Защита информации: Часть 1. Информационная безопасность

"SAFER" - возможности защиты информации

Защита информации является одной из типичных точек входа для организаций, начинающих работу с управлением информацией. Защита конфиденциальных данных служит удовлетворению очевидной потребности бизнеса и является темой многих действующих нормативных документов. В этой статье, первой в серии, состоящей из двух частей, мы начнем рассмотрение защиты данных с безопасности серверов данных IBM на z/OS. Во второй части будут рассмотрены аудит и соблюдение нормативов.

Марк Симмондс, старший менеджер по маркетингу, подразделение Information Management, System z, IBM

Марк Симмондс (Mark Simmonds), старший менеджер по маркетингу продуктов в IBM Software Group Information Management, занимается продуктами Data Governance, Master Data Management и SOA for the System z®. Он работает в IBM 15 лет. Предыдущие 10 лет он работал в подразделении WebSphere® Product Marketing. У него есть серьезный практический опыт – в течение трех лет он был архитектором систем IBM, ответственным за проектирование инфраструктуры и корпоративной технической архитектуры в крупных финансовых учреждениях. Он имеет ряд авторских наград за статьи для технических и деловых журналов.



Эрни Мэнсилл, ведущий ИТ-специалист, System Z, IBM

Эрни Мэнсилл (Ernie Mancill) является ведущим ИТ-специалистом и одним из основателей группы IBM z/Series Database Tools, которая помогает клиентам в оценке и реализации инструментов базы данных IBM DB2. Эрни специализируется на управлении данными и безопасности DB2 и IMS на System z. Особое внимание он уделяет аудиту, конфиденциальности данных и технологии шифрования данных. До прихода в IBM в 1999 году Эрни работал системным программистом DB2 и CICS; имеет более чем 35-летний опыт работы на самых разных должностях в различных отраслях.

Эрни имеет сертификационный статус Certified DB2 for z/OS V9 Database Administrator; он выступал с докладами на форумах IDUG, DB2 Conference Information-On-Demand, SHARE, а также в местных группах пользователей DB2 по всей Америке. Эрни является соавтором трех книг IBM Redbook: "A Deep Blue View of DB2 Performance – IBM Tivoli OMEGAMON for DB2 Performance Expert on z/OS", "Keeping Your Data in its Place with DB2 Data Archive Expert" и "Securing and Auditing Data on DB2 for z/OS". В свободное время Эрни является страстным любителем морской рыбалки на мушку.



12.09.2011

Обзор

IBM предоставляет полный набор возможностей по защите информации для аппаратных платформ IBM, которые помогают организациям выяснить, какие данные должны быть защищены, получить к этим данным безопасный доступ, обеспечить шифрование данных и быть уверенными в том, что конфиденциальность данных будет обеспечена в течение всего жизненного цикла информации. Кроме того, IBM предоставляет организациям мощные и гибкие инструментальные средства анализа, аудита в реальном времени и создания отчетов.

Рисунок 1. IBM предоставляет организациям полный набор возможностей по защите информации
Рисунок 1. IBM предоставляет организациям полный набор возможностей по защите информации

Защита информации для IBM System Z

По оценкам, 95% компаний, входящих в список Fortune 1000, хранят бизнес-данные на IBM System z®. Бизнес-ориентированные возможности платформы System Z (продвинутые функции обеспечения непрерывности бизнес-процессов, безопасность, целостность транзакций, масштабируемость, способность равномерно распределять динамическую рабочую нагрузку, а также мощные инструменты управления доступом и его защиты) делают ее отличным выбором для хранения и обработки критически важной бизнес-информации.

