Защита информации в базах данных

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

Одной из главных  тенденций в современном мире является постоянное повышение роли информации.

Обмен информацией  осуществляется по международным сетям  телекоммуникаций, а необходимые для подключения к ним оборудование и программы достаточно удобны, надежны, дешевы и широко доступны. Однако информация, которая передается от одного компьютера к другому, не всегда скрыта от остальных компьютеров, подключенных к той же сети. Это может привести к шпионажу, краже данных и их искажению.

С повышением значимости и ценности информации соответственно растёт и важность её защиты.

Защиту информации можно определить как организационные  и технологические меры для ограничения доступа к информации для каких-либо лиц, а также для удостоверения подлинности и неизменности информации.

Эта проблема на данный момент является одной из самых актуальных задач. Её можно свести к минимуму, если заранее планировать обеспечение безопасности программных продуктов [9,57].

Главная тенденция, характеризующая развитие современных  информационных технологий – рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.

Наверное, никто  не сможет назвать точную цифру суммарных  потерь от компьютерных преступлений, связанных с несанкционированным доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.

         Актуальность дипломной работы определяется большим интересом к тематике защиты персональных данных со стороны общественности, современной науки и не проработанность законодательной базы при решении проблем обеспечения информационной безопасности, а так же изменениями в законодательстве РФ. Подписанный 27 июля 2006 года В.В. Путиным ФЗ «О защите персональных данных» в сферу действия, которого попадают все юридические и физические лица, в обработке у которых находятся персональные данные других граждан, обязывает каждую организацию принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. [1]

Любое современное  предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность без создания на нем условий для надежного функционирования системы защиты собственной информации.

Отсутствие  у многих руководителей предприятий  и компаний четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. В общем случае руководители предприятий идут по пути создания охранных служб, полностью игнорирую при этом вопросы информационной безопасности. Отрицательную роль при этом играют некоторые средства массовой информации, публикую «панические» статьи о состоянии дел по защите информации, формирующие у читателей представления о невозможности в современных условиях обеспечить требуемый уровень защиты информации.

Цель данной работы проанализировать защиту информации в базах данных.

Гипотеза  исследования состоит в том, что создание эффективной системы защиты информации на сегодняшний день вполне реально. Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач: физическая защита ПК и носителей информации; опознавание (аутентификация) пользователей и используемых компонентов обработки информации; разграничение доступа к элементам защищаемой информации; криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных); криптографическое закрытие защищаемой информации в процессе непосредственной ее обработки; регистрация всех обращений к защищаемой информации. Ниже излагаются общее содержание и способы использования перечисленных механизмов.

Достижение  поставленной цели и подтверждения гиотезы потребовало решения следующих задач:

• Выявление угроз безопасности баз данных, последствия, реализация последствий;
• Указать основные принципы обеспечения защиты информации;
• Обеспечение безопасности данных;
• Проанализировать защиту информации в среде MS SQL Server ЗАТО Александровск.

Объектом выпускной квалификационной работы является информация.

Предметом – защита информация в базах данных.

Методологической  и теоретической основой исследования: правовой базой написания данной работы послужил ФЗ «О защите персональных данных», подписанный 27 июля 2006 года В.В. Путиным, а также ряд источников научной литературы различных авторов, среди которых следует отметить следующие: А. Вишневский «Microsoft SQL Server. Эффективная работа», А.Ю. Ефремов, Н.Б. Еремеев «Защита информации», Брайн Сноу «Четыре пути повышения безопасности», Н. Зенин «Система защиты от утечек информации», А. Овчинникова «Способы защиты информации».

При написании  выпускной квалифицированной работы использовались следующие методы исследования: изучение нормативно-правовой базы; изучение монографических публикаций и статей; анализ; наблюдения.

Структура выпускной квалификационной работы состоит из введения, основной части, заключения, глоссарий, ссылок на использованные источники, списки использованных источников, списки сокращений, приложений.

