Базы данных и их безопасность

БАЗЫ ДАННЫХ 

И ИХ БЕЗОПАСНОСТЬ

Ю.В. ПОЛИЩУК
А.С. БОРОВСКИЙ

Рекомендовано Федеральным учебно-методическим объединением 

в системе высшего образования по укрупненной группе специальностей

 и направлений подготовки 10.00.00 «Информационная безопасность»

 в качестве учебного пособия студентов образовательных организаций 

высшего образования, обучающихся по специальности 

10.05.03 «Информационная безопасность автоматизированных систем»

Москва
ИНФРА-М

202УЧЕБНОЕ ПОСОБИЕ

УДК 004.65(075.8)
ББК 32.973-018.2я73
 
П50

Р е ц е н з е н т :

В.И. Васильев, доктор технических наук, профессор кафедры вычи-

слительной техники и защиты информации Уфимского государствен-
ного авиационного технического университета

ISBN 978-5-16-014924-0 (print)
ISBN 978-5-16-107421-3 (online)

© Полищук Ю.В., Боровский А.С., 

2020

Полищук Ю.В.

П50  
Базы данных и их безопасность : учебное пособие / Ю.В. Полищук, 

А.С. Боровский. — Москва : ИНФРА-М, 2023. — 210 с. — (Высшее об-
разование: Специалитет). — DOI 10.12737/1011088.

ISBN 978-5-16-014924-0 (print)
ISBN 978-5-16-107421-3 (online)
Учебное пособие посвящено вопросам реализации реляционных баз 

данных. Его целью является освоение базовых принципов проектирова-
ния, реализации, сопровождения и обеспечения информационной безопас-
ности баз данных. В состав пособия включены задания для лабораторных 
работ, контрольные вопросы и тесты для самопроверки.

Соответствует требованиям федеральных государственных образова-

тельных стандартов высшего образования последнего поколения.

Для студентов высших образовательных учреждений всех специально-

стей и направлений подготовки, интересующихся вопросами проектирова-
ния, реализации и безопасности баз данных.

УДК 004.65(075.8)

ББК 32.973-018.2я73

Список принятых сокращений

АБД — Администратор базы данных 
БД — база данных
БнД — банки данных
ВТ — вычислительная техника
ИC — информационная система
ИБ — информационная безопасность
ИЛМ — информационно-логическая модель
ООСУБД — объектно-ориентированная система управления ба-
зами данных
ОС — операционная система
ПО — программное обеспечение
СУБД — система управления базами данных
AES — Advanced Encryption Standard
ANSI — American National Standards Institute
DBTG — Data Base Task Group
DDL — Data Definition Language
DES — Data Encryption Standard
DML — Data Manipulation Language
DOM — Document Object Model
GUI — Graphical User Interface
HTML — Hyper Text Markup Language
IDEA — International Data Encryption Algorithm
ISO — International Organization for Standardization
MD5 — Message Digest 5
NIST — National Institute of Standards and Technology
ODBC — Open Database Connectivity
SAX — Simple API for XML
SGML — Standard Generalized Markup Language
SHA — Secure Hashing Algorithm
SPARC — Standards Planning And Requirements Committee
SQL — Structured Query Language
SSL — Secure Sockets Layer
W3C — World Wide Web Consortium
XML — Extensible Markup Language
XPath — XML Path Language
XSD — Xml Schema Definition

Введение

В настоящее время большинство предприятий и организаций 
используют в своей деятельности различные информационные 
системы. Эффективность работы предприятия зависит от произ-
водительности и надежности информационной системы, основой 
которой служит база данных. Таким образом, эффективность ра-
боты информационной системы напрямую зависит от грамотно 
разработанного проекта базы данных, построить который помогут 
основы теории баз данных, рассматриваемые в настоящем пособии. 
Важным моментом при эксплуатации информационной системы 
предприятия является обеспечение ее информационной безопас-
ности. Вопросы обеспечения информационной безопасности баз 
данных также рассматриваются в рамках данного пособия.
Учебное пособие включает три главы. Глава 1 содержит теоре-
тические и практические основы баз данных. Глава 2 посвящена 
основам информационной безопасности баз данных. В главе 3 
приведены примеры практической реализации информационной 
системы в защищенном исполнении. Все примеры в пособии под-
готовлены с применением бесплатно распространяемого прог-
раммного обеспечения. Также приведены наборы тестовых заданий 
для самопроверки и карты ответов.
В результате изучения материала учебного пособия обучаю-
щийся должен:
знать
 
