Системы защиты баз данных

Введение

«Гарда БД 4» — интеллектуальное решение класса DAM (Database Activity Monitoring) для аудита сетевого доступа к базам данных и веб-приложениям.

Наиболее востребованы решения класса DAM в банковской сфере и ритейле. «Гарда БД» используется для защиты платежных и персональных данных и контроля доступа к ним, а также для решения бизнес-задач, связанных с контролем доступа к базам данных (утечки клиентских данных, внутреннее мошенничество и т. п.)

Мы уже делали обзор одной из версий системы защиты баз данных и веб-приложений «Гарда БД» (Обзор «Гарды БД 3.7» от «МФИ Софт»), в рамках которого рассмотрели основную проблематику применения решений класса DAM (Database Activity Monitoring), а также структуру и функциональность самого продукта «Гарда БД 3.7».

В этой статье мы расскажем о серьезных улучшениях комплекса, которые разработчики внесли в новую версию своего продукта.

«Гарда БД 4» контролирует не только SQL-трафик (что характерно для большинства систем подобного класса), но и выполняет разбор HTTP/HTTPS-трафика для контроля запросов к БД, направляемых через веб-приложения. В комплексе предусмотрены механизмы сканирования уязвимостей СУБД, таких как неустановленные патчи или незаблокированные учетные записи (например, уволенных сотрудников). Помимо пассивной защиты в комплексе реализована и активная защита — сетевой экран, позволяющий не просто выявить, но и заблокировать несанкционированные действия.

Основные отличия «Гарды БД 4» от предыдущей версии:

• Увеличение количества поддерживаемых СУБД. Добавлена поддержка: PostgreSQL, MySQL, Teradata, Sybase ASE, IBM Netezza, Линтер, IBM DB2, Apache Cassandra.
• Изменение интерфейса пользователя: с десктопного на веб-интерфейс.
• Полная переработка хранилища данных в комплексе, позволившая значительно увеличить объемы хранимых данных и производительность их обработки.
• Минимизация влияния серверного агента, протоколирующего действия непосредственно на сервере БД, на его производительность.
• Возможность поставки продукта в виде готового образа виртуальной машины (виртуального аплайнса), а не только физического сервера.

Эти и другие функциональные возможности комплекса «Гарда БД 4» разберем далее в обзоре.

Введение

Эксперты по защите данных бьют тревогу: вирусы становятся все более и более специализированными и в последнее время атаковали инсталляции SQL Server, на которых не были установлены последние пакеты исправлений защиты от Microsoft. В результате распространения SQL-червя Slammer резко повысился сетевой трафик, что привело к своего рода сценарию отказа в обслуживании. В этом случае целью червя не были данные, находящиеся в базе данных, однако этот случай свидетельствует о потенциальной угрозе. Хакеры могут создать вирус, который будет считывать и похищать данные из реляционных баз данных. Риск атак со стороны хакеров особенно велик в тех случаях, когда на предприятии существует интерфейс между своей корпоративной сетью и общедоступным Интернетом: каждый год хакеры, получившие доступ к ИТ системам и похитившие данные, приносят огромный ущерб. Во многих случаях угроза кроется не за пределами компании, а внутри нее. Данные крадут нелояльные сотрудники, например, перед тем, как менеджер по сбыту переходит на работу в другую компанию, он копирует базу данных клиентов. Современные технологии защиты похожи на засов, который может надежно запереть дверь к ценным данным, защищая их от внешних и внутренних атак.

Есть различные методы кражи данных, которыми могут воспользоваться хакеры. Ниже перечислены наиболее важные из этих методов.

