Базы данных способы защиты информации

Защита информации в базах данных

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

Б аза данных является хранилищем определенных сведений, распределенных по обусловленной системе, и создается с целью поддержания порядка всего объема информации. Разновидности и содержание хранилища данных зависят от специфики организации. В любом формате хранения информация должна быть защищена от взлома средствами, которых насчитывается великое множество, в соответствии с разнообразием систем безопасности. При этом средства внедрения в чужие базы данных совершенствуются быстрее, чем средства для предотвращения угроз.

Кроме хранения, современные архивы позволяют своевременно составлять отчеты и анализировать их содержание. Для удобства пользователей user большинство систем адаптировано к системе Windows.

Взлом базы данных может быть произведен как с целью повреждения сведений, так и для несанкционированного доступа. Оба аспекта крайне нежелательны и влекут ряд последствий.

Понятие угрозы безопасности

Под угрозой безопасности понимают все способы вторжения, провоцирующие причинение ущерба информации (искажение или разрушение), хищение информационных ресурсов, в том числе с целью сбыта. Возможны как случайные, так и преднамеренные угрозы.

Под случайными понимаются технические сбои, не зависящие от пользователя, – ошибки, повреждения компьютеров или носителей, природные бедствия. Ошибки по невниманию, как правило, связаны с нарушением процесса выполнения программ, и происходят чаще всего по вине сотрудников.

Преднамеренные угрозы зачастую реализуют внешние источники вторжения, то есть не имеющие отношения к организации – источнику информации. Таких «специалистов» может заинтересовать как программное обеспечение, так и обрабатываемые им сведения. Причем цели присвоения ресурсов могут быть разными: от банальной наживы до саботажа и дискриминации всего предприятия и впоследствии – разлада рабочего процесса.

Понятие защиты БД

Что касается сохранности содержимого баз, стоит выделить два основных подхода, которые призваны обеспечить безопасность данных:

1. Избирательное управление данными. Достаточно гибкий способ, при использовании которого разные контрагенты могут быть наделены различными полномочиями по отношению к одному и тому же элементу.

2. Обязательное управление данными. Этот способ имеет обратную схему действия, то есть база данных и все объекты библиотек распределены по уровням секретности, которые подразумевают допуск к просмотру и модификации пользователей с соответствующим уровнем доступа или выше. Дабы не нарушать всю структуру секретности, способ не дает возможности субъекту с наивысшей классификацией полномочий вносить данные в категории низшей секретности.

На обеспечение целостности и конфиденциальности сведений предприятия и средств их хранения направлена определенная система действий, исключающая несанкционированные манипуляции с информацией. Защита является надежной, если допуск в хранилище осуществляется через многоступенчатую проверку прав доступа и при этом имеется достаточный набор программных средств. В идеале система должна фиксировать любые изменения, связанные с безопасностью.

Первостепенные критерии надежности:

• Политика безопасности данных. Направлена на мониторинг потенциальных угроз и поиск средств для их устранения. Содержит правила и нормы пользования содержимым хранилища, свойственные конкретной организации. На основании редакции политики безопасности определяются отдельные механизмы организации защиты системы.
• Гарантированность данных. Предполагает оправданность выбранных программных средств. Эта категория воплощает те механизмы, которые дают ход политике безопасности конкретной системы.

Вычислительная часть системы управления безопасностью контролирует допуск контрагентов к тем или иным операциям с данными, находящимися под защитой. Функции мониторинга при обращении субъекта соотносят допустимые для него действия.

