Поэтому безопасность базы данных — это безопасность бизнеса, поскольку утечка даже незначительной доли конфиденциальных данных наносит непоправимый вред компании. В то же время в погоне за модой на электронную коммерцию некоторые компании поспешно предоставляют внешним пользователям доступ к корпоративным базам данных. К сожалению, далеко не всегда при этом конфиденциальная информация остается надежно защищенной. Проблемам безопасности СУБД был посвящен семинар научно-инженерного предприятия «Информзащита», который состоялся в конце февраля.
Что же угрожает безопасности сети, когда в ней есть сервер баз данных? Наиболее распространенная атака — подбор пароля, от которой СУБД, как правило, защищены слабо. Дело в том, что при назначении пароля СУБД не блокирует введение очевидно простых паролей, которые подбираются по словарю. Кроме того, в большинстве СУБД по умолчанию установлена опция не шифровать пароли, и поэтому их легко перехватить с помощью анализаторов протоколов. Защиту от такого нападения может дать использование шифрованных или одноразовых паролей, которые несложно включить в большинство баз данных.
Следует отметить, что с помощью хранимых в базе данных процедур можно изменять конфигурацию ОС и Web-сервера. Если Web-мастер разрешил посетителям сайта посылать любые запросы к базе данных, то есть вероятность того, что с помощью одного из таких запросов внешний недоброжелатель сможет проделать дыру в защите ОС или целой сети. Кроме того, следует помнить, что для SQL-сервера существуют и программы-«троянцы», которые, как правило, используют хранимые процедуры для изменения конфигурации системы. Очевидной защитой от такого нападения является правильное разграничение полномочий пользователей и блокировка «опасных» хранимых процедур.
Естественно, что СУБД может подвергаться атакам через стек протоколов TCP/IP, безопасность которого оставляет желать лучшего. Поэтому для увеличения защищенности сети по возможности не стоит устанавливать базу данных на контроллер домена и использовать TCP/IP. Вообще же, по мнению Алексея Лукацкого, руководителя отдела Internet-решений «Информзащиты», правильная настройка базы данных исключает 99% всех возможных нападений. К сожалению, администраторы безопасности имеют, как правило, низкую квалификацию и к тому же занимаются широким спектром задач, от регистрации новых пользователей до резервного копирования базы данных. Естественно, что эффективно настроить систему безопасности в таких условиях очень сложно, даже обладая соответствующей квалификацией. К сожалению, к безопасности в очень многих компаниях обычно относятся как к досадной помехе в основной работе.