Файл: Исследование проблем защиты информации (Возможности организации защиты информации в автоматизированных информационных системах).pdf

Учётные записи групп и пользователей хранятся в файле рабочей группы. В файле базы данных сохраняются разрешения на доступ к конкретным объектам (таблица 1).

Таблица 1 - Типы прав доступа

Права доступа	Объекты	Разрешенные действия
Открытие/запуск	БД, формы, отчеты, макросы	Открытие БД, формы или отчета, запуск макроса
Монопольный доступ	БД	Открытие БД для монопольного доступа
Чтение макета	Таблицы, запросы, формы, отчеты, макросы, модули	Просмотр объектов в режиме конструктора
Изменение макета	Таблицы, запросы, формы, отчеты, макросы, модули	Просмотр и изменение макета объектов или удаление объектов
Администратора	БД, таблицы, запросы, формы, отчеты, макросы, модули	Для баз данных: установка пароля, репликация и изменение параметров запуска. Для объектов БД: полные права на объекты и данные, в том числе предоставление прав доступа
Чтение данных	Таблицы, запросы	Просмотр данных
Обновление данных	Таблицы, запросы	Просмотр и изменение данных без их вставки и удаления
Вставка данных	Таблицы, запросы	Просмотр и вставка данных без их изменения
Удаление данных	Таблицы, запросы	Просмотр и удаление данных без их изменения и вставки

Каждый пользователь и каждая группа имеют также уникальный внутренний идентификатор, который можно дублировать в нескольких рабочих группах. MS Access при назначении права доступа к объекту базы данных сохраняет в БД внутренний идентификатор пользователя либо группы наряду с информацией о правах доступа. Таким образом, права, предоставленные пользователю или группе при копировании файла перемещаются вместе с ним в другую папку или на иной компьютер.

Права пользователя делятся на явные (определены для учетной записи пользователя) и неявные (права группы, в которую входит пользователь). Пользователь, имеющий в одной или нескольких группах явные и неявные права, пользуется правами с минимальными ограничениями из всей совокупности прав.

3. Способы защиты

Защита с использованием пароля базы данных

---

Данный способ защиты требует установки пароля на открытие базы данных для всех пользователей. Для его создания в "монопольном" режиме следует открыть файл БД, и отработать с пунктом меню Сервис→Защита→Задать пароль базы данных. «Для работы с такой базой данных в MS Access потребуется вводить пароль» [21].

Следует отметить, что это - самый эффективный способ уберечь базу от любопытствующих. Доступ к формам и таблицам без пароля невозможен даже из других баз.

Защита на уровне пользователя

Защита на уровне пользователя представляет собой наиболее распространенный и гибкий и метод реализации средств защиты БД MS Access. «Настройки защиты базы данных позволяют указать, будет использоваться специальная процедура входа пользователей или нет» [19].

Файл рабочей группы, используемый при входе в базу данных, должен содержать учетные записи групп и пользователей, которым требуется присвоить разрешения. Можно сначала присвоить разрешения группам, а пользователей добавить в них позднее.

Защиту на уровне пользователя позволяет установить мастер защиты, применяя общую схему защиты, а затем закодировать ее.

«При защите отдельных элементов базы данных, например, макета определенных объектов, когда нежелательно создание нескольких уровней доступа для различных групп пользователей, следует рассмотреть возможность защиты приложения без специальной процедуры входа, что не устраняет защиту на уровне пользователя, но существенно снижает ее для всех объектов за исключением указанных» [19].

Если не требуется установка разных уровней разрешений для различных групп пользователей, можно воспользоваться автоматической регистрацией MS Access в группе «Пользователи» с учетной записью пользователя «Admin» и разрешениями, которые определены для этой группы. Это означает, что пользователю при открытии базы данных не нужно будет вводить имя пользователя и пароль в диалоговом окне «Вход».

Данный способ позволяет защитить все или некоторые объекты базы данных, причем набор разрешений будет одинаков для каждого пользователя.

Защита на уровне пользователей из БД не удаляется.

«Office Access 2007 не предусматривает защиту на уровне пользователя для баз данных, созданных в новом формате (файлы с расширением accdb или accde). Однако при открытии базы данных из более ранней версии Access, имеющей защиту на уровне пользователя, в Office Access 2007 эти параметры будут продолжать работать.

При преобразовании подобной базы данных в новый формат приложение Access автоматически удаляет все параметры безопасности и применяет правила защиты файлов ACCDB и ACCDE» [17].

---

Изменение расширения файла

Достаточно простой способ обмануть злоумышленника - изменить расширение файла БД. Помимо этого, подобное решение позволяет связать это указанное расширение с разработанной программой, так чтобы запускалась эта программа, а не MS Access. «Желательно открывать такой файл с монопольным доступом, так как в этом случае не будет создаваться ldb файл» [21].

