 |
Глава 2. Развернутая модель системы защиты данных в информационной базе
|
|
|
|
Введение
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.
Целью данной курсовой работы является изучение методов защиты информации и проектирование системы защиты данных в информационной базе. Для достижения данной цели необходимо:
· Определить предметную область изучения.
· Определить требования пользователей к системе защиты
· Описать пути реализации данной информационной системы
Глава 1. Основные понятия и методы защиты данных
Интерес к вопросам защиты информации в последнее время вырос, что связывают с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением использования сетей, а, следовательно, и возможностей не санкционированного доступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Инфopмaция, циpкулиpующaя в ниx, мoжeт быть нeзaкoннo измeнeнa, пoxищeнa или уничтoжeнa. Поэтому основной проблемой, которую должны решить проектировщики при создании системы защиты данных в ИБ, является проблема обеспечения безопасности хранимых данных, предусматривающая разработку системы мер обеспечения безопасности, направленных на предотвращения несанкционированного получения информации, физического уничтожения или модификации защищаемой информации. Вопросы разработки способов и методов защиты данных в информационной базе являются только частью проблемы проектирования системы защиты в ЭИС и в настоящее время получили большую актуальность.
|
|
|
Чтобы разработать систему защиты, необходимо, прежде всего, определить, что такое «угроза безопасности информации», выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным.
Предлагаем под «угрозой безопасности информации» понимать «действие или событие, которое может привести к разрушению, искажению или не санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и обрабатываемые средства».
Случайные угрозы включают в себя ошибки, пропуски и т. д., a тaкжe события, независящие oт человека, например природные бедствия. Бедствия бывают природными или вызванными деятельностью. Меры защиты от них - в основном, организационные. K ошибкам аппаратных и программных средств относятся повреждения компьютеров и периферийных устройств (дисков, лент и т.д.), ошибки в прикладных программах и др.
К ошибкам по невниманию, довольно часто возникающим во время технологического цикла обработки, передачи или хранения данных, относятся ошибки оператора или программиста, вмешательство во время выполнения тестовых программ, повреждение носителей информации и др.
Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал организации, сервисное звено и т.д.), так и люди, внешние по отношению системе, так называемые «хакеры». На примере практической деятельности коммерческих банков можно перечислить основные виды угроз безопасности хранимой информации средства их реализации, к которым отнесли:
|
|
|
копирование и кража программного обеспечения;
несанкционированный ввод данных;
изменение или уничтожение данных на магнитных носителях;
саботаж;
- кража информации;
-раскрытие конфиденциальной информации, используя несанкционированный доступ к базам данных, прослушивание каналов и т.п.;
компрометация информации посредством внесения не санкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений;
несанкционированное использование информационных ресурсов может нанести определенный ущерб, который может варьироваться от сокращения поступления финансовых средств до полного выхода ЭИС из строя;
ошибочное использование информационных ресурсов может привести к разрушению, раскрытию или компрометации информационных ресурсов, что является следствием ошибок, имеющихся в программном обеспечении ЭИС;
не санкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания хранимой информации;
отказ в обслуживании представляет собой угрозу, источником которой может являться ЭИС, особенно опасен в ситуациях, когда задержка с предоставлением информационных ресурсов, необходимых для принятия решения, может стать причиной нерациональных действий руководства предприятия.
Под «несанкционированным доступом» понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничения, являющейся составной частью системы защиты информации. Субъекты, совершившие не санкционированный доступ к информации, называются нарушителями. Нарушителем может быть любой человек из следующих категорий: штатные пользователи ЭИС; сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение системы; обслуживающий персонал (инженеры); другие сотрудники, имеющие санкционированный доступ к ЭИС.
|
|
|
С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабатываемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного разрушения работоспособности ЭИС.
Действия нарушителя мoжнo разделить нa четыре основные категории:
· Прерывание - прекращение нормальной обработки информации, например, вследствие разрушения вычислительных средств.
· Кража - чтение или копирование информации с целью получения данных, которые могут быть использованы злоумышленником или третьей стороной
· Видоизменение информации
· Разрушение - необратимое изменение информации, например, стирание с диска
Для обеспечения защиты хранимых данных используется несколько методов и механизмов их реализации. В литературе выделяют следующие способы защиты:
физические (препятствие);
законодательные;
управление доступом;
криптографическое закрытие.
Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от «внешних» злоумышленников и не защищают информацию от тех лиц, которые обладают правом входа в помещение.
Законодательные средства защиты составляют законодательные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушения этих правил.
Управление доступом представляет способ защиты информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). В автоматизированных системах информационного обеспечения должны быть регламентированы порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т. д. Управление доступом предусматривает cлeдующиe функции зaщиты:
|
|
|
идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора - имeни, кoдa, пapoля и т. п);
аутентификацию - опознание (установление подлинности) объекта или субъекта по предъявляемому им идентификатору;
авторизацию - проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
разрешение и создание условий работы в пределах установленного регламента;
регистрацию (протоколирование) обращений к защищаемым ресурсам;
реагирование (сигнализация, отключение, Развернутая модель системы защиты данных в информационной базе задержка работ, отказ в запросе) при попытках несанкционированных действий.
Самым распространенным методом установления подлинности является метод паролей. Пароль представляет собой строку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т. п.). Если введенный пароль соответствует хранящемуся в памяти, то пользователь получает доступ ко всей информации, защищенной этим паролем. Пароль можно использовать и независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т. д.
Глава 2. Развернутая модель системы защиты данных в информационной базе
|
|
|
