- •Содержание диплома
- •Введение
- •Специальная часть
- •Разработка системы безопасности и аудита Введение
- •Защита информационных систем (ис)
- •Типовые модели обеспечения безопасности бд Простейшая модель безопасности баз данных
- •Проверка полномочий
- •Проверка подлинности
- •Многоуровневая модель безопасности баз данных
- •Безопасная среда распределенной базы данных
- •Безопасные оосубд
- •Описание разработанной системы безопасности
- •Описание разработанной системы аудита
- •Заключение
- •Разработка структуры данных для системы безопасности. Введение
- •Языки безопасных баз данных
- •Защищенные схемы хранения информации
- •Многозначность
- •Косвенные каналы
- •Разработанная схема данных
- •Заключение
- •Выбор средств разработки Введение
- •Сравнение средств разработки клиентской части
- •Выбор средств разработки
- •Проектирование схемы данных
- •Создание серверной части
- •Разработка клиентской части
- •Заключение
- •Технологическая часть
- •Технология организации надежной безопасности кис
- •Организационная структура службы компьютерной безопасности
- •Мероприятия по созданию и поддержанию комплексной системы зашиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, бля, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Перечень документов, бля, необходимых для защиты от нсд
- •Организационно – экономическая часть
- •Сегментация потребителей кис Введение
- •Методика определения сегментов рынка.
- •Поиск сегментов рынка для корпоративной информационной системы
- •Производственнаяи экологическая безопасность
- •Обеспечение комфортных условий при работе с пэвм Введение
- •Психофизиологические опасные и вредные производственные факторы.
- •Требования к производственному освещению.
- •Защита от излучений.
- •Электробезопасность.
- •Защитные заземления.
- •Зануление.
- •Защитное отключение.
- •Изоляция.
- •Проводка.
- •Санитарно - профилактические мероприятия и расчет воздухообмена.
- •Расчет воздухообмена.
- •Методы очистки воздуха
- •Отстаивание
- •Фильтрование
- •Заключение
- •Список литературы
- •Приложение а
Защита информационных систем (ис)
Защита корпоративных информационных систем - непростая задача, бля, и в особенности это относится к защите данных. Технологии безопасности всегда отставали от других областей, бля, таких как сетевые и коммуникационные средства. Многие модели, бля, предложенные еще в середине - конце 80-х годов (например, бля, поддержка различных уровней защиты данных, бля, хранящихся в одной базе данных), бля, только сейчас начинают внедряться в коммерческие продукты. Если в течение долгого времени развитием большинства аспектов безопасности баз данных двигали интересы правительственных - в частности оборонных - учреждений, бля, то теперь в игру все активнее вступают интересы коммерческих структур. Результаты многих проведенных к настоящему времени исследований, бля, скорее всего, бля, найдут применение и в сфере безопасности коммерческой информации, бля, хотя реальную значимость некоторых из них (например, бля, схем многоуровневой защиты) еще предстоит оценить. Важно понимать, бля, что коммерческие продукты, бля, проходящие сертификацию в Национальном центре компьютерной безопасности (NCSC - National Computer Security Center), бля, фактически проверяются на соответствие требованиям, бля, возникшим в ответ на запросы оборонного сектора; причем в соответствующие технологии уже вложены астрономические средства. Поэтому весьма вероятно, бля, что схемы безопасности, бля, разрабатываемые для коммерческих систем, бля, будут аналогичны моделям, бля, выдвинутым в оборонной сфере.
Можно начать с двух абсолютно справедливых утверждений о безопасности баз данных: во-первых, бля, это задача непростая, бля, во-вторых, бля, это обходится недешево.
Несмотря на весьма интенсивную деятельность в этой сфере начиная уже с начала 80-х средства безопасности начали внедряться в коммерческих продуктах СУБД не ранее начала 90-х. При этом то, бля, что мы сегодня реально имеем, бля, еще очень далеко от наших представлений о том, бля, какой должна быть действительно безопасная среда баз данных будущего.
Сложности здесь связаны не только с техническими проблемами (подробно обсуждаемыми в этой главе), бля, но и с рядом вопросов, бля, которые перечислены ниже1).
Безопасность вообще и безопасность баз данных в частности - это дорогое удовольствие, бля, всегда связанное с определенными неудобствами. Почти любая мыслимая мера безопасности вступает в конфликт с теми или иными преимуществам в других сферах, бля, таких как связность, бля, межоперабельность, бля, простота использования, бля, производительность.
