Файл: В современных условиях деятельность любой организации сопряжена с оперированием большим объемом информации, доступ к которой имеет широкий круг лиц.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.11.2023
Просмотров: 90
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Введение
В современных условиях деятельность любой организации сопряжена с оперированием большим объемом информации, доступ к которой имеет широкий круг лиц. Следствием возросшего в последнее время значения информации стали высокие требования к конфиденциальности, целостности и доступности данных. В таких условиях злонамеренные или просто некомпетентные действия всего лишь одного из сотрудников организации способны нанести непоправимый ущерб организации в целом. Речь даже может не идти о хищении ценной информации. Достаточно просто заблокировать какими-либо средствами доступ к важному информационному ресурсу на достаточно продолжительное время. Системы управления базами данных (СУБД), в особенности реляционные СУБД и экспертные системы (ЭС), стали доминирующим инструментом в области хранения, обработки и представления данных. Любой сбой в работе СУБД (ЭС), сопровождающийся потерей, хоть и временной, доступа к данным, немедленно отражается на конкурентной способности предприятия. Поэтому защита данных от несанкционированного доступа, от несанкционированной модификации или просто от их разрушения является одной из приоритетных задач при проектировании любой информационной системы. Эта проблема (проблема защиты данных) охватывает как физическую защиту данных и системных программ, так и защиту от несанкционированного доступа к данным, передаваемым по линиям связи и находящимся на накопителях, являющегося результатом деятельности как посторонних лиц, так и специальных программ вирусов. Если принять во внимание, что ядром информационной системы является СУБД, то обеспечение информационной безопасности последней приобретает решающее значение при выборе конкретных средств обеспечения необходимого уровня безопасности организации в целом. Данные в компьютерной форме сосредоточивают в физически локальном и небольшом объеме (например, на флэш-карте типа MicroSD) огромные массивы информации, несанкционированный доступ к которой или ее разрушение могут приводить порой к катастрофическим последствиям и ущербу. Возможность быстрого (и в отдельных случаях даже без следов) копирования, модификации или удаления огромных массивов данных, находящихся в компьютерной форме, в том числе и удаленно расположенных, дополнительно провоцирует злоумышленников на несанкционированный доступ к информации, ее модификацию или разрушение. 7 Вместе с тем теоретическая проработка вопросов обеспечения безопасности информации и их практическая реализация долгое время отставали от уровня развития программной индустрии СУБД, и в коммерческих продуктах средства обеспечения безопасности данных стали появляться лишь в 90-х годах прошлого столетия. Первые исследования теории и практики обеспечения безопасности данных в компьютерных системах были обусловлены, прежде всего, потребностями военной сферы, где проблема безопасности в целом, и
компьютерной безопасности в частности, стоят особенно остро. Начало этим процессам было положено исследованиями вопросов защиты компьютерной информации, проведенными в конце 70-х - начале 80-х годов национальным центром компьютерной безопасности (NCSC - National Computer Security Center) Министерства обороны США. Результатом этих исследований явилось издание Министерством обороны США в 1983 г. документа под названием «Критерии оценки надежных компьютерных систем», впоследствии по цвету обложки получившего название «Оранжевой книги». Данный документ стал фактически первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы сертификации компьютерных систем по критериям защиты информации. Подходы к построению и анализу защищенных систем, представленные в «Оранжевой книге», послужили теоретической и методологической базой для дальнейших исследований в этой сфере. В 1991 г. NCSC был издан новый документ - Интерпретация «Критериев оценки надежных компьютерных систем» в применении к понятию надежной системы управления базой данных, известный под сокращенным названием TDI или «Розовой книги», конкретизирующий и развивающий основные положения «Оранжевой книги» по вопросам создания и оценки защищенных СУБД. В современных БД и ЭС довольно успешно решаются задачи защиты конфиденциальных данных от несанкционированного доступа, обеспечения целостности и доступности данных. Обеспечение доступности данных на физическом уровне достигается путем использования отказоустойчивых устройств хранения данных, например, нескольких жестких дисков, объединенных в массив RAID. Периодическое создание резервных копий и хранение результатов всех операций в файле журнала позволяет восстановить данные практически после любого сбоя. Целостность данных обеспечивается довольно широким набором процедур, обеспечивающим достоверность и непротиворечивость данных. Современные СУБД обеспечивают логическую целостность и непротиворечивость данных уже на этапе описания модели данных. Операторы контроля доступа входят в стандарт языка запросов SQL и реализованы во многих СУБД. Но все же, несмотря на широкий диапазон средств контроля и защиты, общий уровень защищенности и СУБД и ЭС определяется возможностями используемой операционной системы, поскольку эти два компонента работают в тесной связи между собой.
Защита систем баз данных – это технологический термин, который включает в себя множество процессов, инструментов и методологий, обеспечивающих безопасность. Наиболее эффективные меры предотвращения несанкционированного доступа к информации:
-
разделение баз данных и веб-серверов; -
шифрование сохраненных файлов и резервных копий; -
регулярное обновление используемого программного обеспечения до последних версий; -
осуществлять контроль безопасности.
Последний пункт важен для защиты информации базы данных, так как в новых патчах разработчики исправляют системные ошибки – «закрывают дыры», через которые могут проникать злоумышленники. Наши специалисты сталкиваются со следующими причинами обхода защиты баз данных программы:
-
предоставление чрезмерных привилегий пользователям; -
пароли, не соответствующие современным требованиям; -
неупорядоченная конфигурация управления; -
заполненные буфера обмена; -
отказ от сервисного обслуживания системного оборудования, настройки программного обеспечения.
