Как обеспечить безопасность баз данных

Обычно такая задача возлагается на администраторов БД,у которых нет для этого ни времени ни необходимой подготовки

Из чего складывается рабочий день администратора баз данных? Конечно, всё зависит от того, какой ответ вы хотите получить — краткий или развернутый.

Пространный ответ растянется на мили: инсталляция, переход на новую версию, планирование производительности, настройка, обеспечение работоспособности приложений и восстановления данных по резервным копиям. Это только первые пункты списка, он не включает срочные меры, которые приходится принимать ежедневно.

Краткий ответ звучит проще: это полный хаос.

Поэтому не следует удивляться, что, по оценке компании Forrester Research, на проблемы безопасности администраторы баз данных тратят лишь 7% своего рабочего времени.

“Мы полагаем, проблема в том, что у администраторов нет времени на обеспечение безопасности, — заявил корреспонденту eWeek аналитик из Forrester Ноэль Юханна. — А ведь именно на них перекладывают свои функции те, кто разрабатывает политику безопасности, но не имеет навыков обращения с базами данных. Но если эти специалисты слишком заняты, чтобы ежедневно уделять вопросам безопасности больше одной десятой своего времени, то кто поручится за безопасность данных? Когда вы спрашиваете у администраторов БД, надежно ли обеспечена безопасность, они отвечают утвердительно, но лишь потому, что боятся потерять свое место”.

Базы данных оказались не защищены именно сегодня, когда хакеры в основном сосредоточили свои усилия не на дезорганизации корпоративных сетей и деловых операций компаний, а на краже конфиденциальных сведений. Ответственность за это несут все и в то же время никто. Хакеры всегда будут находить всё новые способы обойти системы безопасности. А задача защиты баз данных по-прежнему в основном возложена на администраторов БД и регламентируется в перечне их должностных обязанностей.

“Одним из элементов настройки сервера и особенно настройки базы данных является обеспечение гарантии, что не имеющие соответствующих полномочий пользователи не смогут получить доступ к данным”, — заявил корреспонденту eWeek независимый консультант по программному обеспечению SQL Server и .Net Адам Мечаник из Бостона.

Поскольку в должностных обязанностях администратора БД перечисляется множество других задач, невозможно уделить безопасности баз данных того внимания, которого она заслуживает.

“Деятельность предприятия зависит от накопленной информации, поэтому необходимо обеспечить ее защиту, — добавил Мечаник. — Безусловно, это является одной из задач администратора БД. Исходя из своего опыта консультанта по базам данных, могу сказать, что многие мои клиенты довольно небрежно относятся к обеспечению безопасности”.

Другая причина отсутствия надежной защиты баз данных на многих предприятиях заключается в том, что Мечаник называет большим пробелом в познаниях администраторов БД: они многое знают о данных, но не о безопасности.

“За последние годы ситуация улучшилась, но недостаточно, — считает Мечаник. — Поскольку СМИ по-прежнему уделяют большое внимание безопасности информации и связанным с этим проблемам, люди спрашивают, что им следует сделать, чтобы повысить уровень защищенности”.

Однако пробел в познаниях характерен не только для администраторов БД. Аналитики утверждают, что с этим можно встретиться и в службах информационной безопасности. Хотя в наши дни эти вопросы стоят на одном из первых мест в повестке дня предприятий, на практике политики защиты данных, формулируемые нередко весьма жестко, зачастую не срабатывают.

Правда, повышенное внимание прессы к случаям хищения данных позволяет надеяться на улучшение ситуации в этой области. “Благодаря шуму, который на протяжении последних лет поднимали СМИ вокруг информационной безопасности, пренебрежительное отношение к данной проблеме пусть медленно, но начинает меняться. Думаю, в скором времени администраторы баз данных смогут уделять больше внимания подобным вопросам”, — полагает Мечаник.

Ответственность за обеспечение защищенности информации, как правило, возлагается на администраторов БД. Это часть их обязанностей, поэтому в конечном итоге именно они и отвечают за все ошибки.

“Насколько я знаю отрасль ИТ и ее нужды, здесь всем необходимо лучше овладеть вопросами защиты информации. Но администраторы баз данных и другие специалисты должны активно включать подобные задачи в круг своих повседневных обязанностей, — констатирует консультант по базам данных Пэт Фелан. — Я считаю, что каждый администратор БД должен уделять безопасности гораздо больше внимания, чем это требовалось от него в прошлом. Я не могу поручиться за каждого администратора БД, но я общался со многими из них на конференциях, мероприятиях по техническим вопросам и в интернет-форумах. Все они признают необходимость обеспечения защищенности данных, а некоторые из них даже выражают серьезное беспокойство по этому поводу”.

По мнению Фелана, администраторы БД делятся на четыре большие группы. Первые работают на уровне подразделений. Обычно это опытные пользователи Microsoft Office, хорошо знающие Microsoft Access. Вторые — это администраторы-разработчики, которые занимаются почти исключительно написанием программного кода и созданием баз данных, как правило, для последующей продажи. Специалисты третьей группы трудятся в небольших компаниях и контролируют несколько серверов. Часто их должность называется иначе. Например, сетевой администратор. И наконец, те, что управляют БД корпоративного уровня и посвящают работе с СУБД более 80% своего времени.

“У всех у них вопросы безопасности тем или иным образом вплетаются в их работу, но имеются большие различия в том, как именно это происходит, — сказал Фелан. — Администратор корпоративной БД может иметь отношение к вопросам безопасности, а может и не иметь. Разумеется, кто-то из сотрудников должен заниматься указанной темой, но обычно это прерогатива небольшой группы специалистов”.

БЕЗОПАСНОСТЬ НЕ ГАРАНТИРУЕТСЯ

Пробелы в системе безопасности корпоративный баз данных

Недостаточность ресурсов. Администраторы БД уделяют обеспечению безопасности менее 7% своего рабочего времени. В основном они заняты текущими операциями и поддержкой БД.

Трудности мониторинга деятельности администраторов БД. Поскольку им предоставляется известная свобода действий, уличить недобросовестного администратора довольно трудно.

Отсутствие четкого распределения обязанностей. Предприятия пытаются детально очертить и разграничить функции администраторов, разработчиков приложений и специалистов по безопасности, связанные с защитой баз данных, но во многих случаях задачи указанных специалистов пересекаются или остаются неопределенными.

Отсутствие контроля за резервным копированием. Предприятия тратят миллионы, пытаясь защитить свои наиболее важные БД. Однако часто можно видеть, что основная рабочая база данных сброшена на ленту, которая валяется на полу в комнате администратора.

Отсутствие контроля за вспомогательными базами данных. Большинство предприятий применяют строгие меры безопасности для защиты основных рабочих БД, а вспомогательным — тем, которые используются для тестирования, подготовки ответов на часто задаваемые вопросы или для разработки приложений, — придают меньшее значение даже в тех случаях, когда они содержат копию БД, находящейся в промышленной эксплуатации.

Источник: Forrester Research.

Поскольку администраторы корпоративных БД не всегда могут уделять безопасности необходимое время, некоторые компании принимают более активные меры. Они освобождают этих сотрудников от исполнения их обычных обязанностей и включают в состав группы, занимающейся ИТ-безопасностью.

“Мы считаем, что функции администратора безопасности баз данных будут приобретать всё большее значение, — сказал Юханна — В некоторых организациях такая должность уже существует, хотя именуется по-разному: специалист по безопасности БД, администратор БД или специалист по БД”.

Учреждение такой должности решает сразу две проблемы: специалисты по ИТ-безопасности, не обладающие большими познания в области баз данных, могут воспользоваться помощью профессионалов, а администраторы БД получают возможность сфокусировать свою деятельность на вопросах защиты иформации и получить подготовку, необходимую для обеспечения сохранности корпоративных БД.

“Мы опросили несколько корпораций из списка Fortune 1000. Некоторые из них уже создали такую должность в составе группы, занимающейся безопасностью, — сообщил Юханна. — Они перевели несколько администраторов БД в эту группу и вооружили их новыми знаниями”.

Одними из первых пошли на такой шаг компании из финансового сектора, где защищенность данных является важнейшим необходимым условием деятельности.

“Банки уделяют действительно большое внимание безопасности своих БД, и финансовый сектор является одним из мощных локомотивов этого движения, — сказал Юханна. — Но, думаю, оно охватит и другие секторы”.

Что хорошо для информационной безопасности предприятия (перевод администратора БД из подразделения, решающего общие вопросы, в группу, специализирующуюся на обеспечении защиты), неизбежно будет хорошо и для самих администраторов баз данных. Ведь в этом качестве перед ними открываются новые перспективы карьерного роста.

“Это, безусловно, хороший способ продвижения по службе для администратора БД, — считает Юханна. — Формируется новая профессия специалистов по защите баз данных, которые будут работать в службе безопасности. Они приобретут новые знания и опыт, а навыки, необходимые администратору БД, у них уже есть. Это позволит им сосредоточиться только на безопасности баз данных”.

С этой позицией согласны и другие эксперты. Они рассматривают такой переход не просто как эволюцию профессии администратора БД, а как давно назревшее уточнение его функций.

“Учитывая поднятую в последние годы в СМИ шумиху по поводу информационной безопасности,.. я думаю, что администраторы БД станут уделять защите данных больше внимания. Будем надеяться, что им удастся лучше реализовывать решения в области безопасности, — сказал Мечаник. — Но я не считаю это действительно новой профессией. Это, скорее, корректировка целей в рамках уже существующей специальности”.