БЕЗОПАСНОСТЬ ХРАНЕНИЯ ДАННЫХ В БАЗАХ ДАННЫХ

АННОТАЦИЯ

Сегодня практически все фирмы (предприятия) используют для хранения своей внутренней документации (информации) электронный вариант. При этом наиболее удобным для дальнейшего доступа и анализа является способ организации хранения в виде баз данных. Потеря либо утечка конфиденциальной информации за пределы организации влечет финансовые потери, а часто и разорение компании.

Ключевые слова: база данных, безопасность информации, СУБД.

Виды угроз безопасности при работе с базами данных можно представить следующей схемой: [1]

Рисунок 1. Виды угроз безопасности при работе с базами данных

Используемая на предприятии система защиты информации должна оставаться работоспособной при любом из видов угроз. При этом рационально применять комплексный подход, так как упор на детальную проработку одного направления оставляет не закрытыми (слабо защищенными) остальные.

Возможные способы защиты по каждому из видов угроз:

От случайных угроз помогает обучение (повышение квалификации) сотрудников предприятия, это особенно актуально при внедрении нового или модернизации действующего программного обеспечения. Применение современных антивирусных программ позволяет существенно снизить угрозу потери информации при вирусной атаке. Широко применяемым и актуальным способом защиты данных от несанкционированного доступа служит система разграничения прав в системе. Практически универсальным средством защиты компьютерной информации является регулярное создание архивной копии данных. Благодаря грамотно организованному резервному копированию базы можно быстро и полностью восстановить данные при их потере или порче по причине любого из перечисленных видов угроз вплоть до форс мажорных обстоятельств (выход из строя технических средств, пожар и т.д.). К сожалению все перечисленные способы защиты практически бессильны против пассивных угроз. При этом данный вид угроз является самым опасным для предприятия. Об утечке конфиденциальной (экономической) информации к конкурентам предприятие может узнать уже слишком поздно. Даже если система защиты отразила попытку взлома базы данных извне всегда может найтись злоумышленник внутри самой организации. В этом случае процесс взлома сводится к тому, что из программы разными способами извлекаются файлы конфигураций для подключения к базе. Захватив эти файлы, содержащие в себе строки соединения с базой данных, злоумышленник получает доступ к управлению самой базой, а соответственно и всей хранимой в ней информации. Но если информацию в базе данных хранить не в явном, а зашифрованном виде, то это усложнит задачу злоумышленнику, а в некоторых случаях и сделает невозможной утечку конфиденциальной информации. Современные СУБД, имеют достаточно надежные встроенные механизмы шифрования данных. При этом пользователь сам выбирает вид алгоритма шифрования: симметричный (упаковка и распаковка информации производятся одним и тем же общим для участников ключом) или ассиметричный (имеет в наличии открытый и закрытый ключи, один из которых используется для шифрования информации, а другой — для дешифрования). Но даже при использовании алгоритма с закрытым ключом остается проблема безопасности хранимых процедур, так как на закрытый ключ обычно закладывается дополнительный пароль, который необходимо ввести (будет присутствовать в коде запроса или процедуры), то есть при взломе базы он будет доступен для злоумышленника. Получается, что необходимо прибегать к шифрованию процедур и функций в базе. В случае доступа к зашифрованным процедурам злоумышленник получит при отображении текста процедуры лишь знаки вопроса [2]. Безусловно сегодня существуют программные продукты, осуществляющие все перечисленные виды шифрования, чтобы не проделывать все вручную. Но при этом существую также и программные продукты по подборке ключей и алгоритмов дешифрования данных.

Рассмотрев имеющиеся виды угроз и способы защиты конфиденциальной информации в базах данных можно сделать вывод, что даже технически грамотно продуманная и организованная системе защиты не дает 100% уверенности в отсутствии доступности данных для злоумышленников. При этом наиболее уязвимым звеном в этой системе является человеческий фактор. Поэтому наряду с использованием технических и программных средств по защите конфиденциальной информации предприятия руководителю организации необходимо уделять внимание юридической стороне вопроса, а также организации здорового микроклимата в коллективе.

Список литературы:

1. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. — Рн/Д: Феникс, 2017. — 324 c.
2. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. — М.: МГИУ, 2017. — 277 c.