• Хакер начинает атаку на физические файлы базы данных для просмотра или изменения информации; он может физически получить доступ к системе, даже не имея авторизации. Это происходит, например, при использовании мобильных клиентских систем.
• Хакер хочет стать авторизованным пользователем системы, базы данных или приложения. Для этой цели существует программное обеспечение для генерации и автоматического использования списков пользователей. Часто достаточно просто позвонить по телефону из «службы по технической поддержке пользователей» и запросить имя и пароль пользователя.
• Хакер использует существующее подключение к базе данных через сеть, которое было установлено авторизованным пользователем (нападение).
• Хакер перехватывает незакодированную информацию во время ее передачи по сети.

Большинство поставщиков баз данных отреагировало на растущие потребности в защите и выпустило версии продуктов со значительно улучшенной защитой. Компания Oracle существенно улучшила защиту своего сервера базы данных и называет его неприступным. «Неприступность» защиты может быть немного преувеличена, поскольку еще ни одна ИТ система не подтвердила свою неприступность. Тем не менее, Oracle ввела много функциональных возможностей, позволяющих улучшить защиту данных. Microsoft бросает вызов Oracle, интегрируя защиту и шифрование Windows в свой продукт SQL Server, который становится хорошо защищенной базой данных. Sybase предлагает функциональные возможности защиты и шифрования в своем корпоративном продукте Adaptive Server Enterprise и в сервере для рабочей группы Adaptive Server Anywhere. Компания Gupta, специалист по встроенным базам данных, предлагает надежную защиту и шифрование в SQLBase, своей встроенной базы данных и базы данных для рабочей группы. Теперь выбор наиболее подходящего продукта зависит от пользователя. Далее приводятся подробные описания средств защиты ранее упомянутых поставщиков баз данных.

Представления и защита данных

Достаточно удобным методом улучшения защиты и абстрагирования от структуры базы данных являются представления. Нельзя отрицать, что представления достаточно негативно влияют на производительность, однако в это же время положительны для защиты. Появляется возможность выдачи собственных прав доступа, но таблицы, содержащие данные, при этом остаются недоступными.

В каких случаях стоит использовать представления? Первое, с чем необходимо определиться, это в чем именно заключается недостаток. Представление является запросом на выборку, причем обращение может происходить сразу к нескольким таблицам. При простой выборке данных производительность не уменьшится. Можно использовать представления и в иных запросах для выборки данных, причем обращение происходит как к таблице.

При отсутствии особой необходимости давать доступ к системным данным категорически нельзя. В таком случае, чтобы не получилось так, что были предоставлены лишние права, необходимо начинать с разрешений исключительно на выборку данных при помощи запроса SELECT. Только при необходимости получить вставку дополнительных записей для выполнения поставленной перед пользователем задачи можно добавить на отдельную таблицу разрешение INSERT.

Кроме того, нужно убедиться в том, что данные будут как можно чаще подвергаться воздействию. К примеру, таблица, содержащая данные о работниках компании, может лишь изменяться либо пополняться, однако удаляться информация не должна, поскольку это может повлиять, во-первых, на историю компании по работникам, а во-вторых, на целостность имеющихся данных. Бывают, конечно, случаи, когда сотрудник организации случайно создал лишнюю запись, в этом случае удалить ее может исключительно администратор базы данных.

О защите персональных данных:

Внешние ключи и резервное копирование

Как правило, наличие внешних ключей при внешнем соединении запрещает удаление информации, поэтому их многие боятся. Однако проблему достаточно просто решить установкой каскадного удаления, хотя стоит заметить, что специалисты обычно относятся к такой возможности отрицательно, поскольку при одном нелепом действии вся информация может быть уничтожена без подтверждающих действия запросов. Информация должна быть удалена только в том случае, если пользователь это подтвердил.

Внешних ключей пугаться вовсе не нужно, поскольку это лишь способ дополнительного контроля над целостностью информации баз данных. Проблемы с удалением, конечно, могут возникнуть, однако это скорее плюс, нежели минус, поскольку гораздо лучше информацию не суметь удалить, чем безвозвратно ее потерять. Кроме того, использование ключа при использовании его с индексом абсолютно никак не влияет на производительность системы.