Однако организации должны демонстрировать подотчетность, следуя отраслевым, финансовым и регулятивным нормативным документам, и быть в состоянии ответить на вопросы кто, что, когда, где и как в том, что касается доступа к данным. В дополнение к государственным и местным законам и нормативным документам необходимо соблюдать ряд международных нормативных актов. Закон Сарбейнса-Оксли (SOX), Payment Card Industry Data Security Standard (PCI DSS), Federal Information Security Management Act (FISMA), Health Insurance Portability and Accountability Act (HIPAA), Basel II и U.S. Senate Bill 1396 - вот лишь несколько примеров нормативных актов, которые должны соблюдаться организациями. Исследования показывают, что ощущаемое качество корпоративного управления компанией может влиять на цену ее акций, а также на стоимость привлечения капитала.

Давайте пристальнее посмотрим на защиту информации на платформе System Z, начав с безопасности данных на System z и z/OS.


Безопасность на серверах данных IBM с z/OS

Аутентификация - это первое средство защиты, с которым сталкивается пользователь при попытке использовать услуги, предоставляемые серверами данных IBM с операционной системой IBM z/OS®. Прежде чем допустить пользователя к использованию какой-либо из этих услуг, его необходимо идентифицировать и аутентифицировать (проверить подлинность).

Основную работу по идентификации и аутентификации на серверах данных IBM с z/OS выполняет подсистема безопасности. В z/OS сервер безопасности, которым может быть IBM Resource Access Control Facility (RACF®) или его эквивалент, предоставляет сервисы аутентификации и авторизации для управления доступом к подсистеме базы данных. Такая методика подразумевает, что доступ к множеству ресурсов может быть единообразным независимо от того, является ли ресурс файлом, принтером, системой связи или базой данных.

В контексте данной статьи в качестве средства обеспечения безопасности, которое предоставляет управление доступом и функциональные возможности обеспечения безопасности для z/OS и операционной системы IBM z/VM® для виртуальных сред, рассматриваются RACF и его основные конкуренты CA-TopSecret и CA-ACF2.


RACF и базы данных DB2

В конфигурации базы данных IBM DB2® для z/OS сервер безопасности (RACF или эквивалент) используется для следующих целей:

  • Контроль подключений к подсистеме DB2.
  • Назначение идентификационных данных.
  • Защита базового хранилища данных DB2 (базовые наборы данных DB2 могут быть защищены сервисами наборов данных RACF).

В дополнение к обеспечению безопасности базы данных RACF можно использовать для управления доступом к объектам базы данных, полномочиям, командам и утилитам при помощи модуля управления доступом RACF сервера баз данных.


RACF и IMS

Современная версия системы IBM Information Management System (IMS) позволяет использовать RACF для управления доступом к IMS-ресурсам. Можно использовать оригинальные функциональные возможности IMS по обеспечению безопасности, новые функциональные возможности RACF, а также их комбинации. RACF обеспечивает большую гибкость, чем более старые функциональные возможности обеспечения безопасности. Стандартные функциональные возможности RACF могут быть использованы для защиты как системы, так и наборов данных базы данных IMS.


Использование продуктов IBM Tivoli для расширения RACF

Предоставляя дружественный к пользователю слой поверх RACF, IBM Tivoli® zSecure обеспечивает комплексный и простой в использовании интерфейс Interactive System Productivity Facility (ISPF) для низкоуровневого администрирования RACF. Этот продукт формирует необходимый синтаксис команд RACF на основе вводимых в окне интерфейса данных. Автоматическое генерирование команд RACF уменьшает количество ошибок, которые могли бы привести к рискам нарушения безопасности или простою системы. zSecure Admin помогает автоматизировать повторяющиеся работы по администрированию RACF, давая продвинутым администраторам возможность сосредоточиться на более значимых задачах.

Продукт IBM Tivoli zSecure Visual (основанный на Microsoft® Windows® графический интерфейс пользователя для администрирования RACF), позволяет делегировать задачи администрирования RACF младшим администраторам системы безопасности. zSecure Visual взаимодействует с сервером, работающим под z/OS UNIX®, выполняя "родные" команды RACF. Это избавляет администратора zSecure Visual от сложностей "чистого" RACF и TSO/ISPF.


