BIS Database Security Roman Danel VŠB – TU Ostrava.

Slides:



Advertisements
Podobné prezentace
© 2000 VEMA počítače a projektování spol. s r. o..
Advertisements

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
SAN architektura, iSCSI a pokročilé techniky zálohování
Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
Virtualizace DATA-INTER Opava Vladimír Holub
Virtuální akademie Řešení privátního cloudu.
Základy databázových systémů
Přednáška č. 1 Úvod, Historie zpracování dat, Základní pojmy
 Informací se data a vztahy mezi nimi stávají vhodnou interpretací pro uživatele, která odhaluje uspořádání, vztahy, tendence a trendy  Existuje celá.
Generální ředitelství cel Projekt ECR brána případová studie
Přednáška č. 5 Proces návrhu databáze
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
Databázové systémy Přednáška č. 6 Architektura databázových systémů,
IISPP ■ pojem definován v letech v rámci přípravy výzkumných záměrů NPÚ na roky ■ dlouhodobý projekt na vybudování nového komplexního.
METODOLOGIE PROJEKTOVÁNÍ NÁVRH IS PRO TECH. PROCESY Roman Danel VŠB – TU Ostrava HGF Institut ekonomiky a systémů řízení.
SQL Lukáš Masopust Historie  Předchůdcem databází byly papírové kartotéky  děrný štítek  1959 konference  1960 – vytvořen jazyk COBOL.
Petr Marek, ČNB Bankovní dohled IT Petr Marek, ČNB
Úvod do databází Databáze.
Efektivní informační bezpečnost
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Pravidelné zálohování dat
Redudantní datová úložiště a zabezpečení dat
Zálohování a Disaster Recovery pro školy Aleš Hok
1 Přehled novinek v serveru Exchange 2007 Marian Henč Technology Specialist – AD & Messaging
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Ekonomika informačních systémů
Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.
Microsoft System Center Operations Manager
Databázové systémy. Práce s daty Ukládání dat Aktualizace dat Vyhledávání dat Třídění dat Výpočty a agregace.
Databázové systémy Architektury DBS.
Bezpečnost IS David Krch Solutions Specialist IS Technolog. Fyzická Osobní Organizační Komplexní pohled na bezpečnost Technolog. IS.
Zálohování.
INFORMATIKA 4_5 5. TÝDEN HODINA.
Prezentace pro Kraj Vysočina Jan Gregor
NeoSync on-line zálohování pro každého / pro každou firmu
Robert Mohos,3IT. Disaster Recovery Planning  Plány pro obnovu činnosti po mimořádné události - Preventivní opatření - Zmírnění následků - Ulehčení obnovy.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Jak využít Office 365? Několik scénářů. | Copyright© 2010 Microsoft Corporation.
Heterogenní serverové prostředí, správa, bezpečnost a interoperabilita Jak zajistit interoperabilitu v hererogenním serverovém prostředí? Jak spolupracuje.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
Jiří Kuhn, CORAL s.r.o. Clusterová řešení TIRS.
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
2005 Adobe Systems Incorporated. All Rights Reserved. 1 Inteligentní PDF formuláře Vladimír Střálka Territory Account Manager Adobe Řešení pro.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
EGovernment Struktura služeb a řešení. Obsah 1.Požadavky KIVS a řešené problémy 2.Vývoj koncepcí 3.Stávající KIVS a její rozvoj v souladu s koncepcemi.
Global network of innovation easyXchange Milan Mydlář Siemens Business Services.
Blíží se datové schránky,. aneb „Nepropadejte panice!“
Aktuální bezpečnostní výzvy … a jak na ně ….. v praxi Dalibor Lukeš Platform and Security Manager Microsoft Czech and Slovak Michal Pechan Production Stream.
SQL Server 2008 SKUs -All prices are ‘Open’ rounded up -Workgroup ~$140/CAL *Require a CAL to connect to paid SKUs **Free download with MSDN subscription.
Databázové aplikace v Delphi
ANALÝZA A PROJEKTOVÁNÍ SYSTÉMŮ Analýza rizik
Lukáš Patka PFE. Microsoft Security Risk Assessment Identifikovat bezpečnostní rizika napříč IT infrastrukturou, aplikacemi, provozními procesy Zaměřen.
Databázové systémy Úvod, Základní pojmy. Úvod S rozvojem lidského poznání roste prudce množství informací. Jsou kladeny vysoké požadavky na ukládání,
Databázová bezpečnost Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko–geologická fakulta.
Zabezpečení dat a komunikační infrastruktury Policie ČR CZ.1.06/1.1.00/ Zabezpečení dat a komunikační infrastruktury Policie ČR CZ.1.06/1.1.00/
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
Zálohování dat. Zálohování dat (podle CHIP) důvody zálohování – problémy HW, SFTW, viry, chyby uživatele, viry, hackeři, přírodní katastrofy, krádeže.
IS jako nástroj moderního personálního managementu Vít Červinka
Číslo projektuCZ.1.07/ / Název školySOU a ZŠ Planá, Kostelní 129, Planá Vzdělávací oblastVzdělávání v informačních a komunikačních technologiích.
Digitální učební materiál
Databázové systémy přednáška 9 – Bezpečnost
Systém zálohování na ČZU
Bezpečnost dat.
Financováno z ESF a státního rozpočtu ČR.
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Ing. Athanasios Podaras, Ph.D 2016
BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ
Přednášky z distribuovaných systémů
Distribuovaný systém souborů
Transkript prezentace:

