Лабораторная работа № Защита документов, созданных в Microsoft Word 2



Pdf просмотр
страница6/14
Дата04.09.2019
Размер1,41 Mb.
ТипЛабораторная работа
1   2   3   4   5   6   7   8   9   ...   14
Технические, организационные и программные средства обеспечения сохранности и
защиты от несанкционированного доступа
Существует четыре уровня защиты компьютерных и информационных ресурсов:
1.
Предотвращение предполагает, что только авторизованный персонал имеет доступ к защищаемой информации и технологии.
2.
Обнаружение предполагает раннее раскрытие преступлений и злоупотреблений, даже если механизмы защиты были обойдены.
3.
Ограничение уменьшает размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению.
4.
Восстановление обеспечивает эффективное воссоздание информации при наличии документированных и проверенных планов по восстановлению.
5.
Меры защиты - это меры, вводимые руководством, для обеспечения безопасности информации. К мерам защиты относят разработку административных руководящих документов, установку аппаратных устройств или дополнительных программ, основной целью которых является предотвращение преступлений и злоупотреблений.
1.
Аутентификация пользователей.
Данная мера требует, чтобы пользователи выполняли процедуры входа в компьютер, используя это как средство для идентификации в начале работы. Для аутентификации личности каждого пользователя нужно использовать уникальные пароли, не являющиеся комбинациями личных данных пользователей, для пользователя. Необходимо внедрить меры защиты при администрировании паролей, и ознакомить пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению. Если в компьютере имеется встроенный стандартный пароль, его нужно обязательно изменить.
2. Правила соблюдения защиты пароля
Следующие
правила
полезны для защиты пароля:
· нельзя делится своим паролем ни с кем;
· пароль должен быть трудно угадываемым;
· для создания пароля нужно использовать строчные и прописные буквы, а еще лучше позволить компьютеру самому сгенерировать пароль;
· не рекомендуется использовать пароль, который является адресом, псевдонимом, именем родственника, телефонным номером или чем-либо очевидным;
· предпочтительно использовать длинные пароли, так как они более безопасны, лучше всего, чтобы пароль состоял из 6 и более символов;
· пароль не должен отображаться на экране компьютера при его вводе;
· пароли должны отсутствовать в распечатках;
· нельзя записывать пароли на столе, стене или терминале, его нужно держать в памяти;
· пароль нужно периодически менять и делать это не по графику;
· на должности администратора паролей должен быть самый надежный человек;


· не рекомендуется использовать один и тот же пароль для всех сотрудников в группе;
· когда сотрудник увольняется, необходимо сменить пароль;
· сотрудники должны расписываться за получение паролей.
3. Процедуры авторизации
В организации, имеющей дело с критическими данными, должны быть разработаны и внедрены процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям.
В организации должен быть установлен такой порядок, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников.
Если информация обрабатывается на большом вычислительном центре, то необходимо контролировать физический доступ к вычислительной технике. Могут оказаться уместными такие методы, как журналы, замки и пропуска, а также охрана. Ответственный за информационную безопасность должен знать, кто имеет право доступа в помещения с компьютерным оборудованием и выгонять оттуда посторонних лиц.
Практическая часть:
Выполнить программу на одном из языков программирования (например, PASCAL), осуществляющую функцию защиты файла паролем.
Ход выполнения задания:
1. Составить алгоритм
2. Использовать условные операторы
3. Создать необходимые циклы, один из которых использует функцию сравнения пароля
1 цикл на запуск программы используя число ввода пароля до 3 4. Завершение программы неудачей, если число ввода неверного пароля превысило N=3 5. Можете использовать следующие текстовые сообщения (примерные):
-
«ВВЕДИТЕ ПАРОЛЬ ДЛЯ ВХОДА В ПРОГРАММУ» (Начало выполнения загрузки)
-
«ПАРОЛЬ НЕВЕРНЫЙ! ИСПОЛЬЗУЙТЕ ЕЩЕ ОДНУ ПОПЫТКУ» (Если пароль введен некорректно)
-
ДОБРО ПОЖАЛОВАТЬ! (Если пароль введен корректно)
-
«ВЫ ПРЕВЫСИЛИ ДОПУСТИМОЕ ЧИСЛО ПОПЫТОК! ДО СВИДАНИЯ!» (Если количество неверных попыток ввода пароля превысило допустимое число N=3)
Ход выполнения лабораторной работы:
1.
Изучить приведенный в методическом описании к лабораторной работе материал.
2.
Ознакомиться с разделами с применением возможностей лаборатории.
3.
Выполнить задание согласно практической части методического пособия.
4.
Оформить отчет в установленной форме по разделам.
5.
Ответить на контрольные вопросы.
6.
Представить результаты работы преподавателю.
Контрольные вопросы:
1.
Перечислите уровни защиты компьютерных и информационных ресурсов.
2.
Сформулируйте функцию аутентификации и перечислите требования, предъявляемые к процедуре аутентификации.
3.
Перечислите правила защиты пароля. Какие из них наиболее необходимы для выполнения?
4.
Какие действия в рамках организационной защиты требуется выполнять для осуществления процедуры авторизации?


