Добавлен: 26.10.2023
Просмотров: 78
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Определение данных подразумевает создание, редактирование и удаление различных объектов базы данных, таких как таблицы (tables), табличные представления (views), синонимы (synonyms), хранимые процедуры, профили пользователя и т.п. Определение параметров доступа к данным – это процесс награждения или лишения объектов базы данных различного рода разрешениями, привилегиями и полномочиями, например, предоставление конкретному пользователю базы данных (имеется в виду объект типа user/schema, который определяет права доступа к разделам базы данных в распределенных СУБД, например, в Oracle) возможности осуществлять запросы к конкретной таблице. Управление транзакциями, в самом простом варианте, сводится к возможности сохранить текущие изменения, накопившиеся в результате выполнения последовательности запросов манипуляции данными или целиком их все отменить.
Чаще всего, под SQL запросами понимается именно группа операторов манипуляции данными. Каждая отдельно взятая СУБД поддерживает ту или иную группу SQL запросов в разной мере/объеме, но, наибольшим образом, все они пересекаются именно в реализации операций манипуляции данными. По этой причине будет рассматриваться только эта группа команд: выбор, обновление, добавление и удаление записей из таблиц.
Все запросы на получение практически любых данных из одной или нескольких таблиц выполняются с помощью единственного предложения SELECT.
Обслуживание баз данных - это одна из основных обязанностей администратора системы SQL Server, так как от правильной установки параметров баз данных зависят производительность системы в целом и сохранность БД.
База данных в SQL Server - это упорядоченный, логически структурированный набор данных, который обрабатывается по определенным правилам. В БД SQL Server могут создаваться объекты, не связанные непосредственно с хранением данных: хранимые процедуры, триггеры, виды и др. - выполняют отработку данных.
В журнале транзакций фиксируются все изменения, внесенные в базу данных с момента ее полного сохранения на диске.
При создании базы данных SQL Server автоматически создает для нее журнал транзакций. SQL Server использует содержимое журнала транзакций для проверки, что определённая транзакция завершена, а также для инкрементального восстановления базы данных. SQL Server гарантирует стопроцентное завершение транзакций. Например, если во время удаления срок из таблицы исчезло электропитание, при повторном запуске SQL Server автоматически восстановит все удалённые записи и вернет таблицу к тому состоянию, которое она имела до начала удаления строк. Таким образом, используя журнал транзакций, SQL Server может гарантировать, что любая операция будет либо выполнена до конца, либо вообще не выполнена. Все изменения, вносимые в базу данных, вначале фиксируются в журнале транзакций, а затем в базе данных.
4 Разработка политики безопасности SQL сервера, базы данных и отдельных объектов базы даннях
Системы управления базами данных, в особенности реляционные СУБД, стали доминирующим инструментом хранения больших массивов информации. Сколько нибудь развитые информационные приложения полагаются не на файловые структуры операционных систем, а на многопользовательские СУБД, выполненные в технологии клиент/сервер. В этой связи обеспечение информационной безопасности СУБД, и в первую очередь их серверных компонентов, приобретает решающее значение для безопасности организации в целом. Для СУБД важны все три основных аспекта информационной безопасности конфиденциальность, целостность и доступность. Общая идея защиты баз данных состоит в следовании рекомендациям, сформулированным для класса безопасности C2 в “Критериях оценки надежных компьютерных систем”. В принципе некоторые СУБД предлагают дополнения, характерные для класса B1, однако практическое применение подобных дополнений имеет смысл, только если все компоненты информационной структуры организации соответствуют категории безопасности B.
Достичь этого непросто и с технической, и с финансовой точек зрения. Следует, кроме того, учитывать два обстоятельства. Во первых, для подавляющего большинства коммерческих орга низаций класс безопасности C2 достаточен. Во вторых, более защищенные версии отстают по содержательным возможностям от обычных “собратьев”, так что поборники секретности, по сути, обречены на использование морально устаревших (хотя и тщательно проверенных) продуктов со всеми вытекающими последстви ями в плане сопровождения.
СУБД имеют строгую внутреннюю структуру, и операции над их элементами определены довольно четко. Как правило, эти операции включают в себя четыре основных действия — поиск, вставку, удаление и замену элемента, а остальные носят вспомогательный характер и применяются довольно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев хакеры не удостаивают СУБД своим вниманием, предпочитая взламывать защиту компьютерной системы на уровне ОС и получать доступ к файлам СУБД средствами ОС. Но в тех случаях, когда используется СУБД с недостаточно надежными защитными механизмами или плохо протестированная версия СУБД, или администратор СУБД допустил ошибки при определении политики безопасности, хакер без труда преодолеет защиту, реализуемую на уровне СУБД.
