3. 
   Язык определения доступа к данным (DCL) используется для контроля доступа к данным в базе данных. Операторы DCL применяются к привилегиям и позволяют выдавать и отбирать права на применение определенных операторов DDL и DML к определенным объектам базы данных.
   

Основными его командами являются:

• 
  GRANT (дать права)
  
• 
  REVOKE (забрать права)
  

4. 
   Язык управления транзакциями (TCL) используется для контроля обработки транзакций в базе данных. Обычно операторы TCL включают commit для подтверждения изменений, сделанных в ходе транзакции, rollback для их отмены и savepoint для разбиения транзакции на несколько меньших частей.
   

SQL реализует декларативную парадигму программирования: каждый оператор описывает только необходимое действие, а система управления базами данных принимает решение о том, как его выполнить, т.е. планирует элементарные операции, необходимые для выполнения действия и выполняет их. Тем не менее, для эффективного использования возможностей SQL разработчику необходимо понимать то, как система управления базами данных анализирует каждый оператор и создает его план выполнения.
1.8 Защита информации в базах данных
В настоящее время объём информации в мире настолько велик, что самым оптимальным методом работы с ней является база данных. База данных – это представленная в объективной форме совокупность материалов, систематизированных так, чтобы эти материалы могли быть найдены и обработаны с помощью компьютера. Её защита является одной из самых сложных задач на сегодняшний день.

Угрозы потери конфиденциальной информации стали обычным явлением, и если в системе защиты есть недостатки, то ценные данные могут оказаться в руках третьих лиц. Каждый сбой работы базы данных может парализовать работу целых корпораций, фирм, что приведет к весомым материальным потерям.

Методы защиты баз данных в различных системах управления базами данных условно делятся на две группы (анализ современных фирм Borland и Microsoft): основные и дополнительные.

К основным средствам защиты относится:

---

• 
  защита паролем;
  
• 
  шифрование;
  
• 
  разделение прав доступа к объектам базы данных;
  
• 
  защита полей и записей таблиц базы данных.
  

Защита паролем – это самый простой способ защиты базы данных от несанкционированного доступа.

Пароли устанавливаются пользователями или администраторами. Их учет и хранение выполняется системой управления базой данных. Пароли хранятся в специальных файлах системы управления базы данных в шифрованном виде. После ввода пароля пользователю предоставляется доступ к требуемой информации.

Несмотря на простоту парольной защиты, у неё имеется ряд недостатков. Во-первых, пароль уязвим, особенно если он не шифруется при хранении в системе управления базой данных. Во-вторых, пользователю надо запоминать или записать пароль, а при небрежном отношении к записям пароль может стать достоянием других.

Более мощным средством защиты данных является шифрование. Шифрование – это процесс перевода информации по определенному алгоритму в вид непригодный для чтения, в целях защиты от несанкционированного просмотра или использования. Важной особенностью любого алгоритма шифрования является использование ключа, который утверждает выбор конкретного метода кодирования из всех возможных. В основном применяется для защиты уязвимых данных.

Шифрование обеспечивает три состояния безопасности информации:

• 
  конфиденциальность;
  
• 
  целостность;
  
• 
  идентифицируемость.
  

В целях контроля использования основных ресурсов системы управления базы данных во многих системах имеются средства установления прав доступа к объектам базы данных. Права доступа определяют возможные действия над объектами. Владелец объекта, а также администратор базы данных имеют все права. Остальные пользователи имеют те права и уровни доступа к объектам, которыми их наделили.

Разрешение на доступ к конкретным объектам базы данных сохраняется в файле рабочей группы.

Файл рабочей группы содержит данные о пользователях группы и считывается во время запуска. Файл содержит следующую информацию: имена учетных записей пользователей, пароли пользователей, имена групп, в которые входят пользователи.

---

К дополнительным средствам защиты баз данных можно отнести следующие средства:

• 
  встроенные средства контроля значений данных в соответствии с типами:
  
• 
  повышение достоверности вводимых данных:
  
• 
  обеспечения целостности связей таблиц:
  
• 
  организации совместного использования объектов базы данных в сети.
  

Описанные выше методы и способы являются основополагающими, однако их использование не гарантирует полной сохранности данных. Для повышения уровня безопасности информации в базе данных рекомендуется использование комплексных мер.
1.9 Стандартизация защищенности программ
Общие критерии оценки защищённости информационных технологий, Общие критерии, ОК (англ. Common Criteria for Information Technology Security Evaluation, Common Criteria, CC) — российский и международный стандарт по компьютерной безопасности. В отличие от стандарта FIPS 140, Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.

Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.

Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.

Первая группа определяет элементарные сервисы безопасности:

• 
  FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
  
• 
  FIA — идентификация и аутентификация;
  
• 
  FRU — использование ресурсов (для обеспечения отказоустойчивости).
  

