Ochrona danych przed zbyt wścibskimi czy wręcz złośliwymi użytkownikami wymaga planowania i niemało wysiłku

W dobie dynamicznego rozwoju aplikacji klient/serwer sprawa ochrony danych i zapewnienie im należytego poziomu integralności nabiera szczególnego znaczenia. Rozproszone bazy danych rezydują na różnych serwerach, zlokalizowanych w wielu odległych od siebie miejscach. Są to nierzadko komputery pracujące na różnych kontynentach, a co za tym idzie w różnych strefach czasowych. Użytkownicy pracujący w środowisku klient/serwer mają często bezpośredni dostęp do narzędzi i aplikacji, których mogą w każdej chwili użyć do przeszukania bazy danych. Co gorsze, wiele poufnych informacji, takich jak zarobki pracowników czy ocena ich pracy zawodowej, jest rozsyłanych po sieciach komputerowych za pomocą poczty E-mail.

Z taką sytuacją mamy do czynienia od niedawna. Systemy informatyczne oparte na komputerach typu mainframe były może drogie i mało elestyczne, ale dawały przynajmniej gwarancję, że dane nie zostaną przechwycone przez niepowołane do tego osoby. Zapewnienie danym bezpieczeństwa było stosunkowo prostą sprawą, a ich właściciel miał zawsze pewność, że jest jedyną osobą, która ma do nich dostęp.

Co należy zatem uczynić aby informacje przechowywane w środowisku rozproszonego przetwarzania danych zabezpieczyć przed intruzami? Administratorzy systemów informatycznych twierdzą, że nie ma na to prostej recepty. I chociaż producenci baz danych oferują już rozmaite systemy replikowania baz danych, które zapewniają rezydującym w nich informacjom należyty poziom integralności, to nie są to produkty, które spełniają do końca oczekiwania użytkowników.

Jak twierdzi John Schuerman (projektant baz danych pracujący w Mortgage Guaranty Insurance Corp.), cała sprawa sprowadza się do rozwiązania dwóch podstawowych kwestii: stwierdzenia czy istniała próba włamania się do systemu oraz analiza dzienników bezpieczeństwa danych.

"Zgodnie z moim doświadczeniem rynek aplikacji typu klient/serwer dopiero raczkuje. Dlatego dostępne obecnie systemy zarządzania rozproszonymi bazami danych i narzędzia używane do ich monitorowania nie pozwalają jeszcze na stałe śledzenie bezpieczeństwa baz danych", mówi J. Schuerman.

Dlatego świat biznesu powinien sam podjąć zadanie rozwoju systemów ochrony danych. Pierwszym krokiem powinno być zawsze dokładne przyjrzenie się architekturze eksploatowanego w firmie systemu informatycznego. Może to być bowiem system oparty na pracy dużej bazy danych (zorientowany na przetwarzanie transakcji) lub system bazujący na usługach świadczonych przez aplikację pocztową (E-mail). Każdy z tych systemów wymaga stosowania odmiennych mechanizmów ochrony danych.

Nieszczelne bazy danych

Integralność informacji zgromadzonych w korporacyjnych bazach danych jest dla każdego przedsiębiorstwa sprawą pierwszorzędnej wagi. Od tego bowiem zależy efektywność pracy firmy. Dlatego jest rzeczą wysoce niepokojącą, jeśli użytkownik dysponujący prawem czytania i pisania w obszarze jednej z baz danych może zniszczyć pewne informacje, co z kolei zagrozić może integralności informacji przetwarzanej przez dany system informatyczny.

Ogólnodostępne wszystkim oprogramowanie "z półki" pozwala dzisiaj na swobodne penetrowanie systemów typu klient/serwer, twierdzi Rich Finklestein, prezydent Performace Computing Inc. (Chicago). "Problem polega na tym, że po nadaniu użytkownikowi prawa czytania, a szczególnie prawa pisania, może on już budować swoje własne aplikacje i używać ich do ingerowania w bazę danych. Są to nieautoryzowane przez nikogo, bardzo niebezpieczne działania".

