Безопасность OpenEdge-приложений

Автор:	Перевод:
Paul Koufalis, President, Progreswiz Consulting	Башкатов В.Г.

Перевод выполнен с разрешения автора. При любом использовании материала статьи обязательно указание гиперссылки на источник и информации об авторе и переводчике.

ВВЕДЕНИЕ

За последние несколько лет безопасность стала горячей темой в IT-сфере. Не смотря на то, что компании доверяют своим служащим, недавние проблемы у таких компаний как, например, Enron, WorldCom, доказали, что это, по крайней мере, наивно. В сегодняшнем мире компания должна применять превентивные меры, гарантирующие сохранность и безопасность одного из своих самых важных активов – данных.

Принятие решения о проактивной защите данных должно сопровождаться пониманием того, что никакая система обеспечения безопасности не может быть надежной на 100%, так как авторизованные пользователи должны иметь доступ к данным. Для каждого замка должен быть ключ, а если есть ключ, то рано или поздно способ открыть замок будет найден, и это факт, который просто нужно принять. Ситуация усложняется ещё и тем, что при попытке улучшить безопасность приложения вы, как конечный пользователь, вероятно столкнётесь с сопротивлением разработчика приложения, не предусматривающего в настоящее время в приложении требуемый функционал. И наоборот, как поставщик приложения вы можете столкнуться с апатией и отсутствием интереса со стороны клиентов, т.к. они хотят быстрый, простой и, главное, насколько это возможно, дешевый программный продукт.

Как прямой результат подобных ограничений реальная задача заключается в том, чтобы определить приемлемую степень защиты в пределах от 0 до 99,99 %. Как несколько предметов одежды сохраняют больше тепла, чем один, так несколько уровней защиты ставят в более сложные условия потенциальных похитителей данных. Эта статья рассматривает различные уровни защиты данных и обсуждает методы реализации каждого из них.

ЦЕЛИ И ЗАДАЧИ

Главная цель статьи заключается в том, чтобы открыть глаза читателю на проблемы безопасности, о существовании которых он даже не подозревает. Вторая, не менее важная цель – это рассказать о простых и доступных в реализации способах защиты OpenEdge-данных (далее я буду называть их уровнями защиты).

Ваша задача – используя полученную информацию создать наиболее полный список возможных проблем безопасности, на основании которого решить, являются ли потенциальные нарушения ниже или выше допустимой терпимости риска. Если они ниже, их можно проигнорировать … пока. Если они выше, необходимо инициировать действия по устранению возможных нарушений.

АУДИТОРИЯ

Предлагаемые технические решения предназначены в основном для администраторов баз данных или системных администраторов, но дискуссия в отношении потенциальных нарушений на каждом уровне может представлять интерес и для руководителей среднего и высшего звена. Понимая проблему, руководство сможет лучше осознать предлагаемые решения IT-отдела и более эффективно содействовать их реализации.