Автоматизация работы пользователя в среде MS Office 2000

  - необходимо защитить гражданские  права и свободы, гарантированные  действующим законодательством  (включая право на доступ к  информации).

  Требования  по обеспечению безопасности в различных  ИС могут существенно отличаться, однако они всегда направлены на достижение трех основных свойств:

  - целостность – информация, на  основе которой принимаются решения,  должна быть достоверной и  точной, защищенной от возможных  непреднамеренных и злоумышленных  искажений;

  - доступность (готовность) – информация  и соответствующие автоматизированные  службы должны быть доступны, готовы к работе всегда, когда  в них возникает необходимость;

  - конфиденциальность – засекреченная  информация должна быть доступна  только тому, кому она предназначена.

  Для решения проблем информационной безопасности необходимо сочетание  законодательных, организационных, технологических  и стандартизационных мероприятий.

  Основное  внимание в теории и практике обеспечения  безопасности применения информационных технологий и систем сосредоточено  на защите от злоумышленных разрушений, искажений и хищений программных  средств и информации баз данных. Для этого разработаны и развиваются  проблемно-ориентированные методы и средства защиты:

  - от несанкционированного доступа;

  - от различных типов вирусов;

  - от утечки информации по каналам  электромагнитного излучения

  и т. д. При этом подразумевается наличие лиц, заинтересованных в доступе к программам и данным с целью их несанкционированного использования, хищения, искажения или уничтожения.

  Рассмотрим  современные методы выявления и  предотвращения непредумышленных угроз  безопасности функционирования программных  средств (ПС) и баз данных (БД), снижения соответствующих рисков до допустимого  уровня и определения реального  достигнутой степени безопасности использования ИС. В связи с  этим будем говорить об алгоритмической  и программно-технологической безопасности, используя для краткости термины "технологическая безопасность" или просто "безопасность". В  качестве основной непредумышленной угрозы будет рассматриваться наличие  внутренних дефектов ПС и БД, вызванных  ошибками проектирования и реализации.

  Факторы, определяющие технологическую безопасность сложных информационных систем:

  - показатели, характеризующие технологическую  безопасность информационных систем;

  - требования, предъявляемые к архитектуре  ПС и БД для обеспечения  безопасности ИС;

  - ресурсы, необходимые для обеспечения  технологической безопасности ИС;

  - внутренние и внешние дестабилизирующие  факторы, влияющие на безопасность  функционирования программных средств  и баз данных;

  - методы и средства предотвращения  и снижения влияния угроз безопасности  ИС со стороны дефектов программ  и данных;

  - оперативные методы и средства  повышения технологической безопасности  функционирования ПС и БД путем  введения в ИС временной, программной  и информационной избыточности;

  - методы и средства определения  реальной технологической безопасности  функционирования критических ИС.

  Использование баз данных характеризуется следующими свойствами:

  1. ОПЕРАТИВНОСТЬ : средства вычислительной техники позволяют осуществлять оперативный доступ к информации;

  2. ПОЛНАЯ ДОСТУПНОСТЬ : вся информация, содержащаяся в БД, доступна для использования;

  3. ГИБКОСТЬ : имеется возможность легко изменять состав и форму выдачи, интересующих пользователя данных, изменения в БД вносятся также достаточно просто;

  4. ЦЕЛОСТНОСТЬ (данных): минимизируется  дублирование данных, предоставляется  возможность упорядочения и согласованности  данных а также работ по их обновлению.

  С общими характеристиками БД связан также  ряд взаимозависимых понятий:

  - Целостность БД [database integrity] - состояние БД, при котором все значения данных правильно отражают предметную область (в пределах заданных ограничений по точности и согласованности во времени) и подчиняются правилам взаимной непротиворечивости, Поддержание целостности БД предполагает ее проверку и восстановление или корректировку из любого неправильного состояния, которое может быть обнаружено. Это входит в функции администратора БД, который пользуется средствами системы управления БД. Аналогичным образом можно говорить и о целостности файла, хотя в типичных случаях файлы подвергаются менее обширным проверкам на целостность.

  - Защищенность БД [database security] - Наличие и характеристика средств (аппаратных, программных, организационных, технологических, юридических и т.п.) обеспечивающих предотвращение или исключение:

  - Доступа к информации лиц, не  получивших на то соответствующего  разрешения.

  - Умышленного или непредумышленного  разрушения или изменения данных.

  - Безопасность БД [database safety] - свойство БД, которое заключается в том, что содержащиеся в ней данные не причинят вреда пользователю при правильном их применении для решения любых функциональных задач системы, для которой она была создана. Часто понятия "безопасность" и "защита" БД рассматриваются как синонимичные.

  - Эффективность БД [database efficiency] -

  - степень соответствия результатов  использования БД затратам на  ее создание и поддержание  в рабочем состоянии, в случае  оценки этого показателя в  денежном выражении он носит  наименование экономической эффективности  БД;

  - обобщающий показатель качества  состояния и использования БД  по совокупности признаков (в  том числе - скорость, доступность,  гибкость, целостность, защищенность, безопасность и др.) - техническая  эффективность БД Эффективность  БД принято оценивать применительно  к условиям их использования  в конкретных автоматизированных  системах.