Еще одним способом является создание файла MDE или ACCDE (специальным образом необратимо измененный файл, не предоставляющий доступ к конструктору форм, но имеющий доступ к данным. «То есть данные могут быть изменены, а логика выполнения и внешний вид - нет. В этом формате также теряется редактирование кода VBA. Подобное решение позволяет скрыть логику программы и добавить дополнительные проверки - например наличие файла-ключа, или секретная комбинация клавиш» [17].

Кроме того, пресекаются возможность повреждения кода программы и импорта кода и дизайна форм из другой базы.

Шифрование

Шифрование базы данных представляет собой простейший способ защиты. Для предотвращения несанкционированного использования базы данных MS Access, ее можно зашифровать с помощью пароля. После этого как расшифровать БД, так и удалить пароль можно будет, лишь введя его.

В процессе шифрования происходит перемешивание данных в таблицах, что исключает несанкционированный просмотр этих данных.

При шифровании БД ее файл сжимается и становится недоступным для чтения с помощью текстовых редакторов или служебных программ.

Шифрование - это способ скрытия данных при помощи ключа или пароля. Подобное действие делает бесполезными данные в отсутствие возможности дешифрования, то есть, без ключа или пароля. Проблему управления доступом шифрование не решает, зато повышает защиту, ограничивая потери данных даже в случае обхода системы управления доступом. Зашифрованные конфиденциальные данные будут бесполезны. Несмотря на явную полезность шифрования, совсем не обязательно применять его ко всем защищаемым данным или соединениям. Конкретные наборы данных, которые стоит зашифровать, способы и алгоритмы шифрования, иерархия средств шифрования согласовываются со специалистами по информационной безопасности организации-заказчика.

«Шифрование незащищенной базы данных неэффективно, поскольку каждый сможет открыть такую базу данных и получить полный доступ ко всем ее объектам.

Шифрование обычно применяется при электронной передаче базы данных или сохранении ее на дискету, кассету или компакт-диск. Шифровать-расшифровывать базу может либо хозяин базы, либо пользователь с администраторскими привилегиями и разрешением загружать базу в монопольном режиме» [20].

---

«Чтобы зашифровать разделенную базу данных, эту процедуру нужно выполнить для ее интерфейсной и серверной части. При шифровании серверной базы данных изменяются связи с ее таблицами» [17].

«Средство шифрования в Office Access 2007 представляет собой два объединенных и улучшенных средства прежних версий — кодирование и пароли баз данных. При использовании пароля для шифрования базы данных все данные становятся нечитаемыми в других программных средствах, и для того чтобы использовать эту базу данных, пользователи должны вводить пароль. При шифровании в Office Access 2007 используется более стойкий алгоритм, чем в предыдущих версиях Access» [17].

Использование электронного ключа

«Office Access 2007 упрощает и ускоряет процесс добавления подписи и распространения базы данных. После создания ACCDB- или ACCDE-файла можно упаковать его, применить к пакету цифровую подпись, а затем распространить подписанный пакет среди других пользователей. Средство подписывания пакетов помещает базу данных в файл развертывания Access (с расширением accdc), подписывает пакет, а затем помещает пакет, подписанный кодом, в указанное расположение. Пользователи затем могут извлекать базу данных из пакета и работать непосредственно в ней, а не в файле пакета» [17].

Подпись кодом присоединяется ко всем объектам базы данных.

Чтобы воспользоваться возможностями, предоставляемыми использованием электронного ключа, нужно иметь хотя бы один доступный сертификат безопасности. При его отсутствии, сертификат можно создать с помощью средства SelfCert.

ЗАКЛЮЧЕНИЕ

Информационный бум привел к серьезным изменениям в способе выполнения своих обязанностей практически для всех профессий. Сейчас уже пользователь среднего уровня сможет выполнять работу, которую раньше делал высококвалифицированный программист. Обычный сотрудник имеет в своем распоряжении такое количество точной информации, какую раньше не имел.

Для руководителей организаций использование компьютеров и автоматизированных систем привело к появлению целого ряда проблем. Компьютерные сети предоставляют доступ к огромнейшему количеству разнообразных данных. Поэтому люди переживают о собственной безопасности информации и наличии риска, через автоматизацию и предоставление безграничного доступа к конфиденциальным, персональным или другим персональным данным. Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.

---

И так как автоматизация привела к тому, что теперь операции с компьютерной техникой выполняются простыми работниками организации, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.

Единого рецепта, обеспечивающего стопроцентной гарантии защиты данных не существует. Однако создание комплексной, продуманной информационной безопасности может свести риск потери ценнейшей информации к минимуму.

