82023

Проектирование базы данных. Защита информации

Дипломная

Информатика, кибернетика и программирование

Концептуальное (инфологическое) проектирование — построение семантической модели предметной области, то есть информационной модели наиболее высокого уровня абстракции. Такая модель создаётся без ориентации на какую-либо конкретную СУБД и модель данных.

Русский

2015-02-24

429.13 KB

6 чел.

Санкт-Петербургское государственное бюджетное

профессиональное образовательное учреждение

«Колледж метростроя»

Профессия

09.01.03 «Мастер по обработке цифровой информации»

  Допущен к защите

      Зам. Директора по УВР

      ___________З.Х.Сухов

      «___»__________201_г

ВЫПУСКНАЯ ПИСЬМЕННАЯ

ЭКЗАМЕНАЦИОННАЯ РАБОТА

На тему

«Проектирование базы данных. Защита информации»

Студент Егоров М.Л.______________ «___»___________201_г

         Подпись                                      Дата

Группа №33

Руководитель (должность, Ф.И.О) ______________ «___»________201_г

                               Подпись                                         Дата

Председатель МК «______»_________________ «_____»_________201_г                                                 

Санкт-Петербург, 2014г.

                      Утверждаю

      Директор СПб ГБПОУ

«Колледжа Метростроя»

      ___________А.Д.Филатов

    «___»__________201_г

ЗАДАНИЕ ДЛЯ ВЫПУСКНОЙ (ПИСЬМЕННОЙ) КВАЛИФИКАЦИОННОЙ РАБОТЫ

Студента__________________________________________________________

                                                         (Ф.И.О.,группа)                

Профессия

09.01.03 «Мастер по обработке цифровой информации»

Тема ______________________________________________________________

Дата выдачи «__»______________201_ г.

Срок сдачи «__»_______________201_ г.

Перечень вопросов подлежащих разработке:

1._________________________________________________________________

2._________________________________________________________________

3._________________________________________________________________

4._________________________________________________________________

Руководитель практики_____________________________Подпись

Задание принял к исполнению_______________________Подпись

План – график выполнения выпускной (письменной)

квалификационной работы

Студент___________________________________________________________

Тема письменной экзаменационной работы __________________________

 «Проектирование базы данных. Защита информации»

Этапы разработки

Сроки          выполнения

Вид

отчетности

Отметка о выполнении

Дата________________  Подпись студента___________________

Дата________________  Подпись руководителя_______________

    

       

СОДЕРЖАНИЕ

Раздел 1 «Проектирование базы данных»

1 Основные задачи проектирования баз данных                                                  5

2 Основные этапы проектирования баз данных                                                   6

  2.1 Концептуальное (инфологическое) проектирование                                 6

  2.2 Логическое (даталогическое) проектирование                                           8

  2.3 Физическое проектирование                                                                         9

3 Нормализация                                                                                                     10

4 Модели «сущность-связь»                                                                                 11

5 Семантические модели                                                                                      12

Раздел 2 «Защита информации»

1 Стандартизированные определения                                                                 13

2 существенные признаки понятия                                                                     14

3 Рекомендации по использованию терминов                                                   15

4 объем (реализация) понятия «информационная безопасность»                    16

5 Нормативные  документы в области информационной безопасности         18

6 Органы (подразделения), обеспечивающие информационную

безопасность                                                                                                           19

7 Организационная защита объектов информатизации                                    20

Список литературы                                                                                                21

Основные задачи проектирования баз данных

Основные задачи:

  1.  Обеспечение хранения в БД всей необходимой информации.
  2.  Обеспечение возможности получения данных по всем необходимым запросам.
  3.  Сокращение избыточности и дублирования данных.
  4.  Обеспечение целостности базы данных.

Пример базы данных:

Основные этапы проектирования баз данных

Концептуальное (инфологическое) проектирование

Концептуальное (инфологическое) проектирование — построение семантической модели предметной области, то есть информационной модели наиболее высокого уровня абстракции. Такая модель создаётся без ориентации на какую-либо конкретную СУБД и модель данных. Термины «семантическая модель», «концептуальная модель» и «инфологическая модель» являются синонимами. Кроме того, в этом контексте равноправно могут использоваться слова «модель базы данных» и «модель предметной области» (например, «концептуальная модель базы данных» и «концептуальная модель предметной области»), поскольку такая модель является как образом реальности, так и образом проектируемой базы данных для этой реальности.

Конкретный вид и содержание концептуальной модели базы данных определяется выбранным для этого формальным аппаратом. Обычно используются графические нотации, подобные ER-диаграммам.

Чаще всего концептуальная модель базы данных включает в себя:

  1.  описание информационных объектов или понятий предметной области и связей между ними.
  2.  описание ограничений целостности, т.е. требований к допустимым значениям данных и к связям между ними.

Логическое (даталогическое) проектирование

Логическое (даталогическое) проектирование — создание схемы базы данных на основе конкретной модели данных, например, реляционной модели данных. Для реляционной модели данных даталогическая модель — набор схем отношений, обычно с указанием первичных ключей, а также «связей» между отношениями, представляющих собой внешние ключи.

Преобразование концептуальной модели в логическую модель, как правило, осуществляется по формальным правилам. Этот этап может быть в значительной степени автоматизирован.

На этапе логического проектирования учитывается специфика конкретной модели данных, но может не учитываться специфика конкретной СУБД.

Физическое проектирование

Физическое проектирование — создание схемы базы данных для конкретной СУБД. Специфика конкретной СУБД может включать в себя ограничения на именование объектов базы данных, ограничения на поддерживаемые типы данных и т.п. Кроме того, специфика конкретной СУБД при физическом проектировании включает выбор решений, связанных с физической средой хранения данных (выбор методов управления дисковой памятью, разделение БД по файлам и устройствам, методов доступа к данным), создание индексов и т.д.

Нормализация

При проектировании реляционных баз данных обычно выполняется так называемая нормализация.

Модели «сущность-связь»

Модель «сущность-связь», или ER-модель, предложенная П. Ченом в 1976 г., является наиболее известным представителем класса семантических (концептуальных, инфологических) моделей предметной области. ER-модель обычно представляется в графической форме, с использованием оригинальной нотации П. Чена, называемой ER-диаграмма, либо с использованием других графических нотаций (Crow's FootInformation Engineering и др.).

Основные преимущества ER-моделей:

  1.  наглядность;
  2.  модели позволяют проектировать базы данных с большим количеством объектов и атрибутов;
  3.  ER-модели реализованы во многих системах автоматизированного проектирования баз данных (например, ERWin).

Очень важным свойством модели "сущность-связь" является то, что она может быть представлена в виде графической схемы.

Семантические модели

Семантическая модель (концептуальная модель, инфологическая модель) – модель предметной области, предназначенная для представления семантики предметной области на самом высоком уровне абстракции. Это означает, что устранена или минимизирована необходимость использовать понятия «низкого уровня», связанные со спецификой физического представления и хранения данных.

Дейт К. Дж. Введение в системы баз данных. — 8-е изд. — М.: «Вильямс», 2006:

Семантическое моделирование стало предметом интенсивных исследований с конца 1970-х годов. Основным побудительным мотивом подобных исследований (т.е. проблемой, которую пытались разрешить исследователи) был следующий факт. Дело в том, что системы баз данных обычно обладают весьма ограниченными сведениями о смысле хранящихся в них данных. Чаще всего они позволяют лишь манипулировать данными определенных простых типов и определяют некоторые простейшие ограничения целостности, наложенные на эти данные. Любая более сложная интерпретация возлагается на пользователя. Однако было бы замечательно, если бы системы могли обладать немного более широким объемом сведений и несколько интеллектуальнее отвечать на запросы пользователя, а также поддерживать более сложные (т.е. более высокоуровневые) интерфейсы пользователя.
[…]
Идеи семантического моделирования могут быть полезны как средство проектирования базы данных даже при отсутствии их непосредственной поддержки в СУБД.

Наиболее известным представителем класса семантических моделей является модель «сущность-связь» (ER-модель).

Стандартизированные определения

Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.

  1.  Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
  2.  Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
  3.  Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

  1.  Конфиденциальность  — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
  2.  целостность  — избежание несанкционированной модификации информации;
  3.  доступность  — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

  1.  неотказуемость или апеллируемость  — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;
  2.  подотчётность  — обеспечение идентификации субъекта доступа и регистрации его действий;
  3.  достоверность  — свойство соответствия предусмотренному поведению или результату;
  4.  аутентичность или подлинность  — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Рекомендации по использованию терминов

В ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» приводится следующая рекомендация использования терминов «безопасность» и «безопасный»:

Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска.

Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:

  1.  «защитный шлем» вместо «безопасный шлем»;
  2.  «нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».

Объём (реализация) понятия «информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности[10]:

  1.  Законодательная, нормативно-правовая и научная база.
  2.  Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
  3.  Организационно-технические и режимные меры и методы (Политика информационной безопасности).
  4.  Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо

  1.  выявить требования защиты информации, специфические для данного объекта защиты;
  2.  учесть требования национального и международного Законодательства;
  3.  использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
  4.  определить подразделения, ответственные за реализацию и поддержку СОИБ;
  5.  распределить между подразделениями области ответственности в осуществлении требований СОИБ;
  6.  на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
  7.  реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
  8.  реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
  9.  используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

  1.  Международные договоры РФ;
  2.  Конституция РФ;
  3.  Законы федерального уровня (включая федеральные конституционные законы, кодексы);
  4.  Указы Президента РФ;
  5.  Постановления Правительства РФ;
  6.  Нормативные правовые акты федеральных министерств и ведомств;
  7.  Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

  1.  Методические документы государственных органов России:
  2.  Доктрина информационной безопасности РФ;
  3.  Руководящие документы ФСТЭК (Гостехкомиссии России);
  4.  Приказы ФСБ;
  5.  Стандарты информационной безопасности, из которых выделяют:
  6.  Международные стандарты;
  7.  Государственные (национальные) стандарты РФ;
  8.  Рекомендации по стандартизации;
  9.  Методические указания.

Органы (подразделения), обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

  1.  Комитет Государственной думы по безопасности;
  2.  Совет безопасности России;
  3.  Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
  4.  Федеральная служба безопасности Российской Федерации (ФСБ России);
  5.  Федеральная служба охраны Российской Федерации (ФСО России);
  6.  Служба внешней разведки Российской Федерации (СВР России);
  7.  Министерство обороны Российской Федерации (Минобороны России);
  8.  Министерство внутренних дел Российской Федерации (МВД России);
  9.  Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Организационная защита объектов информатизации

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

  1.  организацию охраны, режима, работу с кадрами, с документами;
  2.  использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

  1.  организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
  2.  организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
  3.  организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
  4.  организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
  5.  организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
  6.  организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Список использованной литературы

  1.  Дейт К. Дж. Введение в системы баз данных = Introduction to Database Systems. — 8-е изд. — М.: «Вильямс», 2006. — 1328 с. — ISBN 0-321-19784-4.
  2.  Когаловский М.Р. Перспективные технологии информационных систем. — М.: ДМК Пресс; Компания АйТи, 2003. — 288 с. — ISBN 5-279-02276-4.
  3.  Когаловский М.Р. Энциклопедия технологий баз данных. — М.: Финансы и статистика, 2002. — 800 с. — ISBN 5-279-02276-4.
  4.  Бармен Скотт. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8ISBN 1-57870-264-X.
  5.  Галатенко В. А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.
  6.  Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004. — 616 с. — ISBN 5-94074-244-0.
  7.  Гафнер В.В. Информационная безопасность: учеб. пособие. – Ростов на Дону: Феникс, 2010. - 324 с. - ISBN 978-5-222-17389-3
  8.  Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х томах
  9.  Том 1. — Угрозы, уязвимости, атаки и подходы к защите. — М.: Горячая линия - Телеком, 2006. — 536 с. — ISBN 5-93517-291-1ISBN 5-93517-319-0.
  10.  Том 2. — Средства защиты в сетях. — М.: Горячая линия - Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.
  11.  Лепехин А. Н. Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008. — 176 с. — ISBN 978-985-463-258-2.
  12.  Лопатин В. Н. Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5-93598-030-4.
  13.  Малюк А.А. Теория защиты информации. — М.:Горячая линия - Телеком, 2012. — 184 с. — ISBN 978-5-9912-0246-6.
  14.  Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.
  15.  Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006. — 400 с. — ISBN 5-98453-024-4.
  16.  Петренко С. А. Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.
  17.  Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.
  18.  Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
  19.  Борисов М. А. Особенности защиты персональных данных в трудовых отношениях. (Гриф УМО по дополнительному профессиональному образованию) М.: Книжный дом «ЛИБРОКОМ», 2013. — 224 с. — ISBN 978-5-397-03294-0.
  20.  Жданов О. Н., Чалкин В. А. Эллиптические кривые: Основы теории и криптографические приложения. М.: Книжный дом «ЛИБРОКОМ», 2013. — 200 с. — ISBN 978-5-397-03230-8.
  21.  Борисов М. А., Заводцев И. В., Чижов И. В. Основы программно-аппаратной защиты информации. (Гриф УМО по классическому университетскому образованию). Изд.2 М.: Книжный дом «ЛИБРОКОМ», 2013. — 376 с. — ISBN 978-5-397-03251-3.



ОТЗЫВ

о выполнении письменной экзаменационной работы

Студент группы №__________________________________________________

Профессия: 09.01.03 «Мастер по обработке цифровой информации»

Тема задания:______________________________________________________

  1.  Общая характеристика письменной экзаменационной работы: __________________________________________________________________________________________________________________________
  2.  Соответствие задания по объёму и степени разработки основных разделов письменной экзаменационной работы:____________________

__________________________________________________________________________________________________________________________

  1.  Положительные стороны работы: _______________________________ __________________________________________________________________________________________________________________________
  2.  Недостатки в пояснительной записке и её оформлении: _____________ _____________________________________________________________
  3.  Характеристика графической (творческой) части работы: ___________ __________________________________________________________________________________________________________________________
  4.  Степень самостоятельности студента при разработке вопросов тем: ___ __________________________________________________________________________________________________________________________

Оценка работы руководителем: _______________________________________ ______________________________________________________________________________________________________________________________________________________________________________________________________

Руководитель работы________ _______________         Зам. Директора по УВР

                                                             Подпись               (Ф.И.О)                          ___________З.Х.Сухов                      

«___»______________201_г                          «___»__________201_г