- •Глава 1 Введение в информационные системы
- •Глава 1. Введение в информационные системы
- •1.1 Что такое информационная система
- •1.2. Цели, функции и структура ис
- •1.3 Основные типы информационных систем
- •Контрольные вопросы
- •Задания
- •Глава 2 Функции, задачи и средства защиты данных в информационных системах
- •2.1. Функции и задачи защиты данных
- •В информационных системах
- •2.2. Обязанности администратора бд по защите данных в ис
- •В информационных систем
- •Контрольные вопросы
- •Задания
- •3.2. Идентификация пользователя
- •Частота выбора пароля человеком и его раскрываемость
- •На основе простейшего алгоритма
- •И аутентификации пользователя
- •3.3. Управление доступом к данным в информационных системах, основанных на реляционной модели
- •Глава 4 Обеспечение целостности данных в информационных системах, основанных на реляционной модели
- •4.1. Целостность данных и ограничения целостности
- •4.2. Семантическая целостность (целостность сущностей)
- •4.3. Ссылочная целостность
- •Контрольные вопросы
- •Задания
- •Глава 5. Основные методы и приемы защиты данных при несанкционированном доступе
- •5.1 Общая характеристика основных методов и приемов защиты данных при несанкционированном доступе
- •Методов защиты данных
- •5.2. Методы подстановки
- •5.3. Методы перестановки
- •Контрольные вопросы
- •Задания
- •Глава 6. Реализация защиты данных в информационных системах
- •6.1. Концепции разработки ис
- •6.2. Особенности реализации защиты данных при разработке ис в рамках концепции баз данных
- •Р исунок 8. Определение первичного ключа для таблицы «Студент»
- •Значений первичного ключа
- •Не соответствующих типу поля
- •Для задания интервала значения числового поля в субд access
- •По формату и интервалу значений в субд access
- •Для задания формата данных (поле «№ телефона»)
- •Для поля «Тип учреждения» таблицы «Участники конференции»
- •Поля «Тип учреждения» таблицы «Участники конференции»
- •6.3. Особенности реализации защиты данных при разработке ис в рамках концепции файловых систем
- •Контрольные вопросы
- •Задания
- •Заключение
- •Библиографический список
- •Приложение Как устроен файл .Dbf
- •Построение заголовка файла .Dbf
- •Алфавитно-предметный указатель
Контрольные вопросы
1. Что такое система и какими свойствами характеризуется любая система?
2. Что следует понимать под информационной системой, информационной потребностью пользователя, информационной задачей и запросом?
2. Каковы основные функции информационных систем?
3. Какова структура информационных систем?
4. В чем основное назначение организационно-технологического обеспечения ИС?
5. По каким признакам классифицируют информационные системы?
6. Чем отличаются информационно-поисковые системы от информационно-справочных систем?
7. Каким требованиям должны удовлетворять банки данных?
8. Каковы принципы построения банков данных?
9. Какие критерии смыслового соответствия используются в современных информационных системах?
Задания
1. Приведите примеры ИС, работающих в режиме информационно-поисковых информационных систем. Сформулируйте не мене 3 соответствующих запросов для каждой из них.
2. Перечислите технологии, обеспечивающие формализацию смыслового содержания текстов на естественном языке, и выделите наиболее перспективные из них. Ответ обоснуйте.
3. Приведите пример специализированной ИС, охарактеризуйте ее по каждому из компонентов, выделите программное и аппаратное программное обеспечение, направленное на реализацию специфических функций такой ИС.
4. Опишите круг информационных задач, которые способна реализовывать ИС «Телефонный справочник». Определите, к какому классу относится данная ИС.
5. Опишите круг информационных задач, которые способна реализовывать информационная система продажи и резервирования железнодорожных билетов «Экспресс». Определите, к какому классу относится данная ИС.
Глава 2 Функции, задачи и средства защиты данных в информационных системах
2.1. Функции и задачи защиты данных
В информационных системах
Качество функционирования любой информационной системы во многом зависит от сохранности данных, на основе обработки которых реализуются конкретные информационные задачи (информационные потребности пользователей). Таким образом, среди наиважнейших задач, реализуемых в ИС – задача сохранности (защиты) хранимых данных.
Выделяют две основные функции защиты данных в информационных системах: функцию безопасности и функцию секретности.
Функция безопасности предполагает защиту данных при сбоях аппаратуры, программного обеспечения, некорректной работы пользователей, то есть при непреднамеренной порче (искажении) или разрушении данных. Сюда следует отнести и защиту от ошибок персонала при вводе данных, которая обеспечивается за счет реализации ограничений целостности (подробно об этом в четвертой главе пособия). В соответствии с функцией безопасности ИС должна быть спроектирована и реализована таким образом, чтобы свести к минимуму возможные потери в указанных ситуациях, для каждой из которых характерны свои специфические способы и методы защиты.
Фактически реализация защиты данных в рамках функции безопасности является внутренней задачей ИС.
Функция секретности предполагает защиту данных при несанкционированном доступе, преднамеренной порче данных, их краже. Реализация функции секретности предполагает разделение всех данных на две группы: секретные данные и общедоступные.
Следует заметить, что секретность, как функция защиты данных в ИС семантически шире понятия «секретность информации». Как известно, применительно к современным условиям и назначению ИС и систем связи все виды информации можно подразделить на три группы:
секретную;
конфиденциальную;
общедоступную (открытую).
Секретной (по-английски – classified) принято считать информацию, отнесенную к государственной тайне, сохранность которой регламентируется, соответствующими законами и за разглашение которой установлена уголовная ответственность.
Информация, которая не должна стать известной посторонним, но не имеющая гриф секретности, является конфиденциальной и по-английски называется sensitive (чувствительная, подлежащая защите).
Таким образом, к конфиденциальной относят информацию, которая предназначена для использования ограниченным кругом лиц и утечка которой, хотя и не наносит государственного ущерба, но может нанести значительный ущерб определенному кругу лиц или фирм. Примером конфиденциальной информации являются коммерческие секреты, которыми пользуются доверенные лица какой-либо фирмы, банка и т.п. Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации. Кроме этого, 11 статья закона «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ» определяет персональные сведения о гражданах как конфиденциальные и регламентирует порядок их использования.
Статья 11. Информация о гражданах (персональные данные)
1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации. Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4. Подлежит обязательному лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных. Порядок лицензирования определяется законодательством Российской Федерации.
5. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 настоящего Федерального закона и законодательства о персональных данных.
Открытой информацией называется такая информация, доступ к которой не ограничен.
Случайные или преднамеренные воздействия могут повлечь ухудшение качественных характеристик процессов функционирования ИС и в тех случаях, когда сами данные остались в полной сохранности, а повреждения (порча, кража и т.п.) касаются программного и аппаратного обеспечения ИС. Это также должно быть учтено при определении совокупности задач обеспечения качественного функционирования ИС. Следует заметить, что развитие телекоммуникационной инфраструктуры, предпочтительность клиент-сервер-ной архитектуры ИС, расширение круга пользователей ИС являются дополнительными факторами нарушения функционирования ИС и предопределяют необходимость более широко рассматривать вопросы защиты данных в ИС. Целесообразно рассматривать в совокупности все средства, методы и мероприятия, используемые для защиты информации в ИС, объединенные в единый целостный механизм - систему защиты, которая должна работать на всех этапах жизненного цикла ИС. При этом многообразие вариантов построения информационных систем порождает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них. Исходя из конкретных особенностей ИС, при разработке всей системы защиты следует обеспечить защиту объектов информационных систем, защиту процессов, процедур и программ обработки информации, защиту каналов связи, подавление побочных электромагнитных излучений, управление системой защиты.
Таким образом, сегодня следует говорить об информационной безопасности ИС.
Под информационной безопасностью информационной системы понимают свойство защищенности ее информационной сферы (совокупности информационных ресурсов и информационной инфраструктуры) от случайных или преднамеренных воздействий естественного или искусственного характера, способных привести к ухудшению заданных качественных характеристик функционирования ИС.
В соответствии с федеральным законом «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ» под информационными ресурсами понимают отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Таким образом, разделяя данные, подлежащие хранению и обработке в ИС на общедоступные и секретные, к последним относят данные соответствующие не только секретной, но и соответствующие конфиденциальной информации. Кроме того, конфиденциальность данных рассматривают двояко: сами данные могут являться конфиденциальными, а также конфиденциальным может являться и результат их обработки.
Сказанное выше свидетельствует, что решение широкого спектра вопросов, связанных с защитой данных в ИС в рамках функции секретности, находится в компетенции юридических лиц или в компетенции администрации предприятия, где функционирует ИС. Следовательно, функция секретности – это внешняя по отношению к ИС задача. Реализацию функции секретности, как правило, связывают с физической защитой данных или по-другому с защитой данных при несанкционированном доступе (подробнее об этом в пятой главе пособия).
В целом же функции защиты данных в ИС реализуются на основе широкого спектра методов, которые можно разделить на организационные, процедурные, структурные, аппаратные и программные [30].
Основной целью использования организационных методов является ограничение круга лиц, получающих право доступа к аппаратуре, на которой функционирует ИС. В рамках указанного метода предпринимаются меры по организации режима доступа, мероприятия по обеспечению надежного хранения носителей данных, регламентируются технологические схемы автоматизированной обработки информации, обязанности обслуживающего персонала и пользователей ИС.
Целью использования процедурных методов защиты данных в ИС является обеспечение доступа к данным тех пользователей, которые имеют соответствующие права. Важная роль при этом отводится администратору БД, обязанности которого (в указанном аспекте) рассмотрены в следующем параграфе этой главы.
Структурные методы защиты данных применяются на этапе проектирования структуры базы данных. Основная цель использования этой группы методов состоит в обеспечении такой структуризации данных, при которой их распределение по группам, логическим и физическим записям, установление взаимосвязей между ними позволяют повысить уровень защищенности всей БД.
Аппаратными средствами защиты данных являются разнообразные электронные устройства, встраиваемые в состав технических средств вычислительной системы или сопрягаемые с ними с помощью стандартного интерфейса. К ним же относятся различные датчики, представляющие собой радиолокационные устройства, инфракрасные приборы, оконные и дверные контакты и многое другое.
Программные методы защиты достаточно эффективны при защите данных от несанкционированного доступа. Программные методы защиты данных в ИС могут быть реализованы следующими различными способами:
включение разработанных программ в состав используемых операционных систем;
включение разработанных программ в состав СУБД, но основе которой функционирует ИС;
выделение программ защиты данных в отдельный пакет, инициализация которого происходит перед началом процесса обслуживания запросов пользователей.
Важными характеристиками программных методов являются их универсальность, гибкость, простота реализации, возможность модификации и развития. Следует заметить, что программные методы защиты данных в ИС используются для реализации широкого спектра приемов как обеспечения санкционированного, так и защиты от несанкционированного доступа.
Все сказанное выше свидетельствует, что реализация функций защиты данных в ИС, построение системы ее безопасности, предполагает следующую последовательность выполняемых при этом работ (этапов построения системы безопасности ИС):
определение информационных и технических ресурсов, а также объектов ИС, подлежащих защите;
выявление всевозможных потенциальных угроз и каналов утечки информации;
оценка уязвимости ресурсов ИС при имеющихся угрозах и каналах утечки;
определение требований к системе защиты информации;
осуществление выбора средств защиты информации и их характеристик;
внедрение и организация использования выбранных мер, способов и средств защиты;
осуществление контроля целостности и управление системой защиты