Разработка защиты базы данных предприятия от несанкционированного доступа к серверу
ВВЕДЕНИЕ
Информация — это ресурс, имеющий для каждого предприятия определенную стоимость и подлежащий защите. Обеспечение информационной безопасности — это защита информации от различных видов угроз с целью обеспечить нормальный режим работы, успешное развитие бизнеса, минимизацию деловых рисков и личную безопасность сотрудников.Информация представляется в различных формах. Она может быть на бумаге, в электронной форме, демонстрироваться в фильмах или других формах медиа, а также озвучена в разговоре. Вне зависимости от ее формы чона должна быть должным образом защищена.Информация, информационные ресурсы и средства информатизации подвержены широкому спектру угроз, как мошенничество, промышленный шпионаж, саботаж, вандализм, пожары, затопления и прочее. Случаи ущерба в результате заражения вирусами, внедрения программ-закладок, несанкционированного доступа или модификации конфиденциальной информации происходят все чаще в деятельности предприятий.Реализация угроз может привести к значительному ущербу и принести существенные убытки, снижения деловой активности, временного или полного прекращения деятельности. Для предотвращения реализации угроз предпринимаются меры, как безусловное выполнение правил и процедур работы с информационной системой, определенных политикой безопасности, использование средств защиты информации, контроль со стороны уполномоченных сотрудников за выполнением сотрудниками своих обязанностей по обеспечению информационной безопасности.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ ПО СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ БАЗ ДАННЫХ
1 Основные понятия о базах данных
2 Анализ нормативно-правовых документов в области защиты баз данных
3 Методы и средства защиты информации
4 Особенности защиты информации в базах данных
АНАЛИЗ ОБЪЕКТА ЗАЩИТЫ
1 Определение сведений, подлежащих защите
2 Анализ структуры базы данных
3 Определение угроз безопасности
РАЗРАБОТКА СЗИ БД ПРЕДПРИЯТИЯ
1 Формирование требований к мерам защиты информации базы данных
2 Формирование требований к внедрению и настройке средств защиты информации базы данных предприятия
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
Белкин П.Ю. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных /П.Ю.Белкин, О.О.Михальский, А.С. Першаков и др.- М.: Радио и связь– С. 143-149.
Вьюкова Н. Информационная безопасность систем управления базами данных [Электронный ресурс]. – Режим доступа: http:www.citforum.ru/database/ kbd96/index.shtml. – Загл.с экрана.
Иванов В.В. Идентификация, аутентификация…лояльность! / В.В.Иванов // Специальная Техника. – 2006. - №2. – 312 с.
Козленко Л. Информационная безопасность в современных системах управления базами данных / Л.Козленко // КомпьютерПресс. – 2002. - №3. – 123 с.
Пирогов В. SQL Server 2005: программирование клиент-серверных приложений/ В.Пирогов. – СПб.: БХВ-Петербург,2006. – 321 с.
Тесленко И. М. Производственное освещение: учеб. пособие / И.М. Тесленко. – Хабаровск: Изд-во ДВГУПС – с. 25
Радько Н.М. Противодействие вирусным атакам на сетевые структуры на основе риск-оценки / Н.М., Л.В. Паринова, Ю.Г. Пастернак, К.А. Разинкин // Информация и безопасность. Т.16. Ч. 4. – с. 502
Шумейко В. Безопасность информационных сетей и баз данных. Методическое руководство. Составители: В.А. Шумейко, А.О.Башмаков.– Новосибирск: Изд-во НГТУ, 2004. – 213 с.
Но она оказывается неудовлетворительной, когда в организации нужно создать действительно многоуровневую среду защиту информации. Многоуровневая защита создается, если в вычислительной системе хранится информация, относящаяся к разным классам секретности, но часть пользователей не имеет доступа к максимально секретному классу информации.Типичный пример подобной среды – вычислительная система закрытого учреждения, в базе данных которой содержится информация, как и полностью открытая, так и совершенно секретная. При этом права пользователей могут быть разными – от допуска только к открытой информации до допуска к секретным данным. Соответственно, пользователь, имеющий низший статус благонадежности, способен выполнять свою работу в системе, содержащей сверхсекретную информацию, но никогда не должен быть допущен к ней.Обычно многоуровневая защита баз данных строится на основе модели Белл-ЛаПадула. Она предназначена для управления субъектами и объектами.В данной модели объекты доступа подвергаются классификации, при этом сформированные кассы называются классами доступа.Субъекты доступа причислены к одному из уровней благонадежности, называемых просто уровнями.Класс доступа характеризуется двумя компонентами. Первый определяет иерархическое положение класса, второй представляет множество элементов из неиерархического набора категорий, которые можно относить к любому уровню иерархии.Очевидно, что можно определить матрицу соотношений между иерархическими и неиерархическими компонентами. Но это не решит проблему многоуровневой защиты. Если некий объект классифицируется как совершенно секретный, но ему не приписана ни одна из категорий неиерархического набора, он может предоставляться иностранным правительствам, когда как менее секретный объект может иметь категорию «недоступно для иностранных правительств» и, конечно, не должен им предоставляться. Для исключения приведенных в примере аномалий создается «решетка», чтобы неиерархические компоненты каждого уровня автоматически приписывались и всем более высоким уровням.