Безопасность и целостность БД - Информационные технологии в профессиональной деятельности
Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:
- - необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки; - необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности); - необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).
Требования по обеспечению безопасности в различных ИС могут существенно отличаться, однако они всегда направлены на достижение трех основных свойств:
- - целостность - информация, на основе которой принимаются решения, должна быть достоверной и точной, защищенной от возможных непреднамеренных и злоумышленных искажений; - доступность (готовность) - информация и соответствующие автоматизированные службы должны быть доступны, готовы к работе всегда, когда в них возникает необходимость; - конфиденциальность - засекреченная информация должна быть доступна только тому, кому она предназначена.
Для решения проблем информационной безопасности необходимо сочетание законодательных, организационных, технологических и стандартизационных мероприятий.
Основное внимание в теории и практике обеспечения безопасности применения информационных технологий и систем сосредоточено на защите от злоумышленных разрушений, искажений и хищений программных средств и информации баз данных. Для этого разработаны и развиваются проблемно-ориентированные методы и средства защиты:
- - от несанкционированного доступа; - от различных типов вирусов; - от утечки информации по каналам электромагнитного излучения.
При этом подразумевается наличие лиц, заинтересованных в доступе к программам и данным с целью их несанкционированного использования, хищения, искажения или уничтожения.
Рассмотрим современные методы выявления и предотвращения непредумышленных угроз безопасности функционирования программных средств (ПС) и баз данных (БД), снижения соответствующих рисков до допустимого уровня и определения реального достигнутой степени безопасности использования ИС.
В связи с этим будем говорить об алгоритмической и программно-технологической безопасности, используя для краткости термины "технологическая безопасность" или просто "безопасность". В качестве основной непредумышленной угрозы будет рассматриваться наличие внутренних дефектов ПС и БД, вызванных ошибками проектирования и реализации. Факторы, определяющие технологическую безопасность сложных информационных систем:
- - показатели, характеризующие технологическую безопасность информационных систем; - требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС; - ресурсы, необходимые для обеспечения технологической безопасности ИС; - внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных; - методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных; - оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности; - методы и средства определения реальной технологической безопасности функционирования критических ИС.
Использование баз данных характеризуется следующими свойствами:
- 1. Оперативность: средства вычислительной техники позволяют осуществлять оперативный доступ к информации; 2. Полная доступность: вся информация, содержащаяся в БД, доступна для использования; 3. Гибкость: имеется возможность легко изменять состав и форму выдачи, интересующих пользователя данных, изменения в БД вносятся также достаточно просто; 4. Целостность (данных): минимизируется дублирование данных, предоставляется возможность упорядочения и согласованности данных а также работ по их обновлению.
С общими характеристиками БД связан также ряд взаимозависимых понятий:
- - Целостность БД (database integrity) - состояние БД, при котором все значения данных правильно отражают предметную область (в пределах заданных ограничений по точности и согласованности во времени) и подчиняются правилам взаимной непротиворечивости, Поддержание целостности БД предполагает ее проверку и восстановление или корректировку из любого неправильного состояния, которое может быть обнаружено. Это входит в функции администратора БД, который пользуется средствами системы управления БД. Аналогичным образом можно говорить и о целостности файла, хотя в типичных случаях файлы подвергаются менее обширным проверкам на целостность; - Защищенность БД (database security) - Наличие и характеристика средств (аппаратных, программных, организационных, технологических, юридических и т. п.) обеспечивающих предотвращение или исключение: - доступа к информации лиц, не получивших на то соответствующего разрешения; - умышленного или непредумышленного разрушения данных. - Безопасность БД (database safety) - свойство БД, которое заключается в том, что содержащиеся в ней данные не причинят вреда пользователю при правильном их применении для решения любых функциональных задач системы, для которой она была создана. Часто понятия "безопасность" и "защита" БД рассматриваются как синонимичные; - Эффективность БД (databaseefficiency): - степень соответствия результатов использования БД затратам на ее создание и поддержание в рабочем состоянии, в случае оценки этого показателя в денежном выражении он носит наименование экономической эффективности БД; - обобщающий показатель качества состояния и использования БД по совокупности признаков; - техническая эффективность БД Эффективность БД принято оценивать применительно к условиям их использования в конкретных автоматизированных системах.
Наиболее распространенными угрозами для баз являются:
- - несанкционированный доступ к данным через сеть Интернет; - похищение информации запросом вида SELECT*. Обеспечить защиту от угроз такого типа весьма сложно, так как их производят, в основном, аналитики, взаимодействующие с ядром БД и имеющие привилегии на всевозможные выборки данных из всех таблиц базы; - резервное копирование с целью воровства БД.
В состав типовой модели защиты БД необходимо включить следующие элементы:
- - организационные меры по обеспечению доступа к серверу; - ограничения доступа к корпоративной сети; - защита доступа к СУБД; - ограничения на использование прикладного программного обеспечения конкретным пользователем.
Для решения рассмотренных проблем можно использовать наиболее распространенные методы защиты БД: защита паролем, встроенные в СУБД средства защиты информации и мониторинга действий пользователей, идентификация пользователя и проверка его полномочий.