• современные технологии хранения и поиска информации;
 
• теоретические основы проектирования реляционных баз данных;
 
• формальные модели политик безопасности, политик управления 
доступом и информационными потоками;
 
• теоретические основы реализации информационных систем 
в защищенном исполнении;
уметь
 
• понимать значение информации в развитии современного об-
щества;
 
• применять теоретические знания при проектировании реляци-
онных баз данных;
 
• изучать и анализировать модели политик безопасности, политик 
управления доступом и информационными потоками;
 
• применять теоретические основы реализации информационных 
систем в защищенном исполнении;

владеть
 
• практическими навыками поиска и обработки информации 
по профилю деятельности в глобальных компьютерных сетях, 
библиотечных фондах и иных источниках информации;
 
• практическими навыками проектирования реляционных баз 
данных;
 
• практическими навыками применения политик безопасности, 
политик управления доступом и информационными потоками;
 
• практическими навыками применения теоретических основ 
реализации информационных систем в защищенном испол-
нении.
Стоит отметить, что материалы учебного пособия соответствуют 
тематике Федеральной целевой программы «Информационное 
общество (2011–2020)», утвержденной постановлением Прави-
тельства РФ от 20.10.2010 № 1815-р.

Глава 1. 
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ БАЗ ДАННЫХ

1.1. ИСТОРИЯ РАЗВИТИЯ БАЗ ДАННЫХ

Анализ истории эксплуатации вычислительной техники (ВТ) 
позволяет выделить две основные области ее применения:
1) выполнение сложных и трудоемких вычислений;
2) использование в информационных системах.
Информационная система (ИС) — это программно-аппаратный 
комплекс, обеспечивающий реализацию следующих функций [1]:
1) надежное хранение информации;
2) обработка информации — выполнение специфических 
для данного приложения преобразований информации и вычи-
слений;
3) предоставление пользователям удобного интерфейса взаимо-
действия с данными.
Как правило, ИС обрабатывают большие объемы структуриро-
ванной информации. В качестве примеров ИС можно привести:
 
• информационные банковские системы;
 
• бухгалтерские информационные системы;
 
• системы бронирования билетов;
 
• медицинские информационные системы;
 
• биллинговые системы сотовых операторов и т.д.
В начальный период развития ВТ объемы обрабатываемой 
информации были относительно небольшими, что обусловлено 
их низкой производительностью и отсутствием энергонезависимых 
устройств хранения информации.
Первоначально в компьютерах применялись два основных вида 
устройств внешней памяти: магнитные ленты и барабаны.
Магнитные ленты имели возможность хранения довольно боль-
шого объема информации, но обеспечивали только последова-
тельный доступ к хранящейся на них информации.
Магнитные барабаны по своим принципам работы более схожи 
с жесткими дисками современных персо нальных компьютеров. Они 
обеспечивали последовательный доступ к данным, но их основными 
недостатками были малый объем хранимой информации и низкая 
скорость ее обработки.

