Александр ДОДОХОВ,
руководитель проекта ЗАО «Аладдин Р.Д.»

Алексей САБАНОВ,
коммерческий директор ЗАО «Аладдин Р.Д.»

Достаточно ли встроенных средств защиты?
Даже беглый обзор средств защиты информации, которые корпорация Oracle встроила в свои продукты и технологии, показывает довольно солидный задел для построения ИС с различным уровнем защищенности, отвечающих самым современным требованиям по безопасности. При этом практика показывает, что за редким исключением, в системах защиты различного ПО, использующего СУБД или сервер приложения Oracle, не используется обширный арсенал встроенных средств обеспечения безопасности. Чаще всего можно встретить три сценария:
- встроенные средства безопасности не используются вовсе (достаточно парольной защиты);
- встроенные средства заменяют аналогичные по функционалу собственные разработки или готовые разработки, предлагаемые на рынке;
- встроенные средства дополняются ПО сторонних разработчиков.
Перейдем к рассмотрению данных подходов с точки зрения современных требований к безопасности, надежности и удобства эксплуатации, имея в виду платформу Oracle.

Сценарий I. Встроенные средства безопасности не используются
Аргумент: «Парольной защиты достаточно»
Простота использования парольной защиты не вызывает сомнений. Но вот с точки зрения надежности, безопасности и удобства эксплуатации такая технология себя изживает. Надежность пароля и, следовательно, безопасность его использования напрямую зависят от его длины и качества (применяемые символы, их регистр, отличие от осмысленных слов). А удобство использования стремительно падает даже при незначительном усилении «безопасности» пароля – запомнить нечитаемую комбинацию из 20 символов довольно сложно.

Продолжение читайте в печатной версии журнала