Проектирование системы защиты хранения данных в информационной базе

Основные угрозы по отношению к информации. Понятия, методы и способы обеспечения защиты данных. Требования к системе защиты. Механизм авторизации в информационной базе для определения типа пользователя. Работа администратора с системой безопасности.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 24.06.2013
Размер файла 201,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Целью данной курсовой работы является изучение методов защиты информации и проектирование системы защиты данных в информационной базе. Для достижения данной цели необходимо:

· Определить предметную область изучения.

· Определить требования пользователей к системе защиты

· Описать пути реализации данной информационной системы

Глава 1. Основные понятия и методы защиты данных

Интерес к вопросам защиты информации в последнее время вырос, что связывают с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением использования сетей, а, следовательно, и возможностей не санкционированного доступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Инфopмaция, циpкулиpующaя в ниx, мoжeт быть нeзaкoннo измeнeнa, пoxищeнa или уничтoжeнa. Поэтому основной проблемой, которую должны решить проектировщики при создании системы защиты данных в ИБ, является проблема обеспечения безопасности хранимых данных, предусматривающая разработку системы мер обеспечения безопасности, направленных на предотвращения не санкционированного получения информации, физического уничтожения или модификации защищаемой информации. Вопросы разработки способов и методов защиты данных в информационной базе являются только частью проблемы проектирования системы защиты в ЭИС и в настоящее время получили большую актуальность.

Чтобы разработать систему защиты, необходимо, прежде всего, определить, что такое «угроза безопасности информации», выявить возможные каналы утечки информации и пути не санкционированного доступа к защищаемым данным.

Предлагаем под «угрозой безопасности информации» понимать «действие или событие, которое может привести к разрушению, искажению или не санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и обрабатываемые средства».

Случайные угрозы включают в себя ошибки, пропуски и т. д., a тaкжe события, независящие oт человека, например природные бедствия. Бедствия бывают природными или вызванными деятельностью. Меры защиты от них - в основном, организационные. K ошибкам аппаратных и программных средств относятся повреждения компьютеров и периферийных устройств (дисков, лент и т.д.), ошибки в прикладных программах и др.

К ошибкам по невниманию, довольно часто возникающим во время технологического цикла обработки, передачи или хранения данных, относятся ошибки оператора или программиста, вмешательство во время выполнения тестовых программ, повреждение носителей информации и др.

Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал организации, сервисное звено и т.д.), так и люди, внешние по отношению системе, так называемые «хакеры». На примере практической деятельности коммерческих банков можно перечислить основные виды угроз безопасности хранимой информации средства их реализации, к которым отнесли:

- копирование и кража программного обеспечения;

- несанкционированный ввод данных;

- изменение или уничтожение данных на магнитных носителях;

- саботаж;

- кража информации;

-раскрытие конфиденциальной информации, используя несанкционированный доступ к базам данных, прослушивание каналов и т.п.;

- компрометация информации посредством внесения не санкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений;

-не санкционированное использование информационных ресурсов может нанести определенный ущерб, который может варьироваться от сокращения поступления финансовых средств до полного выхода ЭИС из строя;

-ошибочное использование информационных ресурсов может привести к разрушению, раскрытию или компрометации информационных ресурсов, что является следствием ошибок, имеющихся в программном обеспечении ЭИС;

- не санкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания хранимой информации;

- отказ в обслуживании представляет собой угрозу, источником которой может являться ЭИС, особенно опасен в ситуациях, когда задержка с предоставлением информационных ресурсов, необходимых для принятия решения, может стать причиной нерациональных действий руководства предприятия.

Под «несанкционированным доступом» понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничения, являющейся составной частью системы защиты информации. Субъекты, совершившие не санкционированный доступ к информации, называются нарушителями. Нарушителем может быть любой человек из следующих категорий: штатные пользователи ЭИС; сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение системы; обслуживающий персонал (инженеры); другие сотрудники, имеющие санкционированный доступ к ЭИС.

С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабатываемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного разрушения работоспособности ЭИС.

Действия нарушителя мoжнo разделить нa четыре основные категории:

· Прерывание - прекращение нормальной обработки информации, например, вследствие разрушения вычислительных средств.

· Кража - чтение или копирование информации с целью получения данных, которые могут быть использованы злоумышленником или третьей стороной

· Видоизменение информации

· Разрушение - необратимое изменение информации, например, стирание с диска

Для обеспечения защиты хранимых данных используется несколько методов и механизмов их реализации. В литературе выделяют следующие способы защиты:

- физические (препятствие);

- законодательные;

- управление доступом;

- криптографическое закрытие.

Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от «внешних» злоумышленников и не защищают информацию от тех лиц, которые обладают правом входа в помещение.

Законодательные средства защиты составляют законодательные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушения этих правил.

