Совершенствование методов защиты в системе управления базами данных «Ред база данных»
Введение
По состоянию на сегодняшний день информационные технологии проникли во многие отрасли: медицина, управление, финансы, техника, оборона и т.д. Такая интеграция привела к тому, что организациям, работающим в вышеперечисленных сферах, приходится работать с большими объемами данных. Они в свою очередь могут подразделяться на персональные (принадлежащие сотрудникам компаний) и корпоративные (связанные с деятельностью организации). И тогда встает вопрос о защите имеющийся информации от несанкционированного доступа.
Область информационной безопасности в современном мире является одной из приоритетных и наиболее развивающихся. Во многом это стало благодаря тенденции на увеличение количества хакерских атак как на крупные организации, так и на объекты критической инфраструктуры.
Оглавление
1. Анализ исходных данных для проведения исследования 8
1.1 Основные используемые понятия. 8
1.2 Исследование регулятивных документов в области создания, функционирования и защиты СУБД 11
1.2.1 Исследование нормативно-правовой базы области создания и функционирования СУБД 11
1.2.2 Требования организационно-руководящих документов в области защиты СУБД. 18
1.3 Сравнительный анализ различных видов СУБД. 26
1.4 Сравнительный анализ моделей политики безопасности СУБД. 36
1.5 Выводы по первой главе. 44
2. Методика оценки защищенности СУБД. 45
2.1 Разработка архитектурной модели и алгоритмов функционирования защищенной СУБД. 45
2.2 Разработка методики администрирования клиентской и серверной частей СУБД. 48
2.3 Разработка методики выбора инструментария для администрирования безопасности СУБД. 52
2.4 Выводы по второй главе. 57
3. Разработка комплексной модели политики безопасности СУБД. 58
3.1 Построение структурной модели политики безопасности СУБД на основе нотации IDEF0 58
3.2 Моделирование архитектуры политики безопасности СУБД. 60
3.3 Моделирование алгоритма действий при настройке политики безопасности СУБД. 62
3.4 Моделирование пользовательского интерфейса при настройке политики безопасности СУБД 68
3.5 Выводы по третьей главе. 74
4. Практическое экспериментальное исследование на основе полученных результатов 75
4.2 Оценка эффективности полученных результатов исследования 80
Список литературы
1.Статья https://www.tadviser.ru/index.php/Статья:Потери_от_киберпреступности , раздел «Самые убыточные кибератаки для российских компаний»
2. ГОСТ Р. ИСО/МЭК 27002-2012
3. Доктрина информационной безопасности Российской федерации, утвержденная Указом президента РФ от 5 декабря 2016 года №646
4. Баранова Е.К., Бабаш А.В. «Информационная безопасность и защита информации: Учебное пособие. – 2-е издание. – М.:РИОР:ИНФРА-М,2014.
5. Мамедли Р.Э. Системы управления базами данных : Учебное пособие. – 2021.
6. ГОСТ Р ИСО МЭК ТО 10032-2007 «Эталонная модель управления данными»
7. Общероссийский классификатор продукции по видам экономической деятельности (ОКПД 2) ОК 034-2014 (КПЕС 2008) (принят и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 31 января 2014 г. N 14-ст)
8. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
9. Постановление Правительства РФ от 6 июля 2015 г. N 675"О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации"
10. Постановление Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"
Пошагово алгоритм выглядит следующим образом. На вход поступает ряд значений параметров, заданных согласно требованиям настройки определенно выбранной БД.
На следующем шаге решается вопрос настройки об определении политики безопасности пользователю, который будет использовать выбранную базу данных.
В случае, если политика безопасности уже определена и значения параметров менять не нужно, то они заводятся в программный скрипт. После готовый скрипт записывается в сконфигурированный файл. В СУБД «Ред База Данных» этот файл называется databases.conf.
Если же политика безопасности еще не определена, то следующим шагом администратор БД вводит пару логин / пароль для входа в систему. С помощью встроенных инструментов СУБД настраивается связь с БД и формируется политика безопасности под определенно заданного пользователя.
Последний блок, который мы рассмотрим, будет блок настройки параметров аудита. СУБД «Ред База Данных» позволяет проводить аудит на широкий круг событий. Аудит на них проводится посредством трех заданных конфигурируемых файла, которые будут представлены ниже. Составленный алгоритм представлен на рисунке 3.7.