31
דצמ
07

הגנה על נתונים רגישים בבסיסי נתונים/Database Security

לפני מספר שנים שיתף אותי מנהל אבטחת מידע בחשש שלו שמישהו יפרוץ לארגון ויגנוב מספרי כרטיסי אשראי או מידע אחר על לקוחות. שאלתי אותו, באותה שיחה, האם הוא לא חושש מגניבת המידע מתוך הארגון והוא ענה לי שיש לו DB ישן והוא לא יודע כיצד להגן עליו מעבר להרשאות ברמת האפליקציה. וחוץ מזה, צריך לסמוך על מישהו בארגון – למשל, DBA, מפתחים – לא?

אז זהו, שלא. כיום, אני מחפש פתרונות לסיטואציה דומה. בארגון ישנם אנשי DBA, עשרות מתכנתים, כלכלנים שעושים ניתוחים פיננסיים על מידע בגישה ישירה ל – DB ואחרים – בסה"כ עשרות אנשים – שקיבלו הרשאות גישה ישירה ב – SQL לבסיסי נתונים. לך תתמודד עם הטיעון: אנחנו צריכים את זה למען העבודה, למען מטרות הארגון.

בשנה האחרונה בחנתי מספר אפשרויות שאציין כאן מבלי לטעון ששיטה אחת טובה מאחרת ומבלי לפרט יתרונות וחסרונות. זו רק נקודת התחלה לבדיקה מהי השיטה הטובה בארגון.

  1. הצפנת שדות רגישים ע"י תוכנה.
  2. הגבלת הרשאות גישה ברמת אובייקטים דרך ההרשאות של ה – DB.
  3. הגבלת הרשאות גישה ברמת עמודה ע"י פתרון כגון Database Vault (לסביבת Oracle).
  4. הגבלת גישה ע"י Database Firewall.

בצורה כזו, ניתן לאפשר גישה לכל הרשומות, אך בו בזמן לחסום גישה למידע רגיש גם דרך כלי SQL. מי שיטען שלצורך ניהול בסיס נתונים ברמת DB או ניתוח סטטיסטי לצורך ניתוח אסטרטגי של השוק לצרכי שיווק, הוא חייב לראות את כל הרשומות, נוכל לא לאפשר גישה לפרטי כרטיס אשראי או מידע רגיש אחר שאינו שדה אינדקס.

חשוב לזכור שהצלחת הטמעת אחד מהפתרונות לעיל תלוי לא רק בתאימות הכלי לסביבת הארגון, אלא גם לתהליך שאינו טכני. מישהו צריך לשבת עם מנהלי המידע וללמוד איזה מידע רגיש יש במערכת, איפה (סביבות/טבלאות/שדות), מי ניגש אליו וכדומה. מדובר בתהליך ארוך שדורש משאבים. עדכונים לגבי אופן המימוש שנבחר יבואו בהמשך.

תמים שנה אזרחית טובה לכולם תמים

CISO


0 Responses to “הגנה על נתונים רגישים בבסיסי נתונים/Database Security”



  1. להגיב

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


דצמבר 2007
א ב ג ד ה ו ש
« נוב   ינו »
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

%d בלוגרים אהבו את זה: