Stabilirea politicilor de securitate

Stabilirea politicilor de securitate

Fiecare baza de date are unul sau mai multi administratori si mai multi utilizatori. Pentru a evita din start diferite probleme, este esentiala stabilirea si implementarea unor politici de securitate generala referitoare la:

Managementul utilizatorilor bazei de date

Nici un user nu trebuie sa aiba dreptul de a sterge, adauga sau modifica drepturile altor utilizatori;

Fiecare utilizator trebuie sa aiba drepturile minim necesare indeplinirii scopului sau;

Pentru o baza de date date de mari dimensiuni este necasar ca utilizatorii sa fie impartiti in categorii, folosind scheme si roluri;

In cazul in care anumite drepturi sunt necesare periodic (gen dreptul departamentului contabil de a inchide balanta lunara) atunci trebuie definit un sistem de modificare automata a rolurilor ;

In cazul unei baze de date cu mai multi administratori, este recomandat ca sa existe un singur administrator cu drepturi depline iar ceilalti sa aiba drepturi limitate, specifice.

Autentificarea utilizatorilor

Toti utilizatorii trebuie sa aiba o modalitate de autentificare sigura (minim o parola);

Este de preferat sa existe si o a doua modalitate de autentificare, precum autentificarea prin SSL, servicii de retea sau sistemul de operare;

Pentru a preintampina accesul neautorizat, este recomandata schimbarea periodica a parolelor printr-un mecanism de "expirare

Pentru a evita ca utilizatorii sa foloseasca un numar restrans de parole pe care sa le foloseasca succesiv, trebuie pastrata o lista a vechilor parole;

Este de preferat ca administratorii cu drepturi depline sa nu se poata conecta la distanta la baza de date, ci sa aiba un al doilea cont, cu drepturi limitate pentru acces la distanta;

Pentru impiedicarea aflarii fortate a parolei prin incercari succesive (brute force attack) trebuie implementat un sistem de blocare temporara a unui cont dupa un numar de incercari succesive;

Trebuie definit un mecanism de eliminare a parolelor usor de depistat, care sa tina seama de minim urmatoarele criterii

Minim 6 caractere

Diferit de numele utilizatorului

Contine atat litere, cifre cat si semne de pnctuatie

Difera de parolele precedente cu minim 3 caractere

Nu face parte dintr-o lista de cuvinte evidente

Securitatea sistemului de operare

Actiunile utilizatorilor nu trebuie sa duca la crearea - stergerea diferitelor fisiere care au legatura cu baza de date;

Administratorul trebuie sa aiba dreptul de a crea - sterge - modifica orice fisier legat de baza de date.

Protejarea datelor

Acolo unde este cazul, userii nu trebuie sa aiba dreptul de a sterge date

Este de preferat sa se lucreze cu vederi in locul tabelelor; in acest mod se pot ascunde coloanele cu caracter confidential si se asigura integritatea datelor

In cazul accesului la date sensibile prin importanta sau confidentialitate politicile trebuie sa fie foarte stricte, utilizandu-se roluri si privilegii specifice, alaturi controlul accesului fin granularizat (FGAC - Fined-Grained Access Control);

Dezvoltarea bazei de date

In cazul in care o structura unei baze de date este modificata in timpul procesului de productie, trebuiesc realizate copii de siguranta cat mai des;

Noile aplicatii se vor testa intotdeauna pe o copia a bazei de date, nu pe original;

Acolo unde siguranta este pe primul plan, dezvoltatorii de aplicatii nu vor avea dreptul sa creeze - modifice obiecte. Acest lucru se va realiza strict de catre administratorul bazei de date;

In cazul in care dezvoltatorii au dreptul de a crea singuri obiecte, administratorul bazei de date va impune o limita a spatiului disponibil pentru a fii utilizat de fiecare dezvoltator.

Instalarea bazei de date

Trebuiesc instalate numai componentele strict necesare

Odata incheiata instalarea, trebuiesc modificate parolele si setarile implicite (printre cele mai importante modificari se numara limitarea accesului la dictionar prin comanda O7_DICTIONARY_ACCESSIBILITY = FALSE)

Trebuiesc retrase privilegiile suplimentare acordate implicit grupului de utilizatori PUBLIC