2. Что собой представляет XSS-уязвимость // Anti-Malware.ru - информационная безопасность для профессионалов. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/what-is-an-xss-vulnerability/ (дата обращения: 15.10.2017).
3. Полное пособие по межсайтовому скриптингу // Информационный портал по безопасности SecurityLab.ru. [Электронный ресурс]. Режим доступа: http://www.securitylab.ru/analytics/432835.php/ (дата обращения: 15.10.2017).
ОСНОВНЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СУБД Савин И.В. Email: Savin1139@scientifictext.ru
Савин Илья Вадимович - студент, кафедра информационной безопасности, Тульский государственный университет, г. Тула
Аннотация: в данной работе рассматриваются вопросы обеспечения безопасности СУБД. Анализируется структура базы данных, рассматриваются разновидности пользователей. Анализируются причины успешной реализации атаки злоумышленниками, а также выделяются факторы, из-за которых список наиболее популярных у атакующих уязвимостей в таких системах практически не меняется. Выделяются необходимые для эффективной защиты меры обеспечения безопасности как для зависимых от данных, так и для независимых от данных СУБД. Приводятся рекомендации для снижения риска компрометации и потери данных, а также для обеспечения безопасности таких систем в целом.
Ключевые слова: базы данных, информационная безопасность, защита данных.
THE MAIN ASPECTS OF SECURITY OF THE DBMS
Savin I.V.
Savin Ilya Vadimovich - Student,
INFORMATION SECURITY, TULA STATE UNIVERSITY, TULA
Abstract: this paper discusses the security issues of DBMS. Analyze the structure of the database, discusses the variety of users. Analyzes the reasons for the successful implementation of the attack by hackers, and are also the factors because of which a list of the most popular attacking vulnerabilities in such systems does not change. Financial support is provided for effective protection of security for both data dependent and data independent of DBMS. Recommendations to reduce the risk of compromise and data loss and to ensure the safety of such systems in General. Keywords: database, information security, data protection.
УДК 004.056.53
В настоящее время практически не осталось организаций, которые не используют базы данных. Содержащиеся в них конфиденциальные сведения, от персональных данных до финансовой информации, могут серьёзно заинтересовать злоумышленника. Специалисты по защите информации провели исследование, согласно которому выяснилось, что финансовые убытки компании от нарушения безопасности одной записи в базы данных составляют в среднем от 100$ до 240$. Эти убытки включают в себя восстановление данных, расследование инцидента, а также ликвидацию ущерба репутации. Для предотвращения подобных критических ситуаций необходимо серьёзно отнестись к построению защитного рубежа.
Структура базы данных состоит из следующих частей:
• разграничение доступа- любой пользователь может получить доступ только к необходимой для выполнения должностных обязанностей информации;
• защита доступа - подразумевает допуск к работе с базой данных только прошедших авторизацию и аутентификацию пользователей;
• обеспечение надёжного шифрования данных;
• ведение журнала, который фиксирует любые действия, совершаемые в базе данных (вход пользователя, изменение данных и т.д.).
Пользователей СУБД принято разделять на следующие категории:
• администраторы баз данных - ответственны за проектирование, контроль безопасности и функционирование СУБД. Обеспечивают доступ пользователей БД к нужным данным. В случае возникновения критических ситуаций ответственны за реорганизацию и восстановление БД;
• прикладные программисты - ответственны за написание ПО для баз данных. Для создания и обработки объектов могут иметь соответствующие привилегии;
• конечные пользователи - получают доступ к базе данных через ПК. Обычно не имеют привилегий, позволяющих навредить системе.
За последние несколько лет список наиболее используемых злоумышленниками уязвимостей практически не изменился. Нарушения безопасности СУБД являются следствием следующих основных причин:
• высокий уровень защищенности обеспечивают только крупные производители;
• использование множества различных языковых конструкций для доступа к данным;
• используемые методы обеспечения защиты напрямую зависят от размера СУБД и важности хранимых данных.
Стоит добавить, что большинство уязвимостей СУБД актуально из-за недостаточного уделения внимания администраторами вопросам безопасности [1]. Примером служит тот факт, что многие веб-приложения уязвимы к классическим 8рЬ-инъекциям. А также на безопасность влияет и финансовая сторона. Не все компании готовы увеличивать затраты на подбор более опытного персонала и использования наиболее надёжных средств защиты.
