Види захисту, використовувані в автоматизованих інформаційних системах
Однією з оборотних сторін комп'ютерних інформаційних технологій є загострення проблеми захисту інформації. Дані в комп'ютерній формі зосереджують у фізично локальному і невеликому обсязі величезні масиви інформації, несанкціонований доступ до якої або її руйнування можуть призводити часом до катастрофічних наслідків і збитку. Можливість швидкого, в багатьох випадках практично миттєвого, і без слідів копіювання величезних масивів даних, що знаходяться в комп'ютерній формі, в тому числі і віддалено розташованих, додатково провокує зловмисників на несанкціонований доступ до інформації, її несанкціоновану модифікацію або руйнування.
Разом з тим теоретична опрацювання питань забезпечення безпеки інформації та їх практична реалізація довгий час відставали від рівня розвитку програмної індустрії СУБД, і в комерційних продуктах засоби забезпечення безпеки даних стали з'являтися лише в 90-х роках.
Імпульси розвитку та перші дослідження теорії та практики забезпечення безпеки даних в комп'ютерних системах були обумовлені, насамперед, потребами військової сфери, де проблема безпеки в цілому і комп'ютерної безпеки в Зокрема стоять особливо гостро. Початок цим процесам було покладено дослідженнями питань захисту комп'ютерної інформації, проведеними в кінці 70-х - початку 80-х років національним центром комп'ютерної безпеки (NCSC - National Computer Security Center) Міністерства оборони США. Результатом цих досліджень стало видання Міністерством оборони США в 1983 р. документа під назвою В«Критерії оцінки надійних комп'ютерних системВ», згодом за кольором обкладинки отримав назву В«Помаранчевої книжкиВ». Даний документ став фактично першим стандартом в області створення захищених комп'ютерних систем і згодом основою організації системи сертифікації комп'ютерних систем по критеріях захисту інформації.
Підходи до побудови та аналізу захищених систем, представлені в В«Помаранчевої книзіВ», послужили методологічною та методичною базою для подальших досліджень у цій сфері. У 1991 р. NCSC був виданий новий документ - Інтерпретація В«Критеріїв оцінки надійних комп'ютерних систем В»у застосуванні до поняття надійної системи управління базою даних, відомий під скороченою назвою TDI або В«Рожевої книги В», що конкретизує і розвиває основні положенняВ« Помаранчевої книги В»з питань створення та оцінки захищених СУБД.
Наприкінці 80-х - Початку 90-х років аналогічні дослідження з проблем комп'ютерної безпеки були проведені в багатьох країнах і створені відповідні національні стандарти в цій сфері. У нашій країні Державної технічної комісією при Президентові РФ були розроблені і в 1992 р. опубліковані В«Керівні документи по захисту від несанкціонованого доступу до інформації В», визначають вимоги, методику і стандарти побудови захищених засобів обчислювальної техніки і автоматизованих систем.
Поняття і моделі безпеки даних
Дослідження з проблем захисту комп'ютерної інформації, проведені в кінці 70-х-початку 80-х років, розвинені згодом в різних додатках і закріплені в відповідних стандартах, визначають в якості складових елементів поняття безпеки інформації три компоненти:
• конфіденційність (Захист від несанкціонованого доступу);
• цілісність (Захист від несанкціонованого зміни інформації);
• доступність (Захист від несанкціонованого утримання інформації і ресурсів, захист від руйнування, захист працездатності).
Складовим безпеки інформації протистоять відповідні загрози. Під загрозою безпеки інформації розуміється здійснюване або потенційно здійсненне вплив на комп'ютерну систему, яка прямо або побічно може завдати шкоди безпеці інформації. Загрози реалізують або намагаються реалізувати порушники інформаційної безпеки.
Формалізоване опис або подання комплексу можливостей порушника з реалізації тих чи інших загроз безпеки інформації називають моделлю порушника (Зловмисника).
Якісне опис комплексу організаційно-технологічних та програмно-технічних заходів щодо забезпечення захищеності інформації в комп'ютерній системі (АІС) називають політикою безпеки. Формальне (математичне, алгоритмічне, схемотехническое) вираз і формулювання політики безпеки називають моделлю безпеки.
Модель безпеки включає:
• модель комп'ютерної (інформаційної) системи;
• критерії, принципи, обмеження і цільові функції захищеності інформації від загроз;
• формалізовані правила обмеження, алгоритми, що схеми і механізми безпечного функціонування системи.
В основі більшості моделей безпеки лежить суб'єктно-об'єктна модель комп'ютерних систем, в тому числі і баз даних як яд...