Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Защита данных в БД.
В современных СУБД поддерживается один из двух наиболее общих подходов к вопросу обеспечения безопасности данных: избирательный подход и обязательный подход. В обоих подходах единицей данных или «объектом данных», для которых должна быть создана система безопасности, может быть как вся база данных целиком, так и любой объект внутри базы данных.
Эти два подхода отличаются следующими свойствами:
В случае избирательного управления некоторый пользователь обладает различными правами (привилегиями или полномочиями) при работе с данными объектами. Разные пользователи могут обладать разными правами доступа к одному и тому же объекту. Избирательные права характеризуются значительной гибкостью.
В случае избирательного управления, наоборот, каждому объекту данных присваивается некоторый классификационный уровень, а каждый пользователь обладает некоторым уровнем допуска. При таком подходе доступом к определенному объекту данных обладают только пользователи с соответствующим уровнем допуска.
Для реализации избирательного принципа предусмотрены следующие методы. В базу данных вводится новый тип объектов БД — это пользователи. Каждому пользователю в БД присваивается уникальный идентификатор. Для дополнительной защиты каждый пользователь кроме уникального идентификатора снабжается уникальным паролем, причем если идентификаторы пользователей в системе доступны системному администратору, то пароли пользователей хранятся чаще всего в специальном кодированном виде и известны только самим пользователям.
Пользователи могут быть объединены в специальные группы пользователей. Один пользователь может входить в несколько групп. В стандарте вводится понятие группы PUBLIC, для которой должен быть определен минимальный стандартный набор прав. По умолчанию предполагается, что каждый вновь создаваемый пользователь, если специально не указано иное, относится к группе PUBLIC.
Привилегии или полномочия пользователей или групп — это набор действий (операций), которые они могут выполнять над объектами БД.
В последних версиях ряда коммерческих СУБД появилось понятие «роли». Роль — это поименованный набор полномочий. Существует ряд стандартных ролей, которые определены в момент установки сервера баз данных. И имеется возможность создавать новые роли, группируя в них произвольные полномочия. Введение ролей позволяет упростить управление привилегиями пользователей, структурировать этот процесс. Пользователю может быть назначена одна или несколько ролей.
Объектами БД, которые подлежат защите, являются все объекты, хранимые в БД: таблицы, представления, хранимые процедуры и триггеры. Для каждого типа объектов есть свои действия, поэтому для каждого типа объектов могут быть определены разные права доступа. На самом элементарном уровне концепции обеспечения безопасности баз данных исключительно просты. Необходимо поддерживать два фундаментальных принципа: проверку полномочий и проверку подлинности (аутентификацию).
Проверка полномочий основана на том, что каждому пользователю или процессу информационной системы соответствует набор действий, которые он может выполнять по отношению к определенным объектам. Проверка подлинности означает достоверное подтверждение того, что пользователь или процесс, пытающийся выполнить санкционированное действие, действительно тот, за кого он себя выдает.
Система назначения полномочий имеет в некотором роде иерархический характер. Самыми высокими правами и полномочиями обладает системный администратор или администратор сервера БД. Традиционно только этот тип пользователей может создавать других пользователей и наделять их определенными полномочиями.
СУБД в своих системных каталогах хранит как описание самих пользователей, так и описание их привилегий по отношению ко всем объектам.
Далее схема предоставления полномочий строится по следующему принципу. Каждый объект в БД имеет владельца — пользователя, который создал данный объект. Владелец объекта обладает всеми правами-полномочиями на данный объект, в том числе он имеет право предоставлять другим пользователям полномочия по работе с данным объектом или забирать у пользователей ранее предоставленные полномочия.
Кроме непосредственного назначения прав по работе с таблицами эффективным методом защиты данных может быть создание представлений, которые будут содержать только необходимые столбцы для работы конкретного пользователя и предоставление прав на работу с данным представлением пользователю.
Так как представления могут соответствовать итоговым запросам, то для этих представлений недопустимы операции изменения, и, следовательно, для таких представлений набор допустимых действий ограничивается операцией SELECT. Если же представления соответствуют выборке из базовой таблицы, то для такого представления допустимыми будут все 4 операции: SELECT, INSERT, UPDATE и DELETE.
Большинство современных компаний используют для обеспечения своей жизнедеятельности различные базы данных. Базы данных используются в бухгалтерских системах, системах документооборота, порталах и сайтах, системах анализа информации. Практически нет ни одного бизнес-процесса для обеспечения которого не использовались бы базы данных. Все это приводит к тому, что в базах данных скапливается гигантский объем данных, которые необходимо защищать от самых различных угроз:
- потери хранящейся информации, например, в случае непредумышленных действий пользователей или порчи носителей;
- кражи либо утери информации - попадание носителей баз данных либо самих баз данных в руки злоумышленников создает наиболее серьезную угрозу информационной безопасности компании и может привести к самым тяжелым последствиям;
- утечки информации в процессе обработки данных сотрудниками либо клиентами компании.
Вот только некоторые возможные варианты действий, допускающие в ходе своей реализации возможность утечки конфиденциальной информации, хранящейся в базе банных:
- размещение серверов в стороннем дата центре (collocation), не обладающей квалифицированной службой безопасности;
- отправка серверов или жестких дисков в ремонт;
- перевозка компьютеров из одного офиса в другой, например, при переезде;
- утилизация компьютеров, серверов, жестких дисков и лент;
- перевозка резервных копий, например, в депозитарий (off-site storage);
- кража или потеря жестких дисков или резервных копий;
- получение неавторизованного доступа к базе данных;
- передача данных по сети и обработка их пользователями.
Для устранения существующих угроз необходимо:
организовать резервное копирование баз данных, что позволяет предотвратить потерю информацию и сократить время простоя компании в случае восстановления работы сервера
защитить сервер баз данных системой антивирусной защиты, что позволит избежать рисков заражения сервера, порчи либо утечки информации;
установить файрвол (межсетевой экран), что позволит избежать риска проникновения на сервер хакеров с целью его заражения либо кражи информации;
обеспечить сервер системой бесперебойного питания, что позволит избежать риска уничтожения либо порчи информации в случае сбоев в электропитании;
обеспечить шифрование хранящейся в базах данных информации либо самой базы данных, что позволит избежать рисков утечки информации при попадании баз данных в руки злоумышленников;
внедрить систему аутентификации пользователей, действующую на основе положений о политике использования паролей в компании.
Существуют основные и дополнительные средства защиты БД.
Основные: 1.Парольная защита- параметры устанавливаются конечными пол-ми или администратором, учет и хранение паролей производится самой СУБД. Пароли хранятся в зашифрованном виде в системных файлах СУБД. 2.Шифрование данных и программ- используется для защиты от других программ, но эффек-ым явл. шифрование с вводом пароля. Шифрование исходных текстов программ позволяет скрыть от несанкционированно. пользователя описание соответствующих алгоритмов.
3. установление прав доступа к отдельным объектам БД. По отношению к таблице можно установить след права доступа: просмотр данных, редактирование данных, добавление новых записей, удаление записей, изменение структуры.
4. Защита полей и записи БД. Можно защищать как отдельные поля, так и отдельные записи. В реляционной БД данные не защищаются.
Дополнительные:
1.Встроенные средства контроля-значение данных в соответствие с их типами.
2. Повышение достоверности вводимых данных.
3.Обеспечение целостности связей таблицы.