2

СОСТАВИТЕЛИ:

В. В. Скакун, доцент кафедры системного анализа и компьютерного

моделирования Белорусского государственного университета, кандидат

физико-математических наук, доцент.

РЕЦЕНЗЕНТЫ:

А. А. Петровский, заведующий кафедрой электронных вычислительных

средств Учреждения образования «Белорусский государственный

университет информатики и радиоэлектроники», доктор технических наук, профессор;

В. С. Садов, доцент кафедры интеллектуальных систем Белорусского государственного университета, кандидат технических наук, доцент.

РЕКОМЕНДОВАНА К УТВЕРЖДЕНИЮ:

Кафедрой системного анализа и компьютерного моделирования Белорусского государственного университета (протокол № 4 от 15 ноября 2011 г.);

Учебно-методической комиссией факультета радиофизики и компьютерных технологий Белорусского государственного университета (протокол № 3 от 22 ноября 2011 г.).

Ответственный за редакцию: В. В. Скакун Ответственный за выпуск: В. В. Скакун

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

Учебная программа «Защита информации в базах данных и экспертных системах» разработана для студентов специальности 1-98 Компьютерная безопасность (направление 1-98 01 01-02 Радиофизические методы и программно-технические средства) в соответствии с требованиями Образовательных стандартов ОСРБ 1-98 01 01-2007, ОСРБ 1-31 04 02-2008, ОСРБ 1-31 04 03-2008 и учебных планов специальности 1-98 Компьютерная безопасность (направление 1-98 01 01-02 Радиофизические методы и программно-технические средства, специализация 1-98 01 01- Моделирование и анализ информационных систем).

Дисциплина «Защита информации в базах данных (БД) и экспертных системах (ЭС)» имеет целью раскрыть содержание основных понятий, методов и механизмов обеспечения информационной безопасности БД и ЭС.

Содержание дисциплины определяется апробированными в практической реализации методами и механизмами обеспечения конфиденциальности, целостности и доступности информации в БД и ЭС. Задачи дисциплины – дать основы системного и комплексного подхода к анализу и обеспечению информационной безопасности БД и ЭС в процессах их создания и эксплуатации (администрирования), а также представления, анализа и обоснования моделей, методов и механизмов обеспечения информационной безопасности БД и ЭС.

В результате усвоения дисциплины студент должен:

знать: основные понятия и составляющие информационной безопасности БД и ЭС; систематику методов и механизмов обеспечения информационной безопасности БД и ЭС; обязательные, избирательные и ролевые модели разграничения доступа к информации в БД; технологии индивидуально-группового доступа к разделяемым информационным ресурсам: методы и технологии обеспечения сохранности и правомерной доступности информации в БД и ЭС.

уметь: анализировать функциональную и системную архитектуру БД и ЭС в контексте обеспечения информационной безопасности; применять системные процедуры и инструкции языка SQL для реализации установок избирательного и ролевого доступа, обеспечения целостности данных;

программировать представления, триггеры, функции и сохраненные процедуры; вырабатывать перечень процедур и работ по администрированию защищенных БД и ЭС; творчески и эффективно использовать полученные знания в своей профессиональной деятельности.

Практическая часть заключается в овладении навыками разработки защищенной БД в СУБД MS Access и MS SQL Server и навыками их администрирования. Дисциплина «Защита информации в базах данных и экспертных системах» опирается на материал курсов «Программирование» и «Модели данных и СУБД», изучаемых на факультете.

Объем дисциплины составляет 62 часа, в том числе 58 аудиторных часов, из них лекции – 32, лабораторные работы – 24, контр. сам. работа. – 2.

ПРИМЕРНЫЙ ТЕМАТИЧЕСКИЙ ПЛАН

№ Наименование тем Всего Лекции Лабораторные КСР 1 Введение 2 2 Экспертные системы 2 3 Общие положения по 4 информационной безопасности БД и ЭС 4 Модели и методы обеспечения 8 конфиденциальности данных 5 Модели и методы обеспечения 12 6 4 целостности, сохранности и правомерной доступности информации представлений, хранимых процедур, функций и триггеров секретности данных в СУБД MS Access и MS SQL Server

СОДЕРЖАНИЕ УЧЕБНОГО МАТЕРИАЛА

ВВЕДЕНИЕ

Общая характеристика составляющих информационной безопасности.

ЭКСПЕРТНЫЕ СИСТЕМЫ

Базовая структура экспертной системы. Отличие ЭС от БД.

Представление знаний в экспертной системе. Модели представления знаний на основе семантических сетей, фреймов и логических выражений.

ОБЩИЕ ПОЛОЖЕНИЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

БД И ЭС Основные понятия и определения информационной безопасности.

