Файл: Исследование проблем защиты информации (Возможности организации защиты информации в автоматизированных информационных системах).pdf
Добавлен: 14.03.2024
Просмотров: 20
Скачиваний: 0
Содержание:
ВВЕДЕНИЕ
Многие услуги сети Интернет, такие как покупка и продажа информации в режиме онлайн, электронная коммерция, интернет-магазин и многие другие стали основными видами деятельности для многих предприятий, а главным инструментом управления бизнесом и важнейшим средством производства стали корпоративные информационные системы (КИС).
Важный фактор, влияющий на развитие корпоративных информационных систем предприятия, - поддержка массовых и других связей предприятий через глобальную сеть и одновременное обеспечение безопасности этих коммуникаций. Поэтому самой актуальной задачей, которая стоит перед разработчиками ИТ-технологий является решение проблем информационной безопасности, связанных с широким распространением глобальных сетей.
Задача обеспечения информационной безопасности корпоративной информационной системы решается через систему информационной безопасности (СИБ), которая определяет требования к сохранению вложенных в построение КИС инвестиций. Другими словами, система информационной безопасности должна функционировать абсолютно прозрачно для всех КИС приложений и должна быть совместима с используемыми в КИС сетевыми технологиями.
Появление новых технологий и сервисов должны учитываться создаваемой СИБ предприятия, а также удовлетворять таким требованиям, как использование интегрированных решений, применение открытых стандартов, обеспечение масштабирования в широких пределах.
Одна из главных тенденций развития средств информационной безопасности – это переход на открытые стандарты [1, стр.5].
Системы управления базами данных, в особенности реляционные СУБД, стали доминирующим инструментом хранения больших массивов информации. Сколько-нибудь развитые информационные приложения полагаются не на файловые структуры операционных систем, а на многопользовательские СУБД, выполненные в технологии клиент/сервер. В этой связи обеспечение информационной безопасности СУБД и, в первую очередь, их серверных компонентов приобретает решающее значение для безопасности организации в целом.
Согласно ГОСТ Р 51275-2006 «Объект информатизации: совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров» [2].
Слово «совокупность» подразумевает, что объект информатизации представляет собой единую информационною систему, охватывающую организацию, предприятие или учреждение в целом, поскольку все эти «объекты информатизации» обычно находятся в пределах одного предприятия и связаны между собой общими целями, задачами, технологией информационного обмена, структурными отношениями и т. д.
«Современное предприятие — большое количество разнородных компонентов, объединенных в сложную систему для выполнения поставленных целей, которые в процессе функционирования предприятия могут модифицироваться. Многообразие и сложность влияния внутренних и внешних факторов, которые часто не поддаются строгой количественной оценке, приводят к тому, что эта сложная система может обретать новые качества, не свойственные составляющим ее компонентам» [6, с.3].
Одной из важнейших проблем при построении надежной информационной структуры организации с использованием ЭВМ является обеспечение защиты информации. Понятие защиты данных включает в себя вопросы управления доступом к данным и сохранения их целостности, то есть охватывает защиту от несанкционированного доступа, равно как и физическую защиту имеющихся данных и установленных программ. Технологический же аспект данного вопроса заключается в установлении различных видов ограничений, поддерживаемых структурой СУБД и доступных пользователю.
СУБД или системы управления базами данных представляют собой доминирующий инструмент хранения крупных массивов информации. Большинство прогрессивных информационных приложений используют многопользовательские СУБД, которые выполнены в технологии клиент/сервер. В связи с этим обеспечение их информационной безопасности, в особенности серверных компонентов СУБД, становится решающим фактором для безопасности самой организации.
Основные аспекты информационной безопасности - «конфиденциальность, целостность и доступность» [15] чрезвычайно важны для СУБД.
Проблема санкционирования использования данных достаточно сложна, но главными здесь являются вопросы защиты данных от уничтожения или нежелательной модификации, либо от несанкционированного чтения.
Целью данной работы является рассмотрение возможностей организации защиты информации в автоматизированных информационных системах (АИС).
Для достижения цели необходимо решить следующие задачи:
- рассмотреть основные понятия баз данных и защиты баз данных;
- изучить проблемы безопасности баз данных;
- рассмотреть осуществление защиты информации в MS Access;
- оценить возможности защиты информации шифрованием в MS Access.
1. Защита информации
Понятие и принципы информационной безопасности
Проблема обеспечения информационной безопасности в рамках любого государства в последнее время все чаще является предметом обсуждения не только в научных кругах, но и на политическом уровне. Данная проблема также становится объектом внимания международных организаций, в том числе и ООН.
Современный этап развития общества характеризуется возрастающей ролью электронных ресурсов, представляющих собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.
Новые технологии порождают и новые преступления. Согласно унификации Комитета министров Европейского Совета определены криминальные направления компьютерной деятельности. К ним относятся:
- компьютерное мошенничество;
- подделка компьютерной информации;
- повреждение данных или программ;
- компьютерный саботаж;
- несанкционированный доступ к информации;
- нарушение авторских прав.
Актуальность проблемы информационной безопасности заключается:
- в особом характере общественной опасности возможных преступлений;
- в наличии тенденции к росту числа преступлений в информационной сфере;
- в не разработанности ряда теоретических положений, связанных с информационной безопасностью [2, стр.8].