Лабораторная работа № 7
«Особенности защиты информации в базах данных»
Цель работы:
Закрепление теоретического материала по изучению особенностей защиты информации в базах данных.
Изучение способов и систем защиты информации в базах данных.
Приборы и оборудование:
Персональный компьютер
ОС MS Windows 7 (MS Windows 10), MS Office, Браузер Microsoft Internet Explorer (Edge)
Пояснения к работе и задание:
Базы данных рассматриваются как надежное хранилище структурированных данных, снабженное специальным механизмом для их эффективного использования в интересах пользователей (процессов). Таким механизмом является система управления базами данных
(СУБД). Под системой управления базой данных понимаются программные или аппаратно- программные средства, реализующие функции управления данными, такие как: просмотр, сортировка, выборка, модификация, выполнение операций определения статистических характеристик и т.п. Базы данных размещаются:

на компьютерной системе пользователя;

на специально выделенной ЭВМ(сервере).
Как правило, на компьютерной системе пользователя размещаются личные или персональные базы данных, которые обслуживают процессы одного пользователя.
В вычислительных сетях базы данных размещаются на серверах. В локальных и корпоративных сетях, как правило, используются централизованные базы данных. В таких сетях серверы размещаются на различных объектах сети. В качестве серверов часто используются специализированные ЭВМ, приспособленные к хранению больших объемов данных, обеспечивающие сохранность и доступность информации, а также оперативность обработки поступающих запросов. В централизованных базах данных проще решаются проблемы защиты информации от преднамеренных угроз, поддержания актуальности и непротиворечивости данных. Достоинством распределенных баз данных, при условии дублирования данных, является их высокая защищенность от стихийных бедствий, аварий, сбоев технических средств, а также диверсий.
Защита информации в БД, в отличии от защиты в файлах, имеет и свои особенности:

необходимость учета функционирования СУБД при выборе механизмов защиты;

разграничение доступа к информации реализуется не на уровне файлов, а на уровне частей БД.
При создании средств защиты информации в БД необходимо учитывать взаимодействие этих средств не только с ОС, но и с СУБД. При этом возможно встраивание механизмов защиты в СУБД или использование их в виде отдельных компонент. Для большинства СУБД придание им дополнительных функций возможно только на этапе разработки СУБД. В эксплуатируемые
СУБД дополнительные компоненты могут быть внесены путем расширения или модификации языка управления. Таким путем можно осуществлять наращивание возможностей, например, в
СУБД CA-Clipper 5.0.
В современных БД довольно успешно решаются задачи разграничения доступа, поддержания физической целостности и логической сохранности данных. Алгоритмы разграничения доступа к записям и даже к полям записей в соответствии с полномочиями пользователя хорошо отработаны, и преодолеть эту защиту злоумышленник может лишь с помощью фальсификации полномочий или внедрения вредительских программ. Разграничение доступа к файлам БД и к частям БД осуществляется СУБД путем установления полномочий пользователей и контроля этих полномочий при допуске к объектам доступа.
Полномочия пользователей устанавливаются администратором СУБД. Обычно стандартным идентификатором пользователя является пароль, передаваемый в зашифрованном

