УЧЕБНЫЕ ВОПРОСЫ

Лекция

Вспомогательные устройства в радиовещательных приемниках

К вспомогательным устройствам следует отнести: устройства бесшумной настройки (БШН), индикаторы точной настройки; индикаторы источника питания; таймерные устройства, преобразователи напряжения для питания варикапов.

Устройства БШН исключают шумы в процессе перестройки приемника с программы на программу или блокируют шумы когда перестает работать радиостанция, на которую был настроен приемник.

Устройства БШН состоит из управляющего каскада и устройства блокирующего шумы в УЗЧ. В состав управляющего каскада как правило входит каскад УПЧ, детектор управляющий элемент. Устройство блокирования может быть выполнен на одном из каскадов УНЧ. Возможно также управление БШН напряжением в системе АРУ, применений аналоговых ключей, аналогичных системам динамического подавления шумов.

Привести схему БШН

 

 

Рис.15.4

Индикаторы точной настройки и индикации источника питания. В качестве индикаторов точной настройки могут быть использваны микроамперметры, светодиодные и катодно-люменесцентные индикаторы. Такие схемы могут быть использованы и для индикации напряжения питания.

Представить схемы (2.93, 2.95)

 

 

Рис.15.5.

Преобразователи напряжения для управления варикапами. Особенностью таких преобразователей - экономичность работы, отсутсивие помех радиоприему. Наиболее экономичным преобразователем является схема (рис.15.6) потребляющая не более 2 мА. (рис.2.99)

 

 

Рис.15.6

В современных приемных устройствах все большее место занимают устройства с таймерным управлением (особенно это относятся к телевизионным приемникам).

ЗАЩИТА БАЗ ДАННЫХ

(2 часа)

 

 

1. Типы опасностей

2. Программные средства защиты баз данных

3. Организационно-технические средства защиты баз данных

 

Литература

1.Хомоненко А.Д. и др. Базы данных: Учебник для высших учебных заведений. СПб.:КОРОНА принт, 2000.


 

1. Типы угроз

 

Базы данных являются основным информационным ресурсом при реализации современных информационных технологий. В этой связи обеспечение безопасности баз данных приобретает решающее значение для безопасности организации в целом. Система защиты БД закладывается с начала ее разработки и выполнятся на всех этапах жизненного цикла. Создаваемая система защиты должна быть многоуровневой, адаптируемой к новым условиям функционирования, включать в себя рационально организованную совокупность имеющихся средств, методов и мероприятий. Защита должна быть от злоумышленников и от некомпетентных действий пользователей и обслуживающего персонала.

Для эффективного построения системы защиты необходимо:

• выделить уязвимые элементы информационной технологии;

• выявить угрозы для выделенных элементов;

• сформировать требования к системе защиты;

• выбрать методы и средства удовлетворения предъявленным требованиям.

Безопасность баз данных нарушается в следствии реализации одной или нескольких потенциальных угроз.

Под угрозой понимается возможность преднамеренного или случайного действия, которое может привести к нарушению безопасности хранимой и обрабатываемой в АС информации, в том числе и программ.

Основными видами угроз являются следующие (табл.1) [8].

Исходя из рассмотренных возможных угроз можно выделить три основныезадачи защиты БД [8]:

• защита информации от хищения;

• защита информации от потери;

• защита от сбоев и отказов.

 

 

Таблица 1

Угрозы Возможные последствия (опасности)
Похищение и фальсификация данных Утрата конфиденциальности Нарушение неприкосновенности личных данных Утрата целостности Потеря доступа
Использование прав доступа другого человека ü ü ü    
Несанкционированное изменение или копирование данных ü     ü  
Изменение программ ü     ü ü
Непродуманные методики и процедуры, допускающие смешивание конфиденциальных и обычных данных в одном документе ü ü ü    
Подключение к кабельным сетям ü ü ü    
Ввод хакерами некорректных данных ü ü ü    
Шантаж ü ü ü    
Создание «лазеек» в систему ü ü ü    
Похищение данных, программ и оборудования ü ü ü   ü
Отказ систем защиты, вызвавший превышение допустимого уровня ü ü ü    
Нехватка персонала       ü ü
Недостаточная обученность персонала   ü ü ü ü
Просмотр и раскрытие засекреченных данных ü ü ü    
Электронные наводки       ü ü
Разрушение данных в результате отключения или перенапряжения в сети электропитания       ü ü
Пожары (по причине коротких замыканий, ударов молний, поджогов), наводнения, диверсии       ü ü
Физическое повреждение оборудования       ü ü

 

Защита информации от хищения подразумевает предотвращение физического хищения устройств и носителей хранения информации, несанкционированного получения информации (копирования, подсмотра, перехвата и т. д.) и несанкционированного распространения программ.

Защита информации от потери подразумевает поддержание целостности и корректности информации, что означает обеспечение физической, логической и семантической целостности информации. Информация в системе может быть потеряна как из-за несанкционированного доступа в систему пользователей, программ (в том числе и компьютерных вирусов), некорректных действий пользователей и их программ, обслуживающего персонала, так и в случаях сбоев и отказов в ВС.

Защита от сбоев и отказов аппаратно-программного обеспечения вычислительной системы (ВС) является одним из необходимых условий нормального функционирования системы. Если вычислительная система является ненадежной, информация в ней часто искажается и иногда утрачивается. Основная нагрузка на обеспечение хорошей защиты от сбоев и отказов в системе ложится на системные аппаратно-программные компоненты: процессор, основную память, внешние запоминающие устройства, устройства ввода-вывода и другие устройства, а также программы операционной системы. При недостаточно надежных системных средствах защиту от сбоев следует предусматривать в прикладных программах. Под надежностью ПО понимается способность точно и своевременно выполнять возложенные на него функции. Степень надежности ПО определяется качеством и уровнем автоматизации процесса разработки, а также организацией его сопровождения. Так как достичь 100%-й надежности программ на практике почти не удается, необходимо предусматривать средства быстрого восстановления работоспособности программ и данных после восстановления аппаратуры.

Данные задачи должны решаться в системе защиты всей АС, обеспечивающей реализацию современных информационных технологий управления войсками. Поэтому в комплексной единой системе защиты АС должно быть предусмотрено

4 защитных уровня [8]:

- внешний уровень, охватывающий всю территорию расположения АС.

- уровень отдельных сооружений или помещений расположения устройств АС и линий связи с ними.

- уровень компонентов АС и внешних носителей информации.

- уровень технологических процессов хранения, обработки и передачи информации.

Первые три уровня обеспечивают в основном физическое препятствие доступу путем ограждения, системы сигнализации, организации пропускного режима, экранирования проводов и т. д. Последний уровень предусматривает логическую защиту информации в том случае, когда физический доступ к ней имеется. На каждом из этих уровней используются свои методы и средства защиты. Существующие методы защиты можно разделить на четыре основных класса:• программные, физические, аппаратные, организационные. Рассмотрим существующие средства и методы защиты БД.

 

2. Программные средства обеспечения безопасности

баз данных

 

Программная защита БД реализуется с помощью различных программ: операционных систем, программ обслуживания, антивирусных пакетов, СУБД, специализированных программ защиты и готовых прикладных программ. Защита баз данных перечисленными программными комплексами может осуществляться на двух уровнях:

- внутренний уровень (средствами СУБД);

- внешний уровень (средства операционной системы, антивирусных пакетов и специальные программы администрирования вычислительного процесса).

В отношении рассмотренных угроз на внутреннем уровне обычно используются следующие программные методы обеспечения защиты БД (рис.1)[7].

Авторизация и аутентификация пользователей.

Авторизация – это предоставление прав (или привилегий), позволяющих их владельцу иметь законный доступ к системе или к ее объектам.

 
 

 

 


Рис. 1

 

Средства авторизации пользователей могут быть встроены непосредственно в программное обеспечение и управлять не только предоставленными пользователям правами доступа к системе или объектам, но и набором операций, которые пользователи могут выполнять с каждым доступным ему объектом. По этой причине механизм авторизации часто иначе называют подсистемой управления доступом. Термин "владелец" в определении может представлять пользователя-человека или программу. Термин "объект" может представлять таблицу данных, представление, приложение, процедуру или любой другой объект, который может быть создан в рамках системы. В некоторых системах все предоставляемые субъекту права должны быть явно указаны для каждого из объектов, к которым этот субъект должен обращаться. Процесс авторизации включает аутентификацию субъектов.

Аутентификация – это механизм определения того, является ли пользователь тем, за кого себя выдает. За предоставление пользователям доступа к компьютерной системе обычно отвечает системный администратор, в обязанности которого входит создание учетных записей пользователей. Каждому пользователю присваивается уникальный идентификатор, который используется операционной системой для определения того, кто есть кто. С каждым идентификатором связывается определенный пароль, выбираемый пользователем и известный операционной системе. При регистрации пользователь должен предоставлять системе свой пароль для выполнения проверки (аутентификации) того, является ли он тем, за кого себя выдает.

Подобная процедура позволяет организовать контролируемый доступ к компьютерной системе, но не обязательно предоставляет право доступа к СУБД или иной прикладной программе. Для получения пользователем права доступа к СУБД может использоваться отдельная подобная процедура. Ответственность за предоставление прав доступа к СУБД обычно несет администратор базы данных (АБД), в обязанности которого входит создание индивидуальных идентификаторов пользователей, но на этот раз уже в среде самой СУБД. Каждый из идентификаторов пользователей СУБД также связывается с паролем, который должен быть известен только данному пользователю. Этот пароль будет использоваться подпрограммами СУБД для идентификации данного пользователя.

Некоторые СУБД, как правило это коммерческие СУБД (например, СУБД Access) поддерживают списки разрешенных идентификаторов пользователей и связанных с ними паролей, отличающиеся от аналогичного списка, поддерживаемого операционной системой. Другие типы СУБД, например СУБД Линтер 6.0 ВС, поддерживают списки, элементы которых приведены в соответствие существующим спискам пользователей операционной системы и выполняют регистрацию исходя из текущего идентификатора пользователя, указанного им при регистрации в системе. Это предотвращает попытки пользователей зарегистрироваться в среде СУБД под идентификатором, отличным от того, который они использовали при регистрации в системе.

Использование паролей является наиболее распространенным методом аутентификации пользователей. Однако этот подход не дает абсолютной гарантии, что данный пользователь является именно тем, за кого себя выдает. Поэтому для сокращения подобного риска используется механизм установления привилегий.

Привилегии. Как только пользователь получит право доступа к СУБД, ему могут автоматически предоставляться различные другие привилегии, связанные с его идентификатором. В частности, эти привилегии могут включать разрешение на доступ к определенным базам данных, таблицам, представлениям и индексам или же право запуска различных утилит СУБД. Некоторые типы СУБД функционируют как закрытые системы, поэтому пользователям помимо разрешения на доступ к самой СУБД потребуется иметь отдельные разрешения и на доступ к конкретным ее объектам. Эти разрешения выдаются либо администратором баз данных (АБД), либо владельцами определенных объектов системы. В противоположность этому, открытые системы по умолчанию предоставляют авторизированным пользователям полный доступ ко всем объектам базы данных. В этом случае привилегии устанавливаются посредством явной отмены тех или иных прав конкретных пользователей. Типы привилегий, которые могут быть предоставлены авторизированным субъектам, включают, например, право доступа к указанным базам данных, право выборки данных, право создания таблиц и других объектов.

Некоторыми объектами в среде СУБД владеет сама СУБД. Обычно это владение организуется посредством использования специального идентификатора особого суперпользователя — например, с именем Database Administrator. Как правило, владение некоторым объектом предоставляет его владельцу весь возможный набор привилегий в отношении этого объекта. Это правило применяется ко всем авторизированным пользователям, получающим права владения определенными объектами. Любой вновь созданный объект автоматически передается во владение его создателю, который и получает весь возможный набор привилегий для данного объекта. Тем не менее, хотя пользователь может быть владельцем некоторого представления, единственной привилегией, которая будет предоставлена ему в отношении этого объекта, может оказаться право выборки данных из этого представления. Причина подобных ограничений состоит в том, что данный пользователь имеет столь ограниченный набор прав в отношении базовых таблиц созданного им представления. Принадлежащие владельцу привилегии могут быть переданы им другим авторизированным пользователям. Например, владелец нескольких таблиц базы данных может предоставить другим пользователям право выборки информации из этих таблиц, но не позволить им вносить в эти таблицы какие-либо изменения. В некоторых типах СУБД, всякий раз, когда пользователю предоставляется определенная привилегия, дополнительно может указываться, передается ли ему право предоставлять эту привилегию другим пользователям (уже от имени этого пользователя). Естественно, что в этом случае СУБД должна контролировать всю цепочку предоставления привилегий пользователям, с указанием того, кто именно ее предоставил, что позволит поддерживать корректность всего набора установленных в системе привилегий. В частности, эта информация будет необходима в случае отмены предоставленных ранее привилегий для организации каскадного распространения вносимых изменений среди цепочки пользователей.

Если СУБД поддерживает несколько различных типов идентификаторов авторизации, с каждым из существующих типов могут быть связаны различные приоритеты. В частности, если СУБД поддерживает использование идентификаторов как отдельных пользователей, так и их групп, то, как правило, идентификатор пользователя будет иметь более высокий приоритет, чем идентификатор группы. Пример определения идентификаторов пользователей и групп в подобной СУБД приведен в табл.2.

Таблица 2.

Идентификатор пользователя Тип Группа Идентификатор члена группы
SG37 Пользователь Chtab SG37
SG5 Пользователь    
SG14 Пользователь Chtab  
Chtab Группа    

В столбцах Идентификатор пользователя и Тип приведены определенные в системе идентификаторы и указывается их тип — отдельный пользователь и группа пользователей. Столбцы с заголовками Группа и Идентификатор члена группы содержат сведения о группе, которой принадлежит пользователь, и его идентификаторе в этой группе. С каждым конкретным идентификатором может быть связан определенный набор привилегий, определяющий тип доступа к отдельным объектам базы данных (например, для чтения (Read), обновления (Update), вставки (Insert), удаления (Delete) или все типы сразу (АLL)). С каждым типом привилегии связывается некоторое двоичное значение:

READ UPDATE INSERT DELETE ALL

0001 0010 0100 1000 1111

Отдельные двоичные значения суммируются, и полученная сумма однозначно характеризует, какие именно привилегии (если они есть) имеет каждый конкретный пользователь или группа в отношении определенного объекта базы данных. В табл.3 приведен пример матрицы управления доступом, определяющей набор привилегий, которые пользователи SG37, SG5 и группа Chtab имеют в отношении указанных столбцов таблицы.

Таблица 3.

Идентификатор пользователя Столбец_1 Столбец_2 Столбец_3 Столбец_4 Столбец_5 Столбец_6 Лимит выбираемых строк
SG37
SG5 нет
Chtab

Содержимое матрицы показывает, что группе пользователей с идентификатором Chtab предоставлена только привилегия Read (код 0001) в отношении атрибутов Столбец_1, Столбец_2, Столбец_3. Кроме того, для нее установлен максимальный размер результирующего набора данных запроса, равный 15 строкам. Пользователь SG14 является членом этой группы и не имеет каких-либо дополнительных привилегий доступа, поэтому он пользуется только теми правами, которые предоставлены данной группе. Пользователь SG37 имеет собственные привилегии Read и Insert (определяются значением 0001 + 0100 =0101) в отношении атрибутов Столбец_1, Столбец_2, Столбец_4, а также привилегии Read, Update и Insert (значение 0001 + 0010 + 0100 = 0111) в отношении атрибутов Столбец_3 и Столбец_5. Кроме того, для этого пользователя максимальный размер результирующего набора данных запроса установлен равным 100 строкам. Пользователю SG5 предоставлены привилегии Read, Update, Insert и Delete (значение 0001 + 0010 + 0100 + 1000 = 1111), т.е. привилегия All для доступа ко всем атрибутам таблицы, а размер результирующих наборов данных запросов не ограничивается.

Обычно для реализации механизмов контроля доступа СУБД используются подобные матрицы, хотя отдельные детали в разных системах могут отличаться. В некоторых СУБД пользователю разрешается указывать, под каким идентификатором он намерен работать далее — это целесообразно в тех случаях, когда один и тот же пользователь может являться членом сразу нескольких групп. Очень важно освоить все механизмы авторизации и другие средства защиты, предоставляемые целевой СУБД. Особенно это важно для тех систем, в которых существуют различные типы идентификаторов и допускается передача права присвоения привилегий. Это позволит корректно выбирать типы привилегий, предоставляемых отдельным пользователям, исходя из исполняемых ими обязанностей и набора используемых прикладных программ.

 

Представления (подсхемы)

Представление. Это динамический результат одной или нескольких реляционных операций с базовыми отношениями с целью создания некоторого иного отношения. Представление является виртуальным отношением, которого реально в базе данных не существует, но которое создается по требованию отдельного пользователя в момент поступления этого требования.

Механизм представления представляет собой мощный и гибкий инструмент организации защиты данных, позволяющий скрывать от определенных пользователей некоторые части базы данных. В результате пользователи не будут иметь никаких сведений о существовании любых атрибутов или строк данных, которые недоступны через представления, находящиеся в их распоряжении. Представление может быть определено на базе нескольких таблиц, после чего пользователю будут предоставлены необходимые привилегии доступа к этому представлению, но не к базовым таблицам. В данном случае использование представления являет собой более жесткий механизм контроля доступа, чем обычное предоставление пользователю тех или иных прав доступа к базовым таблицам.