Использование ИС оправдывает себя в том случае, когда «стоимость» 
обработки информации с их применением ниже «стоимости» 
аналогичной ручной обработки информации. На данном 
этапе развития ВТ ее производительность и «стоимость» владения 
не способствовали развитию и внедрению ИС.
Ключевым моментом стало изобретение съемных магнитных 
дисков с подвижными головками, которые обеспечивали существенно 
бóльшую емкость хранимых данных и более высокую 
скорость их обработки, а возможность использования нескольких 
съемных магнитных дисков позволяла хранить бóльшие архивы 
данных.
Именно появление магнитных дисков послужило толчком к развитию 
и применению баз данных. До появления магнитных дисков 
каждая программа сама определяла местоположение данных 
на магнитной ленте или барабане и реализовывала взаимодействие 
с ними с помощью низкоуровневых команд. Такая организация обработки 
данных не позволяла эффективно обрабатывать несколько 
архивов данных, размещенных физически на одном внешнем носи-
теле информации.
Следующим ключевым моментом в истории развития ИС стало 
внедрение централизованных систем управления файлами.
Файл — именованная область внешней памяти, в которую можно 
записывать и из которой можно считывать данные.
В зависимости от используемой системы управления файлами 
для них определяются правила именований, способы доступа к их 
содержимому, распределение файлов во внешней памяти и обеспе-
чение доступа к данным.
Для пользователей файл представляет собой линейную после-
довательность записей. Они могут выполнять следующие стан-
дартные операции:
 
• создать файл;
 
• открыть существующий файл;
 
• считать из файла определенную запись (первую, последнюю, те-
кущую, следующую за текущей, предыдущую перед текущей);
 
• изменить текущую запись в файле на новую;
 
• добавить новую запись в конец файла.
Стоит отметить, что для обработки содержимого файла с по-
мощью программы в ней нужно было прописать точную инфор-
мацию о структуре обрабатываемого файла, а в случаях внесения из-
менений в структуру файла требовалась модернизация программы. 
В данном случае имеет место зависимость программ от данных. 
Последнее является существенным недостатком файловых систем, 

который послужил толчком к созданию систем управления базами 
данных (СУБД).
Существенным недостатком файловых систем является то, что 
управление режимом доступа к файлу выполняет его создатель-
владелец. Таким образом, при использовании файловых систем 
в качестве основы для информационной системы отсутствовали 
централизованные методы управления доступом к информации, 
что сильно снижало защищенность информации и послужило еще 
одной причиной разработки СУБД.
В качестве следующего недостатка файловых систем можно от-
метить слабые возможности по обеспечению многопользователь-
ского доступа к данным. Такая необходимость обусловлена тем, 
что при обработке информации пользователям ИС может потре-
боваться внесение изменений в данные, физически расположенные 
в одном файле. В этом случае для корректной работы ИС необхо-
дима синхронизация их работы с общим файлом данных.
Для устранения перечисленных недостатков разработчиками 
ИС был предложен новый подход к управлению информацией, 
который был реализован в виде программных систем, названных 
впоследствии системами управления базами данных, а сами хранилища 
информации, которые работали под управлением данных 
систем, назывались базами или банками данных (БД и БнД).
Специалисты в области обработки данных выделяют семь 
этапов развития систем управления данными [2], которые схематично 
могут быть представлены в виде диаграммы, представленной 
далее (рис. 1.1).

4000 г. до н.э. 
1800 
1960 
1980 
2000 
Время 
 
 
Ручная обработка данных
 
  
Обработка данных с помощью перфокарт
 
  
Программная обработка записей
 
  
Оперативные сетевые БД
 
  
Реляционные БД
 
  
Объектно-ориентированные БД
 
  
Формат XML
 

Рис. 1.1. Основные этапы развития систем управления данными

Рассмотрим подробнее каждый из этапов развития систем 
управления данными.

Этап I. Ручная обработка данных. Первые упоминания о применении 
систем управления данными встречаются в истории Шумерской 
цивилизации (4000 г. до н.э.). В письменных свидетельствах, 
дошедших до наших дней, описывается учет царской казны 
и налоговых сборов. Со временем используемые для записей гли-
няные таблички были заменены бумагой, но обработка информации 
производилась вручную.
Этап II. Обработка данных с помощью перфокарт. В 1800 г. 
Джеквард Лум (Jacquard Loom) разработал машину, которая выпол-
няла автоматизированный раскрой ткани по образцам, записанным 
на перфокарты, в 1890 г. Герман Холлерит (Herman Hollerith) при-
менил технологию перфокарт для переписи населения США, ко-
торая оказалась успешной и привела к созданию под его началом 
фирмы International Business Machines, занимающейся поставками 
оборудования для регистрации данных [3].
В крупных организациях того времени оборудовались целые 
этажи под хранилища перфокарт, которые были укомплектованы 
перфораторами, сортировщиками и табуляторами. Их использо-
вание позволяло обрабатывать миллионы записей каждый день, что 
невозможно было сделать вручную.
Этап III. Программная обработка записей. В 1951 г. выпущен 
первый коммерческий серийный компьютер UNIVAC I, который 
был разработан компанией Eckert-Mauchly Computer, но выпускался 
компанией Remington Rand, так как компания-разработчик обан-
кротилась и была куплена.
Компьютер UNIVAC I состоял из 5200 электровакуумных ламп, 
весил 13 т, занимал площадь около 36 м 2, потреб лял 125 кВт элект-
роэнергии и выполнял до 1905 операций в секунду, работая на так-
товой частоте 2,25 МГц. К нему подключалось до 10 ленточных на-
копителей UNISERVO, которые использовали в качестве ленты по-
лоску бронзы с никелевым покрытием, позднее она была заменена 
на пластмассовую. Данный накопитель был очень эффективным 
при сортировках больших объемов данных, так как позволял запи-
сывать и считывать данные как в прямом, так и в обратном направ-
лении. Первый UNIVAC I был официально продан Бюро переписи 
населения США 31 марта 1951 г.
Компьютеры данной модификации работали существенно 
быстрее своих устаревших аналогов, а для их размещения требова-
лось гораздо меньше места.
Неоспоримым преимуществом появившихся технологий было 
программное обеспечение (ПО), которое позволяло разрабатывать 
собственные программы. Существующее ПО поддерживало мо-

дель обработки записей на основе файлов — программы последова-
тельно читали входные файлы и выдавали на выход новые файлы. 
Для реализации таких задач были разработаны специальные языки 
программирования, такие как COBOL.
На данном этапе развития применялась пакетная обработка 
транзакций — транзакции сохранялись на лентах в виде пакетов, 
которые сортировались в конце рабочего дня, затем транзакции 
объединялись с основной БД для создания нового основного файла.
Пакетная обработка обладала двумя недостатками:
 
• ошибка в транзакции распознавалась в конце рабочего дня 
при обработке основного файла, а ее исправление требовало 
много времени;
 
• БД обновлялась только в конце дня, таким образом ее текущее 
состояние становилось известно только после обновления.
Перечисленные недостатки были решены на следующем этапе 
эволюции систем управления данными.
Этап IV. Оперативные сетевые БД. Примером таких систем яв-
ляется система продажи железнодорожных билетов, которой необ-
ходимо оперативное обновление данных, так как системы данного 
вида во избежание ошибок не могут использовать устаревшую ин-
формацию. Такие системы не могут быть реализованы при исполь-
зовании пакетной обработки транзакций.
Со временем была предложена технология создания СУБД 
с поддержкой оперативных транзакций, которые обрабатывались 
в интерактивном режиме и были реализованы за счет применения 
мониторов телеобработки.
Мониторы телеобработки — специализированное ПО, предна-
значенное для мультиплексирования терминалов. Задача этих мо-
ниторов заключалась в сборе сообщений-запросов, поступающих 
с терминалов, назначении программы-сервера для их обработки 
и направлении ответа соответствующему терминалу.
Оперативная обработка транзакций дополняла возможности па-
кетной обработки транзакций, которая также применялась для ре-
шения задач фонового формирования отчетов.
В 1965 г. была образована рабочая группа Data base task group 
(DBTG), которую возглавил Чарльз Бахман (Charles Bachman). 
Целью создания данной группы являлась разработка универсаль-
ного языка БД. Результатом работы группы DBTG стало создание 
языков определения и манипулирования данными [4], а Бахман 
был удостоен премии Тьюринга.
Группа DBTG разрабатывала концепцию схем БД, которая тре-
бовалась для сокрытия физических деталей расположения записей.