Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Защита SQL  [new]
Диам
Member

Откуда:
Сообщений: 1497
Здравствуйте. В связи с защитой персональных данных встала задача проверить наш SQL сервак на прочность.... Собственно вопрос - от чего проверять, т.е. какие методики несанкционированного получения данных бывают. И чем и как от них защищаться?

---------------------------------
http://diamfc.ucoz.ru - блок-схема за пять минут!!!
7 фев 12, 14:48    [12047319]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
Диам,

сколько человек имеют доступ к админским учеткам, если больше одного то безопасность уже равна нулю:)
7 фев 12, 14:50    [12047345]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
Диам,

а если серьезно, то для начала, два уровня проверки, авторизация с уровнями ограничений пользователей и сетевая, сниферинг пакетов.
А так все зависит от того что нужно спрятать и от кого.
7 фев 12, 14:53    [12047372]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Диам
Member

Откуда:
Сообщений: 1497
Используется Windows Авторизация. Люди, которые пользуют базу, без проблем видят данные сотрудников. Это допустимо. А вот пришла уборщица - и решила "дай я унесу себе домой их базу". Что она может сделать в таком случае?
1. Попытаться скопировать файл *.mdf. У неё нет прав для этого, и пока работает SQLсервер, файл нельзя скопировать.
2. Попытаться стырить бэкап. Опять же доступа к нему у неё нету.
3. Подключиться извне к SQL нельзя. Доступна только виндовз авторизация.
4. Забрать данные из локальной сети... и вот вопрос - как она может забрать данные?

Ситуация такая, что я должен отчитаться, что мы периодически проверяем уровень защиты наших данных. Т.е. мы пытаемся несанкционированно получить данные и героически наша система защиты с этим справляется.
А я как-то даже не знаю от чего стоит защищаться.....
7 фев 12, 15:12    [12047561]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Диам
Member

Откуда:
Сообщений: 1497
Да, система в домене и доступ к базе происходит под доменными именами.
7 фев 12, 15:18    [12047615]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
Диам
Используется Windows Авторизация. Люди, которые пользуют базу, без проблем видят данные сотрудников. Это допустимо. А вот пришла уборщица - и решила "дай я унесу себе домой их базу". Что она может сделать в таком случае?
1. Попытаться скопировать файл *.mdf. У неё нет прав для этого, и пока работает SQLсервер, файл нельзя скопировать.
2. Попытаться стырить бэкап. Опять же доступа к нему у неё нету.
3. Подключиться извне к SQL нельзя. Доступна только виндовз авторизация.
4. Забрать данные из локальной сети... и вот вопрос - как она может забрать данные?

Ситуация такая, что я должен отчитаться, что мы периодически проверяем уровень защиты наших данных. Т.е. мы пытаемся несанкционированно получить данные и героически наша система защиты с этим справляется.
А я как-то даже не знаю от чего стоит защищаться.....


Windows Авторизация спасет только на этапе логина, а дальше если вы это специально не указали по умолчанию весь обмен данными между сервером и клиентом происходит в открытом виде, тобишь любой сетевой снифер запущенный вашей уборщицей принесшей с собой нетбук с убунтой за пару часов(зависит от активности пользователей) собрет половину базы данных и пойдет домой все это читать.
Тут конечно много оговорок вроде умных свичей и прочего сетевого инвенторя ограничивающего весь этот бардак но шанс как говорится есть и его можно проверить.
А если уборщица имеет доступ к серверной то ей вобще никакие хитрости не нужны, вытаскивает винты из сервера и несет в тесемке домой ...
7 фев 12, 15:21    [12047640]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
Диам
Да, система в домене и доступ к базе происходит под доменными именами.


это вы сейачс расказываете какие у вас толстые замки на входных дверях висят, но вломщики через парадную никогда не заходят, они препочитают через подвал\чердак.
7 фев 12, 15:22    [12047651]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
baracs
Member

Откуда: Москва
Сообщений: 7217
WarAnt
А если уборщица имеет доступ к серверной то ей вобще никакие хитрости не нужны, вытаскивает винты из сервера и несет в тесемке домой ...
А если еще стикеры с паролями пользователей на мониторах висят...
7 фев 12, 15:25    [12047673]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Диам
Member

Откуда:
Сообщений: 1497
WarAnt, а какая защита от снифферов может использоваться? Антивирус?
7 фев 12, 15:43    [12047786]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Raoul
Member

Откуда:
Сообщений: 177
Диам
WarAnt, а какая защита от снифферов может использоваться? Антивирус?

В огороде бузина, а в Киеве дядька.

