- •1. Перечислите внутренние источники угроз безопасности баз данных и системы управления базами данных (субд).
- •2. Какие основные компоненты включает архитектура систем управления базами данных, коротко дайте им определение.
- •3. Перечислите угрозы информационной безопасности баз данных, непосредственным источником которых является человек.
- •5. В чем заключается сущность понятия безопасности баз данных. Перечислите основные модели доступа к базам данных и поясните их.
- •6. На какие общие характеристики можно разделить качество систем баз данных. Какими характеристиками отражается функциональная пригодность баз данных, коротко дайте им определение.
- •7. Перечислите атаки воздействия на информацию, специфические для баз данных. Какие методы подбора паролей вы знаете, охарактеризуйте их.
- •8. Перечислите принципы построения защищенных систем баз данных, поясните принцип «минимально возможных привилегий для пользователей и администраторов».
- •9. Перечислите методы аутентификации участников взаимодействия в процессе обработки баз данных. Охарактеризуйте аутентификацию, основанную на знании.
- •10. Перечислите внешние дестабилизирующие факторы, создающие угрозы безопасности баз данных.
- •12. Какие основные свойства содержит структура свойств информационной безопасности баз данных. Что означает обеспечение конфиденциальности баз данных.
- •15. Какие основные свойства содержит структура свойств информационной безопасности баз данных. Что означает обеспечение целостности баз данных.
- •16. Какие угрозы информационной безопасности баз данных включает классификация по цели реализации и по природе возникновения угроз.
- •17. Какие основные компоненты включает архитектура систем управления базами данных, коротко дайте им определение.
- •18. Перечислите принципы построения защищенных систем баз данных, поясните принцип «распределения полномочий».
- •Поясните структурную схему Системы разграничения баз данных (диспетчер доступа).
8. Перечислите принципы построения защищенных систем баз данных, поясните принцип «минимально возможных привилегий для пользователей и администраторов».
>>>
Принципы:
- экономическая оправданность механизмов защиты (использование простейшего из всех возможных вариантов защиты БД);
- открытое проектирование (технология защиты не должна базироваться на "секретных" алгоритмах);
- распределение полномочий между различными субъектами в соответсвии с правилами организации (для критически важных приложений целесообразно использовать многокомпонентные системы доступа к данным - аутенификация, например);
- минимально возможные привелегии для пользователей и администраторов (направлен на то, чтобы каждый пользователь оперировал с данными используя наименьший из возможных наборов привелегий, необходимых для выполнения конкретной операции. Нацелен на минимизацию ущербы, который может быть нанесен в случае сбоя, ошибки ПО или компрометации элементов системы защиты БД);
- упраляемость системы при возникновении отказов и сбое (проектировано ИС должно осуществляться в предположении, что ошибки ОС и СУБД, а также сбои аппаратуры неизбежны);
- психологическая приемлимость работы средст защиты БД (взаимодействие пользователя и машины не должно быть сложным).
>>>
Принцип «минимально возможных привилегий для пользователей и администраторов» (разрешено все, что явно не запрещено) направлен на то, чтобы каждый пользователь оперировал с данными используя наименьший из возможных наборов привелегий, необходимых для выполнения конкретной операции. Нацелен на минимизацию ущербы, который может быть нанесен в случае сбоя, ошибки ПО или компрометации элементов системы защиты БД.
9. Перечислите методы аутентификации участников взаимодействия в процессе обработки баз данных. Охарактеризуйте аутентификацию, основанную на знании.
>>>
Методы аутентификации участников взаимодействия в процессе обработки баз данных:
- аутентификация, основанная на знаниях(пароль...);
- аутентификация, основанная на наличии (конфиденциальный предмет...);
- аутентификация, основанная на проверке некоторой характеристики;
>>>
Аутентификация, основанная на знании:
+: простота
-: простота дублирования
Меры для уменьшения угрозы компрометации:
- ограничения срока действия пароля;
- максимальный срок действия пароля 30-60 дней;
- СУБД должна хранить не только пароли, но и образы последних 5-10 паролей, для обеспечения уникальности пароля;
- ограничения на содержание пароля ( от 8 символов, аА буквы, не должен содержать имени, трудноугадываемый);
- блокировка терминала/пользователя при вводе нескольки раз неправильного пароля;
- генерация пароля ОС;
- пароль и отзыв;
- разовый пароль.
10. Перечислите внешние дестабилизирующие факторы, создающие угрозы безопасности баз данных.
>>>
Внешние дестабилизирующие факторы:
- умышленное, деструктивные действия лиц с целью искажения, уничтожения, хищения программ, данных и документов системы, причиной которых является нарушение ИБ защищаемого объекта;
- искажение в каналах передачи данных, а также недопустимые значения, изменение характеристик их внешней среды и внутри системы;
- сбои и отказы в аппаруре вычислительных средств;
- вирусы и иные деструктивные программные элементы, распространяемые с использованием систем телекоммуникаций, обеспечивающих связь с внешней средой или внутренние коммуникации распределенной БД;
- изменение состава и конфигурации комплекса взаимодействующей аппаратуры системы за пределы, проверенные при тестировании или сертификации системы.
11. На какие общие характеристики можно разделить качество систем баз данных. Перечислите основные конструктивные характеристики качества информации систем баз данных, что такое актуальность (достоверность) данных.
>>>
Важнейшими характеристиками качества СУБД является требования функциональной прогодности для процессоы формирования и изменения информационного наполнения БД администраторами, а также доступа к данным и представление результатов пользователям БД.
>>>
Требования к качеству:
- надежность и защищенность применения;
- удобство пользователю системы;
- эффективность использования ресурсов.
>>>
Характеристики качества:
- функциональные (Определяется на основании требований реальным значениям необходимых показателей и критериев. Мерой качества может выступать степень соответствия доступной пользователям информации целям создания, назначению и функциям системы БД);
- конструктивные (Показатели качества в стандарте ISO: объем БД, оперативность, глубина ретроспективы, динамичность).
>>>
Конструктивные характеристики качества информации систем баз данных
- объем БД ();
- оперативность ();
- глубина ретроспективы (максимальный интервал времени от даты выпуска иили записи в БД самого раннего документа до настоящего времени);
- динамичность (относительное число изменяемых описаний объектов к общему числу записей в БД за некоторый интервал времени, определяемых приодичностью изданий версий БД).
>>>
Актуальность данных - это относительное число устаревших данных об объетах в БД к общему числу накопленных и обрабатываемых объектов.