«Безопасность баз данных» - Курсовая работа

Содержание

Введение….3

Глава 1. Проблемы защиты баз данных…5

1.1.База данных как объект защиты…5

1.2.Классификация угроз…9

Глава 2. Критерии защищенности и уязвимости…12

2.1. Целостность как критерий оценки защищенности….12

2.2. Уязвимости обработки информации в БД….17

Заключение….24

Глоссарий…26

Список источников…30

Список сокращений….32

Приложения…33

Введение

По защите информации наиболее известными в России являются труды В. Гайковича, В.П. Мельникова, С. Д. Рябко, В.Ф. Шаньгина, и др., а также работы зарубежных авторов Adleman L., , Shamir A., Shannon С. и др.

Есть две основные проблемы защиты:

 обеспечение физической целостности информации во всех устройствах и на всех этапах автоматизированной обработки информации;

 предупреждение несанкционированного использования данных, накапливаемых и обрабатываемых в системах.

Анализ литературы показывает, что защите от несанкционированного использования данных во всех странах уделялось и уделяется чрезвычайно большое внимание. Это и теоретические исследования и разработка различных средств от простейших датчиков защиты доступа на охраняемую территорию до сложнейших биометрических устройств аутентификации и автоматизированных систем контроля доступа, позволяющих надежно перекрыть потенциально возможные каналы утечки информации. Это и разработка эффективных методов, алгоритмов и протоколов криптографического закрытия информации; создание технологий виртуальных защищенных сетей VPN, межсетевых экранов, обнаружения вторжений, защиты от вирусов.

Гораздо меньше развивалось направление защиты качества данных. Одна из проблем, с которыми приходится сталкиваться при построении хранилищ данных, - это низкое качество самих данных. Симптомами проблемы являются отсутствие содержательных данных, наличие ненадежных или бессмысленных данных, присутствие дублирующих или несогласованных записей (чаще всего такие записи относятся к заказчикам компании). Такие данные не могут служить основой для принятия решений. Без решения вопроса защиты качества данных не может быть эффективной система безопасности предприятия в целом.

Наиболее разработанными являются вопросы защиты информации при передаче ее по каналам связи на большие расстояния за счет применения различных видов аппаратурной, информационной и алгоритмической избыточности. Вопросы исследования характеристик различных типов каналов и их пригодности для передачи цифровой информации, рассматривались в трудах Л.М. Финка, А.А. Харкевича и др., а также в работах зарубежных специалистов.

Однако для условий переработки информации в ИС, вопросы комплексного обеспечения защиты данных рассмотрены недостаточно. Их необходимо решать, применительно к конкретным условиям сбора, обработки и передачи информации с учетом необходимости обеспечить не только состояние защищенности обрабатываемых, хранимых и передаваемых данных от незаконного ознакомления, преобразования и уничтожения, но и состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности. В этом аспекте исследование вопросов информационной безопасности баз данных является актуальной темой курсовой работы.

Объект – базы данных.

Предмет исследования – процессы обеспечения безопасности баз данных.

Цель курсовой работы - анализ основных проблем защиты баз данных.

Задачи:

 Рассмотреть базы данных как источник защиты;

 Изучить классификацию угроз БД;

 Рассмотреть целостность как критерий защищенности;

 Изучит уязвимости в БД в процессах обработки информации.

Методы исследования. Для решения поставленных задач в данной работе использовались аналитический метод, структурно-функциональный, дескрептивный, статистический.

Выдержка из текста работы

Модели Бель- ЛаПадулы и Биба более полезны, например, в системах военной классификации для предотвращения утечки информации и ее искажения на более высоких уровнях. Напротив, модель Кларка - Вилсона более применима для бизнеса и производственных процессов, где поддержание целостности информации является основным на любом уровне классификации, хотя все три модели применимы и в правительственных, и в промышленных организациях. Модель Кларка-Вилсона считается наиболее совершенной в отношении поддержания целостности информационных систем.

И наконец, отсутствие контроля целостности в системах защиты может привести к изменению алгоритмов функционирования средств защиты информации и ядра операционной системы. Нарушение работы системы защиты возможно и вследствие сбоев в самой ИС и отсутствия механизмов восстановления безопасного состояния средств защиты, а также механизмов проверки целостности данных средств.

Угрозы и уязвимости, связанные с новыми технологиями переработки ин_формации Процессы переработки информации в связи с новыми требованиями к СУБД могут выполняться по разным технологиям и включать множество действии. Причем каждое действие может создавать дополнительную угрозу информационной безопасности. Например, простейшим способом обработки распределенной БД является загрузка данных только для чтения. Обновлением всех данных занимается только один компьютер, но копии данных только для чтения могут посылаться на множество компьютеров.