BIS Database Security Roman Danel VŠB – TU Ostrava

Bezpečnostní problémy v SŘBD Fyzická integrita – odolnost vůči výpadkům Logická integrita – struktura Elementární integrita – korektní data Auditabilita – sledování kdo a jak něco zaznamenal Autentizace Dostupnost (availability)

Bezpečnost databází zabezpečení dat v databázi proti zneužití zabezpečování přihlašovacích informací zabezpečení komunikace mezi aplikací a databází zabezpečení dotazů proti SQL-injection

Hrozby Vnitřní ztráta dat Externí hacking Zabezpečení dat v případě ukradení hardware Neschválený Administrátorský přístup

Bezpečnost databází Bezpečnost informační (utajení) Zachování integrity (technická stránka)

Architektury bezpečných databázových systémů Trusted Subject Architecture - Databázový a operační systém jsou jedna entita Woods Hole Architecture - Uživatelé pracují s množinou nedůvěryhodných rozhraní, které komunikují s důvěryhodným rozhraním (front end). Samotný databázový systém je opět nedůvěryhodný.

Woods Hole Architecture

Návrh bezpečného db systému © Daniel Cvrček, FEI VUT Brno

SQL injection SQL injection – útok přes nezabezpečené webové rozhraní Př. SQL injection $dotaz = "select * from clanky where id = '$_GET["id"]'";

SQL injection $dotaz = "select * from clanky where id = '$_GET["id"]'"; Clanek.php?id=1 Test zabezpečení: clanek.php?id=1 and 1=1 /*

SQL injection Jestliže test projde, projde i toto: clanek.php?id=1 and truncate table clanky/*

Prostředky pro hacking SQLScanner – zjišťuje konta sa, probe – SQLPing2 – slovníkový útok, součást SQL Tools ForceSQL

Bezpečnost dat Zálohování – důraz na rychlou obnovu v případě havárie Archivace – důraz na dlouhodobé uchování dat

Zálohovací média CD, DVD Disky Pásky USB – nevhodné, statická elektřina NAS FTP server On-line

Zálohovací strategie Rozpor mezi požadavky na obnovu a použité zálohovací médium Automatizace zálohování (eliminace lidského činitele) Kontrola záloh (nejsou vadné sektory na disku?) Kontrola mechanismu obnovy

