Сохранность базы данных, включающей конфиденциальные сведения, должна быть в приоритете у службы безопасности предприятия. Способов много, универсального решения нет. Выбирая, необходимо ориентироваться на конечные цели организации и нужную степень защиты.
Шифрование применяют для искажения всех данных полностью или отдельного блока информации в процессе хранения и передачи. Даже если злоумышленник похитит важные сведения, прочитать их без ключа он не сможет.
Иногда для защиты ставят пароль на дешифровку. В этом случае работа с информацией происходит следующим образом: перед использованием производится ее расшифровка, а после данные снова «прячутся».
Основные способы шифрования:
Шифрование используется для защиты от несанкционированных пользователей не только информации, но и алгоритмов, функций программ. Однако использование шифрования и дешифровки усложняет работу системы управления базами данных (СУБД), так как дает дополнительную нагрузку на сервер.
Этот способ защиты информации предусматривает авторизацию пользователей для получения доступа к базе данных. Наличие пароля позволяет избежать несанкционированного доступа.
Защита с помощью пароля может использоваться в комплексе с разграничением доступа к БД. В этом случае сначала защищают информацию на уровне пользователя (когда с одной БД работают несколько человек с разными правами), а затем настраивают парольный доступ к ней.
Парольная защита – надежный метод охраны данных. Чем сложнее комбинация символов, тем тяжелее взломать базу данных. Пароли хранятся в базе, прямого доступа к ним нет.
Требования к надежному паролю:
Во многих организациях практикуют периодическую смену паролей (каждый день, неделю, месяц). Чем чаще они будут меняться, тем ниже вероятность получения злоумышленниками доступа к секретной информации.
Установлением и изменением паролей к базам данных обычно занимается администратор, в некоторых организациях эта обязанность возлагается на конечного пользователя.
Этот способ сохранения конфиденциальных данных применяется, когда с одной БД работают несколько пользователей (или групп) с разным уровнем доступа к информации. Установление прав доступа к использованию данных возможно при работе на одном компьютере или по локальной сети. Каждый будет заходить под своим логином и паролем и использовать БД в зависимости от прав. Например, администратор может изменить данные БД, дополнить их, удалить. А менеджер только прочитать или изменить часть сведений (например, выбранный столбец таблицы или строку).
Причины разграничения:
Установить ограничения можно не только по доступу к определенным видам информации, но и по принципу работы с ней. Например, можно установить определенные рамки работы с таблицами для выбранной группы пользователей (разрешение или запрет действий):
С БД могут возникать проблемы не только в плане защиты их от несанкционированного доступа. СУБД исключает ввод недостоверной информации – в процессе создания таблиц вводятся ограничения на ввод некорректных сведений (если в месяце 30 дней, 31 число поставить нельзя). А также периодически создает резервные копии БД с сохранением на съемные носители или в удаленные хранилища, откуда сведения можно будет восстановить в актуальном состоянии в случае необходимости.
Система управления БД позволяет разграничить права доступа пользователей или, наоборот, объединить их в группы по признаку разрешенных однотипных действий.
Избирательное управление доступом включает:
1. Распределение доступа к данным – с БД можно работать группой или дать разрешение определенным сотрудникам на использование конкретных сведений.
2. Дополнительный учет данных при входе в систему (информация о том? кто, под какой учеткой, в какое время обращался к базе данных), аудите и изоляции отдельных сведений.
Свою «подлинность» сотрудник подтверждает при входе в БД логином и паролем. При аутентификации могут запрашиваться дополнительные сведения, например, ответ на секретный вопрос. После входа в систему пользователь может реализовать только права, предоставленные ему администратором (или владельцем БД) в зависимости от уровня доступа. Минимальные полномочия (уровень доступа) определяется должностными обязанностями сотрудника.
При обязательном управлении доступом данные классифицируются, например, «секретно», «совершенно секретно», «для общего пользования». Каждый пользователь имеет свой уровень доступа. Чаще всего подобная структура БД присуща правительственным или военным предприятиям. Получить необходимые сведения может только человек с уровнем допуска равным грифу данных или выше.
Защита базы данных на уровне пользователя аналогична способам разграничения прав пользователей локальных сетей. В Access создают несколько рабочих групп, разделенных по интересам. Работа доступна одновременно с одной из баз данных. Можно параллельно работать в разных системах Access, если открыть их в отдельных окнах.
Файл рабочей группы создается автоматически. Он содержит информацию об учетной записи каждой группы или отдельного пользователя. Сохранение данных о правах доступа ведется по каждой учетке отдельно.
Рабочая группа состоит из двух групп:
В случае необходимости возможно создание более двух групп пользователей данных. Один и тот же человек может состоять одновременно в разных группах. Каждому из сотрудников можно присвоить разные пароли.
Администратор получает максимальное число привилегий, группа пользователей работает в соответствии с их уровнем доступа.
Формы и отчеты Access можно защитить двумя способами:
1. Чтобы исключить случайное повреждение пользователем приложения, исключается использование режима Конструктора.
2. Скрытие некоторых полей таблицы от пользователей.
Таким образом появляется возможность контролировать использование секретных данных сотрудниками и ограничить доступ к ним посторонних. Расширить права пользователя или группы могут лишь админ и владелец информации (создатель). Имеется возможность передачи базы данных и прав на нее другому владельцу.
Одним из вариантов внедрения безопасной системы авторизации и регистрации является MySQL. Управление сервером происходит через Интернет с помощью РhpMyAdmin. Первый уровень защиты – это вход в БД через логин и пароль. Далее СУБД MySQL разграничивает права доступа. Доступ ограничивается как к системе управления, так и к каждому компоненту БД (таблица, строка, запись и т.п.). Владельцы БД имеют возможность шифровать информацию.
Существует несколько нестандартных способов сохранности ценных сведений:
При работе с DAM-системами перенастраивать СУБД не нужно. Они работают с копией трафика и не затрагивают бизнес-процессы.
Для отслеживания пользовательских операций в БД на профессиональном уровне рекомендуем использовать Database Monitor. Узнать больше.
В случае с DBF-системой охрана данных происходит путем блокировки сторонних запросов. Работать с копией трафика данная программа не будет. Необходима полная установка компонентов. При неправильной настройке ответственность за ложные блокировки ляжет на службу информационной безопасности.
***
Любой способ обеспечения безопасности конфиденциальной информации не дает стопроцентной гарантии ее защиты. Специалист сможет взломать практически любую СУБД, но его работу необходимо усложнить. Отслеживание новинок в сфере сохранности секретных данных и их применение повысит уровень безопасности информации.
11.08.2020
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных