- •Содержание
- •21.1. Основные принципы создания и использования автоматизированных систем учёта товародвижения, бухгалтерского учёта, анализа и аудита 74
- •Введение
- •1. Основные понятия информационных систем
- •1.1. Информационные ресурсы и продукты
- •1.2. Понятие системы
- •2. Информационные системы
- •2.1. Понятие информационная система
- •2.2. Функционирование ис
- •2.3. Классификация информационных систем
- •3. Виды информационных технологий
- •4. Базы данных
- •5. Модели данных
- •6. Системы управления базами данных
- •6.1. Понятие субд. Состав и функции субд
- •6.2. Требования, предъявляемые к субд
- •6.3. Технология работы в субд
- •7. Табличные процессоры в информационных системах
- •7.1. Назначение табличных процессоров
- •7.2. Сервисные функции в Microsoft Excel
- •8. Компьютерные сети
- •8.1. Основные понятия и определения
- •8. 2. Топология компьютерных сетей
- •8.3. Модели лвс
- •9. Техническое обеспечение компьютерных сетей
- •9.1. Среда передачи данных
- •9.2. Сетевой адаптер
- •9.3. Соединение нескольких сетей
- •10. Современные системы телекоммуникаций
- •10.1. Спутниковые сети
- •10.2. Сотовые сети
- •10.3. Стандарты и спецификации сотовой связи
- •11. Безопасность информационных систем
- •11.1. Основные понятия безопасности информации
- •11.2. Основные меры осуществления безопасности
- •12. Атаки на компьютерные системы
- •12.1. Виды атак
- •12.2. Типовые атаки
- •12.3. Методы отражения атак
- •13. Проектирование информационных систем
- •13.1. Методы организации информационных систем
- •13.2. Проектирование ис
- •14. Case-средства проектирования информационных систем
- •15. Интеллектуальные технологии в информационных системах
- •16. Экспертные системы
- •17. Бухгалтерские информационные системы
- •18. Банковские информационные системы
- •19. Информационные системы биржевой и внебиржевой торговли
- •20. Информационные системы маркетинга
- •21. Автоматизированные системы бухгалтерского учета
- •21.1. Основные принципы создания и использования автоматизированных систем учёта товародвижения, бухгалтерского учёта, анализа и аудита
- •21.2. Современные информационные системы учета
- •Введение
- •22.1 Подготовительные операции
- •22.2. Элементы пользовательского интерфейса
- •Ввод основных сведений
- •22.4. Установка параметров расчетного периода
- •22.5. Общие сведения о справочниках
- •22.6. Заполнение справочника
- •22.7. Установка рабочей даты и валютного курса
- •22.8. Ввод данных об остатках товаров
- •22.9. Операции в оптовой торговле
- •22.10. Перечисление аванса поставщику
- •22.11. Подтверждение перечисления средств с расчетного счета
- •Литература
12.3. Методы отражения атак
Рассмотрим несколько способов, которые позволяют значительно усилить защищенность информационных систем от атак злоумышленников.
Все объекты в информационных системах взаимодействуют между собой по каналам связи. При этом если используется топология сети общая шина, то сообщение, предназначенное только одному объекту системы, будет получено всеми объектами сети. Соответственно, безопасность такой сети очень низкая. Выходом является создание сети, в которой объекты соединены с помощью выделенных каналов. Примером таких сетей могут служить сети с топологией звезда или полносвязные сети.
Применение выделенных каналов между клиентами сети обеспечивает следующие преимущества:
передача сообщений осуществляется напрямую между источником и приемником, благодаря чему отсутствует программная возможность анализа сетевого трафика;
простота идентификации сетевых объектов;
в системе с выделенными каналами связи каждый объект обладает полной информацией о других объектах системы.
Использование выделенных каналов не обеспечивает полную безопасность, так как всегда имеется вероятность физического подключения злоумышленника к каналу передачи данных. Поэтому при передаче важной информации необходимо применять методы криптографической защиты, т.е. шифрование информации. Различают два вида шифрования информации: шифрование с открытым ключом и шифрование с закрытым ключом. Рассмотрим, в чем заключаются эти два метода.
Характерная особенность шифрования с закрытым ключом состоит в том, что для шифрования сообщения и его расшифровки используется один и тот же ключ. Ключ - это правило, которое определяет порядок создания шифра, или его преобразование в исходный текст. Для того чтобы сообщение не было прочитано посторонними лицами, такой ключ должен хранится в тайне.
Простейшим примером шифрования с закрытом ключом является метод Цезаря, который заключается в замене букв текста на следующие по алфавиту. Например, следующая запись
ГСЖНА - ЕЖОЭДЙ
будет переведена как
ВРЕМЯ – ДЕНЬГИ.
Данному методу присущи следующие недостатки:
перед началом обмена информацией ключ для шифрования сообщений необходимо тайно передать от одного партнера другому, что бывает иногда трудно достижимо;
ключ для расшифровывания знает два человека, следовательно, могут узнать и остальные.
