Файл: Исследование проблем защиты информации (Возможности организации защиты информации в автоматизированных информационных системах).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 14.03.2024

Просмотров: 20

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. Защита информации

2. Обеспечение безопасности в MS Access

3. Способы защиты

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Содержание:

ВВЕДЕНИЕ

Многие услуги сети Интернет, такие как покупка и продажа информации в режиме онлайн, электронная коммерция, интернет-магазин и многие другие стали основными видами дея­тельности для многих предприятий, а главным инструментом управления бизнесом и важнейшим средством производства стали корпоративные информаци­онные системы (КИС).

Важный фактор, влияющий на развитие корпоративных информационных систем предпри­ятия, - поддержка массовых и других связей предприятий через глобальную сеть и одновременное обеспечение безопасности этих коммуникаций. Поэтому самой актуальной задачей, которая стоит перед разработчиками ИТ-технологий является решение проблем информационной безопасности, связанных с широким распространением глобальных сетей.

Задача обеспечения информационной безопасности корпоративной информационной системы решается через систему информационной безопасности (СИБ), которая определяет требования к сохранению вложенных в построение КИС инвестиций. Другими словами, система информационной безопасности должна функционировать абсолютно прозрачно для всех КИС приложений и должна быть совместима с используемыми в КИС сетевыми техно­логиями.

Появление новых технологий и сервисов должны учитываться создаваемой СИБ предприятия, а также удовлетворять таким требованиям, как использование интегрированных решений, применение открытых стандартов, обеспечение масштабирования в широких пределах.

Одна из главных тенденций развития средств информационной безопасности – это переход на открытые стандарты [1, стр.5].

Системы управления базами данных, в особенности реляционные СУБД, стали доминирующим инструментом хранения больших массивов информации. Сколько-нибудь развитые информационные приложения полагаются не на файловые структуры операционных систем, а на многопользовательские СУБД, выполненные в технологии клиент/сервер. В этой связи обеспечение информационной безопасности СУБД и, в первую очередь, их серверных компонентов приобретает решающее значение для безопасности организации в целом.

Согласно ГОСТ Р 51275-2006 «Объект информатизации: совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров» [2].

Слово «совокупность» подразумевает, что объект информатизации представляет собой единую информа­ционною систему, охватывающую организацию, предприятие или уч­реждение в целом, поскольку все эти «объекты инфор­матизации» обычно находятся в пределах одного предприятия и свя­заны между собой общими целями, задачами, технологией информационного обмена, структурными отноше­ниями и т. д.

«Современное предприятие — большое количество раз­нородных компонентов, объединенных в сложную систему для выполнения поставленных целей, которые в процессе функционирования предприятия могут модифицироваться. Многообразие и сложность влияния внутренних и внешних факторов, которые часто не поддаются строгой количест­венной оценке, приводят к тому, что эта сложная система может обретать новые качества, не свойственные составля­ющим ее компонентам» [6, с.3].

Одной из важнейших проблем при построении надежной информационной структуры организации с использованием ЭВМ является обеспечение защиты информации. Понятие защиты данных включает в себя вопросы управления доступом к данным и сохранения их целостности, то есть охватывает защиту от несанкционированного доступа, равно как и физическую защиту имеющихся данных и установленных программ. Технологический же аспект данного вопроса заключается в установлении различных видов ограничений, поддерживаемых структурой СУБД и доступных пользователю.

СУБД или системы управления базами данных представляют собой доминирующий инструмент хранения крупных массивов информации. Большинство прогрессивных информационных приложений используют многопользовательские СУБД, которые выполнены в технологии клиент/сервер. В связи с этим обеспечение их информационной безопасности, в особенности серверных компонентов СУБД, становится решающим фактором для безопасности самой организации.

Основные аспекты информационной безопасности - «конфиденциальность, целостность и доступность» [15] чрезвычайно важны для СУБД.

Проблема санкционирования использования данных достаточно сложна, но главными здесь являются вопросы защиты данных от уничтожения или нежелательной модификации, либо от несанкционированного чтения.

Целью данной работы является рассмотрение возможностей организации защиты информации в автоматизированных информационных системах (АИС).

Для достижения цели необходимо решить следующие задачи:

  • рассмотреть основные понятия баз данных и защиты баз данных;
  • изучить проблемы безопасности баз данных;
  • рассмотреть осуществление защиты информации в MS Access;
  • оценить возможности защиты информации шифрованием в MS Access.

1. Защита информации

Понятие и принципы информационной безопасности

Проблема обеспечения информационной безопасности в рамках любого государства в последнее время все чаще является предметом обсуж­дения не только в научных кругах, но и на политическом уровне. Данная проблема также становится объектом внимания международных органи­заций, в том числе и ООН.

Современный этап развития общества характеризуется возрастаю­щей ролью электронных ресурсов, представляющих собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информа­ции, а также системы регулирования возникающих при этом отношений.

Новые технологии порождают и новые преступления. Согласно унификации Комитета министров Европейского Совета определены криминальные направления компьютерной деятельности. К ним относятся:

  • компьютерное мошенничество;
  • подделка компьютерной информации;
  • повреждение данных или программ;
  • компьютерный саботаж;
  • несанкционированный доступ к информации;
  • нарушение авторских прав.

Актуальность проблемы информационной безопасности заключается:

  • в особом характере общественной опасности возможных преступлений;
  • в наличии тенденции к росту числа преступлений в информационной сфере;
  • в не разработанности ряда теоретических положений, связан­ных с информационной безопасностью [2, стр.8].

Информа­ционную безопасность можно определить, как невоз­можность нанесения вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфра­структурой (рис.1).

