Безопасность базы данных реферат

Обновлено: 04.07.2024

Не секрет, что абсолютно безопасных систем не существует, и речь идет о надежной системе на которую можно положиться. Система считается надежной, если она с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.
Степень доверия, или надежность систем, оценивается по двум основным критериям: политика безопасности и гарантированность.
Активным компонентом защиты, включающим в себя анализ возможных угроз и выбор мер противодействия называется политикой безопасности. Набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.

Содержание работы

ВВЕДЕНИЕ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1. Защита информации. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1 Понятие защиты информации. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Защита ПК от несанкционированного доступа . . . . . . . . . . . . . . . . . . . . . . 6
Защита информации в базах данных. . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
2. Реализация защиты в некоторых СУБД. . . . . . . . . . . . . . . . . . . . . . . . . . .17
2.1 Архитектура защиты Microsoft Access. . . . . . . . . . . . .. . . . . . . . . . . . . .17
2.2 Microsoft SQL Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . .19
-Управление доступом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .19
- Тип подключения к SQL Server. . . .. . . . . . . . . . .. . .. . . . . . . . .. . . . . .. . .21
- Организация защиты.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
- Пользователи базы данных и их роли. . . . . . . . . . . . . . . . . . . . . . . . . . . .27
2.3 Безопасность данных в Oracle 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
- Ограничение доступа. . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
- Использование пакетов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3. Юридическая защита авторских прав на базы данных. . . . . . . . . . . . . . .36
ЗАКЛЮЧЕНИЕ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ . . . . .

Файлы: 1 файл

1 Защита информации.docx

Негосударственное образовательное учреждение

высшего профессионального образования

Факультет Техники и современных технологий Кафедра Информатики и автоматизации

по дисциплине База данных

Уровень образования бакалавриат

Направление Информатика и вычислительная техника 230100

Профиль Программное обеспечение вычислительной техники и автоматизированных систем

Студент (ка) 3 курса

Форма обучения Экстернат

1. Защита информации. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.1 Понятие защиты информации. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

    1. Защита ПК от несанкционированного доступа . . . . . . . . . . . . . . . . . . . . . . 6
    2. Защита информации в базах данных. . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

    2. Реализация защиты в некоторых СУБД. . . . . . . . . . . . . . . . . . . . . . . . . . .17

    2.1 Архитектура защиты Microsoft Access. . . . . . . . . . . . .. . . . . . . . . . . . . .17

    2.2 Microsoft SQL Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . .19

    -Управление доступом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .19

    - Тип подключения к SQL Server. . . .. . . . . . . . . . .. . .. . . . . . . . .. . . . . .. . .21

    - Организация защиты.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

    - Пользователи базы данных и их роли. . . . . . . . . . . . . . . . . . . . . . . . . . . .27

    2.3 Безопасность данных в Oracle 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

    - Ограничение доступа. . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

    - Использование пакетов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

    3. Юридическая защита авторских прав на базы данных. . . . . . . . . . . . . . .36

    СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ . . . . . . . . . . . . . . . . . . . . . . 42

    1 Защита информации

    1.1 Понятие защиты информации

    Защита информации — комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности (целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных).

    В то время как информационная безопасность — это общее понятие для защиты информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

    Система называется безопасной, если она, используя соответствующие аппаратные и программные средства, управляет доступом к информации так, что только должным образом авторизованные лица или же действующие от их имени процессы получают право читать, писать, создавать и удалять информацию.

    Не секрет, что абсолютно безопасных систем не существует, и речь идет о надежной системе на которую можно положиться. Система считается надежной, если она с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.

    Степень доверия, или надежность систем, оценивается по двум основным критериям: политика безопасности и гарантированность.

    Активным компонентом защиты, включающим в себя анализ возможных угроз и выбор мер противодействия называется политикой безопасности. Набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.

    В зависимости от сформулированной политики обеспечивающие безопасность системы, можно выбирать конкретные механизмы .

