Информационные технологии в профессиональной деятельности

- конфиденциальность –  засекреченная информация должна  быть доступна только тому, кому  она предназначена.

Для решения проблем информационной безопасности необходимо сочетание  законодательных, организационных, технологических  и стандартизационных мероприятий.

Основное внимание в теории и практике обеспечения безопасности применения информационных технологий и систем сосредоточено на защите от злоумышленных разрушений, искажений  и хищений программных средств  и информации баз данных. Для этого  разработаны и развиваются проблемно-ориентированные  методы и средства защиты:

- от несанкционированного  доступа;

- от различных типов  вирусов;

- от утечки информации  по каналам электромагнитного  излучения

и т. д. При этом подразумевается наличие лиц, заинтересованных в доступе к программам и данным с целью их несанкционированного использования, хищения, искажения или уничтожения.

Рассмотрим современные  методы выявления и предотвращения непредумышленных угроз безопасности функционирования программных средств (ПС) и баз данных (БД), снижения соответствующих  рисков до допустимого уровня и определения  реального достигнутой степени  безопасности использования ИС. В  связи с этим будем говорить об алгоритмической и программно-технологической  безопасности, используя для краткости  термины "технологическая безопасность" или просто "безопасность". В  качестве основной непредумышленной угрозы будет рассматриваться наличие  внутренних дефектов ПС и БД, вызванных  ошибками проектирования и реализации.

Факторы, определяющие технологическую  безопасность сложных информационных систем:

- показатели, характеризующие  технологическую безопасность информационных  систем;

- требования, предъявляемые  к архитектуре ПС и БД для  обеспечения безопасности ИС;

- ресурсы, необходимые  для обеспечения технологической  безопасности ИС;

- внутренние и внешние  дестабилизирующие факторы, влияющие  на безопасность функционирования  программных средств и баз  данных;

- методы и средства  предотвращения и снижения влияния  угроз безопасности ИС со стороны  дефектов программ и данных;

- оперативные методы и  средства повышения технологической  безопасности функционирования  ПС и БД путем введения в  ИС временной, программной и  информационной избыточности;

- методы и средства  определения реальной технологической  безопасности функционирования  критических ИС.

Использование баз данных характеризуется следующими свойствами:

1. ОПЕРАТИВНОСТЬ : средства  вычислительной техники позволяют  осуществлять оперативный доступ  к информации;

2. ПОЛНАЯ ДОСТУПНОСТЬ  : вся информация, содержащаяся в  БД, доступна для использования;

3. ГИБКОСТЬ : имеется возможность  легко изменять состав и форму  выдачи, интересующих пользователя  данных, изменения в БД вносятся  также достаточно просто;

4. ЦЕЛОСТНОСТЬ (данных): минимизируется  дублирование данных, предоставляется  возможность упорядочения и согласованности  данных а также работ по  их обновлению.

С общими характеристиками БД связан также ряд взаимозависимых  понятий:

- Целостность БД [database integrity] - состояние БД, при котором все  значения данных правильно отражают  предметную область (в пределах  заданных ограничений по точности  и согласованности во времени)  и подчиняются правилам взаимной  непротиворечивости, Поддержание целостности  БД предполагает ее проверку  и восстановление или корректировку  из любого неправильного состояния,  которое может быть обнаружено. Это входит в функции администратора  БД, который пользуется средствами  системы управления БД. Аналогичным  образом можно говорить и о  целостности файла, хотя в типичных  случаях файлы подвергаются менее  обширным проверкам на целостность.

- Защищенность БД [database security] - Наличие и характеристика средств  (аппаратных, программных, организационных,  технологических, юридических и  т.п.) обеспечивающих предотвращение  или исключение:

- Доступа к информации  лиц, не получивших на то  соответствующего разрешения.

- Умышленного или непредумышленного  разрушения или изменения данных.

- Безопасность БД [database safety] - свойство БД, которое заключается  в том, что содержащиеся в  ней данные не причинят вреда  пользователю при правильном  их применении для решения  любых функциональных задач системы,  для которой она была создана. Часто понятия "безопасность" и "защита" БД рассматриваются как синонимичные.

- Эффективность БД [database efficiency] -

- степень соответствия  результатов использования БД  затратам на ее создание и  поддержание в рабочем состоянии,  в случае оценки этого показателя  в денежном выражении он носит  наименование экономической эффективности  БД;

- обобщающий показатель  качества состояния и использования  БД по совокупности признаков  (в том числе - скорость, доступность,  гибкость, целостность, защищенность, безопасность и др.) - техническая  эффективность БД Эффективность  БД принято оценивать применительно  к условиям их использования  в конкретных автоматизированных  системах.

Наиболее распространенными  угрозами безопасности для баз данных являются следующие:

- несанкционированный доступ  к данным через сеть Интернет;

- похищение информации  запросом вида SELECT *. Обеспечить защиту  от угроз такого типа весьма  сложно, так как их производят, в основном, аналитики, взаимодействующие  с ядром БД и имеющие привилегии  на всевозможные выборки данных  из всех таблиц базы;

- резервное копирование  с целью воровства БД.

В состав типовой модели защиты БД необходимо включить следующие  элементы: организационные меры по обеспечению доступа к серверу (желательно только локально); ограничения  доступа к корпоративной сети; защита доступа к СУБД; ограничения  на использование прикладного программного обеспечения конкретным пользователем.

Для решения рассмотренных  проблем можно использовать наиболее распространенные методы защиты БД: защита паролем, встроенные в СУБД средства защиты информации и мониторинга  действий пользователей, идентификация  пользователя и проверка его полномочий.

Каждый из этих способов имеет свои достоинства, но надо понимать, что абсолютную защиту данных обеспечить невозможно.

