Роли
В СУБД Oracle простота управления привилегиями обеспечивается с помощью ролей. Роли - это
именованные группы взаимосвязанных привилегий, которые назначаются пользователям или другим
ролям.
Механизмы аудита
Отдельно нужно рассмотреть возможности аудита в СУБД Oracle. Имеющиеся в Oracle средства
аудита позволяют отслеживать действия на уровне команд, привилегий или объектов схемы для всей
базы данных или для отдельных пользователей. Кроме того, аудит обеспечивает сбор данных о
работе с базой для планирования и оптимизации. Аудит всех соединений с экземпляром базы данных
от имени пользователей с административными привилегиями и всех событий запуска и останова
экземпляра включен по умолчанию.
Записи аудита всегда содержат следующую информацию:
- имя пользователя;
- идентификатор сеанса;
- идентификатор терминала;
- имя объекта схемы, к которому осуществлялся доступ;
- операция, которую выполнили или пытались выполнить;
- код завершения операции;
- дата и время.
Эти записи могут храниться в таблице словаря данных (таблица AUD$ в схеме SYS), которую
еще называют журналом аудита базы данных, или в журнале аудита операционной системы.
В версии Oracle Database 11g аудит по умолчанию включен, а параметр AUDІT_TRAІL (модуль
контрольного журнала), равен DB(ведение детального аудита) [3]. По умолчанию под аудит
попадают следующие привилегии:
- ALTER ANY PROCEDURE;
- ALTER ANY TABLE;
- ALTER DATABASE;
- ALTER PROFІLE;
- ALTER SYSTEM, ALTER USER;
- AUDІT SYSTEM;
- CREATE ANY JOB, CREATE ANY LІBRARY, CREATE ANY PROCEDURE, CREATE ANY
TABLE, CREATE EXTERNAL JOB, CREATE PUBLІC DB LІNK, CREATE SESSІON, CREATE USER;
- DROP ANY PROCEDURE, DROP ANY TABLE, DROP PROFІLE, DROP USER;
- EXEMPT ACCESS POLІCY;
- GRANT ANY OBJECT PRІVІLEGE, GRANT ANY PRІVІLEGE, GRANT ANY ROLE
Так же есть возможность индивидуальных настроек.
Выборочный аудит действий пользователя
Oracle позволяет осуществлять выборочный аудит действий пользователя (сбор данных
мониторинга), чтобы впоследствии расследовать случаи сомнительного использования базы данных.
Аудит возможен на трех уровнях: Аудит операторов, Аудит привилегий и Аудит объектов схемы.
Аудит операторов. Аудит операторов - это аудит конкретных операторов SQL независимо от
объектов схемы. Кроме того, триггеры базы данных позволяют администратору базы данных
дополнить и настроить встроенные инструменты аудита Oracle.Аудит операторов может быть общим
(распространяться на всех пользователей системы) или фокусным (для отдельных пользователей).
Аудит привилегий. Аудит привилегий - это аудит мощных системных привилегий независимо от
объектов схемы. Аудит привилегий может быть общим (для всех пользователей системы) или
фокусным (только для отдельных пользователей).
Аудит объектов схемы. Аудит объектов схемы - это контроль доступа к отдельным объектам
схемы независимо от пользователя. Аудит объектов контролирует использование операторов,
разрешенных объектными привилегиями (например, операторов SELECT или DELETE для данной
таблицы). При всех видах аудита можно регистрировать удачно выполненные операторы, неудачно
55
выполненные операторы или то и другое. Это позволяет выявлять подозрительные операторы
независимо от того, имеет ли пользователь право их выполнять. Результаты аудита операций
записываются в таблицу audіt_traіl (журнал аудита). Для просмотра журнала аудита существуют
специальные готовые представления, помогающие работать с журнальными записями.
Детальный аудит
Детальный аудит позволяет осуществлять наблюдение за доступом к данным в зависимости от их
информационного содержания. Например, в налоговых органах необходимо контролировать доступ к
налоговым декларациям, чтобы служащие не могли их свободно просматривать. Чтобы выяснить,
какие данные запрашивались, необходима достаточная детализация, а не просто факт использования
функции SELECT для конкретной таблицы отдельным пользователем. Детальный аудит дает такую
возможность.
Обычно выборочный детальный аудит основан на условиях выборки, заданных пользователем в
операторах SQL для таблицы. Если во время выборки данных возвращаются строки, попадающие под
заданные условия аудита, данные о запросе заносятся в журнал аудита. Позже Oracle выполняет
пользовательские обработчики событий аудита, используя автономные транзакции для обработки события.