Факторы риска

Наиболее распространенной проблемой безопасности хранилища является несанкционированный распределенный доступ к ПК, поэтому защита персонального рабочего места – отдельный важный аспект данной статьи. К слову, изначальное назначение персонального компьютера не было ориентировано на процесс защиты информации, а, скорее, на личное пользование. Риск подобной угрозы возрастает именно для содержимого ПК по следующим причинам:

• Доступность ПК для посторонних. Как известно, не все владельцы конфиденциальных сведений склонны оберегать свое рабочее место. Зачастую, отсутствуя, они оставляют систему работающей, чем легко воспользоваться для извлечения конфиденциальной информации или ее повреждения.
• Коллективные средства. Во многих организациях программными инструментами пользуются на корпоративной основе. Данный фактор позволяет осуществить доступ, не подразумевающий ответственности конкретного пользователя, что ведет к безнаказанности нарушителя.
• Стационарные накопители также являются рискованным решением, так как сохраняют весь объем сведений даже вне питания.

Стоит ознакомиться с основными факторами, повышающими риск похищения или уничтожения сведений, циркулирующих в библиотеках информации:

• увеличение объема баз при помощи автоматизированного учета;
• «разнокалиберные» данные для разного использования, собранные в одной библиотеке;
• недостаточный контроль за расширением круга лиц, имеющих доступ;
• недостаточный контроль механизмов дистанционного обмена информацией.

Меры предосторожности

В случае использования ПК для хранения базы данных, не рассчитанных на широкую аудиторию, следует позаботиться об усиленном программном обеспечении для ее защиты и сохранности. Меры должны включать физическую защиту рабочего места. Это подразумевает идентификацию каждого пользователя посредством комплекса современных систем обнаружения объектов: замки, инфракрасные, лазерные, ультразвуковые системы, реагирующие на перемещение, телевизионные системы наблюдения, кабельные системы с датчиками приближения к объекту. Все допустимые средства минимизируют вероятность несанкционированного проникновения злоумышленников к рабочему месту пользователя.

К мерам аппаратной защиты сведений можно отнести:

• контроль доступа и действий с элементами данных. Лица, отвечающие за безопасность, должны быть мгновенно оповещены системой регистрации о попытках доступа для оперативного реагирования;
• своевременное архивирование;
• ведение учета всех обращений к системе;
• достойное качество программного обеспечения и разработки средств отражения угроз. Подразумевается ведение журнала регистрации попыток входа и исключение обходных путей.

Основные правила защиты БД

Существует два проверенных метода защиты:

1. Парольная защита. Самый простой, но в то же время самый ненадежный метод, особенно если использовать пароль без шифровки, так как вычислительная система не видит другого пользователя с идентичными паролями. Также недостатком является необходимость запоминания пароля либо фиксирования на отдельном носителе (листок бумаги или телефон), что не совсем удобно, так как простые для запоминания комбинации злоумышленники легко вычисляют, а записанные на шпаргалке могут быть преданы разглашению. Целесообразнее устанавливать для входа в систему несколько паролей, каждый из которых дает полномочия различной степени.

2. Идентификация пользователя. Довольно серьезный и надежный подход, при котором попытка получения разрешения сопровождается немедленным процессом аутентификации, то есть исключения подмены входящего.

Для идентификации используют:

• запрос пароля;
• контрольный вопрос, затрагивающий сугубо личные сведения пользователя;
• электронный ключ или многопроцессорная карточка, на защитную полосу которой нанесен код (тот же пароль). Усложненный вариант – специальный жетон, который формирует псевдослучайные пароли;
• активные средства. Современная перспективная технология, в основу которой положено использование радиопередатчика с низким сигналом действия и соответствующего приемника. Средство способно опознавать сигнал без применения физического контакта, при помощи поднесения одной части конструкции к другой;
• биометрики субъекта. Инновационное и, бесспорно, самое надежное из применяемых средств с соответствующей стоимостью. Способно идентифицировать пользователя по физиологическим параметрам, таким как: отпечаток пальца, сетчатка глаза или голос.

Рекомендации по защите основных ресурсов компании:

1. Для предотвращения копирования база данных снабжается привязкой исполняемого кода к оборудованию с целью несрабатывания на стороннем компьютере.

