- •Содержание
- •Рекомендации
- •Введение
- •Модуль 1. Кис: терминология, цели создания, проблемы, стандарты и методологии Введение
- •Глава 1.1. Типы корпораций
- •§ 1.1.1. Индустриальные корпорации и их эволюционный путь.
- •§ 1.1.2. Классическая корпорация и пределы ее развития
- •§ 1.1.3. Этатистские корпорации и их ограниченность
- •§ 1.1.4. Креативная корпорация и ее перспективы
- •Глава 1.2. Структура корпорации Введение
- •§ 1.2.1. Основные характеристики современной корпорации
- •§ 1.2.2. Принципиальная организационная структура корпорации
- •Глава 1.3. Базовые стандарты управления корпорацией Введение
- •§ 1.3.1. Эволюция информационных систем управления предприятием
- •§ 1.3.2. Зарождение методологий mps и mrp
- •§ 1.3.3. Входные элементы и результаты работы mrp-программы
- •§ 1.3.4. Стандарт mrpii
- •§ 1.3.5. Иерархия планов в mrpii-системе
- •Глава 1.4. Механизм работы mrpii-системы
- •§ 1.4.1. Составление производственного плана и общего плана деятельности
- •§ 1.4.2. Составление плана потребностей в производственных мощностях
- •§ 1.4.3. Контроль выполнения производственного плана
- •§ 1.4.4. Формирование списков операций
- •§ 1.4.5. Обратная связь и её роль в mrpii-системе
- •Модуль 2. Стандарты erp, csrp и erpii Введение
- •Глава 2.1. Стандарт erp
- •§ 2.1.1. Переход от стандарта mrpii к erp
- •§ 2.1.2. Scm-стратегия
- •§ 2.1.3. Crm-стратегия
- •Глава 2.2. Планирование в erp-системе
- •§ 2.2.1. Разработка плана производства в erp–системе
- •§ 2.2.2. Определение групп изделий
- •§ 2.2.3. Базовые стратегии
- •§ 2.2.4. Гибридная стратегия
- •§ 2.2.5. Разработка плана производства запасов
- •1. Имеются ли у предприятия ресурсы для выполнения плана производ-
- •Глава 2.3. Новые стандарты csrp и erpii Введение
- •§ 2.3.1. Революционная концепция csrp
- •1. Продажа и Маркетинг
- •§ 2.3.2. Открытые технологии в csrp
- •§ 2.3.3.Концепция erpii
- •2.3.4 Новая концепция eas
- •Модуль 3. Корпоративные сети Введение
- •Глава 3.1. Корпоративные сети: основные понятия Введение
- •§ 3.1.1. Что такое корпоративная сеть?
- •§ 3.1.2. Роль Internet в корпоративных сетях
- •§ 3.1.3. Локальные сети и системы “клиент-сервер”
- •Глава 3.2. Intranet – как инструмент корпоративного управле-
- •§ 3.2.1. Основополагающие принципы Intranet Рассмотрим с разных сторон основные принципы Intranet. Во-первых, Intanet – это “интеллект” организации.
- •§ 3.2.2. Уникальность Intranet
- •§ 3.2.3. Архитектура Intranet
- •§ 3.2.4. Многоуровневый характер Intranet
- •Глава 3.3. Принципы построения корпоративных сетей передачи данных
- •§ 3.3.1. Особенности стека tcp/ip
- •§ 3.3.2. Виртуальные сети
- •§ 3.3.3. Сети на основе протокола X.25
- •§ 3.3.4. Сети Frame Relay
- •§ 3.3.5. Структура корпоративной сети
- •Глава 3.4. Проектирование и безопасность Intranet-сети
- •§ 3.4.1. Трудности создания Intranet
- •§ 3.4.2. Оценка исходного состояния организации
- •§ 3.4.3. Информационная безопасность в Intranet-сетях
- •§ 3.4.4. Сетевые аспекты политики безопасности
- •§ 3.4.4. Управление доступом путем фильтрации информации
- •§ 3.4.5. Безопасность программной среды
- •§ 3.4.6. Защита Web-серверов
- •§ 3.4.7. Аутентификация в открытых сетях
- •§ 3.4.8. Простота и однородность архитектуры
- •Глава 3.5. Оборудование корпоративных сетей
- •§ 3.5.1. Маршрутизаторы Cisco Systems
- •§ 3.5.2. Оборудование Motorola isg
- •§ 3.5.3. Решения Eicon Technology
- •§ 3.5.4. Критерии выбора корпоративной операционной системы
- •Модуль 4. Мировой рынок erp-систем Введение
- •Глава 4.1. Крупные и средние кис
- •§ 4.1.1. Производственные кис
- •§ 4.1.2. Крупные кис
- •§ 4.1.8. Средние кис
- •§ 4.1.13. Апрель
- •Глава 4.2. Малые и локальные кис
- •§ 4.2.1. Финансово-управленческие кис
- •§ 4.2.2. Малые кис
- •§ 4.2.5. Босс-Корпорация
- •§ 4.2.6. Галактика
- •§ 4.2.7. Парус
- •§ 4.2.8. Флагман
- •§ 4.2.9. Локальные кис
- •§ 4.2.11. Гепард
- •§ 4.2.12. Инфин-Управление
- •Глава 4.3. Внедрение кис на предприятиях
- •§ 4.3.1. Эффективность инвестиционных вложений в кис
- •§ 4.3.2. Внедрение кис за рубежом
- •§ 4.3.3. Внедрение кис в России
- •§ 4.3.4.Этапы внедрения кис в России
- •Особенности проектов внедрения управленческих информационных систем
- •О целях внедрения
- •Этапы проекта внедрения системы
- •Этап первый — определение стратегических целей и тактического плана проекта
- •Этап второй — обследование и описание деятельности предприятия
- •Этап третий — обучение специалистов проектной группы
- •Этап четвертый — разработка будущей модели деятельности предприятия
- •Этап пятый — разработка корпоративных стандартов
- •Этап шестой — настройка и тестирование системы
- •Этап седьмой — обучение конечных пользователей
- •Этап восьмой — опытная эксплуатация
- •Этап девятый — Окончательное документирование
- •Этап десятый — ввод системы в промышленную эксплуатацию
- •Ключевые факторы успеха внедрения управленческих информационных систем
- •Список рекомендуемой литературы
- •Глоссарий
§ 3.4.3. Информационная безопасность в Intranet-сетях
Архитектура Intranet подразумевает подключение к внешним открытым сетям, использование внешних сервисов и предоставление собственных сер- висов вовне, что предъявляет повышенные требования к защите информации.
В Intranet-системах используется подход клиент-сервер, а главная роль на сегодняшний день отводится Web-сервису. Web-серверы должны поддер- живать традиционные защитные средства, такие как аутентификация и раз- граничение доступа; кроме того, необходимо обеспечение новых свойств, в особенности безопасности программной среды и на серверной, и на клиент- ской сторонах.
Таковы, если говорить совсем кратко, задачи в области информацион- ной безопасности, возникающие в связи с переходом на технологию Intranet. Далее рассмотрим возможные подходы к их решению.
Позволим себе небольшое отступление, расскажем одну быль. Однаж- ды некий банкир, прочитав в каком-то дорогом журнале статью об информа- ционной безопасности, сделал для себя вывод, что защищаться бесполезно - слишком велик арсенал потенциального злоумышленника. Он перестал рас- сматривать предложения по защите компьютерной системы банка, считая их заведомо бесполезными. К фаталистам его отнести было нельзя, от подтяжек он не отказался, однако масса технических деталей, приведенных в журналь- ной статье, совершенно запутала и подавила его. Сжав голову руками, он хо- дил из угла в угол, бормоча: “Пароли перехватываются, соединения крадутся, получить привилегии root - раз плюнуть” и т.д. и т.п. Все попытки указать ему на то, что в статье допущен ряд чисто технических ошибок, что не ого- ворены условия, при которых возможна та или иная атака, что, наконец, от- сутствует комплексный подход к проблеме безопасности, успеха не имели.
