Databázová bezpečnost Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko–geologická fakulta.

Slides:



Advertisements
Podobné prezentace
SQL Lukáš Masopust Historie  Předchůdcem databází byly papírové kartotéky  děrný štítek  1959 konference  1960 – vytvořen jazyk COBOL.
Advertisements

Caché Security. Jak vypadá zabezpečení dnes Jak bude vypadat a co by Caché měla umět v budoucnu Včera, dnes a zítra.
Proč se už nemůžeme vídat? Why can't we be seeing each other any more?
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Název a adresa školy: Střední odborné učiliště stavební, Opava, příspěvková organizace, Boženy Němcové 22/2309, Opava Název operačního programu:OP.
Cumulative tests Tenses Phrases. Put the verbs into the correct form I need a rest. I _______ (run) all morning! John isn´t here. He _______ (go) to the.
Heterogenní serverové prostředí, správa, bezpečnost a interoperabilita Jak zajistit interoperabilitu v hererogenním serverovém prostředí? Jak spolupracuje.
Grafické zobrazení příkladu RETURN MANAGEMENT J.Skorkovský KPH.
BIS Database Security Roman Danel VŠB – TU Ostrava.
Jméno autora: Mgr. Mária Filipová Datum vytvoření: Číslo DUMu: VY_32_INOVACE_08_AJ_EP Ročník: 1. – 4. ročník Vzdělávací oblast:Jazyk a jazyková.
Číslo projektu CZ.1.07/1.5.00/ Číslo materiálu VY_32_INOVACE_ 007 Název školy Gymnázium, Tachov, Pionýrská 1370 Autor Mgr.Stanislava Antropiusová.
1 Škola: Gymnázium, Brno, Slovanské náměstí 7 Šablona: III/2 – Inovace a zkvalitnění výuky prostřednictvím ICT Název projektu: Inovace výuky na GSN prostřednictvím.
Registrační číslo projektu:CZ.1.07/1.5.00/ Šablona/číslo materiálu:VY_32_INOVACE_AJK445 Jméno autora:Mgr.Soňa Nekvindová Třída/ročník4. ročník Datum.
Obchodní akademie, Ostrava-Poruba, příspěvková organizace Vzdělávací materiál/DUM Businessland / Introductions 06B2 AutorLadislava Pechová Období vytvořeníŘíjen.
Kolik je hodin? What time is it?. Jak se tam dostanu? How do I get there?
Mass media and advertising Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
Online piracy Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských kompetencí.
y.cz Název školyStřední odborná škola a Gymnázium Staré Město Číslo projektuCZ.1.07/1.5.00/ AutorMgr. Roman Chovanec Název šablonyIII/2.
y.cz Název školyStřední odborná škola a Gymnázium Staré Město Číslo projektuCZ.1.07/1.5.00/ AutorMgr. Roman Chovanec Název šablonyIII/2.
SQL Server 2008 SKUs -All prices are ‘Open’ rounded up -Workgroup ~$140/CAL *Require a CAL to connect to paid SKUs **Free download with MSDN subscription.
Poznejte jak je skvělé Mít to pod Kontrolou René Klčo Microsoft System Center Data Protection Manager 2007.
Obchodní akademie a Střední odborná škola, gen. F. Fajtla, Louny, p.o. Osvoboditelů 380, Louny Číslo projektu CZ.1.07/1.5.00/ Číslo sady 33 Číslo.
Obchodní akademie, Ostrava-Poruba, příspěvková organizace Vzdělávací materiál/DUM Businessland / A Secretary 06B5 AutorLadislava Pechová Období vytvořeníListopad.
1 Škola: Gymnázium, Brno, Slovanské náměstí 7 Šablona: III/2 – Inovace a zkvalitnění výuky prostřednictvím ICT Název projektu: Inovace výuky na GSN prostřednictvím.
Tutorial: Obchodní akademie Topic: Logical Functions Prepared by: Mgr. Zdeněk Hrdina Projekt Anglicky v odborných předmětech, CZ.1.07/1.3.09/ je.
Jméno autora: Mgr. Mária Filipová Datum vytvoření: Číslo DUMu: VY_32_INOVACE_09_AJ_EP Ročník: 1. – 4. ročník Vzdělávací oblast:Jazyk a jazyková.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Lukáš Patka PFE. Microsoft Security Risk Assessment Identifikovat bezpečnostní rizika napříč IT infrastrukturou, aplikacemi, provozními procesy Zaměřen.
y.cz Název školyStřední odborná škola a Gymnázium Staré Město Číslo projektuCZ.1.07/1.5.00/ AutorMgr. Roman Chovanec Název šablonyIII/2.
Immigration and multiculturalism Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
y.cz Název školyStřední odborná škola a Gymnázium Staré Město Číslo projektuCZ.1.07/1.5.00/ AutorMgr. Roman Chovanec Název šablonyIII/2.
Podpora rozvoje cizích jazyků pro Evropu 21. stol. INVESTICE DO ROZVOJE VZDĚLÁVÁNÍ Tento projekt je spolufinancován Evropským sociálním fondem a státním.
Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Mgr. Jan Rozsíval. Slezské gymnázium, Opava, příspěvková organizace. Vzdělávací materiál.
y.cz Název školyStřední odborná škola a Gymnázium Staré Město Číslo projektuCZ.1.07/1.5.00/ AutorMgr. Roman Chovanec Název šablonyIII/2.
Číslo projektuCZ.1.07/1.5.00/ Číslo materiáluVY_32_INOVACE_166 Název školyGymnázium, Tachov, Pionýrská 1370 AutorMgr. Eleonora Klasová PředmětAnglický.
Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Mgr. Jan Rozsíval. Slezské gymnázium, Opava, příspěvková organizace. Vzdělávací materiál.
Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Mgr. Jan Rozsíval. Slezské gymnázium, Opava, příspěvková organizace. Vzdělávací materiál.
Praktická doporučení pro PR a marketing – co v této oblasti může HR dělat lépe Dita Stejskalová.
Obchodní akademie, Ostrava-Poruba, příspěvková organizace Vzdělávací materiál/DUM Businessland / Internal Communications 06B3 AutorLadislava Pechová Období.
Podpora rozvoje cizích jazyků pro Evropu 21. stol. INVESTICE DO ROZVOJE VZDĚLÁVÁNÍ Tento projekt je spolufinancován Evropským sociálním fondem a státním.
y.cz Název školyStřední odborná škola a Gymnázium Staré Město Číslo projektuCZ.1.07/1.5.00/ AutorMgr. Roman Chovanec Název šablonyIII/2.
IBM Cognos Mobile Version Hlavní trendy Rychle – Kdy budou výsledky? Kdy budu mít výsledky k dispozici? Kdy budou vidět změny? Více – Je k dispozici.
INTEGRATED RESCUE SYSTEM Střední průmyslová škola Hranice Mgr. Radka Vorlová 02_Integrated Rescue System CZ.1.07/1.5.00/
SPŠ stavební a Obchodní akademie, Kladno, Cyrila Boudy 2954 COVER LETTER Autor: Mgr. Kateřina Suková EU peníze školám CZ.1.07/1.5.00/
Accelerating Your Success TM IBM Tivoli NEWS Petr Klabeneš
EU peníze středním školám Název vzdělávacího materiálu: B2 – Verbs – Computers Číslo vzdělávacího materiálu: ICT12-19 Šablona: III/2 Inovace a zkvalitnění.
Obchodní akademie, Střední odborná škola a Jazyková škola s právem státní jazykové zkoušky, Hradec Králové Autor:Mgr. František Jahnátek Název materiálu:
SPŠ stavební a Obchodní akademie, Kladno, Cyrila Boudy 2954 TYPES OF BUSINESS LETTERS Autor: Mgr. Kateřina Suková EU peníze školám CZ.1.07/1.5.00/
Gymnázium, Brno, Elgartova 3 GE - Vyšší kvalita výuky CZ.1.07/1.5.00/ III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Téma: English Grammar.
Driving around the USA Gymnázium a Jazyková škola s právem státní jazykové zkoušky Zlín Tematická oblast Angličtina: The USA Datum vytvoření
Word order Střední škola pedagogická, hotelnictví a služeb, Litoměřice, příspěvková organizace Litoměřice, Komenského 3 Autor: Pavel Vágai.
Databázové systémy přednáška 6 – Indexy
Databázové systémy přednáška 9 – Bezpečnost
GE - Vyšší kvalita výuky
ŠKOLA: Základní škola Velké Karlovice, okres Vsetín
SQL – příkaz SELECT Ing. Roman Danel, Ph.D.
Rodina (Family) B1 Tematická oblast
charakteristiky údajů (Struktura, rozměry) – BI jako IS
NÁZEV ŠKOLY: Základní škola Strančice, okres Praha - východ
GE - Vyšší kvalita výuky
DIGITÁLNÍ UČEBNÍ MATERIÁL
Název školy Gymnázium, střední odborná škola, střední odborné učiliště a vyšší odborná škola, Hořice Číslo projektu CZ.1.07/1.5.00/ Název materiálu.
Inovativní řešení Microsoft pro školství
Autor: Mgr. Kateřina Suková
Jídlo (Food, Meals) B2 Tematická oblast Angličtina: ústní zkouška
Autor: Mgr. Kateřina Suková
DIGITÁLNÍ UČEBNÍ MATERIÁL
Distribuovaný systém souborů
GDPR & ePrivacy
Introduction to MS Dynamics NAV (ATP_CTP)
Transkript prezentace:

