Единая автоматизированная информационная система (ЕАИС) ФТС России представляет собой автоматизированную систему управления процессами таможенной деятельности.
Основным назначением ЕАИС таможенной службы РФ является повышение эффективности формирования и осуществления единой таможенной политики государства и деятельности таможенных органов.
Основная цель создания ЕАИС заключается в совершенствовании существующих, а также в обеспечении создания и развития новых информационных автоматизированных таможенных технологий, базирующихся на современных программно-технических средствах.
47) Системы управления базами данных, в особенности реляционные СУБД, стали доминирующим инструментом хранения больших массивов информации. Сколько-нибудь развитые информационные приложения полагаются не на файловые структуры операционных систем, а на многопользовательские СУБД, выполненные в технологии клиент/сервер. В этой связи обеспечение информационной безопасности СУБД и, в первую очередь, их серверных компонентов приобретает решающее значение для безопасности организации в целом.
Для СУБД важны все три основных аспекта информационной безопасности - конфиденциальность, целостность и доступность [6]. Общая идея защиты баз данных состоит в следовании рекомендациям, сформулированным для класса безопасности C2 в "Критериях оценки надежных компьютерных систем". В принципе некоторые СУБД, например INGRES, предлагают дополнения, характерные для класса B1, однако практическое применение подобных дополнений имеет смысл, только если все компоненты информационной структуры организации соответствуют категории безопасности B. Достичь этого непросто и с технической, и с финансовой точек зрения. Следует, кроме того, учитывать два обстоятельства. Во-первых, для подавляющего большинства коммерческих организаций класс безопасности C2 достаточен. Во-вторых, более защищенные версии отстают по содержательным возможностям от обычных "собратьев", так что поборники секретности по сути обречены на использование морально устаревших (хотя и тщательно проверенных) продуктов со всеми вытекающими последствиями в плане сопровождения.
Можно назвать следующие основные направления борьбы с потенциальными угрозами конфиденциальности и целостности данных:
идентификация и проверка подлинности (аутентификация) пользователей;
управление доступом к данным;
механизм подотчетности всех действий, влияющих на безопасность;
защита регистрационной информации от искажений и ее анализ;
очистка объектов перед их повторным использованием;
защита информации, передаваемой по линиям связи.
Все эти универсальные рекомендации применимы и к СУБД, и методы проведения их в жизнь с той или иной степенью детальности будут рассмотрены в настоящей работе. Кроме того, специфика СУБД делает потенциально возможными новые угрозы и, соответственно, требует особых мер защиты (например, использования представлений как средства управления доступом). Особые меры также будут рассмотрены. Внимание будет уделено и механизмам поддержания высокой готовности серверов баз данных.
Необходимо, однако, сделать несколько оговорок. В плане идентификации и проверки подлинности СУБД, как правило, полагаются на соответствующие механизмы операционных систем, поэтому на этой теме мы подробно останавливаться не будем.
Предполагается, что читатель знаком с основными понятиями СУБД. Их превосходное изложение можно найти в [1]. Там же подробно рассматриваются средства поддержания целостности данных: транзакции, правила, события. По этой причине мы затронем лишь некоторые аспекты контроля целостности.
Очистка объектов перед их повторным использованием реализуется операционной системой и СУБД прозрачным для пользователя образом, поэтому в данной работе не обсуждается.
Защита информации, передаваемой по линиям связи, или, в случае СУБД, защита коммуникаций между сервером и клиентами - это отдельная тема, далеко выходящая за рамки настоящей публикации. Мы ограничимся перечислением основных сервисов коммуникационной безопасности.
Мы подробно рассмотрим средства управления доступом, механизмы подотчетности и некоторые аспекты обеспечения высокой готовности. Затем будут проанализированы угрозы, специфичные для СУБД, и соответствующие меры противодействия.
Для иллюстрации излагаемых понятий и средств будут использоваться СУБД INGRES, Informix и Oracle.
48)Стандартизация – это деятельность, направленная на разработку и установление требований, норм, правил, характеристик, как обязательных для выполнения, так и рекомендуемых, обеспечивающая право потребителя на приобретение товаров надлежащего качества, а также право на безопасность и комфортность труда. Цель стандартизации – достижение оптимальной степени упорядочения в той или иной области посредством широкого и многократною использования установленных положений, требований, норм для решения реально существующих, планируемых или потенциальных задач. Основными результатами деятельности по стандартизации должны быть повышение степени соответствия продукта (услуги), процессов их функциональному назначению, устранение технических барьеров в международном товарообмене, содействие научно-техническому прогрессу и сотрудничеству в различных областях. Стандартизация осуществляется на разных уровнях и также делятся в зависимости от масштаба:
Стандарты имеют большое значение – они обеспечивают возможность разработчикам программного обеспечения использовать данные и программы других разработчиков, осуществлять экспорт/импорт данных. Такие стандарты регламентируют взаимодействие между различными программами. Для этого предназначены стандарты межпрограммного интерфейса, например OLE (Object Linking and Embedding – связывание и встраивание объектов). Без таких стандартов программные продукты были бы “закрытыми” друг для друга.
Все компании-разработчики должны обеспечить приемлемый уровень качества выпускаемого программного обеспечения (ПО). Для этих целей предназначены стандарты качества программного обеспечения или отдельные разделы в стандартах разработки программного обеспечения, посвященные требованиям к качеству программного обеспечения.
В зависимости от возникновения: “де-юре” и “де-факто”. Стандарт “де-факто”– термин, обозначающий продукт какого-либо поставщика, который захватил большую долю рынка и который другие поставщики стремятся эмулировать, копировать или использовать для того, чтобы захватить свою часть рынка. Стандарт “де-юре” создается формально признанной стандартизующей организацией. Он разрабатывается при соблюдении правил консенсуса в процессе открытой дискуссии, в которой каждый имеет шанс принять участие. Ни одна группа не может действовать независимо, создавая стандарты для промышленности. Если какая-либо группа поставщиков создаст стандарт, не учитывающий требования пользователей, она потерпит неудачу.
СТАНДАРТЫ ДОКУМЕНТИРОВАНИЯ ПРОГРАММНЫХ СРЕДСТВ. Создание программной документации – важный этап, так как пользователь начинает свое знакомство с программным продуктом именно с документации. Программная документация должна отвечать на вопросы: для чего предназначен программный продукт, как установить программный продукт, как начать с ним работать. Основу отечественной нормативной базы в области документирования ПС составляет комплекс стандартов Единой системы программной документации (ЕСПД). Сейчас это система межгосударственных стандартов стран СНГ (ГОСТ), действующих на территории Российской Федерации на основе межгосударственного соглашения по стандартизации.