Большинство пренебрегает резервным копированием до тех пор, пока не столкнется с проблемой потери данных. Этот фактор защиты можно даже отнести к основным, поскольку потеря информации часто происходит не только из-за хакеров и самих пользователей, неисправность самой системы может стать причиной. Сбои, происходящие в работе оборудования, вполне могут стать причиной потери данных, восстанавливать которые придется достаточно много времени – от нескольких часов до дней.

Лучшим выходом будет резервное копирование, которое заключается в минимальном количестве времени между моментом, когда произошла потеря системной информации, и восстановлением работы системы. Резервирование ни в коем случае не должно мешать действиям пользователя, а потеря информации должна быть как можно меньше.

Таким образом, политика безопасности баз данных должна быть максимально четкой и содержать несколько уровней. Нелишним будет реализация в сети, на серверах, а также на ПК антишпионов, антивирусов и других программ. Чем больше защита информации в базах данных имеет уровней, тем труднее ее будет преодолеть.

Защита информации баз данных должна осуществляться как от деятельности хакеров, так и пользователей-новичков, способных удалить или изменить данные просто по неопытности. Главное – помнить, что лучше всего предусмотреть возможность защитить данные от неопытных пользователей, чем терять огромное количество времени для того, чтобы их восстановить, создавая простои в работе компании.

§6. Использование мастера защиты

Теперь, после знакомства с системой защиты Access, должно быть очевидно, что для реальной защиты базы данных требуется немало усилий. При обычной установке Access стандартная рабочая группа создается на основе информации о пользователе Windows и названии организации. Поэтому любому человеку, имеющему доступ к вашему компьютеру, не представит особого труда выяснить эти сведения и продублировать их. Итак, для начала вам нужна уникальная рабочая группа, чтобы было трудно воспроизвести ее идентификатор, дающий всем членам группы Admins право изменять разрешения. Затем вам потребуется код пользователя, отличный от Admin, в качестве владельца вашей базы данных и всех ее объектов. Кроме этого, для всех объектов необходимо удалить разрешения из группы Users. А чтобы никто не мог изучить ваши данные и тексты процедур с помощью служебных программ для просмотра дисков, вы должны зашифровать базу данных.

Конечно, можно проделать все эти шаги «вручную», но Microsoft предоставляет мастера, помогающего установить защиту на уровне пользователя. Он выполнит за вас перечисленные выше шаги, включая шифрование базы данных. Но прежде чем воспользоваться его помощью, необходимо выполнить несколько операций.

§7. Подготовка к установке защиты

Чтобы мастер защиты успешно выполнил свою работу по установке защиты базы данных, вы должны зарегистрироваться под именем владельца этой базы данных или в том же самом файле рабочей группы, который использовался вами при создании базы данных, и при этом быть в нем членом группы Admins. Вспомните, что одним из важнейших шагов является создание новой рабочей группы с уникальным кодом, которая, скорее всего, будет отличаться от рабочей группы, использовавшейся при создании базы данных. Кроме того, при создании базы данных вы, вероятнее всего были зарегистрированы как пользователь Admin, а для базы данных, владельцем которой является Admin, нельзя установить защиту. В этом случае вам придется назначить нового владельца.

Мастер защиты в Access 2000 позволяет защитить базу данных, даже если вы зарегистрировались как пользователь Admin в первоначальной рабочей группе. В этой ситуации мастер заставит вас создать новую рабочую группу. В новой рабочей группе мастер сделает владельцем базы данных новый код пользователя. Но это возможно только в том случае, если вы являетесь владельцем базы данных. Вы также можете перед запуском мастера создать новую рабочую группу и в ней новый код пользователя (не Admin) в группе Admins, но этот пользователь должен быть владельцем базы данных, в противном случае попытка мастера переназначить владельца кажется безуспешной.

