CC BY
23
УДК: 004.91
Букин Е.М. студент магистрант 2 курса корпоративные информационные системы
УрГЭУ
руководитель: Виноградова Е.Ю., д.э.н.
профессор Россия, г. Екатеринбург БЕЗОПАСНОСТЬ И ЗАЩИТА БАЗ ДАННЫХ
Аннотация. В статье показана важность информации и рассмотрены основные методы защиты баз данных.
Ключевые слова: база данных, СУБД, защита базы данных.
Bukin E.M., master student 2 course, USUE (corporate information systems)
Russia, Ekaterinburg Supervisor: Doctor of Economics, prof. Vinogradova E. Y.
DATABASE SECURITY AND PROTECTION
Abstract. The article shows the importance of information and examines the basic methods of protecting databases.
Keywords: database, DBMS, protection of database.
В настоящее время давно признан факт, что современным миром правит информация, соответственно, базы данных выступают в роли ценного актива для любого предприятия. В связи с тем, что в базах данных зачастую хранится очень важная или конфиденциальная информация, которая касается внутренних операционных данных, персональных данных сотрудников, финансовых документов, информациях о заказчиках и клиентах, интеллектуальной собственности, исследованиях рынка и деятельности конкурентов, платежной информации, то вопрос их защиты является актуальным и критическим при обеспечении безопасности современных корпоративных систем [1].
Аналитической компанией Infowatch было проведено глобальное исследование, согласно которому в последние годы количество утечек данных в мире неуклонно растет. (рис.1)
Экономика и социум" №5(48) 2018
www.iupr.ru
1622
22%
■22%
3%
2012
2013
2014
2015
2016
2017
— —Число утечек
Рисунок 1 - Динамика роста числа утечек
При этом более сорока процентов из них за 2017 год приходятся на внешних нарушителей и около пятидесяти выполнено с участием сотрудников организации. Даже если мы предположим, что иногда происходила утечка данных, к которым у сотрудника был законный доступ, то все равно каждый третий случай приходился на внешнюю атаку. Также нужно отметить, что, согласно приведенным специалистами компании данным, на внешние атаки приходятся семь из восьми утечек объемом более тринадцати миллионов записей [2].
Итак, существуют различные средства защиты информации, рассмотрим основные из них [3, 4, 5]:
1. Установление паролей.
Введение паролей считается самым простым и эффективным способом защиты базы данных. Пароли устанавливаются администраторами баз данных или конечными пользователями. Они хранятся в специальных файлах системы управления базами данных в зашифрованном виде. Однако у этого средства защиты есть свои минусы. Во-первых, если пароль не зашифрован, то он уязвим. С точки зрения вычислительной системы все пользователи с одинаковым паролем неразличимы. Во-вторых, пользователям необходимо записывать или запоминать свои пароли, а в случае небрежного отношения к записям, пароль может оказаться в руках третьих лиц.
2. Создание системы прав доступа к объектам баз данных.
Права доступа определяют возможные действия над объектами. У администратора базы данных, как и у пользователя, создавшего объект (владелец объекта) есть все права. Остальные пользователи имеют различные права и уровни доступа, в зависимости от того, чем их наделили.
Разрешение на доступ к каким-либо объектам базы данных хранится в файле рабочей группы. Этот файл содержит информацию о пользователях
"Экономика и социум" №5(48) 2018 www.iupr.ru
группы (имена их учетных записей, пароли, названия групп, в которые входят пользователи) и считывается во время запуска.
3. Защита полей и записей таблиц баз данных.
К информации, имеющейся в таблице, могут применяться меры защиты по отношению к отдельным полям и отдельным записям. В реляционных СУБД отдельные записи специально не защищаются. Применительно к защите данных в полях таблиц можно выделить следующие уровни прав доступа:
- доступ запрещен полностью;
- разрешено только чтение;
- разрешены все операции, а именно просмотр, ввод новых значений, изменение, переименование и удаление.
4. Шифрование данных и программ.
Этот процесс перевода данных по особому алгоритму в непригодный для чтения вид для защиты от несанкционированного просмотра или использования, является одним из самых действенных способов защиты. У него есть три статуса безопасности: конфиденциальность, идентифицируемость и целостность. В шифровании зачастую используется ключ, который утверждает выбор какого-либо способа кодирования из всех вариантов. Чаще всего этот способ используется для защиты уязвимой информации.
Подводя итоги можно с точностью сказать, что обеспечение безопасности баз данных является ключевым фактором для любой организации. Для более эффективной защиты рекомендуется использование комплекса методов.
Использованные источники:
1. Информационная безопасность бизнеса. Исследование текущих тенденций в области информационной безопасности бизнеса. 2014. URL: https://media.kaspersky.com/pdf/it_risk_report_russia_2014.pdf (дата обращения: 10.05.2018).
2. Глобальное исследование утечек конфиденциальной информации в 2017 году. URL: https://www.infowatch.ru/report2017 (дата обращения: 10.05.2018).
3. Увайсова З. М., Билалова И. М. Защита и безопасность баз данных // Студенческий научный форум: материалы VII Междунар. студ. электронной науч. конф., 2015. С.2
4. Методы защиты баз данных: защита паролем, шифрование, разграничение прав доступа. URL: http://www.bseu.by/it/tohod/lekcii9_2.htm (дата обращения: 10.05.2018).
5. Полтавцева М. А. Безопасность баз данных: проблемы и перспективы/М. А. Полтавцева, А. Р. Хабаров // Программные продукты и системы, 2016, № 3. С.36-41
Экономика и социум" №5(48) 2018
www.iupr.ru
1624
