Методы защиты баз данных | Методы защиты БД

Главная — ИБ-аутсорсинг — Защита информации — Безопасность баз данных — Методы защиты баз данных

Все более широкое использование компьютерных технологий обработки и хранения информации заставляет компании усиливать защиту баз данных. Утечка служебной или персональной информации, находящейся в БД, может обернуться серьезными последствиями: вызвать сбой в работе производственных систем, привести к потере финансовых средств, рассекретить планы развития бизнеса. Существуют разнообразные способы и средства защиты баз данных с использованием СУБД.

Приемы обеспечения безопасности БД

Методики защиты БД условно делят на две группы:

1. Основные – с их помощью предупреждается утечка информации к посторонним, а также устраняются другие угрозы нарушения целостности базы данных;
2. Дополнительные – они используются для усиления основных мер.

Основные способы обеспечения безопасности БД

К ним относится:

парольная защита;
шифрование;
разграничение доступа пользователей к информации, находящейся в базе;
маскировка полей в таблицах БД;
резервное копирование.

Парольной защитой называют организацию доступа в систему управления базы данных с использованием пароля, известного только пользователю и администратору БД. В СУБД имеются специальные файлы, в которых хранятся зашифрованные учетные записи пользователей. Недостаток состоит в том, что запомнить пароль удается не всем людям. Обычно его где-то записывают. При небрежном хранении пароль можно потерять, что приведет к несанкционированному доступу к БД. Поэтому такой способ защиты считается не самым надежным.

Шифрование записей, находящихся в БД, является более серьезной защитой. Однако важно иметь надежный ключ и обеспечить его недоступность для посторонних.

Разграничение прав доступа сотрудников к БД устраняет угрозу потери информации, обеспечивает ее защиту от уничтожения. Максимальный доступ предоставляется администратору БД, который отвечает за обеспечение безопасности данных, мониторинг и устранение угроз. Остальные пользователи получают ограниченный доступ с учетом выполняемых ими обязанностей и потребности в использовании информации.

Существует два варианта подхода к проблеме:

1. Избирательный подход предполагает предоставление сотрудникам разного уровня доступа к одним и тем же данным;
2. Обязательный подход означает разбивку информации на группы по степени ценности и предоставление сотрудникам доступа к данным определенного класса. Иногда одинаковые полномочия предоставляются группе сотрудников.

Разграничения отражаются в рабочем файле. Система считывает информацию, в которой имеются учетные записи и пароли пользователей, и предоставляет права на определенные действия в соответствии с заложенной программой.

Такими правами могут быть:

просмотр таблицы данных;
внесение изменений в отдельные поля или их полная переделка;
добавление или удаление;
изменение общей структуры таблицы.

Маскировка полей. Ограничения вводятся таким образом, чтобы пользователи не могли внести случайные или намеренные изменения в таблицы базовых данных. При этом используются экранные формы маскировки сведений (на экране открывается только часть полей таблицы БД, остальные «прячутся под маской»). В ответ на запрос пользователя выдается неполный отчет об информации, содержащейся в БД.

Резервное копирование. Важным методом, направленным на защиту целостности БД, является резервное копирование данных. Оно позволяет восстановить данные, утерянные в результате сбоя в работе программного обеспечения или компьютерной техники. Рекомендуется настроить программу резервирования таким образом, чтобы файлы копировались одновременно на жесткий диск компьютера и на другой независимый носитель.

Дополнительные способы обеспечения безопасности БД

Дополнительными способами защиты целостности и конфиденциальности БД являются:

проверка изменения и достоверности данных с помощью встроенных программ контроля активности в БД. В них заложены ограничения, связанные с формированием таблиц. Предотвращается появление некорректных записей (например, введения значений, выходящих за обозначенные пределы, или неполное заполнение отдельных полей);
использование программ обеспечения целостности данных, входящих одновременно в разные таблицы. Контролируются записи в «ключевых полях», связывающих информацию из различных таблиц. Таким образом предотвращается появление фиктивных ссылок на записи, отсутствующие в других таблицах, то есть искажение информации;
проверка законности использования данных, которые являются интеллектуальной собственностью и защищены авторскими правами;
контроль безопасного использования компьютерной техники, применяемой для хранения и обработки информации из БД. Проверка соблюдения правил передачи данных по сети (использование защищенных каналов, ограничение доступности информации различным категориям пользователей). Контролируется действие межсетевых экранов и антивирусных программ.

Для защиты баз данных используются различные СУБД. Например, в системе MySQL задавать настройки безопасности можно с помощью веб-приложения phpMyAdmin. Она предназначена для управления таблицами, доступом пользователей, а также передачи SQL-запросов в БД. При этом обеспечивается трехуровневая безопасность (вход в БД с использование логина и пароля, разграничение полномочий пользователей и анализ попыток отправления запросов в информационную систему).

В системе Microsoft Access используются другие варианты предоставления доступа:

полный запрет входа в БД;
разрешение только на просмотр информации;
просмотр данных, внесение новых значений в отдельные поля, изменение или удаление сведений;
изменение структуры таблиц БД.

Роль аудита и мониторинга доступа в БД

Важную роль в защите БД играет аудит действий пользователей в информационной системе. Он позволяет анализировать эффективность ограничительных мер. Все данные о запросах пользователей в БД, времени их обращения в систему управления и характере запрашиваемой информации заносятся в специальный журнал (таблицу аудита).

Результаты аудита могут быть использованы для выявления нарушений безопасности данных и проведения внутреннего расследования.

Возможно проведение штатного аудита с использованием универсальных СУБД и с привлечением администраторов БД.

Более эффективным считается аудит с применением автоматизированных систем управления безопасностью (DAM и DBF). Они осуществляют независимый автоматизированный мониторинг действий пользователей (в том числе и администраторов) в базе данных. Выявляют так называемый «контрольный след» операций, выполняемых в БД.

Автоматизированный контроль активности пользователей и анализ изменений в базах данных можно провести с помощью «СёрчИнформ Database Monitor». Бесплатный тест на 30 дней.

Преимуществами автоматизированного мониторинга являются более полный анализ запросов и ответов на них, проверка уязвимости особо важной информации. Возможно также выявление и удаление неиспользуемых учетных записей уволенных сотрудников.

***

Основными методами защиты конфиденциальных данных являются использование сложных паролей для входа в систему безопасности БД, шифрование информации, разграничение доступа персонала к сведениям определенного уровня секретности. Для ограничения полномочий сотрудников используются специальные программы, с помощью которых поля, нежелательные к просмотру, маскируются при появлении таблицы на экране. Для защиты целостности информации, находящейся в БД, осуществляется ее резервное копирование.

18.08.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.