- 4 -
Рассмотрим, как эти возможности могут быть реализованы, на примере СУБД MySQL. Будем исходить из того, что сервер СУБД MySQL расположен на отдельном сервере и доступ к ней осуществляется удаленными пользователями сети интранет через web-интерфейс. При первоначальной установке MySQL создается база данных под названием «mysql». В этой базе есть пять таблиц: db, host, user, tab-les_priv, и columns_priv. Таблица user содержит данные по безопасности, относящиеся к серверу в целом. Таблица host содержит права доступа к серверу для удаленных компьютеров. И наконец, db, tables_priv и со-lumns_priv управляют доступом к отдельным базам данных, таблицам и колонкам. Проверка личности осуществляется с помощью трех полей таблицы user (Host, User и Password). Сервер устанавливает соединение только в том случае, если находит в таблице user запись, в которой имя хоста и имя пользователя совпадают с введенными, и вы указываете правильный пароль. Для обеспечения доступности информации службами MySQL нужно воспользоваться средствами резервирования данных. Эти возможности соответствуют первому уровню защиты информации. Для реализации возможностей второго уровня защиты информации администратор должен задать в таблице host основные разрешения на межкомпьютерном уровне. При проверке прав доступа MySQL ищет в таблице db соответствие имени пользователя и его машины. Для шифрования данных (третий уровень защиты информации) в MySQL также имеются стандартные средства. В базе данных можно хранить особо важный данные и в закрытом зашифрованном виде, при помощи функций DES_ENCRYPT и DES_DESCRYPTAES позволяющих шифровать и расшифровывать данные с использованием официального алгоритма AES (”Расширенный стандарт шифрования”). Шифрование выполняется с длинной ключа в 128 бит. Для работы с этими функциями MySQL должен быть собран с поддержкой SSL. На работе пользователей это никак не отразиться, они даже могут и не предполагать, что отправляют зашифрованную информацию [4]. В тоже время, поддержка СУБД MySQL с разными уровнями защиты информации предъявляет, разные требования к квалификации администраторов сервера и СУБД: 1. Администратор должен иметь навыки администрирования имеющийся СУБД. Знать стандартные средства, имеющиеся в установленной СУБД. 2. Администратор должен кроме знаний, возможностей сервера СУБД должен обладать знаниями по информационной безопасности, необходимых для назначения прав доступа для пользователей. 3. Кроме всего перечисленного администратор должен обладать знаниями в области криптографии и интернет-программирования. Результат анализа зависимости зарплат ИТ-специалистов разной квалификации, занимающихся администрированием СУБД, от их квалификации на основе данных исследовательского центра портала SuperJob.ru [5] по Москве приведен в таблице 2.
Таблица 2
| Уровень | Зарплатный диапазон (руб) | Требования и пожелания к профессиональным навыкам (Windows) | ||||||
| 1 | до 30 000 | - Образование средне–специальное / неполное высшее / высшее (желательно техническое, IT);
- Знание ОС Windows (несколько версий); - Навыки работы с периферийным оборудованием; - Хорошее знание компьютерных комплектующих, периферийного оборудования; - Опыт организации резервных баз данных; - Опыт работы системным администратором от 1 года. |
||||||
| 2 | от 30 000 до 50 000 |
- Знание английского языка на уровне чтения технической документации;
- Знание принципов построения и функционирования современных вычислительных систем и компьютерных сетей, методов защиты информации; - Опыт администрирования локальной сети; - Отличные навыки работы с ОС Windows NT/2000/XP/2003 Server; - Опыт работы системным администратором от 2-х лет. |
||||||
| 3 | свыше 50 000 | - Знание методов мониторинга и диагностики серверных систем;
- Отличные знания сетевых технологий и протоколов; - Наличие навыков программирования и знание криптографии; - Опыт администрирования серверного оборудования и серверного обеспечения в крупных компаниях; - Опыт работы системным администратором от 3-х лет / от 1 года с большим парком машин / в крупной компании. |
Из таблицы 2 видно, что затраты на ИТ-специалиста, квалификация которого позволит обеспечить третий уровень защиты информации, оцениваются примерно в два раза выше затрат на ИТ-специалиста, способного обеспечить первый уровень защиты информации. Из таблицы 1 видно, что риски при переходе от первого к третьему уровню защиты информации снижаются в два раза по доступности, в 4,5 раза по целостности и в 9 раз по конфиденциальности. Таким образом, более квалифицированный ИТ-специалист более выгоден для предприятия, если стоимость информационного ресурса оценивается, как высокая. Если стоимость информационного ресурса оценивать как среднюю или низкую, то риски могут быть допустимыми и на первом уровне защиты информации. Используя это обстоятельство, можно оптимизировать управление рисками, структурировав оперативную информацию по уровням: 1. Уровень предприятия 2. Уровень служб 3. Уровень подразделений то стоимость ресурса AV можно условно считать высокой, если оперативная информация относится к уровню предприятия, средней – к уровню служб, низкой – к уровню подразделений. Подчеркнём, что речь идёт об оперативной информации связанной с выполнением плановых заданий, инцидентами, проблемами в производстве и т.п. Что касается электронных документов, которые создаются в подразделениях, то стоимость их может быть высокой, в связи с чем, целесообразно работать с централизованным хранилищем без возможности копирования из него информации на другие компьютеры интранет [6].
Постоянный адрес статьи в Интернет: http://www.ispl.ru/Analiz_informatsionnoy_bezopasnosti_4.html
Ключевые слова: безопасность, риски, затраты, интранет, шифрование, СУБД, MySQL
Всё о безопасности
Главная
(C) Л.Точилов