|
“Что охраняешь, то и имеешь!”
М.Жванецкий
Собственно говоря, одного только названия этой книги достаточно, чтобы рука профессионального АБД Oracle потянулась к самому интимному месту каждого человека - к его кошельку, а его глаза, не дожидаясь прихода на рабочее место, впились и не оторвались от оглавления и текста, а его губы непроизвольно и непонятно для окружающих стали повторять заветные слова: “аутентификация пользователей, парольная безопасность, межсетевой экран, роли и связи базы данных, привилегии, защита от хакеров, …” :o)
!
Если же снять с предыдущих слов налет шутливости, то действительно надо отметить, что выпущена воистину уникальная и чрезвычайно полезная и нужная книга. В таком объеме, в такой полноте и развернутости тема безопасности Oracle в русскоязычной литературе еще не освещалась. Названия частей и глав этой книги говорят о своем содержании лучше любого рецензента:
- Часть 1.
“Основы”: основы архитектуры, реализации и планирования безопасности в Oracle.
- Часть 2.
“Безопасность в операционной системе”: безопасность базы данных Oracle в UNIX и Windows NT/2000, аутентификация пользователей и роли в этих операционных системах.
- Часть 3.
“Безопасность базы данных Oracle”: собственные механизмы обеспечения безопасности – пароли пользователей и парольные опции профилей, привилегии, роли, представления, связи (называемые в книге ссылками) баз данных, а также вопросы безопасности приложений и инструментальных средств.
- Часть 4.
“Безопасность сетевых коммуникаций”: целостность сети, аутентификация и шифрование; виртуальные частные базы данных (VPD), Oracle Label Security, архитектура LDAP и реализация Oracle Internet Directory; межсетевые экраны; реализация безопасности в HTTP-сервере Apache от Oracle, а также управление безопасностью Oracle Portal.
- Часть 5.
“Хакеры и выявление подозрительных действий”: реализация аудита, защита БД от хакеров, включая причины и классификацию внешних и внутренних атак на систему, средства и мероприятия для оценки безопасности, обнаружения и предотвращения вторжений.
- Приложение А
. “Глоссарий” - на 76 словарных статей - терминов, используемых в книге, многие из которых впервые так компактно собраны вместе.
- Приложение В.
“Контрольный список для оценки риска безопасности” - без комментариев, и понятно, почему.
- Приложение С.
“Какие шаги необходимы для безопасности вашей системы”: список пользователей по инсталляции и их паролей по умолчанию; удаление ненужных привилегий, предоставленных роли PUBLIC; включение SSL.
- Приложение D.
“Системные привилегии и параметры аудита” в Oracle8.1.7.: таблица D.1 -список (на 115 позиций) предоставляемых системных привилегий и таблица D.2 – опции (144 штуки) аудита.
- Приложение Е.
“Средства безопасности Oracle9i”: аутентификация через посредника, безопасность Java, поддержка PKI (Public Key Infrastructure) – эта главка, конечно, слишком скромна по сравнению с заявкой ее названия, но не будем забывать, что английский оригинал этой книги появился на самой заре Oracle9i и, самое главное, практически все (!!) механизмы Oracle8i, в том числе и обеспечения защиты и безопасности, полностью перешли в Oracle9i.
Мы рассчитываем, что читатели извинят нас за столь подробное изложение оглавления “Oracle. Руководство по безопасности”. В издательской аннотации, которая выложена в Интернете, приводится список важнейших рассматриваемых вопросов, но они сформулированы в общемаркетинговых оборотах. Нам же было важно сразу и детализированно показать, что в этой книге полно и систематически освещены большинство тем по организации защиты и обеспечению безопасности базы данных Oracle, которые необходимо иметь в виду и принять к исполнению на любой промышленной вычислительной установке, использующей технологии Oracle.
Очевидно, что промышленную БД Oracle, а точнее и правильнее, промышленную информационную систему всегда обслуживают и эксплуатируют большое число пользователей самых разных категорий. Все они в той или иной степени участвуют в обеспечении и поддержании системы безопасности. Или, наоборот, в нарушениях безопасности, или в том и другом одновременно. Поэтому каждому участнику прописывается своя мера ответственности, которую до него должны довести наиболее квалифицированные и доверенные люди в организации.
Попробуем в очередной раз классифицировать пользователей Oracle, ИТ-специалистов, которым в большей или меньшей степени предназначена рецензируемая книга:
- профессиональные АБД Oracle, сисадмины UNIX, Windows и других серверных платформ с БД Oracle. Добавим в эту группу сетевых и web- администраторов;
- начинающие администраторы из числа лиц первого списка, у которых по началу голова идет кругом от многообразия процессов, обязанностей, терминологии, возможный рисков и аварийных ситуаций, новых сведений и т.п.;
- профессиональные и начинающие администраторы промышленных приложений на Oracle, разработчики приложений;
- руководство IT-подразделений в компаниях, работающих с БД и приложениями Oracle;
- наиболее квалифицированные конечные пользователи приложений и систем на Oracle.