    Гарантированность это мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может происходить как из тестирования, так и из проверки (формальной или нет) общего замысла и исполнения системы в целом и ее компонентов.

    Гарантированность показывает, насколько уместны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за самими защитниками.

    Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Надежная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации. При рассмотрении степени гарантированное, с которой систему можно считать надежной, центральное место занимает достоверная (надежная) вычислительная база. Систему можно считать надежной если, концепция надежной вычислительной базы является центральной при оценке степени гарантированности. Надежная вычислительная база — это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит административный персонал (например, это могут быть данные о степени благонадежности пользователей). Граница достоверности вычислительной базы образует периметр безопасности.

    Главным назначением надежной вычислительной базы является выполнение функции монитора обращений, то есть контроль допустимости выполнения субъектами определенных операций над объектами. Монитор контролирует каждое обращение пользователя к программам или данным на предмет согласованности со списком действий, допустимых для пользователя.

    В следствии монитора обращений требуется выполнение трех главных свойств:

    • Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов его обхода;
    • Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования;
    • Изолированность. Монитор должен быть защищен от отслеживания своей работы.

    Ядром безопасности называется реализация монитора обращений. Это основа, на которой строятся все защитные механизмы.Кроме перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.

    1.2 Защита ПК от несанкционированного доступа

    Можно наблюдать из практики , несанкционированный доступ (НСД) представляет одну из главных угроз для злоумышленного завладения защищаемой информацией в современных АСОД. Злоумышленник – это нарушитель, намеренно идущий на нарушение. Внешний нарушитель может осуществлять НСД следующими способами:

    • через автоматизированные рабочие места, подключенные к сетям общего пользования или сетям международного обмена (например, Интернет);
    • с помощью программного воздействия на защищаемую информацию (программные закладки, вирусы и др.);
    • через элементы автоматизированной системы, которые побывали за пределами контролируемой зоны (например, съемные носители информации);

    По сравнению с большими ЭВМ для ПК опасность данной угрозы повышается, чему способствуют следующие объективно существующие обстоятельства:

    • первоначально ПК создавались именно как персональное средство автоматизации обработки информации, а потому и не оснащались специально средствами защиты от НСД;
    • современные ПК оснащены несъемными накопителями на ЖД очень большой емкости, причем информация на них сохраняется даже в обесточенном состоянии;
    • многие ПК служат коллективным средством обработки информации, что обезличивает ответственность, в том числе и за защиту информации;
    • подавляющая часть ПК располагается непосредственно в рабочих комнатах специалистов, что создает благоприятные условия для доступа к ним посторонних лиц;
    • накопители на ГД производятся в таком массовом количестве, что уже используются для распространения информации так же, как и бумажные носители.

    В итоге всего следует те пользователи , которые хотят сохранить конфиденциальность своей информации, должны хорошо позаботиться об оснащении используемой ПК высокоэффективными средствами защиты от НСД.

    Главными механизмами защиты ПК от несанкционированного доступа могут быть представлены следующими пунктами:

    • регистрация всех обращений к защищаемой информации. Ниже излагаются общее содержание и способы использования перечисленных механизмов;
    • криптографическое закрытие защищаемой информации в процессе непосредственной ее обработки;
    • разграничение доступа к элементам защищаемой информации;
    • опознавание (аутентификация) пользователей и используемых компонентов обработки информации;
    • физическая защита ПК и носителей информации.
    • криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных);

    Что касается данных, то очень важно, чтобы их могли обрабатывать только уполномоченные лица. Для предотвращения мер несанкционированного доступа к данным, вы можете использовать следующие средства:

    • пароль первое в истории и наиболее распространенное средство защиты от несанкционированного использования компьютера; хороший пароль должен быть длинным и сложным, содержать большие и маленькие буквы, цифры, и отсутствующие в обычном алфавите знаки;
    • физические ресурсы позволяют ограничить реальный доступ к носителям данных;
    • шифрование обеспечивает конфиденциальность, что делает возможным обработку данных, только доверенным лицом (лицами). В результате шифрования, читаемая форма информации меняется в нечитаемую. Вы можете ограничить доступ, как к файлам, средствам массовой информации, так и к носителям данных;
    • биометрические устройства предоставляют доступ к данным, по отпечаткам пальцев и сканируя радужную оболочку глаз.

