Служба безопасности и аутентификации баз данных

Защита информационных систем довольно сложной задачей в плане разумного баланса рисков потери или кражи информации и финансовых затрат на мероприятия по ее защите. Кража информации часто приносит более значительные убытки, чем потеря той же информации.
Серверы баз данных занимают свою нишу в информационной инфраструктуре предприятия. Зачастую в них хранится конфиденциальная информация, нарушение доступности, целостности или конфиденциальности которой может привести к значительным финансовым потерям.
Проблема аутентификации доступа к информационным ресурсам является на сегодня весьма актуальной. Защиты с помощью пароля нередко оказывается недостаточно, ее требуется усиливать
На практике возможны и недобросовестные пользователи, которые в случае парольной защиты либо пишут пароли в легко определяемых местах, либо создают легко подбираемые пароли. А в случае применения аппаратной аутентификации получается еще хуже - оставляют идентификаторы в USB-портах компьютеров (часто с написанным на них же PIN-кодом), уходя на перерывы или домой, оставляют их в столах, на рабочих местах. Известны случаи передачи USB-токена другим лицам для вывода какой-либо справки. Причем если в результате этих действий информация будет похищена и компания понесет убытки, пользователь все равно скроет факт нарушения порядка использования идентификатора. И соответственно факт похищения информации не будет доказан.
Не стоит забывать, что даже при добросовестном использовании существует вероятность похищения USB-токена у владельца. Не составляет труда и подсмотреть PIN-код либо снять его с помощью клавиатурного шпиона. Кроме того, есть уязвимости, которым подвержены все системы, реализующие принцип смарт-карт или ОТР. Наиболее серьезной из них является возможность подмены сервера аутентификации. В данном случае пользователь будет отправлять свои данные злоумышленнику, который использует их для доступа к этому серверу. В случае применения метода "Запрос -ответ" компьютер хакера должен...

Нужно четко представлять себе, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в информационных системах. В то же время можно существенно уменьшить риск потерь при комплексном подходе к вопросам безопасности. Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока специалистами не произведен соответствующий анализ. Анализ должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь и др.) и предоставить информацию для определения подходящих средств защиты – административных, аппаратных, программных и прочих.. Обеспечение безопасности информации - дорогое дело. Большая концентрация защитных средств в информационной системе может привести не только к тому, что система окажется очень дорогостоящей и потому нерентабельной и неконкурентноспособной, но и к тому, что у нее произойдет существенное снижение коэффициента готовности. Например, если такие ресурсы системы, как время центрального процессора будут постоянно тратиться на работу антивирусных программ, шифрование, резервное архивирование, протоколирование и тому подобное, скорость работы пользователей в такой системе может упасть до нуля.
Поэтому главное при определении мер и принципов защиты информации это квалифицированно определить границы разумной безопасности и затрат на средства защиты с одной стороны и поддержания системы в работоспособном состоянии и приемлемого риска с другой..