Надежная защита сервера базы данных – это снижение репутационных рисков, фундамент для динамичного развития бизнеса. Наша компания предотвратит административную, уголовную, дисциплинарную, имущественную ответственность за несанкционированное использование информации третьими лицами. Это актуально для компаний организаций, которые работают с личной информацией клиентов, сотрудников, поставщиков, партнеров.
Поэтому на защите доступа баз данных не стоит экономить. Работу по обеспечению безопасности следует доверять опытным, квалифицированным специалистам. Гарантируем организацию профессиональной защиты баз данных. Способы защиты, используемые нами, соответствуют современным техническим, технологическим требованиям.
1 Разработка защиты баз данных
Разработка администрирования и защиты баз данных – задача, которая стала актуальной сравнительно недавно. Поэтому еще не так много специалистов, которые наработали достаточный опыт в сфере разработки защиты базы данных. Наша компания располагает необходимыми ресурсами для создания системы администрирования, обеспечивающих надежную защиту от несанкционированных проникновений.
Технология защиты баз данных подразумевает комплексный подход. Он состоит из нескольких этапов:
-
Предметный анализ, который включает определение статуса информации, пользователей, объемно-временных характеристик обработки информации. -
Создание структуры базы данных. -
Организация восстановления БД. Один из важных элементов защиты баз данных в Access. -
Анализ эффективности функционирования БД. -
Работу с персоналом компаний, организаций, обучение регламенту работы с БД. Так обеспечивается, в том числе, и защита баз данных MYSQL. -
Организация отслеживания действий пользователей в системе. -
Отладка взаимодействия администраторов с персоналом и внешними специалистами (если это необходимо), без ущерба безопасности; -
Тестирование программ, технологий разработки и защиты баз данных на предмет работоспособности.
База данных является хранилищем определенных сведений, распределенных по обусловленной системе, и создается с целью поддержания порядка всего объема информации. Разновидности и содержание хранилища данных зависят от специфики организации. В любом формате хранения информация должна быть защищена от взлома средствами, которых насчитывается великое множество, в соответствии с разнообразием систем безопасности. При этом средства внедрения в чужие базы данных совершенствуются быстрее, чем средства для предотвращения угроз.
Кроме хранения, современные архивы позволяют своевременно составлять отчеты и анализировать их содержание. Для удобства пользователей user большинство систем адаптировано к системе Windows.
Взлом базы данных может быть произведен как с целью повреждения сведений, так и для несанкционированного доступа. Оба аспекта крайне нежелательны и влекут последствий.
1.1 Понятие угрозы безопасности
Под угрозой безопасности понимают все способы вторжения, провоцирующие причинение ущерба информации (искажение или разрушение), хищение информационных ресурсов, в том числе с целью сбыта. Возможны как случайные, так и преднамеренные угрозы.
Под случайными понимаются технические сбои, не зависящие от пользователя, – ошибки, повреждения компьютеров или носителей, природные бедствия. Ошибки по невниманию, как правило, связаны с нарушением процесса выполнения программ, и происходят чаще всего по вине сотрудников.
Преднамеренные угрозы зачастую реализуют внешние источники вторжения, то есть не имеющие отношения к организации – источнику информации. Таких «специалистов» может заинтересовать как программное обеспечение, так и обрабатываемые им сведения. Причем цели присвоения ресурсов могут быть разными: от банальной наживы до саботажа и дискриминации всего предприятия и впоследствии – разлада рабочего процесса.
1.2 Понятие защиты БД
Стоит выделить два основных подхода, которые призваны обеспечить безопасность данных:
-
Избирательное управление данными. Достаточно гибкий способ, при использовании которого разные контрагенты могут быть наделены различными полномочиями по отношению к одному и тому же элементу.
-
Обязательное управление данными. Этот способ имеет обратную схему действия, то есть база данных и все объекты библиотек распределены по уровням секретности, которые подразумевают допуск к просмотру и модификации пользователей с соответствующим уровнем доступа или выше. Дабы не нарушать всю структуру секретности, способ не дает возможности субъекту с наивысшей классификацией полномочий вносить данные в категории низшей секретности.
На обеспечение целостности и конфиденциальности сведений предприятия и средств их хранения направлена определенная система действий, исключающая несанкционированные манипуляции с информацией. Защита является надежной, если допуск в хранилище осуществляется через многоступенчатую проверку прав доступа и при этом имеется достаточный набор программных средств. В идеале система должна фиксировать любые изменения, связанные с безопасностью.
Первостепенные критерии надежности:
-
Политика безопасности данных. Направлена на мониторинг потенциальных угроз и поиск средств для их устранения. Содержит правила и нормы пользования содержимым хранилища, свойственные конкретной организации. На основании редакции политики безопасности определяются отдельные механизмы организации защиты системы. -
Гарантированность данных. Предполагает оправданность выбранных программных средств. Эта категория воплощает те механизмы, которые дают ход политике безопасности конкретной системы.
Вычислительная часть системы управления безопасностью контролирует допуск контрагентов к тем или иным операциям с данными, находящимися под защитой. Функции мониторинга при обращении субъекта соотносят допустимые для него действия.
1.3 Факторы риска
Наиболее распространенной проблемой безопасности хранилища является несанкционированный распределенный доступ к ПК, поэтому защита персонального рабочего места – отдельный важный аспект данной статьи. К слову, изначальное назначение персонального компьютера не было ориентировано на процесс защиты информации, а, скорее, на личное пользование. Риск подобной угрозы возрастает именно для содержимого ПК по следующим причинам: