МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» Институт математики и компьютерных наук Кафедра информационной безопасности Акимова Марина Михайловна БЕЗОПАСНОСТЬ СИСТЕМ БАЗ ДАННЫХ Учебно-методический комплекс. Рабочая программа для студентов специальности 10.05.03 Информационная безопасность автоматизированных систем, специализация «Обеспечение информационной безопасности распределенных информационных систем» очной формы обучения Тюменский государственный университет 2015 1 М.М. Акимова. Безопасность систем баз данных. Учебно-методический комплекс. Рабочая программа для студентов специальности 10.05.03 Информационная безопасность автоматизированных систем, специализация «Обеспечение информационной безопасности распределенных информационных систем» очной формы обучения. Тюмень, 2015, 31 стр. Рабочая программа составлена в соответствии с требованиями ФГОС ВПО с учетом рекомендаций и ПрОП ВПО по специальности. Рабочая программа дисциплины опубликована на сайте ТюмГУ: Безопасность систем баз данных [электронный ресурс] / Режим доступа: http://www.umk3.utmn.ru, свободный. Рекомендовано к изданию кафедрой информационной безопасности. Утверждено директором института математики и компьютерных наук Тюменского государственного университета. ОТВЕТСТВЕННЫЙ РЕДАКТОР: А.А. Захаров, д-р техн. наук, проф., заведующий кафедрой информационной безопасности ТюмГУ. © Тюменский государственный университет, 2015. © Акимова М.М., 2015. 2 1. 1.1. Пояснительная записка Цели и задачи дисциплины Целью дисциплины «Безопасность систем баз данных» является формирование у студентов совокупности профессиональных качеств, обеспечивающих решение проблем, связанных с использованием и проектированием баз данных под управлением современных систем управления базами данных (СУБД), а также связанных с обеспечением безопасности информации в автоматизированных информационных системах (АИС), основу которых составляют базы данных (БД), навыкам работы со встроенными в системы управления базами данных (СУБД) средствами защиты. В результате изучения курса студент должен иметь представления о системе управления базами данных как об одной из основных составляющих эффективных систем автоматизированной обработки информации. Студент должен знать характеристики и типы систем баз данных, области применения систем управления базами данных, этапы проектирования баз данных, физическую организацию баз данных, средства поддержания целостности в базах данных, особенности управления данными в системах распределенной обработки, порядок эксплуатации баз данных. Знания, умения и практические навыки, полученные в результате изучения дисциплины «Безопасность систем баз данных», используются студентами при разработке курсовых и дипломных работ. Задачи дисциплины: обучить студентов принципам работы современных систем управления базами данных; привить студентам навыки проектирования и реализации баз данных; приобретение системного подхода к проблеме защиты информации в СУБД; изучение моделей и механизмов защиты в СУБД; приобретение практических навыков организации защиты БД. обучить студентов проводить обоснование и выбор рационального решения по защите систем управления баз данных с учетом заданных требований; обучить студентов формализовать поставленную задачу по обеспечению защиты БД; обучить студентов применять нормативные правовые акты и нормативные методические документы в области обеспечения информационной безопасности; привить студентам навыки разработки нормативных и организационнораспорядительных документов, регламентирующих работу по защите информации в СУБД; 1.2.Место дисциплины в структуре образовательной программы Дисциплина «Безопасность систем баз данных» относится к базовой части профессионального цикла. Для успешного усвоения данной дисциплины необходимо, чтобы студент владел знаниями, умениями и навыками, сформированными в процессе изучения дисциплин: «Информатика» – работа с программными средствами общего назначения; «Дискретная математика» - основные понятия и методы дискретной математики: множества, отношения и функции; 3 «Математическая логика и теория алгоритмов» - основные понятия математической логики и теории алгоритмов; «Языки программирования» – знание одного из языков программирования высокого уровня; «Операционные системы» – работа с операционными системами; «История криптографии» – знание основных принципов построения криптографических алгоритмов; знание основных криптографических протоколов; «Гуманитарные аспекты информационной безопасности» – знание формальных моделей безопасности; политик безопасности; знание стандартов по оценке защищенных систем; умение исследования корректности систем защиты; владеть методологией обследования и проектирования защиты. Дисциплина «Безопасность систем баз данных» обеспечивает изучение следующих дисциплин: Таблица 1 Разделы дисциплины и междисциплинарные связи с обеспечиваемыми (последующими) дисциплинами Темы дисциплины необходимые для изучения обеспечиваемых (последующих) дисциплин № Наименование обеспечиваемых Семестр 4 Семестр 5 п/п (последующих) дисциплин Модуль Модуль Мо Модуль Модуль Модуль 1 3 4 5 6 7 8 9 10 11 12 13 Техническая защита информации Организационное и правовое обеспечение информационной безопасности Разработка и эксплуатация защищенных автоматизированных систем Программно-аппаратные средства обеспечения информационной безопасности Управление информационной безопасностью Защита персональных данных Защита программ и данных Информационные технологии Современные информационные системы Технологии разработки защищенного документооборота Построение информационных приложений на базе промышленных СУБД 2 дул ь3 1 2 3 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 9 + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + 4 1.3. Компетенции обучающегося, формируемые в результате освоения данной образовательной программы. В результате компетенциями: освоения ОП выпускник должен обладать следующими профессиональными (ПК): способностью разрабатывать модели угроз и модели нарушителя информационной безопасности автоматизированной системы (ПК-13); способностью проводить анализ, предлагать и обосновывать выбор решений по обеспечению требуемого уровня эффективности применения автоматизированных систем (ПК-15); способностью проводить контрольные проверки работоспособности и эффективности применяемых программно-аппаратных, криптографических и технических средств защиты информации (ПК-23); способностью участвовать в формировании политики информационной безопасности организации и контролировать эффективность ее реализации (ПК33); способностью обеспечить восстановление работоспособности систем защиты информации при возникновении нештатных ситуаций (ПК-40). профессионально-специализированными компетенции (ПСК): способностью проводить удаленное администрирование систем баз данных в распределенных информационных системах (ПСК-7.7); 1.4. Перечень планируемых результатов обучения по дисциплине (модулю): знать: характеристики и типы систем баз данных; области применения систем управления базами данных; этапы проектирования баз данных; физическую организацию баз данных; средства поддержания целостности в базах данных; особенности управления данными в системах распределенной обработки; порядок эксплуатации баз данных; физическую организацию баз данных и принципы (основы) их защиты; источники и классификацию угроз информационной безопасности систем управления базами данных; основные угрозы безопасности информации и модели нарушителя в автоматизированных системах; методы, способы и средства обеспечения отказоустойчивости автоматизированных систем; требования к архитектуре информационных систем и их компонентам для обеспечения безопасности функционирования; уметь: выделять сущности и связи предметной области; отображать предметную область на конкретную модель данных; нормализовать отношения при проектировании реляционной базы данных; 5 разрабатывать программы на высокоуровневых языках программирования; формализовать поставленную задачу по обеспечению защиты БД; организовывать удаленный доступ к базам данных; использовать средства защиты, предоставляемые системами управления базами данных; проводить анализ рисков и осуществлять комплексный подход к обеспечению информационной безопасности; классифицировать и оценивать угрозы информационной безопасности систем управления базами данных; разрабатывать предложения по совершенствованию системы управления информационной безопасностью автоматизированных систем; восстанавливать работоспособность подсистемы информационной безопасности автоматизированных систем в нештатных ситуациях; владеть: методами и средствами выявления угроз безопасности в автоматизированных системах; методами моделирования безопасности автоматизированных систем, в том числе, моделирования управления доступом и информационными потоками в автоматизированных системах; методиками использования средств защиты, предоставляемых системами управления базами данных. методами мониторинга и аудита, выявления угроз информационной безопасности автоматизированных систем; навыками разработки модели нарушителя информационной безопасности автоматизированных систем на базе СУБД; навыками обоснования критериев эффективности функционирования защищенных автоматизированных информационных систем; навыками анализа решений по обеспечению эффективности применения автоматизированных систем; навыками контроля эффективности реализации политики информационной безопасности в системах управления базами данных; навыками поддержания работоспособности, обнаружения и устранения неисправностей в работе электронных аппаратных средств автоматизированных систем; навыками проводить удаленное администрирование систем баз данных в распределенных информационных системах 6 2. Структура и трудоемкость дисциплины. Таблица 2. Вид учебной работы Контактная работа: Аудиторные занятия (всего) В том числе: Лекции Практические занятия (ПЗ) Семинары (С) Лабораторные занятия (ЛЗ) Иные виды работ: Самостоятельная работа (всего): Общая трудоемкость зач. ед. час Вид промежуточной аттестации (зачет, экзамен) Всего часов 160,4 148 74 74 12,4 163,6 9 324 Семестры 4 80,75 76 38 5 79,65 72 36 38 4,75 99,25 4 180 экзамен 36 7,65 64,35 5 144 экзамен 3. Тематический план Таблица 3. 2 3 4 5 Основы построения реляционных БД. Физическая организация баз Из них в интерактивной форме Итого количество баллов История развития, назначение и роль баз данных. Этапы развития информационных систем Общие принципы построения БД. Модели данных Нормализация базы данных Всего*: Итого часов по теме 1 3 4 Семестр 1 Модуль 1 Самостоятельн ая работа 2 Лабораторные занятия 1 Лекции Тема недели семестра № Виды учебной работы и самостоятельная работа, в час. 5 6 7 8 9 1 2 2 2 6 0,5 0-10 2-4 4 4 12 20 0,5 0-10 6 12 Модуль 2 6 12 18 32 30 56 0,5 1,5 0-15 0-35 8-10 6 6 16 28 0,5 0-10 11-13 6 6 18 30 0,5 0-15 5-7 7 6 7 8 данных Языковые средства СУБД для различных моделей данных. Язык SQL Всего*: Планирование, проектирование и администрирование БД Технология и модели архитектуры клиент/сервер Всего*: Итого (часов, баллов) за семестр*: 13-15 6 6 18 30 0,5 0-20 18 Модуль 3 18 52 88 1,5 0-45 16-17 4 4 10 18 1 0-15 18-19 4 4 10 18 1 0-15 8 8 20 36 2 0-30 38 38 104 180 5 0-100 2 2 4 8 0,5 0-5 2 4 8 Модуль 2 2 4 8 4 8 16 8 16 32 0,5 0,5 1,5 0-5 0-10 0-20 5-6 4 4 8 16 0,5 0-10 7-9 6 6 12 24 0,5 0-20 10-13 8 8 16 32 0,5 0-20 18 Модуль 3 18 36 72 1,5 0-50 Семестр 5 Модуль 1 1 2 3 4 5 6 7 8 9 Безопасность БД, угрозы, защита Критерии защищенности БД Модели безопасности в СУБД Всего*: Средства идентификации и аутентификации Средства управления доступом Целостность БД и способы ее обеспечения Всего*: Классификация угроз конфиденциальности СУБД Аудит и подотчетность Транзакции и блокировки Всего*: Итого (часов, баллов) за семестр*: Итого по курсу Из них в интерактивной форме 1 2 3-4 14-15 4 4 8 16 0,5 0-5 16-17 18 4 2 10 4 2 10 8 4 20 16 8 40 0,5 1 2 0-10 0-15 0-30 36 36 72 144 5 0-100 74 74 176 324 0-200 10 *- с учетом иных видов работы 8 4. Виды и формы оценочных средств в период текущего контроля Таблица 4. Виды и формы оценочных средств в период текущего контроля № темы Выполнение задания по лабораторной работе Защита лабораторной работы Ответы на дополнительны е вопросы Итого 1. 2. 3. Всего: 0-6 0-6 0-10 Семестр 4 Модуль 1 0-2 0-2 0-3 4. 5. 6. Всего: 0-6 0-10 0-12 Модуль 2 0-2 0-3 0-5 0-2 0-2 0-3 0-10 0-15 0-20 0-45 Модуль 3 0-3 0-3 0-2 0-2 0-15 0-15 0-30 0-100 0-1 0-1 0-2 0-5 0-5 0-10 0-20 7. 0-10 8. 0-10 Всего: Итого за семестр: 0-2 0-2 0-2 0-10 0-10 0-15 0-35 1. 2. 3. Всего: 0-2 0-2 0-6 Семестр 5 Модуль 1 0-2 0-2 0-2 4. 5. 6. Всего: 0-6 0-12 0-12 Модуль 2 0-2 0-5 0-5 0-2 0-3 0-3 0-10 0-20 0-20 50 Модуль 3 0-2 0-2 0-5 0-1 0-2 0-2 0-5 0-10 0-15 0-30 0-100 0-200 7. 0-2 8. 0-6 9. 0-8 Всего: Итого за семестр: Итого по курсу: 9 5. Содержание дисциплины. СЕМЕСТР 4 МОДУЛЬ 1. Тема 1. История развития, назначение и роль баз данных. Этапы развития информационных систем Информация и данные. Базы данных и файловые системы. Функции и состав СУБД. Ранние подходы к организации БД. Понятие базы данных. Файловые системы и системы с базами данных. Компоненты СУБД. Распределение обязанностей в системах с базами данных. Администраторы данных и баз данных, разработчики баз данных, прикладные программисты, пользователи. Классификация задач, решаемых с использованием СУБД. Тема 2. Общие принципы построения БД. Модели данных Общая характеристика, назначение и возможности, классификация, состав и архитектура СУБД. Информационное, лингвистическое, математическое, аппаратное, организационное, правовое обеспечения СУБД. Отображение предметной области. Сущности и связи. Методы абстрагирования данных. Иерархическая, сетевая, реляционная модели данных. Трехуровневая архитектура ANSI-SPARC. Внешний уровень. Концептуальный уровень. Внутренний уровень. Тема 3. Нормализация базы данных Аномалии при эксплуатации баз данных. Нормальные формы БД. Денормализация. МОДУЛЬ 2. Тема 4. Основы построения реляционных БД История реляционной модели. Реляционная модель. Терминология. Структура реляционных данных. Реляционные ключи. Реляционная целостность. Реляционная алгебра. Реляционное исчисление. Представления. Тема 5. Физическая организация баз данных Структуры данных и базы данных. Способы хранения информации в базах данных. Способы повышения эффективности обработки данных за счет их организации. Тема 6. Языковые средства СУБД для различных моделей данных. Язык SQL Языковые средства манипулирования данными в реляционных СУБД. Язык SQL. Оператор SELECT. Запросы с использованием данных одной таблицы. Реализация операций селекции и проекции. Вычисляемые поля, именование столбцов. Сортировка и группировка результатов запроса. Агрегатные функции. Операции соединения: внутреннее соединение, внешние соединения. Подзапросы. Использование предикатов в подзапросах. МОДУЛЬ 3. 10 Тема 7. Планирование, проектирование и администрирование БД Жизненный цикл приложения баз данных. Этапы жизненного цикла приложения БД. Обзор процедуры проектирования БД. Проектирование приложений. Выбор СУБД. Особенности средств управления в реализациях реляционных СУБД. Администрирование. Тема 8. Технология и модели архитектуры клиент/сервер Серверы баз данных. Достоинства и недостатки моделей архитектуры клиент/сервер и их влияние на функционирование сетевых СУБД. Использование средств прямого ввода-вывода, управления памятью, поддержания целостности, защиты от сбоев. Технология оперативной обработки транзакции (ОLТР–технология). Поддержка Internetтехнологий. Оценка эффективности и адаптации функционирования сервера баз данных. Проблемы оптимизации доступа к базе данных. Перспективы развития СУБД. СЕМЕСТР 5 МОДУЛЬ 1. Тема 1. Безопасность БД, угрозы, защита Понятие безопасности БД. Угрозы безопасности БД: общие и специфичные. Требования безопасности БД. История развития, назначение и роль баз данных. Модели данных. Математические основы построения реляционных СУБД. Тема 2. Критерии защищенности БД Критерии оценки надежных компьютерных систем (TCSEC). Понятие политики безопасности. Совместное применение различных политик безопасности в рамках единой модели. Интерпретация TCSEC для надежных СУБД (TDI). Оценка надежности СУБД как компоненты вычислительной системы. Тема 3. Модели безопасности в СУБД Дискреционная (избирательная) и мандатная (полномочная) модели безопасности. Классификация моделей. Аспекты исследования моделей безопасности. Особенности применения моделей безопасности в СУБД. МОДУЛЬ 2. Тема 4. Средства идентификации и аутентификации Общие сведения. Совместное применение средств идентификации и аутентификации, встроенных в СУБД и в ОС. Тема 5. Средства управления доступом Основные понятия: субъекты и объекты, группы пользователей, привилегии, роли и представления. Виды привилегий: привилегии безопасности и доступа. Использование ролей и привилегий пользователей. Соотношение прав доступа, определяемых ОС и СУБД. Использование представлений для обеспечения конфиденциальности информации в СУБД. Средства реализации мандатной политики безопасности в СУБД. Тема 6. Целостность БД и способы ее обеспечения Основные виды и причины возникновения угроз целостности. Способы противодействия. Цели использования триггеров. Способы задания, моменты выполнения. 11 Декларативная и процедурная ссылочные целостности. Внешний ключ. Способы поддержания ссылочной целостности. МОДУЛЬ 3. Тема 7. Классификация угроз конфиденциальности СУБД Причины, виды, основные методы нарушения конфиденциальности. Типы утечки конфиденциальной информации из СУБД, частичное разглашение. Получение несанкционированного доступа к конфиденциальной информации путем логических выводов. Методы противодействия. Особенности применения криптографических методов. Тема 8. Аудит и подотчетность Подотчетность действий пользователя и аудит связанных с безопасностью событий. Регистрация действий пользователя. Управление набором регистрируемых событий. Анализ регистрационной информации. Тема 9. Транзакции и блокировки. Транзакции как средство изолированности пользователей. Сериализация транзакций. Методы сериализации транзакций. Режимы блокировок. Правила согласования блокировок. Двухфазный протокол синхронизационных блокировок. Тупиковые ситуации, их распознавание и разрушение. 6. Планы семинарских занятий. Не предусмотрены 7. Темы лабораторных работ (Лабораторный практикум). СЕМЕСТР 4 Тема 1. История развития, назначение и роль баз данных. Этапы развития информационных систем Проектирование и создание файловой СУБД. Тема 2. Общие принципы построения БД. Модели данных Построение реляционной БД. ER-модели данных. Построение даталогической Тема 3. Нормализация базы данных Операции реляционной алгебры. Нормализация отношений. Тема 4. Основы построения реляционных БД Работа в СУБД InterBase/FireBird. 12 модели Тема 5. Физическая организация баз данных Создание физической модели данных. Тема 6. Языковые средства СУБД для различных моделей данных. Язык SQL Составление запросов на языке SQL. Тема 7. Планирование, проектирование и администрирование БД Планирование, проектирование и администрирование базы данных в СУБД MS SQL Server. Тема 8. Технология и модели архитектуры клиент/сервер Организация многопользовательского режима работы с созданной базой данных. Разработка информационной системы. СЕМЕСТР 5 Тема 1. Основы построения и эксплуатации баз данных. Построение реляционных СУБД. Эксплуатация баз данных. Автоматизированное проектирование баз данных. Тема 2. Безопасность БД, угрозы, защита Угрозы безопасности БД: общие и специфичные. Требования безопасности БД. История развития, назначение и роль баз данных. Модели данных. Математические основы построения реляционных СУБД. Тема 3. Модели безопасности в СУБД Дискреционная (избирательная) и мандатная (полномочная) модели безопасности. Классификация моделей. Исследование моделей безопасности. Применение моделей безопасности в СУБД. Тема 4. Средства идентификации и аутентификации Применение средств идентификации и аутентификации, встроенных в СУБД и в ОС. Тема 5. Средства управления доступом Использование ролей и привилегий пользователей. Использование представлений для обеспечения конфиденциальности информации в СУБД. Использование средств реализации политик безопасности в СУБД. Тема 6. Целостность БД и способы ее обеспечения Способы обеспечения целостности БД. Использование триггеров. Применение декларативной и процедурной ссылочные целостности. Способы поддержания ссылочной целостности. 13 Тема 7. Классификация угроз конфиденциальности СУБД Получение несанкционированного доступа к конфиденциальной информации путем логических выводов. Методы противодействия. Применение криптографических методов. Тема 8. Аудит и подотчетность Подотчетность действий пользователя и аудит связанных с безопасностью событий. Регистрация действий пользователя. Управление набором регистрируемых событий. Анализ регистрационной информации. Тема 9. Транзакции и блокировки. Применение транзакций как средства изолированности пользователей. Режимы блокировок. Правила согласования блокировок. Двухфазный протокол синхронизационных блокировок. Тупиковые ситуации, их распознавание и разрушение. 8. Примерная тематика курсовых работ. Тематика курсовых работ ориентирована на: систематизацию и закрепление полученных теоретических знаний и практических умений; углубление теоретических знаний в соответствии с заданной темой; формирования умений применять теоретические знания при решении поставленных вопросов; развития творческой инициативы, самостоятельности, ответственности и организованности. Помимо тем из нижеприведенного списка по желанию студента и по согласованию с преподавателем может быть избрана иная тема, соответствующая вышеприведенному критерию. Примерные темы курсовых работ 1. Наблюдение и настройка производительности в MS SQL Server; 2. Контрольные точки базы данных в MS SQL Server; 3. Массовый импорт и экспорт данных в MS SQL Server; 4. Выполнение массовой загрузки XML-данных в MS SQL Server; 5. Сжатие данных в MS SQL Server; 6. Руководства планов в MS SQL Server; 7. Репликация в MS SQL Server; 8. Шифрование в MS SQL Server; 9. Сертификаты в MS SQL Server и асимметричные ключи; 10. Зеркальное отображение базы данных в MS SQL Server; 11. Обработка ошибок в MS SQL Server; 12. Всеобъемлющее тестирование в MS SQL Server; 13. Интеграция MS SQL Server со средой CLR; 14. Применение безопасного динамического кода SQL в СУБД MS SQL Server; 15. Настройка безопасной контактной зоны в MS SQL Server; 16. Администрирование серверов MS SQL Server с помощью управления на основе политик. 14 2 3 История развития, назначение и роль баз данных. Этапы развития информационны х систем Общие принципы построения БД. Модели данных Нормализация базы данных обязательные дополнительные Семестр 4 Модуль 1 Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению лабораторной работы. Конспектирова ние материала на лекционных занятиях. Конспектирова ние материала на лекционных занятиях. Работа с учебной литературой. Подготовка к выполнению лабораторной работы. Работа с учебной литературой. Подготовка к выполнению лабораторной работы. Кол-во баллов 1 Модули и темы Объем часов № Неделя семестра 9. Учебно-методическое обеспечение и планирование самостоятельной работы студентов. Таблица5. Виды СРС 1 2 0-10 2-4 12 0-10 5-7 18 0-15 32 0-35 8-10 16 0-10 1113 18 0-15 1315 18 0-20 52 45 10 0-15 Всего по модулю 1*: 4 5 Основы построения реляционных БД. Физическая организация баз данных Языковые средства СУБД для различных моделей данных. Язык SQL Всего по модулю 2*: 6 7 Планирование, проектирование и администрирова ние БД Модуль 2 Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению лабораторной работы. Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению лабораторной работы. Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению лабораторной работы. Модуль 3 Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению лабораторной работы. 15 1617 8 Технология и модели архитектуры клиент/сервер Конспектирова ние материала на лекционных занятиях. Работа с учебной литературой. Подготовка к выполнению лабораторной работы. 1819 10 0-15 20 104 0-30 0-100 1 8 0-5 2 8 0-5 3-4 16 0-10 32 0-20 5-6 16 0-10 7-9 24 0-20 1013 32 0-20 72 0-50 1415 16 0-5 16- 16 0-10 Всего по модулю 3*: ИТОГО ЗА СЕМЕСТР*: 1 2 3 Безопасность БД, угрозы, защита Критерии защищенности БД Модели безопасности в СУБД Семестр 5 Модуль 1 Работа с учебной Конспектирова литературой. ние материала Подготовка к на лекционных выполнению занятиях. лабораторной работы Работа с учебной Конспектирова литературой. ние материала Подготовка к на лекционных выполнению занятиях. лабораторной работы. Работа с учебной Конспектирова литературой. ние материала Подготовка к на лекционных выполнению занятиях. лабораторной работы. Всего по модулю 1*: 4 5 6 Средства идентификации и аутентификации Средства управления доступом Целостность БД и способы ее обеспечения Модуль 2 Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению Подготовка лабораторной работы. курсовой работы. Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению лабораторной работы. Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению лабораторной работы. Всего по модулю 2*: 7 8 Классификация угроз конфиденциальн ости СУБД Аудит и Модуль 3 Конспектирова Работа с учебной ние материала литературой. на лекционных Подготовка к занятиях. выполнению лабораторной работы. Конспектирова Работа с учебной 16 9 подотчетность ние материала на лекционных занятиях. Транзакции и блокировки Конспектирова ние материала на лекционных занятиях. литературой. Подготовка к выполнению лабораторной работы. Работа с учебной литературой. Подготовка к выполнению лабораторной работы. Всего по модулю 3*: ИТОГО ЗА СЕМЕСТР*: *- с учетом иных видов работы 17 18 8 0-15 40 144 0-30 0-100 Текущий и промежуточный контроль освоения и усвоения материала дисциплины осуществляется в рамках рейтинговой (100-бальной) системы оценок. 17 10.Фонд оценочных средств для проведения промежуточной аттестации по итогам освоения дисциплины. 10.1 Перечень компетенций с указанием этапов их формирования в процессе освоения образовательной программы (выдержка из матрицы компетенций): Семестр ПК-13 ПК-15 ПК-23 ПК-33 ПК-40 ПСК-7.7 Дисциплина История создания технологий передачи и защиты информации Основы предпринимательской деятельности в сфере ИКТ Экономика* Безопасность систем баз данных* Операционные системы Безопасность операционных систем* Безопасность систем баз данных* Технологии и методы программирования* Безопасность операционных систем* Технологии и методы программирования* Электроника и схемотехника* Методы проектирования защищенных распределенных информационных систем* 7 Системы обнаружения компьютерных атак 7 Технологии и методы программирования* 8 Защита персональных данных 8 Информационная безопасность распределенных информационных систем* 8 Программно-аппаратные средства обеспечения информационной безопасности* 8 Технология построения защищенных распределенных приложений* 8 Управление информационной безопасностью* 9 Построение информационных приложений на базе промышленных СУБД 9 Правоведение* 9 Теория графов и ее приложения* 6 Учебная практика 8 Производственная практика 10 Производственная практика 10 Выпускная квалификационная работа 10 Итоговый междисциплинарный экзамен по специальности С6 С5 С1-С3 дисциплины 1 1 3 4 4 5 5 5 6 6 6 7 *отмечены дисциплины базового цикла. 18 + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + Знает: Знает: Знает: Знает: - методологию - основные угрозы - методологию - методологию разработки модели безопасности разработки модели разработки модели угроз и модели информации и угроз и модели угроз и модели нарушителя модели нарушителя нарушителя информационной нарушителя в информационной информационной безопасности базы автоматизированн безопасности базы безопасности базы данных; - источники ых системах; данных; данных; - источники и классификацию основные основные угрозы и классификацию угроз источники угроз безопасности угроз информационной информационной информации и информационной безопасности систем безопасности модели безопасности систем управления базами систем нарушителя в управления базами данных; - основные управления автоматизированн данных; угрозы безопасности базами данных; ых системах; Умеет: информации и Умеет: источники и - самостоятельно модели нарушителя в - выявлять риски классификацию проводить анализ автоматизированных для основных угроз рисков для системах; информационных информационной информационных Умеет: процессов безопасности процессов - проводить анализ предприятия; систем управления предприятия; рисков и Владеет: базами данных; подбирать осуществлять - основной Умеет: комплексный подход комплексный подход терминологией в - проводить анализ к обеспечению ИБ; к обеспечению области рисков для проводить информационной разработки информационных классификацию и безопасности; модели угроз и процессов оценку угроз классифицировать и модели предприятия; информационной оценивать