Обеспечение безопасности локальных компьютерных сетей и закрытых баз данных
Система обеспечения безопасности базы данных предотвращает возможность случайного или намеренного просмотра, модификации, удаления или разрушения информации в файлах базы данных лицами, не имеющими соответствующих прав доступа. Обеспечение безопасности базы данных является самой важной задачей в многопользовательском окружении.
Термины безопасность и целостность в контексте обсуждения баз данных часто используются совместно, хотя, на самом деле, это совершенно разные понятия.
Крайне важно понять, что “безопасность” — это не продукт, который можно купить в магазине и быть уверенным в собственной защищенности. Безопасность — особая комбинация как технических, так и административных мер. Административные меры также включают в себя не только бумаги, рекомендации, инструкции, но и людей. Невозможно считать свою сеть “безопасной”, если вы не доверяете людям, работающим с этой сетью.
Под целостностью подразумевается, что эти действия выполняются корректно.
Между ними есть, конечно, некоторое сходство, поскольку как при обеспечении безопасности, так и при обеспечении целостности система вынуждена проверить, не нарушают ли выполняемые пользователем действия некоторых правил. Эти правила должны быть заданы (обычно администратором базы данных) на некотором удобном для этого языке и сохранены в системном каталоге. Причем в обоих случаях СУБД должна каким-то образом отслеживать все действия пользователя и проверять их соответствие заданным правилам.
Идеальная безопасность — недостижимый миф, который могут реализовать, в лучшем случае, только несколько профессионалов. Есть один фактор, который невозможно преодолеть на пути к идеальной безопасности — это человек.
Приведу несколько примеров ‘человеческого фактора' :
- Уволенные или недовольные сотрудники.
- Промышленный шпионаж.
- Халатность.
- Низкая квалификация.
Уволенные недовольные сотрудники
Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь доступ к закрытой информации. Особенную группу составляют системные администраторы, чаще всего недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.
Промышленный шпионаж
Это самая сложная категория. Если данные компании интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети — не самый легкий вариант.
Халатность
Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек “по умолчанию” и заканчивая несанкционированными модемами для выхода в Internet, — в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.
Низкая квалификация
Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один -обучение пользователей, создание соответствующих документов и повышение квалификации.
Основные цели сетевой безопасности
Цели сетевой безопасности могут меняться в зависимости от ситуации, но основных целей обычно три:
- Целостность данных
- Конфиденциальность данных
- Доступность данных
В своей работе я бы хотела рассмотреть их более подробно.
Одна из основных целей сетевой безопасности — гарантированность того, чтобы данные не были изменены, подменены или уничтожены. Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности.
2. Конфиденциальность данных
Второй главной целью сетевой безопасности является обеспечение конфиденциальности данных. Не все данные можно относить к конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей. К конфиденциальной информации можно отнести следующие данные:
- Личная информация пользователей.
- Учетные записи (имена и пароли).
- Данные о кредитных картах.
- Данные о разработках и различные внутренние документы.
- Бухгалтерская информация.
3. Доступность данных
Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности. Вот приблизительный список ресурсов, которые обычно должны быть «доступны» в локальной сети:
- Принтеры.
- Серверы.
- Рабочие станции.
- Данные пользователей.
- Любые критические данные, необходимые для работы.
- Рассмотрим угрозы и препятствия, стоящие на пути к безопасности сети. Все их можно разделить на две большие группы: технические угрозы и человеческий фактор.
Для баз данных, работающих в локальной сети, существуют десять основных принципов обеспечения безопасности. Пять из этих принципов связаны с работой сетевой операционной системы:
- Каждый пользователь сети перед получением доступа к ресурсам сети должен пройти процедуру идентификации. Для идентификации пользователя используется уникальное имя пользователя и его секретный личный пароль.
- Каждый идентифицированный пользователь сети должен подтверждать свое право на доступ к отдельным элементам сети, например, папкам на сервере, принтерам и другим разделяемым ресурсам. Данные об идентификации пользователя хранятся на сервере. Файл, в котором содержатся эти сведения, всегда шифруется, правом доступа к нему обладает только администратор сети.
- Необходим контроль действий пользователей сети с целью регистрации попыток получить доступ к тем ресурсам сети, права доступа к которым у данного пользователя нет. Те пользователи, которые регулярно пытаются преодолеть систему защиты сети, должны отключаться от сети до принятия соответствующих административных мер.
- Сеть должна быть защищена от взлома. Защищенность от взлома включает системы безопасности, которые не поддаются атакам искусных программистов-хакеров и регулярно тестируются на наличие вирусов.
- Данные, хранящиеся на серверах сети, должны быть защищены от искажений, связанных с выходом оборудования из строя и различными природными катаклизмами, адекватным и своевременным резервированием. Системы резервирования позволяют восстановить данные на момент последнего резервирования.
Меры, принимаемые для выполнения первых пяти принципов, лежат в области компетенции администратора сети с выделенными серверами. В одноранговых сетях меры обеспечения безопасности являются прерогативой каждого пользователя, который предоставляет ресурсы для совместного использования. Оставшиеся пять принципов обеспечения безопасности базы данных определяются возможностями по поддержанию безопасности системы управления базами данных:
- Содержимое таблиц базы данных должно быть зашифровано для того, чтобы предотвратить просмотр данных с помощью программ просмотра файлов или других программ вторжения.
- Перед тем как открыть файл базы данных, пользователь должен проходить вторичную идентификацию. На этом этапе должен использоваться секретный пароль, отличный от пароля доступа к сети. Файл базы данных, содержащий данные по идентификации и паролям пользователей, должен быть зашифрован. Используемая технология шифрования должна быть достаточно сложной, чтобы не позволить хакерам вскрыть истинное содержимое файла. К этому файлу должен иметь доступ только администратор базы данных.
- Каждый пользователь должен иметь особые права на использование базы данных и содержащихся в ней таблиц. Если пользователи не имеют права просматривать определенные поля таблицы, то доступ к таблице должен реализовываться в форме запроса, в который включены только те поля, которые разрешено просматривать. Система управления базой данных должна предоставлять возможности для установки таких ограничений.
- Данные в таблицах должны проверяться. Отсутствие контроля часто является толчком к утечке конфиденциальной информации. Обновления таблиц, содержащих финансовую информацию, должны протоколироваться, предпочтительно в другой базе данных, в которой указывается пользователь, а также дата и время операции. Протоколы могут пригодиться при восстановлении элементов базы данных, появившихся между моментом последнего резервирования базы данных и моментом восстановления данных из архивной копии.
- Операции по обновлению данных в нескольких таблицах должны выполняться с использованием техники транзакций, которые могут быть отменены, если нельзя немедленно провести обновления во всех таблицах.
Методы защиты данных
Самым важным этапом организации защиты является разработка плана. В наиболее эффективной стратегии особое место отводится не устранению последствий внештатных ситуаций, а способам их предотвращения. Все меры по обеспечению безопасности локальных сетей можно разделить на три большие группы:
- программные;
- аппаратные;
- программно-аппаратные.
Специализированные и встроенные в ОС программные средства обеспечения безопасности представляют собой особое ПО, шифрующее данные, разграничивающее информационные потоки и выполняющее целый ряд других важных функций. К ним относят:
- Брандмауэры, представляющие собой промежуточные сервера, которые фильтруют входящий и исходящий трафик, снижая риск несанкционированного доступа к информации.
- Прокси-серверы, ограничивающие маршрутизацию между локальной и глобальной сетями.
- VPN, позволяющие передавать данные по зашифрованным каналам связи.
- Разнообразные наборы протоколов, необходимых для создания защищенных соединений и контроля за локальными сетями.
К аппаратным средствам защиты информации относят особое электронное оборудование: устройства идентификации пользователей, приборы для шифрования данных, регистры для хранения реквизитов защиты и т.п. Что касается программно-аппаратных методов, то эти комбинированные решения сочетают в себе различный функционал и работают более эффективно за счет охвата большего количества возможных угроз.
Если вы хотите обеспечить стабильную работу локальной сети и защитить данные от несанкционированного доступа, скачивайте Интернет Контроль Сервер.
ИКС — это универсальный продукт, позволяющий контролировать функционирование ЛС и обеспечивающий максимальную безопасность информации.
Заключение
В ходе проведенного мной анализа по проблемам информационной безопасности в локальных сетях, мы выделили три основные цели сетевой безопасности. Это целостность, конфиденциальность и доступность. Однако эти цели не являются обязательными и могут меняться в зависимости от ситуации.
Проведя анализ угроз, было выявлено, что наиболее распространенными и опасными угрозами в сети являются непреднамеренные ошибки пользователей, операторов или системных администраторов, а так же программные атаки и вредоносное программное обеспечение.
Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.
Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированным доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.
Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:
- переход от традиционной «бумажной» технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;
- объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;
- увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.
Компьютерные сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации.
- Создание собственного имиджа
- Обаяние и харизма
- Криптографического преобразования информации
- Унификация и гармонизация международных частно-правовых норм
- Ответственность в международном публичном праве
- Современная классификация документов
- Конституция - основной закон государства
- Развитие этики бизнеса в России
- Виды социальных программ
- Проблемы правового регулирования гражданских правоотношений
- Проблемы правового регулирования гражданских правоотношений
- Судебные арбитражные расходы