Databázová bezpečnost Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko–geologická fakulta

Bezpečnostní problémy v SŘBD Fyzická integrita – odolnost vůči výpadkům Logická integrita – struktura Elementární integrita – korektní data Auditabilita – sledování kdo a jak něco zaznamenal Autentizace Dostupnost

Hrozby databázové bezpečnosti Zajištění utajení Zajištění integrity Dostupnost systému

Přehled zabezpečení – Availability – Authenticity – Integrity – Confidentiality

Availability - dostupnost Dostupnost dat je časově neomezena Data mají být přístupná pouze uživatelům mající oprávnění k přístupu Trasování, kdo přistupuje na data

Authenticity - pravost Need to ensure that the data has been edited by an authorized source Need to confirm that users accessing the system are who they say they are Need to verify that all report requests are from authorized users Need to verify that any outbound data is going to the expected receiver

Integrity - integrita Need to verify that any external data has the correct formatting and other metadata Need to verify that all input data is accurate and verifiable Need to ensure that data is following the correct work flow rules for your institution/corporation Need to be able to report on all data changes and who authored them to ensure compliance with corporate rules and privacy laws.

Confidentiality - důvěrnost Need to ensure that confidential data is only available to correct people Need to ensure that entire database is security from external and internal system breaches Need to provide for reporting on who has accessed what data and what they have done with it Mission critical and Legal sensitive data must be highly security at the potential risk of lost business and litigation

Hrozby Vnitřní ztráta dat Externí hacking Zabezpečení dat v případě ukradení hardware Neschválený Administrátorský přístup

Built-in protection – Password Controls – Data access based on roles and profiles – IP restrictions for off site access – Auditing capabilities of who has run what reports – Security logging

SQL injection When a user enters a valid username, such as ‘Mary’ and a password of ‘qwerty’, the SQL query becomes: SELECT Count(*) FROM UsersTable WHERE UserName=‘Mary’ AND Password=‘qwerty’;

SQL injection if a user enters the following as a username: ‘OR 1=1 -- the SQL query becomes: SELECT Count(*) FROM UsersTable WHERE UserName=‘‘ OR 1=1 - -’ AND Password=‘‘;

SQL injection SELECT * FROM uzivatele WHERE uzivatel_id = 'x';DROP TABLE uzivatele; SELECT '1'

Útok typu DOS (Denial of Access) x' AND BENCHMARK( ,BENCHMARK(999999,B ENCHMARK(999999,MD5(NOW()))))=0 OR '1'='1

Zabezpečení proti SQL injection $uzivatel_id = intval($_GET['id']); $query = $sql->prepare("SELECT * FROM uzivatele where name = „. $sql->quote($uzivatel_id));

SQL injection wiedzy/publikacje/sql-injection wiedzy/publikacje/sql-injection

Zálohování Backup Restore

Restore – obnova databáze

Recovery Model

Recovery Model (Microsoft) Simple Full Bulk-logged - reduces log space usage by using minimal logging for most bulk operations (bcp, insert into...)

Db systémy Fault-tolerant Disaster-tolerant

HADR High Availability & Disaster Recovery Uptime – downtime MTBF - Mean Time Between Failure MTTR - Mean Time to Repair

Technologie pro fault-tolerant Log-shipping – Na úrovni backup-restore, Job Agent Replikacja – Na úrovni tabulek – Publisher - Subscriber Mirroring – Na úrovni databáze – Principal-Mirror i opcjonalnie Whitness (Arbiter) Always-on – Řešení v kategorii Enterprise, většinou clustering

Log Shipping Source:

Replication

Mirroring

Always-on

Always-on Availability Group