Шифрование и запутывание данных

Требование шифрования данных в состоянии покоя имеет фундаментальное значение для многих инициатив по соблюдению нормативных требований. Шифрование представляет собой процесс, в котором открытые текстовые данные превращаются в кибертекст. Это преобразование использует для создания кибертекста математическую формулу, известную как алгоритм шифрования, в сочетании с ключом шифрования данных. Существуют два основных алгоритма шифрования, безопасность которых сегодня общепризнана: Triple Data Encryption Standard (TDES) и Advanced Encryption Standard (AES). Ключи - это шестнадцатеричные строки случайным образом сгенерированных символов, длиной от 128 до 512 битов. Как правило, чем длиннее ключ, тем надежнее шифрование.

В отличие от шифрования, запутывание (obfuscation) данных - это процесс, в котором конфиденциальные данные преобразуются в новые данные, имеющие общие с первоначальными данными характеристики, но соответствующие вымышленным значениям. Как правило, запутывание осуществляется таким образом, чтобы первоначальные значения нельзя было восстановить путем целенаправленного инженерного анализа.


Серверы данных IBM и сетевое шифрование средствами z/OS Communications Server

Хотя обеспечение безопасности данных в состоянии покоя является приоритетной задачей, нет сомнений, что надежная реализация шифрования должна включать в себя методы шифрования важной информации на всем протяжении ее жизненного цикла. Сюда относится требование шифрования входящих и исходящих по сетевым соединениям корпоративных данных, в том числе данных, которые используются совместно с внешними партнерами по бизнесу.

Средства операционной системы z/OS, такие как z/OS Communications Server, помогают защитить сетевые ресурсы. z/OS Communications Server работает с DB2 и IMS для z/OS и использует хорошо продуманные реализации, которые позволяют организациям применять различные виды сетевого шифрования, такие как:

  • Secure Sockets Layer (SSL) - протокол обмена, обеспечивающий безопасную связь по открытым сетям передачи данных.
  • Internet Protocol Security (IPSec) – протокол для прозрачной для приложений защиты трафика между двумя стеками протоколов TCP/IP.
  • Application Transparent Transport Layer Security (AT-TLS), который предназначен для защиты трафика между конкретным клиентским и серверным приложениями, а также между стеками TCP/IP, с которыми эти приложения связаны.

Серверы данных IBM и шифрование данных в состоянии покоя

Есть много способов шифрования данных в DB2 и IMS. Принимая решение о том, где именно и какую применять методику шифрования/дешифрования, необходимо ответить на вопросы: что нужно защитить и от кого, а также сколько потребуется усилий?

Выбор методики шифрования – это всегда компромисс между целью, удобством использования и производительностью. Организации, использующие DB2 для z/OS V8 и выше, могут выбрать шифрование при помощи встроенной функции DB2. Однако она имеет ряд проблематичных аспектов, которые могут повлиять на гибкость, необходимую для надежного корпоративного решения.

В IMS нет реализации шифрования для СУБД (система управления базами данных), так что необходимо рассмотреть другие механизмы шифрования данных.


Управление ключами при помощи сервисов ICSF

Integrated Cryptographic Service Facility (ICSF) - это компонент z/OS, предназначенный для прозрачного использования доступных криптографических функций, будь то CP Assist for Cryptographic Function (CPACF) или Crypto Express2, с целью выполнения требований шифрования данных z/OS-приложений и подсистем.

ICSF поддерживает алгоритмы конфиденциальности данных AES и TDES. TDES (Triple Data Encryption Standard) был впервые опубликован в 1999 году и до сих пор является официальным отраслевым стандартом. AES (Advanced Encryption Standard) был анонсирован Национальным институтом стандартов и технологий США (NIST) в 2001 году и вступил в силу как федеральный государственный стандарт в 2002 году. AES является первым общедоступным и открытым шифром, утвержденным NSA для сверхсекретной информации. Этот модернизированный алгоритм обеспечивает более высокий уровень шифрования и рекомендован к использованию для шифрования данных в состоянии покоя. Поддерживается длина ключа 128, 192 и 256 битов в зависимости от класса используемого процессора System z. Ключи, сгенерированные сервисами ICSF, используются инструментальным средством IBM Data Encryption for IMS and DB2 Databases.