Bezpečnost databází Zajištění utajení Zajištění integrity Dostupnost systému

Availability - dostupnost Data needs to be available at all necessary times Data needs to be available to only the appropriate users Need to be able to track who has access to and who has accessed what data

Authenticity - pravost Need to ensure that the data has been edited by an authorized source Need to confirm that users accessing the system are who they say they are Need to verify that all report requests are from authorized users Need to verify that any outbound data is going to the expected receiver

Integrity - integrita Need to verify that any external data has the correct formatting and other metadata Need to verify that all input data is accurate and verifiable Need to ensure that data is following the correct work flow rules for your institution/corporation Need to be able to report on all data changes and who authored them to ensure compliance with corporate rules and privacy laws.

Confidentiality - důvěrnost Need to ensure that confidential data is only available to correct people Need to ensure that entire database is security from external and internal system breaches Need to provide for reporting on who has accessed what data and what they have done with it Mission critical and Legal sensitive data must be highly security at the potential risk of lost business and litigation

Kontrola inference (odvození) Zabránit nepřímému odhalení na základě neoprávněného čtení dat – Sebevztažná data – pro načtení dat X potřebujeme data Y – Chybějící data – null hodnoty – Statistické odvození – je viditelný zdroj Obrana: – Kontrola dotazů – Rozrušení dat (neposkytují se konkrétní data)

Kontrola přístupů Množina přístupových politik a pravidel Množina kontrolních procedur

Maticový přístupový model Pro OS i databáze 1976 Přístupová práva: read, write, execute Administrace autorizace: vlastník objektu, dědění Matice práv na objekt Modifikace: Bell-la Padula model

Kontrola přístupů Založená na rolích (Role-Based) Založena na úlohách (Task-Based)

Příčiny zranitelnosti databází Přílišná složitost podnikových IS Rozsáhlé implementační projekty – nejsou v souladu s předpisy/standardy

Dostupnost Pravděpodobnost, že systém poskytuje požadované funkce za určených podmínek a v daném časovém okamžiku. Harward Research Group: kategorie AEC0 – AEC5 Závisí na: – Spolehlivosti systému – Čase kdy dojde k obnovení poskytování služby po poruše

Dostupnost

MTBF - Mean Time Between Failure MTTR - Mean Time to Repair – střední doba obnovy

Nejčastější příčiny snížení dostupnosti 1.Chyby při řízení změn 2.Nedostatky při monitoringu složek systému 3.Nesprávně stanovené požadavky a kriteria při výběru dodavatelů 4.Nedostatky v provozních procesech 5.Výpadky komunikačních sítí

HADR High Availability and Disaster Recovery

High Availability 99%3,65 dní 99,9%8 hodin 45 minut 53 sekund 99,99999%3,15 sekund

RTO – Recovery Time Objetive – kolik máme času na opravu RPO – Recovery Point Objective – kolik dat mohu ztratit

Technologie v SQL Serveru Log shipping Replikace Mirroring Always-on Availability Group Always-on Failover Clustering

Log Shipping Pravidelné zálohování a obnova logů Frekvence až řádově několik minut Neumí automatický failover S jakoukoli verzí

Log Shipping Source:

Replication

Mirroring Replikace na úrovni transakčního logu Mirror je v recovery módu a není dostupný

Mirroring

Always-on

Always-on Available Group Na úrovni databáze Full-recovery mod Listener + nejméně 2 další servery – aplikační server s aliasem, na který se připojuji Ostatní db jsou dostupné a mohou být read-only Vyžaduje Windows Failover Cluster MS SQL 2014 – až 8 nodů Oproti klasickému clusteru je databáze ihned k dispozici!

Řešení na úrovni db – neřeší databázi master! Nevýhoda „Availability Group“ – nároky na storage

Always-on Availability Group

Failover Clustering Cluster na úrovni instance Shared storage Nelze rozložit zátěž na více nodů HW a patch level musí být identické Aplikace se připojuje na instance name Nevýhoda – při failover se databáze startuje (rychlost dána množstvím připojovaných db)