- •Модуль 2 Конспект лекций Введение
- •1. Постановка задачи обеспечения информационной безопасности баз данных
- •1.1. Этапы научного формирования проблемы обеспечения информационной безопасности баз данных
- •1.2. Критерии качества баз данных
- •1.3. Сущность понятия безопасности баз данных
- •1.4. Основные подходы к методам построения защищенных информационных систем
- •1.5. Архитектура систем управления базами данных
- •2. Угрозы информационной безопасности баз данных
- •2.1. Источники угроз информации баз данных
- •2.2. Классификация угроз информационной безопасности баз данных
- •2.3. Угрозы, специфичные для систем управления базами данных
- •3. Атаки, специфические для баз данных
- •3.1. Подбор и манипуляция с паролями как метод реализации несанкционированных прав
- •3.2. Нецелевое расходование вычислительных ресурсов сервера
- •3.3. Использование триггеров для выполнения незапланированных функций
- •3.4. Использование sql-инъекции для нештатного использования процедур и функций
- •4. Политика безопасности
- •4.1. Сущность политики безопасности
- •4.2. Цель формализации политики безопасности
- •4.3. Принципы построения защищенных систем баз данных
- •4.4. Стратегия применения средств обеспечения информационной безопасности
- •5. Обеспечение безопасности баз данных
- •5.1. Методы обеспечения безопасности
- •5.2. Избирательное управление доступом
- •5.3. Обязательное управление доступом
- •5.4. Шифрование данных
- •5.5. Контрольный след выполняемых операций
- •5.6. Поддержка мер обеспечения безопасности в языке sql
- •5.7. Директивы grant и revoke
- •5.8. Представления и безопасность
1.3. Сущность понятия безопасности баз данных
Понятие безопасности системы вообще, и экономической системы в частности, интуитивно достаточно ясно. Проблемы с обеспечением безопасности некоторого бизнес-процесса, конкретного объекта или человека возникают регулярно и решаются, по крайней мере, на уровне здравого смысла.
В то же время достаточно четко сформулировать понятие безопасности некоторой системы не просто. Ставить же задачу обеспечения безопасности функционирования какой-либо системы, не определив само понятие безопасности, неправильно, так как отсутствие ясного понимания цели проекта обычно ведет к нерациональному использованию ресурсов и, возможно, к срыву всего проекта. Поэтому на государственном уровне сформулированы и законодательно оформлены документы, определяющие концепцию национальной безопасности и концепцию экономической безопасности России.
В этих документах, а также во многих научных работах понятие безопасности связывается с защитой некоторых активов от угроз. Угрозы классифицируются в зависимости от возможности нанесения ущерба защищаемым активам. В качестве основных обычно рассматриваются угрозы, которые связаны с умышленными действиями или непреднамеренными действиями людей. Помимо угроз, связанных с деятельностью человека, существуют и рассматриваются угрозы, связанные с объективными процессами, происходящими в природе, такими, как стихийные бедствия, физические процессы, влияющие на распространение радиоволн, и т. п.
Безопасность ИС можно определить как состояние защищенности ИС от угроз ее нормальному функционированию. Под защищенностью понимается наличие средств ИС и методов их применения, обеспечивающих снижение или ликвидацию негативных последствий, связанных с реализацией угроз. Изложенный подход к определению понятия безопасность ИС предполагает, что перечень и содержание угроз достаточно хорошо определены и достаточно стабильны во времени.
Некоторые сферы экономической деятельности, например электронный бизнес, характеризуются высокой динамикой. Достаточно часто обновляется программное обеспечение, в том числе и программное обеспечение ИС, идет непрерывный поиск и внедрение новых аппаратных средств и методов взаимодействия с бизнес-партнерами и конечными пользователями, например, платежные системы ориентированы на мобильные коммуникаторы. В этом случае возможен несколько иной подход к определению безопасности.
Безопасность ИС можно определить как свойство системы адаптироваться к агрессивным проявлениям среды, в которой функционирует система, обеспечивающее поддержку на экономически оправданном уровне характеристики качества системы. В сформулированном определении основной акцент делается не на перечне и содержании угроз, нейтрализация которых обеспечивается, а на особую характеристику качества системы. При этом основной критерий качества ИС является экономическим, т. е. оценка средств и методов обеспечения безопасности осуществляется на основе учета затрат на реализацию механизмов безопасности и потенциальных выгод от недопущения ущерба, связанного с целенаправленным или случайным агрессивным проявлением среды.
Уверенность в безопасности ИС может быть достигнута в результате согласованных действий, предпринимаемых в процессе разработки, оценки и эксплуатации объекта оценки. Функциональное назначение оценки безопасности ИС — получение определенной степени уверенности в том, насколько система удовлетворяет предъявляемым к ним требованиям. Результаты оценки должны помочь потребителю установить, достаточен ли уровень безопасности системы для предполагаемых применений этой системы и являются ли приемлемыми остаточные риски.