Библиотека Интернет Индустрии I2R.ru

Многие компании не придают значения вопросам безопасности, игнорируя тот факт, что архитектурные компоненты Business Intelligence (BI) таят в себе "определенную опасность". Обеспечение безопасности BI-среды не менее важная задача, чем защита операционных приложений.

События прошедшего года показали насущность вопросов безопасности и неприкосновенности личности. Многие компании принимают меры по защите своих работников и корпоративной собственности, эта тенденция не обошла стороной и IT-отделы: задачи обеспечения защищенности систем и конфиденциальности информации приобрели первостепенное значение.

Первое, на что устремлен взор IT-специалиста при решении этой проблемы, это операционные приложения. Данные программы являются своеобразным основанием, на котором функционирует бизнес, и любая неисправность, сбой в этих системах будет иметь катастрофические последствия. К сожалению, многие компании отказываются распространить требования по обеспечению безопасности и на область Business Intelligence. Как правило, BI-среда содержит полную и точную информацию, которая охватывает все предприятие - такая информация является бесценным достоянием, сохранность которого имеет огромное значение. Так почему же столь ничтожное количество компаний придает этому вопросу должное внимание, едва ли сопоставимое с той тщательностью, с которой организации подходят к обеспечению защиты своих операционных приложений?

Необходимость безопасности систем оперативной обработки транзакций (On-Line Transaction Processing, OLTP) осознается большинством компаний. Особенность реализации этой задачи для OLTP-приложений заключается в том, что она хорошо поддается структуризации и является статичной (определенные приложения каждый раз одинаковым образом обращаются к определенным данным). Круг пользователей весьма ограничен - это работники с определенными бизнес-функциями, которые работают с приложениями и данными, которые касаются только их поля деятельности. Кроме того, физическая структура этих приложений также остается довольно постоянной. Инструментальные средства и базовая структура данных меняются нечасто.

Среда Business Intelligence и Хранилищ данных, наоборот, характеризуется значительной динамичностью вкупе с широкой и часто меняющейся пользовательской аудиторией, причем пользователи могут быть как внутренними, так внешними. В такой ситуации гораздо сложнее (а иногда и практически невозможно) распределить пользователей по подмножествам данных; особенно это касается BI-приложений высокого порядка, как, например, решения управления эффективностью корпорации (corporate performance management), где окончательная информация получается посредством изучения данных всего предприятия. Помимо этого, физическая структура этой среды часто является неясной: в нее устанавливается множество различных средств, а сами данные пребывают в постоянном движении (из Хранилища данных в витрины данных и на пользовательские машины). В результате, мероприятия по обеспечению безопасности корпоративной информации обходят стороной BI и Хранилища данных.

Для того, чтобы гарантировать защищенность BI-среды, компании должны в первую очередь выполнить задачи безопасности, возникающие на уровне отдельных компонентов BI-оболочки.

Каждый из основных компонентов BI-оболочки имеет "свою степень риска" и для обеспечения безопасности каждого компонента потребуется реализовать различные подходы (и различные технологии). Это крайне непростая задача, и, пожалуй, наибольшую сложность представляют "пробелы" между компонентами. Ведь BI-оболочка никогда не поставляется как одним поставщиком, так и в виде одной технологии, а бесшовная интеграция между компонентами невозможна. Более того, именно то, как компоненты работают друг с другом, и то, как информация проходит между ними, и образует "точки риска". Сама суть Business Intelligence подталкивает бизнес-пользователей к расширению доступа к данным и контроля над ними. Поэтому необходима жесткая политика по защите информации, которая должна помочь "залатать дыры", созданные многочисленными, полуинтегрированными технологическими компонентами, а также минимизировать огромный риск, присущий человеческому фактору.