    1.3 Защита информации в базах данных

    Основной формой организации информационных массивов в ИС являются базы данных. Базу данных можно определить как совокупность взаимосвязанных хранящихся вместе данных при наличии такой минимальной избыточности, которая допускает их использование оптимальным образом для одного или нескольких приложений. В отличие от файловой системы организации и использования информации , БД существует независимо от конкретной программы и предназначена для совместного использования многими пользователями. Такая централизация и независимость данных в технологии БД потребовали создания соответствующих СУБД - сложных комплексов программ, которые

    В самом широком смысле любая программа имеет дело с некоторой внешней по отношению к ее коду информацией, задающей какие-либо параметры или режим ее работы. Такую информацию также называют данными программы. Очевидно, что в зависимости от типа решаемых задач проблемы организации работы с данными будут качественно различными. В подавляющем большинстве случаев при решении хозяйственных… Читать ещё >

    Безопасность баз данных ( реферат , курсовая , диплом , контрольная )

    Базы данных — это тоже файлы, но работа с ними отличается от работы с файлами других типов, создаваемых прочими приложениями. Выше мы видели, что всю работу по обслуживанию файловой структуры берет на себя операционная система. Для базы данных предъявляются особые требования с точки зрения безопасности, поэтому в них реализован другой подход к сохранению данных.

    Базы данных — это особые структуры. Информация, которая в них содержится, очень часто имеет общественную ценность. Нередко с одной и той же базой работают тысячи людей по всей стране. От информации, которая содержится в некоторых базах, может зависеть благополучие множества людей. Поэтому целостность содержимого базы не может и не должна зависеть ни от конкретных действий некоего пользователя, забывшего сохранить файлы перед выключением компьютера, ни от перебоев в электросети.

    Проблема безопасности баз данных решается тем, что в СУБД для сохранения информации используется двойной подход. В части операций, как обычно, участвует операционная система компьютера, но некоторые операции сохранения происходят в обход операционной системы.

    Информационная безопасность (ИБ) — это состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. Цель информационной безопасности — защита информации и прав субъектов информационной деятельности при формировании информационных технологий, инфраструктуры и информационных ресурсов путем проведения правовых, организационных и технических мероприятий.

    Важнейшая задача компьютерных систем — хранение и обработка данных. Для ее решения были предприняты усилия, которые привели к появлению в конце 60-х — начале 70-х годов специализированного программного обеспечения — систем управления базами данных (databasemanagementsystems). СУБД позволяют структурировать, систематизировать и организовать данные для их компьютерного хранения и обработки. Невозможно представить себе деятельность современного туристического предприятия или предпреятия в сфере услуг без использования профессиональных СУБД. Несомненно, они составляют фундамент информационной деятельности во всех сферах — начиная с производства и заканчивая финансами и телекоммуникациями (10, "https://referat.bookap.info").

    В самом широком смысле любая программа имеет дело с некоторой внешней по отношению к ее коду информацией, задающей какие-либо параметры или режим ее работы. Такую информацию также называют данными программы. Очевидно, что в зависимости от типа решаемых задач проблемы организации работы с данными будут качественно различными. В подавляющем большинстве случаев при решении хозяйственных, экономических и финансовых задач приходится иметь дело с обширными специфически структурированными и взаимозависимыми массивами данных. Такие сложные наборы данных традиционно принято называть базами данных.

    Современные информационные системы, основаны на концепции интеграции данных, характеризуются огромными объемами хранимых данных, сложной организацией, необходимостью удовлетворять разнообразные требования многочисленных пользователей.

    Данная тема направлена на формирование представления о базах данных (БД), возможностях систем управления базами данных (СУБД) и их использовании.

