Sergiu PADURE, ASEM

SECURITATEA BAZELOR DE DATE CORPORATIVE

Bazele de date constituie unul din componentele cele mai importante a oricrui sistem

informatic mare, care pstreaz i prelucreaz diverse date, informaii. Acestea pot fi sisteme de

gestiune a documentelor i a evidenei contabile, sisteme de billing i de management al

coninutului (CMS), sisteme de gestiune a proceselor tehnologice la producere etc. Deoarece

bazele de date conin toat informaia valoroas despre companie, clienii si, activitatea

financiar, ele reprezint unul din factorii critici n structura organizaiei, fapt care determin

cerine sporite de confidenialitate, integritate i acces la date.

Riscurile care pot interveni n acest context pot aprea att din mediul extern (virui,

hackeri, concureni etc.), ct i interni (furtul, aciuni ale lucrtorilor necinstii, erori i scpri

din vedere ale personalului de deservire i a utilizatorilor .a.). De asemenea, e necesar de luat n

consideraie i fiabilitatea sistemelor, a SGBD-urilor, mijloacelor tehnice care se pot supune unor

factori, cum ar fi: incendiile, calamitile naturale etc. Astfel, pentru a gsi soluii, iniial e

necesar stabilirea punctelor precare n bazele de date:

1. Limbajul SQL un instrument puternic de interogare a datelor, ns de asemenea

permite rufctorilor sa efectueze spargerea sistemului:

Accesarea informaiei cu ajutorul deduciilor logice, potrivirea sau spargerea

parolelor utilizatorilor bazei de date, a atacurilor ndreptate spre mrirea prilegiilor

n sistem;

Agregarea datelor, atacurile de tip SQL injection;

Modificarea/nlocuirea datelor etc.

2. Gestiunea/controlul accesului la SGBD/BD/Server:

Erori i scpri din vedere ale personalului de deservire i a utilizatorilor;

Aciunile lucrtorilor necinstii, ofensai; aciunile persoanelor strine;

Furtul fizic, distrugerea informaiei etc.

3. Atacurile asupra informaiei care circula n reea:

Utilizarea conexiunilor existente la baza de date prin reea, stabilite de utilizatorii

autentificai;

Interceptarea informaiei n timpul parcurgerii ei prin reea.

4. Alte tipuri de atacuri: asupra sistemului de operare; blocarea accesului ctre date,

suprancrcarea buferului; hackerii i virusurii.

Securitatea bazelor de date poate fi asigurat prin intermediul aplicrii unor modele care

1

mai mult sau mai puin corespund domeniului activitii, politicii de securitate, importanei

informaiei organizaiei.

Un model simplu ar fi compus din 2 elemente: controlul accesului unde fiecrui utilizator

sau proces informaional al sistemului i se atribuie un set de aciuni permise, pe care le poate

efectua n raport cu anumite obiecte; controlul autenticitii realizeaz dac utilizatorul sau

procesul care ncearc s efectueze o aciune sau alta este anume acela pe care l reprezint.

Un alt model mai sofisticat este acel de multinivel al securitii bazei de date, care

reprezint un instrument foarte puternic, ns aduce unele incomoditi n uurina utilizrii,

productivitate, costuri etc. n aa tipuri de sisteme informaia este clasificat n diverse clase de

importan i, de obicei, se utilizeaz modelul lui Bell-LaPadula, care gestioneaz subiecii,

procesele, obiectele.

Aplicarea modelelor se poate efectua fie direct n SGBD-ul / baza de date respectiv, fie n

sisteme informatice aparte, proiectate i exploatate n special pentru a asigura protejarea

informaiei.

Metodologii de combatere a riscurilor i atacurilor asupra bazei de date le putem clasifica

n linii mari n 3 categorii:

1. Securitatea bazei de date i a SGBD scanarea DB, auditul vulnerabilitilor,

monitorizarea activitilor, controlul accesului.

2. Auditul vulnerabilitilor reelei i a sistemului de operare mecanisme bazate pe

scanarea reelei i exteriorul DB-ului. Rezultatele sunt examinri, rapoarte,

determinarea punctelor slabe.

