СКЗИ «Крипто БД» предназначено для обеспечения конфиденциальности и контроля целостности информации, хранящейся в таблицах баз данных СУБД PostgreSQL, посредством криптографического преобразования и имитозащиты.

Использование наложенного сертифицированного СКЗИ «Крипто БД» для защиты таблиц БД JMS является обязательным для сертифицированной версии ПО JMS.

Для интеграции ПО JMS c СКЗИ «Крипто БД» выполните следующие шаги.

  1. Выполните сборку и настройку pljava-расширения для CУБД PostgreSQL (см. «Приложение 3. Инструкция по сборке расширения pljava для CУБД PostgreSQL 9.6 под ОС Astra Linux», с. 143)
  2. Установите плагины Крипто БД для сервера JMS:
sudo apt-get install ./aladdin-jms-cryptodb-server.4.1.0.xxxx_x64

      3. Перезагрузите сервис JMS:

sudo systemctl stop eap-engine
 
sudo systemctl start eap-engine

      4. Выгрузить текущую конфигурацию JMS при помощи команды консольного агента:

Aladdin.EAP.Agent.Terminal cryptodb config --path /tmp/EAPDB.xml

Рис. 24 – Индикация успешной выгрузки конфигурации Крипто БД в файл

      5. Перед шифрованием базы данных выполните остановку сервиса JMS:

sudo systemctl stop eap-engine

      6. В файле конфигурации conf установите значение параметра:

standard_conforming_strings = on

      7. Внесите дополнительные изменения в настройки ОС Astra Linux хоста, на котором установлен сервер СУБД PostgreSQL.

В файле /etc/parsec/mswitch.conf установите zero_if_notfound: yes.

      8. Перезагрузите сервис posgresql.

      9. На подключенной к сети рабочей станции (или сервере) с ОС Windows установите инсталляционный пакет СКЗИ «Крипто БД»: CryptoDB.Admin.Postgres.GOST_7.0.0.XXX_x64.msi.

Для уточнения процедуры установки следует использовать документацию СКЗИ «Крипто БД».

      10. Из меню Пуск ОС Windows выполните запуск Мастера Конфигурирования КриптоБД выполните подключение к БД JMS на CУБД PostgreSQL.

Рис. 25 – Мастер конфигурирования СКЗИ «Крипто БД»

      11. Укажите опцию создания новой учетной записи администратора безопасности:

Рис. 26 – Окно выбора действия в конфигураторе СКЗИ «Крипто БД»

      12. Введите имя администратора (например eapdb_admin), пароль и схему для хранения объектов «Крипто БД»:

Рис. 27 – Окно создания учетной записи администратора безопасности СКЗИ «Крипто БД»

      13. На следующем шаге укажите путь к Файлу конфигурации, выгруженному на шаге 4 (здесь – EAPDB.xml), и Пароль сервера ключей (пароль ключевого контейнера по умолчанию – 1234567890).

Рис. 28 – Окно формирования схемы объектов СКЗИ «Крипто БД» для БД JMS

      14. Выполните развертывание объектов «Крипто БД».

      14.1 На сервере СУБД подключитесь к БД JMS

sudo -u postgres psql -d <EAPDB>

где <EAPDB> — имя БД JMS.

      14.2 Предоставьте пользователю, созданному на шаге 12 (здесь – eapdb_admin), права суперпользователя:

ALTER user eapdb_admin with superuser;

Примечание. Данные права можно предоставить только на период выполнения операций шифрования таблиц БД JMS.

      14.3 В меню Пуск ОС Windows откройте Администрирование КриптоБД Postgres, подключитесь к БД JMS, указывая имя ранее созданного администратора безопасности:

Рис. 29 – Подключение к БД JMS из консоли администрирования «Крипто БД»

      14.4 Выберите ключевой контейнер:

Рис. 30 – Выбор ключевого контейнера в консоли администрирования «Крипто БД»

      14.5 В окне аутентификации введите пароль по умолчанию 1234567890:

Рис. 31 – Ввод пароля ключевого контейнера

      14.6 Перейдите в раздел Настройки безопасности -> Сервер ключей, по нажатию правой кнопки мыши выберите — Запустить. В появившемся окне нажмите ОК и введите заданный на шаге 13 Пароль сервера ключей:

Рис. 32 – Ввод пароля сервера ключей

      14.7 После ввода символов энтропии сервер ключей должен перейти в статус Активен.

      14.8 В разделе Защищаемые таблицы -> В процессе зашифрования последовательно на каждой из таблиц по нажатию правой кнопкой мыши выбрать Зашифровать.

Рис. 33 – Выбор таблиц для зашифрования

      14.9 Все шифруемые таблицы БД JMS (в соответствии со схемой защиты) должны появиться в разделе Защищаемые таблицы -> Зашифрованные:

Рис. 34 – Проверка состава зашифрованных таблиц

      15. Запустите сервис JMS:

sudo systemctl start eap-engine

      16. При помощи консольного агента убедиться, что «Крипто БД» готова к работе – Сервер ключей КриптоБД должен быть запущен:

Aladdin.EAP.Agent.Terminal cryptodb status

Рис. 35 – Индикация успешной запуска сервера ключей Крипто БД