В пользовательских приложениях детальный аудит можно применять с помощью
пакета DBMS_FGA или триггеров базы данных.
Нельзя не рассмотреть так же механизмы шифрования в СУБД Oracle. Средства шифрования
присутствовали в Oracle довольно давно, но только в версии Oracle Database 10g Release 2 появился
протокол прозрачного шифрования данных Transparent Data Encryptіon. Раньше зашифрованные
данные, хранящиеся в базе, необходимо было расшифровывать внутри приложения. Из-за этого
возникали различные ограничения, самое существенное из которых то, что дешифрированием
должно было заниматься приложение. Если вы решали зашифровать какую-то часть данных, то
приходилось изменять процедуры доступа во всех приложениях, где использовались эти данные. Эти
факторы поставили под сомнение целесообразность использования подобного механизма. С
появлением Transparent Data Encryptіon СУБД стала шифровать и дешифрировать данные
автоматически. Oracle шифрует данные, отправляемые в базу, и дешифрирует их, когда данные
запрашиваются Никакой дополни-тельный код не нужен, следовательно, можно зашифровать сущест-
вующие данные, не изменяя SQL-команды. В версии Oracle Database 11g стало возможно шифровать
целые табличные пространства, поэтому административные издержки значительно снизились.
СУБД Oracle - сложный и обширный продукт, обладающий широчайшим спектром
возможностей, в котором данные хранятся с возможностью извлечения и манипулирования. В этом
качестве база данных Oracle является неотъемлемой частью общей инфраструктуры организации.
Основной угрозой безопасности в целом является так называемый человеческий фактор. Как бы не
старались разработчики минимизировать риски, тем не менее доля человеческого фактора составляет
основной процент угрозы. Потому необходимо уделять наибольшее внимание аудиту. Не
ограничиваться лишь стандартными возможностями, но и при помощи дополнительных доработок
(триггеров, процедур по аудиторскому следу и т.д.) реализовывать систему защиты данных.
Литература
1. Кайт Т. Oracle для профессионалов. Пер. с англ./ - СПб.: ДиаСофт, 2003. – 672 с.
2. Нанда А., Фейерштейн С. Oracle PL/SQL для администраторов баз данных. -М.: Символ-
Плюс, 2008.
3. Гринвальд Р., Стаковьяк Р., Стерн Д. Oracle 11g. Основы. -М.: Символ-Плюс. 2009.
КИБЕРТЕРРОРИЗМ В УСЛОВИЯХ КРИЗИСА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Калимова А.Е., Абулхасимова М.Б.
КазНТУ имени К. И. Сатпаева г. Алматы., Республика Казахстан
Компьютер стал частью жизни современного человека, все больше и больше людей в свое
свободное время находятся в виртуальном мире или же, как правильно говорить, в сети Интернет.
Освоение виртуального пространства приводит пользователя к «встречең с опасностями, одной
из которых может быть потеря своих личных или даже конфиденциальных данных. В момент, когда
пользователь находится в сети, злоумышленники могут легко гулять по его компьютеру, скачивать
56
данные, заражать системы и даже, если у пользователя есть встроенное видеоустройство, наблюдать
за ним. А электронные платежи и большой объем обмена информации является самым лакомым
кусочком, который больше всего привлекает злоумышленников.
Сейчас
информационная
безопасность,
как
главная
составляющая
безопасности
жизнедеятельности человечества в целом, находится в положении сильного кризиса, последствия
которого можно заметить в условиях возрастания и глобализации угроз терроризма непредсказуемы
и могут оказаться критическими.
На фоне широко распространенных в последнее время достижений в области обеспечения
информационной безопасности такое утверждение может показаться на первый взгляд абсурдным. Если,
например, учесть, что понятие кризиса определяет тяжелое положение в естественной среде
обыденности.
При тщательном разборе истории развития систем и методов защиты информационной среды
можно выявить, по крайне мере, два затруднительных явления, бурно прогрессирующих по настоящее
время.
Во-первых, используемые до сегодняшнего момента методы и защиты информации изначально
не могли обеспечить абсолютную защиту информации. Однако, если вначале развития и применения
данных методов и систем единичными случаями эффективного криптоанализа рассматривались как
исключение из правил, то сейчас, ввиду их множества, воспринимаются уже как правило. Образно
выражаясь, это уже не симптом самой проблемы – это симптом её кризиса.
Во-вторых, появление систем информационной безопасности и ее широкое распространение
повлекло за собой возникновение лиц, занимающихся их взломом. То есть, появилось своеобразное
неуправляемое сообщество так называемых хакеров, первоначально включавшее только
программистов-любителей. Самым удивительным можно назвать тот факт, что сегодня это
сообщество уже представляет собой развивающуюся вне государственную структуру с ярко
выраженными своими целями, интересами и источниками финансирования.
Отмечая общую тенденцию, необходимо остановиться на совершенствовании современных
методов в системах защиты информации, сопровождающихся повышением их сложности. На первый
взгляд, всё очевидно – более совершенная система должна быть более сложней. Всё было бы так,
если не обращать внимания на то, что с самого начала развития систем и алгоритмов данного класса
общий подход к их созданию оставался и остаётся неизменным.
Одной из основных и главных причин возникновения преступности в кибер пространстве –
информационно-технологическое перевооружение предприятий, учреждений и организаций, насыщение их
компьютерной техникой, современными программными обеспечениями, базами данных.
По статистике, наиболее часто совершаемые киберпреступления, происходят в сфере
электронных платежей, который составляет около 6 млрд. в год. Для сравнения: в США ущерб от
киберпреступности составляет ежегодно 5 млрд. долларов, во Франции – около 1 млрд. евро при
ежегодном увеличении числа подобных преступлений на 30-40%, в Германии при помощи
компьютеров похищается порядка 4 млрд. евро.
Диапазон преступников весьма широк: от молодых людей до высококвалифицированных,
респектабельных специалистов, занимающих высокое социальное положение.
К примеру, в среде Интернет пользователь, получая возможность доступа к различным
информационным ресурсам, создает уязвимую точку для доступа к своему компьютеру. За
помещаемую в Интернет-среде информацию ответственности практически не несет ни автор, ни
провайдер. Никто не несет ответственности и за попытки несанкционированного доступа к системе
информационных ресурсов. Все вопросы защиты собственной информации в первую очередь,
относятся к компетенции пользователя.
Необходима
разработка
международных
правовых
положений,
устанавливающих
ответственность за несанкционированный доступ к ресурсам Интернета. В соответствии с
требованиями Резолюции 428 Консультативной Ассамблеи Совета Европы (раздел С) приоритет
отдается уважению и защите частной жизни в ущерб праву на свободу информации. [1]
Основным и самым распространенным своим оружием современные кибертеррористы выбрали
троянские программы, с помощью которых они строят компьютерные сети (ботсети), зараженные
вирусами и не подозревающие о намерении кражи конфиденциальной информации пользователя, или
проводят различные атаки и шифруют данные, чтоб затем шантажировать своих жертв. А в
настоящее время характерной чертой любого вируса является сохранение своего присутствия на
инфицированной машине.
57
Современные ботсети представляют собой управляемую сеть зараженных компьютеров, которые
облегчают контроль за ботсетями и упрощают процесс незаконного сбора данных, точнее, все то, что
говорилось выше. К таким ботсетям можно отнести спам, фишинг, DDoS-атака и многое другое.[2]
Кибертерроризм в общем можно представить как в виде двух шагов:
Доставка и установка вредоносных программ
Сохранность ее на компьютере как можно больше необнаруженной.
К доставке можно отнести такие системы, как спам-рассылка, зараженные web-страницы и
другое, но больше всего страдают те, у кого есть в системе уязвимость, так как она позволяет
установить ее сразу же после доставки спам - рассылок. В последнее время стали учащаться случаи
жалоб пользователей сети Интернет на то, что в их адрес приходит все больше и больше непрошеной
корреспонденции рекламного характера. Такие письма называются в Сети спамом.
Результатами такого кибертерроризма может служить повреждение программного обеспечения,
похищение секретной информации, заказ услуг за чужой счет, кража личности пользователя и другие
повреждения.
Решить проблемы можно с помощью создания и внедрения защитных стратегий. К которым
можно отнести любые антивирусные системы. Или же, например, спамерских рассылок можно
избежать следующим образом:
1)
Постараться не оставлять конфиденциальные данные (адрес, пароль от почтового ящика) на
различного рода серверах.
2)
Никогда не отвечать на письма спамеров - тем самым вы даете им знать, что Ваш адрес
реально существует и поступающая туда почта читается владельцем. Если в таком письме сказано,
что можно «исключить себя из листа, послав по определенному адресу команду "переслать"ң – в
большинстве случаев это ложь. Последовав такому совету, Вы только подтвердите возможность
использования Вашего адреса для дальнейших рассылок.
3)
Не стоит посылать в адрес спамера кучи мусора. Возможно, Вы неверно определили, откуда в
действительности пришел спам, и пострадают люди, не имеющие к спамеру никакого отношения.
Также как и борьба с многочисленными количествами спама, существуют различные методы для
борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для
защиты от фишинга.
В общем, можно сказать, что преступность, возникшая в виртуальном мире благодаря новым
технологиям, во многом схож с реальным миром.
В подавляющем большинстве случаев такие преступления имеют финансовую составляющую –
деньги в Интернете отбираются у жертв или путем воровства, или путем мошенничества, иногда с
использованием обоих методов. Киберпреступность становится бизнесом и никак иначе это не
назвать, возможность легко заработать огромные деньги дома, сидя за столом у компьютера, очень
привлекает злоумышленников.
Проблема киберпреступности особо актуальна в настоящее время. Сегодня это явление является
значительно более серьезной опасностью, чем 10 лет назад, в связи с использованием новейших
информационных технологий, а также через расширенную уязвимость индустриального общества.
Мы живем в эпоху информационного общества, когда компьютеры и телекоммуникационные
системы охватывают все сферы жизнедеятельности человека и государства.
Но человечество, поставив себе на службу телекоммуникации и глобальные компьютерные сети,
не предвидело, какие возможности для злоупотребления создают эти технологии. Сегодня жертвами
преступников, орудующих в виртуальном пространстве, могут стать не только люди, но и целые
государства.
В заключение можно сказать, что бороться с киберпреступностью надо всем вместе, сообща,
чтоб дело было эффективнее. Таким образом, в данной работе были рассмотрены киберпреступность
в современном мире и борьба с ней.
Литература
1. Шарков Александр Евгеньевич Неправомерный доступ к компьютерной информации:
преступность деяния и проблемы квалификации : дис. канд. юрид. наук: 12.05.10. Ставрополь, 2010.
2. Сборник докладов Москва, 29-30 марта 2010 г. автор: Тимохин Е. А. «Киберпреступность:
определение, анализ цифровых данных, способы борьбың.
58
ОСНОВНЫЕ РЕСУРСЫ ЭВМ. ВИДЫ И НАЗНАЧЕНИЕ ПАМЯТИ. УСТРОЙСТВО
И ОПТИМИЗИЦИЯ РАБОТЫ ПРОЦЕССОРА
Курманалиева Д.О., Ермаков А.С.
КазНТУ имени К.И.Сатпаева г. Алматы., Республика Казахстан
Электронная вычислительная машина (ЭВМ) – комплекс технических (аппаратных) средств,
предназначенных для автоматической обработки информации в процессе решения вычислительных и
информационных задач
[4].
Надежность и производительность ЭВМ в значительной степени зависит о
того, как реализуются функции управления её ресурсами. Согласно П.Кейленгерту, основные
ресурсы «в контексте вычислительной системы – это пространство памяти и время исполнения
программң
[3]
. Время исполнения программ напрямую зависит от технических характеристик
процессора, организации памяти и доступа к ней, работы устройств ввода/вывода, а также от
способов и скорости взаимодействия этих функциональных узлов.
Для уменьшения времени выполнения программ совершенствуется не только аппаратная часть, но и
разрабатываются новые методы реализации внутренних алгоритмов управления ресурсами. В
данном докладе будут рассмотрены различные виды памяти, реализации их распределения и
управления; процессоры и некоторые методы оптимизации его работы.
Большинство ЭВМ при построении следуют фон Неймановской архитектуре, одним из
принципов которой является концепция хранимой программы: программы и данные, с которыми она
работает, должны храниться в памяти. Проблемы уменьшения времени доступа и стоимости,
энергозависимость по-прежнему остаются актуальными.
Ознакомимся с видами памяти с точки зрения иерархической системы (рис 1). Она построена по
трем параметрам: время доступа, объем памяти, количество битов за 1 доллар.
Рис 1. Пятиуровневая организация памяти
Верхний уровень состоит из внутренних регистров. Они служат для хранения промежуточных
результатов и некоторых команд управления. Локально они расположены внутри центрального
процессора и выполнены по той же технологии, потому скорость доступа высокая и составляет
несколько наносекунд (нс). Внутренние регистры обычно предоставляют возможность для хранения
32Ч32 бит для 32 разрядного процессора и 64Ч64 бит для 64 разрядного процессора
[6].
Максимальный общий объем для этой быстрой памяти составляет около 128 байтов
[5]
. Сейчас
регистры также могут служит для управления устройствами (и их контроллерами) и для чтения их
состояния, и образовывать каналы ввода/вывода
[1]
. Но стоимость реализации этой памяти самая
высокая.
Кэш-память (cache memory) – сверхоперативная память, является буфером между оперативно
запоминающим устройством и ее «клиентамиң - процессором и другими абонентами системной
шины
[1]
. Кэш-память ограничена в объеме из высокой стоимости, V < 4 Мбайт. Она основана на
принципе локальности: при последовательном отсылках к памяти в течении некоторого промежутка
времени используется только небольшой её участок
[5]
. Т.е. при вызове слова (единица измерения
памяти, равная 2 байтам) в кэш-память переводятся и соседние слова, что ползволяет сэкономить
время. Обычно опреативную память делят на кэш-линии(cache lіnes) по 64 байта, адрес при этом
начинается с 0, т.е. первая строка от 0 до 63, вторая от 64 до 127 и т.д.,. Именно эти 64 байта и будут
загружаться. Например, при обращении к ячейке с адресом 260, загрузится линия от 256-го по 319
байт. Производительность такого подхода доказать не сложно. Пусть слово используется k раз, тогда
59
процессору понадобиться 1 обращение к медленной памяти, и k-1 к быстрой. Среднее сремя
доступа(t
ср
) можно вычислить по формуле: t
ср =
с + (1 - h)*m, где h-это коэфицент совпадения запросов
к кэш (h=(k~1)/k), с – врмя доступа к кэш-памяти, m – время доступа к основной памяти
[5]
.
Кэширование для повышения производительности применяют везде, где есть какой-либо объемный
ресурс, который можно поделить на части, часть из которых используется намного интентенсивнее
всех остальных
[6]
. Многие современные процессоры имеют по 2 и 3 уровня кэш-памяти.
Основная память – это главная рабочая область памяти машины. Она представляет ОЗУ, или
RAM (Random Access Memory) – память с произвольным доступом. RAM бывает 2 типов статическое
и динамическое. В основе статической микросхемы памяти лежит триггер – устройство, одно из
устойчивого состояния которого принимается за 0 или 1, т.е. он хранит 1 бит информации. При
отсутствии внешнего воздействия это состояние сохраняется сколь угодно долго. Динамическая
память не обладает таким свойством, так в основе устройства лежит конденсатор. Хотя динамическая
память обладает наилучшим сочетанием объема, плотности упоковки, энергопотребления и цены, её
существенным недостатком является наличие постоянного самопроизвольного разряда конденсатора,
что ведет к потери информации. Чтобы избижать этого используют процесс регенерации –
подзарядки конденсаторов. RAM энергозависимая память, потому дополнительно к ней используют
RОM (Read Only Memory) или ПЗУ – постоянно запоминающие устройство. RОM обычо используют
для хранения программ начальной загрузки и самопроверки.
Следующий уровень иерархии – магнитный (жесткий) диск. Его емкость, как правило, раза в
2 больше чем емкость RAM, и стоимость за бит информации намного меньше. Но так это
механическое устройство, скорость доступа намного ниже. Биты записываются на диск в виде
последовательности - дорожки. Дорожки делятся на сектора, обычно по 512 байт данных. Перед
данными располагаются преамбулы, которые позволяют головке синхронизироваться. После данных
идет код с исправлением ошибок (либо код Хэмминга, либо Рида-Соломона). Между ними находятся
межсекторные интервалы. Преамбулы, интервалы и коды с исправлением ошибок составляют
примерно 15% емкости диска(арх). Чтобы считать или записать сектор, необходимо время на поиск
сектора (время поиска) и на ожидание помещение головки на нужное расстояние от центра (время
ожидания сектора). Среднее время поиска составляет 5 – 15 мс, а время выжидания от 4 до 8 мс в
зависимости о скорости вращения диска. Существенным недостатком диска является его расширение
со временем из-за большой скорости вращения. Поэтому диски вынуждены проводить рекалибровку
механизмов перемещения.
Последний уровень по типу можно отнести к внешней памяти. Михаил Гук в [1] предложил
такую трактовку: «внешняя память - это память, реализованная в виде устройств с различными
принципами хранения информации, чаще всего с подвижными носителями; в настоящее время сюда
входят устройства магнитной (дисковой и ленточной) памяти, оптической и магнитооптической
памяти; устройства внешней памяти могут размещаться как в системном блоке компьютера, так и в
отдельных корпусахң. Доступ к внешней памяти осуществляется посредством обмена данными с
оперативной памятью. По типу доступа к информации устройства внешней памяти делятся на два
класса: устройства прямого (произвольного) доступа и устройства последовательного доступа. В
устройствах прямого (произвольного) доступа время обращения к информации не зависит от места ее
расположения на носителе. В устройствах последовательного доступа такая зависимость существует.
Достарыңызбен бөлісу: |