Może to spowodować poważne problemy. Aplikacje takie mogą być bowiem używane rozmyślnie do uszkadzania bazy danych. Nieraz jej zawartość jest zmieniana przez nieuwagę, np. w przypadku niefachowego uruchomienia aplikacji.

Szczególnie podatne na tego typu działania są te systemy informatyczne, których mechanizm ochrony danych jest oparty na podawaniu przez użytkownika hasła. Istnieje wtedy ryzyko, że tak zwani "wąchacze" wytropią tablicę z hasłami i rozszyfrują je. Zdarza się to nawet wtedy, gdy hasła te zapisywane są w tablicy w formie zaszyfrowanej.

Aby zabezpieczyć się przed tego typu działaniami niektóre firmy stosują zapamiętane procedury dostępu do bazy danych. Bazę danych można zmienić tylko w przypadku wywołania do pracy wewnętrznej zapamiętanej procedury, która rezyduje na serwerze. Użytkownik nie może w tym przypadku dokonywać bezpośrednio jakichkolwiek zmian w obszarze bazy danych.

"Zapamiętane procedury dostępu do danych pozwalają administratorowi systemu informatycznego kontrolować na bieżąco pracę systemu ochrony danych", dodaje R. Finklestein. "Dużo łatwiej jest wtedy eliminować wszelkie nieszczelności i skutecznie chronić bazę danych przed intruzami".

System zapamiętanych procedur stwarza jednak w środowisku pracy typu klient/serwer pewne problemy. Po pierwsze, pewne operacje (np. wyszukiwanie dużych porcji danych) nie mogą być wykonywane przez te procedury. Po drugie, zarządzanie pracą zapamiętanych procedur jest zadaniem, które przyprawia niejednego administratora baz danych o dotkliwy ból głowy. No i wreszcie po trzecie, procedury takie spowalniają w dużym stopniu szybkość pracy bazy danych.

Dlatego wielu administratorów zaczyna ostatnio korzystać z pomocy systemu ochrony danych o nazwie Kerberos. Jest to pakiet przystosowany do pracy w środowisku przetwarzania rozproszonego, opracowany przez MIT (Massachusetts Institute of Technology). Produkt ten zyskuje coraz większą popularność. Kerberos jest już powszechnie stosowanym produktem do ochrony danych w sieci Internet i zaczyna też być de facto standardem jeśli chodzi o identyfikację użytkowników zgłaszających się do pracy w rozległych sieciach LAN.

Użytkownicy mają obecnie do dyspozycji zarówno komercyjne, jak i rozpowszechniane przez sieć Internet, bezpłatne wersje pakietu Kerberos. Mówiąc najprościej praca pakietu opiera się na szyfrowaniu danych przed wysłaniem ich w sieć. Kerberos towarzyszy każdej próbie nawiązania komunikacji między klientem i serwerem, a pakiet dysponuje procedurami sprawdzającymi uprawnienia obu stron. Kerberos jest integralną częścią takich systemów przetwarzania transakcji, jak: Encina (Transarc Corp.) i Tuxedo (Novell Inc.).

Inne metody ochrony danych

Systemy informatyczne oparte na eksploatowaniu dużych baz danych można chronić w inny sposób, niż przez wywoływanie zewnętrznych programów (a takim jest przecież system Kerberos). Chet Getcheker, projektant baz danych w Hurwitz Consulting Group Inc. (Newton, Mass.) mówi, że istota sprawy tkwi w wewnętrznych mechanizmach czy mówiąc inaczej regułach rządzących przetwarzaniem informacji zgromadzonych w bazie danych. Jedna z takich reguł powinna brzmieć, "nie należy nigdy usuwać macierzystego rekordu, jeśli cała operacja (transakcja) nie została doprowadzona do samego końca".

