VII Международная студенческая научная конференция Студенческий научный форум - 2015

В настоящее время практически ни одна современная организация не обходится без использования баз данных в своей деятельности. Базы данных (БД) – это наиболее значимый и ценный актив для любой компании. Поскольку в БД может храниться очень деликатная или конфиденциальная информация, необходимо очень серьезно относиться к ее защите. Любые сбои в работе СУБД и баз данных могут привести к катастрофическим последствиям. Согласно результатам последних исследований, финансовый ущерб от нарушения одного из свойств «конфиденциальность-целостность-доступность» одной записи базы данных составляет от $100 до $240. Затраты идут на восстановление данных, расследование, ликвидацию ущерба репутации компании и т.д. Поэтому проблема обеспечения безопасности баз данных является крайне актуальной.

Под «защитой БД» понимается способ предотвратить несанкционированный доступ к информации, хранимой в таблицах. Одним из наиболее слабых мест при обеспечении безопасности данных (защите конфиденциальных данных), как правило, является большое количество лиц, получающих к ним доступ на самых различных уровнях. То есть угрозы хранящейся в базах данных информации возникают не только извне, но и изнутри со стороны легальных пользователей. Наиболее типичным примером является скачивание базы данных системным администратором перед увольнением, или воровство базы сотрудником, имеющим к ней доступ в связи с должностными обязанностями. Таким образом, вне зависимости от уровня защищенности каналов доступа к информации, пока существуют бумага и ручка, нельзя быть уверенными, что безопасность баз данных отвечает корпоративным требованиям.

Существует целый ряд технологий и приёмов атак на базы данных, эффективность которых зависит от конфигурации базы данных и сервера, на котором она функционирует, от того, насколько правильно спроектирована и реализована ИТ-инфраструктура и топология сети в целом, от человеческого фактора и лояльности персонала. Атаки на web-серверы и на серверы баз данных зачастую преследуют одни и те же цели, запускаются одними и теми же лицами, и имеют схожий характер. Поэтому и защита информации в базах данных строится на использовании решений, имеющих похожие принципы работы и архитектуру. Среди множества средств защиты БД можно выделить основные и дополнительные.

К основным средствам защиты информации относят следующие:

• парольная защита;

• защита полей и записей таблиц БД.

• установление прав доступа к объектам БД;

• шифрование данных и программ;

К дополнительным средствам защиты БД можно отнести такие, которые нельзя прямо отнести к средствам защиты, но которые непосредственно влияют на безопасность данных. Это:

• встроенные средства контроля значений данных в соответствии с типами;

• повышения достоверности вводимых данных;

• обеспечения целостности связей таблиц;

• организации совместного использования объектов БД в сети.

По мнению экспертов компании Application Security, существует 10 основных угроз БД, которые наиболее часто игнорируются ИТ-персоналом:

1. Используемые по умолчанию, пустые или слабые пароли и логины;

2. SQL-инъекции;

3. Расширенные пользовательские и групповые права;

4. Активизация неиспользуемых функций БД;

5. Нарушение в управлении конфигурациями;

6. Переполнение буфера;

7. Эскалация привилегий;

8. DoS-атаки;

9. Несвоевременное обновление ПО;

10. Отказ от шифрования данных на стационарных и мобильных устройствах.

Существует множество программных решений для защиты баз данных и обеспечения безопасности конфиденциальной информации:

• FortiDB;

• SafeNet DataSecure;

• McAfee Database Security;

• Secret Disk Server NG;

• Крипто БД: защита баз данных (Oracle);

• DataSecure и другие.

Помимо систематического применения арсенала средств защиты БД, необходимо использовать административные и процедурные меры, в частности регулярное изменение паролей пользователей, предотвращение доступа к физическим носителям информации и т.п.

Таким образом, информационные активы составляют основу бизнеса любой организации, а базы данных являются доминирующим инструментом для хранения структурированной информации. Растущие масштабы краж критически важных данных делают все более актуальной необходимость в защите баз данных. Особенно значимым является создание системы защиты от внутренних злоумышленников. Система защиты БД играет важнейшую роль в автоматизации контроля над действиями пользователей, работающими с базами данных, защите от внешних и внутренних угроз и повышении надежности функционирования баз данных.

Список использованных источников

1. http://www.life-prog.ru/1_13285_sredstva-zashchiti-bazi-dannih.html

2. http://itprotect.ru/ Инфозащита.

3. http://www.pcweek.ru/security/article/detail.php?ID=124510.html

4. http://php.ru/manual/security.database.html

Код для цитирования: Скопировать