Claudiu BRANDAS

Conf. univ. dr.

(c)2006-2009 Dr. Claudiu BRANDAS

� Sistemele de gestiune a bazelor de date (SGBD) reprezintă un ansamblu integrat de pachete de aplicaŃii (programe), componente hardware și proceduri prin care sunt create, stocate, modificate, actualizate şi securizate stocate, modificate, actualizate şi securizate bazele de date dintr-o organizaŃie. De exemplu cele mai cunoscute SGBD-uri ar fi: IBM DB2, Oracle, Microsoft SQL Server, MySQL, Microsoft Access (doar o aplicașie informatică pentru gestiunea bazelor de date)

(c)2006-2009 Claudiu BRANDAS

� In general arhitectura unui SGBD cuprinde:� Bazele de date (tabele, câmpuri, chei);

� Limbajul de gestiune al bazelor de date (SQL);

� Procedurile (definite tot pe baza SQL-ului) și script-urile pentru gestiunea și securizarea bazelor de date;

� Relaţiile din cadrul bazelor de date;

� Utilizatorii bazelor de date;

� Utilitarele (programe predefinite) pentru gestiunea și securizarea bazelor de date;

� Server-ul (stochează și gestionează fizic SGBD-ul);

� Clienţii (aplicaţii care accesează bazele de date);

(c)2006-2009 Claudiu BRANDAS

� Baza de date reprezintă o colecţie organizată de date din cadrul unui sistem informaţional.

� Baza de date cuprinde tabelele, câmpurile, relaţiile și restricţiile din cadrul acesteia.

� De exemplu: Baza de date cu stocurile de mărfuri conţine în general următoarele tabele:

� Nomenclator_marfuri (codprodus [PK])

� Furnizori (cuifurnizor [PK])

� Clienti (cuiclient [PK])Clienti (cuiclient [PK])

� Gestiuni (codgestiune [PK])

� Facturi_de_achizitie (seriefactura&nrfactura [PK]; cuifurnizor [FK])

� Receptii

� Transferuri

� Vanzari

� Facturi_de_vanzare

� Stoc_de_marfuri

(c)2006-2009 Claudiu BRANDAS

� Pierderea consistenţei bazei de date:� datorită structurii redundante a tabelelor bazei de date. Grupuri de câmpuri

care se repetă în mai multe tabele (de exemplu CUI, DENCLI, ADRESA, BANCA, IBAN);

� datorită existenŃei înregistrărilor nule pentru câmpuri care identifică apartenenŃa fenomenului economic (ex: data operaţiei, gestiunea, clientul, furnizorul, secţia, grupa de produse);

� Pierderea integrităţii bazei de date: � datorită lipsei cheilor primare pentru câmpurile care necesită restricŃii de

integritate referenţială (de exemplu: seriefactura, nrfactura, CIF, nrinventar, nrmatricol);datorită inexistenŃei restricŃiilor de integritate referenŃială (relaţiile de tip cheie � datorită inexistenŃei restricŃiilor de integritate referenŃială (relaţiile de tip cheie primara [PK] – cheie străină [FK];

� Acces neautorizat la bazele de date (bazele de date pot fi accesate de către orice utilizator cu drept de modificare, ştergere, copiere, etc).

� Pierderea intenţionată (fraudă) sau accidentală (eroare) a bazei de date datorită inexistenŃei copiilor de siguranŃă ale BD (backup-uri).

� Indisponibilitatea server-ului SGBD-ului: � datorită inexistenţei protecţiei contra întreruperilor în alimentarea cu energie

electrică;� blocarea protocpalelor de comunicaţie; � blocarea sistemului de operare.

(c)2006-2009 Claudiu BRANDAS

� existenţa unor proceduri de proiectare și normalizare a bazelor de date;

� existenţa unui administrator al SGBD-ului numit pe baza unei proceduri de selecţie și evaluare;

� definirea restricţiilor de cheie primară;� definirea restricţiilor de integritate referenţială;

definirea și monitorizarea profilurilor utilizatorilor bazelor � definirea și monitorizarea profilurilor utilizatorilor bazelor de date în funcșie de dreprurile de acces ale acestora;

� existenţa unor puncte de verificare și refacere (“checkpoints”) a relaţiilor din cadrul structurii bazei de date;

� existenţa unor proceduri pentru crearea copiilor de siguranţă și recuperarea bazelor de date;

� implementarea unui sistem de jurnalizarea (“log”) a tuturor operaţiilor din cadrul SGBD-ului;

� monitorizarea prin aplicaţii specifice a performanţelor SGBD-ului.

(c)2006-2009 Claudiu BRANDAS

� identificarea și localizarea SGBD-ului;� identificarea persoanelor care se ocupă cu administrarea

SGBD-ului;� identificarea aplicaŃiilor informatice de gestiune care

utilizează SGBD-ul;� identificarea BD-urilor la nivelul fiecărei aplicaţii

informatice de gestiune sau ale altor clienţi care informatice de gestiune sau ale altor clienţi care accesează baza de date;

� identificarea schemelor bazelor de date (tabele, câmpuri, chei primare, relaţii);

� analiza relaŃiilor dintre tabelele BD pentru determinarea integrităŃii referenŃiale;

� identificarea şi testarea câmpurilor în care nu trebuie permis a se înregistra nul-uri;

� identificarea politicilor şi procedurilor pentru crearea copiilor de siguranŃă și verificarea reconstituirii copiilor de siguranŃă.

(c)2006-2009 Claudiu BRANDAS

Studiu de caz – BCOMM Audit Manager

Studiu de caz – Audit IBM DB2

Studiu de caz – Audit Oracle

(c)2006-2009 Claudiu BRANDAS

Studiu de caz – Audit Oracle

Studiu de caz – Audit MS SQL Server

� http://www-01.ibm.com/software/data/db2imstools/db2tools/db2ame/

� http://publib.boulder.ibm.com/infocenter/db2luw/v9r7/index.jsp?topic=/com.ibm.db2.luw.admin.sec.doc/doc/c0005483.html

� http://www.securityfocus.com/infocus/1689� http://www.oracle-base.com/articles/8i/Auditing.php� http://www.oracle.com/technology/products/audit-� http://www.oracle.com/technology/products/audit-

vault/index.html� http://www.integrigy.com/security-

resources/whitepapers/Integrigy_Oracle_11i_Auditing.pdf� http://msdn.microsoft.com/en-us/library/cc280386.aspx� http://technet.microsoft.com/en-us/library/dd277388.aspx� http://www.sql-server-

performance.com/articles/audit/index.aspx� http://bcommam.bcomm.biz� http://www.idera.com/Products/SQL-Server/SQL-compliance-

manager/

(c)2006-2009 Claudiu BRANDAS