Вы сможете лучше понять систему защиты Access, если сначала создадите новую рабочую группу, определите, по крайней мере, один код пользователя и дадите пользователя Admin из группы Admins. Найдите программу Wrkgadm.exe на своем компьютере. При установке Access она обычно помещается в папку, в которой установлен пакет Microsoft Office. Если Microsoft Office установлен в папке Program Files на диске С, ярлык должен работать без каких-либо изменений. Если Microsoft Office находится в другом месте, в Проводнике Windows установите указатель на этом ярлыке, нажмите правую кнопку мыши, контекстном меню выберите команду Свойства (Properties) и затем на вкладке Ярлык (Shortcut) измените содержимое полей Файл (Target) и Рабочий каталог (Start In). Дважды щелкните на ярлыке, чтобы запустить администратора рабочих групп.

Описание предмета: «СУБД»

Система управления базами данных — комплекс программных и лингвистических средств общего или специального
назначения, реализующий поддержку создания баз данных, централизованного управления и организации доступа к ним
различных пользователей в условиях принятой технологии обработки данных.СУБД характеризуется используемой моделью, средствами администрирования и разработки прикладных процессов.СУБД обеспечивает:
— описание и сжатие данных;
— манипулирование данными;
— физическое размещение и сортировку записей;
— защиту от сбоев, поддержку целостности данных и их восстановление;
— работу с транзакциями и файлами;
— безопасность данных.СУБД определяет модель представления данных.

Литература

1. В.В. Валентинов, М.Д. Князева. Персональная база данных для менеджера. – М.: Форум, 2011. – 224 с.
2. В.П. Агальцов. Базы данных (+ CD-ROM). – М.: Мир, 2002. – 376 с.
3. А.В. Кузин, С.В. Левонисова. Базы данных. – М.: Академия, 2012. – 320 с.
4. М.Р. Когаловский. Энциклопедия технологий баз данных. – М.: Финансы и статистика, 2002. – 800 с.
5. Р.М. Ганеев. Web-интерфейс баз данных ODBC. – М.: Горячая Линия — Телеком, 2002. – 208 с.
6. В.П. Агальцов. Базы данных. В 2 книгах. Книга 2. Распределенные и удаленные базы данных. – М.: Форум, Инфра-М, 2009. – 272 с.
7. А.В. Маркин, С.В. Аникеев. Разработка приложений баз данных в Delphi. – М.: Диалог-МИФИ, 2013. – 160 с.
8. А.В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем. – М.: Горячая Линия — Телеком, 2013. – 116 с.
9. А.В. Кузин, В.М. Демин. Разработка баз данных в системе Microsoft Access. Учебник. – М.: Инфра-М, Форум, 2014. – 224 с.
10. В.Е. Кошелев. Базы данных Access 2007. – М.: Бином, 2013. – 590 с.
11. Ирина Баженова. Разработка приложений баз данных для облачных хранилищ данных. – М.: LAP Lambert Academic Publishing, 2013. – 212 с.
12. Хелен Борри. Firebird. Руководство разработчика баз данных. – СПб.: БХВ-Петербург, 2007. – 1104 с.
13. В.М. Стасышин, Т.Л. Стасышина. Базы данных. Технологии доступа. Учебное пособие. – М.: Юрайт, 2017. – 180 с.
14. Томас Коннолли, Каролин Бегг. Базы данных. Проектирование, реализация и сопровождение. Теория и практика. – М.: Вильямс, 2017. – 1440 с.
15. В.О. Калятин. Право интеллектуальной собственности. Правовое регулирование баз данных. Учебное пособие. – М.: Юрайт, 2018. – 186 с.
16. Стасышин Владимир Михайлович, Стасышина Татьяна Леонидовна. Базы данных: технологии доступа. Учебное пособие для СПО. – М.: Юрайт, 2018. – 178 с.
17. С.И. Гордеев,В.Н. Волошина. Организация баз данных в 2 частях. Часть 2. Учебник для вузов. – М.: Юрайт, 2017. – 502 с.

