Securitatea Bazelor de Date

Când vorbim despre securitatea bazelor de date trebuie să avem în vedere mai multe tipuri de acțiuni, care pot fi realizate de utizatorii acesteia, asupra sa sau a obiectelor conținute, care sunt organizate în diferite scheme.

Adminstratorul unei baze de date, pentru a realiza securitatea acesteia, trebuie să definească utilizatorii, ca persoane/nume ce pot accesa obiectele incluse în tabele și a schemelor de obiecte.

Definirea și accesul utilizatorilor se realizează prin acordarea privilegiilor, și acordarea rolurilor. Putem defini privilegiile ca o permisiune pentru accesarea unui obiect, într-o mod predefinit, ia rolul reprezintă mai multe privilegii ce pot fi acordate utilizatorilor unei baze de date.

Un alt lucru pe care trebuie sa îl realizeze administratorul atunci când sunt creați utilizatorii este acela de a defini un anumit domeniu de securitate pentru acesta, fiind specificat modul de autentificare, privilegiile și rolurile pe care le îndeplinește utilizatorul.

Putem vorbi despre securitatea bazelor de date ca :

securitatea la nivelul sistemului

securitatea la nivelul datelor incluse în baze

securitatea la nivelul utilizatorilor

Securitatea la nivelul sistemului presupune administrarea utilizatorilor în mod adecvat, alegerea unor metode de autentificare pentru aceștia și stabilirea securității pentru sistemul de operare gazdă a securității.

Administratorii pentru securitate sunt persoanele responsabile pentru asigurarea securității la nivel de sistem și pot fi declarați pentru o bază de date, unul sau mai mulți administratori. Administratorul pentru securitate este singurul care are dreptul de administrare a celorlalți utilizatori ai bazei, crearea acestora, modificarea sau eliminarea lor.

Metodele de autentificare a diferiților utilizatori utilizând parole, sistemul de operare gazdă, serviciile la nivelul rețelei sau protocoale de tipul SSL( Secure Sockets Lazer) sau prin utilizarea autentificării și autorizării de tip proxy.

Trebuie să respectăm la nivelul sistemului de operare gazdă pe care se află server-ul și aplicațiile cu baze de date următoarele reguli:

utilizatorii simpli să nu dețină decât privilegii de creare de fișiere utile funcționării bazelor de date sau de ștergere a acestora;

crearea sau ștergerea fișierelor să fie în responsabilitatea administratorilor bazei de date;

modificarea domeniului de securitate pentru conturile disponibile în sistemul de operare, să fie privilegiul administratorilor pentru securitate.

Securitatea la nivelul datelor incluse în baze se realizează prin crearea unor diferite mecanisme de control a modului în care sunt accesate datele și cât de mult sunt utilizate obiectele bazei.

În acest sens, trebuie realizate următoarele acțiuni:

stabilirea utilizatorilor cărora li se permite accesul la un obiect și tipurile de acțiuni ce se permit supra acestui obiect;

acordarea de privilegii de sistem și de obiect pentru utilizatorii unei baze de date și gruparea acestora, eventual in role-uri;

definirea acțiunilor utilizatorilor ce vor fi monitorizate și auditate, pentru fiecare obiect conținut de tabele.

Securitatea la nivelul datelor incluse în baze se poate realiza și prin intermediul vizualizărilor (fine-grained access control). Acestea, pot împiedica accesarea datelor dintr-un tabel, prin acțiuni precum excluderea unor coloane sau linii.

Folosirea unor funcții și asocierea acestora la vizualizări sau tabele generează în mod automat, în cadrul unei instucțiuni în SQL, a unei condiții WHERE, care restricționează accesul la anumite date cuprinse în linii.

Securitatea la nivelul utilizatorilor se realizează prin stabilirea parolelor și acordarea de privilegii utilizatorilor, autentificarea acestora fiind administrată de baza de date.

Administratorii sunt cei care trebuie să dezvolte strategii de securitate pentru parole, care trebuie schimbate la anumite intervale de timp și care trebuie să îndeplinească anumite condiții, cum ar fi numărul de caractere, parola trebuind să fie cât mai lungă și formată atât din litere cât și din cifre sau alte caractere.

În cazul bazelor de date care au un număr mic de utilizatori, securitatea la nivelul utilizatorilor se poate realiza prin acordarea de privilegii explicite pentru fiecare utilizator.

În cazul bazelor cu un număr mai mare de utilizatori este mult mai eficient dacă se utilizează role-uri, atribuite fiecărei categorii de grupuri, iar în cadrul grupurilor să se acorde nominal privilegii fiecărui utilizator.

Administratorii de securitate au un rol deosebit de important, ei sunt cei care trebuie să stabilească privilegii chiar pentru administratorii bazei de date, în cazul unor baze de date de dimensiuni mari, cu mai mulți administratori și să le includă în role-uri.

De asemenea, trebuie acordate privilegii dezvoltatorilor, pentru crearea obiectelor, aceștia necesitând privilegii speciale, de sistem, specifice pentru activitatea lor, precum privilegiul CREATE, care permite crearea de obiecte în interiorul aplicațiilor. În aceste condiții, rolul administratorilor de securitate este acela de a controla dimensiunea bazei de date acordată fiecărui dezvoltator, limitele acesteia.

Un rol important îl au administratorii de securitate în stabilirea procedurilor de monitorizare și verificare a bazei de date și a modului în care se realizează auditarea acesteia, fie prin selecție aleatorie, fie prin proceduri active pentru anumite acțiuni și care este nivelul minimal la care se realizează auditarea.