ГЛАВА 1. ИСТОЧНИКИ ВОЗНИКНОВЕНИЯ И ПОСЛЕДСТВИЯ           РЕАЛИЗАЦИИ УГРОЗ БАЗ ДАННЫХ

1. Классификация источников угроз

Защита баз  данных является одной из самых сложных  задач, стоящих перед подразделениями, отвечающими за обеспечение информационной безопасности. С одной стороны, для работы с базой необходимо предоставлять доступ к данным всем сотрудникам, кто по долгу службы должен осуществлять сбор, обработку, хранение и передачу конфиденциальных данных. С другой стороны, укрупнение баз данных далеко не всегда имеет централизованную архитектуру (наблюдается ярко выраженная тенденция к территориально распределенной системе), в связи с чем действия нарушителей становятся все более изощренными. При этом четкой и ясной методики комплексного решения задачи защиты баз данных, которую можно было бы применять во всех случаях, не существует, в каждой конкретной ситуации приходится находить индивидуальный подход.

Все источники  угроз безопасности информации можно  разделить на три основные группы:

1) Обусловленные  действиями субъекта (антропогенные источники угроз).

2) Обусловленные  техническими средствами (техногенные  источники угрозы).

3) Обусловленные стихийными источниками. [4, 153]

Антропогенные источники угроз.

Антропогенными  источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

Внешние источники  могут быть случайными или преднамеренными  и иметь разный уровень квалификации. К ним относятся:

1) криминальные  структуры; 

2) потенциальные  преступники и хакеры;

3) недобросовестные  партнеры;

4) технический  персонал поставщиков телематических услуг;

5) представители  надзорных организаций и аварийных  служб; 

6) представители  силовых структур.

Внутренние  субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

1) основной персонал (пользователи, программисты, разработчики);

2) представители  службы защиты информации;

3) вспомогательный  персонал (уборщики, охрана);

4) технический  персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Квалификация  антропогенных источников информации играют важную роль в оценке их влияния и учитывается при ранжировании источников угроз. [6,178]

Техногенные источники  угроз.

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Технические средства, являющиеся источниками потенциальных  угроз безопасности информации так же могут быть внешними:

1) средства связи; 

2) сети инженерных  коммуникации (водоснабжения, канализации);

3) некачественные  технические средства обработки информации;

4) некачественные  программные средства обработки  информации;

5 )вспомогательные  средства (охраны, сигнализации, телефонии);

6) другие технические  средства, применяемые в учреждении. [6,193]

Стихийные источники  угроз.

Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Стихийные источники  потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому  объекту и под ними понимаются прежде всего природные катаклизмы:

1) пожары;

2) землетрясения; 

3) наводнения;

4) ураганы; 

5) различные  непредвиденные обстоятельства;

6) необъяснимые  явления; 

7) другие форс-мажорные  обстоятельства. [6,204]

2. Последствия воздействия угроз и виды угрожающих воздействий

Последствием воздействия угроз является нарушение безопасности системы. Рассмотрим эти последствия угроз, а также перечень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы защиты информационно-вычислительной сети или системы.

Вскрытие (Несанкционированное).

Обстоятельство  или событие, посредством которого субъект получил доступ к охраняемым данным (например, конфиденциальным), не имеющий на самом деле прав доступа  к ним. Следующие угрожающие действия могут стать причиной несанкционированного вскрытия:

1. «Разоблачение»: Угрожающее действие, посредством которого охраняемые данные стали доступны непосредственно субъекту, не имеющему на это право. Оно включает: «Преднамеренное разоблачение» (умышленный допуск к охраняемым данным субъекта, не имеющему на это право); «Просмотр остатка данных» (исследование доступных данных, оставшихся в системе, с целью получения несанкционированного знания охраняемых данных); «Ошибка человека» (действие или бездействие человека, которое неумышленно повлекло за собой несанкционированное знание субъектом охраняемых данных); «Аппаратно-программная ошибка»: (ошибка системы, которая повлекла за собой несанкционированное знание субъектом охраняемых данных).