Также можно применить  и наиболее классический способ защиты данных – зашифровать все таблицы  БД при помощи достаточно стойкого крипто- алгоритма. Но это решение  также имеет ряд недостатков, например, таких как потеря времени  при шифровании/дешифровании данных, невозможность индексирования полей, практическая невозможность полного  восстановления при системных сбоях  и др.

Оперативные методы повышения безопасности функционирования баз данных.

Невозможность обеспечить в  процессе создания БД ее абсолютную защищенность даже при отсутствии злоумышленных  воздействий заставляет искать дополнительные методы и средства повышения безопасности функционирования БД на этапе эксплуатации. Для этого разрабатываются и  применяются методы оперативного обнаружения  дефектов при исполнении

программ и искажений  данных путем введения в них временной, информационной и программной избыточности. Эти же виды избыточности используются для оперативного восстановления искаженных программ и данных и предотвращения возможности развития угроз до уровня, нарушающего безопасность функционирования БД.

Для обеспечения высокой  надежности и безопасности функционирования БД необходимы вычислительные ресурсы  для максимально быстрого обнаружения  проявления дефектов, возможно точной классификации типа уже имеющихся  и вероятных последствий искажений, а также для автоматизированных мероприятий, обеспечивающих быстрое  восстановление нормального функционирования БД.

Информационная избыточность состоит в дублировании накопленных  исходных и промежуточных данных, обрабатываемых программами. Избыточность используется для сохранения достоверности  данных, которые в наибольшей степени  влияют на нормальное функционирование БД и требуют значительного времени  для восстановления. Такие данные обычно характеризуют некоторые  интегральные сведения о внешнем  управляемом процессе, и в случае их разрушения может прерваться процесс  управления внешними объектами или  обработки их информации, отражающийся на безопасности БД. Программная избыточность используется для контроля и обеспечения  достоверности наиболее важных решений  по управлению и обработке информации. Она заключается в сопоставлении  результатов обработки одинаковых исходных данных разными программами  и исключении искажения результатов, обусловленных различными аномалиями. Программная избыточность необходима также для реализации средств  автоматического контроля и восстановления данных с использованием информационной избыточности и для функционирования средств защиты.

Наряду с оперативной  реакцией на искажения в БД должно вестись накопление информации обо  всех проявлениях дефектов с тем, чтобы использовать эти данные для  локализации первичного источника  ошибок и исправления соответствующих  программ, данных или компонент аппаратуры. Подготовку, статистическую обработку  и накопление данных по проявлениям  искажений целесообразно проводить  автоматически с выдачей периодически или по запросу сводных данных на индикацию для подготовки специалистами  решений о корректировке программ или восстановлении аппаратуры.

Таким образом, введение избыточности в программы и данные способствует повышению качества функционирования БД. Особенно большое влияние избыточность может оказывать на надежность и  безопасность решения задач в  критических системах реального  времени. При этом возможно снижение затрат на отладку и частичное  обеспечение необходимой надежности и безопасности БД за счет средств  повышения помехоустойчивости, оперативного контроля и восстановления функционирования программ и данных. Средства оперативной  защиты вычислительного процесса, программ и данных, в свою очередь, являются сложными системами и не застрахованы от ошибок, способных привести к  нарушению безопасности функционирования БД. Поэтому необходим комплексный  анализ, распределение ресурсов и  видов избыточности для максимизации безопасности применения критических  БД. 

 

3) Создание запросов  на обновление, на добавление, на  удаление, на создание таблицы

автоматизация оffice безопасность таблица запрос

Создание запроса  на обновление.

С помощью запроса на обновление можно добавлять, изменять или удалять  данные в одной или нескольких записях. Запросы на обновление можно  рассматривать как разновидность  диалогового окна Поиск и замена с более широкими возможностями. Следует ввести условие отбора (приблизительный  аналог образца поиска) и условие  обновления (приблизительный аналог образца замены). В отличие от диалогового окна Поиск и замена запрос на обновление может принимать  несколько условий и позволяет  обновить большое число записей  за один раз, а также изменить записи сразу в нескольких таблицах.

Необходимо помнить приведенные  ниже правила.

Запрос на обновление нельзя использовать для добавления новых  записей в таблицу, но можно менять имеющиеся пустые значения на определенные значения.

Запрос на обновление нельзя использовать для удаления записей  целиком (строк) из таблицы, но можно  менять имеющиеся непустые значения на пустые.

С помощью запросов на обновление можно изменять все данные в наборе записей.

Кроме того, нельзя выполнить  запрос на обновление для следующих  типов полей в таблице.

Поля, содержащие результаты вычислений. Значения вычисляемых полей  не хранятся в таблице постоянно. Они существуют только во временной  памяти компьютера, после того как  будут вычислены. Поскольку для  вычисляемых полей не предусмотрено  место постоянного хранения данных, их невозможно обновить.

Поля, источником записей  для которых служат итоговые запросы  или перекрестные запросы.

Поля с типом данных «Счетчик». Значения в полях с  типом данных «Счетчик» изменяются только при добавлении записи в таблицу.

Поля в запросах на объединение.

Поля в запросах на уникальные значения и запросах на уникальные записи — запросах, возвращающих неповторяющиеся  значения или записи. Это правило  применимо при использовании  запроса на обновление, а также  при обновлении данных вручную путем  ввода значений в форму или  таблицу.

Первичные ключи, участвующие  в отношениях между таблицами, кроме  тех случаев, когда эти отношения  были настроены на автоматическое выполнение каскадного обновления через поля ключа  и любые связанные поля. При  каскадном обновлении автоматически  обновляются любые значения внешнего ключа в дочерней таблице (таблица  на стороне «многие» отношения «один  ко многим») при изменении значения первичного ключа в родительской таблице (таблица на стороне «один» отношения «один ко многим» ).