C. Getcheker dodaje, "Integralną częścią każdej bazy danych jest jej wewnętrzna logika. Replikując bazę danych na komputery różnych platform i poddając ją po drodze konwersji na inne formaty nie wolno nam zapominać o podstawowej rzeczy: pod koniec każdego dnia pracy wszystkie bazy danych powinny zachować logiczną spójność. W przeciwnym przypadku możemy popaść w poważne kłopoty".

Przemieszczając dane do coraz to nowych serwerów, pracujących w coraz to odleglejszych miejscach, powinniśmy sobie odpowiedzieć na dwa podstawowe pytania: 1. Skąd została odebrana zapisywana aktualnie do bazy danych informacja? 2. Czy dysponujemy mechanizmami, które pozwalałyby w każdym momencie dokładnie prześledzić całą drogę danych, generowanych przez system przetwarzania transakcji?

Najpewniejszym sposobem ochrony danych wydaje się być zaimplementowanie określonego mechanizmu ochrony informacji do samej bazy danych, twierdzi Joyce Graff, dyrektor Electronic Workplace w Gartner Group.

"Czy dysponujemy już mechanizmem, który pozwalałby nam stwierdzić, że jedna z kopii replikowanej bazy danych uległa właśnie zmianie? A jeśli tak, to jak powiadomiamy o tym fakcie pozostałych partnerów?" - pyta J. Graff. I dodaje, "Jeśli eksploatujemy rozproszoną bazę danych systemu Oracle czy Sybase możemy być o to spokojni. Systemy zarządzające tymi bazami danych sprawdzają cały czas spójność i integralność danych. Nie wszyscy jednak producenci baz danych, szczególnie tych poddawanych replikacji, wyposażają je w podobne mechanizmy kontroli".

Jak mówi R. Finklestein, "Jeśli replikujemy często duże części bazy danych, tak aby były one dostępne dla maksymalnie wielu użytkowników, powinniśmy też równolegle replikować procedury ochrony danych. A jest to często po prostu niemożliwe. Procedury takie dlatego należy przemieszczać za każdym razem ręcznie. Zadanie to jest prawdziwą zmorą dla każdego administratora bazy danych nie mówiąc już o tym, że jest to czynność bardzo pracochłonna, wymagająca dobrego przygotowania i opracowania dokładnego planu działania".

Firma Mortgage Guarante Insurance Corp. (MGIC) eksploatuje kilka replikowanych baz danych. Towarzyszące każdej z tych baz danych mechanizmy ochrony informacji są niestety uruchamiane oddzielnie. "Zależnie od tego, z którą bazą danych mamy do czynienia, przywołujemy do pracy inny system ochrony danych", dodaje J. Schuerman.

Firma MGIC dysponuje dwoma systemami ochrony danych. Pierwszy pozwala zewnętrznym użytkownikom korzystać z usług oprogramowania przeszukującego bazę danych, które daje im możliwość penetrowania pewnych obszarów bazy danych. Program ten blokuje jednocześnie dostęp do poufnych informacji. Drugi system kontroluje aplikacje uruchamiane przez samych pracowników firmy MGIC, którzy uzyskują wtedy nieograniczony dostęp do całej bazy danych. Wszystkie hasła i identyfikatory użytkowników są w tym przypadku ukryte przed otoczeniem.

"Przed naszymi programistami stoi teraz podstawowe zadanie: napisać taki system dostępu do bazy danych, który nie wymagałby od użytkowników podawania hasła w przypadku przywoływania do pracy specyficznych aplikacji", mówi J. Schuerman.

MGIC używa obecnie dwustopniowego systemu ochrony danych. Pierwszy stopień jest realizowany przez system NetWare: jest to procedura typu "log on", która przyznaje zgłaszającym się do pracy użytkownikom prawo dostępu do określonych aplikacji. Po przejściu przez tę procedurę zadanie ochrony danych przejmuje na siebie system zarządzania bazą danych Oracle, który przyznaje użytkownikowi określone uprawnienia i kontroluje jego dalsze poczynania. System zabezpieczeń wbudowany w bazę danych Oracle pracuje w sposób niewidoczny (przezroczysty) dla samego użytkownika.