Образцы работ

Задайте свой вопрос по вашей проблеме

Внимание! Банк рефератов, курсовых и дипломных работ содержит тексты, предназначенные
только для ознакомления. Если Вы хотите каким-либо образом использовать
указанные материалы, Вам следует обратиться к автору работы

Администрация
сайта комментариев к работам, размещенным в банке рефератов, и разрешения
на использование текстов целиком или каких-либо их частей не дает.

Мы не являемся авторами данных текстов, не пользуемся ими в своей деятельности
и не продаем данные материалы за деньги. Мы принимаем претензии от авторов,
чьи работы были добавлены в наш банк рефератов посетителями сайта без указания
авторства текстов, и удаляем данные материалы по первому требованию.

Дальнейшие действияNext steps

Из этого руководства вы узнали, как повысить безопасность базы данных с помощью нескольких простых шагов.In this tutorial, you’ve learned to improve the security of your database with just a few simple steps. Вы ознакомились с выполнением следующих задач:You learned how to:

• Создавать правила брандмауэра уровня сервера и уровня базы данных.Create server-level and database-level firewall rules
• Назначать администратора Azure Active Directory (AD).Configure an Azure Active Directory (AD) administrator
• Управлять пользовательским доступом с помощью аутентификации SQL, аутентификации Azure AD и безопасных строк подключения.Manage user access with SQL authentication, Azure AD authentication, and secure connection strings
• Включать функции безопасности, такие как расширенная защита данных, аудит, маскирование данных и шифрование.Enable security features, such as advanced data security, auditing, data masking, and encryption

Перейдите к следующему руководству, чтобы узнать, как реализовать географическое распределение.Advance to the next tutorial to learn how to implement geo-distribution.

Защита подключений

• эквивалентен ли один бизнес-пользователь одному пользователю СУБД;
• обеспечивается ли доступ к данным СУБД только через API, который вы контролируете, либо есть доступ к таблицам напрямую;
• выделена ли СУБД в отдельный защищенный сегмент, кто и как с ним взаимодействует;
• используется ли pooling/proxy и промежуточные слои, которые могут изменять информацию о том, как выстроено подключение и кто использует базу данных.

1. Используйте решения класса database firewall. Дополнительный слой защиты, как минимум, повысит прозрачность того, что происходит в СУБД, как максимум — вы сможете обеспечить дополнительную защиту данных.
2. Используйте парольные политики. Их применение зависит от того, как выстроена ваша архитектура. В любом случае — одного пароля в конфигурационном файле веб-приложения, которое подключается к СУБД, мало для защиты. Есть ряд инструментов СУБД, позволяющих контролировать, что пользователь и пароль требуют актуализации.
   Почитать подробнее про функции оценки пользователей можно здесь, так же про MS SQL Vulnerability Assessmen можно узнать тут. 
3. Обогащайте контекст сессии нужной информацией. Если сессия непрозрачная, вы не понимаете, кто в ее рамках работает в СУБД, можно в рамках выполняемой операции дополнить информацию о том, кто, что и зачем делает. Эту информацию можно увидеть в аудите.
4. Настраивайте SSL, если у вас нет сетевого разграничения СУБД от конечных пользователей, она не в отдельном VLAN. В таких случаях обязательно защищать канал между потребителем и самой СУБД. Инструменты защиты есть в том числе и среди open source.

Как это повлияет на производительность СУБД?