2. Для предупреждения изучения программной составляющей применяют механизмы, замедляющие либо исключающие процесс исследование. Как вариант, можно запрограммировать систему защиты так, чтобы после определенного количества попыток входа, то есть введения неверного пароля, дальнейшие попытки подключения были заблокированы. В некоторых случаях целесообразно разработать вариант самоликвидации системы.

3. Исключить несанкционированное изменение данных можно путем сравнения одной из характеристик файла. Программа контроля модификации файлов забьет тревогу при обнаружении разницы между измененным и исходным файлами, которые предоставляет база данных.

4. Защитить данные от удаления можно, лишь разработав либо приобретя программу с функцией защиты от удаления файлов, так как в операционных системах MS DOS и Windows таких ресурсов, к сожалению, не предусмотрено.

5. Популярным и надежным методом предотвращения попыток просмотра является шифрование данных. Процесс взлома усложняется подбором ключа шифрования, что практически невозможно, несмотря на довольно развитые программные средства.

6. Для минимизации последствий сбоев вычислительной системы активно используется практика резервирования данных. Причем внесение избыточности на разных уровнях процесса выполняет разные задачи. Это может быть резервирование аппаратных составляющих (компьютеров, локальных устройств или схем). Функциональное резервирование, когда сразу несколько элементов системы выполняет одну функцию. Подобная схема срабатывает в случае выхода из строя основного элемента, заменяя его на резервный. Информационное резервирование направлено на сохранность наиболее значимых фрагментов хранилища и осуществляется путем их периодического архивирования. К слову, архивировать и копировать стоит не только документы, но и программы.

Методы защиты

В зависимости от разновидности системы управления базой данных способы защиты от нежелательных вмешательств могут иметь незначительные различия. Но, независимо от этого, они делятся на основные и дополнительные.

Основные имеют следующую классификацию:

• Защита с использованием пароля. Код доступа назначается администратором системы управления БД и хранится зашифрованным в одном из системных файлов, что исключает возможность расшифровки. При выборе такого способа библиотека данных в пароле не нуждается.
• Пароль на дешифровку. Защита при помощи шифрования считается не 100% безопасным способом, так как расшифровать данные все-таки можно. Поэтому, выбрав такой метод, все-таки следует «запаролить» дешифровку.
• Шифрование стартовых версий программ позволяет скрыть последовательность производимых операций.

Не стоит забывать про возможность установления прав доступа. Это значительно снижает риск нежелательного проникновения к конфиденциальным элементам.

Права доступа к библиотекам данных могут работать в следующих режимах:

• возможность просмотра данных;
• возможность редактирования;
• возможность расширения таблицы путем добавления сведений;
• возможность добавления и удаления данных;
• возможность выполнения всех перечисленных действий.

Удобство использования прав доступа к данным состоит в их применении и к отдельным частям библиотеки. В большинстве баз данных отдельные поля намеренно не защищаются, но на практике в этом может возникнуть необходимость.

Дополнительные средства для сохранения безопасности базы данных хоть и принято считать косвенными, применять все-таки стоит:

• Контроль содержимого. В случае механической ошибки при заполнении возможен вариант внесения значения, не соответствующего типу редактируемого поля. Ситуацию спасает функция контроля значений, блокируя ввод и сигнализируя об ошибке.
• Проектирование хранимых процедур. Для глубинного контроля смыслового значения обрабатываемых элементов путем установления ограничений данных применяются технические средства повышения достоверности информации. Сюда же можно отнести более совершенную форму регулирования достоверности – проектирование хранимых процедур. Это программы, алгоритм которых позволяет производить некоторые действия с данными таблиц.
• Устройства для разрешения конфликтов данных. Они предусмотрены во всех современных программных разработках и решают задачу параллельного редактирования одного и того же объекта несколькими пользователями, даже если архив данных единый. Однако с целью исключения конфликтов нередко внедряют системы блокировки.

Современные программные ресурсы, инновационные технические разработки и советы по организации безопасности данных, используемые в комплексе, позволяют надежно защитить корпоративную информацию.