Информационную безопасность можно определить, как невозможность нанесения вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой (рис.1).
Рисунок 1 Понятие информационной безопасности
Интересы и угрозы в области национальной безопасности
Национальные интересы России - это совокупность сбалансированных интересов личности, общества и государства в различных сферах жизнедеятельности: экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других [3, стр.12].
Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею. Основу системы обеспечения национальной безопасности РФ составляют органы, силы и средства обеспечения национальной безопасности, осуществляющие меры политического, правового, организационного, экономического, военного и иного характера, направленные на обеспечение безопасности личности, общества и государства.
В настоящее время невозможно себе представить деятельность крупных банков, промышленных и торговых предприятий, транспортных организаций, правоохранительных органов без соответствующих баз данных и высокопроизводительной вычислительной техники.
Условно можно выделить следующие составляющие национальной безопасности: экономическую, внутриполитическую, социальную, духовную, международную, информационную, военную, пограничную, экологическую.
Информатизация - характерная черта жизни современного человечества. Новейшие информационные технологии активно используются во всех сферах народного хозяйства. Компьютерная техника используется для управления космическими кораблями и самолетами, распределяют электроэнергию, следит за работой атомных электростанций, обслуживаются банковские системы и многое другое. Компьютеры - основа большого количества автоматизированных систем обработки информации, которые осуществляют обработку и хранение информации, предоставление ее потребителям, используя современные информационные технологии.
В связи с развитием и усложнением методов, средств, и способов автоматизации процессов обработки информации возросла зависимость общества от безопасности используемых им информационных технологий, Благополучие, а иногда и жизнь многих людей напрямую зависит от информационных технологий.
Проблема обеспечения безопасности информационных технологий очень важна и обусловлена такими причинами:
- высокие темпы роста разнообразия персональных компьютеров, которые находятся в обслуживании в самых разных сферах деятельности;
- резкое расширение круга пользователей, которые имеют прямой доступ к вычислительным ресурсам и базам данных;
- резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;
- повсеместное распространение сетевых технологий;
- резкое увеличение объемов информации, которая накапливается, хранится и обрабатывается компьютерами и другими средствами автоматизации;
- сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
- бурное развитие программных средств, которые не удовлетворяют даже минимальным требованиям безопасности.
Основными видами угроз безопасности АСОИ (угроз интересам субъектов информационных отношений) являются:
• стихийные бедствия и аварии;
• сбои и отказы оборудования АСОИ;
• последствия ошибок проектирования и разработки компонентов АСОИ;
• ошибки эксплуатации;
• преднамеренные действия нарушителей и злоумышленников.
Информационная безопасность информационных систем
Существуют основные требования к системе защиты информации.
- Система защиты информации должна быть представлена единым целым. Это будет выражаться через наличие единой цели ее функционирования, информационных связей между элементами системы защиты информации.
- Система защиты информации должна быть по возможности прозрачной для пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации.
- Система защиты информации должна обеспечивать безопасность информации, средств информации, защиту интересов участников информационных систем и невозможность несанкционированного доступа злоумышленника к защищаемой информации.
Система защиты информации должна обеспечивать оценку угроз внешних факторов и защиту от них.
Дискреционное управление доступам (discretionary access control) — разграничение доступа меж поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право хоть какому другому субъекту. Дискреционная защита является многоуровневой логической защитой. Логическая защита в СУБД представляет собой набор преимуществ либо ролей по отношению к защищаемому объекту. К логической защите можно отнести и владение таблицей (представлением). Обладатель таблицы может изменять (расширять, отымать, ограничивать доступ) набор льгот (логическую защиту). Данные о логической защите находятся в системных таблицах базы данных и разделены от защищаемых объектов (от таблиц либо представлений). Информация о зарегистрированных юзерах базы данных хранится в ее системном каталоге. Современные СУБД не имеют общего синтаксиса SQL-предложения соединения с базой данных, потому что их свой синтаксис сложился ранее, чем эталон ISO. Соединение с системой не идентифицированных юзеров и юзеров, подлинность идентификации которых при аутентификации не подтвердилась, исключается. В процессе сеанса работы юзера (от успешного прохождения идентификации и аутентификации до отсоединения от системы) все его деяния конкретно связываются с результатом идентификации. Отсоединение юзера может быть, как обычным, так и принудительным (исходящим от пользователя-администратора, к примеру, в случае удаления юзера либо при аварийном обрыве канала связи клиента и сервера). Во 2-м случае юзер будет проинформирован об этом, и все его деяния аннулируются до последней фиксации конфигураций, сделанных им в таблицах базы данных. В любом случае на время сеанса работы идентифицированный юзер будет субъектом доступа для средств защиты инфы от несанкционированного доступа (дальше — СЗИ НСД) СУБД. Но дискреционная защита является достаточно слабенькой, потому что доступ ограничивается только к именованным объектам, а не фактически к хранящимся данным. В случае реализации информационной системы с внедрением реляционной СУБД объектом будет, к примеру, именованное отношение (другими словами таблица), а субъектом — зарегистрированный юзер. В данном случае нельзя в полном объеме ограничить доступ только к части инфы, лежащей в таблице. Отчасти дилемму ограничения доступа к инфы решают представления и внедрение хранимых процедур, которые реализуют тот либо другой набор бизнес-действий.