угрозы нарушителя выявлять перечень безопасности систем информационной информационной угроз управления базами безопасности систем безопасности базы информационной данных; 19 Лабораторные работы, ответы на дополнительные вопросы Оценочные средства (тесты, творческие работы, проекты и др.) повышенный (отл.) базовый (хор.) минимальный (удовл.) ПК-13 Код компетенции Результаты обучения Критерии в соответствии с уровнем освоения ОП в целом Лабораторные занятия Виды занятий (лекции, семинарские, практические, лабораторные) 10.2 Описание показателей и критериев оценивания компетенций на различных этапах их формирования, описание шкал оценивания: Таблица 6. Карта критериев оценивания компетенций безопасности Владеет: систем управления - навыками базами данных; ; разработки модели Владеет: угроз и модели - методологией нарушителя разработки модели информационной угроз и модели безопасности базы нарушителя данных; - навыками информационной обоснования безопасности базы решения по выбору данных; модели угроз и модели нарушителя информационной безопасности базы данных; Знает: - основные информационные технологии, используемые в автоматизированн ых системах; Умеет: - анализировать программные, архитектурнотехнические и схемотехнические решения компонентов автоматизированн ых систем; Владеет: - навыками выбора решений по обеспечению эффективности применения автоматизированн ых систем; Знает: Знает: - основные - основные информационные информационные технологии, технологии, используемые в используемые в автоматизированн автоматизированных ых системах; − системах; − принципы принципы построения и построения и функционировани функционирования, я, архитектуру, архитектуру, примеры примеры реализаций реализаций современных систем современных управления базами систем управления данных; − методы, базами данных; ; способы и средства Умеет: обеспечения - анализировать отказоустойчивости программные, автоматизированных архитектурносистем; технические и Умеет: схемотехнические - анализировать решения программные, компонентов архитектурноавтоматизированн технические и ых систем; схемотехнические выявлять решения потенциальные компонентов уязвимости автоматизированных информационной систем; - выявлять безопасности потенциальные автоматизированн уязвимости ых систем; информационной 20 Лабораторные работы, ответы на дополнительные вопросы данных; Лабораторные занятия ПК-15 управления базами данных; Владеет: - методами мониторинга и аудита, выявления угроз информационной безопасности автоматизированных систем; - навыками разработки модели нарушителя информационной безопасности автоматизированных систем на базе СУБД; ; Знает: - основные информационные технологии, используемые в автоматизированных системах; − принципы построения и функционирования, архитектуру, примеры реализаций современных систем управления базами данных; − методы, способы и средства обеспечения отказоустойчивости автоматизированных систем; ; Умеет: - анализировать программные, архитектурнотехнические и схемотехнические решения компонентов автоматизированных систем; - выявлять потенциальные уязвимости информационной безопасности автоматизированных систем; разрабатывать предложения по совершенствованию системы управления информационной безопасностью автоматизированных систем; Владеет: - навыками обоснования критериев эффективности функционирования защищенных автоматизированных информационных систем; - навыками самостоятельного анализа решений по обеспечению эффективности применения автоматизированных систем; Знает: Знает: Знает: Знает: - основные меры по - основные меры - основные меры - основные меры по защите информации по защите по защите защите информации в информации в информации в в автоматизированных автоматизированн автоматизированн автоматизированных системах ых системах ых системах системах (организационные, (организационные (организационные, (организационные, правовые, , правовые, правовые, правовые, программнопрограммнопрограммнопрограммноаппаратные, аппаратные, аппаратные, аппаратные, криптографические, криптографически криптографически криптографические, технические); - о е, технические); е, технические); технические); - о развитии Умеет: Умеет: развитии аппаратных программно- проводить - проводить технологий защиты аппаратных контрольные контрольные данных; знаниями о технологий защиты проверки проверки развитии данных; ; работоспособност работоспособност программных Умеет: и применяемых и применяемых средств защиты - проводить программнопрограммноданных; ; контрольные аппаратных, аппаратных, Умеет: проверки криптографически криптографически - проводить работоспособности и х и технических х и технических контрольные эффективности средств защиты средств защиты проверки 21 Лабораторные работы, ответы на дополнительные вопросы Владеет: - навыками выбора и анализа решений по обеспечению эффективности применения автоматизированн ых систем; ; Лабораторные занятия ПК-23 безопасности автоматизированных систем; разрабатывать предложения по совершенствованию системы управления информационной безопасностью автоматизированных систем; Владеет: - навыками обоснования критериев эффективности функционирования защищенных автоматизированных информационных систем; - навыками анализа решений по обеспечению эффективности применения автоматизированных систем; 22 Лабораторные работы, ответы на дополнительные вопросы Лабораторные занятия ПК-33 применяемых информации; информации; работоспособности и программноВладеет: оценивать эффективности аппаратных, - навыками эффективность применяемых криптографических и применения применяемых программнотехнических средств основных программноаппаратных, защиты информации; программноаппаратных, криптографических и - проводить технико- аппаратных, криптографически технических средств экономическое криптографически х и технических защиты информации; обоснование х и технических средств защиты - проводить техникопроектных решений; средств защиты информации; экономическое Владеет: информации в Владеет: обоснование - навыками СУБД; - навыками проектных решений; применения применения Владеет: программнобольшинства - навыками аппаратных, программноприменения криптографических и аппаратных, программнотехнических средств криптографически аппаратных, защиты информации х и технических криптографических и в СУБД; средств защиты технических средств информации в защиты информации СУБД; в СУБД; Знает: Знает: Знает: Знает: - основные - основные - основные - основные стандарты, стандарты, стандарты, стандарты, регламентирующие регламентирующи регламентирующи регламентирующие управление е управление е управление управление информационной информационной информационной информационной безопасностью; безопасностью; - безопасностью; - безопасностью; автоматизированную основные критерии оценки и автоматизированную систему как объект принципы методы систему как объект информационного формирования обеспечения информационного воздействия, политики защищенности воздействия, критерии оценки ее информационной автоматизированн критерии оценки ее защищенности и безопасности в ых систем; защищенности и методы обеспечения автоматизированн основные методы обеспечения ее информационной ых системах; принципы ее информационной безопасности; Умеет: формирования безопасности; принципы - определять цели политики принципы формирования и задачи, информационной формирования политики решаемые безопасности в политики информационной разрабатываемым автоматизированн информационной безопасности в и процессами ых системах; безопасности в автоматизированных управления ИБ; Умеет: автоматизированных системах; ; Владеет: - определять цели системах; - способы Умеет: - основными и задачи, разработки политик - определять цели и терминами в решаемые безопасности в задачи, решаемые области разрабатываемым системах управления разрабатываемыми разработки и процессами базами данных, процессами политик управления ИБ; - политик управления управления ИБ; информационной разрабатывать доступом; разрабатывать безопасности; − политики Умеет: политики методами информационной формирования безопасности в требований по системах управления защите базами данных с информации; учетом действующих нормативных и методических документов; контролировать эффективность принятых мер по реализации частных политик информационной безопасности автоматизированных систем; ; Владеет: - профессиональной терминологией в области информационной безопасности; − методами формирования требований по защите информации; - навыками контроля эффективности реализации политики информационной безопасности в системах управления базами данных; − методами управления информационной безопасностью автоматизированных систем; информационной - определять цели и безопасности в задачи, решаемые системах разрабатываемыми управления базами процессами данных; управления ИБ; проводить анализ самостоятельно готовых политик проводить анализ управления готовых политик доступом; управления Владеет: доступом; разрабатывать профессиональной политики терминологией в информационной области безопасности в информационной системах управления безопасности; − базами данных с методами учетом действующих формирования нормативных и требований по методических защите документов; информации; − контролировать методами эффективность управления принятых мер по информационной реализации частных безопасностью политик автоматизированн информационной ых систем; безопасности автоматизированных систем; ; Владеет: - профессиональной терминологией в области информационной безопасности; − методами самостоятельного формирования требований по защите информации; - навыками контроля эффективности реализации политики информационной безопасности в системах управления базами данных; − методами управления информационной безопасностью автоматизированных систем; ; 23 24 Лабораторные работы, ответы на дополнительные вопросы Лабораторные занятия ПСК-7.7 Знает: - принципы построения распределенных Знает: Знает: Знает: - некоторые - основные - большинство методы, способы и методы, способы и методов, способов и средства средства средств обеспечения обеспечения обеспечения отказоустойчивости отказоустойчивост отказоустойчивост автоматизированных и и систем; автоматизированн автоматизированн большинство ых систем; ; ых систем; способов обработки Умеет: основные способы исключительных - работать с обработки ситуаций; технической исключительных Умеет: документацией на ситуаций; - работать с компоненты Умеет: технической автоматизированн - работать с документацией на ых систем; технической компоненты Владеет: документацией на автоматизированных - навыками компоненты систем; анализа основных автоматизированн самостоятельно узлов и устройств ых систем; восстанавливать современных проводить работы работоспособность автоматизированн по подсистемы ых систем; восстанавлению информационной работоспособност безопасности ь подсистемы автоматизированных информационной систем в нештатных безопасности ситуациях; автоматизированн Владеет: ых систем в - навыками анализа нештатных основных узлов и ситуациях; устройств Владеет: современных - навыками автоматизированных анализа основных систем; − навыками узлов и устройств поддержания современных работоспособности, автоматизированн обнаружения и ых систем; − устранения навыками неисправностей в обнаружения работе электронных неисправностей в аппаратных средств работе автоматизированных электронных систем; аппаратных средств автоматизированн ых систем; Знает: Знает: Знает: - основные - основные - принципы принципы принципы построения построения построения распределенных Лаборато рные занятия Лаборато рные работы, ответы ПК-40 Знает: - методы, способы и средства обеспечения отказоустойчивости автоматизированных систем; - способы обработки исключительных ситуаций; Умеет: - работать с технической документацией на компоненты автоматизированных систем; восстанавливать работоспособность подсистемы информационной безопасности автоматизированных систем в нештатных ситуациях; Владеет: - навыками анализа основных узлов и устройств современных автоматизированных систем; − навыками поддержания работоспособности, обнаружения и устранения неисправностей в работе электронных аппаратных средств автоматизированных систем; систем и объектно- распределенных распределенных систем и объектноориентированных систем и систем и ориентированных систем управления объектнообъектносистем управления базами данных, ориентированных ориентированных базами данных, технологии систем систем управления технологии автоматизированного управления базами данных, автоматизированного проектирования баз базами данных, технологии проектирования баз данных и хранилищ технологии автоматизированн данных и хранилищ данных; - требования автоматизированн ого данных; - требования к архитектуре ого проектирования к архитектуре информационных проектирования баз данных и информационных систем и их баз данных и хранилищ данных; систем и их компонентам для хранилищ данных; - основные компонентам для обеспечения Умеет: требования к обеспечения безопасности - определять архитектуре безопасности функционирования; ресурсы, информационных функционирования; Умеет: необходимые для систем и их Умеет: - использовать обеспечения компонентам для - использовать технологии безопасности обеспечения технологии автоматизированного информационной безопасности автоматизированного проектирования и системы; функционировани проектирования и структурный подход Владеет: я; структурный подход при проектировании - навыками Умеет: при проектировании информационных проектирования - использовать информационных систем; - определять информационных технологии систем; - определять ресурсы, систем на базе автоматизированн ресурсы, необходимые для корпоративных ого необходимые для обеспечения систем проектирования; - обеспечения безопасности управления определять безопасности информационной базами данных; ресурсы, информационной системы; необходимые для системы; использовать методы обеспечения использовать методы и средства безопасности и средства определения информационной определения технологической системы; технологической безопасности использовать безопасности функционирования основные методы функционирования распределенной и средства распределенной информационной определения информационной системы; технологической системы; Владеет: безопасности Владеет: - навыками функционировани - навыками проводить удаленное я распределенной проводить удаленное администрирование информационной администрирование систем баз данных в системы; систем баз данных в распределенных Владеет: распределенных информационных - навыками информационных системах - навыками проводить системах - навыками проектирования удаленное проектирования информационных администрировани информационных систем на базе е систем баз систем на базе корпоративных данных в корпоративных 25 систем управления базами данных; методами снижения угроз безопасности информационных систем, вызванных ошибками на этапе проектирования, разработки и внедрения; распределенных систем управления информационных базами данных; системах методами снижения навыками угроз безопасности проектирования информационных информационных систем, вызванных систем на базе ошибками на этапе корпоративных проектирования, систем управления разработки и базами данных; внедрения; 10.3 Типовые контрольные задания или иные материалы, необходимые для оценки знаний, умений, навыков и (или) опыта деятельности, характеризующей этапы формирования компетенций в процессе освоения образовательной программы. Семестр 4. Вопросы к экзамену 17. Информация, данные, информационная система. 18. Понятие базы данных. Файловые системы и системы с базами данных. 19. Требования к БД со стороны внешних пользователей. 20. Компоненты СУБД. 21. Компоненты контроллера БД 22. Распределение обязанностей в системах с базами данных. 23. Модели данных. Сущности и связи. 24. Инфологическая модель данных. Элементы. Способ построения. 25. Даталогическая модель данных. 26. Трехуровневая архитектура ANSI-SPARC. 27. Сетевая и иерархическая модели данных. 28. Реляционная модель. 29. Реляционные ключи. Реляционная целостность. 30. Реляционная алгебра. Реляционное исчисление. Представления. 31. Способы хранения информации в базах данных. 32. Общие принципы построения СУБД. 33. Классификация СУБД. 34. Компоненты типичной автоматизированной информационной системы. 35. Жизненный цикл приложения баз данных. Этапы жизненного цикла. 36. Процедура проектирования БД. 37. Метаданные. Ссылочная целостность. Механизм транзакций. 38. Архитектура СУБД 39. Технологии доступа к данным. 40. Технология и модели архитектуры клиент/сервер. 41. Трехзвенная архитектура информационной системы. 42. Серверы баз данных. 43. SQL. Операторы определения данных. 44. SQL. Операторы манипулирования данными: выборка, сортировка, группирование, обновление данных. 45. SQL. Создание баз данных. Операторы создания и удаления таблиц. 46. Интерфейс между клиентом и сервером. 47. Задачи и этапы проектирования баз данных. 48. Нормализация. Избыточность и аномалии. Функциональные зависимости. 26 49. Нормальные формы 1НФ, 2НФ, 3НФ, НФБК, нормальные формы более высокого порядка. 50. Методология концептуального проектирования БД. 51. Методология логического проектирования БД. 52. Методология физического проектирования БД. 53. Разработка приложений в СУБД Microsoft Access. 54. Компоненты Delphi для работы с базами данных. 55. Защита данных. Управление транзакциями. 56. Объектно-ориентированное программирование в СУБД. 57. Многоплатформные СУБД. 58. Концепции и разработка распределенных БД. 59. Объектные, объектно-ориентированные и объектно-реляционные СУБД. 60. Web-технологии и СУБД. Семестр 5. Вопросы к экзамену 1. Понятие безопасности БД. Угрозы безопасности БД: общие и специфичные. 2. Понятие политики безопасности. Сущность политики безопасности. Цели формализации политики безопасности. Принципы построения защищенных систем. 3. Дискреционные модели безопасности СУБД. Реализация ролевой модели политики безопасности в СУБД Oracle. 4. Мандатная модель политики безопасности. 5. БД с многоуровневой секретностью (MLS). Многозначность. Реализация модели MLS. Авторизация меток пользователя. Специальные привилегии доступа. Меточные функции. Опции ограничения. 6. Метаданные и словарь данных. Назначение словаря данных. Доступ к словарю данных. Состав словаря. Представления словаря. 7. Понятие транзакции. Фиксация транзакции. Прокрутки вперед и назад. Контрольная точка. Откат. Транзакции как средство изолированности пользователей. Сериализация транзакций. 8. Блокировки. Режимы блокирования. Правила согласования блокировок. Двухфазный протокол синхронизационных блокировок. Взаимоблокировки, их распознавание и разрушение. 9. Целостность кода приложения. SQL-инъекции. Динамическое выполнение кода SQL и PL/SQL. Категории атак SQL-инъекцией. Методы SQL-инъекций. Противодействие атакам типа SQL-инъекции. 10. Подотчетность действий пользователя и аудит связанных с безопасностью событий. Регистрация действий пользователя. Управление набором регистрируемых событий. Анализ регистрационной информации. Пример задания к лабораторной работе Тема: Общие принципы построения БД. Модели данных Построить ER-диаграмму для БД о заказах автомобильных запчастей. На основе ER-диаграммы создать соответствующую логическую модель БД. 27 №и дата заказа ФИО и адрес заказчика, контактный телефон Заказанн ые детали Стоимо сть (руб) Поставщи к № 15 от 12/01/2 006 Иванов Илья Семенович Ул. Ленина 15 кв 56 сот. 8-922-91245-67 дом. 35-12-77 раб. 45-12-55, 45-12-90 Компрессор БТ-12 1240,00 Прайм ООО Штуцер А13/С 80,00 Супердетал ь для МАЗа 3000,00 Минский завод штуцеров Прайм ООО Дата поставки (ожидае мая/фак тическая ) 15.01.2006 /-- Дата получ ения заказ чиком 15.01.2006 /15.01.200 6 15.01.2005 /19.01.200 6 19.01.2 006 Мене джер заказ а Лапчен ко И.Н. 19.01.2 006 Один заказчик может иметь много заказов; У каждой детали есть свой поставщик. Считаем, что одну и ту же деталь не могут поставлять разные фирмы; Для каждой детали есть минимальный и максимальные сроки поставки (в днях); При оформлении заказа, фиксируется ожидаемая дата поставки; По факту поступления для каждой детали отмечается фактическая дата поставки; Заказчик может забирать детали заказа частично, например, по мере их поступления. Тема: Средства идентификации и аутентификации в СУБД MS SQL Server Вся работа выполняется с помощью языка Transact-SQL! 1. Для доступа к SQL Server создайте 4 учетные записи (логины): «Администратор БД», «Сотрудник отдела кадров», «Сотрудник отдела продаж», «Сотрудник отдела поставок»; 2. Учетную запись «Администратор» наделите привилегиями системного администратора (с помощью системной роли); 3. Напишите SQL-скрипты для получения следующей информации: 3.1. Секретный идентификатор, имя, хэш пароля определенной учетной записи; 3.2. Список всех учетных записей сервера; 3.3. Список всех учетных записей сервера, обладающих правами администратора; 4. Напишите SQL-скрипты для выполнения следующих действий с учетной записью SQL-сервера: 4.1. Блокировка учетной записи (временное приостановление действия); 4.2. Разблокировка учетной записи; 4.3. Изменение пароля учетной записи; 4.4. Изменение БД по умолчанию; 4.5. Удаление учетной записи; 5. Напишите SQL-скрипты для выполнения следующих действий с учетной записью операционной системы (ОС): 5.1. Регистрация учетной записи ОС в качестве учетной записи в MS SQL Server; 5.2. Отмена регистрации учетной записи ОС в качестве учетной записи в MS SQL Server; 28 5.3. Запрет подключений учетной записи ОС в качестве учетной записи в MS SQL Server; 6. Для каждой учетной записи, созданной в 1 пункте, кроме «Администратор БД» добавьте пользователя в вашу БД (AdventureWorks2008R2); Тема. Средства управления доступом 1. Используя роли и привилегии каждому пользователю назначьте следующие права: 1.1. «Сотрудник отдела продаж» – a. разрешение на добавление, изменение, удаление данных о сотрудниках компании Adventure Works Cycles; b. запрет на просмотр, изменение и удаление данных продукции, продаж и поставок; 1.2. «Сотрудник отдела продаж» – a. разрешение на добавление, изменение, удаление данных о заказчиках и продажах; b. разрешение на просмотр данных о продукции, поставщиках и поставках; c. запрет на изменение и удаление данных о продукции, поставщиках и поставках; 1.3. «Сотрудник отдела поставок» a. разрешение на добавление, изменение, удаление данных о поставщиках и поставках; b. разрешение на изменение информации о количестве продукции на складе компании; c. для данных о продукции - разрешение на просмотр и запрет на изменение и удаление; d. запрет на просмотр, изменение и удаление данных о сотрудниках и продажах; 2. Напишите SQL-скрипты для получения следующей информации: 2.1. Все пользователи и все привилегии текущей БД; 2.2. Список всех ролей и пользователей, которым присвоены эти роли; 2.3. Список всех ролей, назначенных текущему пользователю; 2.4. Список привилегий, ассоциированных с какой-то конкретной ролью; 2.5. Список всех привилегий текущего пользователя; Напишите код запроса с использованием конструкции EXECUTE AS, в ходе которого «Сотрудник отдела поставок» смог бы выполнять запросы от имени пользователя «Сотрудник отдела продаж». 10.4 Методические материалы, определяющие процедуры оценивания знаний, умений, навыков и (или) опыта деятельности характеризующих этапы формирования компетенций. К экзамену допускаются студенты, набравшие за семестр 35 баллов. Экзамен проходит в традиционной форме, по билетам. В билете – 2 вопроса. Для получения оценки «удовлетворительно» студентом должно быть сдано минимум 6 лабораторных работ и сделан ответ на 1 вопрос из билета, в общем раскрывающий тему и не содержащий грубых ошибок. Ответ студента должен показывать, что он знает и понимает смысл и суть описываемой темы, и ее взаимосвязь с другими разделами дисциплины и с другими дисциплинами специальности. Для получения оценки «хорошо» студент должен сдать минимум 8 лабораторных работ и ответить на оба вопроса билета. Ответ должен раскрывать тему и не содержать 29 грубых ошибок. Ответ студента должен показывать, что он знает и понимает смысл и суть описываемой темы и ее взаимосвязь с другими разделами дисциплины и с другими дисциплинами специальности, может воспроизвести общую схему описываемого криптографического алгоритма, знает и понимает основные свойства, слабости и область применения. Может привести пример по описываемой теме. Ответ может содержать небольшие недочеты, допускается отсутствие доказательств теорем, подробного описания транзакций протоколов, если приведена их суть. Для получения оценки «отлично» студент должен сдать минимум 9 лабораторных работ и ответить на оба вопроса билета. Ответ должен быть подробным, в полной мере раскрывать тему и не содержать грубых или существенных ошибок. Каждый вопрос должен сопровождаться примерами. В ответе должны быть приведены доказательства всех теорем и (или) подробное описание шагов алгоритма. 11. Образовательные технологии. В учебном процессе используются как традиционные виды учебной активности, такие как лекционные занятия, конспектирование, так и активные и интерактивные, такие как совместное обсуждение материала, выполнение лабораторных работ в группах по вариантам, доклады по заданной теме с последующим их обсуждением. Поощряется использование при подготовке доклада научных работ, материалов научных и научнопроизводственных конференций, материалы которых находятся в открытом доступе в сети Интернет. 11. Учебно-методическое и информационное обеспечение дисциплины. 12.1 Основная литература: 1. Зыков, Р.И. Системы управления базами данных / Р.И. Зыков. - М. : Лаборатория книги, 2012. - 162 с. : табл., схем. - ISBN 978-5-504-00394-8; [Электронный ресурс]. - URL:http://biblioclub.ru/index.php?page=book&id=142314. 2. Слюсаренко, П.И. Распределенные СУБД / П.И. Слюсаренко. - М. : Лаборатория книги, 2012. - 103 с. - ISBN 978-5-504-00420-4; [Электронный ресурс]. URL:http://biblioclub.ru/index.php?page=book&id=142013. 3. Шашкова, А.В. Транзакции / А.В. Шашкова. - М.: Лаборатория книги, 2012. - 92 с. - ISBN 978-5-504-00623-9; [Электронный ресурс]. URL: http://biblioclub.ru/index.php?page=book&id=142531. 12.2 Дополнительная литература: 1. Кусютин, Н. И. Характеристика средств администрирования баз данных и перспективы их развития / Н.И. Кусютин. - М. : Лаборатория книги, 2011. - 99 с. : ил., табл. - ISBN 978-5-504-00297-2; [Электронный ресурс]. URL: http://biblioclub.ru/index.php?page=book&id=142999. 2. Мельников, В.В. Безопасность информации в автоматизированных системах / В.В. Мельников. - М.: Финансы и статистика, 2003. - 368 с. - ISBN 978-5-27902560-2; [Электронный ресурс]. URL: http://biblioclub.ru/index.php?page=book&id=221458. 3. Черепов, А.Н. Правовая охрана программ для ЭВМ и баз данных / А.Н. Черепов. М. : Лаборатория книги, 2010. - 120 с. - (Электронная книга). - ISBN 978–5–905855– 73–3; [Электронный ресурс]. URL: http://biblioclub.ru/index.php?page=book&id=96810 30 4. Туманов, В.Е. Основы проектирования реляционных баз данных: учебное пособие / В.Е. Туманов. - М. : Интернет-Университет Информационных Технологий, 2007. 421 с. : ил., табл., схем. - (Основы информационных технологий). - ISBN 978-59556-0111-3; [Электронный ресурс]. URL: http://biblioclub.ru/index.php?page=book&id=233290. 5. Сердюк, В.А. Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных систем предприятий / В.А. Сердюк. - М.: НИУ Высшая школа экономики, 2011. - 574 с. - ISBN 978-57598-0698-1; [Электронный ресурс]. - URL: http://biblioclub.ru/index.php?page=book&id=74298. 12.3 Интернет-ресурсы: вузовские электронно-библиотечные системы учебной литературы. http://www.infosecurity. report.ru/ (портал по информационной безопасности) база научно-технической информации ВИНИТИ РАН среды разработки на языках C#, C++, Delphi; системы управления базами данных: MS SQL Server, InterBase/FireBird, MySQL, Oracle; 13. Перечень информационных технологий, используемых при осуществлении образовательного процесса по дисциплине (модулю), включая перечень программного обеспечения и информационных справочных систем (при необходимости). - Для организации самостоятельной работы студентов необходим компьютерный класс с пакетом прикладных программ, в том числе с установленной средой разработки на языке C#, C++, Pascal, Java, c системами управления базами данных: MS SQL Server 2008-2012, Oracle 10g – Oracle 11g, со средством моделирования MS Office Visio. 14. Технические средства и материально-техническое обеспечение дисциплины. -компьютерный класс. 15. Методические указания для обучающихся по освоению дисциплины (модуля). Для подготовки к лабораторным занятиям необходимо пользоваться конспектом лекций и материалам из списка основной и дополнительной литературы. Для получения расширенных и углубленных знаний по тематике рекомендуется пользоваться ссылками из списка интернет-ресурсов, приведенных в данном УМК, а также электронными и бумажными номерами научных журналов, имеющихся в ИБЦ, областной научной библиотеке и сети интернет. 31