Ничего не найдено

По Вашему запросу ничего не найдено.

Рекомендуем сделать следующее:

  • Проверьте правильность написания ключевых слов.
  • Используйте синонимы введенных Вами ключевых слов, например “приложение” вместо “программное обеспечение”.
  • Попробуйте воспользоваться одним из популярных поисковых запросов ниже.
  • Начните новый поиск.
Актуальные вопросы

Определение безопасности данных

Безопасность данных включает в себя комплекс мер для защиты данных от несанкционированного доступа и для обеспечения конфиденциальности, целостности и доступности базы данных. Лучшие практики защиты данных включают такие техники, как шифрование данных, управление ключами шифрования, уплотнение данных, подстановка и маскирование данных, а также контроль, мониторинг и аудит доступа привилегированных пользователей.

Лучшие практики по обеспечению безопасности данных

Лучшие практики по обеспечению безопасности данных следует использовать как локально, так и в облаке, чтобы снизить риск утечки данных и обеспечить соблюдение нормативных требований. Конкретные рекомендации могут различаться, но обычно требуют многоуровневой стратегии безопасности данных с применением комплексного подхода к защите данных. Для нейтрализации разных векторов угроз используются разные средства контроля. Отдельные области решений включают в себя возможности оценки, обнаружения и мониторинга активности баз данных и угроз.

Важность безопасности данных

Данные — это один из важнейших активов любой компании. Поэтому крайне важно защищать данные от любого несанкционированного доступа. Утечки данных, непройденные проверки и несоблюдение нормативных требований могут привести к ущербу для репутации, потере капитала бренда, компрометации интеллектуальной собственности и штрафам за несоблюдение нормативов. Согласно Общему регламенту защиты данных (GDPR) Европейского союза, штрафы за утечки данных могут составлять до 4 % от глобального годового дохода организации, что часто приводит к значительным финансовым потерям. Конфиденциальные данные включают в себя личную информацию, финансовую информацию, информацию о здоровье и интеллектуальную собственность. Чтобы избежать утечки данных и обеспечить соблюдение нормативных требований, данные должны быть защищены.

Безопасность данных и GDPR

Маскирование и подстановка данных — вот методы, позволяющие уменьшить риск раскрытия конфиденциальных данных, содержащихся в приложениях. Эти технологии играют ключевую роль в выполнении требований к анонимизации и псевдонимизации, связанных с такими нормативными актами, как GDPR в ЕС. Общий регламент защиты данных (GDPR) Европейского союза был основан на общепринятых, утвержденных принципах конфиденциальности, таких как законность, добросовестность, прозрачность, целостность и конфиденциальность. В регламенте закрепляются такие существующие требования к конфиденциальности и безопасности, как требования к уведомлению и согласию, технические и операционные меры безопасности и механизмы трансграничного потока данных. Чтобы адаптироваться к новой цифровой глобальной экономике, основанной на данных, GDPR также формализует новые принципы конфиденциальности, такие как подотчетность и минимизация данных.

Согласно Общему регламенту защиты данных (GDPR) Европейского союза, штрафы за утечки данных могут составлять до 4 % от глобального годового оборота компании или до 20 млн евро в зависимости от того, что больше. Компании, собирающие и обрабатывающие данные в ЕС, должны будут регулировать свои методы обработки данных с учетом следующих требований.

  • Безопасность данных. Компании должны внедрить соответствующие технические и организационные средства обеспечения безопасности для предотвращения потери данных, утечки информации или других несанкционированных операций по обработке данных. GDPR стимулирует компании включать в свои программы безопасности требования к шифрованию, управлению инцидентами, а также целостности сети и системы, доступности и устойчивости.
  • Расширенные права физических лиц. Физические лица смогут лучше контролировать свои собственные данные и в конечном счете в большей степени владеть ими. Также расширяется набор прав пользователей в плане защиты данных, включая право на переносимость данных и право на забвение.
  • Уведомление об утечке данных. Узнав, что произошла утечка данных, компании должны незамедлительно проинформировать регулирующие органы и (или) затронутых лиц.
  • Проверки системы безопасности. Компании должны будут документировать и вести записи о своих методах обеспечения безопасности, проверять эффективность своей программы безопасности и принимать корректирующие меры, где это необходимо.

Какие проблемы возникают при обеспечении безопасности базы данных?

Проблемы обеспечения безопасности баз данных

Базы данных являются ценными хранилищами конфиденциальной информации, что делает их основной целью похитителей данных. Обычно похитителей данных можно разделить на две группы: внешние и внутренние. К внешним похитителям относятся как любые хакеры-одиночки и киберпреступники, стремящиеся подорвать бизнес компании или получить финансовую выгоду, так и преступные группы и спонсируемые государством компании, ищущие возможности для мошенничества и организации сбоев в масштабе страны или всего мира. Внутренние похитители — это нынешние или бывшие сотрудники, просто любопытствующие, а также заказчики или партнеры, которые, пользуясь доверительным отношением, совершают кражи данных или делают какую-либо ошибку, приводящую к непреднамеренному событию безопасности. И внешние и внутренние похитители создают риск для безопасности персональных и финансовых данных, коммерческой тайны и нормативно регулируемых данных.

как хакеры используют уязвимости баз данных

У киберпреступников есть множество подходов, которые они используют при попытке украсть данные из баз данных.

