Як захистити свою базу даних?

Зміст



Введення


Експерти по захисту даних б'ють тривогу: віруси стають все більш і більш спеціалізованими і останнім часом атакували інсталяції SQL Server, на яких не були встановлені останні пакети виправлень захисту від Microsoft. У результаті поширення SQL-хробака Slammer різко підвищився мережевий трафік, що призвело до свого роду сценарієм відмови в обслуговуванні. У цьому випадку метою черв'яка не були дані, що знаходяться в базі даних, однак цей випадок свідчить про потенційну загрозу. Хакери можуть створити вірус, який буде зчитувати і викрадати дані з реляційних баз даних. Ризик атаки з боку хакерів особливо великий в тих випадках, коли на підприємстві існує інтерфейс між своєю корпоративною мережею і загальнодоступним Інтернетом: щороку хакери, отримали доступ до ІТ систем і викрали дані, приносять величезної шкоди. У багатьох випадках загроза криється не за межами компанії, а всередині неї. Дані крадуть нелояльні співробітники, наприклад, перед тим, як менеджер зі збуту переходить на роботу в іншу компанію, він копіює базу даних клієнтів. Сучасні технології захисту схожі на засув, який може надійно замкнути двері до цінних даними, захищаючи їх від зовнішніх і внутрішніх атак.


Є різні методи крадіжки даних, якими можуть скористатися хакери. Нижче перераховані найбільш важливі з цих методів.



Більшість постачальників баз даних відреагувало на зростаючі потреби в захисті і випустило версії продуктів зі значно поліпшеним захистом. Компанія Oracle істотно поліпшила захист свого сервера бази даних і називає його неприступним. "Неприступність" захисту може бути трохи перебільшена, оскільки ще жодна ІТ система не підтвердила свою неприступність. Тим не менш, Oracle запровадила багато функціональних можливостей, що дозволяють поліпшити захист даних. Microsoft кидає виклик Oracle, інтегруючи захист і шифрування Windows у свій продукт SQL Server, який стає добре захищеною базою даних. Sybase пропонує функціональні можливості захисту та шифрування у своєму корпоративному продукті Adaptive Server Enterprise і в сервері для робочої групи Adaptive Server Anywhere. Компанія Gupta, фахівець з вбудованим баз даних, пропонує надійний захист і шифрування в SQLBase, своєї вбудованої бази даних і бази даних для робочої групи. Тепер вибір найбільш підходящого продукту залежить від користувача. Далі наводяться докладні описи засобів захисту раніше згаданих постачальників баз даних.


Огляд засобів захисту Oracle


У центрі уваги компанії Oracle знаходиться поліпшення функціональних можливостей реєстрації в системі та облікових записів користувачів, з метою забезпечення більш надійного захисту даних в базі даних. Облікові записи користувача мають розширені настройки свого терміну дії, які дозволяють блокувати обліковий запис після настання зазначеної дати або забезпечують доступ лише протягом зазначеного часу доби. Щоб залатати дірки у захисті безпосередньо після установки продукту, інструменти користувача Oracle змушують адміністраторів бази даних змінювати паролі для попередньо створених облікових записів бази даних. Загальновідома проблема захисту – це попередньо створені облікові записи бази даних, в яких використовуються зумовлені паролі, однакові для всіх інсталяцій продукту. Багато разів хакери отримували доступ до докладної інформації про замовлення, включаючи інформацію про кредитні картки, тому що компанії, що мають Інтернет-магазини, не змінювали встановлений за замовчуванням пароль адміністратора бази даних. У Oracle є блокування, яка забороняє використовувати ключове слово "ANY" (БУДЬ), яке дозволяє видалити всі таблиці з бази даних подібно старій команді DOS del *.*. Шляхом активації цієї функціональної можливості можна запобігти небажаній втрату даних. Інше дуже важливий засіб захисту в Oracle – це шифрування мережевого трафіку. Атаки, націлені на важливі дані, можна легко запобігти за допомогою шифрування даних, переданих між клієнтом і сервером бази даних. До інших засобів захисту відноситься списку заблокованих адрес IP, що забороняє доступ з відомих джерел атак. Ці засоби захисту дозволяють вважати Oracle досить добре захищеною базою даних. Продукт бази даних Oracle має сертифікат C2.