Drugi stopień ochrony jest oparty na pracy specjalnie do tego celu napisanych aplikacji. Są one wyposażone w rodzime, wyprofilowane pod potrzeby danej firmy moduły. Po zgłoszeniu konkretnego żądania przez użytkownika moduły te odczytują jego identyfikator i sprawdzają w specjalnej tablicy uprawnień czy żądanie to może być spełnione. Jeśli tak, przywoływana przez użytkownika aplikacja uzyskuje pozwolenie na zrealizowanie konkretnego zadania. Aplikacje te są pisane w języku SQLWindows (Gupta Corp.) i zarządzają pracą serwera Oracle, który jest podstawowym elementem tej części systemu informatycznego, która przetwarza dane w tle (back-end system).

Lista płac przesyłana pocztą E-mail

Co się jednak dzieje, jeżeli system zawiadywania wymianą danych oparty jest na pracy poczty E-mail, a nie na standardowym systemie zarządzania bazą danych? A trzeba przy tym pamiętać, że bezpieczeństwo danych jest sprawą pierwszorzędnej wagi w przypadku eksploatowania aplikacji operujących na osobistych informacjach o pracownikach, mówi Debby Love-Suddith, pracownik firmy Ramos & Associates (integracja systemów informatycznych). Wszystkie dane o pracownikach, w tym ich płace, są w tej firmie przesyłane i modyfikowane przy użyciu poczty E-mail. D. Love-Suddith dodaje, "musimy być w tym momencie absolutnie pewni, że dane są chronione w takim systemie od samego początku do końca".

Pierwszy stopień ochrony danych polega na uruchomieniu procedury sprawdzającej hasła użytkowników i dopuszczającej ich do pracy w systemie. Ale właściwy mechanizm ochrony danych polega na wyznaczaniu różnych poziomów dostępu do informacji i przypisywaniu ich poszczególnym użytkownikom.

"Wszystkie procedury ochrony danych są integralną częścią systemu zarządzania danymi personalnymi. Systemem tym jest w naszej firmie pakiet PeopleSoft (PeopleSoft Inc.)", dodaje D. Love-Suddith.

Jeśli poczta elektroniczna jest również używana do zawiadywania transakcjami, użytkownik musi być absolutnie pewien, że zawsze będą zachowane prawidłowe relacje między adresami poczty E-mail a przypisanymi im numerami pracowników. Nie ma wtedy żadnych wątpliwości, że żądanie wykonania transakcji zostanie wysłane pod właściwy adres.

W tym przypadku kluczowym elementem systemu ochrony danych jest lista dostępu do poczty E-mail. "Lista taka powinna być szczególnie chroniona przed intruzami, a rezydujące w niej dane muszą być szyfrowane. Żaden użytkownik nie odczyta wtedy zgromadzonych tam haseł i identyfikatorów", mówi C. Getcheker.

Nakłada to oczywiście na administratora systemu dodatkowe obowiązki związane z zarządzaniem taką listą. "Wraz z rozbudową rozproszonego systemu przetwarzania danych przybywa ciągle nowych haseł i identyfikatorów użytkowników. Dlatego administrator systemu informatycznego musi ciągle sprawdzać aktualność informacji rezydujących w tabeli dostępu do usług poczty E-mail", kontynuuje C. Getcheker.

Ochrona skrzynek pocztowych

Ed Taggert, pracownik Hannaford Brothers Co. sprawuje pieczę nad pocztą E-mail i systemem zarządzającym bazą danych. Ciągłe kontrolowanie uprawnień przyznawanych użytkownikom korzystającym z usług poczty E-mail i bazy danych zajmuje mu tak dużo czasu, że zmuszony był nawet zarzucić prace zmierzające do zmodyfikowania systemu zawiadującego wymianą informacji.

