Администрирование БД — это применение обширного набора средств информационной защиты, обеспечивающих защищённость баз данных.
Введение
Хакерские атаки на базы данных и информационные хранилища считаются достаточно опасным явлением для многих компаний. В течение последних лет количество информационных утечек непрерывно возрастает, при этом около тридцати процентов несанкционированного доступа к данным сопряжено с вмешательством извне. Обычно кибернетические преступники заинтересованы в получении персональных данных сотрудников организации, информации о клиентах, результатах изучения рынка, финансовых и платёжных документов, анализе работы конкурирующих организаций и другие данные, почти всегда присутствующие в корпоративных базах данных. Эта информация является очень ценной, что предопределяет необходимость повышенных мер обеспечения безопасности как инфраструктурных компонентов, так и непосредственно самих баз данных.
Безопасность и администрирование баз данных
Сейчас почти все крупные производители систем управления базами данных (СУБД) следуют в русле концепции конфиденциальности и целостности информации при обеспечении её доступности. Направление действий ведущих рыночных игроков устремлено, в первую очередь, на ликвидацию уже выявленных уязвимостей, изучение проблем, являющихся специфическими для конкретной системы управления базами данных, формирование главных моделей доступа к базам данных (БД). Но такой подход может решить только конкретные проблемы, а общей структуры безопасности СУБД он не формирует.
Исторически ситуация сложилась таким образом, что усовершенствование систем безопасности информационных баз данных было просто реакцией на выявленные случаи киберпреступлений. Специалистами выделяются следующие основные архитектурные направления:
- Реализация полного доступа пользователей к серверу, на котором расположена база данных.
- Реализация метода аудита при помощи средств СУБД.
- Осуществление подразделения пользователей на частично доверенных и обладающих доверенностью при помощи средств СУБД.
- Реализация шифровки информационных данных с размещением средств аутентификации вне границ СУБД, то есть в промежуточном программном обеспечении и операционной системе.
Реализация защитных средств БД, безусловно, необходима, но когда это выполняется только в виде реакции на вновь возникшую угрозу, то защищённость от новых методов атаки не гарантируется. То есть пока проблема безопасности БД имеет очень разнотипные трактовки.
Кибернетические преступления идут в развитии практически в ногу с базами данных и их средствами защиты. Но, однако, в течение последних лет перечень основных уязвимых мест СУБД изменился совсем незначительно. Анализ архитектурных особенностей БД, достоверно известных их уязвимых точек, существующих методов и средств, обеспечивающих безопасность СУБД, а также случаев нарушения безопасности, позволил выявить следующие причины возникновения проблем:
- Проектировщики баз данных, администраторы и программисты не уделяют должного внимания вопросам безопасности БД.
- Различные СУБД используют разные конструкции языка по доступу к данным, но все они базируются на одной модели.
- Серьёзно изучают проблемы безопасности только большие компании, занимающиеся производством СУБД.
- Проектируются новые модели сохранения информационных данных и их подвиды, которые сразу попадают в зоны риска.
Помимо этого, отдельные уязвимости становятся потенциально опасными по причине обычной невнимательности, а часто и просто недостаточной осведомлённости администраторов систем БД в вопросах безопасности. Например, повсеместно используются по отношению к веб-приложениям простые SQL-инъекции, где не уделяется достаточного внимания входным информационным данным запросов.
Для организаций финансовым компромиссом считается применение различных методов создания системы защиты информации, поскольку реализация продуктов, обладающих высокой степенью защищённости, и наличие служащих, имеющих высокий уровень квалификации, требуют значительных финансовых вложений. Но следует заметить, что элементы, обеспечивающие информационную безопасность, способны негативно влиять на производительность СУБД.
Сегодняшние информационные хранилища включают в свой состав следующие компоненты:
- Сохраняемые информационные данные, которые, по сути, и являются БД.
- Программа, предназначенная для организации управления базой данных (СУБД).
Гарантировать безопасность информации в БД невозможно без организации безопасного управления информационными данными. Следовательно, все уязвимые точки и проблемы защиты СУБД делятся на две группы, а именно, зависящие и независящие от информационных данных.
Уязвимости, независящие от информационных данных, присутствуют и в других видах программного обеспечения. Причины проблем могут быть различными, от несвоевременного обновления программ, до недостаточной квалификации системного администратора и присутствие функций, которые не используются.
Но практика показала, что большинство параметров информационной безопасности СУБД всё-таки имеют зависимость от информационных данных. Например, большое количество СУБД осуществляют поддержку запросов через определённый язык, который содержит функциональные наборы, доступные пользователям. А архитектурная организация применяемых языков сопряжена с моделью данных, используемой для информационного хранения. Следовательно, можно утверждать, что модель частично способна определять особенности языка, которые и определяют присутствие в нём некоторых уязвимостей.
Основными требованиями к системе БД относительно безопасности, которые не зависят от данных, являются следующие:
- Работать следует только в доверенной среде.
- Необходимо обеспечить физическую безопасность информационных файлов.
