGarde 56 bit - DES encryption
• 7.5.x H SafeGarde Max 128 bit - Triple DES encryption

• SQLBase 7.6 SafeGarde - выход в феврале 2001 года
• SQLBase 8.0 SafeGarde - выход в конце 2001 года

• Индивидуальный вариант - SQLBase SafeGarde Desktop
• Многопользовательский – SQLBase SafeGarde (5, 10, 25, Unlimit)
• Порционный - SQLBase Embedded Deployment Pack (EDP) - до 50 пользователей, позволяющий планировать произвольное количество установок у заказчика.

Особенности СУБД SQLBase выделены ниже:

• SQLBase - клиент/сервер SQL СУБД, которая с 1980 года развивается и постоянно совершенствуется;
• Благодаря высокому качеству и гибкости SQLBase занимает лидирующие позиции в мире информационных технологий среди продуктов равных себе по классу;
• SQLBase имеет варианты от настольного СУБД (SQLBase Desktop - 1 пользователь) до многопользовательского СУБД (SQLBase Server до 200 users). Настольные и серверные продукты полностью совместимы;
• Начиная с версии 7.5, поддерживает большие БД (Very Large DataBase -VLDB) - до 512 Гбайт информации;
• Интеграция со многими средствами разработки и с СУБД своего класса и других классов, а также возможность безболезненной миграции БД;
• Простота администрирование сервера и БД, которыми он управляет;
• Высокая производительность по обработке запросов, по некоторым данным измерений, и при прочих равных условиях, SQLBase не уступает ведущим СУБД, в том числе и ORACLE;
• Высокая надежность и отсутствие необходимости постоянного контроля за состояние сервера и БД.
• Ориентация на поддержку всех стандартов, в том числе и SQL стандартов;
• И теперь, наконец, включенные средства защиты информации, механизмы предотвращения несанкционированного доступа в системы, работающие с SQLBase Server.

• Администрирование пользователей и БД.
• Транзакции, триггеры, запомненные процедуры и внешние функции.
• Резервное копирование и восстановление при сбоях.
• Ведение всех необходимых журналов, аудита БД и разграничение прав пользователей СУБД.
• Возможность создания БД только для чтения информации (Read Only).
• Практические возможности миграции БД для разных версий, причем во многих случаях обеспечивается и миграция вниз, что возможно для отечественных разработок, например при передаче ПО на региональный уровень.
• Возможность работы одновременно со многими БД и поддержка одновременной работы многих серверов.
• Обеспечение секционирования БД для хранения больших объемов данных, причем на раздельных носителях информации.
• Обеспечение работы распределенных БД и автоматизированная поддержка репликации в распределенных БД.
• Возможности простой реорганизации БД, переиндексирования и учета статистической информации о БД для работы оптимизирующих алгоритмов.
• Процедуры проверки целостности БД, простая выгрузка и загрузка БД и многое другое, для достижения оптимальной производительности и удобства работы.

Уровень защищенности данных в информационных системах самого различного уровня определяется ответами на совокупность вопросов представленных ниже. На рисунке, расположенном ниже (Рис. 1), схематично показаны узкие места, в которых возможно хищение, умышленное изменение и несанкционированный доступ к информации (на рисунке они выделены пиктограммой со знаком вопроса). Если мероприятия, применяемые для защиты информации, обеспечивают положительные ответы на поставленные ниже вопросы, то можно считать, что уровень защиты информации в вашей системе достаточно высок. Основные вопросы следующие:

• Кто имеет доступ к информации?
• Как и в каком виде хранятся данные в БД?
• Как выполняется передача данных в сетях (локальных и глобальных) от клиента к серверу и обратно?
• Как выполняются процедуры выгрузки и загрузки данных, их резервного копирования и в каком виде хранятся копии данных?
• Как происходит реорганизация данных в БД?
• Как выполняются репликации данных в распределенных БД?
• Возможен ли перебор паролей для несанкционированного доступа?
• Можно ли испортить информацию в БД?

Мы постараемся ответить на эти вопросы, рассматривая возможности защиты информации в SQLBase SafeGarde и методы их практической настройки. Поскольку обеспечение защиты информации в системах - мероприятие дорогостоящее: по некоторым оценкам затраты на защиту приближаются к затратам на проектирование и создание сложных информационных систем (т.е. затраты на проектирование и эксплуатацию могут возрасти почти вдвое), то необходимо ответить на вопрос о необходимости ее введения. Постараемся ответить на него.

Как было отмечено выше, первостепенным при введении защиты информации может быть требование законодательства России, которым регламентируются случаи и методы обеспечения защиты информации, хранимой в электронном виде.

Рис. 1 Узкие места в системе с точки зрения защиты информации

В частности, подлежит защите любая информация, служащая для идентификации личности (ФИО, адрес, телефон и т.д.). Кроме того, любая коммерческая информация, разглашение которой нежелательно для нормальной работы организации, тоже должна быть защищена по закону. Этот перечень может быть продолжен. Если проанализировать любую информационную бизнес систему, то легко можно убедиться, что в ней защита необходима только по закону. Потребность в защите информации с помощью СУБД предопределяется следующими факторами:

• Вы не имеете специального оборудования для шифровки данных на разных стадиях обработки информации (в первую очередь при передаче информации).
• Если Ваша сеть не защищена от несанкционированного доступа (плохо спланированы пользователи, пароли и процедуры ограничения доступа, или они вообще отсутствуют)
• Когда хранение данных выполняется в незащищенных файлах (нет защиты БД)
• Когда Ваши приложения не защищают данные и сами не защищены (в приложениях нет специальных процедур шифрования, паролей доступа и защиты исходных текстов приложений)!
• Не защищены технологические и вспомогательные процессы работы с информацией, хранимой в электронном виде.

Продолжение статьи