Для любой компании (финансовой, страховой, торговой и т. п.) и
организации существует своя типовая информационная система (ИС),
состоящая из компонентов, решающих свои специфичные задачи, но,
независимо от них, любая ИС, содержащая два и более узла, включает в
себя 4 уровня
Информационная система
1. Уровень прикладного программного обеспечения (ПО), отвечающий за
взаимодействие с пользователем. Примером элементов ИС, работающих на
этом уровне, можно назвать текстовый редактор Word, электронные таблицы
Excel, почтовую программу Outlook Express, системы MS Query и т. д.
[Кивиристи1-00].
2. Уровень системы управления базами данных (СУБД), отвечающий за
хранение и обработку данных информационной системы. Примером элементов
ИС, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server,
Sybase и даже MS Access.
3. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и
прикладного программного обеспечения. В качестве примеров элементов ИС
этого уровня можно привести ОС Microsoft Windows 2000, Sun Solaris,
Novell NetWare.
4. Уровень сети, отвечающий за взаимодействие узлов информационной
системы. Для этого уровня характерными примерами соответствующих
элементов ИС являются модули, взаимодействующие по протоколам TCP/IP,
IPS/SPX или SMB/NetBIOS.
У злоумышленников имеется широчайший спектр возможностей по нарушению
политики безопасности, которые могут быть осуществлены на всех четырех
вышеназванных уровнях ИС [Лукацкий5-00]. Например, для получения
несанкционированного доступа к финансовой информации в СУБД MS SQL
Server злоумышленники могут попытаться реализовать одну из следующих
возможностей:
прочитать записи БД при помощи SQL-запросов через программу MS Query или
через MS Excel, которые позволяют получать доступ к записям СУБД
(уровень прикладного ПО);
прочитать нужные данные средствами самой СУБД (уровень СУБД);
прочитать файлы базы данных, обращаясь непосредственно к файловой системе
(уровень ОС);
перехватить передаваемые по сети данные (уровень сети).