    Конкретная реально работающая информационная система — это плод длительного и кропотливого труда большого коллектива специалистов. Информационные системы не создаются одномоментно. Их появлению предшествует огромная подготовительная работа как аналитического, так и организационного характера. Создание же системы — растянутый по времени процесс, когда к базовым возможностям добавляются все новые и новые функции. Причем все это должно делаться на едином фундаменте аппаратного и программного обеспечения. Он должен быть заложен так, чтобы интеграция новых компонентов в систему происходила максимально безболезненно и не нарушала концепции и архитектуры всей системы.

    Сегодня много говорят об объектно-ориентированных СУБД. Существуют две концепции развития объектно-ориентированного подхода применительно к СУБД. Согласно первой, создание объектно-ориентированных СУБД возможно на основе, принципиально отличной от традиционных моделей. Суть второй заключается в расширении реляционной модели объектно-ориентированными средствами. Ее преимущество — в использовании огромного пространства в информационных технологиях, занятого уже существующими, развивающимися не одно десятилетие, использующими устоявшиеся подходы реляционными СУБД, на основе которых созданы тысячи прикладных программ и систем. Если бурно развивающиеся в настоящее время объектно-ориентированные СУБД представляют собой пока научно-технические новинки, то реляционные СУБД — это отлаженные системы, реально работающие во многих областях информационной деятельности.

    Достижение поставленной цели и подтверждения гипотезы потребовало решения следующих задач:
    Выявление угроз безопасности баз данных, последствия, реализация последствий;
    Указать основные принципы обеспечения защиты информации;
    Обеспечение безопасности данных;
    Проанализировать защиту информации в среде MS SQL Server ЗАТО Александровск.

    Содержание

    ВВЕДЕНИЕ 3
    ГЛАВА 1. ИСТОЧНИКИ ВОЗНИКНОВЕНИЯ И ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ УГРОЗ БАЗ ДАННЫХ 6
    1.1. Классификация источников угроз 6
    1.2. Воздействие вредоносных прорамм 9
    1.3. Реализации возникновения угроз безопасности баз данных 12
    Выводы по первой главе 14
    ГЛАВА 2. ЗАЩИТА БАЗ ДАННЫХ И СИСТЕМА УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ 16
    2.1. Основные понятия о базах данных 16
    2.2. Методы и средства защиты информации 18
    2.3. Особенности защиты информации в базах данных 22
    Выводы по второй главе 27
    ГЛАВА 3. ЗАЩИТА ДАННЫХ В СРЕДЕ MS SQL SERVER МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ ЗАТО АЛЕКСАНДРОВСК 28
    3.1. Защита и управление доступом 28
    3.2. Администрирование системы безопасности 31
    3.3. Предоставление и отмена предоставленных привилегий пользователю 33
    Отмена предоставленных пользователям привилегий. 33
    3.4. Реализация прав на доступ к объектам баз данных в среде MS SQL Server 35
    Предоставление прав 37
    Права на выполнение команд SQL 38
    Выводы по третьей главе 40
    ЗАКЛЮЧЕНИЕ 42
    ГЛОССАРИЙ 45
    СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 47
    СПИСОК СОКРАЩЕНИЙ 50
    ПРИЛОЖЕНИЯ 51

    Вложенные файлы: 1 файл

    Защита информации в базах данных.doc

    ГЛАВА 1. ИСТОЧНИКИ ВОЗНИКНОВЕНИЯ И ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ УГРОЗ БАЗ ДАННЫХ 6

    1.1. Классификация источников угроз 6

    1.2. Воздействие вредоносных прорамм 9

    1.3. Реализации возникновения угроз безопасности баз данных 12

    Выводы по первой главе 14

    ГЛАВА 2. ЗАЩИТА БАЗ ДАННЫХ И СИСТЕМА УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ 16

    2.1. Основные понятия о базах данных 16

    2.2. Методы и средства защиты информации 18

    2.3. Особенности защиты информации в базах данных 22

    Выводы по второй главе 27

    ГЛАВА 3. ЗАЩИТА ДАННЫХ В СРЕДЕ MS SQL SERVER МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ ЗАТО АЛЕКСАНДРОВСК 28