  Наиболее  распространенными угрозами безопасности для баз данных являются следующие:

  - несанкционированный доступ к  данным через сеть Интернет;

  - похищение информации запросом  вида SELECT *. Обеспечить защиту от  угроз такого типа весьма сложно, так как их производят, в основном, аналитики, взаимодействующие с  ядром БД и имеющие привилегии  на всевозможные выборки данных  из всех таблиц базы;

  - резервное копирование с целью  воровства БД.

  В состав типовой модели защиты БД необходимо включить следующие элементы: организационные  меры по обеспечению доступа к  серверу (желательно только локально); ограничения доступа к корпоративной  сети; защита доступа к СУБД; ограничения  на использование прикладного программного обеспечения конкретным пользователем.

  Для решения рассмотренных проблем  можно использовать наиболее распространенные методы защиты БД: защита паролем, встроенные в СУБД средства защиты информации и мониторинга действий пользователей, идентификация пользователя и проверка его полномочий.

  Каждый  из этих способов имеет свои достоинства, но надо понимать, что абсолютную защиту данных обеспечить невозможно.

  Также можно применить и наиболее классический способ защиты данных – зашифровать  все таблицы БД при помощи достаточно стойкого крипто- алгоритма. Но это решение также имеет ряд недостатков, например, таких как потеря времени при шифровании/дешифровании данных, невозможность индексирования полей, практическая невозможность полного восстановления при системных сбоях и др.

  Оперативные методы повышения  безопасности функционирования баз данных.

  Невозможность обеспечить в процессе создания БД ее абсолютную защищенность даже при  отсутствии злоумышленных воздействий  заставляет искать дополнительные методы и средства повышения безопасности функционирования БД на этапе эксплуатации. Для этого разрабатываются и  применяются методы оперативного обнаружения  дефектов при исполнении

  программ  и искажений данных путем введения в них временной, информационной и программной избыточности. Эти  же виды избыточности используются для  оперативного восстановления искаженных программ и данных и предотвращения возможности развития угроз до уровня, нарушающего безопасность функционирования БД.

  Для обеспечения высокой надежности и безопасности функционирования БД необходимы вычислительные ресурсы  для максимально быстрого обнаружения  проявления дефектов, возможно точной классификации типа уже имеющихся  и вероятных последствий искажений, а также для автоматизированных мероприятий, обеспечивающих быстрое  восстановление нормального функционирования БД.

  Информационная  избыточность состоит в дублировании накопленных исходных и промежуточных  данных, обрабатываемых программами. Избыточность используется для сохранения достоверности  данных, которые в наибольшей степени  влияют на нормальное функционирование БД и требуют значительного времени  для восстановления. Такие данные обычно характеризуют некоторые  интегральные сведения о внешнем  управляемом процессе, и в случае их разрушения может прерваться процесс  управления внешними объектами или  обработки их информации, отражающийся на безопасности БД. Программная избыточность используется для контроля и обеспечения  достоверности наиболее важных решений  по управлению и обработке информации. Она заключается в сопоставлении  результатов обработки одинаковых исходных данных разными программами  и исключении искажения результатов, обусловленных различными аномалиями. Программная избыточность необходима также для реализации средств  автоматического контроля и восстановления данных с использованием информационной избыточности и для функционирования средств защиты.

  Наряду  с оперативной реакцией на искажения  в БД должно вестись накопление информации обо всех проявлениях дефектов с  тем, чтобы использовать эти данные для локализации первичного источника  ошибок и исправления соответствующих  программ, данных или компонент аппаратуры. Подготовку, статистическую обработку  и накопление данных по проявлениям  искажений целесообразно проводить  автоматически с выдачей периодически или по запросу сводных данных на индикацию для подготовки специалистами  решений о корректировке программ или восстановлении аппаратуры.

  Таким образом, введение избыточности в программы  и данные способствует повышению  качества функционирования БД. Особенно большое влияние избыточность может  оказывать на надежность и безопасность решения задач в критических  системах реального времени. При  этом возможно снижение затрат на отладку  и частичное обеспечение необходимой  надежности и безопасности БД за счет средств повышения помехоустойчивости, оперативного контроля и восстановления функционирования программ и данных. Средства оперативной защиты вычислительного  процесса, программ и данных, в свою очередь, являются сложными системами  и не застрахованы от ошибок, способных  привести к нарушению безопасности функционирования БД. Поэтому необходим  комплексный анализ, распределение  ресурсов и видов избыточности для  максимизации безопасности применения критических БД.  

  3) Создание запросов  на обновление, на  добавление, на удаление, на создание таблицы

  автоматизация оffice безопасность таблица запрос

  Создание  запроса на обновление.

  С помощью запроса на обновление можно  добавлять, изменять или удалять  данные в одной или нескольких записях. Запросы на обновление можно  рассматривать как разновидность  диалогового окна Поиск и замена с более широкими возможностями. Следует ввести условие отбора (приблизительный  аналог образца поиска) и условие  обновления (приблизительный аналог образца замены). В отличие от диалогового окна Поиск и замена запрос на обновление может принимать  несколько условий и позволяет  обновить большое число записей  за один раз, а также изменить записи сразу в нескольких таблицах.

  Необходимо  помнить приведенные ниже правила.

  Запрос  на обновление нельзя использовать для  добавления новых записей в таблицу, но можно менять имеющиеся пустые значения на определенные значения.