Spokój w hurtowni
- Marian Łakomy,
- 10.01.2000
Dobrze dobrane mechanizmy kontrolne mogą zapewnić tajność, integralność i dostępność danych w środowisku rozproszonym.
Dobrze dobrane mechanizmy kontrolne mogą zapewnić tajność, integralność i dostępność danych w środowisku rozproszonym.
W większości przypadków hurtownie danych są projektowane i tworzone bez zajmowania się zapewnieniem ich bezpieczeństwa. Tymczasem osiągnięcie zadowalającego stanu bezpieczeństwa jest możliwe tylko wtedy, gdy problematyka ochrony zostanie uwzględniona już podczas projektowania hurtowni.
Istnieje siedem kategorii oceny zapewnienia bezpieczeństwa danych w hurtowni.
Identyfikacja
Określenie, jakie dane zapisane w hurtowni mają być udostępnione użytkownikom, powinno stanowić podstawę wszelkich działań związanych z bezpieczeństwem. Operacji tej można dokonać posługując się programami do monitorowania dostępu użytkowników do danych w bazach operacyjnych i do istniejących hurtowni: kto, kiedy i jak często używa danych.
Klasyfikacja
Przed wprowadzeniem ograniczenia użytkownikom dostępu, dane trzeba podzielić na grupy:
dane publiczne, udostępniane wszystkim użytkownikom, czasem również spoza firmy
dane poufne, dostępne tylko tym osobom, które muszą o nich wiedzieć
dane tajne, o krytycznym znaczeniu dla działalności organizacji.
Określenie wartości finansowej
Wartość danych można ocenić wed- ług nakładów potrzebnych na: ich zrekonstruowanie w razie awarii systemu, usunięcie błędów z danych celowo uszkodzonych, wymazanie danych sfabrykowanych przez konkurenta. Należy tu także wymienić koszt błędnych decyzji podjętych na skutek braku danych. Czasem trzeba również uwzględnić koszty odszkodowania za udostępnienie danych poufnych lub tajnych, straty firmy wynikłe z udostępnienia danych konkurentowi lub opublikowania ich za wcześ-nie bądź za późno.
Identyfikacja środków ochrony i ich koszty
Do tej kategorii należy włączyć koszty szkolenia użytkowników, stanowiących pierwszą barierę ochronną dla danych, oraz koszt takiego określenia struktury danych, aby można było łatwo oddzielić dane poufne od publicznych, zarówno za pomocą odpowiedniego zdefiniowania uprawnień użytkowników, jak i rozwiązań systemowych, np. przez zapisanie danych poufnych w oddzielnym systemie komputerowym lub zaszyfrowanie.
Po zidentyfikowaniu środków ochrony należy sprawdzić ich odporność na możliwe ataki. Istnieją komercyjne pakiety do wykonania takich testów. Pozwoli to lepiej określić koszt ochrony.
Wybór środków ochrony
Każda inwestycja wymaga uzasadnienia. Koszt ochrony danych nie może być większy od ich wartości, malejącej z "wiekiem". Nie warto chronić danych, których wpływ na działanie firmy jest archiwalny i wprawdzie wspomagają one podejmowanie decyzji, ale jest mało prawdopodobne, aby ktoś chciał je zdobyć, zniszczyć lub zmienić. Trzeba pamiętać o wpływie środków ochrony danych na komfort pracy użytkowników i wydajność hurtowni.
Identyfikacja słabych punktów
Istnieje wiele słabych punktów każdego systemu komputerowego. Oto kilka z nich:
System obsługi bazy danych hurtowni. Często bezpieczeństwo danych jest realizowane przez ograniczenie dostępu za pomocą określenia uprawnień do widoków z bazy. Łatwo je ominąć dokonując bezpośredniego, awaryjnego zapisu danych (dump) do pliku dyskowego.
Ograniczenia ziarnistości dostępu do danych. Wiele baz nie radzi sobie z różnymi poziomami ważności danych.
Niezgodne ze sobą funkcje ochronne systemu operacyjnego i bazy danych mogą pozostawić "dziury" w ochronie.
Przypadki losowe: pożar, awaria sieci komputerowej.
Systematyczna ocena ochrony
Nie istnieją środki zabezpieczające, których nie można pokonać. Jeżeli mamy cenne dane, należy liczyć się z tym, że będą one stale atakowane w sposób adekwatny do użytych środków ochrony. Trzeba być stale przygotowanym na odpieranie ataków i modyfikację strategii ochrony danych w miarę przybywania cennych danych.