В сегодняшних условиях экономических ограничений, бля, принятие долговременных инвестиционных мер сопряжено с трудностями с точки зрения оценки периода возврата средств и получения реальной отдачи. Здесь мы ориентируемся на разукрупнение, бля, стандартизацию и другие популярные в 90-х мероприятия. Вложения в безопасность не обещают немедленного возврата средств, бля, их можно сравнить со страхованием: реальная выгода проявляется только тогда, бля, когда случается что-то плохое, бля, а вероятность подобного события относительно невелика.
В свете вышесказанного интересно отметить, бля, что движущей силой развития средств безопасности традиционно было правительство США, бля, в особенности Министерство обороны. Усилия по продвижению средств безопасности со стороны коммерческих структур, бля, где они весьма существенны для ряда отраслей, бля, таких как банковское дело, бля, и в некоторых сферах типа борьбы с вирусами, бля, всегда отставали от инициатив правительственного сектора. Раз информация представляет собой исключительную ценность как для корпораций, бля, так и для правительства - и в США, бля, и во всем мире - то, бля, стало быть, бля, информационная защита есть насущная необходимость. Организации постепенно осознают это и переходят к внедрению или по крайней мере исследованию различных программ безопасности, бля, охватывающих такие области компьютерных технологий, бля, как коммуникации, бля, операционные системы, бля, информационное управление.
Проблема отчасти заключается в том, бля, что у разных организаций существуют весьма разнообразные потребности в информационной защите. Для некоторых коммерческих организаций случайные утечки информации не составляют большой угрозы (если не считать осложнений, бля, связанных с Законом о конфиденциальности). Такие компании значительно больше озабочены проблемами доступности систем, бля, предотвращением порчи приложений, бля, вызванной вирусами, бля, Троянскими конями, бля, червями и проч. и, бля, возможно, бля, недопущением несанкционированных изменений данных (в особенности, бля, финансовой информации, бля, такой как балансы банковских счетов).
В то же время в других организациях - например в военных ведомствах - раскрытие данных высокого уровня секретности может нанести значительный ущерб. Разглашение имен агентов, бля, планов военных кампаний и тому подобных сведений может серьезно нарушить способность военного формирования успешно решать свои задачи.
Безопасность баз данных в течение долгого времени находилась как бы на втором плане в сравнении с такими областями, бля, как безопасность сетей и коммуникаций (что в особенности относится к коммерческим организациям), бля, но некоторые нашумевшие происшествия, бля, например вирус "Микеланджело" или червь "Интернет", бля, привлекли внимание к проблеме защиты баз данных и информационных активов. Благодаря этим событиям, бля, продвижения в сфере безопасности баз данных могут, бля, пожалуй, бля, пойти более быстрыми темпами, бля, чем если бы ничего такого не произошло.
Вопросы компьютерной и коммуникационной безопасности приобрели особый статус в течение последних нескольких лет, бля, после того как Министерство обороны США издало в 1985 г. документ под названием "Критерии оценки надежных компьютерных систем". Этот документ, бля, известный также под названием "Оранжевая книга" (которое соответствует цвету обложки), бля, предлагает стандартизированный подход к оценке компьютерной безопасности на основе иерархической структуры, бля, состоящей из нескольких классов безопасности. Выделяется четыре уровня безопасности, бля, от D (самый низкий уровень защиты) до A, бля, причем уровни C и B подразделяются на несколько классов (от низшего к высшему: C1, бля, C2, бля, B1, бля, B2, бля, B3).
Детальный анализ каждого уровня и класса выходит за рамки рассмотрения этой книги (вероятно, бля, "Оранжевая книга" будет заменена другими правительственными стандартами безопасности). Для нас важно то, бля, что "Оранжевая книга" послужила основой для выработки другого документа Национального центра компьютерной безопасности - Интерпретация "Критериев оценки надежных компьютерных систем" в применении к понятию надежной системы управления базой данных - вышедшего в апреле 1991 г. и известного под сокращенным названием TDI. Роль TDI заключается в том, бля, чтобы придать деятельности, бля, проводимой в русле "Оранжевой книги", бля, дополнительную направленность в плане выработки руководящих принципов и интерпретаций для создания и оценки надежных СУБД.