System pocztowy w Hannaford jest oparty na produkcie firmy Banyan Vines Inc., a sprawdzaniem uprawnień użytkowników eksploatujących pocztę E-mail zajmuje się pakiet StreetTalk (usługi katalogowe). Jest to także produkt firmy Banyan. Nawiązując do sprawy budowania środowisk pracy otwartych na współpracę (collaborative environments - środowiska pracy bazujące na wymianie informacji między użytkownikami i aplikacjami) E. Taggert podkreśla, że jego dział (zarządzanie pracą systemu) liczy bardzo mało osób.

"W przypadku podjęcia eksploatacji pakietu Lotus Notes musielibyśmy podjąć trud zarządzania pracą kolejnego systemu katalogów poczty E-mail", wyjaśnia E. Taggert. I dodaje "z drugiej strony zaletą pakietu Conference+ (Mesa Group Inc.) jest to, że współpracuje on z systemem usług katalogowych StreetTalk. Właśnie dlatego możliwe jest dalsze eksploatowanie obecnej bazy danych bez potrzeby dokładania sobie kolejnych zadań administracyjnych".

Pakiety pocztowe, a konkretnie towarzyszące im systemy ochrony danych, stawiają przed programistami specyficzne wyzwania, mówi David Flaxman, pracownik KPMG Peat Marvick LLP. Jedno z tych wyzwań wiąże się z faktem, że pakiety generowane przez pocztę E-mail trafiają zazwyczaj do skrzynek pocztowych instalowanych na PC. "Jeśli osoba postronna zauważy fakt odebrania przez PC pakietu pocztowego i odczyta go, to mamy tu właśnie do czynienia z podstawowym ograniczeniem, jakie towarzyszy systemom chroniącym dane w środowiskach poczty E-mail", mówi D. Flaxman. " Dlatego najlepszym i najprostszym sposobem rozwiązania tego problemu jest nieużywanie poczty E-mail do przesyłania poufnych informacji"

Jeśli jednak aplikacja nie ma nic wspólnego z przetwarzaniem transakcji czy zmianą zawartości bazy danych, a jest typową aplikacją obsługującą wymianę informacji między użytkownikami czy programami, zadanie ochrony danych można z powodzeniem powierzyć narzędziom typu "groupware" (praca w grupach). Dobrze jest jednak wtedy wcześniej zapoznać się zarówno z silnymi, jak i słabymi stronami oprogramowania tego typu.

Zapewnienie danym przetwarzanym przez aplikacje typu "groupware" (np. przez systemy pocztowe) należytego poziomu integralności nie jest prostą sprawą. System taki pracuje na tyle dobrze, na ile pozwala mu na to najsłabsze ogniwo całego oprogramowania. I tak użytkownik powinien mieć np. absolutną pewność, że replikowany komunikat (w przypadku rozesłania go np. do wszystkich pracowników firmy) dotrze do każdego adresata. Okazuje się, że pakiet Conference+ nie gwarantuje takiej pewności.

"Po przesłaniu komunikatu do systemu Conference+ należałoby domniemać, że dotrze on do każdego adresata. W praktyce może być zupełnie inaczej", mówi Mark Olivieri, administrator systemu informatycznego w Agency Management Services Inc. "Przy replikowaniu informacji jeden z serwerów może np. ulec uszkodzeniu, a system nie powiadomi nas o tym. Nie mamy zatem żadnej pewności, że informacja dotarła do wszystkich". Jest to rzeczywiście problem, potwierdza Jim Garden, szef działu programowania w firmie Workgroup Technologies Inc.

"Zbudowanie takiego systemu wymiany informacji, który pracowałby absolutnie niezawodnie, jest wyzwaniem dla każdego projektanta systemu informatycznego. Szansa na to, że komunikat pocztowy wysłany do wielu użytkowników (eksploatujących różne systemy pocztowe) dotrze do wszystkich po przejściu przez różne bramy poczty E-mail jest raczej słaba", dodaje J. Garden. "Nie jesteśmy nawet w stanie przesłać z jednego systemu pocztowego na drugi zwykłego pliku formatu Rich Text Format (RTF)".

