доработки ядра СУБД Firebird для обеспечения

реклама
Доработки ядра СУБД Firebird для обеспечения
соответствия требованиям класса 1Г ФСТЭК по
защите конфиденциальной информации
Николай Самофатов, Технический Директор
Корпорация «Ред Софт»
Нормативная база по защите конфиденциальной
информации
• ФСТЭК –принципы защиты конфиденциальной
информации
• СТР-К
• РД СВТ
• РД АС
• ФСБ - криптография
• КС-1/КС-2
• ГОСТ
• Проектная документация
• ГОСТ Р 15408-2002 «Общие критерии»
• ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила
управления информационной безопасностью»
Обзор требований Руководящих Документов ФСТЭК
• Подсистема управления доступом
• Аутентификация
• Авторизация - дискреционный или ролевой метод разделения доступа
• Подсистема регистрации и учета
• Регистрация доступа к защищаемым объектам (включая файлы,
таблицы, записи и поля записей)
• Учет носителей информации
• Криптографическая подсистема
• Подсистема обеспечения целостности
• Обеспечение целостности программных средств и обрабатываемой
информации
• Периодическое тестирование СЗИ НСД
• Наличие средств восстановления СЗИ НСД
Какие изменения в ядре Firebird требуется
реализовать чтобы использовать его для
хранения и защиты конфиденциальной
информации?
Согласно рекомендациям панели экспертов по
безопасности, требуется:
• Реализовать всеобъемлющий ролевой механизм разделения
доступа
В частности, перевести ядро безопасности Firebird с использования
дискреционного метода разделения досупа (DAC) на ролевой
(RBAC)
• Улучшить механизмы аутентификации
• Внедрить механизмы контроля целостности ядра и данных и
метаданных
• Реализовать подсистему регистрации
• Исключить использование иностранных криптографических
алгоритмов в ядре, использовать российские СКЗИ
Всеобъемлющий ролевой механизм разделения
доступа
• SQL/DDL
• SQL/DML
• Доступ к Services API и другим административным
операциям
• Строки таблиц и блобы
• Системный каталог
Доработки аутентификации
• Многофакторная аутентификация
• Сертификаты
• Биометрия
• Аппаратные криптографические средства защиты
• Поддержка сквозной аутентификации от
приложений, использующих БД до механизмов
организации единой точки входа (SSO)
Контроль целостности
• ЭЦП для исполнимых файлах и файлов
конфигурации
• ЭЦП метаданных и наборов данных
• Защита целостности програмной среды с
использованием средств аппаратной платформы
Платформы «доверенных» вычислений
Подсистема регистрации
• Журнализация и хранение событий об
использовании полномочий субъектов доступа при
всех значимых операциях
(успешно/неуспешно/несанкционировано)
•
•
•
•
•
•
•
Подключение к БД
Выполнение SQL
Выполнение BLR, DYN
Выполнение хранимых процедур
Работа с контекстными переменными
Работа с транзакциями
Вызов Services API
Вопросы
Корпорация «Ред Софт»
Web:
www.red-soft.biz
E-mail:
[email protected]
Телефон:
+7 (495) 721 35 37
Николай Самофатов, Технический Директор
[email protected]
Скачать