Основные методы защиты данных в реляционных БД

 

 

 

 

 

Курсовая работа по теме:

«Основные методы защиты данных»

 

 

 

 

Выполнил:______________

Проверил:______________

 

 

 

 

 

 

 

 

 

 

 

 

 

2014 г

 

 

 

 

СОДЕРЖАНИЕ

 

ВВЕДЕНИЕ	3
1. Общие вопросы информационной безопасности	5
1.1. Доктрина информационной безопасности РФ	5
1.2. Понятие информационной безопасности. Классификация угроз информационной безопасности.	5
2. Основные методы защиты информации	9
2.1. Криптография	9
2.2. Методы аутентификации и идентификации	14
3. Основные методы защиты данных  в реляционных БД	18
3.1. Основные методы защиты данных на примере СУБД SQL сервер	18
ЗАКЛЮЧЕНИЕ	26
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ	27
Приложения	29

 

 

 

Введение

 

Современный этап развития общества характеризуется возрастающей ролью электронных ресурсов, представляющих собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.

Стремительный рост компьютерных технологий в различных сферах человеческой деятельности, с одной стороны, позволил обеспечить высокие достижения в этих сферах, а с другой стороны, стал источником самых непредсказуемых и вредных для человеческого общества последствий. В результате, можно говорить о появлении принципиально нового сегмента международного противоборства, затрагивающего как вопросы безопасности отдельных государств, так и общую систему международной безопасности на всех уровнях. [6]

Широкое использование в процессе информатизации общества современных методов и средств обработки информации создало не только объективные предпосылки повышения эффективности всех видов деятельности человека, общества, государства, но я ряд проблем, связанных с защитой информации. [1,2]

Сложность решения таких проблем обусловлена свойствами информации, как объекта защиты. Для обеспечения информационной безопасности объекта в первую очередь необходимо защищать носители информации от преднамеренной и несанкционированной деятельности людей, связанной с манипуляцией информации, хранимой на объекте защиты в условиях бесконтрольного доступа.

Пересечение подобных действий осуществляется наиболее эффективно при использовании инженерно-технических методов защиты информации. [6]

В России положения, касающиеся информационной безопасности,

 включены в «Концепцию национальной безопасности РФ», утвержденную Указом Президента РФ от 17.12.1997 г., в ред. Указа Президента от 10.01.2000 г., а также в Военную доктрину РФ, утвержденную Указом Президента РФ от 21.04.2000 г. Кроме того, в рамках Совета безопасности РФ разрабатывается проект «Концепции совершенствования правового обеспечения информационной безопасности РФ». [9]

Целью данной работы является рассмотрение общих вопросов защиты информации, а также основных методов защиты данных, таких как криптографические методы, методы аутентификации и идентификации, а также вопросов защиты информации в системах управления базами данных.

Для достижения данной цели поставлены следующие задачи:

- рассмотреть понятие информационной безопасности и общие вопросы информационной безопасности в РФ;

- более подробно рассмотреть  общие понятия угроз и способов  защиты информации;

- детально рассмотреть криптографические  методы информации, а также методы аутентификации и идентификации;

- рассмотреть способы защиты данных в реляционных БД.

 

Глава 1: Общие вопросы информационной безопасности

 

1.1. Доктрина информационной безопасности РФ

09 сентября 2000 года Президентом РФ была утверждена Доктрина информационной безопасности РФ. Доктрина информационной безопасности Российской Федерации представляет совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации, развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере. [9]

В декабре 2002 года принят ФЗ «О внесении изменений и дополнений в Закон РФ «О правовой охране программ для ЭВМ и баз данных», 29 июля 2004 года подписан Закон «О коммерческой тайне», на рассмотрении в Государственной Думе находится законопроект «Об информации персонального характера». Назрела необходимость разработки и принятия законов «О служебной тайне», «О профессиональной тайне». Принятие указанных законов обусловлено положениями Доктрины информационной безопасности РФ, в которой в качестве основных составляющих национальных интересов России в информационной сфере выделяются меры правового характера, обеспечивающие конституционные права человека и гражданина свободно искать, передавать, производить и распространять информацию любым законным способом, конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. [9]

 

1.2. Понятие информационной безопасности. Классификация угроз информационной безопасности.

Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Классификацию угроз можно представить в виде таблицы 1. (приложение) [7]

 

Угрозы можно разделить следующим образом:

По источнику угрозы:

• внешние – связанные со стихийными бедствиями, техногенными, политическими,  социальными факторами и т.д;
• внутренние – связанные с отказами вычислительной и коммуникационной техники, ошибками программного обеспечения.