Тест 1 без SSL и с использованием SSL

vs

Тест 2 без SSL и с использованием SSL

vs

Остальные настройки

Результаты тестирования

Стандартные способы защиты

Защита с использованием пароля пользователя

• Создание нового файла рабочих групп.Для этого в 97-2000 Access запускается программа WRKGADM.EXE, а в 2003 Access необходимо выбрать пункт меню «Сервис / Защита / Администратор рабочих групп». В администраторе жмём кнопку «Создать», указываем имя, организацию и код группы. Указываем имя и расположение создаваемого файла. Например: Имя: test_Имя Opгaнизaция: ~ Кoд paбoчeй гpyппы: cтpoчкa 20 cимвoлoв. Фaйл paбoчeй гpyппы: C:testgr.mdw
• Создание ярлыка, для запуска ms Access с использованием созданного mdw файла. Ярлык должен содержать строку: /WrkGrp . Например: «C:Program FilesMSOffice2003OFFICE11MSACCESS.EXE» /WrkGrp C:testgr.mdw
• Запустив Access c помощью этого ярлыка необходимо открыть пункт меню «Сервис / Защита / Пользователи и группы». В открывшемся диалоговом окне необходимо создать нового пользователя и добавить его в группу «Admins». Например, был создан «test_Пользователь» с кодом «987654321»
• Теперь необходимо открыть Access от имени созданного пользователя. Для этого необходимо добавить в созданный ярлык строку: /user . Например: «C:Program FilesMSOffice2003OFFICE11MSACCESS.EXE» /WrkGrp C:testgr.mdw /User test_Пользователь
• Запускаем Access c помощью этого ярлыка. Теперь созданному пользователю необходимо присвоить пароль. Это делается в том же диалоге «Пользователи и группы». Допустим пользователю «test_Пользователь» присвоен пароль «test_Пароль». Далее, необходимо создать новую БД. При этом владельцем этой базы, а также всех создаваемых или импортируемых объектов (таблиц, запросов и.т.п.) будет пользователь имя которого было указано в ярлыке.
• После того, как БД будет создана желательно удалить «Admin» из группы «Admins» и отобрать у группы «Users» права на объекты БД и на открытие базы.
• Добавляем в ярлык название защищённой БД. Например: «C:Program FilesMSOffice2003OFFICE11MSACCESS.EXE» C:testdb2k_test.mdb /WrkGrp C:testgr.mdw /User test_Пользователь /pwd test_Пароль

Снятие такой защиты.Создать новую БД. В ярлыке прописать путь к этой БД, MDW файл защищённой БД имя и пароль владельца. Открыть с помощью этого ярлыка новую БД. Импортировать в неё таблицы из защищённой, после чего сменить для всех объектов БД владельца на Admin. Для того, чтобы узнать имя и пароль владельца БД можно воспользоваться специализированными программами, описанными в обзоре Пароли Access. При отсутствии файла рабочих групп его можно восстановить. Для этого потребуется узнать имена и идентификаторы владельцев объектов БД. Эта информация содержится в файле базы данных и может быть извлечена с помощью таких программ как AOPR. Используя эти данные создаётся новый файл. (последовательность описана выше)

Совсем не обязательно использовать программы, позволяющие определить пароль БД или пользователя. Часто программисты совсем не заботятся о сокрытии пароля в тексте программы. Запустив программу, работающую с защищённой БД необходимо открыть в шестнадцатеричном редакторе WinHex виртуальную память этого приложения. Проведя поиск Unicode строк ‘User ID=’; ‘Password=’; ‘Database Password=’ или ‘pwd=’ можно найти имя пользователя, его пароль и пароль базы данных.

Можно вовсе проигнорировать наличие защиты. Для этого надо воспользоваться AccessRecovery, которая создаёт новый файл без защиты и переносит в него таблицы, запросы, формы, макросы, отчеты и код модулей.

§9. Настройка защищенной базы данных

После создания защищенной базы данных нужно определить новые группы и пользователей, чтобы облегчить предоставление нужных вам разрешений. Вы можете создать только новых пользователей, но в этом случае вам придется назначать разрешения каждому пользователю индивидуально. Значительно удобнее определить по одной группе для каждого уровня доступа, который вы намерены предоставить, затем определить пользователей и включить их в соответствующие группы.

Откройте защищенную базу данных (удерживайте нажатой клавишу Shift, если вы открываете защищенную копию базы данных). Выберите команду Сервис —> Защита —> Пользователи и группы (Tools —> Security —> User And Group Accounts), чтобы вывести на экран окно диалога Пользователи и группы (User And Group Accounts). На вкладке Группы (Groups) щелкните на кнопке Создать (New), чтобы открыть окно диалога Новый пользователь или группа (New User/Group), показанное на рисунке 15. Создание новой группы совершенно аналогично определению нового пользователя — генерация внутреннего идентификатора группы производится с учетом регистра символов в имени и коде, которые вы ввели. Щелкните на кнопке ОК, чтобы добавить новую группу.

Рис.15. Создание новой группы защиты

Затем нужно создать пользователей и включить их в только что созданные группы.

Чтобы определить пользователя как члена группы, выберите команду Сервис —> Защита —> Пользователи и группы. На вкладке Пользователи (Users) выберите пользователя, которого вы хотите включить в одну или несколько групп. В левом списке окна диалога отображаются имеющиеся группы, а правом списке — группы, в которые входит этот пользователь. На рисунке 16 показано добавление в группу NotAdmin пользователя Buchanan_Nike.

Рис. 16. Включение пользователя в группу

Теперь нужно назначить разрешения для каждой группы. Закройте окно диалога Пользователи и группы. Выберите команду Сервис —> Защита —> Разрешения (Tools —> Security—> User And Group Permissions), чтобы открыть окно диалога, показанное на рисунке 17.

Установите переключатель Список (List) в положение Группы (Groups), чтобы увидеть список групп. Вы можете начать с предоставления всех разрешений группе AppAdrmin. Выделите ее в списке Пользователи и группы (User/Group Name) и затем последовательно выбирайте каждый тип объекта в раскрывающемся списке Тип объекта (Object Type). Начните с самой базы данных и установите флажок Администратора (Administer) в области Разрешения (Permissions). Перед выбором нового типа щелкните на кнопке Применить (Apply). После выбора пункта Таблицы (Tables) в раскрывающемся списке Тип объекта выделите все элементы в списке объектов. Для этого выделите самый верхний элемент, прокрутите список вниз и щелкните на последнем элементе при нажатой клавише Shift. Сделайте так, чтобы флажок Администратора появился с черной (а не серой) галочкой, и щелкните на кнопке Применить. То же самое проделайте для запросов, форм, отчетов, макросов и модулей.

Рис.17. Назначение ограничений разрешений группе NotAdmin

Выделите группу NotAdmin в левом списке. Для базы данных предоставьте только разрешение Открытие/запуск (Open/Run). Для всех таблиц и запросов предоставьте разрешение Чтение данных (Read Data), а для всех форм, отчетов и макросов — разрешение Открытие/запуск. Теперь вы готовы к определению пользователей и включения их в соответствующие группы.

Таким образом, в базе данных был сделан ряд изменений, чтобы адаптировать работу к использованию защиты. Например, формы уже не требуют ввода имени, а с помощью встроенной функции CurrentUser анализирует текущий код пользователя Access и устанавливает ваш статус в зависимости от того, являетесь ли вы членом группы. Затем она просит только подтвердить ваш код пользователя. Если программа Access запущена не в рабочей группе или в файле рабочей группы не определены нужные группы, приложение закроет базу данных. Кроме того, не обнаружив вашего кода пользователя Access в таблицах (в которые добавлено поле Access User ID), приложение не позволит продолжить работу.

