ОСНОВНЫЕ АСПЕКТЫ БЕЗОПАСНОСТИ СУБД

База данных(БД) – это организованная структура, предназначенная для хранения, изменения  и обработки информации больших размеров, которая связана между собой.

Система управления базами данных (СУБД) – это комплекс программных средств, необходимых для создания структуры новой базы, ее заполнения, редактирования и отображения содержимого. Наиболее распространенными СУБД являются MySQL, Oracle, Microsoft SQL Server.

Так как в любой базе данных хранится информация, то для нее актуальны все те же угрозы, связанные с нарушением конфиденциальности, целостности и доступности, что и для любой другой существующей в современном мире информации.

Угрозы, связанные с нарушением конфиденциальности информации связаны с разглашением информации, хранящейся в базе данных.

Угрозы нарушения целостности информации могут привести к тому, что хранящаяся в базе данных информация будет модифицирована.

Угрозы доступности информации. В результате их реализации доступ к данным, хранящимся в БД может быть надолго потерян, что может повлечь за собой другие нежелательные последствия

К любому из нарушений может привести целенаправленное злоумышленное воздействие на СУБД, случайная ошибка программного или аппаратного обеспечения, а также неквалифицированные действия оператора системы.

Для того, чтобы приступить к созданию системы защиты СУБД, необходимо сначала проанализировать все уязвимости СУБД и определить требования к безопасности.

Требования к безопасности СУБД.

Требования к безопасности СУБД можно разделить на зависящие от данных и независящие от данных.

К зависящим от данных требованиям относятся:

• Безопасность пользовательского ПО(задач построения безопасного интерфейса, при использовании которого пользователь не сможет нанести ущерб данным, хранящимся в СУБД);
• Безопасная организация и работа с данными (задачи обеспечения безопасности основных, зависящих от данных, уязвимостей, а также задачи организации данных с контролем целостности и специфичные для СУБД проблемы безопасности).

К независящим от данных требованиям относятся:

• Функционирование в доверенной среде (СУБД должна функционировать в соответствии с правилами, которые применяются для прочих систем данного предприятия);
• Организация физической безопасности (физическая безопасность составляющих СУБД, например, файлов);
• Организация безопасной и актуальной настройки СУБД (своевременная установка обновлений системы, удаление функций, утерявших свою значимость);

Современные проблемы обеспечения безопасности БД

В настоящее время в мире уделяется особое внимание проблемам обеспечения информационной безопасности баз данных, поскольку сферы их применения стремительно расширяются. К числу основных проблем обеспечения безопасности баз данных можно отнести следующие:

1. Человеческий фактор (самая распространенная проблема);

2. Разные подходы к безопасности в зависимости от видов данных;

3. Различные СУБД используют разные языковые конструкции;

4. Появление новых видов и моделей хранения данных;

5. Не каждый производитель всерьез задумается о безопасности.

Уязвимости бах данных

Для того, чтобы обеспечить безопасность информации на должном уровне, необходимо понимать природу возникающих угроз. Приведем список наиболее часто встречающихся уязвимостей баз данных.

1. Использование «слабых» паролей

Простые пароли уязвимы для атак, использующих простой перебор или перебор по словарю.

2. SQL-инъекции

Внедрение SQL может дать возможность атакующему выполнить произвольный запрос к базе данных, получить возможность чтения или

записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

3. Расширенные права пользователей

Руководствуясь принципом «наименьших прав доступа», система должна предоставлять минимальные привилегии пользователям.

4. Активизация неиспользуемых хранимых процедур БД

Риск взлома базы данных может быть снижен, если администратор отключит неиспользуемые функции и пакеты, так как некоторые из них могут обеспечить доступ к ОС.

5. Переполнение буфера

Переполнение буфера приводит не только к некорректной работе программы, но и к возможности удаленного вторжения в систему с наследованием всех привилегий компрометированной программы.

6. Повышение привилегий

Основные атаки, совершаемые с правами локального пользователя СУБД, направлены на повышение своих привилегий в базе данных (в том числе до роли DBA) или на выполнение произвольных команд на сервере.

7. DoS-атаки

С помощью SQL-запросов может быть предпринята атака с целью отказа в обслуживании пользователей. Это может привести к падению критически важных для организации систем и отказу в доступе ее сотрудников к данным.

8. Отказ от шифрования данных

Большинство проблем, связанных с защитой персональных данных, хранением паролей и прочих, можно решить, если применять шифрование или маскирование данных.

9. Несвоевременное обновление ПО

Компании по разработке СУБД анализируют возможные риски и на их основании выпускают новые версии продуктов, применяя которые система оказывается менее уязвимой для атаки.

Заключение

Обеспечение информационной безопасности БД требует комплексного системного подхода, во многом благодаря природе реляционной модели СУБД. Наибольшее количество проблем, неисправностей и ошибок возникают из-за неправильной работы пользователей, неверной конфигурации, установки СУБД или иных компонентов системы. Поэтому в большинстве случаев для корректной и безопасной работы достаточно правильно настроить систему и создать надежную политику безопасности, а также разграничить доступ пользователям.

Список литературы:

1. Поляков А.М. Безопасность Oracle глазами аудитора: нападение и защита. – М.: ДМК Пресс, 2010. – С. 119 – 120.
2. Таблица угроз и уязвимостей (компонент DatabaseEngine) [Электронный ресурс]. – URL: https://technet.microsoft.com/ru-ru/library/bb895180(v=sql.105).aspx (дата обращения: 31.03.18)
3. Основные аспекты безопасности СУБД: что следует знать [Электронный ресурс]. – URL: https://tproger.ru/articles/db-security-basics/ (дата обращения: 31.03.18)
4. База данных // ВикипедиЯ. Свободная энциклопедия [Электронный ресурс]. – URL: https://ru.wikipedia.org/wiki/%D0%91%D0%B0%D0%B7%D0%B0_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85 (дата обращения 10.03.2018)
5. Основные аспекты безопасности СУБД: что следует знать // Tproger. [Электронный ресурс]. – URL: https://tproger.ru/articles/db-security-basics/ (дата обращения 20.03.2018)
6. Угрозы информационной безопасности баз данных // СтудопедиЯ. [Электронный ресурс]. – URL: https://studopedia.su/2_30378_ugrozi-informatsionnoy-bezopasnosti-baz-dannih.html (дата обращения 18.03.2018)