Управление доступом представляет способ защиты информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). В автоматизированных системах информационного обеспечения должны быть регламентированы порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т. д. Управление доступом предусматривает cлeдующиe функции зaщиты:

- идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора - имeни, кoдa, пapoля и т. п);

- аутентификацию - опознание (установление подлинности) объекта или субъекта по предъявляемому им идентификатору;

- авторизацию - проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

-разрешение и создание условий работы в пределах установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, Развернутая модель системы защиты данных в информационной базе задержка работ, отказ в запросе) при попытках не санкционированных действий.

Самым распространенным методом установления подлинности является метод паролей. Пароль представляет собой строку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т. п.). Если введенный пароль соответствует хранящемуся в памяти, то пользователь получает доступ ко всей информации, защищенной этим паролем. Пароль можно использовать и независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т. д.

Глава 2. Развернутая модель системы защиты данных в информационной базе

2.1 Пользователи системы безопасности

В первую очередь, необходимо разобраться, кто будет взаимодействовать с нашей системой безопасности. Известно, что каждый сотрудник организации так или иначе использует данные, хранящиеся в информационной базе, для работы. Таким образом, с системой безопасности будут взаимодействовать практически все члены организации. Более подробно их полномочия можно рассмотреть на представленной ниже диаграмме классов

Как видно из представленной диаграммы, вносить изменения в систему безопасности может лишь подразделение организации информационной безопасности (ОИБ) и системные администраторы. Для остальных пользователей данные о работе системы полностью закрыты.

2.2 Процесс авторизации в ИБ

Для определения типа пользователя системы используется механизм авторизации. Каждый сотрудник после вступления в организацию получает персональные логин и пароль для входа в информационную базу, а также специальное устройство, называемое аутентификатором. Аутентификатор представляет собой брелок, генерирующий код по нажатию клавиши на основе предварительно зашитого уникального серийного номера. Ввод кода аутентификатора производится после ввода логина и пароля.

На ввод данных пользователям дается ограниченное количество попыток. В случае ошибки или отмены ввода система завершает работу.

2.3 Работа с системой безопасности

Внесением изменений в систему безопасности занимается администратор системы безопасности. В его функции также входит обработка защищаемой информации, анализ журналов регистрации, организация контроля за действиями пользователей и разграничение доступа к информационной системе.

Важнейшей обязанностью администратора системы безопасности является просмотр журнала операций, в который вносятся все результаты взаимодействия пользователей и информационной системы. Своевременный контроль операций позволяет выявить ошибки в работе системы безопасности и устранить их.

Как можно увидеть из представленной диаграммы последовательностей, вся информация, хранящаяся в информационной базе, находится в зашифрованном виде. Это относится не только к журналу операций, но к другим документам.

информация данные защита пользователь

Глава 3. Пути реализации системы безопасности

Разработка данной системы может происходить на платформе Microsoft Visual Studio 2010. При разработке можно создать API системы безопасности. Целью данного API будет оптимизация запросов между системы защиты и информационной базой, а также повышения уровня безопасности в целом. Реализовать это API нам помогут такие платформы как Microsoft SQL Server, ASP.NET.

При создании данной системы необходимо учесть следующие факторы:

1. Требования организации к ИС;

2. Особенности хранимой информации;

3. Наличие дополнительных функций (при необходимости таковых)

Стоит отметить, что набольшее внимание стоит уделить механизмам шифрования информации и аутентификации, ведь именно они смогут обеспечить защиту документов в информационной базе.

Заключение

Стоит заметить, что существует множество различных вариантов обеспечения безопасности в информационной базе.

В данной курсовой работе были определены основные угрозы по отношению к информации, методы обеспечения безопасности и предмет автоматизации - система защиты данных в информационной базе. Благодаря UML моделированию в данной работе были расширенно представлены основные функции системы защиты, а так же сам процесс работы с ней.

Размещено на Allbest.ru


Подобные документы

  • Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.

    курсовая работа [158,7 K], добавлен 15.06.2013

  • Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

    дипломная работа [2,6 M], добавлен 17.11.2012

  • Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.

    дипломная работа [2,5 M], добавлен 10.06.2011

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Разработка программного обеспечения для автоматизации деятельности работников книжного магазина. Проектирование информационной системы с использованием базы данных Access. Методы хранения данных. Средства защиты данных от несанкционированного доступа.

    контрольная работа [664,9 K], добавлен 13.06.2014

  • Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.

    реферат [27,3 K], добавлен 30.04.2010

  • Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.

    курсовая работа [350,4 K], добавлен 10.06.2014

  • Информационная безопасность для системы "Составление расписания". Обеспечения защиты данных в системе, разрабатываемой для учебной части и методы практической реализации обеспечения безопасности этих данных. Обеспечение защиты от потери информации.

    курсовая работа [203,3 K], добавлен 30.11.2008

  • Понятие компьютерной преступности. Основные понятия защиты информации и информационной безопасности. Классификация возможных угроз информации. Предпосылки появления угроз. Способы и методы защиты информационных ресурсов. Типы антивирусных программ.

    курсовая работа [269,7 K], добавлен 28.05.2013

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.