Защита информации в базах данных

<неявное_отклонение_доступа>:: =

REVOKE  (GRANT OPTION FOR]

{ALL  |   PRIVILEGES) I   |   <привилегия>   [,…n]}

{   [(имя_столбца   [,…n])]  ON

{  имя_таблицы  |  имя_просмотра}

|  ON {имя_таблицы |  имя_просмотра }

[имя_столбца  [,…n])]

| ON {имя_хранимой_процедуры |

имя_внешней_процедуры}}

TO  |   FROM {имя_пользователя  |  имя_группы  |

имя_роли} [,...n]

[CASCADE ]

[AS  {имя_группы  |  имя_роли  }]

Для неявного отклонения разрешения на выполнение команд SQL используется следующая команда:

<неявное_отклонение_разрешения>::=

REVOKE {ALL  |   <команда>[,...n]}

FROM {имя_пользователя | имя_группы | имя_роли} [,…n]

Смысл параметров аналогичен параметрам команд «GRANT» и «DENY». Параметр «GRANT OPTION FOR» используется, когда необходимо отозвать право, предоставленное параметром «WITH GRANT OPTION» команды «GRANT». Пользователь сохраняет разрешение на доступ к объекту, но теряет возможность предоставлять это разрешение другим пользователям.

Конфликты доступа

Разрешения, предоставленные роли или группе, наследуются их членами. Хотя пользователю может быть предоставлен доступ через членство в одной роли, роль другого уровня может иметь запрещение на действие с объектом. В таком случае возникает конфликт доступа.

При разрешении конфликтов доступа SQL Server руководствуется следующим принципом: разрешение на предоставление доступа имеет самый низкий приоритет, а на запрещение доступа — самый высокий. Это значит, что доступ к данным может быть получен только явным его предоставлением при отсутствии запрещения доступа на любом другом уровне иерархии системы безопасности. Если доступ явно не предоставлен, пользователь не сможет работать с данными [19, 78].

Выводы по третьей главе:

Система безопасности SQL Server имеет несколько уровней безопасности:

• операционная система; . SQL Server;
• база данных;
• объект базы данных.

Механизм безопасности предполагает существование четырех  типов пользователей:

• системный администратор, имеющий неограниченный доступ;
• владелец БД, имеющий полный доступ ко всем объектам БД;
• владелец объектов БД;
• другие пользователи, которые должны получать разрешение на доступ к объектам БД.

Модель безопасности SQL Server включает следующие компоненты:

• тип подключения к SQL Server;
• пользователь базы данных;
• пользователь (guest);
• роли (roles).

Для создания пользователя в среде MS SQL Server следует предпринять следующие шаги:

1. Создать в базе данных учетную запись пользователя, указав для него пароль и принятое по умолчанию имя базы данных (процедура sp_addlogin).

2. Добавить этого пользователя во все необходимые базы данных (процедура sp_adduser).

3. Предоставить ему в каждой базе данных соответствующие привилегии (команда GRANT).

Система безопасности SQL Server имеет иерархическую структуру, и поэтому роли базы данных включают в себя учетные записи и группы Windows 2003/ХР, пользователей и роли SQL Server. Пользователь же, в свою очередь, может участвовать в нескольких ролях и одновременно иметь разные права доступа для разных ролей. Когда одна из ролей, в которых состоит пользователь, имеет разрешение на доступ к данным, он автоматически имеет аналогичные права. Тем не менее, если возникает необходимость, пользователю можно запретить доступ к данным или командам, тогда аннулируются все разрешения на доступ, полученные им на любом уровне иерархии. При этом гарантируется, что доступ останется запрещенным независимо от разрешений, предоставленных на более высоком уровне.

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

Наиболее часто  потерпевшими от реализации различных  угроз безопасности являются финансовые и торговые организации, медицинские и образовательные учреждения. Если посмотреть на ситуацию десятилетней давности, то основной угрозой для организаций были компьютерные вирусы, авторы которых не преследовали каких-то конкретных целей, связанных с обогащением. Современные хакерские атаки стали более изощренными, организованными, профессиональными, разнообразными и, главное, имеющими конкретную цель, например направленными на хищение данных банковских счетов в конкретных банковских системах. Совершенствование сферы информационных услуг, особенно в сфере дистанционного банковского обслуживания, способствует развитию интеллекта киберпреступников.

Существует  много путей утечки информации, например визуальный контакт (видео/фото/аудиосъемка), банальный инсайд (подкуп сотрудников), утечки по техническим каналам передачи информации, на сменном носителе (флешке), сбор информации при помощи жучков и электромагнитных наводок. Кроме того, утечкой может считаться просто несанкционированный доступ к информации (ознакомление): сотрудник прочитал документ на принтере или на незалоченном компьютере коллеги, а потом рассказал другу по телефону из дома. [17]

Невозможно  предусмотреть абсолютно все  способы утечки информации, однако необходимо принимать меры по снижению рисков реализации наиболее катастрофичных угроз.

Для решения  задач защиты от утечек многие компании используют традиционные способы:

организационные меры - подписание сотрудниками положений  по использованию корпоративной  информации, прохождение инструктажа  и контроль за соблюдением норм;

внедрение систем архивирования исходящей почты  с возможностью последующего разбора  инцидентов;

разграничение прав доступа к информации, предназначенной  для выполнения служебных обязанностей;

перекрытие  компьютерных портов ввода-вывода информации;

установка на локальные  компьютеры программ, следящих за всеми  операциями пользователей (перехват клавиатуры, снятие скриншотов, контроль операций с буфером обмена);

физические  ограничения - обращение с защищаемой информацией в замкнутом сегменте сети (без интернета, без USB-портов и пр.).

По мере использования  таких традиционных методов борьбы с внутренними нарушителями и  по мере роста размеров компании, объема обрабатываемой информации стали усугубляться следующие недостатки:

• количество финансово-значимых инцидентов утечки информации увеличивается с каждым годом;
• появляются новые источники внутренних угроз (технические пути вывода информации из корпоративной информационной системы);
• малейшие ограничения пользователей информационных систем приводят к нарушению отлаженных бизнес-процессов (сотрудники не могут выполнять свои служебные обязанности);
• юридические департаменты компаний на законной основе противостоят службам безопасности, вскрывающим электронную переписку сотрудников;
• небольшой отдел информационной безопасности должен решать задачи обработки огромного числа событий от разнородных систем безопасности, среди которых приходится вручную выявлять инциденты.

Существуют  определенные правила, которых целесообразно  придерживаться при организации защиты информации:

• создание эксплуатация систем защиты информации является сложным и ответственным процессом;
• система защиты должна быть достаточной, надежной, эффективной и управляемой. Эффективность защиты информации достигается не количеством денег, потраченных на её организацию, а способностью её адекватно реагировать на все попытки несанкционированного доступа к информации;
• мероприятия по защите информации от несанкционированного доступа должны носить комплексный характер, т. е. объединять разнородные меры противодействия угрозам (правовые, организационные, программно-технические);
• основная угроза информационной безопасности компьютерных систем исходит непосредственно от сотрудников. С учетом этого необходимо максимально ограничивать круг сотрудников, допускаемых к конфиденциальной информации, так и круг информации, к которой они допускаются (в том числе и к информации по системе защиты). При этом каждый сотрудник должен иметь минимум полномочий по доступу к конфиденциальной информации. [20]

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛОССАРИЙ

№ п/п	Понятие	Содержание
1	«Вредоносные программы»	Программы с  потенциально опасными последствиями
2	Криптография	С древнегреческого означает «тайнопись». Суть ее заключается в том, что готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, то есть в закрытый текст или графическое изображение документа.
3	База данных	Это специальным  образом организованное хранение информационных ресурсов в виде интегрированной совокупности файлов, обеспечивающей удобное взаимодействие между ними и быстрый доступ к данным.
4		Это динамичный объект, меняющий значения при изменении состояния отражаемой предметной области (внешних условий по отношению к базе).
5	Система управления базой данных (СУБД)	Это программное  обеспечение, с помощью которого пользователи могут определять, создавать  и поддерживать базу данных, а также  осуществлять к ней контролируемый доступ.
6	Языковые средства	Включают языки программирования, языки запросов и ответов, языки описания данных.
7	Методические  средства	Это инструкции и рекомендации по созданию и функционированию банка данных, выбору СУБД.
8	Технической основой банка данных	Является ЭВМ, удовлетворяющая определенным требованиям по своим техническим характеристикам.
9	Транзакция	Представляет  собой набор действий, выполняемых отдельным пользователем или прикладной программой с целью доступа или изменения содержимого базы данных.
10	Система времени  выполнения	Это часть СУБД, необходимая при работе с базой данных.
11	Microsoft Access 2003	Это полнофункциональная  реляционная СУБД.
12	Инференцией	Понимается  получение конфиденциальной информации из сведений с меньшей степенью конфиденциальности путем умозаключений.
13	Контекстно-ориентированной защиты	Заключается в  назначении атрибутов доступа (чтение, вставка, удаление, обновление, управление и т. д.) элементам базы данных (записям, полям, группам полей) в зависимости от предыдущих запросов пользователя.
14	Контрольная тонка	Это операция согласования состояния базы данных в физических файлах с текущим состоянием кэша - системного буфера.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК  ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. О защите персональных данных: федеральный закон от 27.07.2006 № 152-ФЗ
2. Microsoft SQL Server. Эффективная работа / А. Вишневский. - СПб.: Питер, 2009. – 544 с., ил.
3. Алферов, А.П. Основы криптографии / А.П. Алферов, А.Ю. Зубов, Кузьмин, А.В.Черемушкин. – М.: Гелиос АРБ, 2002. – 480 с.
4. Брассар, Ж.Б. Современная криптология / Ж.Б. Брассар; Ред. А.Н. Лебедева. – М.: Издательско-полиграфическая фирма ПОЛИМЕД, 1999. – 176 с.
5. Виноградов Г.П., Кирсанова Н.В. Проектирование  структуры и создание реляционных баз данных средствами СУБД Access: Учебное пособие. 1-е изд. Тверь: ТГТУ, 2006. 84 с.
6. В. Шаньгин Компьютерная безопасность информационных систем: Учебное пособие, МИФИ, 2008 г.
7. Герасименко, В.А. Основы защиты информации / В.А.Герасименко, А.А. Малюк. – М.: Инфо, 1994. – 540с.
8. Защита информации / А.Ю. Ефремов, Н.Б. Еремеев. – Учеб. пособие по лабораторному практикуму. – Харьков: Нац. аэрокосм. ун-т «Харьк. авиац. ин-т», 2004. – 45с.
9. Информатика. Базовый курс. /Симонович С.В. и др. — Спб.: Питер, 2006. — 640 с.
10. Леонтьев В.П. Новейшая энциклопедия персонального компьютера 2005. – М.:ОЛМА-ПРЕСС Образование, 2005. – 800с. 
11. Проектирование серверной инфраструктуры баз данных Microsoft SQL Server 2005. / Дж. К. Макин, М. Хотек – Учебный курс Microsoft (+ CD-ROM). - СПб.: БХВ-Петербург, 2008. – 560 с., ил.
12. Экономическая информатика и вычислительная техника./ Под ред. В.П. Косарева. М.: Финансы и статистика, 2005. –592с.
13. Брайн Сноу Четыре пути повышения безопасности // Открытые системы – 2005, №7-8. С. 78-81.
14. Защита информации в компьютерных системах – слагаемые успеха // Компьютерные сети, программирование. – 2005, №8. – С. 2-6.
15. Е. Варакса, эксперт по информационной безопасности Защита информации - безопасность для бизнеса // «Финансовая газета», N 8, февраль 2011 г.
16. А. Чачава, президент LETA IT-Сompany Защита информации от внутренних угроз // «Консультант», N 1, январь 2007 г.
17. А. Синельников, руководитель отдела защиты от утечек информации Компания LETA Защита от утечки информации // «Финансовая газета», N 23, июнь 2011 г.
18. И.А. Баймакова, фирма «1С» Защита персональных данных: новые документы регуляторов // «БУХ.1С», N 4, апрель 2010 г.
19. Казакевич, О.Ю. Предприниматель в опасности: способы защиты. Практическое руководство для предпринимателей и бизнесменов / О.Ю. Казакевич, Н.В.Конев, В.Г. Максименко и др. – М.: Юрфак МГУ, 1992. – с. 46-47.
20. К. Засецкая, инженер направления информационной безопасности департамента системной интеграции Информационная безопасность, комплексная защита информации - насколько актуальны сегодня эти вопросы? // «Управление персоналом», N 11, июнь 2010 г.
21. Е. Хохлов, аспирант ИГП РАН Комментарии к новому закону об информации // «Корпоративный юрист», N 1, январь 2007 г.
22. П. Ерошкин, начальник управления информационной безопасности компании «Техносерв» Комплексная система защиты информации // «Финансовая газета. Региональный выпуск», N 10, март 2011 г.
23. В. Андреев, к.ф.-м.н., заместитель директора по науке и развитию ЗАО ИВК Построение эффективной системы информационной безопасности // «Финансовая газета», N 16, апрель 2010 г.
24. В. Левцов, директор департамента развития Система защиты от утечек информации // «Финансовая газета. Региональный выпуск», N 48, ноябрь 2008 г.
25. Н. Зенин, руководитель направления защиты коммерческих тайн LETA IT-company  Система защиты от утечек информации // «Финансовая газета. Региональный выпуск», N 48, ноябрь 2008 г.
26. А. Овчинникова, ведущий специалист компании «Информзащита» Способы защиты информации // «Финансовая газета. Региональный выпуск», N 37, сентябрь 2006 г.