- •Проектирование информационных систем
- •1.Роль ит в развитии современных бизнес - процессов
- •2.Этапы развития информационных систем в экономике и управлении
- •3.Классификация информационных систем в экономике и управлении
- •4.Функциональные подсистемы ис
- •5.Виды обеспечения ис
- •6.Назначение информационно-аналитических систем и решаемые задачи
- •7.Классификация средств выполнения анализа данных с помощью информационных технологий
- •8.Системы оперативного анализа данных (olap-систем)
- •9.Задачи и средства интеллектуального анализа данных
- •10.Концепция информационных хранилищ как основного источника знаний и оперативных данных в процессе управления предприятием
- •11.Понятие проектирования и проекта ис. Свойства проекта ис
- •12.Модель Дж. Захмана
- •13.Понятие функциональной подсистемы. Классы и содержание подсистем. Методы выделения функциональных подсистем
- •14.Понятие технологии проектирования эис. Состав компонент технологии проектирования и их взаимосвязь. Требования к технологии проектирования
- •15.Модели жизненного цикла ис
- •16.Стадии создания ас (ис) по гост 34.601-90
- •17.Классификация технологий, методов и средств создания ис
- •18.Использование типовых проектных решений в проекте ис
- •19.Состав и содержание работ на этапе предпроектного обследования. Методы организации обследования и сбора материалов обследования
- •20.Содержание тэо и Технического задания (тз) на проектирование эис
- •21.Состав и содержание работ стадии Технический проект
- •22.Состав Рабочей документации на ас (ис)
- •23.Понятие классификатора экономической информации. Виды объектов классификации и кодирования. Состав и содержание операций проектирования классификаторов экономической информации
- •24.Понятие Унифицированной системы документации (усд). Требования к усд. Состав и содержание работ при разработке усд
- •25.Понятие информационной базы (иб). Классификация способов организации иб. Требования к информационной базе. Состав операций проектирования иб
- •26.Понятие технологического процесса (тп) обработки информации в ис. Состав типовых операций отдельных этапов технологического процесса. Требования к тп
- •27.Состав и содержание работ при разработке технологического процесса получения и загрузки первичной информации в иб. Методы контроля
- •28.Содержание проектирования процедур актуализации и обеспечения достоверности, целостности и надежности хранения данных
- •29.Состав операций проектирования технологических процессов обработки информации в ис
- •30.Определение проекта ис
- •31.Иерархическая система классификации
- •32.Многоаспектные системы классификации
- •33.Кодирование информации
- •34.Способы обеспечения информационной безопасности ис
34.Способы обеспечения информационной безопасности ис
Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Инфopмaция, циpкулиpующaя в ниx, мoжeт быть нeзaкoннo измeнeнa, пoxищeнa или уничтoжeнa.
Угроза – целенаправленное действие, которое повышает уязвимость нaкaпливaeмoй, xpaнимoй и oбpaбaтывaeмoй в системе инфopмaции и приводит к ее случайному или предумышленному изменению или уничтожению.
Угроза – действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и обрабатываемые средства.
Несанкционированный доступ – нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничения, являющейся составной частью системы защиты информации.
Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от «внешних» злоумышленников и не защищают информацию от тех лиц, которые обладают правом входа в помещение.
Законодательные средства защиты составляют законодательные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушения этих правил.
Управление доступом представляет способ защиты информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). В автоматизированных системах информационного обеспечения должны быть регламентированы порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т.д.
Управление доступом предусматривает следующие функции защиты:
идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора – имени, кода, пароля и т. п);
аутентификацию – опознание (установление подлинности) объекта или субъекта по предъявляемому им идентификатору;
авторизацию – проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
разрешение и создание условий работы в пределах установленного регламента;
регистрацию (протоколирование) обращений к защищаемым ресурсам;
реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Самым распространенным методом установления подлинности является метод паролей. Пароль представляет собой строку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т. п.): Простой пароль; Пароль однократного иcпoльзoвaния; Пapoль нa оснoвe выбopки cимвoлoв; Meтoд «зaпрос-oтвeт»; Пapoль нa оснoвe aлгopитмa; Пapoль нa оснoвe персонaльнoгo физическoгo ключa.
Основным методом защиты информации от несанкционированного доступа является также метод обеспечения разграничения функциональных полномочий и доступа к информации, направленный на предотвращение не только возможности потенциального нарушителя «читать» хранящуюся в ПЭВМ информацию, но и возможности нарушителя модифицировать ее штатными и нештатными средствами.
Требования по защите информации от несанкционированного доступа направлены на достижение (в определенном сочетании) трех основных свойств защищаемой информации:
конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);
целостность (информация, на основе которой принимаются важные решения, должна быть достоверной и точной и должна быть защищена от возможных непреднамеренных и злоумышленных искажений);
готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию всегда, когда в этом возникает необходимость).
Вторым методом, дополняющим первый, является разработка процедуры контроля доступа к данным, которая призвана для решения двух задач:
сделать невозможным обход системы разграничения доступа действиями, находящимися в рамках выбранной модели;
гарантировать идентификацию пользователя, осуществляющего доступ к данным.
Одним из основных методов увеличения безопасности ЭИС является регистрация пользователей и всех их действий, для чего необходимо разработать «Систему регистрации и учета», ответственную за ведение регистрационного журнала, которая позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации.
Одним из потенциальных каналов несанкционированного доступа к информации является несанкционированное изменение прикладных и специальных программ нарушителем с целью получения конфиденциальной информации. К числу методов противодействия этому относится метод контроля целостности базового программного обеспечения специальными программами. Однако этот метод недостаточен, поскольку предполагает, что программы контроля целостности не могут быть подвергнуты модификации нарушителем.
Механизм регламентации, основанный на использовании метода защиты информации, создает такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Механизм аутентификации. Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.
Криптографические методы защиты информации. Для реализации мер безопасности используются различные способы шифрования (криптографии), суть которых заключается в том, что данные, отправляемые на хранение, или сообщения, готовые для передачи зашифровывается и тем самым преобразуется в шифрограмму или закрытый текст.
Защита от несанкционированного копирования ценной компьютерной информации является самостоятельным видом защиты имущественных прав, ориентированных на проблему защиты интеллектуальной собственности, воплощенной в виде ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверок по обращению к устройствам хранения ключа и ключевым дискетам, и т.д.), которая приводит исполняемый код защищаемой базы данных в состояние, препятствующее его выполнению на «чужих» машинах.