Рисунок 1 Понятие информационной безопасности

Интересы и угрозы в области национальной безопасности

Национальные интересы России - это совокупность сбалансирован­ных интересов личности, общества и государства в различных сферах жизнедеятельности: экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других [3, стр.12].

Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею. Основу системы обеспечения национальной безопасности РФ состав­ляют органы, силы и средства обеспечения национальной безопасности, осуществляющие меры политического, правового, организационного, экономического, военного и иного характера, направленные на обеспече­ние безопасности личности, общества и государства.

В настоящее время невозможно себе представить деятельность крупных банков, промышленных и торговых предприятий, транспортных ор­ганизаций, правоохранительных органов без соответствующих баз дан­ных и высокопроизводительной вычислительной техники.

Условно можно выделить следующие составляющие национальной безопасности: экономическую, внутриполитическую, социальную, духовную, международную, информационную, военную, пограничную, эколо­гическую.

Информатизация - характерная черта жизни современного человечества. Новейшие информационные технологии активно используются во всех сферах народного хозяйства. Компьютерная техника используется для управления космически­ми кораблями и самолетами, распределяют электроэнергию, следит за работой атомных электро­станций, обслуживаются банковские сис­темы и многое другое. Компьютеры - основа большого количества автоматизированных систем обработки информации, которые осуществляют обработку и хранение информации, предоставление ее потребителям, используя современные информационные технологии.

В связи с развитием и усложнением методов, средств, и способов автоматиза­ции процессов обработки информации возросла зависимость общест­ва от безопасности используемых им информационных техноло­гий, Благополучие, а иногда и жизнь многих людей напрямую зависит от информационных технологий.

Проблема обеспечения безопасности ин­формационных технологий очень важна и обусловлена такими причинами:

  • высокие темпы роста разнообразия персональных компьютеров, которые находятся в обслуживании в самых разных сферах деятельности;
  • резкое расширение круга пользователей, которые имеют прямой доступ к вычислительным ресурсам и базам данных;
  • резкое увеличение вычислительной мощности современных компью­теров при одновременном упрощении их эксплуатации;
  • повсеместное распространение сетевых технологий;
  • резкое увеличение объемов информации, которая накапливается, хранится и обрабатывается компьютерами и другими средствами автоматизации;
  • сосредоточение в единых базах данных информации различного на­значения и различной принадлежности;
  • бурное развитие программных средств, которые не удовлетворяют даже минимальным требованиям безопасности.

Основными видами угроз безопасности АСОИ (угроз интере­сам субъектов информационных отношений) являются:

• стихийные бедствия и аварии;

• сбои и отказы оборудования АСОИ;

• последствия ошибок проектирования и разработки компонентов АСОИ;

• ошибки эксплуатации;

• преднамеренные действия нарушителей и злоумышленников.

Информационная безопасность информационных систем

Существуют основные требования к системе защиты ин­формации.

  1. Система защиты информации должна быть представлена единым целым. Это будет выражаться через наличие единой це­ли ее функционирования, информационных связей между элемента­ми системы защиты информации.
  2. Система защиты информации должна быть по возможности прозрачной для пользователя, не создавать ему больших дополнительных не­удобств, связанных с процедурами доступа к информации.
  3. Система защиты информации должна обеспечивать безопасность информации, средств информации, защиту интересов участников информационных систем и невозможность несанкционирован­ного доступа злоумышленника к защищаемой информации.

Система защиты информации должна обеспечивать оценку угроз внешних факторов и защиту от них.

Дискреционная защита

Дискреционное управление доступам (discretionary access control) — разграничение доступа меж поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право хоть какому другому субъекту. Дискреционная защита является многоуровневой логической защитой. Логическая защита в СУБД представляет собой набор преимуществ либо ролей по отношению к защищаемому объекту. К логической защите можно отнести и владение таблицей (представлением). Обладатель таблицы может изменять (расширять, отымать, ограничивать доступ) набор льгот (логическую защиту). Данные о логической защите находятся в системных таблицах базы данных и разделены от защищаемых объектов (от таблиц либо представлений). Информация о зарегистрированных юзерах базы данных хранится в ее системном каталоге. Современные СУБД не имеют общего синтаксиса SQL-предложения соединения с базой данных, потому что их свой синтаксис сложился ранее, чем эталон ISO. Соединение с системой не идентифицированных юзеров и юзеров, подлинность идентификации которых при аутентификации не подтвердилась, исключается. В процессе сеанса работы юзера (от успешного прохождения идентификации и аутентификации до отсоединения от системы) все его деяния конкретно связываются с результатом идентификации. Отсоединение юзера может быть, как обычным, так и принудительным (исходящим от пользователя-администратора, к примеру, в случае удаления юзера либо при аварийном обрыве канала связи клиента и сервера). Во 2-м случае юзер будет проинформирован об этом, и все его деяния аннулируются до последней фиксации конфигураций, сделанных им в таблицах базы данных. В любом случае на время сеанса работы идентифицированный юзер будет субъектом доступа для средств защиты инфы от несанкционированного доступа (дальше — СЗИ НСД) СУБД. Но дискреционная защита является достаточно слабенькой, потому что доступ ограничивается только к именованным объектам, а не фактически к хранящимся данным. В случае реализации информационной системы с внедрением реляционной СУБД объектом будет, к примеру, именованное отношение (другими словами таблица), а субъектом — зарегистрированный юзер. В данном случае нельзя в полном объеме ограничить доступ только к части инфы, лежащей в таблице. Отчасти дилемму ограничения доступа к инфы решают представления и внедрение хранимых процедур, которые реализуют тот либо другой набор бизнес-действий.

Смотрите также файлы