Криптографическое оборудование (сопроцессор) для поддержки инструмента IBM Data Encryption for IMS and DB2 Databases зависит от процессора и модели сервера. z/OS ICSF поддерживает опцию Crypto Express3, которая доступна для процессоров IBM System z10® Enterprise Class и IBM System z10 Business Class. Для процессоров IBM System z9® и z10® также доступна опция Crypto Express2.

Компонент ICSF реализует безопасную среду для генерации, хранения и использования ключей, предоставляя более предпочтительный способ управления ключами, чем подходы к шифрованию на уровне приложений, например, реализованный во встроенной в DB2 V8 функции.


IBM Data Encryption for IMS and DB2 Databases

IBM Data Encryption for IMS and DB2 Databases объединяет в одном продукте функции шифрования данных для обеих баз данных - IMS и DB2 для z/OS. Он поддерживает защиту конфиденциальных данных для IMS на уровне сегментов и для DB2 на уровне таблиц.

IBM Data Encryption for IMS and DB2 Databases реализован с использованием стандартных процедур выхода (exit) IMS и DB2 EDITPROC. Код процедуры выхода или EDITPROC обращается к устройству System z Crypto для шифрования сохраняемых данных и для дешифрования данных, необходимых приложениям, тем самым защищая конфиденциальные данные, находящиеся на различных носителях. Оборудование System z обеспечивает улучшенную поддержку команд и функций шифрования, уменьшая издержки для производительности, обусловленные шифрованием.

Процедуры, реализуемые IBM Data Encryption for IMS and DB2 Databases, прозрачны для прикладных программ, обращающихся к базам данных (как IMS, так и DB2), и, таким образом, не требуют изменений в приложениях. Это экономит время и усилия, необходимые для написания и поддержки программ шифрования, предназначенных для использования с процедурами выхода или в приложениях.

Реализация сгенерированной процедуры выхода проста. Как только процедура выхода создана (в зависимости от типа оператора - SQL или IMS), СУБД автоматически вызывает ее в нужный момент, выполняя шифрование и дешифрование по мере надобности.

Для зашифрованных таблиц стандартные средства восстановления, в том числе журнал восстановления DB2 и копии образов наборов данных DB2, также являются зашифрованными. Запись в журнале восстановления шифруется на основании образа журнала, отображающего строку после выполнения EDITPROC. Копия образа набора данных DB2 шифруется в соответствии со спецификой утилиты копирования образов, которая является операцией уровня страниц. В IMS-реализации копии образов наборов данных также являются зашифрованными. Это важно для организаций, которые отправляют активы восстановления во внешние хранилища; если данные по пути будут утеряны или похищены, удастся избежать проблем, так как данные, будучи зашифрованными, защищены от несанкционированного использования.


Заключение

Выполнение мер безопасности обходится намного дешевле, чем заделывание дыр в системе безопасности, не говоря уже о дурной славе и ее потенциальном влиянии на стоимость акций и репутацию организации. Финансовые санкции и убытки, сопутствующие взломам данных, осознаются по-настоящему лишь через много лет после случившегося. Откровенно говоря, сегодня не может быть никаких оправданий отказам системы безопасности. Решения IBM Information Management по защите информации для z/OS предлагают широкий спектр возможностей для обеспечения безопасности на всех уровнях, помогающих управлять бизнес-рисками, снизить угрозу повреждения данных и риски нарушения безопасности, где бы ни находились данные, кто бы ни использовал их и когда бы они ни использовались. IBM поможет вам найти способы обеспечить контроль информации и быть в безопасности (S.A.F.E.R.).

Читайте вторую статью этой серии, посвященную аудиту и соблюдению нормативов.

Ресурсы

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Information Management, SOA и web-сервисы
ArticleID=756983
ArticleTitle=Защита информации: Часть 1. Информационная безопасность
publish-date=09122011