Данная разработка представляет собой конспект лекции на тему "Защита и сохранность информации баз данных" по дисциплине "Информационная безопасность" и раскрывает данную тему. Данный материал может использоваться преподавателями среднеспециальных и высших учебных заведений при изучении данной дисциплины или разделов, связанных с информационной безопасностью.

Защита и сохранность информации баз данных

Обеспечение безопасности данных на предприятии представляет собой целый комплекс поэтапных мер по их защите.

Корпоративные данные большинства предприятий, организаций, как правило, хранятся в базах данных, управляемых серверами баз данных. Современные серверы баз данных должны удовлетворять следующим требованиям:

масштабируемость – отсутствие существенного снижения скорости выполнения пользовательских запросов при пропорциональном росте количества запросов и аппаратных ресурсов, используемых сервером баз данных; доступность – возможность всегда выполнить запрос;

надежность – минимальная вероятность сбоев, наличие средств восстановления данных по-

сле сбоев, инструментов резервного копирования и дублирования данных; управляемость – простота администрирования, наличие средств автоматического конфигурирования; наличие средств защиты данных от потери и несанкционированного доступа; поддержка доступа к данным с помощью Web-служб; поддержка стандартных механизмов доступа к данным.

Несоответствие сервера баз данных какому-либо из этих требований приводит к тому, что даже у неплохого по другим потребительским свойствам сервера баз данных область его применения оказывается весьма ограниченной.

Современные компьютеры - серверы представляют собой мощные персональные компьютеры, имеющие до 4- х процессоров, оперативную память до 64 Ггбайт, несколько жестких дисков с общим объемом памяти 3,6 Тбайт.

Как правило, между клиентским приложением и базой данных, хранящейся на сервере, не существует прямой связи. Между ними дополнительно встраиваются особые программные модули, позволяющие клиентскому приложению получать доступ к базе данных. Такие модули называются механизмами доступа к данным.

Существует два основные способа доступа к данным из клиентских приложений:

использование прикладного программного интерфейса; использование универсального программного интерфейса.

Прикладной программный интерфейс представляет собой набор функций, вызываемых из клиентского приложения. Такие функции инициируют передачу запросов серверу баз данных и получение от сервера результатов выполнения запросов или кодов ошибок, которые затем обрабатываются клиентским приложением.

Прикладной программный интерфейс обеспечивает быстрый доступ к данным, но может работать только с СУБД данного производителя, а замена ее повлечет за собой переписывание значительной части кода клиентского приложения.

Прикладные программные интерфейсы не подчиняются никаким стандартам и различны для разных СУБД.

Универсальный программный интерфейс обычно реализован в виде библиотек и дополнительных модулей, называемых драйверами. Библиотеки содержат некий стандартный набор функций или классов, нередко подчиняющийся той или иной спецификации, т.е. стандартизованы. Пользователь имеет возможность настроить универсальный программный интерфейс под необходимый формат базы данных, не изменяя при этом программный код клиентского приложения.

Достоинством прикладных программных интерфейсов является их высокое быстродействие, а недостатком – необходимость изменения программного кода приложения при изменении формата базы данных.

Достоинством универсальных программных интерфейсов является возможность применения одного и того же программного интерфейса для доступа к разным форматам баз данных, при том, однако, снижается быстродействие обработки данных из-за наличия дополнительного программного драйвера.

Классы защиты информационных систем

Дифференция подхода к определению средств и методов защиты основывается на обрабатываемой информации, составу ИС, структуре ИС, качественному и количественному составу пользователей и обслуживающего персонала.

Главными этапами классификации ИС являются: создания и анализ исходных данных;

поиск основных признаков ИС, нужных для классификации; анализ выявленных признаков; присвоение ИС определенного класса защиты;

К основным параметрам определения класса защищенности ИС относятся: уровень конфиденциальности информации в ИС

уровень полномочий субъектов доступа ИС к конфиденциальной информации режим обработки информации в ИС (коллективный или индивидуальный)

Выделяют девять классов защищенности ИС от НСД к информации. Каждый класс имеет минимальный набор требования по защите. Классы можно кластеризовать на 3 группы. Каждая группа имеет свою иерархию классов.

Третья группа — определяет работу одного пользователя допущенного ко всем данным АС, размещенной на носителях одного уровня конфиденциальности. Группа имеет два класса — 3Б и 3А

Вторая группа — определяет работу пользователей, которые имеют одинаковые права доступа ко всем данным ИС, хранимой и (или) обрабатываемой на носителях разного уровня конфиденциальности. Группа имеет два класса — 2Б и 2А

Первая группа — определяет многопользовательские ИС, где одновременно хранится и (или) обрабатываются данные разных уровней конфиденциальности, и не все пользователи имеют доступ к ней. Группа имеет пять классов - 1Д, 1Г, 1В, 1Б, 1А

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

управления доступом; криптографической; регистрации и учета; обеспечения целостности.

В зависимости от класса ИС в рамках этих подсистем должны быть реализованы требования в соответствии с таблицей 1.

Обозначения к таблице:

« - »: нет требования к текущему классу

« + »: есть требования к текущему классу

Таблица 1 — Требования к ИС

Подсистемы и требования	Группа 3		Группа 2			Группа 1
Подсистемы и требования	3Б	3А	2Б	2А	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+	+	+	+	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	—	—	—	+	—	+	+	+	+
к программам	—	—	—	+	—	+	+	+	+
к томам, каталогам, файлам, записям, полям записей	—	—	—	+	—	+	+	+	+
Управление потоками информации	—	+	—	—	+	+	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети)	+	+	+	+	+	+	+	+	+
выдачи печатных (графических) выходных документов	—	+	—	+	—	+	+	+	+
запуска (завершения) программ и процессов (заданий, задач)	—	—	—	+	—	+	+	+	+
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	—	—	—	+	—	+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	—	—	—	+	—	+	+	+	+
изменения полномочий субъектов доступа	—	—	—	—	—	—	+	+	+
создаваемых защищаемых объектов доступа	—	—	—	+	—	—	+	+	+
2.2. Учет носителей информации	+	+	+	+	+	+	+	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	—	+	—	+	—	+	+	+	+
2.4. Сигнализация попыток нарушения защиты	—	—	—	—	—	—	+	+	+
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	—	—	—	+	—	—	—	+	+
3.2. Шифрование информации, принадлежащей	—	—	—	—	—	—	—	—	+
различным субъектам доступа (группам субъектов) на разных ключах
3.3. Использование аттестованных (сертифицированных) криптографических средств	—	—	—	+	—	—	—	+	+
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+	+	+	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+	+	+	+	+	+	+	+	+
4.3. Наличие администратора (службы) защиты информации в АС	—	—	—	+	—	—	+	+	+
4.4. Периодическое тестирование СЗИ НСД	+	+	+	+	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+	+	+	+	+	+	+	+
4.6. Использование сертифицированных средств защиты	—	+	—	+	—	—	+	+	+

Защита и сохранность информации баз данных

Прикладные программные интерфейсы не подчиняются никаким стандартам и различны для разных

Первая группа — определяет многопользовательские

Учет носителей информации + + + + + + + + + 2

Материалы на данной страницы взяты из открытых истончиков либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.

29.03.2019