Встраиваемая
СУБД — библиотека, которая позволяет
унифицированным образом хранить большие
объёмы данных на локальной машине.
Примеры: OpenEdge, SQLite, BerkeleyDB, один из вариантов Firebird, один из вариантов MySQL, Sav
Zigzag, Microsoft SQL Server
Compact, ЛИНТЕР.
2.
Защита информации.
Средства
защиты информации — это совокупность
инженерно-технических, электрических,
электронных, оптических и других устройств
и приспособлений, приборов и технических
систем, а также иных вещных элементов,
используемых для решения различных задач
по защите информации, в том числе предупреждения
утечки и обеспечения безопасности защищаемой
информации.
В целом средства
обеспечения защиты информации в части
предотвращения преднамеренных действий
в зависимости от способа реализации можно
разделить на группы:
- Технические
(аппаратные) средства. Это различные по
типу устройства (механические, электромеханические,
электронные и др.), которые аппаратными
средствами решают задачи защиты информации.
Они либо препятствуют физическому проникновению,
либо, если проникновение все же состоялось,
доступу к информации, в том числе с помощью
ее маскировки. Первую часть задачи решают
замки, решетки на окнах, защитная сигнализация и др. Вторую — упоминавшиеся
выше генераторы шума, сетевые
фильтры,
сканирующие радиоприемники и множество других
устройств, «перекрывающих» потенциальные
каналы утечки информации или позволяющих
их обнаружить. Преимущества технических
средств связаны с их надежностью, независимостью
от субъективных факторов, высокой устойчивостью
к модификации. Слабые стороны — недостаточная
гибкость, относительно большие объем
и масса, высокая стоимость.
- Программные
средства включают программы для идентификации
пользователей, контроля доступа, шифрования
информации, удаления остаточной (рабочей)
информации типа временных файлов, тестового
контроля системы защиты и др. Преимущества
программных средств — универсальность,
гибкость, надежность, простота установки,
способность к модификации и развитию.
Недостатки — ограниченная функциональность
сети, использование части ресурсов файл-сервера и рабочих станций,
высокая чувствительность к случайным
или преднамеренным изменениям, возможная
зависимость от типов компьютеров (их
аппаратных средств).
- Смешанные
аппаратно-программные средства реализуют
те же функции, что аппаратные и программные
средства в отдельности, и имеют промежуточные
свойства.
- Организационные
средства складываются из организационно-технических
(подготовка помещений с компьютерами,
прокладка кабельной системы с учетом
требований ограничения доступа к ней
и др.) и организационно-правовых (национальные
законодательства и правила работы, устанавливаемые
руководством конкретного предприятия).
Преимущества организационных средств
состоят в том, что они позволяют решать
множество разнородных проблем, просты
в реализации, быстро реагируют на нежелательные
действия в сети, имеют неограниченные
возможности модификации и развития. Недостатки
— высокая зависимость от субъективных
факторов, в том числе от общей организации
работы в конкретном подразделении.
По степени
распространения и доступности
выделяются программные средства, другие
средства применяются в тех случаях, когда
требуется обеспечить дополнительный
уровень защиты информации.
Программные
средства защиты информации
- Встроенные
средства защиты информации
- Специализированные
программные средства защиты информации
от несанкционированного доступа обладают
в целом лучшими возможностями и характеристиками,
чем встроенные средства. Кроме программ
шифрования и криптографических систем, существует
много других доступных внешних средств
защиты информации. Из наиболее часто
упоминаемых решений следует отметить
следующие две системы, позволяющие ограничить
и контролировать информационные потоки.
- Межсетевые
экраны (также
называемые брандмауэрами или файрволами
— от нем. Brandmauer, англ. firewall — «противопожарная
стена»). Между локальной и глобальной
сетями создаются специальные промежуточные
серверы, которые инспектируют и фильтруют
весь проходящий через них трафик сетевого/транспортного
уровней. Это позволяет резко снизить
угрозу несанкционированного доступа
извне в корпоративные сети, но не устраняет
эту опасность полностью. Более защищенная
разновидность метода — это способ маскарада
(masquerading), когда весь исходящий из локальной
сети трафик посылается от имени firewall-сервера,
делая локальную сеть практически невидимой.
- Proxy-servers (proxy
— доверенность, доверенное лицо). Весь
трафик сетевого/транспортного уровней
между локальной и глобальной сетями запрещается
полностью — маршрутизация как таковая отсутствует,
а обращения из локальной сети в глобальную
происходят через специальные серверы-посредники.
Очевидно, что при этом обращения из глобальной
сети в локальную становятся невозможными
в принципе. Этот метод не дает достаточной
защиты против атак на более высоких уровнях
— например, на уровне приложения (вирусы,
код Java и JavaScript).
- VPN (виртуальная частная
сеть) позволяет передавать секретную
информацию через сети, в которых возможно
прослушивание трафика посторонними людьми.
Используемые технологии: PPTP, PPPoE, IPSec.
Для современной
криптографии характерно использование
открытых алгоритмов шифрования, предполагающих
использование вычислительных средств.
Известно более десятка проверенных алгоритмов шифрования, которые
при использовании ключа достаточной
длины и корректной реализации алгоритма криптографически
стойки. Распространенные
алгоритмы:
- симметричные DES, AES, ГОСТ
28147-89, Camellia, Twofish, Blowfish, IDEA, RC4 и др.;
- асимметричные RSA и Elgamal (Эль-Гамаль);
- хэш-функций MD4, MD5, SHA-1, ГОСТ
Р 34.11-94.
Во многих странах
приняты национальные стандарты шифрования.
В 2001 году в США принят стандарт симметричного
шифрования AES на основе алгоритма Rijndael с длиной ключа 128, 192
и 256 бит. Алгоритм AES пришёл
на смену прежнему алгоритму DES, который
теперь рекомендовано использовать только
в режиме Triple
DES. В Российской
Федерации
действует стандарт ГОСТ
28147-89, описывающий
алгоритм блочного шифрования с длиной
ключа 256 бит, а также алгоритм цифровой
подписи ГОСТ Р 34.10-2001.
Межсетевой
экран или сетевой
экран — комплекс аппаратных или программных
средств, осуществляющий контроль и фильтрацию
проходящих через него сетевых пакетов
на различных уровнях модели
OSI в соответствии
с заданными правилами.
Основной задачей
сетевого экрана является защита компьютерных
сетей или
отдельных узлов от несанкционированного
доступа. Также сетевые экраны часто называют
фильтрами, так как их основная задача
— не пропускать (фильтровать) пакеты,
не подходящие под критерии, определённые
в конфигурации.
Некоторые сетевые
экраны также позволяют осуществлять
трансляцию адресов — динамическую замену
адресов назначения редиректы или источника
мапинг, biNAT, NAT.
Сетевые экраны
подразделяются на различные типы в
зависимости от следующих характеристик:
- обеспечивает
ли экран соединение между одним узлом
и сетью или между двумя или более различными
сетями;
- происходит
ли контроль потока данных на сетевом
уровне или более высоких уровнях модели OSI;
- отслеживаются
ли состояния активных соединений или
нет.
В зависимости
от охвата контролируемых потоков данных
сетевые экраны делятся на:
- традиционный
сетевой (или межсетевой) экран
— программа (или неотъемлемая часть операционной
системы) на шлюзе (сервере передающем
трафик между сетями) или аппаратное решение,
контролирующие входящие и исходящие
потоки данных между подключенными сетями.
- персональный
сетевой экран — программа, установленная
на пользовательском компьютере и предназначенная
для защиты от несанкционированного доступа
только этого компьютера.
Вырожденный случай
— использование традиционного
сетевого экрана сервером, для ограничения
доступа к собственным ресурсам.
В зависимости
от уровня, на котором происходит контроль
доступа, существует разделение на сетевые
экраны, работающие на:
- сетевом
уровне, когда фильтрация происходит
на основе адресов отправителя и получателя
пакетов, номеров портов транспортного
уровня модели OSI и статических правил,
заданных администратором;
- сеансовом
уровне (также известные как stateful) — отслеживающие сеансы
между приложениями, не пропускающие пакеты
нарушающих спецификации TCP/IP, часто используемых
в злонамеренных операциях — сканировании
ресурсов, взломах через неправильные
реализации TCP/IP, обрыв/замедление соединений,
инъекция данных.
- уровне
приложений, фильтрация на основании
анализа данных приложения, передаваемых
внутри пакета. Такие типы экранов позволяют
блокировать передачу нежелательной и
потенциально опасной информации, на основании
политик и настроек.
Некоторые
решения, относимые к сетевым
экранам уровня приложения, представляют
собой прокси-серверы с некоторыми возможностями
сетевого экрана, реализуя прозрачные
прокси-серверы, со специализацией по
протоколам. Возможности прокси-сервера
и многопротокольная специализация делают
фильтрацию значительно более гибкой,
чем на классических сетевых экранах,
но такие приложения имеют все недостатки
прокси-серверов (например, анонимизация
трафика).
В зависимости
от отслеживания активных соединений
сетевые экраны бывают:
- stateless
(простая фильтрация), которые не отслеживают
текущие соединения (например, TCP), а фильтруют поток
данных исключительно на основе статических
правил;
- stateful, stateful packet
inspection (SPI)
(фильтрация с учётом контекста), с отслеживанием
текущих соединений и пропуском только
таких пакетов, которые удовлетворяют
логике и алгоритмам работы соответствующих протоколов и приложений. Такие
типы сетевых экранов позволяют эффективнее
бороться с различными видами DoS-атак и уязвимостями некоторых
сетевых протоколов. Кроме того, они обеспечивают
функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют
сложные схемы передачи данных между адресатами,
плохо поддающиеся описанию статическими
правилами, и, зачастую, несовместимых
со стандартными, stateless сетевыми экранами.
Аппаратные
средства защиты информации
К аппаратным средствам
защиты относятся различные электронные,
электронно-механические, электронно-оптические
устройства. К настоящему времени разработано
значительное число аппаратных средств
различного назначения, однако наибольшее
распространение получают следующие:
- специальные
регистры для хранения реквизитов защиты:
паролей, идентифицирующих кодов, грифов
или уровней секретности;
- устройства
измерения индивидуальных характеристик
человека (голоса, отпечатков) с целью
его идентификации;
- схемы прерывания
передачи информации в линии связи с целью
периодической проверки адреса выдачи
данных.
- устройства
для шифрования информации (криптографические
методы).