У порівнянні із захистом, запропонованої іншими постачальниками, Oracle має один серйозний недолік – відсутність шифрування даних безпосередньо у базі даних. Тим самим Oracle кілька вразлива при внутрішніх атаках, так, наприклад, системні адміністратори, що мають прямий доступ до самого файлу бази даних, можуть переглянути та змінити значення безпосередньо у файлі бази даних, оскільки дані не зашифровані.


Microsoft SQL Server пропонує захист, заснований на засобах захисту Windows


У своїй базі даних SQL Server компанія Microsoft пропонує вичерпні засоби захисту. Оскільки для SQL Server потрібно платформа Windows, для Microsoft було доцільно інтегрувати засоби захисту Windows, такі, як шифрування, в SQL Server. Microsoft пропонує інструмент, що дозволяє проаналізувати можливі прогалини в захисті, наприклад, незмінені паролі адміністратора і занадто широкі права в гостьовій облікового запису. SQL Server може бути встановлений за допомогою аутентифікації SQL Server або інтегрованої аутентифікації Windows. Рекомендується використовувати інтегровану аутентифікацію Windows, оскільки налаштування імені користувача і пароля в Windows примусово, як і необхідність зміни коду після закінчення попередньо визначеного періоду часу та інші функціональні можливості Windows по аутентифікації та реєстрації в системі. Файлова система NTFS операційної системи Windows забезпечує повне шифрування каталогів і файлів. Ця функціональна можливість Windows може використовуватися для захисту зашифрованих файлів бази даних від прямих атак. При перегляді такого зашифрованого файлу за допомогою шістнадцятиричних редакторів отримати інформацію в текстовому або читабельному форматі неможливо. Адміністратори бази даних SQL Server повинні знати, що більшість засобів захисту SQL Server забезпечується функціональними можливостями операційної системи і повинно налаштовуватися за допомогою засобів адміністрування Windows, а не за допомогою інструментів SQL Server. Іншим важливим засобом захисту є аудит бази даних, що дозволяє відновити спосіб використання проломів в захисті. При аудиті ведеться протокол всіх входів в систему і активності SQL зазначених користувачів або груп. Microsoft отримала сертифікат захисту C2 для SQL Server, що працює на спеціальному випуску Windows NT4. Більш нові платформи для SQL Server, такі, як Windows 2000, XP і 2003 Server, не отримали сертифікат C2.


Sybase пропонує засоби захисту в Adaptive Server Enterprise і Adaptive Server Anywhere


Обидва сервера бази даних Sybase, корпоративний сервер і сервер для робочої групи, пропонують хороші конкурентоспроможні засоби захисту. Adaptive Server Enterprise пропонує надійний захист, включаючи стандарт потрійного шифрування даних (triple DES) в базі даних. Це добре захищає продукт від внутрішніх атак на дані. Adaptive Server Enterprise пропонує доступ на основі ролей, поділ обов'язків, аудит і протестовану продуктивність. Дані, що передаються між базою даних і сервером, шифруються як у Adaptive Server Anywhere, так і в Adaptive Server Enterprise, що дозволяє блокувати небажаний аналіз мережевого трафіку. Захист, пропонована в продуктах Sybase, перевершує захист Oracle і є більш інтегрованою у порівнянні із захистом Microsoft SQL Server. Пропозиція Sybase добре оптимізовано для фінансового ринку, де враховуються вимоги кількох громадських та промислових груп, як, наприклад, вимоги компаній VISA і Mastercard до захисту електронного бізнесу.


SQLBase компанії Gupta пропонує надійні засоби захисту


Компанія Gupta пропонує захищену версію бази даних, що називається SQLBase Treasury Edition. Цей продукт розроблявся у тісній співпраці з великими банками, які визначили вимоги до захисту рішення для банківських послуг онлайн, використовує базу даних для локального зберігання транзакцій на ПК клієнта. В результаті з'явився продукт, який відповідає багатьом вимогам до захисту баз даних. Для захисту від внутрішніх атак SQLBase пропонує поряд з іншими стандарт потрійного шифрування бази даних і контрольну суму, що дозволяє виявляти в базі даних змінені дані, які не були змінені безпосередньо сервером бази даних. Тим самим забезпечується дуже хороший захист від шкодять співробітників, що пробують маніпулювати даними, або від хакерів, які отримали доступ до операційної системі, на якій працює сервер бази даних. SQLBase шифрує також вивантажені файли, використовувані зазвичай як механізму резервного копіювання, це дозволяє уникнути небажаного доступу до даних з боку адміністраторів файлового сервера, які можуть переглянути вивантажені дані з допомогою текстового редактора. У SQLBase Treasury Edition передача даних між клієнтами і сервером, шифруються, таким способом це рішення захищається від перехоплення даних. У SQLBase є важливе унікальний засіб захисту, блокуючу роботу алгоритмів вгадування пароля. Час до дозволу наступного входу в систему подвоюється при кожній невдалій спробі входу в систему. Утиліти, які перебирають величезні обсяги паролів, дуже ефективно блокуються.


Відповідальність користувачів


Чим більше компанія, тим важче забезпечити доступ тільки для авторизованих користувачів.


Проблеми, пов'язані зі зберіганням секретної інформації в обмеженій групі співробітників, наростають із збільшенням числа користувачів. Причиною цих проблем є не відсутність довіри до співробітників, а недбалість і неуважність користувачів.


З-за великого числа паролів і ідентифікаторів користувача, які необхідно пам'ятати, користувачі нерідко записують їх і залишають на столі або спрощують паролі, полегшуючи тим самим неавторизованим особам доступ до захищених даних. Неправильний вихід із системи й відмова від завершення роботи комп'ютера можуть завдати компанії збитків, якщо незайнятим робочим місцем скористаються зловмисники. Тут від користувачів потрібні тільки дисципліна і почуття відповідальності.


Тут користувачам можуть допомогти недавно з'явилися професійні бази даних для платформи ПК, які кодують свої дані незалежно. Це виконується автоматично без попередньої активації системи шифрування. Користувач не помічає, що щось відбувається. Іншими словами, він більше не повинен думати про кодування.


Якщо портативний комп'ютер торгового представника вкрадено, то завдяки цій технології захисту збиток від крадіжки буде дорівнює вартості втраченого ПК, оскільки злочинець не зможе заволодіти даними на жорсткому диску. Якщо, звичайно, користувач був не настільки дурний, щоб записати пароль на корпусі портативного комп'ютера.


Безпека між локальними мережами компанії


Компанії, які мають декілька офісів або прийняли рішення про аутсорсинг своєї інфраструктури ІТ, також можуть отримати вигоду з шифрування даних. Дані з точки А в точку B передаються тільки в рідкісних випадках через захищену мережу зв'язку, таку, як магістраль, заснована на технології Ethernet в міській локальній мережі.


Замість цього дані передаються через мережі з протоколом IP або інші мережі загального користування, надають хакерам широкі можливості для атак. У кожного сервера є свій IP-адреса; щоб виявити ці адреси, досить перехопити інформацію на шляху проходження пакетів між двома підтримують зв'язок системами. Потім хакер може записати всі дані, передані між адресами відправника і одержувача. Тому за допомогою кодування даних можна забезпечити захист від атак на існуючі мережні підключення до зовнішніх систем: обличчя без права доступу не зможе перехопити дані, які передаються між двома базами даних, не зламавши код.


Висновок: Компанії, які надають велике значення максимальному захисті своєї інформації, не повинна покладатися лише на міжмережевий екран. У мережі є досить слабких місць, якими може скористатися професійний хакер, щоб вкрасти дані. Тому для оптимального захисту від несанкціонованого доступу до серверів, робочих станцій та ліній зв'язку кращим рішенням є кодування даних.


Резюме


Для задоволення різних потреб потрібні різні бази даних. Кожна база даних, розглянута в цій статті, має свої певні переваги. Для захисту великих систем з великим числом користувачів продукти компанії Sybase мабуть мають перевагу перед Microsoft SQL Server і Oracle. Для вбудованих баз даних і баз даних для робочої групи Gupta SQLBase пропонує кращий захист з доступних в даний час.


Після вибору бази даних, яка надає засоби захисту, що відповідають вимогам клієнтів, найважливіше завдання, про яку нерідко забувають, полягає у включенні і використанні розширених засобів захисту, пропонованих майже всіма виробниками баз даних.


Додаткова інформація



Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*