Каждый из этих способов имеет свои достоинства, но надо понимать, что абсолютную защиту данных обеспечить невозможно.
Также можно применить и наиболее классический способ защиты данных - зашифровать все таблицы БД при помощи достаточно стойкого крипто - алгоритма. Но это решение также имеет ряд недостатков, например, таких как потеря времени при шифровании/дешифровании данных, невозможность индексирования полей, практическая невозможность полного восстановления при системных сбоях и др.
Похожие статьи
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Проблемы информационной безопасности при использовании "облачных" технологий
В статье проводится обзор проблем информационной безопасности и потенциальных угроз, которым могут быть подвергнуты данные и приложения, развернутые в...
-
Понятие информационной безопасности Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных...
-
Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...
-
Понятие информационной технологии - Информационные технологии в деятельности органов внутренних дел
Процессы преобразования информации связаны с информационными технологиями. Технология в переводе с греческого - искусство, умение, а это не что иное как...
-
Намечающийся, хотя и контурно, поворот к сильному государству, к упорядочению отношений, как в системе государственной власти, так и в социальной сфере,...
-
Меры и средства программно-технического уровня. В рамках современных ИС должны быть доступны, по крайней мере, следующие механизмы безопасности:...
-
Виды информационных технологий - Информационные технологии в деятельности органов внутренних дел
К основным видам информационных технологий относятся следующие. Информационная технология обработки данных предназначена для решения хорошо...
-
Угрозы безопасности. Факторы угроз - Компьютерные информационные технологии
Под угрозой информационной безопасности понимается возможность осуществления действия, направленного против объекта защиты, проявляющаяся в опасности...
-
Понятие и задачи информационной безопасности - Информационная безопасность на предприятии
Перед описанием стандартов информационной безопасности следует сначала определить: что же такое информационная безопасность. Данное понятие можно...
-
Угроза безопасности информации в сети. Способы борьбы с ними - Средства и технологии интернета
Информационная безопасность - по законодательству РФ - состояние защищенности информационной среды общества, обеспечивающее ее формирование,...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
Методы обеспечения информационной безопасности - Информационная безопасность и методы ее обеспечения
По убеждению экспертов "Лаборатории Касперского", задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные...
-
Введение - Обеспечение информационной безопасности на предприятии
Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...
-
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
Классификация и анализ источников угроз и уязвимостей безопасности В информационной безопасности под угрозой понимают потенциальное событие или действие,...
-
Идентификация и оценка информационных активов Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и...
-
Информация с точки зрения информационной безопасности обладает следующими категориями: * конфиденциальность -- гарантия того, что конкретная информация...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
Основы информационной безопасности
Введение Курс с названием "Основы информационной безопасности" (Information Security) входит в целый ряд государственных образовательных стандартов по...
-
Информационная безопасность и Интернет - Информационная безопасность и методы ее обеспечения
Общение с использованием новейших средств коммуникации вобрал в себя Интернет. Всемирная информационная сеть развивается большими темпами, количество...
-
Модель нарушителя - Разработка модели системы информационной безопасности на предприятии
Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Большинство ученых в наши дни отказываются от попыток дать строгое определение информации и считают, что информацию следует рассматривать как первичное,...
-
Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...
-
В данной главе будет произведен анализ требований менеджмента информационной безопасности на основе стандартов ISO 27001 и 27002 для российских...
-
Аудит безопасности - Информационная безопасность на предприятии
Так как практической частью данного диплома является практическое применение стандарта ISO 27001, который описывает рекомендации к системе управления...
-
"ISO/IEC 27000 - серия международных стандартов, включающая стандарты, по информационной безопасности, опубликованные совместно Международной...
-
- Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...
-
Определение информационных технологий - Интеллектуальные транспортные системы: перспективы развития
Информационные технологии являются разновидностями системной организации реализации информационных процессов, которые можно отнести к классу сложных...
-
Понятие информационной системы - Компьютерные информационные технологии
Информационной системой (ИС), либо автоматизированной ИС, АИС, будем называть программно-аппаратную систему, предназначенную для автоматизации...
-
Заключение - Информационные технологии в деятельности органов внутренних дел
Нормативно-правовое регулирование в сфере использования информационных технологий является эффективной правовой основой для реализации прав граждан,...
-
Среда работы пользователя и ее настройка - Информационные технологии в профессиональной деятельности
Работа пользователя с программными продуктами должна по возможности быть комфортной и осуществляться в соответствующей программно-технической среде (тип...
-
В области менеджмента в туристском бизнесе произошли также кардинальные изменения. Современный уровень развития турбизнеса и жесткая конкуренция в этой...
-
Библиотека, традиционно являясь хранилищем информации - всех знаний, накопленных человечеством за века, может и должна стать пропагандистом...
-
Анализ, изучение и овладение принципами построения и применения информационных технологий в деятельности ОВД неразрывно связаны с изучением законов...
Безопасность и целостность БД - Информационные технологии в профессиональной деятельности