Особо хочется подчеркнуть, что “Oracle. Руководство по безопасности” предназначено не только (и может быть, не столько) для уже состоявшихся ИТ-профессионалов в области безопасности баз данных: офицеров безопасности, администраторов приложений и баз данных, сисадминов вычислительных установок и сетей. Они очень многое или даже почти все - жизнь заставила (!!) – изложенное в этой книге знают. И, тем не менее, читая “Oracle. Руководство по безопасности”, каждый из нас неизбежно проверяет себя: “А это сделал? А эту возможность предусмотрел? А можно ли, нужно ли применить описываемый механизм защиты в твоей базе, в твоей операционной системе?…” Прямо-таки сам себе сдаешь экзамен по курсу “Обеспечение безопасности в Oracle”! Поэтому, прежде всего эта книга нужна ИТ-профессионалам от Oracle, изучающих его на практике самостоятельно, еще не прошедших горнило учебных курсов и сертификационных экзаменов. Книга поможет вам и в повседневной практике, и при подготовке к экзаменам.
Как литературное произведение “Oracle. Руководство по безопасности” следует оценить очень высоко, поскольку написана книга блистательными авторами и переведена на хорошим литературно-техническом уровне. (О неизбежных упущениях в терминологии говорить не будем, так как для незнающих эти упущения не существенны, а знающие правильную терминологию поморщатся, но не станут придираться.)
Пожалуй, не стоит настаивать на всеобъемлющем знакомстве с “Oracle. Руководство по безопасности” конечных пользователей и руководства IT-подразделений. Для этих специалистов написаны несколько прекрасных начальных главок, посвященных основам архитектуры, реализации и планирования безопасности в Oracle. Этого вполне достаточно, чтобы получить общее описание и понимание проблем безопасности, осознать степень своей персональной ответственности. ИТ-менеджерам, безусловно, надо также ознакомиться с принципами действия основных механизмов обеспечения безопасности, чтобы требовать от своих администраторов соблюдения и творческого применения имеющихся и появляющихся средств защиты. Знать содержание книги – необходимо, а еще лучше иметь ее экземпляр в своем ИТ-подразделении.
Есть еще одна категория “пользователей”, которых, безусловно, заинтересует эта книга даже без нашей рекомендации. Это - хакеры и злоумышленники различных мастей, умений и помыслов, особенно те, кто использует человеческий фактор в достижении своих неблаговидных целей. Впервые в книжной литературе по Oracle рассмотрены приемы и средства, предотвращающие их деятельность, хотя в нашем журнале мы неоднократно публиковали материалы П.Финнегана о возможностях аудита, о SQL Injection, о паролях по умолчанию инсталлируемых по умолчанию (или по незнанию) ненужных пользователей. Очень хорошо, что такой раздел появился в книге. Неприятеля лучше изучить прежде, чем с ним придется столкнуться.
Итак, впервые на русском языке, за исключением документации по Oracle, где все это разбросано по “селам и весям”, появилось солидное издание, посвященное очень многим проблемам, механизмам и решениям безопасности Oracle в основном в области серверных и прикладных технологий. Скажем честно, вопросы безопасности сервера приложений (Oracle Application Server) и web-технологий рассмотрены, с нашей точки зрения, недостаточно. Но “Нельзя объять необъятное!”, с одной стороны, а, с другой, - надо же что-то оставить для будущих книг. АБД-профессионалы могут немного поругать книгу за избыточное иногда многословие. Многим из нас хотелось бы иметь этакую выжимку-шпаргалку, краткий справочник-цитатник по защите и безопасности Oracle. Конечно, на такую высокую степень концентрации информации, как шпаргалка, эта книга не претендует, все-таки она - литературное произведение для широкого спектра пользователей.
И последнее. В системах защиты не бывает истины в последней инстанции, ибо на каждый замок находится своя отмычка, если не железная, то золотая. И каждый опубликованный план безопасности уже перестает быть таковым, становясь учебным пособием. Но на то и нужны учебные примеры, чтобы каждый из нас сумел придумать свой план или, точнее, технологию последовательной заменяемости планов обеспечения безопасности. А лучшего учебника на русском языке по безопасности Oracle пока нет, и этим все сказано.
Спасибо тебе, книга!
Виктор Абрамов,
научный редактор "Oracle Magazine/Русское Издание"
Анатолий Бачин,
главный редактор “Oracle Magazine/Русское Издание”
|