Кроме того, существуют два специфических сценария атаки на СУБД, для защиты от которых применяются особые методы:
5 Технологии проведения сертификации программного средства
Сертификация проводится для подтверждения соответствия программного продукта государственным стандартам в области информационных технологий (набор стандартов, на соответствие которым будет проверяться ПС, согласуется с заказчиком), требованиям технических условий, технического задания. Список нормативных документов, на соответствие которым проверялись ПС, приводится в сертификате.
Процесс сертификации программного обеспечения включает в себя следующие этапы:
Сертификационные испытания ПС осуществляются в два этапа:
В ходе испытаний выполняют:
Добровольная сертификация программной продукции проводится по инициативе ее изготовителя с целью рекламы, повышения конкурентоспособности, обеспечения продвижения ее на отечественный рынок.
Основными целями сертификации программных средств, их систем качества и документирования, обеспечивающих ЖЦ, являются контроль и удостоверение качества технологий и продукции, гарантирование их высоких потребительских свойств. Задача состоит в повышении эффективности затрат в сфере создания и применения конечного продукта, а также улучшении объективности оценок его характеристик и конкурентоспособности. Формальной целью сертификации является подготовка и принятие решения о целесообразности выдачи документа — сертификата соответствия с учетом следующих факторов:
В международных стандартах сертификация соответствия определена как действие третьей — независимой стороны, доказывающее, что обеспечивается необходимая уверенность в том, что должным образом идентифицированная продукция, процесс или услуга соответствует конкретным стандартам и (или) другим нормативным документам. В понятие «нормативные документы» включены документы, содержащие правила, общие принципы или характеристики, касающиеся различных видов деятельности или их результатов, стандарты, технические условия, инструкции и регламенты по применению конкретной продукции или технологии.
Результатом положительных испытаний является сертификат соответствия — документ, изданный по правилам Системы сертификации, удостоверяющий, что обеспечивается необходимая уверенность в том, что должным образом идентифицированная продукция, процесс или услуга соответствует конкретным стандартам и (или) другим нормативным документам. Срок действия сертификата обычно ограничен либо по времени (например, три года), либо до проведения достаточно значительной модификации продукта или процесса. Сертификат вступает в действие с момента его регистрации в государственном или ведомственном реестре.
6 Проверка наличия и сроков действия сертификатов. Получение сертификата
Сертификат SQL Server Service Broker используется для проверки подлинности и шифрования данных взаимодействия между дочерними и родительскими серверами SQL Server. Он используется при репликации Configuration Manager для взаимодействия между серверами SQL Sever родительских и дочерних сайтов. Когда сертификат является действительным, то он используется для обычных данных взаимодействия (с шифрованием и проверкой подлинности) между серверами SQL Server. Однако если сертификат недействителен, взаимодействие между серверами SQL Server запрещено, а репликация Configuration Manager между родительскими и дочерними сайтами невозможна. Сертификат SQL Server Service Broker автоматически создается во время установки сайта, и срок его действия истекает через 30 лет после первоначального создания.
Сертификат компьютера базы данных становится недействительным в одном из следующих случаев:
Configuration Manager автоматически исправляет данный сценарий, повторно создав самозаверяющий сертификат. Срок истечения срока действия для нового созданного самозаверяющего сертификата составляет 30 лет после даты создания.
Сертификация — единственный инструмент независимой оценки эффективности реализации поставленных задач.
Необходимость в добровольной сертификации (подтверждении соответствия, аттестации, оценке соответствия и т. п.) программного обеспечения (ПО) и аппаратно-программных комплексов (АПК) может возникнуть в целом ряде случаев.
Наличие сертификата может служить конкурентным преимуществом при продвижении продукта. При прочих сходных характеристиках конкурирующих продуктов потребители будут склонны предпочесть продукт, имеющий сертификат, подтверждающий соответствие ПО или АПК предъявляемым к ним требованиям.
Чаще всего, под SQL запросами понимается именно группа операторов манипуляции данными. Каждая отдельно взятая СУБД поддерживает ту или иную группу SQL запросов в разной мере/объеме, но, наибольшим образом, все они пересекаются именно в реализации операций манипуляции данными. По этой причине будет рассматриваться только эта группа команд: выбор, обновление, добавление и удаление записей из таблиц.
Все запросы на получение практически любых данных из одной или нескольких таблиц выполняются с помощью единственного предложения SELECT.
Обслуживание баз данных - это одна из основных обязанностей администратора системы SQL Server, так как от правильной установки параметров баз данных зависят производительность системы в целом и сохранность БД.
База данных в SQL Server - это упорядоченный, логически структурированный набор данных, который обрабатывается по определенным правилам. В БД SQL Server могут создаваться объекты, не связанные непосредственно с хранением данных: хранимые процедуры, триггеры, виды и др. - выполняют отработку данных.
