Choose your screen resolution: Auto adjust 800x600 1024x768


Securitatea bazelor de date atacuri si metode de control
Scris de mihaiela lazar   
Duminică, 08 Februarie 2015 13:21

SECURITATEA BAZELOR DE DATE – ATACURI ŞI METODE DE CONTROL

 

Prof. Diana Bărbat

                                                                                               C.N.I. “Gr. Moisil” Brașov

 

         Acest articol a apărut în Journal of applied quantitative methods în anul 2009, în volumul numărul 4 şi este scris de prof. univ. dr. Emil Burtescu de la Academia de Studii Economice Bucureşti, Facultatea de Cibernetică, Statistică şi Informatică Economică.

            Obiectivul general al lucrării este reprezentat de securitatea datelor dintr-o bază de date.

Obiectivele specifice sunt:

-         identificarea principalelor metode şi aspecte de atac pe o bază de date;

-         identificarea modalităţilor de a devia atacurile, concentrându-se pe problema delicată de interferenţă a datelor.

Metodele de cercetare folosite sunt: analiza cantitativă şi analiza calitativă şi analiza

statistică.

Introducere

Securitatea a fost şi este o preocupare constantă a omului de-a lungul timpului. Aşa cum toate bunurile unei firme trebuie protejate, aşa şi informaţiile valoroase stocate în baza de date a unui sistem informatic trebuie securizate. Măsurile de securitate trebuie să fie parte integrantă a oricărei baze de date chiar din faza de proiectare.

Motivul pentru care baza de date a unei companii poate fi atacată este faptul că aceasta constituie o masă de informaţii care poate dezvălui date private pentru prelucrare. Atacurile asupra bazei de date sunt: furtul şi frauda, pierderea de confidenţialitate, integritate şi disponibilitate.

Pentru a asigura o securitate minimă a bazelor de date trebuie să fie satisfăcute următoarele cerinţe:

-  integritatea fizică a bazelor de date;

-  integritatea logică a bazelor de date;

-  integritatea fiecărui element ce compune baza de date;

-  controlul accesului;

-  identificarea de utilizare;

-  disponibilitate.

            Datele memorate în BDMS pot fi scrise şi memorate numai de către personae autorizate (administrator BD) şi numai cu date corecte.

Autorul subliniază faptul că,  spre deosebire de alte tipuri de date, bazele de date pot fi subiect al acţiunilor unilaterale, în care un user obişnuit are acces legitim să publice informaţii dar în care el poate deduce informaţii clasificate. După astfel de acțiuni două situații se disting care conduc la divulgarea de date secrete din datele publice: de agregare a datelor și de asociere.

            Două cazuri de inferență apar adesea în bazele de date: agregare a datelor și asociație de date.

Problema de agregare a datelor apare ori de câte ori un set de informații este clasificat la un nivel mai ridicat decat nivelurile individuale de date implicate. În cazul agregării datelor, autorul identifică ca şi exemplu un câmp militar, ca fiind o locație individuală a navelor care este clasificată, dar ansamblul de informații despre locația întregii flote este secret. Comerciale - total rapoarte de vanzari din diferite ramuri ale societății pot fi văzute ca fiind mai puțin confidențiale decât rapoartele globale ale companiei.

Problema asociației de date apare ori de câte ori două valori luate împreună sunt clasificate la un nivel mai ridicat decât cel al fiecărei valori. În cazul asocierii datelor, autorul identifică ca fiind neclasificate o listă care conține numele tuturor angajaților și o listă care conține salariile, iar o listă combinată cu numele și salariile angajaților este considerată clasificată.

Un prim pas în combaterea acestor tipuri de atacuri este protejarea datelor sensibile
care nu trebuie să fie făcute publice. Este considerată sensibilă o dată care provine de la un atribut/ o înregistrare sensibil(ă) sau nesesibil(ă) în raport cu alte date sensibile.

Succesul de atacuri asupra bazelor de date se bazează foarte mult pe abilitățile și formarea atacatorului și mai puțin pe mecanismele de automatizare de atac. Ei folosesc cunoștințe și instrumente bazate pe statistică lor, iar acestea sunt de asemenea numite atacuri statistice sau atacuri de inferență statistică.

Un atacator, după ce a trecut de toate nivelurile de protecţie şi a ajuns la baza de date, va încerca progresiv o serie de atacuri: directe, indirecte şi prin urmărire.

O abordare cantitativă a riscului este de preferat în locul unei abordări calitative,
deoarece oferă o valoare mai tangibilă a situației. Chiar și așa se va lucra în continuare cu
date subiective, estimate după un proces de evaluare.

Autorul afirmă că pierderea datelor este o operaţiune mai complexă care necesită mai mult timp faţă decât pierderea componentei hardware. În acest caz, vom discuta despre costurile de recuperare. Pentru o abordare cantitativă, se va porni de la formula de calcul a riscului:
Risc = Probabilitate X  Impact.

Pentru a estima impactul trebuie să ne întrebăm dacă:

-         datele pot fi reconstruite sau restaurate;

-         cât timp este nevoie pentru a reconstrui date;

-         aceasta este din cauza unei acțiuni deliberate sau din cauze accidentale;

-         datele lsot au caracter special (militar, serviciu secret, confidențial).

      În vederea asigurării securităţii datelor, autorul propune următoarele metode de control a atacului:

-         suprimarea aplicaţiilor care au rezultate sensibile

-         aproximarea rezultatelor

-         limitarea rezultatelor unei cereri care relevă date sensibile

-         combinarea rezultatelor.

Toate acestea pot fi încorporate într-un mecanism de monitorizare care va pune în aplicare politica de securitate a companiei.

Concluzii

Securitatea bazei de date prezintă caracteristici care trebuie să fie luate serios în considerare. Prima opțiune, pentru o bază de date securizată este reprezentată de o  protecție optimă. Asigurarea securității bazei de date trebuie să se facă din exterior în interior, aceasta implicând asigurarea securității pornind de la nivelul fizic și terminând cu nivelul de date (fizic,
de rețea, gazdă, aplicații și date). Bazele de date sunt o țintă favorită pentru atacatori, datorită datelor pe care acestea le conțin și, de asemenea, din cauza volumului lor.

Eforturile de a asigura securitatea bazei de date sunt considerabil mai mari decât pentru celelalte tipuri de date. Este mai ușor să pui în aplicare o listă de acces pentru un număr mare de fişiere decât o listă de acces pentru elementele bazei de date.

 

Concluzii personale

 

Acest articol îşi propune să demonstreze securitatea bazelor de date în general, în asigurarea securităţii informaţiilor  valoroase stocate în baza de date a unui sistem informatic în special, fiind considerate teme de maximă actualitate şi de maximă importanţă pentru securitatea datelor. În articol,  autorul identifică  principalele metode şi aspecte de atac pe o bază de date şi având o contribuţie personală în identificarea diverselor modalităţi de a devia atacurile, concentrându-se pe problema delicată de interferenţă a datelor.

 

Bibliografie

 

1. Burtescu, E. Problems of Inference in Databases in „Education, Research & Business Technologies“. The Proceeding of the 9th International Conference on Economic Informatics, INFOREC Printing House, Bucharest, 2009

2. Burtescu, E. Databse security, in „Knowledge Management. Projects, Systems and Technologies“, International Conference „Knowledge Management. Projects, Systems and Technologies“, Bucharest, November 9-10, 2006, INFOREC Printing House, Bucharest, 2006

3. Hsiao, S.B. and Stemp, R. Computer Security, course, CS 4601, Monterey, California, 1995

4. McCarthy, L. IT Security: Risking the Corporation, Prentice Hall PTR, 2003

5. Proctor, P.E. and Byrnes, F.C. The Secured Enterprise, Prentice Hall PTR, 2002

6. * * * Security Complete, Second Edition, SYBEX Inc., 2002

Ultima actualizare în Duminică, 08 Februarie 2015 13:25
 

Revista cu ISSN

Cadrul asigurarii calitatii, politici si…

CADRUL ASIGURĂRII CALITĂŢII POLITICI ŞI PROCEDURI     O politică este o descriere cuprinzătoare care precizează în mod clar ce anume doreşte să realizeze un furnizor de EDUCAŢIE ŞI FORMARE PROFESIONALĂ în fiecare domeniu....

Read more

Subiecte definitivat 2012

Subiecte definitivat 2012   Afla care au fost subiectele de la examenul national de acordare a definitivarii in invatamant 2012.  

Read more

Experiente de lucru europene pentru o bu…

Experiente de lucru europene pentru o buna integrare pe piata muncii Life Long Learning Program Educatie pe tot parcursul vietii

“EXPERIENṬE DE LUCRU EUROPENE PENTRU O BUNĂ INTEGRARE PE PIAṬA MUNCII” “Life Long Learning Program”/“Educaţie pe tot parcursul vieţii”     Drd. prof. ing.  LILIANA CÎMPAN Colegiul Tehnic “Iuliu Maniu” Şimleu Silvaniei, Sălaj   Rezumat Un cadru propice...

Read more

Metode interactive in procesul instruct…

Metode interactive  in procesul instructiv-educativ la biologie

METODE INTERACTIVE ÎN PROCESUL INSTRUCTIV-EDUCATIV LA BIOLOGIE DURNEA ANCUŢA-OANA COLEGIUL NAŢIONAL „MOISE NICOARĂ” ARAD Sinonime pentru Pentru învățământul modern metodele interactive constituie un instrument de organizare și conducere a activității...

Read more

Particularitatile limbajului la scolarul…

PARTICULARITĂŢILE LIMBAJULUI LA ŞCOLARUL MIC                                                                Mitroi Ramona Delia                                                    Liceul Teoretic Recaş, Timiş   Limbajul este activitatea individuală de comunicare prin intermediul limbii, ori comunicarea presupune vehicularea unor semnificaţii între emiţător şi un...

Read more

Valorificarea inteligentelor multiple in…

VALORIFICAREA INTELIGENŢELOR MULTIPLE ÎN ACTIVITĂŢILE GEOGRAFICE   Profesor Miron Steluţa Otilia Şcoala Gimnazială Movila Miresii, judeţul Brăila   Rezumat: Articolul prezintă exemple de sarcini de lucru la geografie care valorifică fiecare tip de inteligenţă. Cuvinte...

Read more

Dimensiunile crizei educationale in Roma…

DIMENSIUNILE CRIZEI EDUCAȚIONALE ȊN ROMÂNIA Negoiţă Anca-Roxana Şcoala Gimnazială Călineşti, Floreşti-Prahova REZUMAT: Criza educaţiei pare a consta în lipsa de motivare a elevilor, conjugată în acelaşi timp, cu o demotivare la fel...

Read more

Masa rotunda romania incotro brandul de …

MASA ROTUNDĂ: ROMÂNIA ÎNCOTRO? BRANDUL DE ŢARĂ, BRANDUL PERSONAL, BRANDUL INTERNAŢIONAL - STUDII CULTURALE Chelmuş Anca – profesor documentarist Colegiul Tehnic de Poştă şi Telecomunicaţii “Gheorghe Airinei”, Bucureşti Introducere Dicţionar...

Read more