Субъекты и объекты безопасности. Угрозы безопасности. Нарушители безопасности. Классификация угроз информационной безопасности. Понятие уязвимости систем защиты. Характеристика основных уязвимостей.

Основные принципы и механизмы обеспечения информационной безопасности. Скрытые каналы передачи информации. Специфика защиты в БД и ЭС. Агрегирование, инференция, SQL инъекции: примеры реализации и способы противодействия.

МЕТОДЫ И МОДЕЛИ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ

ДАННЫХ

Идентификация, аутентификация и авторизация пользователей.

Управление доступом к данным. Избирательный (дискреционный) и обязательный (мандатный) подход к разграничению доступа к данным.

Матрица доступа. Принудительное и добровольное управление доступом.

Привилегии и предоставление прав доступа. Элементы языка SQL для установки и управления правилами разграничения доступа. Обязательный принцип разграничения доступа. Уровни (решетка) безопасности. Уровни конфиденциальности объектов и уровни доверия субъектов доступа. Модель Белла-ЛаПадуллы и ее расширения. Ролевая модель разграничения доступа.

Модель «китайской стены».

МОДЕЛИ И МЕТОДЫ ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ,

СОХРАННОСТИ И ПРАВОМЕРНОЙ ДОСТУПНОСТИ ДАННЫХ

Модели обеспечения целостности данных. Модель Кларка-Вильсона.

Модель Биба. Совместное использование моделей безопасности и целостности. Механизмы обеспечения целостности данных, реализуемые в реляционных СУБД. Изменение данных как событие. Установление и контроль целостности данных на основе триггеров и хранимых процедур.

Методы управления транзакциями. Уровни изоляции транзакций. Журнал транзакций. Виды сбоев. Методы восстановления информации после локального, мягкого и жесткого сбоев. Резервирование, архивирование и журнализация БД.

ПРОГРАММИРОВАНИЕ ПРЕДСТАВЛЕНИЙ, ХРАНИМЫХ

ПРОЦЕДУР, ФУНКЦИЙ И ТРИГГЕРОВ

Обеспечение безопасности и секретности данных с помощью представлений, хранимых процедур, функций и триггеров. Доступ к данным через представления. Свойства представлений. Обновление данных в представлениях. Основы языка Transact SQL. Элементы языка Transact SQL для программирования и выполнения хранимых процедур, функций и триггеров.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ И СЕКРЕТНОСТИ ДАННЫХ В

СУБД MS ACCESS И MS SQL SERVER

Система безопасности MS Access. Способы защиты данных в Access.

Архитектура безопасности MS SQL Server. Система безопасности уровня сервера. Фиксированные роли сервера. Система безопасности уровня БД. Фиксированные и пользовательские роли БД. Регистрация пользователей и предоставление им доступа к данным. Администрирование БД в MS SQL Server. Действия при переносе БД на другой компьютер.

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ ЛАБОРАТОРНЫХ РАБОТ

1. Реализация защищенной БД в MS Access;

2. Создание БД в MS SQL Server путем выполнения SQL запросов в консольной клиентской программе. Управление доступом и администрирование БД с помощью системных процедур и инструкций 3. Масштабирование БД MS Access в MS SQL Server. Разработка представлений, автоматизация и обеспечение целостности приложения с помощью триггеров, функций и сохраненных процедур. Защита от SQL инъекций. Разработка клиент-серверного приложения в MS Visual Studio с использованием технологии ADO.NET;

4. Администрирование СУБД MS SQL Server. Создание резервной копии БД, восстановление БД, решение проблем, связанных с переносом БД на другой компьютер.

Рекомендуемая литература Смирнов, С.Н. Безопасность систем баз данных / С.Н. Смирнов. – М.:

Гелиос-АРВ, 2007. – 352с.

Цирлов, В. Л. Основы информационной безопасности. Краткий курс / В. Л. Цирлов. – Феникс, 2008. - 256 с.

Герасименко В.А., Малюк А.А. Основы защиты информации. М.:

Михеева, В. Microsoft Access 2003 / В. Михеева и И. Харитонова. – Нильсен, Пол. SQL Server 2005. Библия пользователя. Пер с англ./ Пол Нильсен. – Москва, СПб, Киев: Вильямс (Диалектика), 2008. – 1232 с.

Дополнительная 6. Дейт, Дж. Введение в базы данных / Дж. Дейт; пер. с. англ. 8 издание. СПб: Питер, 2005. – 1328 с.

7. Мамаев, Е. Microsoft SQL Server 2000. Наиболее полное руководство / Е. Мамаев – СПб: БХВ, 2005. – 1280 с.

8. Pernul, G. Database Security / G. Pernul // - In: Advances in Computers, Vol. 38. ed. by M. C. Yovits. - Academic Press. – 1994. - pp. 1 - 74.