виде. В распределенных компьютерных системах процесс подтверждения подлинности пользователя дополняется специальной процедурой взаимной аутентификации удаленных процессов. БД, содержащих конфиденциальную информацию, хранятся на внешних запоминающих устройствах в зашифрованном виде.
Физическая целостность БД достигается путем использования отказоустойчивых устройств, построенных, например, на технологии RAID. Логическая сохранность данных означает невозможность нарушения структуры модели данных. Современные СУБД обеспечивает такую логическую целостность и непротиворечивость на этапе описания модели данных.
В БД, работающих с конфиденциальной информацией, необходимо дополнительно использовать криптографические средства закрытия информации. Для этой цели используется шифрование, как с помощью единого ключа, так и с помощью индивидуальных ключей пользователей. Применение шифрования с индивидуальными ключами повышает надежность механизма разграничения доступа, но существенно усложняет управление.
Возможны два режима с зашифрованными БД. Наиболее простым является такой порядок работы с закрытыми данными, при котором для выполнения запроса необходимый файл или часть файла расшифровывается на внешнем носителе, с открытой информацией производятся необходимые действия, после чего информация на внешнем запоминающем устройстве(ВЗУ) снова зашифровывается.
Достоинством такого режима является независимость функционирования средств шифрования и БУБД, которые работают последовательно друг за другом. В то же время сбой или отказ в системе может привести к тому, что на ВЗУ часть БД останется записанной в открытом виде.
Второй режим предполагает возможность выполнения СУБД запросов пользователей без расшифрования информации на ВЗУ. Поиск необходимых файлов, записей, полей, групп полей не требует расшифрования. Расшифрование производится в ОП непосредственно перед выполнением конкретных действий с данными. Такой режим возможен, если процедуры шифрования встроены в СУБД. При этом достигается высокий уровень защиты от несанкционированного доступ, но реализация режима связана с усложнением СУБД. Придание
СУБД возможности поддержки такого режима работы осуществляется, как правило, на этапе разработки СУБД.
При построении защиты БД необходимо учитывать ряд специфических угроз безопасности информации, связанных с концентрацией в БД большого количества разнообразной информации, а также с возможностью использования сложных запросов обработки данных. К таким угрозам относятся:

инференция;

агрегирование;

комбинация разрешенных запросов для получения закрытых данных.
Под инференцией понимается получение конфиденциальной информации из сведений с меньшей степенью конфиденциальности путем умозаключений. Если учитывать, что в базах данных хранится информация, полученная из различных источников в разное время, отличающаяся степенью обобщенности, то аналитик может получить конфиденциальные сведения путем сравнения, дополнения и фильтрации данных, к которым он допущен. Кроме того, он обрабатывает информацию, полученную из открытых баз данных, средств массовой информации, а также используются просчеты лиц, определяющих степень важности и конфиденциальности отдельных явлений, процессов, фактов, полученных результатов. Такой способ получения конфиденциальных сведений, например, по материалам средств массовой информации, используется давно, и показал свою эффективность.
Близким к инференции является другой способ добывания конфиденциальных сведений - агрегирование. Под агрегированием понимается способ получения более важных сведений по сравнению с важностью тех отдельно взятых данных, на основе которых и получаются эти сведения. Так, сведения о деятельности одного отделения или филиала корпорации обладают определенным весом. Данные же за всю корпорацию имеют куда большую значимость.


Если инференция и агрегирование являются способами добывания информации, которые применяются не только в отношении баз данных, то способ специального комбинирования запросов используется только при работе с базами данных. Использование сложных, а также последовательности простых логически связанных запросов позволяет получать данные, к которым доступ пользователю закрыт. Такая возможность имеется, прежде всего, в базах данных, позволяющих получать статистические данные. При этом отдельные записи, поля,
(индивидуальные данные) являются закрытыми. В результате запроса, в котором могут использоваться логические операции AND, OR, NOT, пользователь может получить такие величины как количество записей, сумма, максимальное или минимальное значение. Используя сложные перекрестные запросы и имеющуюся в его распоряжении дополнительную информацию об особенностях интересующей записи (поля), злоумышленник путем последовательной фильтрации записей может получить доступ к нужной записи (полю).
Противодействие подобным угрозам осуществляется следующими методами:

блокировка ответа при неправильном числе запросов;

искажение ответа путем округления и другой преднамеренной коррекции данных;


Поделитесь с Вашими друзьями:
1   2   3   4   5   6   7   8   9   ...   14


База данных защищена авторским правом ©psihdocs.ru 2019
обратиться к администрации

    Главная страница