Суть метода шифрования с открытым ключом заключается в том, что исходное сообщение зашифровывается одним ключом, а расшифровывается с помощью другого ключа. При этом с помощью первого ключа расшифровать сообщение невозможно, а с помощью второго ключа невозможно зашифровать сообщение. Такая пара ключей называется открытым (общедоступным) и закрытым (тайным) ключами.
Данный метод работает следующим образом. Один из партнеров сообщает другому партнеру открытый ключ любым способом (в письме, по телефону, при личной встрече и т.д.), не заботясь о сохранение его в тайне. При этом у себя он оставляет закрытый ключ, который никто не знает.
Второй партнер зашифровывает сообщение открытым ключом, который ему передали, и посылает его адресату. Получив это сообщение, первый партнер расшифровываете его с помощью своего закрытого ключа. Если сообщение все же будет перехвачено по дороге, то его все равно нельзя будет прочитать без закрытого ключа.
Преимущества этого метода заключается в следующем:
открытый ключ можно легко передать своему партнеру без конспирации;
закрытый ключ знает только один человек, что повышает его сохранность.
Однако у данного метода есть недостаток, который заключается в том, что программы, использующие данный метод, работают значительно медленнее, чем те, которые используют метод шифрования с закрытым ключом.
Поэтому часто поступают следующим образом. Первоначально один из партнеров сообщает другому открытый ключ. После этого другой партнер создает некоторый закрытый ключ, и этот закрытый ключ зашифровывает с помощью полученного открытого ключа. Затем он посылает такое сообщение первому партнеру. Первый партнер расшифровывает полученный закрытый ключ с помощью своего ключа. Таким образом, два партнера знают один общий закрытый ключ, с помощью которого можно шифровать и расшифровывать сообщения.
К шифрованию независимо от его метода предъявляются следующие требования:
применяемый метод должен быть устойчивым к попыткам раскрыть исходный текст;
объем ключа не должен затруднять его запоминание и пересылку;
ошибки в шифровании не должны вызывать потерю информации;
время шифрования и дешифрования сообщений должно быть приемлемым.
Проблему подмены истинных данных ложными, можно решить, если обеспечить проверку подлинности адреса отправителя. Данную задачу можно решить, если функцию проверки подлинности адреса возложить на маршрутизатор. Маршрутизатор проверяет соответствие адреса отправителя с адресом соответствующей подсети, откуда пришло сообщение. Если адреса совпадают, то сообщение пересылается далее, в противном случае – отфильтровывается. Этот способ позволяет на начальной стадии отбросить пакеты с неверными адресами отправителя.
Если проверку подлинности адреса отправителя осуществить сложно, то для идентификации подлинности отправителя используют, так называемую, цифровую подпись. Цифровая подпись - это дополнительная запись к любой информации, которая подтверждает подлинность этой информации и не позволяет отрицать факт создания данной информации. Например, цифровая подпись в письме гарантирует, что письмо является подлинным, т.е. не измененным и не поддельным, и что его отослал конкретный человек, а не кто-то другой.
Цифровая подпись работает следующим образом. Для создания цифровой подписи файл, который следует передать по сети, пропускается через специальный хорошо известный математический алгоритм, так называемого "хеширования". В результате чего получается новый небольшой файл, содержащий информацию (код) о составе исходного файла – это и есть цифровая подпись.
При этом важным условием является то, что данный алгоритм должен устойчиво получать один и тот же код для одного и того же файла и различные коды для различных файлов. Так, если в документ добавить хоть один дополнительный пробел, то код должен получится уже совсем другим. Кроме того, чтобы исключить подделку цифровой подписи, такой алгоритм или функция хеширования должна быть односторонней. Это значит, что из исходного файла получить код можно, а наоборот нет.
После получения кода его зашифровывают с помощью закрытого ключа. Затем исходный документ вместе с зашифрованным кодом передается получателю. Получатель с помощью открытого ключа расшифровывает полученный код. С помощью алгоритма хеширования получатель прогоняет исходный документ и получает свой код. Эти два кода сравниваются между собой и если они совпадают, то, можно сказать (и доказать), что это действительно документ созданный и подписанный первой стороной.
Фактически цифровая подпись (без учета хеширования, которое необходимо только лишь для уменьшения объема подписи) – это шифрование с открытым ключом наоборот. Закрытый ключ используется для того, чтобы первый партнер мог зашифровать код, а открытый ключ известен всем и используется для расшифровки кода и его проверки.
Обезопасить вычислительную сеть от атаки типа отказ в обслуживание можно следующим образом. В системе вводится ограничение на число обрабатываемых в секунду запросов из одной сети. Данное ограничение не позволит атакующему загрузить полностью сервер, так как только первые несколько его запросов будут поставлены в очередь на обслуживание, а остальные будут игнорироваться. Первый же запрос легального пользователя из другой сети будет сразу поставлен в очередь.
Для того чтобы злоумышленник не мог произвести внедрение ложного объекта в сеть необходимо отказаться от посылки уточняющих запросов при установлении более точного адреса получателя. Вместо этого необходимо использовать информационно-поисковые сервера, которые содержат полную информацию обо всех объектах.