Вы находитесь на странице: 1из 46

Содержание

Стр.
Введение...................................................................................................................3
I.Методы управления доступом к объектам в ОС Windows...............................5
1.1. Общие принципы разграничения доступа к объектам Windows.................5
1.2. Дескрипторы безопасности...........................................................................11
II.Методы разграничения доступа к объектам информационной системы.....21
2.1. Общая характеристика моделей разграничения доступа...........................21
2.2. Разграничение доступа пользователей на уровне СУБД............................26
2.2.1. Общая характеристика СУБД MySQL......................................................26
2.2.2. Обзор технологий администрирования СУБД MySQL...........................27
2.3. Управление доступом пользователей на уровне приложения...................31
III. Охрана труда....................................................................................................40
Заключение............................................................................................................43
Список использованных источников..................................................................45
Введение

Обеспечение комплексной защиты информации на предприятиях в


настоящее время является актуальной задачей в силу того, что все большая
часть технологических процессов предполагает использование систем
обработки информации, что делает информационные системы
дорогостоящим активом, нарушение функциональности которого может
поставить под угрозу функционирование предприятий. Одним из
направлений обеспечения защиты информации является разграничение
доступа к информационным ресурсам предприятий.
Теоретическую базу исследования составляют законодательные акты и
стандарты, регламентирующие вопросы защиты информации (законы о
защите персональных данных, об электронной подписи, о информационных
технологиях и защите информации), работы специалистов в области защиты
информации. Исследование технологий организации защиты информации
проведено в работе Михайловой Е. М., Анурьева М. С. «Организационная
защита информации», программной защиты информации – в работе
Никифорова С. Н. «Защита информации», инженерно-технической – в работе
Кондратьева А. В. «Техническая защита информации».
Цель работы заключается в анализе технологий разграничения
пользовательского доступа к информационным ресурсам.
Задачи работы:
- анализ моделей разграничения доступа;
- анализ технологии разграничения доступа к объектам
информационной системы ОС Windows;
- анализ функционирования дескрипторов безопасности;
- анализ технологий разграничения доступа на уровне СУБД;
- анализ технологий разграничения доступа к объектам
информационной системы на уровне приложений.

3
Объект исследования: технологии разграничения доступа к объектам
информационной системы.
Предмет исследования: установка прав доступа к информационным
объектам.

4
I.Методы управления доступом к объектам в ОС Windows
1.1. Общие принципы разграничения доступа к объектам Windows

В операционных системах семейства Windows поддерживаются


тщательно продуманные модели безопасности, исключающие возможности
получения несанкционированного доступа к файлам, процессам или
отображению файлов. Защиту объектов можно провести из совместно
используемых (разделяемых) объектов, и программисты располагают
возможностями управления доступом к объектам с высоким уровнем
детализации.
Операционная система Windows прошла регистрацию в Оранжевой
книге Управления национальной безопасности США (National Security
Agency Orange Book) в качестве системы, имеющей сертифицированный
уровень безопасности С2, требующий проведения разграничительного
контроля доступа с возможностями управления правами доступа к объектам
на основании пользовательских идентификационных данных при попытке
получения доступа к объектам. Также, система безопасности Windows имеет
распространение на сетевую среду [18].
Тематика обеспечения безопасности объектов операционной системы
является довольно обширной. Рассмотрим алгоритмы обеспечения API
безопасности Windows для решения задач обеспечения защищенности
объектов от несанкционированного доступа.
Для доступа к объектам в Windows используются атрибуты
безопасности, которые могут устанавливаться автоматически или
административно на уровне файловой системы.
В случае работы с файлами при проверке и изменении некоторых
атрибутов безопасности объектов NTFS можно использовать проводник
(Windows Explorer).
Практически для всех объектов, которые создаются посредством
системных вызовов Create, предусматриваются параметры атрибутов
5
безопасности (security attributes). Таким образом, программным способом
возможно обеспечивать защиту файлов, процессов, потоков, событий,
семафоров, именованных каналов и так далее. Первый этап обеспечения
безопасности предполагает включение указателей на структуру
SECURITY_ATTRIBUTES в вызове Create. По умолчанию установлено
значение NULL для данного указателя или же используется структуру
SECURITY_ATTRIBUTES при создании наследуемых дескрипторов. В
процессе реализации системы защиты объекта большую роль играет
компонент lpSecurityDescriptor, входящий в структуру
SECURITY_ATTRIBUTES, который является указателем на дескриптор
безопасности, содержащий данные о владельцах объекта и определяющий
список пользователей доступны те или иные режимы работы с защищаемыми
объектами.
Структура SECURITY_ATTRIBUTES включает следующие
компоненты [7]:
type def struct _SECURITY_ATTRIBUTES {
 DWORD nLength;
 LPVOID lpSecurityDescriptor;
 BOOL bInheritHandle;
} SECURITY ATTRIBUTES;
Значение параметра nLength по умолчанию установлено равным:
sizeof(SECURITY_ATTRIBUTES)
Параметр bInheritHandle осуществляет управление свойствами
наследования дескрипторов объекта другими процессами.
Система безопасности платформ семейства Windows базируется на
моделях безопасности в разрезе пользователей пользователя или групп
пользователей. Для каждого пользователя, зарегистрированного в системе,
зарегистрирована собственная учетная запись, содержащая персональные
данные о пользователе. Эти данные используются системой при проверке
подлинности пользователей и для проведения их авторизации при
6
предоставлении доступа к ресурсам домена. После прохождения процедуры
аутентификации пользователю присваивается маркер доступа, который
позволяет идентифицировать пользователя, вхождение его в группы, а также
позволяющий определить набор доступных пользователю привилегий в
системе доступа к ресурсам. При этом для каждого объекта системы,
включая файловые ресурсы, сетевые принтеры и службы, контейнеры Active
Directory, проводится присвоение дескриптора безопасности. С помощью
дескриптора безопасности определяются права доступа к объекту и
анализируется список контроля доступа (ACL – Access Control List), где в
явной форме определяется, для каких пользователей разрешается
выполнение тех или иных действий с данным объектом. С помощью
дескриптора безопасности объекта также определяется, для событий каких
типов необходимо ведение аудита. Авторизация Windows предполагает
сопоставление маркеров доступа субъекта с дескрипторами безопасности
объекта. При управлении свойствами объекта, администраторы могут
проводить установку разрешений, назначение прав владения и отслеживание
активности пользователей. В каждом дескрипторе безопасности могут
содержаться списки двух типов. В системном списке управления доступом
возможно отслеживание прав и ограничений, установленных для объекта на
уровне системы. В данный список вносятся изменения только по тем
пользователям, которым установлены необходимые права доступа на
системном уровне [9]. На рисунке 1 приведена схема аутентификации
пользователей в системе.

Рисунок 1 - Схема аутентификации пользователей в системе

7
С помощью пользовательского списка управления доступом возможно
проведение отслеживание прав и ограничений, установленных владельцем
данного объекта. DACL может изменяться пользователем, указанным в
качестве владельца объекта.
Данные списки имеют одинаковую структуру. В них может не
содержаться ни одной записи либо содержаться одна или несколько записей.
В каждой записи (ACE – Access Control Entry) имеются три части: в первой
прописываются пользователи или группы, к которым относится текущая
запись, во второй указывается перечень прав доступа, в третьей указывается
тип предоставленного доступа. Дескрипторы безопасности могут
представляться как в абсолютной, так и в относительной форме. Абсолютный
формат предполагает проведение записи дескриптора безопасности в память
в форме структуры указателей и в силу этого он более удобен для
обновления содержимого дескриптора [20].
Так как в указателях содержатся ссылки на области памяти, права
доступ к которым, как правило, обеспечивается только с использованием
учетной записи владельца, абсолютный формат не является оптимальным
для передачи дескрипторов по сети, так как в данном случае проводится
запись не самих структур, а только наборов указателей. Поэтому разработан
другой формат дескрипторов безопасности, предполагающий возможность
записи в единый непрерывный блок памяти. Такой формат является более
удобным для передачи дескриптора.
Возможность разграничения прав доступа пользователей к файлам и
папкам в Windows реализована только при использовании файловой системы
NTFS. Данная файловая система позволяет обеспечивать поддержку
дескрипторов безопасности для компонентов файловой системы и
определять следующие уровни доступа к файлам: права на чтение, на запись,
на исполнение, на удаление, на корректировку прав доступа, на получение
прав владельца, на работу с атрибутами объекта (рисунок 2).

8
Рисунок 2 - Установка прав доступа к разделяемому ресурсу

При этом в файловой системе NTFS отсутствуют возможности


шифрования данных на носителях, в связи с чем имеется возможность
получения доступа к данным на физическом уровне, например, при загрузке
с другой операционной системой, имеется возможность получения доступа к
данным. Такая возможность предоставляется утилитой ntfsdos.exe, которую
возможно запустить, после загрузки операционной системы MS DOS. Для
предотвращения доступа к логическим дискам NTFS необходим запрет
загрузки компьютера с гибких дисков, запрет подключения других носителей
к компьютеру и отключения носителя от компьютера. Альтернативой
данному комплексу мер является работа с файловой системой EFS
(Encrypting File System). Файловая система EFS, позволяющая шифровать
файлы, тесно интегрирована с NTFS, расположена в ядре Windows. Ее
назначением является: защита данных, хранящихся на диске, от
9
несанкционированного доступа через шифрование дисковых областей. В EFS
используется архитектура Windows CryptoAPI. В ее основу положена
технология шифрования с использованием открытых ключей. В процессе
шифрования каждого из файлов случайным образом проводится генерация
ключа шифрования файла с использованием алгоритма DESX,
представляющего собой специальную модификацию стандарта DES. Вместе
с тем, встроенные в систему возможности шифрования позволяют
злоумышленникам реализовывать атаки, связанные с шифрованием файлов
на заражаемых компьютерах, которые далеко не всегда могут быть отражены
средствами антивирусного ПО [6].
Хранение локальных учетных записей пользователей в Windows
осуществляется в базе данных SAM. База данных расположена в каталоге "\
%Systemroot%\System32\ConfIg" в специальном файле, который называется
SAM. Учетные записи базы данных SAM содержат информацию о именах
пользователей и паролях. Данная информация необходима для
идентификации и аутентификации пользователей при их интерактивном
входе в систему. Создание учетных записей проводится с использованием
режима "Локальные пользователи и группы" в управления компьютером.
Хранение информации в SAM проводится в зашифрованном виде.
Пользовательские пароли сначала хэшируется с использованием алгоритма
MD4, далее проводится кодирование результата хэширования с помощью
алгоритма DES, при этом в качестве ключом шифрования является
относительный идентификатор пользователя (Relative Identifier, RID),
представляющий собой порядковый номер учетной записи текущего
пользователя, который имеет формат счетчика в базе данных SAM. При
авторизации пользователя в системе его пароль преобразуется аналогичным
образом, и при совпадении результата с содержимым SAM, аутентификация
является успешной. Для предотвращения несанкционированного доступа
злоумышленников к базе данных SAM доступ к ней не предоставляется
никакой из категорий пользователей. При этом, имеется возможность
10
сохранение копии данного файла с использованием утилиты резервного
копирования NTBACKUP. Возможно получить доступ к данному файлу при
загрузке под альтернативной ОС. Необходимо также обеспечение защиты от
несанкционированного доступа создаваемой в автоматическом режиме
сжатой архивной копии SAM (файл SAM), расположенной в каталоге \
%Systemroot%\Repair.
В случае наличия файла SAM злоумышленники могут получить доступ
к хранящимся в нем учетным записям, с использованием таких программ, как
LOphtCrack или Advanced NT Security Explorer, что предполагает
необходимость защиты SAM от несанкционированного доступа через запрет
загрузки альтернативных операционных систем с альтернативных дисков в
BIOS, через установку соответствующих прав доступа к файлам SAM в
системе или с использованием специальной утилиты SYSKEY, провести
дополнительное шифрование содержимого файла SAM [1].
В операционных системах Windows активно используются
возможности защищенного режима процессора, что позволяет эффективно
проводить защиту кода и данных процессов от взаимного влияния друг на
друга. Каждый из процессов работает в собственном виртуальном адресном
пространстве, доступ к которым других процессов запрещается при
отсутствии разрешений от владельца ресурса.

1.2. Дескрипторы безопасности

Посредством использования дескрипторов безопасности решаются


задачи защиты и аудита ресурсов. Дескрипторы безопасности включают
данные о владельце, основной группе, а также данные дискреционного
списка контроля доступа и системный список контроля доступа. На рисунке
3 показан режим аудита к разделяемому ресурсу.

11
Рисунок 3 - Настройка режима аудита

Аудит использования сетевых ресурсов актуален для локальных сетей с


большим количеством пользователей. когда необходимо отслеживать работу
пользователей с сетевыми ресурсами (например, кем был создан, изменен
или удален файл). В отсутствии аудита невозможно отследить историю
сетевых ресурсов. Использование аудита предполагает отвлечение серверных
вычислительных ресурсов и сказывается на производительности сетевых
приложений. На рисунке 4 показан пример журнала аудита, на рисунке 5 -
детализация события аудита [13].

12
Рисунок 4 - Журнал аудита

Рисунок 5 - Детализация события аудита

13
В полях с данными о владельце и основной группе содержится
информация об идентификаторах безопасности. Владелец имеет полные
права на управление безопасностью объекта, владельцем объекта. Владелец
ресурса имеет полный доступ к объекту, что включает возможности
управления разрешениями на доступ в дескрипторе безопасности.
Основная группа включена в дескрипторы безопасности лишь для
возможности работы совместно с подсистемой POSIX. В системе Windows не
используется данная часть дескриптора безопасности, если не используются
утилиты, работающие с POSIX. По умолчанию принципал безопасности,
который создал объект, проводит запись в дескриптор безопасности данные
своей основной группы. Основная группа Windows для всех пользователей
по умолчанию - это группа пользователей домена.
Все пользователи домена по умолчанию включены в данную группу.
При авторизации в системе операционная система проводит проверку SID
данной группы в маркере пользователя. Параметр "memberOf" не
перечисляет основную группу, а лишь описывает явно назначенное членство
в группах.
Рассмотрим принципы дискреционного и системного списков контроля
доступа.
Списки контроля доступа ACL включают две части. Первая часть
списка контроля доступа представлена в форме именованных контрольных
флагов. Посредством данных параметров контролируется использование
разрешений в списках ACL и правилах наследования. Во вторую часть
списка контроля доступа включен собственно сам список. Данный список
контроля доступа включает записи управления доступом АСЕ. С помощью
флагов управления доступом определяется порядок, в соответствии с
которым Windows использует данные об управлении доступом внутри списка
ACL. Первоначально в Windows используются защищенные и
автоматические флаги. С помощью защищенных флагов запрещается
модификация списка контроля доступа через наследование. Данный флаг
14
представляет собой эквивалент параметра "Разрешать наследуемые
разрешения доступа". Через установку данного режима автоматически
разрешается запись управления доступом в списках ACL на наследование
разрешения доступа между родительскими объектами и дочерними.
Рассмотрим порядок записи данных об управлении доступом.
С списках управления доступом содержится одна или несколько
записей данных о контроле доступа. В операционных системах Windows
записи данных управления доступом бывают следующих типов: Allow
(Разрешение) и Deny (Запрет). Для каждого типа АСЕ имеются подтипы и
необъектные подтипы. С помощью записей управления доступом Allow и
Deny назначается уровень доступа, который обеспечивается посредством
подсистемы авторизации на основе права, установленных администратором
безопасности. Записи данных об управлении доступом к объектам являются
исключающими для объектов в AD DS, так как с их помощью
обеспечиваются дополнительные поля по наследованию объектов. Для
большей части других ресурсов, как, например, файловых ресурсов или
системного реестра, Windows работает с необъектными записями управления
доступом. Посредством необъектных записей АСЕ обеспечивается
наследование контейнеров, то есть объекты в контейнере наследуют записи о
контроле доступом контейнера. Данное правило аналогично наследованию
разрешений доступа файлами от родительских папок. Для каждого типа
записи управления доступом используются поля Rights и полем Trustee. Поля
с правами, как правило, содержат предварительно определенные числа,
представляющие действия, доступные администратору безопасности.
Рассмотрим пример работы пользователя, который посылает запрос на
чтение или запись файла. В данном случае чтение и запись представляют
собой отдельные уровни доступа. Поле доверия "Trustee" является
идентификатором безопасности, который разрешает или запрещает
указанное действие. В качестве примера можно рассматривать пользователя

15
или группу, которой разрешается либо запрещается выполнение действия,
указанного в поле "Right".
Маркеры доступа.
Связующее звено между SID-идентификаторами администратора
безопасности и списков ACL - это маркер доступа. Когда система Windows
производит проверку подлинности пользователя с использованием Kerberos,
пользователю в процессе авторизации в системе на уровне локальной
рабочей станции присваивается маркер доступа. В данный маркер включены:
основной SID пользователя, SID-идентификаторы всех групп, к которым
относится пользователь, а также набор установленных привилегий и прав.
В маркеры доступа также могут включаться в атрибуте SIDHistory
также дополнительные SID-идентификаторы. Данные SID-идентификаторы
могут быть заполнены при перемещении учетных данных пользователей
между доменами. Маркеры доступа используются в подсистемах
безопасности при попытках пользователей получения доступа к ресурсу. При
попытках пользователей получения доступа к локальным ресурсам, данный
маркер предоставляется клиентским компьютером для всех потоков и
приложений, запрашивающих данные безопасности для разрешения доступа
к ресурсам. Данный маркер доступа не может передаваться по сети на другие
рабочие станции. Вместо этого, на каждом из серверов, где пользователь
проходит авторизацию для получения доступа к ресурсам, проводится
создание локального маркера доступа. Например, при попытке получения
пользователем доступа к почтовому ящику, расположенному на сервере, то
на данном сервере проводится создание маркера доступа. При этом
подсистема безопасности сервера проводит сравнение SID-идентификатора в
маркере доступа с имеющимися разрешениями, записанными в ACL-списке
почтового ящика. Если предоставленные для SID разрешения достаточны для
получения доступа, пользователь сможет открывать почтовый ящик.
Проверка подлинности.

16
Для работы с процессами подсистемы безопасности, включая
использование SID и ACL, необходимо обеспечить способ получения
пользователями доступа к сети. По сути, пользователи должны иметь
возможность указание своих данных для получения маркера доступа из
ресурсов контроллера домена. Данный процесс называется проверкой
подлинности.
Выполнение проверки подлинности проводится при входе
пользователя домена на компьютер. Этапы проверки подлинности
определяются особенностями операционной системы, посредством которой
осуществляется вход в сеть. 
При успешной проверке подлинности пользователю открывается
доступ к сетевым ресурсам. В случае входа в домен и нахождения сетевых
ресурсов в одном лесе, пользователю однократно предлагается прохождение
проверки подлинности. Пока пользователь находится в системе, все
полученные сетевые разрешения, основываются на предыдущей проверке
подлинности. Хотя пользовательская учетная запись проверяется на
подлинность каждый раз при получении пользователем доступа к ресурсам
на сервере, где пользователь не прошёл проверку подлинности, данная
аутентификация является прозрачной для пользователя.
Рассмотрим особенности защиты объектов ядра и приватности.
Объекты ядра могут представляться в форме процессов, потоков или
мьютексов (kernel objects). При получении и установке дескрипторов
безопасности ядра применяются функции GetKernelObjectsSecurity и
SetKernelObjectsSecurity, которые аналогичны функциям, обеспечивающим
защиту файлов.
Далее приведем анализ использования дескриптора безопасности.
Посредством анализа дескриптора безопасности предоставляется
хорошая возможность для анализа архитектуры безопасности Windows.
Дескриптор безопасности инициализируется функцией
InitializeSecurityDescriptor и состоит из следующих элементов:
17
• Идентификационный номер владельца (Security Identifier, SID).
• SID группы.
• Список разграничительного контроля доступа (Discretionary Access
Control List, DACL) — список элементов, в явной форме регламентирующих
права доступа к объекту для определенных пользователей или групп. В
нашем обсуждении термин "ACL", употребляемый без префикса "D", будет
относиться к DACL.
• Системный ACL (System ACL, SACL), иногда называемый ACL
аудиторского доступа (audit access ACL).
Функции SetSecurityDescriptorOwner и SetSecurityDescriptorGroup
связывают идентификаторы SID с дескрипторами безопасности, о чем
говорится далее в разделе "Идентификаторы безопасности".
ACL инициализируются функцией Initialize ACL, а затем связываются
с дескриптором безопасности с помощью функций SetSecurityDescriptorDacl
и SetSecurityDescriptorSacl.
Атрибуты безопасности подразделяются на абсолютные (absolute) и
самоопределяющиеся относительные (self-relative). На данном этапе мы не
будем делать различия между ними, но вернемся к этому вопросу далее в
настоящей главе. Дескриптор безопасности и его компоненты представлены
на рисунке 2.
Списки контроля доступа
Каждый ACL состоит из совокупности элементов контроля доступа
(Access Control Entry, АСЕ). Существует два типа АСЕ: для разрешения
данного вида доступа (allowed) и его запрета (denied).
Сначала список ACL инициализируют посредством функции
InitializeAcl, a затем добавляют в него элементы АСЕ. Каждый АСЕ содержит
SID и маску доступа (access mask), определяющую, какие именно права
доступа предоставляются пользователю или группе, идентифицируемым по
их SID, а в каких им отказано. В качестве типичного примера прав доступа к
файлам можно привести права доступа FILE_GENERIC_READ и DELETE.
18
Добавление элементов АСЕ в разграничительные списки ACL
осуществляется при помощи двух функций — AddAccessAllowedAce и
AddAccessDenieddAce. Функция AddAuditAccessAce служит для добавления
элементов в SACL, что позволяет отслеживать попытки доступа,
осуществляемые с использованием указанного SID. 

Рисунок 6 - Структура дескриптора безопасности

Наконец, для удаления АСЕ из списка используется функция


DeleteAce, а для извлечения — функция GetAce.
Использование объектов безопасности Windows
В дескриптор безопасности вносятся многочисленные подробные
данные, и на рис. 6 показаны лишь основные элементы его структуры.
Заметьте, что у каждого процесса также имеется свой SID (содержащийся в
маркере доступа), который используется ядром для того, чтобы определить,
какие виды доступа разрешены или какие виды доступа подлежат аудиту.
Кроме того, маркер доступа (access token) может предоставлять владельцу
определенные привилегии (privileges) (свойственная данному владельцу
способность выполнять операции, перекрывающая права (rights), указанные в

19
списке ACL). Так, администратор может иметь привилегии на выполнение
операций чтения и записи ко всем файлам, не имея на это прав, явно
заданных в списке ACL данного файла.
Если пользовательские или групповые идентификаторы доступа не
обеспечивают, ядро просматривает права доступа, указанные в ACL.
Определяющую роль играет первый встреченный элемент, дающий
возможность воспользоваться данной запрошенной услугой или
отказывающий в этом. Поэтому очередность, в которой в список вносятся
элементы АСЕ, имеет большое значение. Во многих случаях АСЕ,
запрещающие доступ, располагаются первыми, чтобы конкретный
пользователь, которому необходимо запретить данный вид доступа, не мог
получить его, воспользовавшись членством в группе, которой этот вид
доступа предоставлен.
Таким образом, рассмотрев технологии обеспечения защищенности
объектов информационной системы с использованием инструментария
Windows, можно сделать выводы:
- операционная система Windows позволяет обеспечивать эффективное
разграничение доступа пользователей к информационным объектам с
использованием различных уровней доступа;
- встроенные средства безопасности ОС Windows обеспечивают защиту
данных даже в случаях авторизации под альтернативной операционной
системой;
- доля использования операционных систем Windows на рынке
сетевого ПО позволяет утверждать об эффективности реализованной
системы разграничения доступа и от утечек информации.

20
II.Методы разграничения доступа к объектам информационной
системы
2.1. Общая характеристика моделей разграничения доступа

Проведем анализ наиболее распространенных моделей обеспечения


сетевой безопасности.
1. Модель дискреционного доступа. В рамках данной модели проводится
контроль доступа субъектов к объектам. Для каждой субъектно-объектной
пары проводится установка операций доступа (READ, WRITE и другие).
Осуществление контроля доступа производится посредством
механизмов, которые предусматривают возможности санкционированных
изменений технологий разграничения доступа. Права на изменение правил
предоставляются выделенным субъектам.
2. Модель дискретного доступа. В рамках данной модели
рассматриваются механизмы субъектно-объектного доступа.
3. Модель мандатного управления доступом Белла-Лападула.
Данная форма записывается в терминологии теории отношений. С
использованием данной методологии описываются механизмы доступа к
системным ресурсам, при этом для управления доступом применяется
матрица контроля доступа. В рамках данной модели рассматриваются
простейшие операции чтения и записи доступа субъектов к объектам, на
которые накладываются ограничения.
Множества субъектов и объектов упорядочены в соответствии с их
уровнем полномочий и уровнем безопасности, соответственно.
Изменение состояния системы производится согласно правилам
трансформации состояний.
4. Модели распределенных систем (синхронные и асинхронные). В
рамках данной моделей выполнение субъектов производится на нескольких
устройствах обработки. Рассматриваются операции доступа субъектов к

21
объектам по чтению и записи, а также объекты, которые могут быть
удалены, что может вызвать противоречия в модели Белла-Лападула.
В рамках асинхронной модели в одновременно несколько субъектов
могут получить доступ к нескольким объектам.
Одномоментный переход системы между состояниями может
осуществляться под воздействием более, чем одного субъекта.
5. Модель безопасности военной системы передачи данных (MMS
-модель). Запись данной модели проведена в терминологии теории множеств.
Субъектами могут выполняться ряд специализированных операции над
объектами, имеющими сложную структуру. В модели присутствуют
администраторы безопасности для реализации задач управления доступом к
информации и устройствам глобальных сетей передачи данных. При этом
для обеспечения возможности управления доступом используются матрицы
контроля доступа. Видами используемых операций над объектами являются:
чтение, запись, создание, удаление, операции с объектами, имеющими
специфическую структуру, а также может возникать необходимость
операций, направленных на проведение специфической обработки
информации.
Состояние системы изменяется с помощью функции трансформации.
6. Модель трансформации прав доступа. Модель формально
записывается в терминологии теории множеств. Механизм изменения
состояния систем основан на использовании функций трансформации
состояний.
7. Схематическая модель. Запись производится в терминологии теории
множеств и теории предикатов. Для обеспечения управления доступом в
данном случае используются матрицы доступа, имеющие строгую
типизацию ресурсов. Для изменения прав доступа используется
математический аппарат копирования меток доступа.
8. Иерархическая модель. Модель можно представить в терминологии
теории предикатов. С ее помощью проводится описание управления
22
доступом для параллельных вычислений, технологии управления доступом в
данном случае основываются на вычислении предикатов.
9. Модель безопасных спецификаций, описанная с использованием
аксиоматики Хоара.
10. Модель информационных потоков. Запись модели проводится в
терминологии теории множеств. В модель включаются объекты и атрибуты,
что позволяет провести определение информационных потоков. Задачи
управления доступом решаются с использованием атрибутов объекта.
Изменение состояний представляется как модификация соотношений
объектов и атрибутов.
12.  Вероятностные модели. В модели данного типа включены
субъекты, объекты и их вероятностные характеристики. В рамках модели
проводится рассмотрение операций доступа субъектов к объектам чтения и
записи. Операции доступа также обладают вероятностными
характеристиками.
Система управления информационными ресурсами должна
соответствовать следующим требованиям [Error: Reference source not found]:
 наличие системы разграничения доступа (уровень ввода
документов, уровень первичной постановки документов на учет, уровень
исполнителя, уровень руководителя);
 наличие парольной защиты с требованиями к сложности пароля, а
также к его периодической смене;
 возможностью интеграции с криптографическими системами;
 наличие системы автоматического резервного копирования и
условий выполнения соответствующих требований к хранению копий баз
данных.
Система по обеспечению безопасности информации в базах данных
включает мероприятия, связанные с защитой процессов создания данных, а
также процессов, включающих ввод, обработку и выдачу результатной

23
информации. Цель обеспечения безопасности баз данных включает
обеспечение ценностных характеристик системы, защиту и гарантии
точности и целостности, минимизацию разрушений, которые могут
возникать, если данные будут модифицированы или разрушены.
Безопасность данных требует проведение учета всех событий, в рамках
которых проводится создание и модифицирование и предоставление доступа
к информации.
Диаграмма основных компонент обеспечения системы защиты
информации в базах данных приведена на рисунке 7.

Управление
информационными
ресурсами

Инженерно-
Организационное Программное
техническое

Организационно-
Документационное
штатные
обеспечение
мероприятия

Рисунок 7 - Диаграмма основных компонент типовой системы защиты


информации

Как показано на рисунке 6, основные компоненты управления


информационными ресурсами включают [Error: Reference source not found]:
1. Организационно-штатные мероприятия, предполагающие:
- Ведение номенклатуры дел в области управления информационными
ресурсами;
- Создание организационной структуры, курирующей вопросы
управления информационными ресурсами (при невозможности выделение
отдельных штатных единиц – возложение полномочий по администраторов

24
на специалистов профильных подразделений предприятий, создание
постоянно действующих комиссий по вопросам управления
информационными ресурсами);
- Издание типового набора документов, регламентирующих процессы
управления информационными ресурсами;
- Определение ответственности сотрудников за нарушение требований
по защите информации;
- Определение перечня информационных ресурсов предприятия и
специалистов, имеющих к ним допуск;
- Определение регламентов проведения аудита состояния
информационных ресурсов.
К задачам, которые должны обеспечиваться системой управления
информационными ресурсами относятся [Error: Reference source not found]:
 управление доступом пользователей к базам данных с целью ее
защиты от неправомерного случайного или умышленного вмешательства в
работу системы и несанкционированного (с превышением предоставленных
полномочий) доступа к ее информационным, программным и аппаратным
ресурсам со стороны посторонних лиц, а также лиц из числа персонала
организации и пользователей;
 обеспечение защиты базы данных при осуществлении сетевых
транзакций;
 проведение регистрации, сбора, хранения, обработки и выдачи
сведений обо всех событиях, которые происходят в базе данных
(протоколирование);
 осуществление контроля работы пользователей с системой со
стороны администраторов с возможностью оперативного оповещения об
обнаружении попыток несанкционированного доступа к системным
ресурсам;

25
 осуществление контроля и поддержания целостности базы
данных и в среде исполнения прикладных программ;
 обеспечение замкнутости среды доверенного программного
обеспечения в целях защиты от возможного бесконтрольного использования
потенциально опасного ПО и средств по преодолению системы защиты, а
также от внедрения и распространения вредоносного ПО;
 управление средствами системы защиты базы данных.
Архитектура системы управления информационными ресурсами на
предприятиях включает в себя [Error: Reference source not found]:
- организационные решения;
- инженерные решения;
- программные решения;
- проведение аудита состояния информационной безопасности.
Управленческие решения по совершенствованию системы обеспечения
безопасности баз данных по результатам аудита и могут быть связаны с
необходимостью изменения штатной структуры специалистов, закупкой или
модернизацией программных или аппаратных решений, проведением
реконструкций инженерных систем.

2.2. Разграничение доступа пользователей на уровне СУБД

2.2.1. Общая характеристика СУБД MySQL


В рамках данной работы проведено изучение технологии управления
информационными ресурсами на примере MySQL.
MySQL является свободной системой управления базами
данных(СУБД). Права собственности на программное обеспечение MySQL
принадлежат компании Oracle Corporation, которая получила их от Sun
Microsystems, которая изначально осуществляла разработку и поддержку
данной СУБД. Распространение данной СУБД проводится в соответствии с

26
лицензией GNU General Public License, а также возможно собственное
коммерческое лицензирование. Кроме этого разработчиками проводится
создание функционала по заказу клиентов, приобретающих коммерческие
лицензии, именно благодаря данным заказам в системе были реализованы
механизмы репликации.
СУБД MySQL используется малыми и средними приложениями.
Система включена в состав серверов WAMP, AppServ, LAMP, а также в
портативные серверные сборки от Denwer, XAMPP. Как правило, MySQL
используют в качестве сервера баз данных, к которому проводятся
обращения со стороны локальных или удалённых клиентов, однако в
дистрибутив включена библиотека внутреннего сервера, которая позволяет
включать компоненты MySQL в автономное программное обеспечение
[Error: Reference source not found].
Гибкость СУБД MySQL предполагает поддержку большого количества
видов табличного представления данных: пользователи могут работать как с
таблицами типа MyISAM, поддерживающими полнотекстовый поиск, так и с
таблицами таблицы InnoDB, которые поддерживают транзакции на уровне
отдельных записей. Поставка СУБД MySQL может также проводиться в
комплекте с специальным типом таблиц EXAMPLE, который демонстрирует
основные принципы создания нового типа табличного представления.
Благодаря наличию открытой архитектуры и GPL-лицензированию, в СУБД
MySQL постоянно включаются новые типы таблиц.
Поставка СУБД MySQL осуществляется в форме консольного
приложения, что не является удобным для работы администраторов.
Сторонними разработчиками разработано множество инструментов
администрирования баз данных формата MySQL. В рамках данной работы
проведен анализ технологии работы системы dbForge Studio, являющейся
полноценным инструментом для управления базами данных и обеспечения
сервисов их безопасности [Error: Reference source not found].

27
2.2.2. Обзор технологий администрирования СУБД MySQL

Разграничение прав доступа к информационным ресурсам возможно на


уровне СУБД, на уровне файловой системы, а также на уровне приложения.
Рассмотрим режим работы с доступом пользователей к объектам
информационной системы на примере СУБД MySQL. На рисунке 8 приведен
режим списка баз данных MySQL, хранящихся на сервере.

Рисунок 8 - Режим списка баз данных MySQL

На рисунке 8 показано меню администратора баз данных MySQL. Как


показано на рисунке 8, система управления информационными ресурсами
MySQl включает возможности [Error: Reference source not found]:
- управление безопасностью сервера;
- монитор подключений пользователей;
- режим копирования и восстановления;
- режим оптимизации данных в таблицах базы данных;
- возможность запуска и остановки сервера.
Как показано на рисунке 16, с использованием консоли администратора
dbForge Studio имеется возможность управления доступом пользователей к
ресурсам базы данных.

28
Доступ пользователей возможен на уровнях:
- чтения;
- редактирования;
- записи;
- администрирования;
- резервного копирования и восстановления;
- создания и запуска скриптов;
- авторизации на сервере БД;
- создание объектов базы данных (таблиц, схем, триггеров,
представлений и др.).

Рисунок 9 – Режим администратора базы данных

На рисунке 10 показан список подключенных пользователей.

Рисунок 10 – Мониторинг активности пользователей

На рисунке 11 показан режим управления ролями пользователей.

29
Рисунок 11 – Управление доступом пользователей

Также уровни доступа могут устанавливаться на конкретные таблицы


базы данных.
Режим обслуживания баз данных представлен на рисунке 12.

Рисунок 12 – Режим обслуживания баз данных


Как показано на рисунке 12, процесс обслуживания базы данных
информационных ресурсов включает [Error: Reference source not found]:
- Анализ;
- Оптимизацию;

30
- Проверку целостности;
- Проверку контрольных сумм;
- Восстановление.
Таким образом, в ходе анализа технологии администрирования СУБД
MySQL было показано, что консоль администрирования позволяет
осуществлять управление базами данных и обеспечивать их безопасность.

2.3. Управление доступом пользователей на уровне приложения

Рассмотрим режим управления доступом пользователей на уровне


приложения на примере ПО «1С: Предприятие». К основным задачам
администратора базы данных с использованием конфигуратора «1С:
Предприятие» относят:
- работу с пользовательскими учетными записями (введение новых
учетных записей), изменение уровня доступа к системе, удаление
пользователя из системы;
- создание групповых политик (назначение групповых прав доступа);
- макрооперации с информационными базами (установка обновлений,
тестирование БД, реорганизация, сжатие и др.);
- резервное копирование базы данных;
- восстановление баз данных;
- организация хранения копий баз данных;
- разработка нормативных документов в области функционала
администратора БД.
Эффективность управления базами данных определяет уровень
надежности системы, снижение вероятности пользовательских ошибок,
возникающих вследствие влияния человеческого фактора, позволяет
реализовать протоколирование действий пользователей.
Рассмотрим технологию администрирования следующих
конфигураций ПО «1С:Предприятие»:
31
- Управление бухгалтерским учетом;
- Заработная плата и управление персоналом;
- Управление продажами.
Проведем анализ организации процесса администрирования указанных
информационных ресурсов. Основные методы администрирования ПО
«1С:Предприятие» связаны с управлением на уровне программного
обеспечения (управление доступом осуществляется через режимы работы
ПО), а также управление на уровне Active Directory (управление доступом к
ресурсам файловой системы).
Функции администрирования ПО «1С:Предприятие», как правило,
возлагаются на специалистов в области информационных технологий или
защиты информации. На рисунке 13 приведена схема документооборота в
управлении пользовательским доступом к ПО «1С:Предприятие».

Парольная
карточка

Начальник отдела

Таблицы доступа
Заявка на доступ к БД, Профиль
доступа

Администратор БД

Рисунок 13 - Схема документооборота в процессе администрирования


баз данных «1С: Предприятие»

Как показано на рисунке 13, процесс предоставления доступа


пользователям к базам данных ПО «1С: Предприятие» предполагает
выполнение следующих работ:

32
1. Начальником профильного отдела подается формализованная заявка
на предоставление прав доступа к базам данных ПО «1С: Предприятие» на
имя администратора базы данных. Заявка включает следующие позиции:
- тип действия: предоставление, изменение, закрытие прав доступа;
- доменное имя специалиста;
- ФИО и должность специалиста;
- уровень доступа;
- срок исполнения заявки.
Заявка визируется руководителем организации.
2. Администратор базы данных проводит изменения в документах:
«Таблицы разграничения доступа к информационным ресурсам», «Профиль
разграничения доступа к информационным ресурсам».
3. При необходимости администратором проводится формирование
парольной карточки доступа к базе данных для выдачи пользователям и
выдача ее под роспись с отметкой в соответствующем журнале. В некоторых
случаях пользователи меняют пароли самостоятельно.
4. Администратор базы данных информирует руководителя
подразделения предприятия об исполнении заявки.
Рассмотрим примеры доступа к базам данных специалистов к базам
данных ПО «1С: Предприятие».
Таблица 2 - Режимы доступа к ПО «1С: Управление продажами»
Должность Интерфейс Описание функционала
специалиста
Генеральный директор Отчеты Управленческий учет –
формирование сводных данных
о деятельности организации,
финансовых показателях,
связанных с осуществлением
продаж
Руководитель Полный Ввод документов, формирование
коммерческого отдела аналитической отчетности,
просмотр журналов,
сторнирование документов

33
Должность Интерфейс Описание функционала
специалиста
Специалист Кредиты Оформление продаж с
кредитного отдела использованием кредитных
ресурсов
Специалист отдела Операционная Ввод и проведение платежных
бухгалтерского учета касса документов
Администратор базы Администратор Администрирование ПО
данных

Далее рассмотрим режимы управления правами доступа пользователей


к БД ПО «1С: Управление продажами» в режиме конфигурирования.
На рисунке 14 приведен режим настройки прав доступа пользователей
в режиме конфигуратора ПО «1С: Учет продаж», на рисунке 15 – режим
добавления нового пользователя.

Рисунок 14 - Список пользователей


Как показано на рисунке 8 – процесс аутентификации пользователей
возможен как через справочник «1С: Предприятия», так с использованием
доменных учетных записей (рисунок 15). На рисунке 16 показан режим
добавления пользовательского интерфейса. Режим конфигуратора позволяет
отслеживать пользователей. работающих в данный момент с
информационной базой. Окно мониторинга пользователей приведено на
рисунке 17.
34
Рисунок 15 – Режим добавления нового пользователя

Рисунок 16 – Режим добавления доменной учетной записи для доступа


к БД

35
Рисунок 17–Режим добавления интерфейса пользователя

Рисунок 18 – Просмотр списка активных пользователей

В таблице 3 показаны режимы пользовательского доступа к ПО «1С:


Заработная плата и Управление персоналом»
Таблица 3 - Режимы пользовательского доступа к ПО «1С: Заработная
плата и Управление персоналом»
Должность Интерфейс Описание функционала
специалиста
Главный бухгалтер Полный Формирование отчетности в
рамках учета заработной платы
Специалист отдела Расчетчик Ввод начислений и удержаний,
бухгалтерского учета заработной расчет заработной платы,
платы отчислений и налогов,
формирование отчетности, в т.ч.
формализованных документов в
36
Должность Интерфейс Описание функционала
специалиста
ПФР, ФНС в электронном виде,
формирование платежных
документов для зачисления
заработной платы на
пластиковые карты сотрудникам
Специалист по кадрам Кадровик Работа с кадрами: прием,
и делопроизводству увольнение сотрудников
заполнение табелей, ввод
отпусков, больничных листов,
формирование кадровой
отчетности
ИТ-специалист Администрато Администрирование ПО
р

На рисунке 13 приведен список пользовательских режимов ПО «1С:


Расчет Заработной платы». На рисунке 14 показан журнал регистрации
действий пользователей. В таблице 4 показан список режимов
пользовательского доступа к конфигурации «1С: Бухгалтерский учет»

Рисунок 19 - Список активных пользователей

37
Таблица 4 -Список режимов пользовательского доступа к
конфигурации «1С: Бухгалтерский учет»
Должность Интерфейс Описание функционала
специалиста
Главный бухгалтер Полный Формирование сводной
отчетности в рамках бухучета на
предприятии
Бухгалтер Бухгалтер Ввод, удаление и сторнирование
документов, просмотр журналов,
формирование отчетности
Администратор базы Администрато Режим администрирования
данных р (конфигуратор)
Как показано в ходе анализа процесса конфигурирования, все
манипуляции, проводимые администратором с учетными записями
пользователей, протоколируются в таблицах разграничения доступа,
входящих в номенклатуру дел администратора. В Приложении 1 приведен
пример таблицы доступа пользователей к информационной базе «1С:
Предприятие».
Режим тестирования и исправления базы данных служит для
исправления нарушений структуры и целостности базы данных. На рисунке
16 приведен режим тестирования и исправления баз данных. Данная
функция может быть использована, когда работа с программными
комплексами была завершена аварийно, либо произошёл аппаратный сбой
или сбой электропитания.
Основными направлениями совершенствования технологии
администрирования ПО «1С: Предприятие» являются:
- автоматизация технологии резервного копирования с автоматическим
ведением журнала;
- для привилегированных учетных записей внедрение технологии
усиленной аутентификации (закупка электронных ключей, биометрических
сканеров);

38
- ведение электронного журнала с информацией о разграничении
полномочий пользователей с историей их изменений;
- внедрение информационной системы с информацией, содержащей
протоколы изменение паролей пользователей с мониторингом сроков их
изменения, возможностью автоматической блокировки пользователей с
просроченными паролями, а также ошибками аутентификации.

39
III. Охрана труда

Режимы труда и отдыха при работе с ПЭВМ и ВДТ для студентов


высших учебных заведений, должны соответствовать СанПиН 2.2.2.542-96.
Длительность работ на ВДТ и ПЭВМ студентов во время учебных
занятий определяется курсом обучения, характером (ввод данных,
программирование, отладка программ, редактирование и др.) и сложностью
выполняемых заданий, а также техническими данными ВДТ и ПЭВМ и их
разрешающей способностью.
Для студентов первого курса оптимальное время учебных занятий при
работе с ВДТ и ПЭВМ составляет 1 час, для студентов старших курсов - 2
часа, с обязательным соблюдением между двумя академическими часами
занятий перерыва длительностью 15-20 минут.
Допускается время учебных занятий с ВДТ и ПЭВМ увеличивать на
один час, при условии, что длительность учебных занятий в дисплейном
классе (аудитории) не превышает 50% времени непосредственной работы на
ВДТ и ПЭВМ и при соблюдении профилактических мероприятий.
Для предупреждения переутомления необходимо:
проведение упражнений для глаз через 20-25 минут работы за ВДТ и
ПЭВМ;
устройство перерывов после каждого академического часа занятий,
независимо от учебного процесса, длительностью не менее 15 минут;
подключение таймера к ВДТ и ПЭВМ или централизованное
отключение свечения информации на экранах видеомониторов с целью
обеспечения нормируемого времени работы на ВДТ или ПЭВМ;
проведение во время перерывов сквозного проветривания помещений
с ВДТ или ПЭВМ с обязательным выходом студентов из него;
осуществление во время перерывов упражнений физкультурной паузы
в течение 3-4 минут;

40
проведение упражнений физкультминутки в течение 1-2 минут для
снятия локального утомления, которые должны выполняться индивидуально
при появлении начальных признаков усталости.
Требования к расписанию учебных занятий с ВДТ и ПЭВМ:
исключить большие перерывы длительностью в один час между
спаренными академическими часами, отведенными для занятий с ВДТ и
ПЭВМ;
не допускать для студентов старших курсов объединение третьей и
четвертой пар учебных занятий с ВДТ и ПЭВМ;
учебные занятия студентов старших курсов с ВДТ и ПЭВМ в
исключительных случаях допускаются в период от 17 до 20 часов при
обязательном смещении учебных занятий в расписании на первую или
вторую пару уроков;
двигательный режим студентов и темп работы на ВДТ и ПЭВМ должен
быть свободным.
В период прохождения производственной практики или работы время
непосредственной работы с ВДТ и ПЭВМ для студентов первых курсов не
должно превышать 3 часов, для студентов старших курсов - 4 часов при
соблюдении профилактических мероприятий как во время учебных занятий.
Т.к. ПЭВМ является источником опасности поражения электрическим
током, то необходимо определить технические мероприятия и средства,
обеспечивающие защиту пользователя от опасности воздействия
электричества.

Напряжение прикосновения и токи, протекающие через человека,


нормируются согласно ГОСТ 12.1.038 – 88 «ССБТ. Электробезопасность.
Предельно допустимые значения напряжений и токов». Эти нормы
соответствуют прохождению тока через тело человека по пути рука-рука или
рука-ноги.

41
Стандарт предусматривает нормы для электроустановок при
нормальном рабочем (неаварийном) режиме их работы (таблица 4.1), а так же
при аварийном режиме (таблица 4.2) электроустановок.

Таблица 4.1. Предельно допустимые уровни при нормальном рабочем


режиме

Род тока Наибольшее допустимое значение


Uпр , В Iч , мА T, мин
Переменный , 50 Гц 2 0,3 10 в сутки

Таблица 4.2. Предельно допустимые уровни при аварийном режиме


Род тока Нормируемая Продолжительность воздействия t, с
0,2 0,4 0,8 1,0 Более
величина
1,0
Переменны Uпр , В 250 125 65 50 36
Iч , мА 250 125 65 50 6
й 50 Гц
Согласно ГОСТ 12.1.030 – 81 сопротивление изоляции электрических
цепей электронных цифровых вычислительных машин общего назначения
должно быть не менее значений указанных в таблице 4.9.

Таблица 4.3. Сопротивление изоляции МОм


Климатические условия Напряжение сети 0,1-0,5 кВ
Нормальные 20
Сопротивление изоляции силовой и осветительной сети напряжением
до 1000В на участке между двумя смежными предохранителями или между
любым проводом и землей, а также между двумя любыми проводами должно
быть не менее 0,5 МОм. Для защиты людей от поражения электрическим
током при повреждении изоляции каждая ПЭВМ должна быть подключена к
общему заземлению, предусмотренному в данном здании.

Заключение

В рамках данной работы проведен анализ технологий предоставления


42
доступа пользователей к информационным ресурсам, а также системы
обеспечения безопасности данных от угроз несанкционированного доступа с
использованием средств ОС Windows.
Показано, что управление доступом пользователей к информационным
ресурсам производится на уровне СУБД, на уровне файловой системы, а
также на уровне приложения. Управление доступом может осуществляться
техническими средствами (включая административное программное
обеспечение) на основании организационных решений, оформленных в виде
приказов или служебных записок. Учет доступа пользователей проводится в
матрицах разграничения доступа.
Проведено рассмотрение теоретических аспектов обеспечения
безопасности информационных ресурсов. Показано, что защита
информационных объектов средствами операционной системы проводится
посредством установки атрибутов доступа, позволяющих предоставлять доступ
на разрешенных уровнях. При этом защищенность информационных ресурсов
является залогом штатного функционирования предприятий.
Далее были проанализированы аспекты обеспечения информационной
безопасности объектов путем работы с дескрипторами. Показано, что в
существующей конфигурации обеспечение защиты информации является
сложной задачей, что обусловлено спецификой использования разнородных
сетевых решений, требующих использования разных подходов к безопасности.
Установка разрешений на доступ к информационным объектам
производится с правами владельца ресурса. Хранение данных о правах доступа
к объектам производится в определенных файлах в системных каталогах,
доступ к которым ограничивается для каждой из учетных записей.
Технологически управление безопасностью информационных объектов может
реализовываться как с использованием команд консоли, так и в интерактивном
режиме.
Также средствами ОС Windows возможно проведение аудита
информационных ресурсов, что предполагает протоколирование действий
43
пользователей с выбранными информационными объектами. Ведение
протоколов является полезным в сетях со значительным количеством
пользователей, работающих одновременно с определенными
информационными объектами и позволяет выявляться пользователей, которые
проводят операции создания, удаления и изменения объектов.
Анализ уровня защищенности объектов, обеспечиваемого средствами ОС
Windows, позволяет утверждать, что встроенные средства операционной
системы обеспечивают необходимый уровень защиты информационной
системы.

44
Список использованных источников

1. Сетевая защита информации. [Электронный ресурс]. Режим


доступа: http://ic-dv.ru/uslugi/sredstva_doverennoj_zagruzki/
2. Сетевые атаки и их виды. [Электронный ресурс]. режим доступа:
https://www.kakprosto.ru/kak-848505-chto-takoe-setevaya-ataka
3. Попов Б. Н. Администрирование информационных систем :
учебное пособие / Б. Н. Попов. - Санкт-Петербург : Изд-во ГУМРФ имени
адмирала С.О. Макарова, 2018. - 95 с. [Электронный ресурс]. Режим доступа:
http://biblioclub.ru/index.php?page=book&id=220783
4. Королев Е. Н. Администрирование операционных систем :
учебное пособие / Е. Н. Королев. - Воронеж : Воронежский государственный
технический университет, 2017. - 85 с. [Электронный ресурс]. Режим
доступа: https://biblio-online.ru/book/operacionnye-sistemy-398462
5. Горев А. И., Симаков А. А. Обработка и защита информации в
компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А.
Симаков. - Омск : ОмА МВД России, 2016. - 87 с. — Режим доступа:
http://www.iprbookshop.ru/72856.html
6. Белобородова Н. А. Информационная безопасность и защита
информации : учебное пособие / Н. А. Белобородова; Минобрнауки России,
Федеральное гос. бюджетное образовательное учреждение высш. проф.
образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ,
2016. - 69 с. Текст : электронный // ЭБС Юрайт [сайт]. — URL: https://biblio-
online.ru/bcode/431332
7. Кондратьев А. В. Техническая защита информации. Практика
работ по оценке основных каналов утечки : [учебное пособие] / А. В.
Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. — Режим
доступа: http://www.iprbookshop.ru/72856.html
8. Смычёк М.А. Информационная безопасность и защита
информации : учебное / М.А. Смычёк. - Нижний Новгород : Нижегородский
45
государственный технический университет, 2016. – 125с. — Режим доступа:
http://www.iprbookshop.ru/63594.html
9. Герасименко В.А., Малюк А.А. Основы защиты информации. –
СПб.: Питер, 2010. – 320с. [Электронный ресурс]. Режим доступа:
http://biblioclub.ru/index.php?page=book&id=220783
10. Никифоров С. Н. Защита информации: учебное пособие / С.Н.
Никифоров; Министерство образования и науки Российской Федерации,
Санкт-Петербургский государственный архитектурно-строительный
университет. - Санкт-Петербург : СПбГАСУ, 2017. – 76 с. [Электронный
ресурс]. - URL: http://biblioclub.ru/index.php?page=book&id=221461
11. Никифоров С. Н., Ромаданова М. М. Защита информации.
Пароли, скрытие, удаление данных : учебное пособие / С. Н. Никифоров, М.
М. Ромаданова. - Санкт-Петербург : СПбГАСУ, 2017. - 107 с. — Режим
доступа: http://www.iprbookshop.ru/63594.html
12. Никифоров С. Н. Защита информации : защита от внешних
вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-
Петербургский государственный архитектурно-строительный университет,
2017. - 82 с. — Режим доступа: http://www.iprbookshop.ru/72856.html
13. Шаньгин В.Ф. Информационная безопасность и защита
информации [Электронный ресурс] : учебное пособие / В.Ф. Шаньгин. -
Саратов: Профобразование, 2017. - 702 c. [Электронный ресурс]. -
URL: http://biblioclub.ru/index.php?page=book&id=221461
14. Михайлова Е. М., Анурьева М. С. Организационная защита
информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. -
Тамбов : ФГБОУ ВО "Тамбовский государственный университет имени Г. Р.
Державина", 2017. [Электронный ресурс]. Режим доступа:
http://biblioclub.ru/index.php?page=book&id=220783
15. Минаси М., Грин К., Бус К. Windows Server 2012 R2 : полное
руководство / Марк Минаси, Кевин Грин, Кристиан Бус. – Москва:
Диалектика, 2016. [Электронный ресурс]. - URL: http://biblioclub.ru/index.php?
46
page=book&id=221461
16. Власов Ю. В., Рицкова Т. И. Администрирование сетей на
платформе MS Windows Server [Электронный ресурс] / Власов Ю. В.,Рицкова
Т. И.,. - 2-е изд. - 2016. - 622 с. — Режим доступа:
http://www.iprbookshop.ru/63594.html
17. Станек У. Р. Microsoft Windows Server 2012 R2: хранение,
безопасность, сетевые компоненты : справочник администратора / Уильям Р.
Станек. - Москва ; Санкт-Петербург : Русская редакция БХВ-Петербург,
2015. - XII, 404 с. — Режим доступа: http://www.iprbookshop.ru/72856.html
18. Линн С. Администрирование Microsoft Windows Server 2012/
Самара Линн. - Санкт-Петербург: Питер, 2014. - 297 с. [Электронный ресурс].
Режим доступа: http://biblioclub.ru/index.php?page=book&id=220783

47