  • Компрометация или кража учетных данных привилегированного администратора или приложения. Обычно это происходит с помощью фишинговых электронных писем, других форм социальной инженерии или использования вредоносных программ для раскрытия учетных данных и в конечном итоге самих данных.
  • Использование слабых мест в приложениях с помощью таких методов, как внедрение кода SQL в существующие системы или обход безопасности на уровне приложений путем встраивания SQL-кода в, казалось бы, безобидную форму с входными данными, предоставляемую конечным пользователем.
  • Повышение привилегий на время выполнения за счет использования уязвимых приложений.
  • Доступ к файлам базы данных, не зашифрованным на диске.
  • Использование систем, в которых не установлены исправления, или неправильно настроенных баз данных для обхода средств контроля доступа.
  • Кража архивных лент и носителей, содержащих резервные копии баз данных.
  • Кража данных из непроизводственных сред, таких как DevTest, где данные могут быть не так хорошо защищены, как в производственных средах.
  • Просмотр конфиденциальных данных через приложения, которые непреднамеренно раскрывают конфиденциальные данные, доступа к которым не должно быть у этого приложения или этого пользователя.
  • Человеческий фактор, случайности, обмен паролями, ошибки конфигурации и другое безответственное поведение пользователей продолжают оставаться причиной почти 90 % случаев нарушения безопасности.

Практические рекомендации по обеспечению безопасности базы данных

практические рекомендации по обеспечению безопасности базы данных

Правильно структурированная стратегия безопасности базы данных должна включать средства управления для нейтрализации разных векторов угроз. Лучший подход — это встроенная структура средств управления безопасностью, которую можно легко развернуть для применения соответствующих уровней безопасности. Вот некоторые из наиболее часто используемых средств контроля для защиты баз данных.

  • Средства оценки помогают оценить состояние безопасности базы данных, а также они должны иметь возможность идентифицировать изменения конфигурации. Компании могут задать базовый уровень значений параметров системы, а затем определять отклонения от него. Средства оценки также помогают компаниям идентифицировать конфиденциальные данные в системе, включая тип данных и их местонахождение. Средства оценки могут помочь ответить на следующие вопросы.
    • Правильно ли сконфигурирована база данных?
    • Установлены ли актуальные обновления и применяются ли они регулярно?
    • Каким образом выполняется управление привилегиями пользователей?
    • Какие конфиденциальные данные хранятся в системе баз данных? Сколько? Где они хранятся?
  • Средства обнаружения контролируют доступ пользователей и приложений к данным, выявляют аномальное поведение, обнаруживают и блокируют угрозы и проверяют действия базы данных для создания отчетов по соответствию требованиям.
  • Средства превентивного управления блокируют несанкционированный доступ к данным путем шифрования, редактирования, маскирования данных и выделения поднабора данных на основе сценариев использования по назначению. Конечная цель средств превентивного управления — остановить несанкционированный доступ к данным.
  • Средства управления определенными данными обеспечивают соблюдение политик доступа на уровне приложений в базе данных, предоставляя согласованную модель авторизации для нескольких приложений, инструментов отчетности и клиентов базы данных.
  • Средства управления определенными пользователями обеспечивают соблюдение надлежащих политик аутентификации и авторизации пользователей, гарантируя, что только аутентифицированные и авторизованные пользователи имеют доступ к данным.

Решения по безопасности данных

Снижайте риски утечки данных и упрощайте соблюдение требований с помощью практических рекомендаций по обеспечению безопасности баз данных, таких как шифрование, управление ключами, маскирование данных, управление привилегированным доступом пользователей, мониторинг активности и аудит.

  • Защита данных. Снижайте риски утечки данных и несоблюдения требований с помощью решений по защите данных для широкого спектра сценариев использования, включая шифрование, управление ключами, редактирование и маскирование. Узнать больше о безопасности данных
  • Контроль доступа к данным. Основным шагом в обеспечении безопасности системы баз данных является проверка идентификационных данных пользователя, который обращается к базе данных (аутентификация), и контроль над тем, какие операции он может выполнять (авторизация). Надежные средства аутентификации и авторизации помогают защитить данные от злоумышленников. Кроме того, внедрение разделения обязанностей помогает предотвратить злоупотребление привилегированными пользователями своими системными привилегиями для доступа к конфиденциальным данным, а также помогает предотвратить случайные или злонамеренные изменения в базе данных.
  • Аудит и мониторинг. Все действия с базой данных должны регистрироваться для целей аудита, включая действия, происходящие в сети, а также действия, инициированные в базе данных (обычно посредством прямого входа в систему), которые обходят любой мониторинг сети. Аудит должен выполняться, даже если сеть зашифрована. Базы данных должны обеспечивать надежный и всесторонний аудит, который включает информацию о данных, клиенте, с которого делается запрос, подробности операции и сам SQL-оператор.
  • Защита баз данных в облаке. Развертывание облачных баз данных может снизить затраты, высвободить персонал для более важных задач и сделать работу ИТ-отдела более гибкой и оперативной. Но эти преимущества могут сопровождаться дополнительным риском, включая расширение периметра сети, расширение поверхности угроз с неизвестной административной группой и общую инфраструктуру. Однако при применении практических рекомендаций по обеспечению безопасности баз данных безопасность в облаке будет выше, чем в локальной среде большинства компаний, при этом затраты будут меньше, а гибкость больше.
Создавайте, тестируйте и развертывайте приложения в Oracle Cloud бесплатно.