Исследование методов информационной защиты баз данных в социально-экономической сфере

Скачать 65.89 Kb.

Название	Исследование методов информационной защиты баз данных в социально-экономической сфере
Дата публикации	27.03.2015
Размер	65.89 Kb.
Тип	Исследование

100-bal.ru > Информатика > Исследование

THE RESEARCH OF THE DATABASES INFORMATION PROTECTION METHODS IN SOCIOECONOMIC SPHERE

Matsur Victoria V., Alekseev Aleksey A.

Kazan National Research Technical University named after A. N. Tupolev

aleksey_a91@mail.ru

The problem of the effective protection of the stored information is arising at the present moment owing to the intensity of the electronic databases employment in the tax sphere. The methods of hacking such as the unauthorized access, the password selection, viruses, trojans and so-called SQL injections are often used by the hackers. The information theft and violation of the integrity causes a serious harm to economy as a whole and the individuals in particular. The next methods of the protection are used for the intensification of the Federal Tax Service databases security. They are authentication, access control, partitioning privileges for the access, cryptographic conversion of information. In the course of this work the analysis of these methods was made, more effective of them by the memory capacity, the speed criterion, the time costs and practical realization of the methods were revealed.

Databases, unauthorized access, SQL injections, Federal Tax Service, authentication, privileges, cryptographic conversion.
ИССЛЕДОВАНИЕ МЕТОДОВ ИНФОРМАЦИОННОЙ ЗАЩИТЫ БАЗ ДАННЫХ В СОЦИАЛЬНО-ЭКОНОМИЧЕСКОЙ СФЕРЕ

Мацур Виктория Викторовна, Алексеев Алексей Алексеевич

Казанский национальный исследовательский технический университет им. А. Н. Туполева

aleksey_a91@mail.ru

В настоящее время, вследствие интенсивности использования электронных баз данных в налоговой сфере, возникает проблема эффективной защиты хранимой информации. Зачастую хакерами используются такие методы взлома, как несанкционированный доступ (НСД), подбор пароля, вирусы, трояны и так называемые SQL-инъекции. Хищение и нарушение целостности информации наносит существенный вред экономике в целом и физическим лицам в частности. Для усиления безопасности баз данных Федеральной налоговой службы используются следующие методы защиты: аутентификация, разграничение доступа, разделение привилегий на доступ, криптографические преобразования информации. В ходе данной работы произведен анализ данных методов, выявление наиболее эффективных из них по объему памяти, скоростным критериям и временным затратам, реализация методов на практике.

Базы данных, несанкционированный доступ (НСД), SQL-инъекции, Федеральная налоговая служба (ФНС), аутентификация, привилегии, криптографические преобразования.
Обеспечение информационной безопасности является актуальным вопросом при построении информационной структуры налогового учреждения на базе ЭВМ. Для повышения уровня защиты, как правило, применяется ряд вышеперечисленных методов.

Аутентификация – установление подлинности объекта, его персональных данных, по своей сути данный метод является проверкой объекта. Процессу аутентификации предшествует процесс идентификации.

Идентификация – это присвоение какому-либо объекту или субъекту уникального образа, имени или числа. Конечная цель идентификации и установления подлинности объекта в компьютерной системе – допуск его к информации ограниченного пользования в случае положительного исхода проверки или отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации и установления подлинности в компьютерной системе могут быть:

-человек (оператор, пользователь, должностное лицо);
техническое средство (терминал, дисплей, компьютер, комплекс средств, автоматизации);
документы (распечатки, листинги и др.);
носители информации (магнитные ленты, диски и др.);
информация на дисплее, табло и т. д.

Установление подлинности объекта может производиться человеком, аппаратным устройством, программой, компьютерной системой и т. д. [1, c. 69-70]

Разграничение доступа пользователей к базе данных – следующий уровень безопасности. Данный метод основан на разделении информации, хранящейся в базе, на составные части и организации доступа к ней уполномоченных лиц. Разграничить доступ пользователей-потребителей информационной системы можно осуществить по следующим параметрам:

- по виду, характеру, назначению, степени важности и секретности информации;

- способам ее обработки: чтение, запись, внесение изменений, выполнение команд;

- условному номеру терминала;

- времени обработки и др.

Для управления правами доступа в системе управления базами данных MySQL используются следующие команды:

GRANT. Позволяет выполнять действия с объектом или, для команды — выполнять ее;
REVOKE. Аннулирует права доступа для объекта или, для команды — не позволяет выполнить ее;
DENY. He разрешает выполнять действия с объектом (в то время, как команда REVOKE просто удаляет эти права доступа).

Объектные права доступа позволяют контролировать доступ к объектам в MySQL, предоставляя и аннулируя права доступа для таблиц, столбцов, представлений и хранимых процедур. Чтобы выполнить по отношению к некоторому объекту некоторое действие, пользователь должен иметь соответствующее право доступа. Например, если пользователь хочет выполнить оператор SELECT * FROM table, то он должен и меть права выполнения оператора SELECT для таблицы table.

Командные права доступа определяет тех пользователей, которые могут выполнять административные действия, например, создавать или копировать базу данных. Ниже приведены командные права доступа:

CREATE DATABASE — право создания базы данных;

CREATE DEFAULT — право создания стандартного значения для столбца таблицы;

CREATE PROCEDURE — право создания хранимой процедуры;

CREATE ROLE — право создания правила для столбца таблицы;

CREATE TABLE — право создания таблицы;

CREATE VIEW — право создания представления;

BACKUP DATABASE — право создания резервной копии;

BACKUP TRANSACTION — право создания резервной копии журнала транзакций.

Привилегии SELECT, INSERT, UPDATE и DELETE позволяют выполнять операции над строками таблиц баз данных. Привилегия INDEX обеспечивает создание или уничтожение индексов. Привилегия ALTER позволяет использовать команду ALTER TABLE. Привилегии CREATE и DROP позволяют создавать новые или уничтожать существующие базы данных и таблицы. Привилегия GRANT позволяет предоставлять другим пользователям привилегии, которыми обладает администратор базы данных.

Команды GRANT и REVOKE позволяют системным администраторам создавать пользователей MySQL, а также предоставлять права пользователям или лишать их прав на четырех уровнях.

Глобальный уровень. Глобальные привилегии применяются ко всем базам данных на указанном сервере. Эти привилегии хранятся в таблице mysql.user.
Уровень базы данных. Привилегии базы данных применяются ко всем таблицам указанной базы данных. Эти привилегии хранятся в таблицах mysql.db и mysql.host.
Уровень таблицы. Привилегии таблицы применяются ко всем столбцам указанной таблицы. Эти привилегии хранятся в таблице mysql.tables_priv.
Уровень столбца. Привилегии столбца применяются к отдельным столбцам указанной таблицы. Эти привилегии хранятся в таблице mysql.columns_priv.
С базой данных могут работать одновременно несколько пользователей, отправляя к ней запросы. Система должна обслуживать такие запросы одновременно – это называется параллелизмом.

В реляционных базах данных защита целостности данных реализована в виде блокировки таблиц и транзакций. Блокировка производится способом, весьма напоминающим блокировку файлов при работе с ними с помощью функций языка PHP.

Транзакция – группа операций, которая может быть выполнена либо полностью успешно, с обеспечением целостности данных и независимо от параллельно идущих других транзакций, либо не выполнена вообще, и тогда она не должна произвести никакого эффекта.

В конце транзакции происходит либо ее отмена, либо подтверждение. Отмена транзакции называется откатом (rollback). Подтверждение транзакции называется фиксацией (commit). Фиксация транзакции происходит в специальных журнальных файлах, информация из которых считывается при сбоях и используется для восстановления состоянии базы данных до сбоя. [2, c. 175-178]

Одна из основных угроз для БД – это несанкционированное копирование данных или физическая кража носителя информации. Наиболее эффективным методом борьбы с такими угрозами является шифрование данных, т.е. хранение и передача особо важных данных в зашифрованном виде.

Шифрование файлов, таблиц и столбцов в СУБД может выполняться как средствами прозрачного, так и непрозрачного шифрования.

Рис. 1. Схема применения прозрачного шифрования и ее взаимодействие с системой защиты ОС Windows

Анализ методов шифрования показал:

Данные можно шифровать либо прозрачным, либо непрозрачным образом. Достоинством прозрачного вида является то, что данные на носителе всегда зашифрованы, а недостатком – большая нагрузка на ЦП (приблизительно на 20%) чем в непрозрачном режиме. Достоинством непрозрачного режима являются минимальная нагрузка на ЦП для шифрования, а недостатком то, что данные могут находиться в незашифрованном виде дольше, чем в прозрачном режиме.
Используемые алгоритмы шифрования как для прозрачного, так и для непрозрачного режима включают DES, 3DES, AES, RSA. Набор для непрозрачного режима дополнительно включает RC2,RC4, RSA, DESX.
Обычно средствами шифрования СУБД защищают объекты защиты СУБД (файлы, таблицы, столбцы и так далее). [3]

В ходе работы были использованы и проанализированы алгоритмы шифрования DES и RSA .

Таблица 1.

Сравнительные характеристики алгоритмов DES и RSA

Характеристика	DES	RSA
Скорость работы	Быстрая	Медленная
Используемая функция	Перестановка и подстановка	Возведение в степень
Длина ключа	56 бит	300 – 600 бит
Наименее затратный анализ	Перебор по всему ключевому пространству	Разложение модуля
Временные затраты на криптоанализ	Столетия	Зависят от длины ключа
Время генерации ключа	Миллисекунды	Десятки секунд
Тип ключа	Симметричный	Асимметричный

Использовано следующее программное обеспечение:

– Apache HTTP-сервер;

– СУБД MySQL.

Apache HTTP-сервер – это сервер, принимающий HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы, обычно 25 вместе с HTML-страницей, изображением, файлом, медиа-потоком или другими данными.

MySQL – современная высокопроизводительная и надежная СУБД, обеспечивающее хранение пространственных данных и иной атрибутивной информации.
Литература

Васильков А. В., Васильков И. А. Безопасность и управление доступом в информационных системах: учебное пособие/ А. В. Васильков, И. А. Васильков. – М.: ФОРУМ, 2010. – 368 с.
Бенкен Е. С. PHP, MySQL, XML: программирование для Интернета. – СПб.: БХВ-Петербург, 2007. – 336 с.
http://compsmir.ru/?p=118

Добавить документ в свой блог или на сайт

Похожие:

	Урок 4 Класс: 11. Тема урока: «Способы организации баз данных: иерархический,... ...		2. Поля Цель курса получение студентами знаний об этапах разработки баз данных; о перспективных направлений развития баз данных
	А. Л. Исаев, А. М. Чеповский введение в теорию баз данных Введение в теорию баз данных: Учебно-методическое пособие по курсам «Вычислительная техника и информационная технология» и «Базы...		Методические рекомендации по курсу базы данных подготовки бакалавриата... Цель данного курса дать основные понятия теории баз данных и подходы к проектированию реляционных баз данных. Представить современные...
	Программа по формированию навыков безопасного поведения на дорогах... Место урока в теме – урок проводится в ходе изучения темы “Информационные системы”, после изучения понятий базы данных, видов баз...		Программа по формированию навыков безопасного поведения на дорогах... Место урока в теме – урок проводится в ходе изучения темы “Информационные системы”, после изучения понятий базы данных, видов баз...
	Основная образовательная программа подготовки специалиста по специальности... Целью дисциплины “Распределенные системы управления базами данных” является формирование профессиональных навыков по изучению методов...		Разработка методов информационной защиты в экономических информационных... Динамическая эквивалентность как способ преодоления различий в национальных картинах мира
	Отчет о научно-исследовательской работе по теме: «Исследование вопросов... «Исследование вопросов применения новых технологий обработки больших данных в сфере информатизации культуры»		Отчет о научно-исследовательской работе «Разработка методов и средств... «Разработка методов и средств информационной поддержки образовательных процессов с применением перспективных технологий передачи...
	Отчет «Создание баз данных в области наноэлектроники как элементов... Наноэлектроника, наноматериалы, нанотехнологии, формирование предметной области, структурирование		Тема: "Концептуальное и логическое проектирования баз данных" Курсовой проект предназначен для практического освоения проектирования реляционных баз данных (БД). В работе используется трехуровневый...
	Правительство Российской Федерации Московский институт электроники... ...		Федеральная служба по надзору в сфере защиты прав потребителей и... Артпедагогика и арттерапия в специальном образовании: Учебник для вузов / Е. А. Медведева, И. Ю. Левченко, Л. Н. Комиссарова, Т....
	Рабочая программа дисциплины преступления в сфере экономической деятельности... Цель учебного курса: специальный курс «Преступления в сфере экономической деятельности» предназначен для того, чтобы дать студентам...		Разработка и исследование методов распознавания объектов в массивах...

Школьные материалы