Як захистити свою базу даних?, Резервне копіювання, Різне, статті

Зміст



Введення


Експерти із захисту даних б’ють тривогу: віруси стають все більш і більш спеціалізованими і останнім часом атакували інсталяції SQL Server, На яких не були встановлені останні пакети виправлень захисту від Microsoft. В результаті поширення SQL-хробака Slammer різко підвищився мережевий трафік, що призвело до свого роду сценарієм відмови в обслуговуванні. У цьому випадку метою черв’яка не були дані, що знаходяться в базі даних, однак цей випадок свідчить про потенційну загрозу. Хакери можуть створити вірус, який буде зчитувати і викрадати дані з реляційних баз даних. Ризик атак з боку хакерів особливо великий у тих випадках, коли на підприємстві існує інтерфейс між своєю корпоративною мережею і загальнодоступним Інтернетом: щороку хакери, отримали доступ до ІТ систем і викрали дані, приносять величезний збиток. У багатьох випадках загроза криється не за межами компанії, а всередині неї. Дані крадуть нелояльні співробітники, наприклад, перед тим, як менеджер зі збуту переходить на роботу в іншу компанію, він копіює базу даних клієнтів. Сучасні технології захисту схожі на засув, який може надійно замкнути двері до цінних даними, захищаючи їх від зовнішніх і внутрішніх атак.


Є різні методи крадіжки даних, якими можуть скористатися хакери. Нижче перераховані найбільш важливі з цих методів.



  • Хакер починає атаку на фізичні файли бази даних для перегляду або зміни інформації, він може фізично отримати доступ до системи, навіть не маючи авторизації. Це відбувається, наприклад, при використанні мобільних клієнтських систем.
  • Хакер хоче стати авторизованим користувачем системи, бази даних або програми. Для цієї мети існує програмне забезпечення для генерації та автоматичного використання списків користувачів. Часто досить просто подзвонити по телефону з “служби з технічної підтримки користувачів” і запитати ім’я і пароль користувача.
  • Хакер використовує існуюче підключення до бази даних через мережу, яке було встановлено вповноваженим користувачем (напад).
  • Хакер перехоплює незакодірованний інформацію під час її передачі по мережі.

Більшість постачальників баз даних відреагувало на зростаючі потреби в захисті і випустило версії продуктів зі значно поліпшеним захистом. Компанія Oracle істотно поліпшила захист свого сервера бази даних і називає його неприступним. “Неприступність” захисту може бути трохи перебільшена, оскільки ще жодна ІТ система не підтвердила свою неприступність. Проте, Oracle запровадила багато функціональних можливостей, що дозволяють поліпшити захист даних. Microsoft кидає виклик Oracle, інтегруючи захист і шифрування Windows в свій продукт SQL Server, Який стає добре захищеною базою даних. Sybase пропонує функціональні можливості захисту та шифрування в своєму корпоративному продукті Adaptive Server Enterprise і в сервері для робочої групи Adaptive Server Anywhere. Компанія Gupta, Фахівець з вбудованим баз даних, пропонує надійний захист і шифрування в SQLBase, Своєї вбудованої бази даних і бази даних для робочої групи. Тепер вибір найбільш відповідного продукту залежить від користувача. Далі наводяться докладні описи засобів захисту раніше згаданих постачальників баз даних.


Огляд засобів захисту Oracle


У центрі уваги компанії Oracle знаходиться поліпшення функціональних можливостей реєстрації в системі та облікових записів користувачів, з метою забезпечення більш надійного захисту даних в базі даних. Облікові записи користувача мають розширені свого терміну дії, які дозволяють блокувати обліковий запис після настання зазначеної дати або забезпечують доступ тільки протягом зазначеного часу доби. Щоб закрити проломи в захисті безпосередньо після установки продукту, інструменти користувача Oracle змушують адміністраторів бази даних змінювати паролі для попередньо створених облікових записів бази даних. Загальновідома проблема захисту – це попередньо створені облікові записи бази даних, в яких використовуються зумовлені паролі, однакові для всіх інсталяцій продукту. Багато разів хакери отримували доступ до докладної інформації про замовлення, включаючи інформацію про кредитні картки, тому що компанії, що мають Інтернет-магазини, не змінювали встановлений за замовчуванням пароль адміністратора бази даних. У Oracle є блокування, що забороняє використовувати keyword “ANY« (БУДЬ), яке дозволяє видалити всі таблиці з бази даних подібно старій команді DOS del *.*. Шляхом активації цієї функціональної можливості можна запобігти небажаній втрату даних. Інше дуже важливий засіб захисту в Oracle – це шифрування мережевого трафіку. Атаки, націлені на важливі дані, можна легко запобігти за допомогою шифрування даних, переданих між клієнтом і сервером бази даних. До інших засобів захисту відноситься список заблокованих адрес IP, що забороняє доступ з відомих джерел атак. Ці засоби захисту дозволяють вважати Oracle досить добре захищеною базою даних. Продукт бази даних Oracle має сертифікат C2.


У порівнянні із захистом, запропонованої іншими постачальниками, Oracle має один серйозний недолік – відсутність шифрування даних безпосередньо в базі даних. Тим самим Oracle кілька вразлива при внутрішніх атаках, так, приміром, системні адміністратори, що мають прямий доступ до самого файлу бази даних, можуть переглянути та змінити значення безпосередньо у файлі бази даних, оскільки дані не зашифровані.


Microsoft SQL Server пропонує захист, засновану на засобах захисту Windows


У своїй базі даних SQL Server компанія Microsoft пропонує вичерпні засоби захисту. Оскільки для SQL Server потрібно платформа Windows, для Microsoft було доцільно інтегрувати засоби захисту Windows, такі, як шифрування, в SQL Server. Microsoft пропонує інструмент, що дозволяє проаналізувати можливі прогалини в захисті, наприклад, незмінені паролі адміністратора та надто широкі права в гостьовій облікового запису. SQL Server може бути встановлений за допомогою аутентифікації SQL Server або інтегрованої аутентифікації Windows. Рекомендується використовувати інтегровану аутентифікацію Windows, оскільки налаштування імені користувача та пароля в Windows примусові, як і необхідність зміни пароля після закінчення попередньо визначеного періоду часу та інші функціональні можливості Windows по аутентифікації та реєстрації в системі. Файлова система NTFS операційної системи Windows забезпечує повне шифрування каталогів і файлів. Ця функціональна можливість Windows може використовуватися для захисту зашифрованих файлів бази даних від прямих атак. При перегляді такого зашифрованого файлу за допомогою шістнадцятиричних редакторів отримати інформацію в текстовому або читабельному форматі неможливо. Адміністратори бази даних SQL Server повинні знати, що більшість засобів захисту SQL Server забезпечується функціональними можливостями операційної системи і має налаштовуватися за допомогою засобів адміністрування Windows, а не за допомогою інструментів SQL Server. Іншим важливим засобом захисту є аудит бази даних, що дозволяє відновити спосіб використання проломів в захисті. При аудиті ведеться протокол всіх входів в систему і активності SQL зазначених користувачів або груп. Microsoft отримала сертифікат захисту C2 для SQL Server, що працює на спеціальному випуску Windows NT4. Більш нові платформи для SQL Server, такі, як Windows 2000, XP і 2003 Server, Не отримали сертифікат C2.


Sybase пропонує засоби захисту в Adaptive Server Enterprise і Adaptive Server Anywhere


Обидва сервера бази даних Sybase, корпоративний сервер і сервер для робочої групи, пропонують хороші конкурентоспроможні засоби захисту. Adaptive Server Enterprise пропонує надійний захист, включаючи стандарт потрійного шифрування даних (triple DES) в базі даних. Це добре захищає продукт від внутрішніх атак на дані. Adaptive Server Enterprise пропонує доступ на основі ролей, розподіл обов’язків, аудит і протестовану продуктивність. Передача даних між базою даних і сервером, шифруються як в Adaptive Server Anywhere, Так і в Adaptive Server Enterprise, що дозволяє блокувати небажаний аналіз мережевого трафіку. Захист, пропонована в продуктах Sybase, перевершує захист Oracle і є більш інтегрованою в порівнянні із захистом Microsoft SQL Server. Пропозиція Sybase добре оптимізовано для фінансового ринку, де враховуються вимоги кількох громадських та промислових груп, як, наприклад, вимоги компаній VISA і Mastercard до захисту електронного бізнесу.


