Документация iSZN
04. Защищённость
В СУБД, содержащих информацию личного характера, обеспечение информационной безопасности, или защищённости, как серверной, так и клиентских частей, приобретает первостепенное значение. Реализовываться защитные механизмы могут различными способами, но, так или иначе, используемая СУБД как минимум должна предусматривать возможность ограничения доступа к данным на основе авторизации пользователей, а также, по возможности, использования шифрования данных.
Идентификация (авторизация) пользователей
Обычно для идентификации используется один из двух методов. Первый — это пароль, который является обычным средством проведения идентификации пользователей. Второй метод предполагает использование более строгих критериев подлинности, таких как токены, смарткарты и даже отпечатки пальцев. Идентификация, основанная на сертификатах, предоставляет пользователям и компьютерам цифровые сертификаты. Этот способ идентификации использует Public Key Infrastructure (PKI) для реализации сертификатов и их полномочий и SSL для идентификации того, кто находится на другом конце соединения. Система iSZN в полной мере использует стандартные серверные механизмы авторизации и безопасности, сертифицированные по международным стандартам на защиту информации; доступ к данным осуществляется строго на основе привилегий, контролируемых самой СУБД.
Шифрование
В части шифрования информации в Oracle доступна опция Oracle Advanced Security (OAS) — комплекс средств аутентификации и обеспечения сетевой безопасности, включающий в себя поддержку защищённых протоколов передачи данных, в том числе SSL. OAS обеспечивает полный набор возможностей для защиты программной инфраструктуры корпоративной сети и работы в Интернете. OAS дополняет общую концепцию безопасности Oracle Database, позволяет решить ключевые проблемы, связанные с нарушением безопасности следующим образом:
- гарантирует неприкосновенность данных и коммуникаций (с помощью криптозащиты и проверки целостности);
- осуществляет идентификацию пользователей, баз данных и веб-серверов (интегрированная поддержка идентификации);
- разрешает удалённый доступ и расширяет корпоративную сеть в Интернет (интеграция безопасного удалённого доступа в локальную сеть).
Технология криптозащиты гарантирует неприкосновенность данных за счёт перевода сообщений в зашифрованную форму и проверки целостности данных. OAS защищает данные, используя стандарты шифрования RSA Data Security RC4 или Data Encryption Standard (DES). Для каждой сессии Oracle Net создаётся специальным образом секретный ключ, обеспечивающий безопасность всего сетевого трафика. OAS делает невозможными скрытые модификацию, добавление или удаление части передаваемых данных. Используя алгоритм MD5, Oracle Net сразу по прибытии пакета данных проверяет их на целостность.
Удалённый доступ к базе данных
В случае доступа к базе данных через Интернет (с помощью веб-интерфейса), безопасность передачи данных между веб-навигатором и веб-сервером обеспечивает Oracle9i Application Server, поддерживающий Secure Sockets Layer (SSL). OAS, в свою очередь, обеспечивает неприкосновенность и целостность данных между веб-сервером и корпоративной базой данных, используя выбранный пользователем SSL или какой-либо другой метод криптозащиты. Это позволяет построить сквозное, от навигатора до базы данных, решение по безопасности и целостности данных, передаваемых по корпоративной сети и через Интернет.
OAS интегрирует оба вышеупомянутых метода идентификации пользователей, обеспечивая повышенный уровень безопасности в системах клиент-сервер и в Интернете. OAS поддерживает как SSL, так и RADIUS (Remote Authentication Dial-In User Service).
Поддержка промышленных стандартов
SSL — лидирующий протокол безопасности для Интернета, предотвращающий подслушивание, подделку сообщений и фальсификацию. Поддержка SSL в OAS расширяет выбор методов криптозащиты и предоставляет идентификацию с помощью открытого ключа, основанную на стандартах SSL. Используя SSL, сервер Oracle идентифицирует пользователей с помощью сертификатов стандарта X.509 v.3. Полный пакет средств защиты включает Oracle Wallet, Oracle Wallet Manager и сервер сертификатов. Накопитель (wallet) хранит сертификат X.509 и идентификационные данные. Wallet Manager — это интерфейс для управления накопителем. Сервер сертификатов предоставляет сертификаты, сервер каталогов хранит эту информацию. Все вместе они обеспечивают в OAS безопасность по методике Public Key Infrastructure (PKI). SSL делает безопасным не только протокол Oracle Net, но и другие протоколы, такие как IIOP (Internet Inter-ORB Protocol). За счёт поддержки Java OAS делает безопасными соединения по протоколу IIOP, предоставляя продуктам Oracle возможность работать с тонкими клиентами и Enterprise JavaBeans.