Сами данные

Данные в Хранилище, витринах и операционных складах данных создают условия для осуществления всей BI-деятельности и, как правило, включают гигантские объемы детальных, транзакционных данных. Поскольку они часто отображают длительный отрезок времени, относящейся к истории существования компании, как, например, финансовая информация, обеспечение защищенности таких данных чрезвычайно важно. При рассмотрении задач безопасности данных следует задаться следующими вопросами:

• Кто располагает доступом к Хранилищу, витрине данных, кубам и так далее?
• Каковы рамки их доступа: одна предметная область, множество предметных областей или все области?
• Каким типом доступа они обладают, например, только чтение или возможность модификации?

Топология данных в BI-среде влияет на возможности доступа к данным и обеспечение безопасности. Во многих компаниях результаты запросов часто загружаются на индивидуальные машины с целью дальнейшей детализации и использования. Эти данные оказываются в витринах данных, настольных базах данных или крупноформатных электронных таблицах и быстро оказываются вне пределов инфраструктуры безопасности IT-отдела, хотя по-прежнему сохраняют свою конфиденциальную сущность. При рассмотрении топологии данных с точки зрения безопасности необходимо изучить следующие вопросы:

• Насколько распределенной является архитектура данных, поддерживающая BI.
• Имеется ли дополнительное распределение данных и, если да, то каковы связанные с ним риски.
• Что делают пользователи с загружаемыми данными.
• Передают ли пользователи данные внешним партнерам.

Процесс сбора данных

Обычно процесс сбора и подготовки данных для BI-среды очень сложный и "непрочный". Огромное число источников данных и значительное разнообразие данных приводят к многоступенчатым процессам, в которых данных интерактивно собираются и преобразуются для загрузки в Хранилище данных. Данные, подвергающиеся как процессу сбора, так и преобразования, также образуются "точки риска".

• Кто располагает доступом к средствам извлечения данных из операционных систем?
• Где находятся данные, пребывающие в процессе сбора, перед тем как оказаться в Хранилище данных, и кто имеется доступ к этой области?
• Какова логика преобразования, безопасность которой реализуется в средствах извлечения, преобразования и загрузки (ETL)?
• Если никакие средства не используются, то, какова защита ETL-процессов, написанных пользователем, от несанкционированных модификаций?

Пользовательские средства запроса/репортинга и BI-приложения

BI-средства и аналитические приложения - это в первую очередь механизмы, предназначенные для доступа к данным в Хранилище данных. Такие средства часто приобретались в большом количестве с целью широкого и глубокого развертывания BI по всему предприятию. Эти инструменты представляют особую ценность только для конечного числа пользователей, и их нахождение в "не тех руках" представляет серьезную опасность.

• Кто располагает разрешением на использование средств запроса и репортинга?
• Назначен ли каждому пользователю личный ID?

Появление и развитие BI-приложений для электронной коммерции по схеме "бизнес-бизнес" (business-to-business) и "поставщик-покупатели" (business-to-consumer) усилили насущность вопросов безопасности.

• Насколько свободно ваши клиенты и поставщики обмениваются предоставленной им информацией в рамках своих предприятий?
• Предоставляют ли они ее своим внешним акционерам?
• Не может ли эта информация попасть в руки ваших конкурентов?

Политика информационной безопасности

Корпоративная политика информационной безопасности часто не затрагивает информации, которая хранится, анализируется и поставляется посредством BI-приложений. Поскольку BI усиливает доступность к информации, часто передавая ее в непосредственное распоряжение бизнес-пользователей, информация быстро оказывается вне пределов инфраструктуры безопасности IT-отдела. Поэтому при формировании корпоративной политики информационной безопасности необходимо рассмотреть следующие вопросы.

• Учитывает ли корпоративная политика безопасности специфику IT.
• Имеются ли области значительного риска, которые могут быть устранены посредством такой политики.
• Затрагивает ли правительственные постановления информацию, которая хранится, анализируется и представляется BI-среде.
• Не нарушают ли текущие или планируемые BI-мероприятия эти постановления.