Вопрос 8

СУБД – совокупность программных или лингвистических средств общего и социального назначения обеспечивающих создание и использование БД.

Основные функции:

• Управление данными во внешней памяти (на диск)

• Управление данными в ОП

• Журнализация изменения, резервное копирование и восстановление БД

• Поддержка языков БД

Компоненты СУБД:

1. Ядро

2. Процессор языка БД (оптимизация запросов на извлечение или изменение данных)

3. Подсистема поддержки времени исполнения…

4. Сервисные программы

Классификации СУБД:

По моделям данных:

1. Иерархические

2. Сетевые

3. Реляционные

4. Объектно-ориентированные

5. Объектно-реляционные

По степени определенности:

1. Локальные СУБД

2. Распределенные СУБД

По способу доступа к БД:

1. Файл-серверные

2. Клиент-серверные

3. Встраиваемые

Вопрос 9

ACCESS

Таблицы – объект БД в котором хранятся данные в вид записи(строк) и полей(столбцов). Является основным структурным элементом системы реляционной БД.

Запрос – объект БД , являющийся элементом пользовательского интерфейса, предназначенный для просмотра ввода и модификации данных одной и более таблиц.

Отчет – объект БД, предназначенный для анализа и вывода на печать данных организованных и отформатированных в соответствии с требованиями пользователя.

Макрос – макро команда или набор макрокоманд используемы для автоматизации задач.

Модуль-объект БД который позволяет создавать библиотеки подпрограммки функций используемых в основном приложении.

Проектирование БД состоит из двух основных фаз Логического и Физического моделирования.

Во время фазы логического проектирования конструктор собирает требования и разрабатывает модель независящие от конкретной СУБД. Во время фазы физического моделирования конструктор создает модель оптимизированного для конкретного приложения СУБД. .

Процесс проектирования БД состоит из следующих этапов:

1. Сбор информации

2. Идентификация объектов

3. Моделирование объектов

4. Идентификация типов информации для каждого объекта

5. Идентификация отношений

6. Нормализация

7. Преобразование физической модели

8. Создание БД

Лекция (17.03.14)

БЕЗОПАСНОСТЬ

ИБ рассматривается как безопасность системы, прим котором:

1. Система способна противостоять дестабилизирующему воздействию внутренних и внешних угроз

2. Функционирование и Сам факт существования не создают угроз как для ..элементов самой системы.

На практике ИБ обычно рассматривается как совокупность базовых свойств защищаемой информации:

1. Конфиденциальность – доступ к информации могут получить только легальные пользователи

2. Целостность – защищаемая информация может быть изменена только законными и/или имеющими полномочия пользователи. Информация внутренне непротиворечива и отражает реальное положение вещей

3. Доступность – беспрепятственный доступ к защищаемой информации для легальных пользователей.

Деятельность, направленная на обеспечение ИБ принято называть защитой информации.

Теоретические методы безопасности решают 2 основные задачи:

1. Формализация разного рода процессов, связанных с Обеспечением ИБ.

2. Строгое обоснование корректности и адекватности функционирования систем ОИБ при проведении анализа их защищенности.

Угроза ИБ – потенциально возможное процесса или явления, которое может нанести ущерб чьим-либо интересам.

- возможность реализации воздействия на информацию, обрабатываемую в ОС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а так же возможность воздействия на компоненты автоматизированной системы, приводящей к их утрате, уничтожению или сбоев функционирования.

Классификация угроз:

1. По природе возникновения:

• Естественные – угрозы, возникшие в результате воздействия на АС стихийных природных явлений или объективных физических процессов не зависящих от человека.

• Искусственные – вызванные действиями человеческого фактора.

1. По степени преднамеренности:

• Случайные – халатность, непреднамеренные ошибки персонала.

• Преднамеренные – результат направленной деятельности злоумышленника.

1. В зависимости от источника угроз:

• Источник: природная среда. (пожары, наводнения)

• Источник: человек. (кража)

• Источник: санкционированные программно-аппаратные средства. (некомпетентное использование утилит)

• Источник: несанкционированное ПАС (вирусы)

1. По положению источника угрозы:

• Угроза расположена в неконтролируемой зоне (снятие вибраций)

• Угроза расположена в пределах контролируемой зоны (диктофоны, камеры)

1. По степени воздействия на АС:

• Пассивные. При реализации не осуществляют никаких изменений в составе и структуре АС (копирование)

• Активные. Нарушает структуру АС (грубое проникновение, уничтожение)

1. По способу доступа к ресурсам АС:

• Стандартный доступ. (получение пароля незаконными путями)

• Не стандартный доступ. (использование недикларированных средств защиты)

Критерии классификации угроз на практике:

1. Угроза нарушения конфиденциальности. В результате чего информация становится доступна субъекту, не располагающему полномочиями для ознакомления с ней.

2. Угроза нарушения целостности. Намеренное искажения в помощью Автом. Средств.

3. Угроза нарушения доступности. Доступ к некоторому ресурсу АС для легальных пользователей блокируется.

Методы перечисления угроз:

1. Построение произвольных списков угроз. Возможные угрозы выявляются экспертным путем и фиксируются случайным неструктурированным образом. Для данного подходя характерны неполнота и противоречивость результатов.

2. Построение деревьев угроз. Угрозы описывается в виде 1 или нескольких деревьев, детализация угроз осуществляется сверху вниз и в конечном итоге каждых лист дерева дает описание конкретной угрозе. Между поддеревьями могут быть организованы логические связи.

3. Построение систем защиты от нарушений конфиденциальности информации.

Модель системы защиты. При построении систем защиты от угроз нарушений конфиденциальности используется комплексный подход.

Схема выстраиваемой эшелонированной системы защиты:

1. Организационные меры и меры обеспечения физической безопасности

Данные механизмы в общем случае предусматривают: развертывание системы контроля и разграничение физического доступа к элементам АС, создание службы охраны и физической безопасности. Организация механизмов контроля посетителей. Разработка и внедрение регламентов, должностных инструкций. Регламентация порядка работы с носителями, содержащими КИ.

2. Идентификация и аутентификация

Идентификация – присвоение субъекту доступа уникальных идентификаторов и сравнение их с перечнем возможных.

Аутентификация – проверка принадлежности субъекту доступа предъявленного идентификатора и подтверждение его подлинности.

Методы аутентификации:

1. Методы основанные на знании некоторой секретной информации. (пароль)

2. Использование уникального предмета (пропуск, карта)

3. Биометрические характеристики человека

4. Информация, ассоциированная с пользователями. (GPS)

Особенности парольных систем и аутентификация. Причины использования парольных систем:

1. Простота реализации

2. Традиционность

Для парольных системы защиты характерен парадокс, затрудняющий их эффективную реализацию. Стойкий пароль мало пригоден для использования человеком. Стойкость пароля по мере его усложнения. Чем сложнее пароль, тем труднее его запомнить.

Угроза безопасности парольных систем:

Способ 1: за счет использования слабостей человеческого фактора

Способ 2: путем перебора/подбора.

Полный перебор, подбор по словарю, подбор с использованием сведений о пользователе, за счет недостатка реализации парольных систем.

Оценка стойкости парольных систем:

A – мощность алфавита

L –длина пароля

S = A*L

V – скорость подбора паролей

T – срок действия

P – вероятность подбора пароля в результате действия

P = (V*T)/S

Методы хранения паролей: В открытом виде, в виде хэш значений, зашифрованный вид.

Ключи могут храниться на одном из постоянных элементов системы, на некотором носителе, могут генерироваться из других параметров безопасности.