В журнале транзакций фиксируются все изменения, внесенные в базу данных с момента ее полного сохранения на диске.
При создании базы данных SQL Server автоматически создает для нее журнал транзакций. SQL Server использует содержимое журнала транзакций для проверки, что определённая транзакция завершена, а также для инкрементального восстановления базы данных. SQL Server гарантирует стопроцентное завершение транзакций. Например, если во время удаления срок из таблицы исчезло электропитание, при повторном запуске SQL Server автоматически восстановит все удалённые записи и вернет таблицу к тому состоянию, которое она имела до начала удаления строк. Таким образом, используя журнал транзакций, SQL Server может гарантировать, что любая операция будет либо выполнена до конца, либо вообще не выполнена. Все изменения, вносимые в базу данных, вначале фиксируются в журнале транзакций, а затем в базе данных.
4 Разработка политики безопасности SQL сервера, базы данных и отдельных объектов базы даннях
Системы управления базами данных, в особенности реляционные СУБД, стали доминирующим инструментом хранения больших массивов информации. Сколько нибудь развитые информационные приложения полагаются не на файловые структуры операционных систем, а на многопользовательские СУБД, выполненные в технологии клиент/сервер. В этой связи обеспечение информационной безопасности СУБД, и в первую очередь их серверных компонентов, приобретает решающее значение для безопасности организации в целом. Для СУБД важны все три основных аспекта информационной безопасности конфиденциальность, целостность и доступность. Общая идея защиты баз данных состоит в следовании рекомендациям, сформулированным для класса безопасности C2 в “Критериях оценки надежных компьютерных систем”. В принципе некоторые СУБД предлагают дополнения, характерные для класса B1, однако практическое применение подобных дополнений имеет смысл, только если все компоненты информационной структуры организации соответствуют категории безопасности B.
Достичь этого непросто и с технической, и с финансовой точек зрения. Следует, кроме того, учитывать два обстоятельства. Во первых, для подавляющего большинства коммерческих орга низаций класс безопасности C2 достаточен. Во вторых, более защищенные версии отстают по содержательным возможностям от обычных “собратьев”, так что поборники секретности, по сути, обречены на использование морально устаревших (хотя и тщательно проверенных) продуктов со всеми вытекающими последстви ями в плане сопровождения.
СУБД имеют строгую внутреннюю структуру, и операции над их элементами определены довольно четко. Как правило, эти операции включают в себя четыре основных действия — поиск, вставку, удаление и замену элемента, а остальные носят вспомогательный характер и применяются довольно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев хакеры не удостаивают СУБД своим вниманием, предпочитая взламывать защиту компьютерной системы на уровне ОС и получать доступ к файлам СУБД средствами ОС. Но в тех случаях, когда используется СУБД с недостаточно надежными защитными механизмами или плохо протестированная версия СУБД, или администратор СУБД допустил ошибки при определении политики безопасности, хакер без труда преодолеет защиту, реализуемую на уровне СУБД.
Кроме того, существуют два специфических сценария атаки на СУБД, для защиты от которых применяются особые методы:
-
в первом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись пред ставляет собой денежную сумму, которая хранится на личном счету хакера в банке, а округляемые числовые поля относятся к счетам других клиентов банка); -
во втором случае хакер получает доступ к полям записей СУБД, содержащим только накопляемую статистическую информацию. Задача взломщика — сформулировать запрос таким образом, чтобы множество записей, для которого собирается статистика, состояло только из одной записи.
5 Технологии проведения сертификации программного средства
Сертификация проводится для подтверждения соответствия программного продукта государственным стандартам в области информационных технологий (набор стандартов, на соответствие которым будет проверяться ПС, согласуется с заказчиком), требованиям технических условий, технического задания. Список нормативных документов, на соответствие которым проверялись ПС, приводится в сертификате.
Процесс сертификации программного обеспечения включает в себя следующие этапы:
-
подача заказчиком заявки на сертификацию; -
принятие решения по заявке на сертификацию, в том числе назначение экспертов на проведение основных работ по сертификации из числа экспертов органа по сертификации; -
оформление договора на проведение работ по сертификации; -
разработка методики проведения сертификационных испытаний ПС и согласование этой методики с заказчиком; -
проведение сертификационных испытаний ПС; -
принятие решения о выдаче Сертификата соответствия либо об отказе в выдаче Сертификата соответствия; -
оформление Сертификата соответствия.
Сертификационные испытания ПС осуществляются в два этапа:
-
технологические испытания проводятся с использованием современных методов и средств по формализованным правилам, удостоверяющим соответствие реальных количественных и качественных показателей тем, которые зафиксированы в НТД или программной документации; -
оценка, проводимая экспертами.