Так совпало, что вскоре дела банка, где работал этот банкир, стали ид- ти все хуже и хуже. Более удачливые конкуренты, казалось, все время преду- гадывали его ходы, постоянно оказываясь на полшага впереди. Будем наде- яться, что у читателей данного учебника, напротив, все пойдет как нельзя
лучше и у них окажется больше здравого смысла, больше умения видеть про-
блему в целом.
Формирование режима информационной безопасности - проблема ком-
плексная. Меры по ее решению можно разделить на четыре уровня:
* законодательный (законы, нормативные акты, стандарты и т.п.);
* административный (действия общего характера, предпринимаемые руководством организации);
* процедурный (конкретные меры безопасности, имеющие дело с людьми);
* программно-технический (конкретные технические меры).
§ 3.4.4. Сетевые аспекты политики безопасности
Политика безопасности определяется как совокупность документиро- ванных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководство-
ваться следующими принципами:
* невозможность миновать защитные средства;
* усиление самого слабого звена;
* невозможность перехода в небезопасное состояние;
* минимизация привилегий;
* разделение обязанностей;
* эшелонированность обороны;
* разнообразие защитных средств;
* простота и управляемость информационной системы;
* обеспечение всеобщей поддержки мер безопасности.
Поясним смысл перечисленных принципов.
Если у злоумышленника или недовольного пользователя появится воз- можность миновать защитные средства, он, разумеется, так и сделает. При- менительно к межсетевым экранам данный принцип означает, что все ин-
формационные потоки в защищаемую сеть и из нее должны проходить через экран. Не должно быть “тайных” модемных входов или тестовых линий, иду- щих в обход экрана.
Надежность любой обороны определяется самым слабым звеном. Зло- умышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безо- пасности приобретает нетехнический характер.
Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует дос- туп. Образно говоря, если в крепости механизм подъемного моста ломается, мост должен оставаться в поднятом состоянии, препятствуя проходу непри- ятеля.
Принцип минимизации привилегий предписывает выделять пользова- телям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить кри- тически важный для организации процесс. Это особенно важно, чтобы пре- дотвратить злонамеренные или неквалифицированные действия системного администратора.
Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами фи- зической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит. Эшелонированная оборона способна по крайней мере задержать злоумышленника, а наличие такого рубежа, как про- токолирование и аудит, существенно затрудняет незаметное выполнение зло- умышленных действий.
Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенци- ального злоумышленника требовалось овладение разнообразными и, по воз- можности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операцион- ных систем).
Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его кор- ректность. Только в простой и управляемой системе можно проверить согла- сованность конфигурации разных компонентов и осуществить централизо- ванное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (скажем таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в против- ном случае система будет сложной и трудно управляемой.
Последний принцип - всеобщая поддержка мер безопасности - носит нетехнический характер. Если пользователи и/или системные администрато- ры считают информационную безопасность чем-то излишним или даже вра- ждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.
Анализ рисков - важнейший этап выработки политики безопасности. При оценке рисков, которым подвержены Intranet-системы, нужно учитывать следующие обстоятельства:
* новые угрозы по отношению к старым сервисам, вытекающие из воз- можности пассивного или активного прослушивания сети. Пассивное про- слушивание означает чтение сетевого трафика, а активное - его изменение
(кражу, дублирование или модификацию передаваемых данных). Например, аутентификация удаленного клиента с помощью пароля многократного ис- пользования не может считаться надежной в сетевой среде, независимо от длины пароля;
* новые (сетевые) сервисы и ассоциированные с ними угрозы.
Как правило, в Intranet-системах следует придерживаться принципа “все, что не разрешено, запрещено”, поскольку “лишний”сетевой сервис мо- жет предоставить канал проникновения в корпоративную систему. В прин- ципе, ту же мысль выражает положение “все непонятное опасно”.