Проектирование системы защиты хранения данных в информационной базе

Размещено на http://www.allbest.ru/

Введение

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Целью данной курсовой работы является изучение методов защиты информации и проектирование системы защиты данных в информационной базе. Для достижения данной цели необходимо:

· Определить предметную область изучения.

· Определить требования пользователей к системе защиты

· Описать пути реализации данной информационной системы

Глава 1. Основные понятия и методы защиты данных

Интерес к вопросам защиты информации в последнее время вырос, что связывают с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением использования сетей, а, следовательно, и возможностей не санкционированного доступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Инфopмaция, циpкулиpующaя в ниx, мoжeт быть нeзaкoннo измeнeнa, пoxищeнa или уничтoжeнa. Поэтому основной проблемой, которую должны решить проектировщики при создании системы защиты данных в ИБ, является проблема обеспечения безопасности хранимых данных, предусматривающая разработку системы мер обеспечения безопасности, направленных на предотвращения не санкционированного получения информации, физического уничтожения или модификации защищаемой информации. Вопросы разработки способов и методов защиты данных в информационной базе являются только частью проблемы проектирования системы защиты в ЭИС и в настоящее время получили большую актуальность.

Чтобы разработать систему защиты, необходимо, прежде всего, определить, что такое «угроза безопасности информации», выявить возможные каналы утечки информации и пути не санкционированного доступа к защищаемым данным.

Предлагаем под «угрозой безопасности информации» понимать «действие или событие, которое может привести к разрушению, искажению или не санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и обрабатываемые средства».

Случайные угрозы включают в себя ошибки, пропуски и т. д., a тaкжe события, независящие oт человека, например природные бедствия. Бедствия бывают природными или вызванными деятельностью. Меры защиты от них - в основном, организационные. K ошибкам аппаратных и программных средств относятся повреждения компьютеров и периферийных устройств (дисков, лент и т.д.), ошибки в прикладных программах и др.

К ошибкам по невниманию, довольно часто возникающим во время технологического цикла обработки, передачи или хранения данных, относятся ошибки оператора или программиста, вмешательство во время выполнения тестовых программ, повреждение носителей информации и др.

Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал организации, сервисное звено и т.д.), так и люди, внешние по отношению системе, так называемые «хакеры». На примере практической деятельности коммерческих банков можно перечислить основные виды угроз безопасности хранимой информации средства их реализации, к которым отнесли:

- копирование и кража программного обеспечения;

- несанкционированный ввод данных;

- изменение или уничтожение данных на магнитных носителях;

- саботаж;

- кража информации;

-раскрытие конфиденциальной информации, используя несанкционированный доступ к базам данных, прослушивание каналов и т.п.;

- компрометация информации посредством внесения не санкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений;

-не санкционированное использование информационных ресурсов может нанести определенный ущерб, который может варьироваться от сокращения поступления финансовых средств до полного выхода ЭИС из строя;

-ошибочное использование информационных ресурсов может привести к разрушению, раскрытию или компрометации информационных ресурсов, что является следствием ошибок, имеющихся в программном обеспечении ЭИС;

- не санкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания хранимой информации;

- отказ в обслуживании представляет собой угрозу, источником которой может являться ЭИС, особенно опасен в ситуациях, когда задержка с предоставлением информационных ресурсов, необходимых для принятия решения, может стать причиной нерациональных действий руководства предприятия.

Под «несанкционированным доступом» понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничения, являющейся составной частью системы защиты информации. Субъекты, совершившие не санкционированный доступ к информации, называются нарушителями. Нарушителем может быть любой человек из следующих категорий: штатные пользователи ЭИС; сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение системы; обслуживающий персонал (инженеры); другие сотрудники, имеющие санкционированный доступ к ЭИС.

С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабатываемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного разрушения работоспособности ЭИС.

Действия нарушителя мoжнo разделить нa четыре основные категории:

· Прерывание - прекращение нормальной обработки информации, например, вследствие разрушения вычислительных средств.

· Кража - чтение или копирование информации с целью получения данных, которые могут быть использованы злоумышленником или третьей стороной

· Видоизменение информации

· Разрушение - необратимое изменение информации, например, стирание с диска

Для обеспечения защиты хранимых данных используется несколько методов и механизмов их реализации. В литературе выделяют следующие способы защиты:

- физические (препятствие);

- законодательные;

- управление доступом;

- криптографическое закрытие.

Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от «внешних» злоумышленников и не защищают информацию от тех лиц, которые обладают правом входа в помещение.

Законодательные средства защиты составляют законодательные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушения этих правил.

Управление доступом представляет способ защиты информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). В автоматизированных системах информационного обеспечения должны быть регламентированы порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т. д. Управление доступом предусматривает cлeдующиe функции зaщиты:

- идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора - имeни, кoдa, пapoля и т. п);

- аутентификацию - опознание (установление подлинности) объекта или субъекта по предъявляемому им идентификатору;

- авторизацию - проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

-разрешение и создание условий работы в пределах установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, Развернутая модель системы защиты данных в информационной базе задержка работ, отказ в запросе) при попытках не санкционированных действий.

Самым распространенным методом установления подлинности является метод паролей. Пароль представляет собой строку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т. п.). Если введенный пароль соответствует хранящемуся в памяти, то пользователь получает доступ ко всей информации, защищенной этим паролем. Пароль можно использовать и независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т. д.

Глава 2. Развернутая модель системы защиты данных в информационной базе

2.1 Пользователи системы безопасности

В первую очередь, необходимо разобраться, кто будет взаимодействовать с нашей системой безопасности. Известно, что каждый сотрудник организации так или иначе использует данные, хранящиеся в информационной базе, для работы. Таким образом, с системой безопасности будут взаимодействовать практически все члены организации. Более подробно их полномочия можно рассмотреть на представленной ниже диаграмме классов

Как видно из представленной диаграммы, вносить изменения в систему безопасности может лишь подразделение организации информационной безопасности (ОИБ) и системные администраторы. Для остальных пользователей данные о работе системы полностью закрыты.

2.2 Процесс авторизации в ИБ

Для определения типа пользователя системы используется механизм авторизации. Каждый сотрудник после вступления в организацию получает персональные логин и пароль для входа в информационную базу, а также специальное устройство, называемое аутентификатором. Аутентификатор представляет собой брелок, генерирующий код по нажатию клавиши на основе предварительно зашитого уникального серийного номера. Ввод кода аутентификатора производится после ввода логина и пароля.

На ввод данных пользователям дается ограниченное количество попыток. В случае ошибки или отмены ввода система завершает работу.

2.3 Работа с системой безопасности

Внесением изменений в систему безопасности занимается администратор системы безопасности. В его функции также входит обработка защищаемой информации, анализ журналов регистрации, организация контроля за действиями пользователей и разграничение доступа к информационной системе.

Важнейшей обязанностью администратора системы безопасности является просмотр журнала операций, в который вносятся все результаты взаимодействия пользователей и информационной системы. Своевременный контроль операций позволяет выявить ошибки в работе системы безопасности и устранить их.

Как можно увидеть из представленной диаграммы последовательностей, вся информация, хранящаяся в информационной базе, находится в зашифрованном виде. Это относится не только к журналу операций, но к другим документам.

информация данные защита пользователь

Глава 3. Пути реализации системы безопасности

Разработка данной системы может происходить на платформе Microsoft Visual Studio 2010. При разработке можно создать API системы безопасности. Целью данного API будет оптимизация запросов между системы защиты и информационной базой, а также повышения уровня безопасности в целом. Реализовать это API нам помогут такие платформы как Microsoft SQL Server, ASP.NET.

При создании данной системы необходимо учесть следующие факторы:

1. Требования организации к ИС;

2. Особенности хранимой информации;

3. Наличие дополнительных функций (при необходимости таковых)

Стоит отметить, что набольшее внимание стоит уделить механизмам шифрования информации и аутентификации, ведь именно они смогут обеспечить защиту документов в информационной базе.

Заключение

Стоит заметить, что существует множество различных вариантов обеспечения безопасности в информационной базе.

В данной курсовой работе были определены основные угрозы по отношению к информации, методы обеспечения безопасности и предмет автоматизации - система защиты данных в информационной базе. Благодаря UML моделированию в данной работе были расширенно представлены основные функции системы защиты, а так же сам процесс работы с ней.

Размещено на Allbest.ru