    3.1. Защита и управление доступом 28

    3.2. Администрирование системы безопасности 31

    3.3. Предоставление и отмена предоставленных привилегий пользователю 33

    Отмена предоставленных пользователям привилегий. 33

    3.4. Реализация прав на доступ к объектам баз данных в среде MS SQL Server 35

    Предоставление прав 37

    Права на выполнение команд SQL 38

    Выводы по третьей главе 40

    СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 47

    СПИСОК СОКРАЩЕНИЙ 50

    ВВЕДЕНИЕ

    Одной из главных тенденций в современном мире является постоянное повышение роли информации.

    Обмен информацией осуществляется по международным сетям телекоммуникаций, а необходимые для подключения к ним оборудование и программы достаточно удобны, надежны, дешевы и широко доступны. Однако информация, которая передается от одного компьютера к другому, не всегда скрыта от остальных компьютеров, подключенных к той же сети. Это может привести к шпионажу, краже данных и их искажению.

    С повышением значимости и ценности информации соответственно растёт и важность её защиты.

    Защиту информации можно определить как организационные и технологические меры для ограничения доступа к информации для каких-либо лиц, а также для удостоверения подлинности и неизменности информации.

    Эта проблема на данный момент является одной из самых актуальных задач. Её можно свести к минимуму, если заранее планировать обеспечение безопасности программных продуктов [12,57].

    Главная тенденция, характеризующая развитие современных информационных технологий – рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.

    Наверное, никто не сможет назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированным доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.

    Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность без создания на нем условий для надежного функционирования системы защиты собственной информации.

    Цель данной работы – анализ методов и средств защиты информации в базах данных.

    Гипотеза исследования: создание эффективной системы защиты информации возможно только на основе комплексного подхода к проблеме.

    Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач: физическая защита ПК и носителей информации; опознавание (аутентификация) пользователей и используемых компонентов обработки информации; разграничение доступа к элементам защищаемой информации; криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных); криптографическое закрытие защищаемой информации в процессе непосредственной ее обработки; регистрация всех обращений к защищаемой информации. Ниже излагаются общее содержание и способы использования перечисленных механизмов.

    Достижение поставленной цели и подтверждения гипотезы потребовало решения следующих задач:

      • Выявление угроз безопасности баз данных, последствия, реализация последствий;
      • Указать основные принципы обеспечения защиты информации;
      • Обеспечение безопасности данных;
      • Проанализировать защиту информации в среде MS SQL Server ЗАТО Александровск.

      Объектом исследования выпускной квалификационной работы является информация.

      Предметом исследования – методы и средства защиты информации в базах данных.

      При написании выпускной квалифицированной работы использовались следующие методы исследования: изучение нормативно-правовой базы; изучение монографических публикаций и статей; анализ; наблюдение.

      Структура выпускной квалификационной работы состоит из введения, основной части, заключения, глоссарий, ссылок на использованные источники, списки использованных источников, списки сокращений, приложений.

      ГЛАВА 1. ИСТОЧНИКИ ВОЗНИКНОВЕНИЯ И ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ УГРОЗ БАЗ ДАННЫХ

      1.1 Классификация источников угроз

      Все источники угроз безопасности информации можно разделить на три основные группы:

      1) Обусловленные действиями субъекта (антропогенные источники угроз).

      2) Обусловленные техническими средствами (техногенные источники угрозы).

      3) Обусловленные стихийными источниками. [6, 153]

      Антропогенные источники угроз.

      Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорить о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

      В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

      Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:

      1) криминальные структуры;

      2) потенциальные преступники и хакеры;

      3) недобросовестные партнеры;

      4) технический персонал поставщиков сетевых услуг;

      5) представители надзорных организаций и аварийных служб;

      6) представители силовых структур.

      Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

      1) основной персонал (пользователи, программисты, разработчики);

      2) представители службы защиты информации;

      3) вспомогательный персонал (уборщики, охрана);

      4) технический персонал (жизнеобеспечение, эксплуатация).

      Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия. [9,178]

      Техногенные источники угроз.

      Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

      Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними:

      1) средства связи;

      2) сети инженерных коммуникации (водоснабжения, канализации);

      3) некачественные технические средства обработки информации;

      4) некачественные программные средства обработки информации;

      5)вспомогательные средства (охраны, сигнализации, телефонии);

      6) другие технические средства, применяемые в учреждении. [9,193]

      Стихийные источники угроз.

      Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

      Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы:

      5) различные непредвиденные обстоятельства;

      6) необъяснимые явления;

      7) другие форс-мажорные обстоятельства. [9,204]

      Воздействия вредоносных программ

      скрывать признаки своего присутствия в программной среде ОИ;

      обладает способностью к самодублированию, ассоциированию себя с
      другими программами и/или переносу своих фрагментов в иные (не занимаемые
      изначально указанной программой) области оперативной или внешней памяти;

      обладает способностью разрушать (искажать произвольным образом) код
      программ (отличных от нее) в оперативной памяти ОИ;

      обладает способностью переносить (сохранять) фрагменты информации из
      оперативной памяти в некоторых областях оперативной или внешней памяти
      прямого доступа (локальных или удаленных);


      Существует целый ряд технологий и приёмов атак на базы данных, эффективность которых зависит от конфигурации базы данных и сервера, на котором она функционирует, от того, насколько правильно спроектирована и реализована ИТ-инфраструктура и топология сети в целом, от человеческого фактора и лояльности персонала. Атаки на web-серверы и на серверы баз данных зачастую преследуют одни и те же цели, запускаются одними и теми же лицами, и имеют схожий характер. Поэтому и защита информации в базах данных строится на использовании решений, имеющих похожие принципы работы и архитектуру. Среди множества средств защиты БД можно выделить основные и дополнительные.

      К основным средствам защиты информации относят следующие:

      защита полей и записей таблиц БД.

      установление прав доступа к объектам БД;

      шифрование данных и программ;

      К дополнительным средствам защиты БД можно отнести такие, которые нельзя прямо отнести к средствам защиты, но которые непосредственно влияют на безопасность данных. Это:

      встроенные средства контроля значений данных в соответствии с типами;

      повышения достоверности вводимых данных;

      обеспечения целостности связей таблиц;

      организации совместного использования объектов БД в сети.

      По мнению экспертов компании Application Security, существует 10 основных угроз БД, которые наиболее часто игнорируются ИТ-персоналом:

      Используемые по умолчанию, пустые или слабые пароли и логины;

      Расширенные пользовательские и групповые права;

      Активизация неиспользуемых функций БД;

      Нарушение в управлении конфигурациями;

      Несвоевременное обновление ПО;

      Отказ от шифрования данных на стационарных и мобильных устройствах.

      Существует множество программных решений для защиты баз данных и обеспечения безопасности конфиденциальной информации:

      McAfee Database Security;

      Secret Disk Server NG;

      Крипто БД: защита баз данных (Oracle);

      DataSecure и другие.

      Помимо систематического применения арсенала средств защиты БД, необходимо использовать административные и процедурные меры, в частности регулярное изменение паролей пользователей, предотвращение доступа к физическим носителям информации и т.п.

      Таким образом, информационные активы составляют основу бизнеса любой организации, а базы данных являются доминирующим инструментом для хранения структурированной информации. Растущие масштабы краж критически важных данных делают все более актуальной необходимость в защите баз данных. Особенно значимым является создание системы защиты от внутренних злоумышленников. Система защиты БД играет важнейшую роль в автоматизации контроля над действиями пользователей, работающими с базами данных, защите от внешних и внутренних угроз и повышении надежности функционирования баз данных.

      Список использованных источников


      Студенческий научный форум - 2015
      VII Международная студенческая научная конференция

      Читайте также: