Аннотация

Целью данного курсового проекта является закрепление, систематизация, углубление и развитие теоретических и практических знаний, полученных студентами в процессе изучения дисциплины "Надёжность и безопасность программного обеспечения". Курсовая работа посвященна проблемам политики безопастности баз данных, гарантированности и средств подотчётности. Основная цель курсового проектирования состоит в изучении и анализе вопросов, связанных со специальными аспектами надёжности и безопасности программного обеспечения.

Содержание

Введение

Индивидуальное задание

1. Проектирование таблиц

2. Управление родями

2.1 Регистрация субъектов безопасности

2.1.1 Регистрация субъектов

2.1.2 Наследование ролей

2.2 Избирательное управление доступом

2.2.1 Описание привилегий доступа для клиентов

2.2.2 Описание привилегий доступа для директоров

2.2.3 Описание привилегий доступа для операционистов

2.2.4 Описание привилегий доступа для работников филиала

2.3 Создание представления субъекта об объекте

2.3.1 Создание схемы для директоров

2.3.2 Создание схемы для клиентов

2.3.3 Создание схемы для операционистов

2.3.4 Создание схемы для работников филиала

3. Реализация требований стандарта по критерию "Политика безопасности"

3.1 Создания механизма по управлению метками в СУБД.

3.1.1 Таблица с информацией о клиентах

3.1.2 Таблица с информацией о директорах.

3.1.3 Таблица с информацией об операционистах

3.1.4 Таблица с информацией о работниках филиала

3.2 Реализация принудительного управления доступом в СУБД

3.2.1 Реализация принудительного управления доступом в таблице "КЛИЕНТЫ"

3.2.2 Реализация принудительного управления доступом в таблице "ОПЕРАЦИОНИСТЫ"

4. Реализация требований стандарта по критерию "подотчётность"

4.1 Обеспечение идентификации и аутентификации

4.2 Построим таблицу для пользователей нашей БД

4.3 Обеспечение надежного пути

4.3.1 Способы обеспечения надежного пути

4.3.2 Общие подходы использования сертификатов в web-технологиях

4.3.3 Создание сертификата, подписанного доверенным центром сертификации

4.3.4 Создание самоподписанного сертификата (сертификата местного центра сертификации)

4.3.5 Подписание сертификатов с использованием сертификата центра сертификации

4.3.6 Аннулирование сертификатов

4.3.7 Создание клиентского сертификата

Список литературы

Введение

Знание критериев оценки информационной безопасности способно помочь при выборе и комплектовании аппаратно-программной конфигурации. Кроме того, в своей повседневной работе администратор безопасности вынужден хотя бы до некоторой степени повторять действия сертифицирующих органов, поскольку обслуживаемая система, скорее всего, время от времени претерпевает изменения и нужно, во-первых, оценивать целесообразность модификаций и их последствия, а, во-вторых, соответствующим образом корректировать повседневную практику пользования и администрирования. Если знать, на что обращают внимание при сертификации, можно сконцентрироваться на анализе критически важных аспектов, экономя время и силы и повышая качество защиты.

Одним из первых стандартов сертификации систем защиты стал стандарт Национального комитета компьютерной безопасности (National Committee of Computer Security, NСSC)"Критерии оценки доверенных компьютерных систем" (Trusted Computer System Evaliation Criteria, TCSEC) или "Orange Book" ("Оранжевая книга").

По стандарту "Оранжевая книга" критериями оценки надежной компьютерной системы являются:

политика безопасности;

гарантированность;

подотчетность (протоколирование);

документация.

Политика безопасности должна включать в себя по крайней мере следующие элементы:

произвольное управление доступом;

безопасность повторного использования объектов;

метки безопасности;

принудительное управление доступом.

Гарантированность:

операционная;

технологическая.

Средства подотчетности делятся на три категории:

идентификация и аутентификация;

предоставление надежного пути;

анализ регистрационной информации.

Документация

руководство пользователя по средствам безопасности;

руководство администратора по средствам безопасности;

тестовая документация;

описание архитектуры.

Цель работы - научиться включать элементы безопасности в информационные системы (ИС) на основе существующих стандартов проверки качества системы безопасности. ............