ВВЕДЕНИЕ 3
1. ОБЗОР МЕТОДОВ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ 5
1.1. Основные определения 5
1.2. Обзор существующих возможностей защиты в некоторых СУБД .... 6
1.3. Атаки, приводящие к потере данных 9
2. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ 12
2.1. Используемые средства разработки 12
2.2. Разработка структуры базы данных 13
2.3. Разработка структуры веб-приложения 17
2.4. Разработка личного кабинета 20
2.5. Реализация схем аутентификации и авторизации 24
2.6. Реализация защиты информации, хранящейся в базе данных 26
ЗАКЛЮЧЕНИЕ 31
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 32
ПРИЛОЖЕНИЕ
В век информационных технологий все больше организаций и предприятий переходит на автоматизацию и компьютеризацию своей деятельности, поэтому проблемы защиты информации становятся более актуальными. При этом вся информация хранится в огромных базах данных на удаленных серверах. Если не обеспечивается должная защита данных, информация может попасть в руки злоумышленников. При каждом сбое работы базы данных останавливается и работа целых корпораций, банков, иных учреждений, что может привести как к существенным материальным потерям, так и подрыву доверия со стороны клиентов. Обеспечение безопасности должно осуществляться комплексно, так как и сотрудники предприятия могут представлять угрозу для безопасности информации, хранящейся в базах данных. Нелояльный сотрудник может получить доступ по локальной сети непосредственно к серверам баз данных. Чтобы этого не произошло, необходимо в полной мере организовывать защиту баз данных. Чаще всего базы данных являются частью информационных систем, обеспечивающих удобство работы с информацией. На информационные системы проводятся атаки типа «отказ в обслуживании», которые парализуют работу сервера, не давая обычным пользователям посещать ресурс, SQL-инъекции, приводящие к краже информации из базы данных, а также ее удалению и изменению, внедрение вредоносного программного обеспечения и многое другое.
К основным средствам защиты данных относится:
• Парольная защита. Самый простой способ - установить пароль на базу данных.
• Шифрование информации. Является наиболее мощным способом защиты в случае взлома.
• Разграничение прав доступа к объектам. К разным объектам предоставляются различные уровни доступа.
В данной работе будет рассмотрена защита базы данных, обеспечивающая работу информационной системы турагентства. Для достижения цели было создано веб-приложение турагентства, включающее личный кабинет для различных групп пользователей: сотрудника и клиента турагентства, соответственно, с различными функциональными возможностями. Информацией, хранящейся в базе данных и подлежащей защите, являются персональные данные пользователей, пароли, данные о турах и их стоимости, датах. Защита данных обеспечивается путем применения алгоритма шифрования и использования хеш-функции для защиты паролей. Целостность информации, передающейся по сети, поддерживается использованием электронной цифровой подписи. Также реализована поверка полномочий и аутентификация пользователей в системе, рассмотрены виды возможных атак и уязвимостей, приводящих к потере данных, а также способы избегания подобных ситуаций.
На сегодняшний день базы данных, составляющие часть информационных систем, все еще являются довольно уязвимыми перед хакерскими атаками. Это подтверждают многочисленные проводимые исследования и опросы компаний, хранящих огромное количество информации в базах данных. Основными объектами злоумышленников все также остаются данные кредитных карт пользователей, пароли, данные о самих организациях и многое другое. Почему же процент успешных краж информации настолько высок? Дело в том, что компании несерьезно относятся к надлежащей защите серверов баз данных. Нанимаются администраторы, не знающие основ обеспечения безопасности, не предпринимаются меры по обновлению оборудования и программного обеспечения. Статистика показывает, что наиболее популярными из версий СУБД MS SQL Server является выпуски 2005-2008 годов, в то время как обновления выпускаются довольно часто. Старые версии более подвержены успешным взломам и краже данных. Также при включении базы данных в информационную систему используются небезопасные способы соединения с базами данных, устаревшие технологии разработки, а также вопросы безопасности часто забываются и отодвигаются на второй план. Хотя для обеспечения защиты базы данных следует предпринять несколько несложных шагов, это:
• Использование пароля для доступа к базе данных.
• Разграничение доступа и привилегий пользователей.
• Шифрование данных, и, что немаловажно, использование при этом надежных алгоритмов, включая алгоритмы хеширования.
• Регулярное обновление программного обеспечения.
• Наем высококвалифицированного персонала.
Помощь студентам и аспирантам в выполнении работ от наших партнеров