По природе возникновения:

• естественные  (объективные)  –  вызванные  воздействием  на  ин-формационную среду объективных физических процессов  или стихийных природных явлений, не зависящих от воли человека;
• искусственные   (субъективные)  –  как правило вызванные  воздействием  человека. [7,10]

Угрозы искусственного характера в свою очередь можно разделить на:

• непреднамеренные  угрозы  –  ошибки  программного обеспечения, персонала, отказы вычислительной и коммуникационной техники и т.д.;
• преднамеренные  угрозы  –  неправомерный доступ к информации, разработка специального программного  обеспечения,  используемого  для  осуществления  неправомерного  доступа,  разработка  и  распространение  вирусных программ и т.д. Подобные угрозы всегда непосредственно связаны с деятельностью людей. [7,10]

По цели реализации угрозы можно разделить:

• нарушение конфиденциальности, заключается  в  том,  что  информация  становится  известной  пользователю, который  не  имеет права доступа  данной информации.  Угроза  раскрытия  имеет  место  всякий  раз,  когда получен  несанкционированный  доступ  к  некоторой  секретной информации,  хранящейся  в  вычислительной  системе  или  передаваемой от одной системы к другой;
• нарушение  целостности  включает  в  себя любое  несанкционированное  изменение  информации,  хранящейся  в  вычислительной  системе  или  передаваемой  из  одной системы  в  другую.  В данном случае нарушитель преднамеренно изменяет информацию;
• нарушение доступности  возникает,  когда  в  результате  преднамеренных действий, предпринятых другим  пользователем,  умышленно  блокируется  доступ  к  некоторому  ресурсу  вычислительной системы. Если один пользователь запрашивает доступ к  службе,  а  другой  предпринимает  что-либо  для  недопущения этого доступа, подобное действие считается отказом службы. Наиболее частые примеры атак, связанных с отказом служб, включают в себя ресурсы общего пользования (принтеры или процессоры). [7,10]

По характеру воздействия угрозы как правило делят на:

• активные;
• пассивные.

По объекту воздействия угрозы:

• воздействующие на информационную среду в целом;
• воздействующие на отдельные элементы информационной среды.

Основные проблемы информационной безопасности связаны, в первую очередь, с умышленными угрозами, т.е. действиями людей.  Необходимо также отметить, что реализованная угроза называется атакой. [7,10]

Под  защищенностью  понимается  совокупность  правовых,  научно-технических, специальных, организационных мер, направленных на своевременное выявление, предупреждение и пресечение неправомерного получения  и  распространения  защищаемой  информации,  осуществляемых органами  законодательной,  исполнительной  и  судебной  власти,  общественными и иными организациями и объединениями, гражданами, принимающими  участие  в  обеспечении  информационной  безопасности  в  соответствии  с  законодательством,  регламентирующим  отношения  в  информационной сфере. [10] 

Глава 2. Основные методы защиты информации

2.1. Криптография

Криптография - наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

Изначально криптография изучала методы шифрования информации — обратимого преобразования открытого исходного текста на основе секретного алгоритма или ключа в шифрованный текст. Традиционная криптография образует раздел симметричных криптосистем, в которых зашифровывание и расшифровывание проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию. [8]

Криптография не занимается: защитой от обмана, подкупа или шантажа законных абонентов, кражи ключей и других угроз информации, возникающих в защищенных системах передачи данных.

Криптография в наше время - это одна из основных технологий в кибер-пространстве. Данная технология, позволяет обеспечить безопасность в киберпространстве и бороться с теми атаками, о которых шла речь в части выше. Без криптографии никогда бы не смогла распространиться электронная торговля. Криптография не гарантирует абсолютной защиты и надежности, но тем не менее, она имеет большое значение для современного информационного общества.

Основная идея, лежащая в основе криптографии, такова: группа людей может

секретным способом записывать послания так, что они будут непонятны всем остальным. [8] 

Криптографические методы наиболее часто подразделяются в зависимости от количества ключей, используемых в соответствующих криптоалгоритмах (см. рис. 1 приложение) [8]:

1. Бесключевые, в которых не используются  какие-либо ключи.

2. Одноключевые - в них используется  некий дополнительный ключевой  параметр - обычно это секретный ключ.

3. Двухключевые, использующие в  своих вычислениях два ключа: секретный и открытый. [8,10]

Рассмотрим основные методы криптографии.

 Электронная подпись используется для подтверждения целостности и авторства данных. Целостность данных означает, что данные не были случайно или преднамеренно изменены при их хранении или передаче.

1. Алгоритмы электронной подписи используют два вида ключей:

• секретный ключ используется для вычисления электронной подписи;
• открытый ключ используется для ее проверки.

 

     При использовании криптографически сильного алгоритма электронной подписи и при грамотном хранении и использовании секретного ключа (то есть при невозможности использования ключа никем, кроме его владельца) никто другой не в состоянии вычислить верную электронную подпись какого-либо электронного документа. [8]       

2. Аутентификация позволяет проверить, является ли пользователь или удаленный компьютер действительно является тем, за кого он себя выдает. Простейшей схемой аутентификации является парольная - в качестве секретного элемента в ней используется пароль, который предъявляется пользователем при его проверке.      

3. Методы криптографического контрольного суммирования:

• ключевое и бесключевое хэширование;
• вычисление имитоприставок;
• использование кодов аутентификации сообщений. [8]

 

      Фактически, все эти методы различным образом из данных произвольного размера с использованием секретного ключа или без него, вычисляют некую контрольную сумму фиксированного размера, однозначно соответствующую исходным данным.

Такое криптографическое контрольное суммирование широко используется в различных методах защиты информации, таких как - подтверждение целостности любых данных в тех случаях, когда использование электронной подписи невозможно; в самих схемах электронной подписи; в различных схемах аутентификации пользователей.[8]