Источник

Виды защиты баз данных

Защита баз данных
с помощью системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

С охранность базы данных, включающей конфиденциальные сведения, должна быть в приоритете у службы безопасности предприятия. Способов много, универсального решения нет. Выбирая, необходимо ориентироваться на конечные цели организации и нужную степень защиты.

Шифрование

Шифрование применяют для искажения всех данных полностью или отдельного блока информации в процессе хранения и передачи. Даже если злоумышленник похитит важные сведения, прочитать их без ключа он не сможет.
Иногда для защиты ставят пароль на дешифровку. В этом случае работа с информацией происходит следующим образом: перед использованием производится ее расшифровка, а после данные снова «прячутся».

Основные способы шифрования:

• симметричное и ассиметричное;
• хеширование данных;
• шифрование на уровне хранилища;
• на уровне БД;
• на уровне приложений.

Шифрование используется для защиты от несанкционированных пользователей не только информации, но и алгоритмов, функций программ. Однако использование шифрования и дешифровки усложняет работу системы управления базами данных (СУБД), так как дает дополнительную нагрузку на сервер.

Использование пароля к БД

Этот способ защиты информации предусматривает авторизацию пользователей для получения доступа к базе данных. Наличие пароля позволяет избежать несанкционированного доступа.

Защита с помощью пароля может использоваться в комплексе с разграничением доступа к БД. В этом случае сначала защищают информацию на уровне пользователя (когда с одной БД работают несколько человек с разными правами), а затем настраивают парольный доступ к ней.

Парольная защита – надежный метод охраны данных. Чем сложнее комбинация символов, тем тяжелее взломать базу данных. Пароли хранятся в базе, прямого доступа к ним нет.

Требования к надежному паролю:

• комбинирование разных знаков – заглавные и строчные буквы, цифры, специальные символы;
• количество знаков – не меньше 6;
• периодическое обновление;
• хранение в секрете от пользователей без доступа.

Во многих организациях практикуют периодическую смену паролей (каждый день, неделю, месяц). Чем чаще они будут меняться, тем ниже вероятность получения злоумышленниками доступа к секретной информации.

Установлением и изменением паролей к базам данных обычно занимается администратор, в некоторых организациях эта обязанность возлагается на конечного пользователя.

Разграничение прав доступа

Этот способ сохранения конфиденциальных данных применяется, когда с одной БД работают несколько пользователей (или групп) с разным уровнем доступа к информации. Установление прав доступа к использованию данных возможно при работе на одном компьютере или по локальной сети. Каждый будет заходить под своим логином и паролем и использовать БД в зависимости от прав. Например, администратор может изменить данные БД, дополнить их, удалить. А менеджер только прочитать или изменить часть сведений (например, выбранный столбец таблицы или строку).

• содержание в одной базе различных сведений;
• расширение круга пользователей БД;
• организация защиты от непреднамеренного или целенаправленного изменения данных или элементов программного обеспечения;
• защита секретной информации.

Установить ограничения можно не только по доступу к определенным видам информации, но и по принципу работы с ней. Например, можно установить определенные рамки работы с таблицами для выбранной группы пользователей (разрешение или запрет действий):

• запрет доступа;
• режим чтения;
• разрешение на редактирование, удаление данных;
• право на добавление информации и изменение структуры исходных сведений;
• установление защиты поля или строки;
• скрытие объектов БД.

С БД могут возникать проблемы не только в плане защиты их от несанкционированного доступа. СУБД исключает ввод недостоверной информации – в процессе создания таблиц вводятся ограничения на ввод некорректных сведений (если в месяце 30 дней, 31 число поставить нельзя). А также периодически создает резервные копии БД с сохранением на съемные носители или в удаленные хранилища, откуда сведения можно будет восстановить в актуальном состоянии в случае необходимости.

Избирательное и обязательное управление доступом

Система управления БД позволяет разграничить права доступа пользователей или, наоборот, объединить их в группы по признаку разрешенных однотипных действий.