В ходе испытаний выполняют:
-
идентификацию объекта испытаний путем проверки характеристик идентификации программного средства (полное название ПС, версия и дата выпуска ПС, сведения о разработчике ПС, сведения о входящих в состав компонентах, основные выполняемые функции, состав программной документации); -
инсталляцию путем установки программного продукта на компьютеры, на которые до этого данный программный продукт не был установлен; -
экспертизу программной документации на соответствие требованиям Государственных стандартов ГОСТ Р ИСО/МЭК 12119— 2000 (п. 3.2), ГОСТ Р ИСО 9127-94 (пп. 5, 6.1, 6.3-6.5); -
проверку и оценку качества сертифицируемого программного продукта в соответствии с требованиями нормативных документов (список документов определяется в процессе разработки методики), проверку программного продукта на соответствие выполняемых функций по руководству пользователя и требованиям технического задания.
Добровольная сертификация программной продукции проводится по инициативе ее изготовителя с целью рекламы, повышения конкурентоспособности, обеспечения продвижения ее на отечественный рынок.
Основными целями сертификации программных средств, их систем качества и документирования, обеспечивающих ЖЦ, являются контроль и удостоверение качества технологий и продукции, гарантирование их высоких потребительских свойств. Задача состоит в повышении эффективности затрат в сфере создания и применения конечного продукта, а также улучшении объективности оценок его характеристик и конкурентоспособности. Формальной целью сертификации является подготовка и принятие решения о целесообразности выдачи документа — сертификата соответствия с учетом следующих факторов:
-
полноты, точности и достоверности исходного технического задания и спецификаций требований, представленных в документации на ПС, а также на технологию обеспечения его ЖЦ; -
достоверности и точности измерения и обобщения результатов сертификационных испытаний и получения адекватных характеристик качества конечных продуктов, документации и (или) технологических процессов их создания; -
методологии и качества интерпретации данных об объекте испытаний и (или) технологии с учетом достоверности оценок, квалификации и объективности испытателей, заказчиков и пользователей.
В международных стандартах сертификация соответствия определена как действие третьей — независимой стороны, доказывающее, что обеспечивается необходимая уверенность в том, что должным образом идентифицированная продукция, процесс или услуга соответствует конкретным стандартам и (или) другим нормативным документам. В понятие «нормативные документы» включены документы, содержащие правила, общие принципы или характеристики, касающиеся различных видов деятельности или их результатов, стандарты, технические условия, инструкции и регламенты по применению конкретной продукции или технологии.
Результатом положительных испытаний является сертификат соответствия — документ, изданный по правилам Системы сертификации, удостоверяющий, что обеспечивается необходимая уверенность в том, что должным образом идентифицированная продукция, процесс или услуга соответствует конкретным стандартам и (или) другим нормативным документам. Срок действия сертификата обычно ограничен либо по времени (например, три года), либо до проведения достаточно значительной модификации продукта или процесса. Сертификат вступает в действие с момента его регистрации в государственном или ведомственном реестре.
6 Проверка наличия и сроков действия сертификатов. Получение сертификата
Сертификат SQL Server Service Broker используется для проверки подлинности и шифрования данных взаимодействия между дочерними и родительскими серверами SQL Server. Он используется при репликации Configuration Manager для взаимодействия между серверами SQL Sever родительских и дочерних сайтов. Когда сертификат является действительным, то он используется для обычных данных взаимодействия (с шифрованием и проверкой подлинности) между серверами SQL Server. Однако если сертификат недействителен, взаимодействие между серверами SQL Server запрещено, а репликация Configuration Manager между родительскими и дочерними сайтами невозможна. Сертификат SQL Server Service Broker автоматически создается во время установки сайта, и срок его действия истекает через 30 лет после первоначального создания.
Сертификат компьютера базы данных становится недействительным в одном из следующих случаев:
-
Сертификат SQL Server Service Broker вручную удаляется из хранилища сертификатов. -
Истек срок действия сертификата SQL Server Service Broker. -
Сопоставление сертификата SQL Server Service Broker со входом SQL Server было отменено.
Configuration Manager автоматически исправляет данный сценарий, повторно создав самозаверяющий сертификат. Срок истечения срока действия для нового созданного самозаверяющего сертификата составляет 30 лет после даты создания.
Сертификация — единственный инструмент независимой оценки эффективности реализации поставленных задач.
Необходимость в добровольной сертификации (подтверждении соответствия, аттестации, оценке соответствия и т. п.) программного обеспечения (ПО) и аппаратно-программных комплексов (АПК) может возникнуть в целом ряде случаев.
Наличие сертификата может служить конкурентным преимуществом при продвижении продукта. При прочих сходных характеристиках конкурирующих продуктов потребители будут склонны предпочесть продукт, имеющий сертификат, подтверждающий соответствие ПО или АПК предъявляемым к ним требованиям.