---

Вторая группа описывает производные сервисы, реализованные на базе элементарных:

• 
  FCO — связь (безопасность коммуникаций отправитель-получатель);
  
• 
  FPR — приватность;
  
• 
  FDP — защита данных пользователя;
  
• 
  FPT — защита функций безопасности объекта оценки.
  

Третья группа классов связана с инфраструктурой объекта оценки:

• 
  FCS — криптографическая поддержка (обслуживает управление криптоключами и крипто-операциями);
  
• 
  FMT — управление безопасностью;
  
• 
  FTA — доступ к объекту оценки (управление сеансами работы пользователей);
  
• 
  FTP — доверенный маршрут/канал;
  

Требования гарантии безопасности (доверия) — требования, предъявляемые к технологии и процессу разработки и эксплуатации объекта оценки. Разделены на 10 классов, 44 семейства, 93 компонента, которые охватывают различные этапы жизненного цикла.

Первая группа содержит классы требований, предшествующих разработке и оценке объекта:

• 
  APE — оценка профиля защиты;
  
• 
  ASE — оценка задания по безопасности.
  

Вторая группа связана с этапами жизненного цикла объекта аттестации:

• 
  ADV — разработка, проектирование объекта;
  
• 
  ALC — поддержка жизненного цикла;
  
• 
  ACM — управление конфигурацией;
  
• 
  AGD — руководство администратора и пользователя;
  
• 
  ATE — тестирование;
  
• 
  AVA — оценка уязвимостей;
  
• 
  ADO — требования к поставке и эксплуатации;
  
• 
  АMA — поддержка доверия-требования, применяется после сертификации объекта на соответствие общим критериям.
  

1.10 Сертификация и порядок её проведения

---

Основной целью сертификации технологий проектирования и производства систем и программных средств является защита интересов пользователей, государственных и ведомственных интересов на основе контроля качества продукции, обеспечения их высоких потребительских свойств, повышения эффективности затрат в сфере их производства, эксплуатации и сопровождения, повышения объективности оценок характеристик и обеспечения конкурентоспособности конечного продукта. Проведение сертификации систем качества предприятия обычно планируется для достижения одной или нескольких целей:

• 
  определения соответствия или несоответствия элементов
  

системы качества установленным требованиям производства;

• 
  определения эффективности внедренной системы качества
  

предприятия с точки зрения соответствия поставленным целям для

• 
  обеспечения качества продукции;
  
• 
  обеспечения возможности предприятию улучшить свою сис-
  

тему качества;

• 
  определения соответствия системы качества производства
  

регламентирующим требованиям.

Обязательная сертификация необходима для программных продуктов и их производства, выполняющих особо ответственные функции, в которых недостаточное качество, ошибки или отказы могут нанести большой ущерб или опасны для жизни и здоровья людей. Этот ущерб может определяться степенью безопасности применения комплексов программ в авиации, для управления в космосе, в атомной энергетике, в военных системах; или большими экономическими потерями в результате низкого качества функционирования ПС в системах государственного управления, в финансовых, банковских, транспортных системах. В подобных системах обязательная сертификация программных продуктов способствует значительному снижению риска заказчика и повышению безопасности функционирования программного продукта у потребителя до необходимого уровня. В этих случаях разработчики и поставщики программного продукта обязаны подвергать свои изделия сертификации на соответствие требованиям качества и безопасности для получения разрешения компетентных органов на их реальную эксплуатацию и применение по прямому назначению.

Добровольная сертификация применяется с целью повышения конкурентоспособности продукции, расширения сферы ее использования и получения дополнительных экономических преимуществ. Экономическими целями сертификации могут быть большие тиражи изделий при производстве, большая длительность жизненного цикла с множеством версий, снижение налогов за высокое качество, увеличение прибыли разработчиков и поставщиков программного продукта, сокращение рекламаций пользователей. Результаты сертификации должны оправдывать затраты на ее проведение вследствие получения пользователями продукции более высокого и гарантированного качества при некотором повышении ее стоимости. Таким сертификационным испытаниям подвергаются компоненты операционных систем и пакеты прикладных программ широкого применения, повышение гарантии качества, которое выгодно как для поставщиков, так и для пользователей программного продукта. В этих случаях разработчики и поставщики добровольно предоставляют программные средства для сертификации с учетом экономических оценок выгодности ее проведения для их продуктов.

---

Смотрите также файлы

• Заместитель начальника 11псч 1 псо фпс гпс гу мчс россии по Республике Коми.doc

• Администрация города нижнего новгорода.docx

• Расчет длинной линии с распределенными параметрами.docx

• Мектеп 2 жом.docx

• Симметричные криптографические системы.docx