16
-
Upload
edi-stefan -
Category
Documents
-
view
213 -
download
0
description
Transcript of 16
-
Sergiu PADURE, ASEM
SECURITATEA BAZELOR DE DATE CORPORATIVE
Bazele de date constituie unul din componentele cele mai importante a oricrui sistem
informatic mare, care pstreaz i prelucreaz diverse date, informaii. Acestea pot fi sisteme de
gestiune a documentelor i a evidenei contabile, sisteme de billing i de management al
coninutului (CMS), sisteme de gestiune a proceselor tehnologice la producere etc. Deoarece
bazele de date conin toat informaia valoroas despre companie, clienii si, activitatea
financiar, ele reprezint unul din factorii critici n structura organizaiei, fapt care determin
cerine sporite de confidenialitate, integritate i acces la date.
Riscurile care pot interveni n acest context pot aprea att din mediul extern (virui,
hackeri, concureni etc.), ct i interni (furtul, aciuni ale lucrtorilor necinstii, erori i scpri
din vedere ale personalului de deservire i a utilizatorilor .a.). De asemenea, e necesar de luat n
consideraie i fiabilitatea sistemelor, a SGBD-urilor, mijloacelor tehnice care se pot supune unor
factori, cum ar fi: incendiile, calamitile naturale etc. Astfel, pentru a gsi soluii, iniial e
necesar stabilirea punctelor precare n bazele de date:
1. Limbajul SQL un instrument puternic de interogare a datelor, ns de asemenea
permite rufctorilor sa efectueze spargerea sistemului:
Accesarea informaiei cu ajutorul deduciilor logice, potrivirea sau spargerea
parolelor utilizatorilor bazei de date, a atacurilor ndreptate spre mrirea prilegiilor
n sistem;
Agregarea datelor, atacurile de tip SQL injection;
Modificarea/nlocuirea datelor etc.
2. Gestiunea/controlul accesului la SGBD/BD/Server:
Erori i scpri din vedere ale personalului de deservire i a utilizatorilor;
Aciunile lucrtorilor necinstii, ofensai; aciunile persoanelor strine;
Furtul fizic, distrugerea informaiei etc.
3. Atacurile asupra informaiei care circula n reea:
Utilizarea conexiunilor existente la baza de date prin reea, stabilite de utilizatorii
autentificai;
Interceptarea informaiei n timpul parcurgerii ei prin reea.
4. Alte tipuri de atacuri: asupra sistemului de operare; blocarea accesului ctre date,
suprancrcarea buferului; hackerii i virusurii.
Securitatea bazelor de date poate fi asigurat prin intermediul aplicrii unor modele care
1
-
mai mult sau mai puin corespund domeniului activitii, politicii de securitate, importanei
informaiei organizaiei.
Un model simplu ar fi compus din 2 elemente: controlul accesului unde fiecrui utilizator
sau proces informaional al sistemului i se atribuie un set de aciuni permise, pe care le poate
efectua n raport cu anumite obiecte; controlul autenticitii realizeaz dac utilizatorul sau
procesul care ncearc s efectueze o aciune sau alta este anume acela pe care l reprezint.
Un alt model mai sofisticat este acel de multinivel al securitii bazei de date, care
reprezint un instrument foarte puternic, ns aduce unele incomoditi n uurina utilizrii,
productivitate, costuri etc. n aa tipuri de sisteme informaia este clasificat n diverse clase de
importan i, de obicei, se utilizeaz modelul lui Bell-LaPadula, care gestioneaz subiecii,
procesele, obiectele.
Aplicarea modelelor se poate efectua fie direct n SGBD-ul / baza de date respectiv, fie n
sisteme informatice aparte, proiectate i exploatate n special pentru a asigura protejarea
informaiei.
Metodologii de combatere a riscurilor i atacurilor asupra bazei de date le putem clasifica
n linii mari n 3 categorii:
1. Securitatea bazei de date i a SGBD scanarea DB, auditul vulnerabilitilor,
monitorizarea activitilor, controlul accesului.
2. Auditul vulnerabilitilor reelei i a sistemului de operare mecanisme bazate pe
scanarea reelei i exteriorul DB-ului. Rezultatele sunt examinri, rapoarte,
determinarea punctelor slabe.
3. Criptarea bazei de date care include un sistem de management al cheilor ce suporta o
varietate de algoritmuri de criptare.
De asemenea, am putea mpri metodele i dup modul de aplicare:
Tehnice:
1. Amplasarea serverelor de BD n segmente de reea protejate i securizarea lor.
2. Back-up. Aplicarea tehnologiilor de Cluster Systems. Tirajarea datelor.
3. Utilizarea metodelor eficiente de autentificare (server/OS authentification, parole cu un
numar suficient de simboluri, certificate, chei criptate, dispozitive-chei etc.).
Administrative:
1. Standartizarea cu ISO 17799, ISO 27001 (certificarea oficial a sistemelor de securitate
informaional).
2. Urmrirea transmiterii informaiei prin canale de comunicaie. nregistrarea
evenimentelor desfurate n cadrul SI. Auditul cererilor ctre SGBD. nregistrarea
activitilor utilizatorilor permite de a omite n unele cazuri potenialele cazuri de
2
-
atac asupra bazei de date sau de a investiga nclcrile comise deja.
3. Determinarea cazurilor cnd informaia nu este utilizat corect.
4. Delimitarea mediilor de administrare i de dezvoltare.
5. Excluderea cazurilor de integrare a diverselor servicii corporative pe serverul unde e
instalat
6. SGBD-ul.
7. Organizarea unei politici eficiente de acordare a drepturilor/rolurilor pentru diverse
grupuri de utilizatori. Dup standartele intenionale, se disting 3 categorii de roluri:
proprietarul informaiei; rspunztorul de securitatea informaiei; cel care utilizeaz
informaia.
Software:
1. Configurarea mecanismelor proprii de protecie a bazelor de date (drepturile de acces,
privelegiile). Avantaje: precizie, acoperire total (a scopurilor). Dezavantaje: vitez,
complexitate (dimensiuni).
2. n etapa de proiectare s se ia n consideraie de ctre proiectani/programatori evitarea
afirii mesajelor de eroare clienilor ntr-un mod care ar putea s divulge unele detalii
despre sistem, scheme etc.;
3. Cifrarea bazei de date. Avantaje un sistem sporit de securitate; dezavantaje: n caz c
se defecteaz serverul sau cade sistemul, e greu de restabilit dac are nevoie de o
aplicaie n plus care va gestiona cheile, viteza, indexarea.
4. Analiza proteciei bazelor de date cu ajutorul unor instrumente, aplicaii, sisteme de
audit i control de acces care pot permite: analiza evenimentelor critice, modelarea
aciunilor rufctorilor externi, analiza optimizrilor efectuate n SGBD i OS,
identificarea utilizatorilor necunoscui, scanarea centralizat, viziunea asupra securitii
reelei dintr-o parte etc. i care pot rspunde la ntrebri de tipul: ce baze de date sunt n
reea?; ct de corect e configurat SGBD-ul?, e posibil atacul SGBD-ului dv prin reea?,
corespunde configurarea SGBD-ului dv. cu politica de securitate?, e posibil ca
utilizatorii s nconjoare mecanismele de protecie a SGBD-ului i SO?, care e
rezultatul atarii la SGBD a diverselor mecanisme de protecie? etc. Dezavantajele
acestor tipuri de sisteme sunt: viteza, costurile pentru aplicaii/computatoare,
necoerena informaiei..
Prin urmare, e greu de zis c exist 100% de protecie a informaiei din baze de date, cel
puin se observ o tendin ctre aceasta. La moment, diversitatea activitilor organizaiilor,
structura reelelor i a fluxulurilor informaionale nu permite apariia unor metode universale de
soluii pentru a asigura securitatea bazelor de date.
3
-
Bibliografie:
1. http://sr2k.toxahost.ru/Diplom/Proekt.htm
2. http://www.infosec.ru
3. http://citforum.ru/security/articles/
4. http://www.aladdin.ru/catalog/etoken_products/oracle/public_detail.php?ID=7640&phrase
_id=82012
5. http://www.rus-lib.ru/book/28/ps/05/396-422.html
4