КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Проблемы защиты базы данных
|
|
|
|
Защита базы данных – это обеспечение защищенности базы данных против любых предумышленных или непредумышленных угроз с помощью различных компьютерных и некомпьютерных средств.
Понятие защиты применимо не только к сохраняемым в базе данным. Бреши в системе защиты могут возникать и в других частях системы, что, в свою очередь, подвергает опасности и собственно базу данных. Следовательно, защита базы данных должна охватывать используемое оборудование, программное обеспечение, персонал и собственно данные.
Для эффективной реализации защиты необходимы соответствующие средства контроля, которые определяются конкретными требованиями, вытекающими из особенностей эксплуатируемой системы.
База данных представляет собой важнейший корпоративный ресурс, который должен быть надлежащим образом защищен с помощью соответствующих средств контроля.
Мы обсудим проблемы защиты базы данных с точки зрения таких потенциальных опасностей:
· похищение и фальсификация данных;
· утрата конфиденциальности (нарушение тайны);
· нарушение неприкосновенности личных данных;
· утрата целостности;
· потеря доступности.
Указанные ситуации отмечают основные направления, в которых руководство должно принимать меры, снижающие степень риска, т.е. потенциальную возможность потери или повреждения данных.
В некоторых ситуациях все отмеченные аспекты повреждения данных тесно связаны между собой, так что действия, направленные на нарушение защищенности системы в одном направлении, часто приводят к снижению ее защищенности во всех остальных. Кроме того, некоторые события — например, нарушение неприкосновенности личных данных или фальсификация информации — могут возникнуть вследствие как намеренных, так и непреднамеренных действий и вовсе необязательно сопровождаться какими-либо изменениями в базе данных или системе, которые можно будет обнаружить тем или иным образом.
|
|
|
Похищение и фальсификация данных могут происходить не только в среде базы данных — вся организация, так или иначе, подвержена этому риску. Однако действия по похищению или фальсификации информации всегда совершаются людьми, поэтому основное внимание должно быть сосредоточено на сокращении общего количества, удобных ситуаций для выполнения подобных действий. Похищения и фальсификация вовсе необязательно связаны с изменением каких-либо данных, что справедливо и в отношении потери конфиденциальности или нарушения неприкосновенности личных данных.
Потеря конфиденциальности и нарушение неприкосновенности личных данных. Понятие конфиденциальности означает необходимость сохранения данных в тайне. Как правило, конфиденциальными считаются те данные, которые являются критичными для всей организации, тогда как понятие неприкосновенности данных касается требования защиты информации об отдельных работниках. Следствием нарушения в системе защиты, вызвавшего потерю конфиденциальности данных, может быть утрата позиций в конкурентной борьбе, тогда как следствием нарушения неприкосновенности личных данных будут юридические меры, принятые в отношении организации.
Утрата целостности и потеря доступности данных. Утрата целостности данных приводит к искажению или разрушению данных, что может иметь самые серьезные последствия для дальнейшей работы организации. В настоящее время множество организаций функционирует в непрерывном режиме, предоставляя свои услуги клиентам по 24 часа в сутки и по 7 дней в неделю. Потеря доступности данных - это когда либо данные, либо система, либо и то, и другое одновременно окажутся недоступными пользователям, что может подвергнуть опасности само дальнейшее существование организации. В некоторых случаях те события, которые послужили причиной перехода системы в недоступное состояние, могут одновременно вызвать и разрушение данных в базе.
|
|
|
Типы опасностей. Опасность – это любая ситуация или событие, намеренное или непреднамеренное, которое способно неблагоприятно повлиять на систему, а следовательно, и на всю организацию.
Угроза может быть вызвана ситуацией или событием, способным принести вред организации, причиной которого может служить человек, происшествие или стечение обстоятельств. Преднамеренные угрозы всегда осуществляются людьми и могут быть совершены как авторизированными, так и неавторизированными пользователями, причем последние могут не принадлежать организации. Любая опасность должна рассматриваться как потенциальная возможность нарушения системы защиты, которая в случае своей реализации может оказать то или иное негативное влияние. В таблице 17.1 приведены примеры различных типов угроз, с указанием тех областей, в которых они могут влиять на систему.
Таблица 17.1.
Примеры различных опасностей.
| Опасность | Похищение и фальсификация данных | Утрата конфиденциальности | Нарушение неприкосновенности личных данных | Утрата целостности | Потеря доступности |
| Использование прав доступа другого человека | Ö | Ö | Ö | ||
| Несанкционированное изменение или копирование данных | Ö | Ö | |||
| Изменение программ | Ö | Ö | Ö | ||
| Необдуманные методики и процедуры. допускающие смешивание конфиденциальных и обычных данных в одном документе | Ö | Ö | Ö | ||
| Подключение к кабельным сетям | Ö | Ö | Ö | ||
| Ввод хакерами некорректных данных | Ö | Ö | Ö | ||
| Шантаж | Ö | Ö | Ö | ||
| Создание «лазеек» в систему | Ö | Ö | Ö | ||
| Похищение данных, программ и оборудования | Ö | Ö | Ö | Ö | |
| Отказ системы защиты, вызвавший превышение допустимого уровня доступа | Ö | Ö | Ö | ||
| Нехватка персонала и забастовки | Ö | Ö | |||
| Недостаточная обученность персонала | Ö | Ö | Ö | Ö | |
| Просмотр и раскрытие засекреченных данных | Ö | Ö | Ö | ||
| Электронные наводки и радиация | Ö | Ö | |||
| Разрушение данных в результате отключения или перенапряжения в сети электропитания | Ö | Ö | |||
| Пожары (по причине коротких замыканий. ударов молнии, поджогов), наводнения, диверсии | Ö | Ö | |||
| Физическое повреждение оборудования | Ö | Ö | |||
| Обрыв или отсоединение кабелей | Ö | Ö | |||
| Внедрение компьютерных вирусов | Ö | Ö |
|
|
|
Продолжительность периода бездействия и быстрота восстановления базы данных зависят от нескольких факторов, включая приведенные ниже.
· Имеется ли в системе резервное оборудование с развернутым программным обеспечением.
· Когда в последний раз выполнялось резервное копирование системы.
· Время, необходимое на восстановление системы.
· Существует ли возможность восстановления и ввода в эксплуатацию разрушенных данных.
17.2. Контрмеры – компьютерные средства контроля.
В отношении опасностей, угрожающих компьютерным системам, могут быть приняты контрмеры самых различных типов, начиная от физического наблюдения и заканчивая административно-организационными процедурами. Несмотря на широкий диапазон компьютерных средств контроля, доступных в настоящее время на рынке, общий уровень защищенности СУБД определяется возможностями используемой операционной системы, поскольку работа этих двух компонентов тесно связана между собой. Обычно для платформы IBM PC применяются ряд перечисленных ниже типов средств контроля.
· Авторизация и аутентификация пользователей.
· Представления данных.
· Резервное копирование и восстановление данных.
· Поддержка целостности.
· Шифрование.
· Вспомогательные процедуры.
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 1997; Нарушение авторских прав?; Мы поможем в написании вашей работы!