Избирательное управление доступом включает:

1. Распределение доступа к данным – с БД можно работать группой или дать разрешение определенным сотрудникам на использование конкретных сведений.

2. Дополнительный учет данных при входе в систему (информация о том? кто, под какой учеткой, в какое время обращался к базе данных), аудите и изоляции отдельных сведений.

Свою «подлинность» сотрудник подтверждает при входе в БД логином и паролем. При аутентификации могут запрашиваться дополнительные сведения, например, ответ на секретный вопрос. После входа в систему пользователь может реализовать только права, предоставленные ему администратором (или владельцем БД) в зависимости от уровня доступа. Минимальные полномочия (уровень доступа) определяется должностными обязанностями сотрудника.

При обязательном управлении доступом данные классифицируются, например, «секретно», «совершенно секретно», «для общего пользования». Каждый пользователь имеет свой уровень доступа. Чаще всего подобная структура БД присуща правительственным или военным предприятиям. Получить необходимые сведения может только человек с уровнем допуска равным грифу данных или выше.

Разграничения доступа на примерах Access и MySQL

Защита базы данных на уровне пользователя аналогична способам разграничения прав пользователей локальных сетей. В Access создают несколько рабочих групп, разделенных по интересам. Работа доступна одновременно с одной из баз данных. Можно параллельно работать в разных системах Access, если открыть их в отдельных окнах.

Файл рабочей группы создается автоматически. Он содержит информацию об учетной записи каждой группы или отдельного пользователя. Сохранение данных о правах доступа ведется по каждой учетке отдельно.

Рабочая группа состоит из двух групп:

В случае необходимости возможно создание более двух групп пользователей данных. Один и тот же человек может состоять одновременно в разных группах. Каждому из сотрудников можно присвоить разные пароли.

Администратор получает максимальное число привилегий, группа пользователей работает в соответствии с их уровнем доступа.

Формы и отчеты Access можно защитить двумя способами:

1. Чтобы исключить случайное повреждение пользователем приложения, исключается использование режима Конструктора.

2. Скрытие некоторых полей таблицы от пользователей.

Таким образом появляется возможность контролировать использование секретных данных сотрудниками и ограничить доступ к ним посторонних. Расширить права пользователя или группы могут лишь админ и владелец информации (создатель). Имеется возможность передачи базы данных и прав на нее другому владельцу.

Одним из вариантов внедрения безопасной системы авторизации и регистрации является MySQL. Управление сервером происходит через Интернет с помощью РhpMyAdmin. Первый уровень защиты – это вход в БД через логин и пароль. Далее СУБД MySQL разграничивает права доступа. Доступ ограничивается как к системе управления, так и к каждому компоненту БД (таблица, строка, запись и т.п.). Владельцы БД имеют возможность шифровать информацию.

Оригинальные способы сохранности БД

Существует несколько нестандартных способов сохранности ценных сведений:

• создание пароля с использованием непечатных символов (например, пробел);
• модификация файла – манипулирование с заголовками;
• изменение версии БД – проводим аналогию с модификацией файлов;
• использование электронных ключей для доступа к сведениям;
• автоматизированные системы – DAM и DBF.

При работе с DAM-системами перенастраивать СУБД не нужно. Они работают с копией трафика и не затрагивают бизнес-процессы.

Для отслеживания пользовательских операций в БД на профессиональном уровне рекомендуем использовать Database Monitor. Узнать больше.

В случае с DBF-системой охрана данных происходит путем блокировки сторонних запросов. Работать с копией трафика данная программа не будет. Необходима полная установка компонентов. При неправильной настройке ответственность за ложные блокировки ляжет на службу информационной безопасности.

Любой способ обеспечения безопасности конфиденциальной информации не дает стопроцентной гарантии ее защиты. Специалист сможет взломать практически любую СУБД, но его работу необходимо усложнить. Отслеживание новинок в сфере сохранности секретных данных и их применение повысит уровень безопасности информации.

Источник