Хранилище данных состоит из двух частей: хранимых данных (БД) и программ управления (СУБД) [2]. Обеспечивая безопасность хранимой информации необходимо учитывать и обеспечение безопасности управления данными. Из этого следует, что уязвимости СУБД делятся на две группы: уязвимости, которые не зависят от данных (устаревшее ПО, неквалифицированные администраторы) и уязвимости, имеющие зависимость от данных. Часто уязвимости являются косвенно зависимыми от данных. Это происходит потому, что большое количество СУБД позволяют пользователю использовать язык запросов, который содержит набор функций или произвольные функции на каком-либо языке программирования. Применение языков программирования зависит от используемой модели данных. Поэтому от неё зависят уязвимости, характерные для конкретного языка.
Выстраивая надёжную защиту БД, следует выделять зависимые и независимые от данных меры защиты информации.
Меры обеспечения безопасности, которые не зависят от данных, должны включать в себя:
• корректная настройка СУБД с точки зрения безопасности и актуальности - отключение ненужных функций, осуществление активной парольной политики, регулярное обновление ПО;
• обеспечение физической безопасности данных;
• наличие «доверенной среды» - функционирование СУБД должно осуществляться с учетом всех применяемых на предприятии политик безопасности.
К зависимым от данных, как правило, относят надёжную работу с сведениями и обеспечение безопасности пользовательского ПО (построение защищенных механизмов доступа данных, безопасных интерфейсов).
Обеспечивая надёжную защиту СУБД, следует помнить, что метод закрытия уязвимостей недостаточен. Необходим комплексный подход, который должен включать в себя:
• проведение анализа угроз и уязвимостей - позволит заранее спрогнозировать вероятные угрозы в зависимости от уязвимости;
• использование стандартизированных механизмов защиты данных - позволит создать средства обеспечения безопасности, которые можно будет применять к различным СУБД;
• использование технологии больших данных - такие автоматизированные системы осуществляют непрерывный мониторинг всех взаимодействий с базами данных. В них хранится информация обо всех произошедших инцидентах с доказательной базой, что упрощает дальнейший ретроспективный анализ;
• использование шифрования, как всей СУБД в целом, так и отдельных её сегментов;
• применение ролевой модели разграничения доступа - в отличие от мандатной и дискреционной, с помощью такого подхода возможно применение нескольких политик безопасности;
• резервное копирование и восстановление - в случае возникновения форс-мажорных ситуаций, например, нарушение целостности данных или их утеря, использование такого метода позволит восстановить утраченную информацию и вернуть СУБД в рабочее состояние;
• регулярное проведение аудита - позволит объективно оценить состояние защищенности и, если необходимо, внести коррективы в процессы обеспечения безопасности СУБД.
Из-за содержания различных конфиденциальных сведений атаки на СУБД будут популярны у злоумышленников. Идеальную защиту построить невозможно, но для того, чтобы снизить риск компрометации данных необходимо использовать комплексный подход, учитывая особенности каждой СУБД в частности. Следует обеспечить надежную защиту от наиболее распространённых у злоумышленников и наиболее характерных для конкретных СУБД уязвимостей. Не менее важным критерием безопасности являются квалифицированные кадры, от которых будет зависеть не только владение информацией о средствах защиты, но и их применение на практике. Применение криптографических методов защиты обеспечит надежное шифрование данных, а использование автоматизированных систем, основанных на технологии больших данных, позволит вычислить канал утечки информации. Применение систем резервного копирования позволит восстановить работу СУБД и вернуть утраченную информацию.
Список литературы /References
1. Безопасность баз данных: проблемы и перспективы // Международный журнал.
«Программные продукты и системы». [Электронный ресурс]. Режим доступа:
http://www.swsys.ru/mdex.php?page=artide&id=4175/ (дата обращения: 17.10.2017).
2. Основные аспекты безопасности СУБД: что следует знать // Типичный программист.
[Электронный ресурс]. Режим доступа: https://tproger.ru/artides/db-security-basics/ (дата
обращения: 17.10.2017).