3. Criptarea bazei de date care include un sistem de management al cheilor ce suporta o

varietate de algoritmuri de criptare.

De asemenea, am putea mpri metodele i dup modul de aplicare:

Tehnice:

1. Amplasarea serverelor de BD n segmente de reea protejate i securizarea lor.

2. Back-up. Aplicarea tehnologiilor de Cluster Systems. Tirajarea datelor.

3. Utilizarea metodelor eficiente de autentificare (server/OS authentification, parole cu un

numar suficient de simboluri, certificate, chei criptate, dispozitive-chei etc.).

Administrative:

1. Standartizarea cu ISO 17799, ISO 27001 (certificarea oficial a sistemelor de securitate

informaional).

2. Urmrirea transmiterii informaiei prin canale de comunicaie. nregistrarea

evenimentelor desfurate n cadrul SI. Auditul cererilor ctre SGBD. nregistrarea

activitilor utilizatorilor permite de a omite n unele cazuri potenialele cazuri de

2

atac asupra bazei de date sau de a investiga nclcrile comise deja.

3. Determinarea cazurilor cnd informaia nu este utilizat corect.

4. Delimitarea mediilor de administrare i de dezvoltare.

5. Excluderea cazurilor de integrare a diverselor servicii corporative pe serverul unde e

instalat

6. SGBD-ul.

7. Organizarea unei politici eficiente de acordare a drepturilor/rolurilor pentru diverse

grupuri de utilizatori. Dup standartele intenionale, se disting 3 categorii de roluri:

proprietarul informaiei; rspunztorul de securitatea informaiei; cel care utilizeaz

informaia.

Software:

1. Configurarea mecanismelor proprii de protecie a bazelor de date (drepturile de acces,

privelegiile). Avantaje: precizie, acoperire total (a scopurilor). Dezavantaje: vitez,

complexitate (dimensiuni).

2. n etapa de proiectare s se ia n consideraie de ctre proiectani/programatori evitarea

afirii mesajelor de eroare clienilor ntr-un mod care ar putea s divulge unele detalii

despre sistem, scheme etc.;

3. Cifrarea bazei de date. Avantaje un sistem sporit de securitate; dezavantaje: n caz c

se defecteaz serverul sau cade sistemul, e greu de restabilit dac are nevoie de o

aplicaie n plus care va gestiona cheile, viteza, indexarea.

4. Analiza proteciei bazelor de date cu ajutorul unor instrumente, aplicaii, sisteme de

audit i control de acces care pot permite: analiza evenimentelor critice, modelarea

aciunilor rufctorilor externi, analiza optimizrilor efectuate n SGBD i OS,

identificarea utilizatorilor necunoscui, scanarea centralizat, viziunea asupra securitii

reelei dintr-o parte etc. i care pot rspunde la ntrebri de tipul: ce baze de date sunt n

reea?; ct de corect e configurat SGBD-ul?, e posibil atacul SGBD-ului dv prin reea?,

corespunde configurarea SGBD-ului dv. cu politica de securitate?, e posibil ca

utilizatorii s nconjoare mecanismele de protecie a SGBD-ului i SO?, care e

rezultatul atarii la SGBD a diverselor mecanisme de protecie? etc. Dezavantajele

acestor tipuri de sisteme sunt: viteza, costurile pentru aplicaii/computatoare,

necoerena informaiei..

Prin urmare, e greu de zis c exist 100% de protecie a informaiei din baze de date, cel

puin se observ o tendin ctre aceasta. La moment, diversitatea activitilor organizaiilor,

structura reelelor i a fluxulurilor informaionale nu permite apariia unor metode universale de

soluii pentru a asigura securitatea bazelor de date.

3

Bibliografie:

1. http://sr2k.toxahost.ru/Diplom/Proekt.htm

2. http://www.infosec.ru

3. http://citforum.ru/security/articles/

4. http://www.aladdin.ru/catalog/etoken_products/oracle/public_detail.php?ID=7640&phrase

_id=82012

5. http://www.rus-lib.ru/book/28/ps/05/396-422.html

4