От снифферов помогает только шифрование трафика между клиентом и сервером, подробнее в BOL (Encrypting Connections to SQL Server)
7 фев 12, 20:52    [12050172]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Диам
Member

Откуда:
Сообщений: 1497
Raoul, о таком воровстве данных я пока и не задумываюсь... Мне интересно более, скажем так, прямое воровство данных. Когда злоумышленник взял и скопировал себе целую таблицу с анкетными данными сотрудников. И при том у него ни доступа ни прав к базе нету, но есть доступ к соседним базам на этом же сервере.
7 фев 12, 21:39    [12050458]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Гавриленко Сергей Алексеевич
Member

Откуда:
Сообщений: 37254
Диам
Raoul, о таком воровстве данных я пока и не задумываюсь... Мне интересно более, скажем так, прямое воровство данных. Когда злоумышленник взял и скопировал себе целую таблицу с анкетными данными сотрудников. И при том у него ни доступа ни прав к базе нету, но есть доступ к соседним базам на этом же сервере.
А ситуация "пришел злоумышленник к вам в гости и предложил, поигрывая паяльником, вам стянуть целую таблицу с анкетными данными" считается?
7 фев 12, 22:02    [12050585]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
skorpk
Member

Откуда: Волгоград
Сообщений: 276
Диам,
А защита не связана с требованиями ФСТЕК?
8 фев 12, 03:05    [12051350]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Slava_Nik
Member

Откуда: из России
Сообщений: 901
в курсе для экзамена 70-432 Microsoft рекомендуется использовать прозрачное шифрование TDE с симметричным ключом с сертификатом
8 фев 12, 11:27    [12052311]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Диам
Member

Откуда:
Сообщений: 1497
skorpk, возможно. Всех деталей я не знаю.
А если бы она именно со ФСТЕК была связана, то что бы мне это дало?
8 фев 12, 14:01    [12053948]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
skorpk
Member

Откуда: Волгоград
Сообщений: 276
Диам,
Дает только одно, что есть документ как проверять безопасность SQL Server по требованиям ФСТЕК.
8 фев 12, 14:06    [12054005]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
WarAnt
Member

Откуда: Питер
Сообщений: 2423
Диам
Raoul, о таком воровстве данных я пока и не задумываюсь... Мне интересно более, скажем так, прямое воровство данных. Когда злоумышленник взял и скопировал себе целую таблицу с анкетными данными сотрудников. И при том у него ни доступа ни прав к базе нету, но есть доступ к соседним базам на этом же сервере.


ну таких дыр как, шел шел споткнулся и нечаянно скопировал таблицу быть не может, вам как минимум нужен доступ к серверу получить, а если есть доступ "к соседним базам на этом же сервере" то что мешает проверить есть ли при этом доступ к нужным таблицам?
8 фев 12, 14:09    [12054048]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Raoul
Member

Откуда:
Сообщений: 177
WarAnt
А если уборщица имеет доступ к серверной то ей вобще никакие хитрости не нужны, вытаскивает винты из сервера и несет в тесемке домой ...

TrueCrypt?
9 фев 12, 13:55    [12062042]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Диам
Member

Откуда:
Сообщений: 1497
skorpk
Диам,
Дает только одно, что есть документ как проверять безопасность SQL Server по требованиям ФСТЕК.
Ссылку можете привести? А то тут http://www.fstec.ru/_spravs/_spec.htm их очень много, и что конкретно относится к SQL не понятно.
9 фев 12, 14:48    [12062722]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Shlippenbaranus
Member

Откуда:
Сообщений: 241
Диам
Используется Windows Авторизация. Люди, которые пользуют базу, без проблем видят данные сотрудников. Это допустимо. А вот пришла уборщица - и решила "дай я унесу себе домой их базу". Что она может сделать в таком случае?
...
Ситуация такая, что я должен отчитаться, что мы периодически проверяем уровень защиты наших данных. Т.е. мы пытаемся несанкционированно получить данные и героически наша система защиты с этим справляется.
А я как-то даже не знаю от чего стоит защищаться.....


Осмелюсь спросить: а как именно "люди, которые пользуют базу", это осуществляют? Сомневаюсь, что пишут запросы в Management Studio. Вероятно, есть одно или несколько клиентских приложений - проверяли ли Вы, они у вас могут быть окном для злоумышленника?

Например, есть такое понятие, как SQL инъекция. Не самое модное, но, полагаю, актуальное.
9 фев 12, 15:03    [12062899]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Диам
Member

Откуда:
Сообщений: 1497
Shlippenbaranus, данные они видят через формы МС Акцесс.
9 фев 12, 15:32    [12063235]     Ответить | Цитировать Сообщить модератору
 Re: Защита SQL  [new]
Shlippenbaranus
Member

Откуда:
Сообщений: 241
Диам,

увы, я ничего не знаю про МС Акцесс :(
21 фев 12, 20:41    [12133150]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить