Н. Э. Баумана Факультет Информатика и системы управления Кафедра Информационная безопасность Т. И. Булдакова, Е. В. Глинская Проектирование защищенных систем баз данных Учебное издание Методические указания
Скачать 183.5 Kb.
|
Раздел 1 «Описание предметной области. Постановка задачи» должен содержать всю необходимую и достаточную информацию для проектирования БД. Прежде всего должен быть определен круг лиц, который будет иметь доступ к БД, их права и обязанности. Описаны бизнес-процессы, происходящие в предметной области. Приведены формы входных и выходных документов, описаны регламентированные запросы. Определена периодичность решения всех задач. Предметная область должна быть описана с такой степенью подробности, чтобы можно было определить характер связи между объектами. Рекомендуется описание предметной области формализовать в виде IDEF0-модели или обобщенной ER-модели. В разделе 2 «Выбор средств/методологии проектирования. Выбор СУБД» должна быть выбрана методика проектирования базы данных. СУБД также может быть выбрана любая. Степень подробности описания тех средств, которые рассматриваются при выборе, зависит от того, насколько распространенные средства используются при анализе. В разделе 3 «Построение инфологической (концептуальной) модели предметной области» надо построить ER-модель в выбранной в разделе 2 нотации. ER-модель должна полностью соответствовать описанию предметной области, приведенному в разделе 1. Содержание раздела 4 «Проектирование логической структуры базы данных» будет зависеть от выбранной СУБД, методики проектирования и, если используются средства автоматизации проектирования, от их особенностей. Проектирование реляционной схемы БД должно решать задачи минимизации дублирования данных и упрощения процедур их обработки и обновления. При неправильно спроектированной схеме БД могут возникнуть аномалии модификации данных. Они обусловлены отсутствием средств явного представления типов множественных связей между объектами предметной области и неразвитостью средств описания ограничений целостности на уровне модели данных. Для решения подобных проблем проводится нормализация отношений. Выявление полного перечня ограничений целостности, присущего данной предметной области, осуществляется на основе информации раздела 5 «Описание предметной области. Постановка задачи». Далее выявляются ограничения целостности, вызванные особенностями используемой СУБД. Выбирается способ реализации контроля целостности для каждого из учитываемых ограничений. Проектирование физической структуры (раздел 6) существенно зависит от выбранной СУБД. В разделе 7 «Организация ввода данных в БД» должны быть разработаны экранные формы ввода данных с учетом разграничения доступа. Для защиты информационных ресурсов может потребоваться разработка специальных форм для разных групп пользователей. В разделе 8 «Реализация запросов, получение отчетов» необходимо реализовать запросы и получить отчеты, описанные в разделе «Описание предметной области. Постановка задачи». В разделе 9 «Разработка и реализация средств защиты БД» необходимо обеспечить защиту информационных ресурсов. Разработка средств защиты БД является одной из важнейших составляющих проекта базы данных. Защита данных имеет два аспекта: защита от сбоев и защита от несанкционированного доступа. Для защиты от сбоев разрабатывается стратегия резервного копирования. Для защиты от несанкционированного доступа каждому пользователю доступ к данным предоставляется только в соответствии с его правами доступа. В разделе 10 «Реализация проекта в среде конкретной СУБД» приводится пример работы созданной защищенной базы данных. 4. Основные теоретические сведения, необходимые для выполнения курсовой работы Проектирование базы данных – одна из наиболее сложных и ответственных задач, связанных с созданием автоматизированной информационной системы (АИС). В результате её решения должны быть определены содержание БД, эффективный для всех её будущих пользователей способ организации данных и инструментальные средства управления данными. Основная цель процесса проектирования БД состоит в получении такого проекта, который удовлетворяет следующим требованиям: Корректность схемы БД, т.е. база должна быть адекватна моделируемой предметной области, где каждому ее объекту соответствуют данные в памяти ЭВМ, а каждому процессу – адекватные процедуры обработки данных; Обеспечение ограничений (на объёмы внешней и оперативной памяти и другие ресурсы вычислительной системы); Эффективность функционирования (соблюдение ограничений на время реакции системы на запрос и обновление данных); Защита данных (от аппаратных и программных сбоев и несанкционированного доступа); Простота и удобство эксплуатации; Гибкость, т.е. возможность развития и адаптации к изменениям предметной области и/или требований пользователей. Процесс проектирования БД начинается с анализа предметной области. Инфологическая модель предметной области – это формализованное описание предметной области, выполненное безотносительно к используемым в дальнейшем программным и техническим средствам. Инфологическая модель должная быть динамической и позволять легкую корректировку. Она должна: содержать всю необходимую и достаточную информацию для последующего проектирования базы данных; быть понятна лицам, принимающим участие в создании и использовании БД. Проектируя инфологическую модель предметной области, необходимо построить ER-модель. Для этого описываются объекты и связи между объектами. На этом этапе необходимо раскрыть требования к будущему проекту через ответ на следующие вопросы: предполагаемая организация архитектуры аппаратной платформы (например, использование архитектуры файл-сервер или клиент- сервер с указанием распределения функций, организация работы сайта в сети Интернет); порядок ввода первичной информации (названия документов) и перечень используемых экранных форм; краткая характеристика результатов (названия результатных документов, экранных форм выдачи результатов, перечень результатных файлов, способов их выдачи: на экран, печать или в канал связи) и мест их использования; краткая характеристика системы ведения файлов в базе данных (перечень файлов или таблиц с условно-постоянной и оперативной информацией, периодичность обновления, требования защиты целостности и секретности). Также необходимо дать краткое описание каждой сущности. Дальнейшая задача студента заключается в создании и реализации проекта с помощью выбранной СУБД. Описание каждой сущности должно содержать (целесообразно выполнять в виде таблицы) наименование полей, идентификатор каждого поля, его шаблон, тип данных, длину поля и описание поля. По каждой таблице должна быть информация о ключевом поле, длине одной записи, числе записей в таблице, частоте создания таблицы (в случае применения динамических или временных таблиц), длительности хранения, возможности индексирования. Набор таблиц (сущностей), ограничения атрибутов и их необходимость определяются студентом самостоятельно, исходя из задач, которые должна решать готовая БД. Ограничения на атрибуты указанных сущностей должны быть выбраны самостоятельно, исходя из семантики данных. Выбор всех сущностей и связей между ними должен быть обоснован. При определении связей необходимо обосновывать вид связи, ее мощность, обязательность. В итоге должно быть около 7 таблиц (как минимум из 3 атрибутов, не считая ключевых). Запросы к созданной БД для ввода в нее данных конструируются с помощью языка SQL различными операторами (insert … values…; load data…from…). Для иллюстрации запросов в РПЗ желательно вставить либо скриншоты (СУБД Access), либо код (MySQL) и соответствующие пояснения. Запросы к БД должны реализовывать: ввод данных различными операторами (3 запроса); выборку данных из таблиц в указанном порядке (3 запроса); вывод результатов, исключая дубликаты (2 запроса); использование в запросах констант и выражений (4 запроса); использование группировки и упорядочивания (2 запроса); использование агрегатных функций, функций даты, строковых функций (5 запросов). С помощью форм в БД осуществляется разграничение доступа. Каждый сотрудник имеет доступ только к тем формам, которые ему необходимы, и для которых у него есть пароль. Для данного раздела необходимо создать формы ввода информации с реализованным разграничением доступа, например, форму «Должности», в которой начальник может заниматься кадровой структурой отдела, или форму «Лицензии» с информацией о существующих лицензиях предприятия и возможностью их редактирования, добавления и удаления. Количество форм должно быть таким, чтобы с их помощью могла полностью контролироваться работа отдела. Отчеты необходимы для вывода результатов запросов в бумажном виде. Отчет представляет информационную сводку по информации, содержащейся в формах. Для того чтобы сотрудники организации, независимые подрядчики и другие пользователи использовали ресурсы БД квалифицированно, эффективно и по назначению, придерживаясь норм этики и соблюдая законы, необходимо дать полную и обоснованную характеристику программным и аппаратным средствам защиты информационных ресурсов. На этом этапе проектирования целесообразно представить следующий план: 1. Защита от внутренних угроз (разработка внутренней политики безопасности, разграничение прав доступа к информации). Пример разграничения прав доступа приведен в табл. 2; 2. Защита от внешних угроз (безопасность каналов, протоколы, аутентификация, шифрование, безопасную пересылку ключей и т.д.). Таблица 2. Разграничение прав пользователей.
Состав проектируемых программных и аппаратных средств может быть оформлен в виде таблицы, содержащей следующую информацию: нормативно-правовые акты организации, стандарты (международные и отечественные); антивирусные и антишпионские средства; проактивная защита от внешних угроз и защита внешнего периметра; защита от сетевых угроз; защита от инсайдерских угроз и защита информационных ресурсов; физическая защита информации. Необходимо обязательно обосновать выбор политики безопасности, а также тех или иных программных и аппаратных средств, где должно быть отражено: Обоснование организационно-правовым методам и программно-аппаратным средствам (средства должны быть конкретные, лицензионные, с требованиями соответствующих стандартов); Обоснование различным аспектам защиты системы (как защищена база, резервное копирование, защита от хищения данных, защита от порчи данных, защита от инсайдерских угроз), уровням или сферам защиты (обоснование разрабатываемого решения на предмет уязвимостей (в том числе ошибки кода, ошибочные действия пользователя «защита от дурака»)). Для разработки политики информационной безопасности необходимо включить в нее и раскрыть содержание основных пунктов. Например, к ним могут относиться следующие: Правила и условия касаются всех пользователей компьютерных и телекоммуникационных ресурсов и служб компании, где бы эти пользователи ни находились. Нарушения этой политики влечет за собой дисциплинарные воздействия, вплоть до увольнения и/или возбуждения уголовного дела; Руководство организации имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры и информационные ресурсы предоставляются сотрудникам с целью помочь им более эффективно выполнять свою работу; Компьютерная и телекоммуникационная системы принадлежат организации и могут использоваться только в рабочих целях; Сотрудники организации не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью принадлежащих организации компьютеров и телекоммуникационных ресурсов; Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, серверы файлов, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства организации; Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности; Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на компьютерах организации. Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю; Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством организации; Пользователям не разрешается устанавливать на компьютерах и в сети организации программное обеспечение без разрешения системного администратора; Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя; Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов; Запрещается использование, без предварительного письменного разрешения, компьютерных и телекоммуникационных ресурсов и служб организации для передачи или хранения коммерческих либо личных объявлений, ходатайств, рекламных материалов, а также разрушительных программ (вирусов и/или самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования; Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все действия, которые кто-либо совершит с помощью их пароля; Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем. 5. Описание модели угроз базы данных При обработке персональных данных в локальных информационных системах, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих угроз: угрозы утечки информации по техническим каналам; угрозы несанкционированного доступа к персональным данным, обрабатываемым на автоматизированном рабочем месте. Угрозы утечки информации по техническим каналам включают в себя: угрозы утечки акустической (речевой) информации; угрозы утечки видовой информации; угрозы утечки информации по каналу ПЭМИН. Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя информационной системы, возможно при наличии функций голосового ввода персональных данных в информационную систему или функций воспроизведения персональных данных акустическими средствами информационной системы. Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы. Угрозы утечки информации по каналу ПЭМИН возможны из-за наличия электромагнитных излучений, в основном, монитора и системного блока компьютера. Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений монитора. Угрозы несанкционированного доступа (НСД) связаны с действиями нарушителей, имеющих доступ к информационной системе, включая ее пользователей, реализующих угрозы непосредственно в ней, а также нарушителей, не имеющих доступа к информационной системе, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. Угрозы НСД, связанные с действиями нарушителей, имеющих доступ к информационной системе, включают в себя: угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой; угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.); угрозы внедрения вредоносных программ. Угрозы из внешних сетей включают в себя: угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации; SQL-инъекции; угрозы сканирования, направленные на выявление типа операционной системы информационной системы, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.; угрозы выявления паролей; угрозы получения несанкционированного доступа путем подмены доверенного объекта; угрозы типа «Отказ в обслуживании»; угрозы удаленного запуска приложений; угрозы внедрения по сети вредоносных программ. 6. Тематика курсовых работ Тема курсовой работы выбирается и формулируется студентом, а затем утверждается руководителем. Желательно, чтобы тематика курсовой работы предполагала разработку системы баз данных для организаций (отделов, предприятий, компаний и т.п.), связанных с информационной безопасностью. Ниже приведены варианты тем курсовых работ и пояснения к ним. Вариант 1. Информационная система «Компьютер» Ваша организация занимается сборкой и продажей компьютеров. У Вас имеются несколько сборочных цехов и несколько филиалов по приему заказов и продаже готовых изделий. Вы продаете как готовые модели по образцам, так и компьютеры индивидуальной сборки. Изделия поставляются заказчику в основном прямо из сборочных цехов. Однако несколько типовых моделей имеются в каждом филиале по приему заказов. Между филиалами и цехами установлена телекоммуникационная связь. Ваша информационная система предназначена для оформления заказов на изготовление индивидуальных моделей и учет продажи готовых деталей. Вы не имеете права принимать заказ, не обеспеченный имеющимися деталями на складе (в цеху). У Вас должен вестись учет произведенных работ; за конкретные компьютеры отвечают цехи, в которых была произведена сборка и настройка компьютера. Для постоянных клиентов в Вашей организации предусмотрены скидки. Вариант 2. Информационная система «Провайдер Интернет» Ваша фирма занимается предоставлением провайдерских услуг в рамках сети Интернет. Она обслуживает клиентов с подключением через модем как на общий телефонный канал, также и через выделенную линию. В рамках обслуживания возможно ведение рекламы в Интернет. Вариант 3. Информационная система «Типография» Ваша фирма занимается издательством. В ее владении имеется типография и ряд периодических изданий. В периодических изданиях имеются возможности размещения рекламы. В типографии издаются, кроме книг и журналов, малотиражные издания типа буклетов. Вариант 4. Информационная система «Программные системы» Ваша фирма занимается разработкой программных систем. Вы имеете один офис, но большинство Ваших разработчиков работают дома, сдавая в определенные сроки свою работу ответственному разработчику - сотруднику фирмы. Вам необходимо планировать как разработку, так внедрение и обслуживание разработанных ранее систем. Вариант 5. Информационная система «Апгрейд ПК» Ваша фирма занимается ремонтом и upgrade (апгрейд) персональных компьютеров. У вас есть один стационарный цех и несколько приемных пунктов. В приемных пунктах работают, кроме приемщиков, дежурные мастера, которые могут выполнять срочный ремонт. Вы принимаете заказы, которые выполняются у Вас в фирме стационарно, или можете высылать Ваших мастеров к заказчикам для диагностики и устранения неисправностей на месте. В распоряжении фирмы имеется 2 микроавтобуса, которые могут забирать аппаратуру и доставлять заказы на место. Заказчики могут доставлять и забирать технику самостоятельно. За транспортные услуги взимается дополнительная плата. В одном из приемных пунктов приемщик дополнительно может быть одновременно транспортным диспетчером. Вариант 6. Информационная система «Транспортная компания» Вы проектируете информационную систему для транспортной компании, которая занимается перевозками грузов внутри страны и имеет контакты с зарубежными компаниями, осуществляющими перевозки за рубежом. Одной из основных задач, решаемых вашей системой, является составление расписания движения автотранспорта. Вариант 7. Информационная система «Международный автобус» Ваша фирма занимается продажей билетов на междугородние автобусы, которые отходят с разных автовокзалов и имеют различные маршруты. Ваша фирма имеет несколько филиалов по продаже билетов, часть из них расположена прямо на автовокзалах, а часть - в других районах города. Вы продаете билеты не только на текущие рейсы, но и заранее. У Вас существует возможность возврата билетов. Вариант 8. Информационная система «Автомастерская» Ваша фирма занимается ремонтом автомобилей. Вы предоставляете несколько видов услуг. В Ваши задачи входит контроль поставки запчастей и ремонтных материалов. А также необходимо учитывать КТУ (коэффициент трудового участия) каждого работника в каждом заказе для расчета заработной платы. Постоянным клиентам предоставляется скидка. Вариант 9. Информационная система «Обеспечение учебного процесса» Задано расписание занятий групп, в котором указаны следующие параметры: день недели (занятия в субботу не проводятся); номер пары (занятия только для дневных факультетов, ограничить допустимый номер пары); фамилия преподавателя (выбирается из специальной таблицы, содержащей список преподавателей с указанием их должностей и ученых степеней); название дисциплины (выбирается из таблицы дисциплин на семестр); тип занятий (выбирается из допустимого списка типов занятий: лекция, лабораторные работы, упражнения, курсовой проект); номер группы (выбирается из списка групп, который хранится в отдельной таблице). По каждой дисциплине определено количество лабораторных работ, которое требуется выполнить в данном семестре, количество домашних заданий по упражнениям и наличие курсового проекта. В расписании на одной и той же паре в один и тот же день недели у одной группы не может быть нескольких различных занятий. В расписание занятий должны быть внесены все запланированные занятия на данный семестр для всех групп. Для каждого студента ведется электронный журнал, в котором занесены данные о сдаче студентом всех лабораторных, домашних заданий и курсовых проектов. При планировании домашних заданий отводить на каждое задание две календарные недели. Вариант 10. Информационная система «Железнодорожная станция» Необходимо разработать информационную систему, обслуживающую пассажиров и реализующую возможность продажи и получения информации о тех или иных составах. Система не привязана к конкретной станции, с любой станции можно купить билет на любой состав, как следующий через эту станцию, так и не следующий, но внесённый в систему. Система предусматривает возможность покупки билета на одно и то же место, если пассажир следует с промежуточной станции, а не со станции отправления состава или до промежуточной станции. Продажа билетов осуществляется от текущей даты и на 30 дней вперёд, для чего имеется таблица «Даты отправления составов». В системе ведётся картотека купленных билетов. По прохождении времени прибытия состава на станцию назначения билеты, проданные на этот состав, удаляются из картотеки. Также удаляется и состав из таблицы «Даты отправления составов». На каждый билет в картотеку заносятся следующие сведения: ФИО пассажира; Номер состава; Номер вагона; Номер места; Дата отправления состава со станции следования; Станция следования пассажира – станция посадки; Станция назначения пассажира – конечная станция для пассажира; Дата отправления пассажира; Тип вагона (плацкартный, купейный или сидячий); Время отправления пассажира; Время следования пассажира; Время прибытия пассажира; Цена билета. Каждому билету присваивается уникальный номер, так как на одно место может быть продано несколько билетов для пассажиров, следующих через непересекающиеся станции. Как только покупается билет, место, указанное в билете, вносится в список занятых мест на всём протяжении станций от станции следования пассажира до станции назначения. Соответственно с прибытием состава на место назначения удаляются все занятые места, связанные с этим составом. Каждое занятое место характеризуется следующими параметрами: Номером билета; Названием станции; Номером состава; Номером вагона; Номером места; Датой отправления состава со станции следования. Каждому составу соответствует уникальный номер, а также следующие параметры: Промежуточные станции следования состава; Конечная станция состава; Время отправления состава; Время следования состава; Время прибытия состава; Дни недели, по которым отправляются составы. Для обеспечения целостности системы имеется таблица «Станции», в которой перечислены названия всех станций следования составов. Названия станций являются уникальными. Предусмотрены следующие ограничения на информацию в системе: В плацкартном вагоне 54 мест. В купейном и сидячем – соответственно 36 и 68; Время прибытия и отправления пассажира, а также тип вагона в билете должны строго соответствовать реальному времени и типу вагона состава, на который продан билет. Цена билета высчитывается как сумма цен билетов между всеми станциями следования; Через одну станцию может проходить несколько составов, и каждый состав, естественно, проходит за время следования несколько станций; На одно и то же место может быть куплено несколько билетов, если станции следования пассажиров, купивших эти билеты, не пересекаются; За один день может отправиться только один состав с одинаковым номером; Билеты продаются от текущей даты и до 30 дней вперёд. Вариант 11. Информационная система «Отдел кадров» Вам необходимо спроектировать информационную систему, отражающую информацию о сотрудниках вашей компании, такую, как фамилия, имя, отчество, домашний адрес, телефон, дата рождения, должность, дата зачисления, стаж работы, образование, ИНН, номер пенсионного свидетельства. Информационная система также может содержать следующую информацию: фамилию, имя, отчество и даты рождения членов семьи каждого сотрудника, оклад; наименование подразделения, количество штатных единиц, фонд заработной платы за месяц и за год. Вариант 12. Информационная система «Сервисный центр» Ваша фирма занимается гарантийным и платным ремонтом бытовой техники. Ведется база по оказанным услугам – дата обращения, вид техники, серийный номер, время нахождения техники в ремонте, стоимость (в случае платного ремонта), контактные данные клиента, мастер, обслуживающий заказ. С помощью разработанной БД необходимо также рассчитывать премию работникам от суммы выполненных заказов. Вариант 13. Информационная система «Поликлиника» Вам необходимо построить информационно-справочную систему для поликлиники. В поликлинике работают участковые врачи и специалисты. Расписание работы врачей стабильно и задано на неделю. В расписании указаны часы приема и кабинет. В одном кабинете могут работать разные врачи, но только в разное время. В поликлинике существуют специальные процедурные кабинеты, где заранее расписано допустимое расписание проведения процедур, в эти кабинеты пациенты должны направляться или записываться самостоятельно. В поликлинике ведется учет предоставленных услуг, каждый пациент имеет право на некоторое число бесплатных услуг, если он имеет медицинскую страховку. При превышении лимита услуги могут предоставляться за плату. Вариант 14. Информационная система «Туристическая компания» Ваша фирма занимается организацией туристского обслуживания. У Вас имеется несколько постоянных маршрутов, для которых комплектуются туристские группы. Заранее известны сроки каждого маршрута. Однако при наборе группы ниже некоторого количества человек Ваша деятельность становится нерентабельной. Ваши клиенты после заказа и оплаты маршрута имеют право от него отказаться, но при этом теряют некоторую страховую сумму. Вариант 15. Информационная система «Рекламная компания» Ваша фирма занимается предоставлением рекламных услуг. Вы имеете несколько договоров с транспортными агентствами, с метро и с муниципальными органами по установке рекламы на транспорте и на улицах города. У вашей фирмы заключен ряд договоров на эфирное время на радио и на телевидении. В фирме работают несколько агентств, расположенных в разных городах. В каждом городе, кроме стационарного приемного пункта, работает ряд рекламных агентов, которые имеют права от имени агентства заключать договоры на предоставление рекламных услуг. В фирме работают дизайнеры, которые непосредственно формируют внешний вид рекламы. Вариант 16. Информационная система «Организация спортивного мероприятия» Предметной областью проектируемой информационной системы является организация и проведение соревнований. БД ориентирована на проведение индивидуальных соревнований, например по легкой и тяжелой атлетике, лыжному спорту, плаванию и т.д. Оргкомитет соревнований выполняет следующие функции: организацию расселения спортсменов; выбор объектов, на которых будут проводиться соревнования; выбор даты и времени проведения соревнований по каждой конкретной дисциплине; организацию судейства соревнований; присуждение разряда спортсменам; подведение итогов соревнований. Каждая команда (страна, регион, клуб) выставляет на соревнования некоторое количество спортсменов. Каждому спортсмену выдается определенный порядковый номер, который является его идентификатором на всем протяжении соревнований. Каждый спортсмен занимает на соревнованиях определенное место, при этом возможна ситуация, при которой несколько спортсменов занимают одно и то же место. Спортсмены могут выступать в одной или нескольких дисциплинах. При этом БД должна содержать информацию о расписании соревнований, т.е. дату и время старта каждой из дисциплин, а также место её проведения. Каждое соревнование обслуживается одним или несколькими арбитрами. Для организаторов также важно организовать систему расселения спортсменов, т.е. БД должна содержать место проживания и номер телефона для связи со спортсменом. По итогам соревнований определяется общекомандное место, в зависимости от количества медалей, завоеванных командами. Вариант 17. Информационная система «Интернет магазин» Информационная система предполагает организацию виртуальных витрин различных категорий товаров, просмотр их различных характеристик, формирование корзины покупателя, организацию доставки выбранных товаров, автоматическое формирование счета на основании содержимого корзины покупателя, также возможность оплаты товаров web-money. После выбора необходимых товаров покупатель может отказаться от некоторых из них или отложить покупку. Вариант 18. Информационная система «АФИША» Информационная система содержит сведения о репертуаре различных театров, месте и времени проведения; названия спектаклей, имена актеров. Необходимо предусмотреть возможность предварительного заказа билетов. Вариант 19. Информационная система «Гостиница» Информационная система должна отражать текущее предложение гостиничных номеров различных категорий. Необходимо предусмотреть возможность бронирования номеров за 30 дней и возможность дополнительного сервиса (питания, наличия холодильника, телевизора) в номерах различных категорий. При размещении групп необходимо предусмотреть скидки. Вариант 20. Информационная система «Меломан» Необходимо разработать БД, которая автоматизировала бы процесс поиска компакт-дисков, кассет в музыкальной коллекции. Главная задача БД «Меломан» - отслеживание компакт-дисков, кассет и предоставление пользователю возможности нахождения дисков по исполнителю, названию песни, а также ввод и удаление старых записей. Пользователь может найти интересующую его информацию, вводя имя исполнителя, название песни или альбом. 7. Типичные ошибки, допускаемые при оформлении курсовой работы Проверьте оформление титульного листа, обычно не указаны дисциплина, тема курсовой и т.д.; Лист содержания не нумеруется. Вместо слова «Содержание» не надо указывать «Оглавление» и т.п.; Введение – это минимум 4-ая страница (титульный, лист технического задания, содержание, введение). Проверьте нумерацию; Все пункты/подпункты по тексту пояснительной записки отражайте в содержании. Если у вас это просто подзаголовок, то не надо размещать его по центру строки и делать отступ от остального текста. Можно выделить шрифтом, но размещать у левого края страницы. Слово «Глава» в названии пункта писать не надо; Проверьте оформление таблиц и рисунков. Все что выглядит, как таблица или рисунок ДОЛЖНО быть оформлено соответствующим образом (нумерация, название, шапка, перенос таблицы на др. страницу и т.п.); Старайтесь придерживаться задания на курсовую работу: прочитайте его еще раз внимательно, каждый ли пункт задания освещен в курсовой работе; Список литературы НЕ ДОЛЖЕН содержать всего 1-2 источника. Указывайте всю литературу, использованную при написании курсовой работы; Заключение в работе должно быть. В заключении обязательно отражать РЕЗУЛЬТАТЫ работы. ЗаключениеВыполнение курсовой работы является заключительным этапом изучения дисциплины «Безопасность систем баз данных». Данный этап способствует приобретению и развитию практических навыков по созданию БД с помощью современных СУБД и обеспечению безопасности данных. Результаты выполненной работы позволяют оценить сформированные компетенции для решения практических профессиональных задач. Более того, защита информационных ресурсов – это основная профессиональная задача специалиста в области информационной безопасности. Поэтому выполнение курсовой работы по дисциплине «Безопасность систем баз данных» играет важную роль в образовательной программе и способствует подготовке студента к изучению специальных дисциплин по разработке и эксплуатации конкретных автоматизированных систем. Рекомендуемая литератураБазы данных / под ред. проф. А.Д. Хомоненко. – М.: КОРОНА-Век, 2011. Баранчиков А.И., Баранчиков П.А., Пылькин А.Н. Алгоритмы и модели ограничения доступа к записям баз данных. М.: Горячая линия–Телеком, 2016. 182 с. Булдакова Т.И. Технологии разработки баз данных. Электронное учебное издание. - М.: МГТУ имени Н.Э. Баумана, 2012. - 1 CD-ROM. - ФГУП "Информрегистр" №0321203017. Булдакова Т.И. Исследование сложных систем и процессов. - М.: Изд-во МГТУ им. Н. Э. Баумана, 2016. Режим доступа: http://ebooks.bmstu.ru/catalog/117/book1598.html (дата обращения: 22.01.2017). Гольцман В. - MySQL 5.0. СПб.: Питер, 2010. – 370 с. Дейт К.Дж. Введение в системы баз данных / К.Дж. Дейт; 9-е изд. – М.: Издат. дом «Вильямс», 2005. Дюбуа П.: MySQL. М.: Издательский дом «Вильямс», 2004. 1056 с. Кузнецов С.Д. Базы данных: учебник для студ. М.: Академия, 2012. 496 с. Малыхина М.П. Базы данных: основы, проектирование, использование. – СПб.: БХВ-Петербург, 2007. Полтавцева М.А., Зегжда Д.П., Супрун А.Ф. Безопасность баз данных: учеб. пособие. СПб: Изд-во СПбПУ, 2015. 125 с. Полубояров В.В. Использование MS SQL Server 2008 Analysis Services для построения хранилищ данных. М.: Интуит, 2010 – 488 с. Поляков А.М. Безопасность Oracle глазами аудитора: нападение и защита. М.: ДМК Пресс, 2014. 336 с. Смирнов С.Н. Безопасность систем баз данных. М.: Гелиос АРВ, 2007. 352 с. Цирлов В.Л. Основы информационной безопасности автоматизированных систем — М.: Феникс, 2006. 256 с. Черемных С.В., Семенов И.О., Ручкин В.С. Моделирование и анализ систем. IDEF-технологии: практикум. – М.: Финансы и статистика, 2006. Burtescu E. Database security – attacks and control methods. Journal of Applied Quantitative Methods, 2009, vol. 4, no. 4, pp. 449–454. Database Security Technical Implementation Guide (STIG). US Department of Defense. Vers. 7. Release 1. 2004. URL: https://www.computer.org/ cms/s2esc/s2esc_excom/Minutes/2005-03/DISA%20STIGs/DATABASE-STIG-V7R1.pdf (дата обращения: 26.02.2016). Lesov P. Database security: a historical perspectiv. 2010. URL: http://arxiv.org/ftp/arxiv/papers/1004/1004.4022.pdf (дата обращения: 26.02.2016). Rohilla S., Mittal P.K. Database Security: Threads and Challenges. International Journal of Advanced Research in Computer Science and Software Engineering, 2013, vol. 3, iss. 5, pp. 810–813. |