Rozwiązania częściowe

Producenci systemów pocztowych stosują różne sposoby ochrony informacji. OpenMail firmy Hewlett-Packard zakłada np. specjalny dziennik pracy, w którym są zapisywane wszystkie informacje o losach pakietu pocztowego: rozmiar pakietu, nadawca, adresat i nazwy serwerów obsługujących dany pakiet (pracujących w trybie store-and-forward: pamiętająco-wysyłającym). "Używając OpenMail jestem pewien, że każdy pakiet dotrze do adresata", zapewnia jeden z użytkowników tego systemu.

Firma KPMG eksploatuje rodzimy system zawiadywania komunikatami pocztowymi o nazwie Knowledge Manager. Środowisko wymiany informacji pracuje tu bardzo bezpiecznie, a to dzięki specyficznej architekturze systemu Knowledge Manager.

"Możemy swobodnie decydować o tym, komu przyznawać prawo do korzystania z publicznych czy prywatnych baz wiedzy", mówi Craig Fox, szef działu zaawansowanych technologii w KPMG. Informacje przechowywane na serwerze nie są zaszyfrowane, ale dostęp do nich mają nieliczni użytkownicy. "Nie jest to tylko sprawa architektury systemu. Jest to cały proces", dodaje C. Fox. "Zatrudniamy specjalnych administratorów danych, którzy aktualizują bazę danych i sprawują nad nią kontrolę. Tylko oni są uprawnieni do dokonywania jakichkolwiek zmian w pamięci serwera".

Oprogramowanie to umożliwia też szyfrowanie pakietów przesyłanych między systemami typu klient/serwer. Jeśli jednak komunikacja ta ma coś wspólnego z przetwarzaniem transakcyjnym, ochroną danych zajmują się programy sprawdzające identyfikator użytkownika i moduły kontroli dostępu do określonych zasobów bazy danych.

Katalogi

C. Fox twierdzi, że podstawowym elementem systemu zawiadywania komunikatami i wymiany informacji są dobrze zorganizowane katalogi.

"System taki powinien synchronizować idendyfikatory użytkowników rezydujące na różnych komputerach. Jest to nieodzowne, jeśli chcemy być pewni, że klient korzystający z usług pakietu Knowledge Manager jest tą samą osobą, która zamierza właśnie uzyskać dostęp do bazy danych i przeprowadzić określoną transakcję', dodaje C. Fox. "Można wtedy przyznawać lub odbierać pewne uprawnienia całym grupom użytkowników".

Northern Security Networks (oddział firmy Northern Telecom Inc., Ottawa), eksploatuje system Entrust, który świadczy takie usługi, jak: szyfrowanie danych czy dołączanie elektronicznych podpisów do wysyłanych w sieć pakietów. Brad Ross (dyrektor Northern Security Networks) mówi, że Entrust bazuje na pracy systemu kodowania informacji z kluczem wielodostępu i jest produktem poddającym się wyjątkowo dobrze skalowaniu. Można go zatem stosować w przedsiębiorstwach różnej wielkości.

Pomimo tego, że rynek oferuje już szereg produktów chroniących dane w środowiskach opartych na pracy aplikacji zawiadujących przepływem informacji między użytkownikami i systemami, to zapewnienie tym danym absolutnego bezpieczeństwa jest w dalszym ciagu bardzo trudnym, jeśli niemożliwym do wykonania zadaniem.

Dla wielu firm problem ten nabiera pierwszorzędnej wagi dopiero wtedy, gdy wdrożą do pracy u siebie system zawiadujący przepływem informacji. I dopiero wtedy okazuje się, jak wiele pułapek czyha na administratora zarządzającego pracą takiego systemu informatycznego. Rozwiązanie problemu tkwi w odpowiednim zarządzaniu pracą sieci, poczty E-mail i kontrolowaniu przepływających przez system danych oraz w przyjęciu właściwej strategii, jeśli chodzi o udostępnianie określonych zasobów systemu tak poszczególnym użytkownikom, jak i całym grupom roboczym. Nawet wtedy nie zawadzi jednak zdać się na łut szczęścia i mieć nadzieję, że tak skonfigurowany system będzie pracować poprawnie.