Заключение

Защита базы данных должна обеспечивать защищенность базы против любых предумышленных или непредумышленных угроз с помощью различных компьютерных и некомпьютерных средств. Периметр безопасности должен охватывать используемое оборудование, программное обеспечение, персонал и собственно данные. Компьютерные средства включают авторизацию пользователей, представления, резервное копирование и восстановление, поддержку целостности, шифрование, вспомогательные процедуры, регламентирующие работу паролей, процессы создания резервных копий и восстановления, аудит, установку и модернизацию прикладного и системного программного обеспечения. Большинство из этих функций возложено на систему управления базой данных (СУБД) - совокупность языковых и программных средств, предназначенных для создания, ведения и совместного использования БД многими пользователями.

Угрозы нарушения информационной безопасности в БД могут быть как внешними, не зависящими от процесса обработки информации, так и внутренними, проявляющимися именно в процессе обработки. Внутренние угрозы признаются сегодня наиболее опасными. Согласно статистике, наибольший ущерб причиняют неправомерные действия сотрудников самих организаций. Наиболее часто выполняются следующие неправомерные действия: допуск к информации посторонних лиц; доступ легальных пользователей к информации, на работу с которой они не имеют полномочий; ознакомление с хранящейся в БД и циркулирующей в ИС конфиденциальной информацией; несанкционированное копирование сведений, программ и данных; кража физических носителей и оборудования, приводящая к утрате информации; уничтожение информации, несанкционированная модификация документов и БД; фальсификация сообщений, отказ от авторства, отказ от факта получения информации, дезинформация; разрушение информации деструктивными программными воздействиями, в частности компьютерными вирусами; действия, приводящие к сбоям ИС.

Проблема защиты систем баз данных состоит в разработке методов и средств, обеспечивающих выполнение трех взаимосвязанных свойств системы: конфиденциальности, целостности, доступности. Эти свойства связаны не только между собой, но и со свойствами обрабатываемой информации: актуальностью, своевременностью, точностью, достоверностью.

Политика безопасности организации должна включать средства для обеспечения всех этих свойств, поскольку каждое из них значимо для эффективной защиты БД.

На любом из этапов сбора, регистрации, контроля, обработки информации, передачи данных по каналам связи возможны потери данных (нарушение их целостности). Для предотвращения потерь данных при хранении предусматриваются специальные меры защиты машинных носителей от механических повреждений и физических воздействий (например, магнитных полей). Основными причинами искажений в процессе переработки информации на ЭВМ являются: помехи; сбои и отказы аппаратуры («задир» магнитного диска, сбои электронного оборудования, стирание файлов, искажение данных при попадании в «чужую» область памяти и т.д.); недостаточная точность или ошибки в исходных данных, округление исходных, промежуточных и выходных данных; неадекватность реализованных математических моделей реальным процессам, приближенный характер используемых методов решения задач на ЭВМ (особенно итерационных методов), ошибки в программах.

Список литературы

Список использованных источников

1 Гагарина Л.Г., Кисилёв Д.В., Федотова Е.Л. Разработка и эксплуатация автоматизированных информационных систем. – М.: Финансы и статистика. 2009.

2 ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель, h**t://libt.r*/gost/downloau7gost-r-iso-mek-15408-l-2002.html

3 Конноли Т., Бегг К., Страчан А. Базы данных: проектирование, реализация и сопровождение. Теория и практика: Пер. с англ.: - М.: Вильямс, 2010.

4 Кренке Д. Теория и практика построения баз данных. - СПб: Питер, 2008

5 Лачихина А. Б. Применение СУБД MySQL в информационных системах.// Материалы сборника: Прогрессивные технологии, конструкции и системы в приборостроении и машиностроении – М.: 2009. Т.1

6 Острейковский А.В. Информационные системы. – М., ИНФРА-М. 2007.

7 Петров А.А. Компьютерная безопасность. Криптографические методы защиты. - М.: Академия, 2010

8 Смирнов С.Н. Безопасность систем баз данных. - М.: Гелиос АРВ, 2008

9 Ухлинов Л.М., Сычев М.П., Скиба В.Ю. Обеспечение безопасности информации в центрах управления полетами космических аппаратов. -М.: Издательство МГТУ им. Н.Э. Баумана, 2010

10 Хрусталёв Е.М. Агрегация данных в OLAP-кубах. h**t://w*w.iteam.r*/publications/it/section_92/article_1759/

11 Шумский А.А., Шелупанов А.А. Системный анализ в защите информации: Учебное пособие для студ. вузов/- М.: Гелиос , 2008.

Примечания

Оригинальность текста на Антиплагиат - 75%