Список литературы

1. Мельников,В.П.Информационная безопасность и защита информации. / В.П.Мельников,
2. С.А.Клейменов, А.М.Петраков // 3-е изд., стер. — М.: Академия, 2008. — 336 с.
3. Панасенко С.П. Комплексная защита информации. // Информационные технологии. -2001 — № 3 — с. 14-16
4. Рабочая программа дисциплины «Информационная безопасность» : направление подготовки 080500 Бизнес-информатика : профиль подготовки Информационные системы в бизнесе : квалификация (степень) выпускника Бакалавр / Башкирский ГАУ, . — Уфа : , 2013. — 16 с. — Б. ц.
5. Сайт PHP веб-приложения «phpMyAdmin» . – Режим доступа: http://www.phpmyadmin.net/home_page/ , свободный

§2. Пользователи, группы и разрешения

В общем случае компьютерная система защиты может быть открытой или закрытой. В открытой системе доступ, если только он не запрещен специально, предоставляется всем пользователям (даже если они не известны системе). В закрытой системе доступ предоставляется только тем, кому он был назначен. На первый взгляд, система защиты Access кажется открытой, поскольку вы можете запускать Access без регистрации, создавать базы данных, передавав их другим пользователям, которые могут открывать и изменять их по своему усмотрению. Вы можете совсем не иметь дела с защитой. Но на самом деле система защиты Access является закрытой и кажется открытой только потом что в стандартной рабочей группе, используемой по умолчанию, всегда имеются определенные встроенные коды пользователей и групп, общие для всех устанавливаемых копии Access.

Угрозы базам данных: как бороться?

В компании должны использоваться программные средства, отражающие хакерские атаки, проводящие резервное копирование данных примерно раз в неделю автоматически, а также рекомендуется использовать ПО по восстановлению баз данных. Приветствуется использование шифрования информации с помощью специальных алгоритмов (криптография).

Но, на самом деле, эти методы обеспечения безопасности информации недостаточно эффективны. Причина в том, что выяснить источник утечки информации в максимально быстрые сроки очень сложно и эти меры можно легко обойти…

Что делать? Предлагаю Вам пути их модификации:

1. Для увеличения уровня безопасности доступа не только к базам данных, но и к компьютерам, необходимо производить вход в систему с помощью индивидуального логина и пароля, последний из которых нужно периодически менять.

   С помощью этой функции система будет ограничивать права пользователя согласно его роли в компании. Пароль администратора следует менять раз в неделю, смена всех паролей должна осуществляться после ухода кого-либо из сотрудников, имеющего доступ к системе.

2. Целесообразно использовать метод двухфакторной аутентификации пользователя в сети. Этот метод сейчас широко используется в интернете, так почему же не добавить это в авторизацию в корпоративных системах? Пользователь вводит логин и пароль, а ему на телефон приходит смс с кодом доступа.

   После его корректного ввода осуществляется вход в систему. Этот способ не обязательно использовать для каждого сотрудника, но его рекомендуется применять для авторизации пользователей, у которых открыты большие права в системе.

3. Для более эффективной защиты информации отлично подойдут подавители сети. При обнаружении попытки взлома можно отключить сети на всём предприятии и не дать злоумышленникам повредить/скопировать оставшуюся часть информации.

4. Возможно использование программного обеспечения, которое будет отслеживать и фиксировать подключения к посторонним сетям, контролировать выгрузку данных в сеть Интернет или на внешние носители.

   Если система зафиксирует выгрузку данных, то она может автоматически отправить смс руководству компании и администраторам, которые, в свою очередь, активируют глушители сети и заблокируют все компьютеры в офисе до выявления виновников несанкционированного доступа к базам данных.

А это того стоит?

Несмотря на то, что данные методы защиты повлекут за собой определённые финансовые затраты (как правило — незначительные), эффективность защиты CRM-систем существенно возрастёт.

Таким образом, предложенные методы модификации средств защиты информации помогут усилить степень безопасности конфиденциальной информации организации.

Валерия Репина,бизнес-аналитик

• А у Вас уже подключена CRM-система?
• Как за месяц продать 4200 билетов на детский спектакль?
• Сайт, посвященный аренде складов
• Упаковка бизнеса или как обрушить самый сильный отдел продаж. Часть 2: реклама для СРО
• Обзор CRM-систем: наш Топ-4