В то время как компании сосредоточивают усилия на обеспечении безопасности ОС и сетевых устройств, эксперты по безопасности заявляют, что базам данных, наиболее важным местам, где хранится ценная информация, уделяется слишком мало внимания.
«Для обеспечения безопасности фирмы вынуждены ограничивать доступ практически ко всем объектам ИС, а БД составляют их большую часть», — считает Крис Роланд, директор исследовательской группы X-Force компании Internet Security Systems (ISS).
Он добавил, что последние кражи номеров кредитных карточек, в том числе из системы электронной торговли США, организованные хакерами из России, подтверждают необходимость обеспечить безопас-ность БД.
Огромный объем важнейшей для компании информации — сведения о финансовой деятельности, технических средствах и клиентах хранится в легкодоступных БД, отмечает Рич Телджохан, менеджер по продукции компании ISS.
Он считает, что в этих БД содержится информация, которой могут воспользоваться взломщики. Для них не составляет труда обойти средства защиты ОС и подсоединиться практически к любой СУБД. Злоумышленники также могут использовать имена пользователей и пароли доступа, назначаемые по умолчанию при поставках СУБД, если только они не были изменены.
По словам Телджохана, стойкость или уязвимость систем безопасности зависит от сложной структуры БД, включающей унаследованные механизмы, различные утилиты и языки сценариев.
«Безопасность системы во многом зависит от того, насколько грамотно выполнена ее настройка», — добавил он.
Многие приложения, например CRM, не имеют надежной защиты, так как предполагается, что они уже защищены межсетевым экраном или Web-сервером, рассказывает Дан Маккол, исполнительный вице-президент компании Guardent, предоставляющей услуги по обеспечению безопасности.
Oracle предусматривает меры по обеспечению безопасности для своих БД, говорит Боб Шимп, старший директор по маркетингу БД в Oracle. По его словам, наиболее важным является контроль доступа к БД. Стандартный пакет СУБД компании включает функцию виртуального надзора за приложением (Virtual Private Database); с помощью этой функции можно установить контроль доступа для каждого отдельного поля БД, что позволяет обеспечить одновременную работу различных пользователей, причем каждый из них не будет иметь доступ к информации других.
Для дополнительной защиты БД Oracle предлагает опцию Oracle Label Security, благодаря которой можно произвести более четкое разграничение доступа, например определив временной интервал, в течение которого может быть открыт доступ к той или иной информации.
ПО Database Scanner компании ISS также предназначено для повышения безопасности данных. С его помощью осуществляется автоматическое определение возможных уязвимых мест в системе, поиск нестойких паролей и «троянских коней». Программа вырабатывает рекомендации по устранению слабых мест. Database Scanner можно использовать с ПО Oracle, Microsoft SQL Server и Sybase.
Не желая отставать от конкурентов, компания Guardent выпустила программу сканирования уязвимых мест Vulnerability Scanning Service и предлагает ее вместе с системой по управлению безопасностью Security Management Appliance. Устройство, находящееся за межсетевым экраном клиента, дистанционно определяет уязвимые места в ОС, приложениях и сетевой инфраструктуре. Сканер просматривает новое ПО и структуру БД сразу же, как только они становятся доступными, и автоматически определяет в них уязвимые места.
Маккол считает, что подобные услуги дают реальную возможность сканировать серверы в пределах сети и выявлять уязвимые места, через которые могут проникнуть злоумыш-ленники.