SQLBase компанії Gupta пропонує надійні засоби захисту


Компанія Gupta пропонує захищену версію бази даних, що називається SQLBase Treasury Edition. Цей продукт розроблявся у тісній співпраці з великими банками, які визначили вимоги до захисту рішення для банківських послуг онлайн, використовує базу даних для локального зберігання транзакцій на ПК клієнта. В результаті з’явився продукт, який відповідає багатьом вимогам до захисту баз даних. Для захисту від внутрішніх атак SQLBase пропонує поряд з іншими стандарт потрійного шифрування бази даних і контрольну суму, що дозволяє виявляти в базі даних змінені дані, які не були змінені безпосередньо сервером бази даних. Тим самим забезпечується дуже хороший захист від шкодять співробітників, що пробують маніпулювати даними, або від хакерів, які отримали доступ до операційної системи, на якій працює сервер бази даних. SQLBase шифрує також вивантажені файли, які використовуються зазвичай як механізм резервного копіювання, це дозволяє уникнути небажаного доступу до даних з боку адміністраторів файлового сервера, які можуть переглянути вивантажені дані за допомогою текстового редактора. У SQLBase Treasury Edition передача даних між клієнтами і сервером, шифруються, таким способом це рішення захищається від перехоплення даних. У SQLBase є важливе унікальне засіб захисту, що блокує роботу алгоритмів вгадування пароля. Час до дозволу наступного входу в систему подвоюється при кожній невдалій спробі входу в систему. Утиліти, які перебирають величезні обсяги паролів, дуже ефективно блокуються.


Відповідальність користувачів


Чим більше компанія, тим важче забезпечити доступ тільки для авторизованих користувачів.


Проблеми, пов’язані зі зберіганням секретної інформації в обмеженій групі співробітників, наростають зі збільшенням числа користувачів. Причиною цих проблем є не відсутність довіри до співробітників, а недбалість і неуважність користувачів.


З-за великого числа паролів і ідентифікаторів користувача, які необхідно пам’ятати, користувачі нерідко записують їх і залишають на столі або спрощують паролі, полегшуючи тим самим неавторизованим особам доступ до захищених даних. Неправильний вихід із системи і відмову від завершення роботи комп’ютера можуть завдати компанії збиток, якщо незайнятим робочим місцем скористаються зловмисники. Тут від користувачів потрібні тільки дисципліна і почуття відповідальності.


Тут користувачам можуть допомогти нещодавно з’явилися професійні бази даних для платформи ПК, які кодують свої дані незалежно. Це виконується автоматично без попередньої активації системи шифрування. Користувач не помічає, що щось відбувається. Іншими словами, він більше не повинен думати про кодування.


Якщо портативний комп’ютер торгового представника вкрадено, то завдяки цій технології захисту збиток від крадіжки дорівнюватиме вартості втраченого ПК, оскільки злочинець не зможе заволодіти даними на жорсткому диск. Якщо, звичайно, користувач був не настільки дурний, щоб записати пароль на корпусі портативного комп’ютера.


Безпека між локальними мережами компанії


Компанії, які мають декілька офісів або прийняли рішення про аутсорсинг своєї інфраструктури ІТ, також можуть отримати вигоду з шифрування даних. Дані з точки А в точку B передаються тільки в рідкісних випадках через захищену мережу зв’язку, таку, як магістраль, заснована на технології Ethernet в міській локальній мережі.


Замість цього дані передаються через мережі з протоколом IP або інші мережі загального користування, що мають хакерам широкі можливості для атак. У кожного сервера є свій IP-адреса; щоб виявити ці адреси, досить перехопити інформацію на шляху проходження пакетів між двома підтримують зв’язок системами. Потім хакер може записати всі дані, які передаються між адресами відправника і одержувача. Тому за допомогою кодування даних можна забезпечити захист від атак на існуючі мережні підключення до зовнішніх систем: обличчя без права доступу не зможе перехопити дані, які передаються між двома базами даних, не зламавши код.


Висновок: Компанії, що надають велике значення максимальному захисті своєї інформації, не повинні покладатися лише на міжмережевий екран. У мережі є досить слабких місць, якими може скористатися професійний хакер, щоб вкрасти дані. Тому для оптимального захисту від несанкціонованого доступу до серверів, робочих станцій та ліній зв’язку кращим рішенням є кодування даних.


Резюме


Для задоволення різних потреб потрібні різні бази даних. Кожна база даних, розглянута в цій статті, має свої певні переваги. Для захисту великих систем з великим числом користувачів продукти компанії Sybase мабуть мають перевагу перед Microsoft SQL Server і Oracle. Для вбудованих баз даних і баз даних для робочої групи Gupta SQLBase пропонує кращий захист з доступних в даний час.


Після вибору бази даних, яка надає засоби захисту, які відповідають вимогам клієнтів, найважливіше завдання, про яку нерідко забувають, полягає у включенні і використанні розширених засобів захисту, пропонованих майже всіма виробниками баз даних.


Додаткова інформація



Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*