Подлежащими защите объектами базы данных являются все, хранимые в базе данных объекты: триггеры, процедуры, таблицы и представления. Каждому типу объектов соответствуют свои действия, поэтому каждому типу объектов можно определить разные права доступа.

Со­об­ще­ния о несанк­ци­о­ни­ро­ван­ном до­сту­пе к кон­фи­ден­ци­аль­ной информации или о потере данных по­яв­ля­ют­ся все чаще, что озна­чает, что без­опас­ность баз дан­ных является весь­ма ак­ту­аль­ной про­бле­мой для мно­гих ком­па­ний. Поэтому возможности защиты баз данных, предоставляемые средствами программирования, имеют большое значение при их выборе.

Абсолютно безопасных систем не существует, речь может идти лишь о надежной системе. Система может считаться надежной, в случае если она предоставляет возможность одновременной обработки данных разной степени секретности неоднородной группе пользователей и не допускает нарушения прав доступа.

Информационная безопасность невозможна без использования комплексного подхода, что требует применения широкого диапазона защитных средств, связанных в продуманную архитектуру. Многие из этих средств еще находятся в стадии становления. Такая ситуация требует постоянной сверки теоретических воззрений, сложившихся порядков и стандартов с требованиями практики и особой динамичности политики информационной. Обеспечение реальной безопасности требует качественной каждодневной работы от всех заинтересованных сторон.

Таким образом, «безопасность - это требование, а не запоздалая мысль. Правильно спроектированная инфраструктура безопасности позволяет каждому сотруднику выполнять его работу и в то же время разрешает доступ к данным только уполномоченным лицам» [10, c.4].

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. ГОСТ Р ИСО МЭК ТО 10032-2007: Эталонная модель управления данными.
2. ГОСТ Р 51275-2006. Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
3. Байдачный С., Маленко Д., Лозинский Ю. SQL Server 2005. Новые возможности для разработчиков. – М.: Солон-Пресс, 2006. – 208 с.
4. Баканов М.В., Романова В.В., Крюкова Т.П. Базы данных. Системы управления базами данных: учебное пособие. – Кемерово: Кемеровский технологический институт пищевой промышленности, 2010. – 166 с.
5. Дейт К. Дж. Введение в системы баз данных. - 8-е изд. — М.: «Вильямс», 2006.
6. Гришина Н.В. Комплексная система защиты информации на предприятии. Учебное пособие. - М.: ФОРУМ, 2011. - 240 с.
7. Голицына О. Л., Максимов Н. В., Партыка Т. Л., Попов И. И. Информационные технологии: учебник. – М.: ФОРУМ: ИНФРА-М, 2006. – 544 с.
8. Ищейнов В.Я., Мецатунян М.В. Защита конфиденциальной информации. Учебное пособие. - М.: ФОРУМ, 2012. - 256 с.
9. Когаловский М.Р. Энциклопедия технологий баз данных. — М.: Финансы и статистика, 2002. — 800 с.
10. Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. заведений / под. ред. С. А. Клейменова. - М.: Издательский центр «Академия», 2008. - 336 с.
11. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: ИНФРА-М, 2002. - 243 с.
12. Галатенко В., Вьюкова Н. Информационная безопасность систем управления базами данных. // Citforum. [Электронный ресурс]. URL: http://citforum.ru/database/kbd96/49.shtml (дата обращения: 31.10.2017).
13. Защита базы данных Access 2007 // Support.office. [Электронный ресурс]. [Электронный ресурс]. URL: https://support.office.com/ru-ru/article/%D0%9F%D0%BE%D0%BC%D0%BE%D1%89%D1%8C-%D0%B2-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B5-%D0%B1%D0%B0%D0%B7%D1%8B-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85-Access-2007-becb6c11-6f6f-4ba1-819a-9f4767d8b1ec (дата обращения: 31.10.2017).
14. Защита базы данных Microsoft Access и ее объектов на уровне пользователя (MDB) // Office.Microsoft. [Электронный ресурс]. URL: http://office.microsoft.com/ru-ru/access-help/HP005257850.aspx (дата обращения: 31.10.2017).
15. Зашита данных в файлах mdb СУРБД Access // Accessoft. [Электронный ресурс]. URL: http://www.accessoft.ru/Text/Text204_1.html (дата обращения: 31.10.2017).
16. Защита и взлом баз данных Access // Msvb. [Электронный ресурс]. URL:http://www.msvb.narod.ru/doc_access.htm (дата обращения: 31.10.2017).
17. Прозрачное шифрование баз данных Access // Msvb. [Электронный ресурс]. URL: http://www.msvb.narod.ru/doc_encoding.htm (дата обращения: 31.10.2017).

---