- •Тема 1. Предмет и основные понятия корпоративных информационных систем 2
- •Тема 8. Обеспечение безопасности корпоративных информационных систем 53
- •Тема 9. Проектирование корпоративных информационных систем 59
- •Тема 1. Предмет и основные понятия корпоративных информационных систем Компьютерные информационные технологии в управлении экономическим объектом. Классификация систем управления.
- •Понятие информационной системы.
- •Виды обеспечения информационных систем.
- •Корпоративные информационные системы.
- •Принципы организации корпоративных информационных систем. Корпоративные информационные технологии.
- •Технологии "клиент/сервер".
- •Структура корпоративной информационной системы.
- •Требования к кис.
- •Тема 2. Информационные ресурсы корпоративных информационных систем Информационные ресурсы. Роль информационных ресурсов в управлении экономикой.
- •Государственные программы информатизации Республики Беларусь.
- •Тема 3. Технические средства и системное программное обеспечение корпоративных информационных систем
- •Системное программное обеспечение. Переносимость, масштабируемость, мобильность, режимы обработки информации и другие характеристики операционных систем.
- •Операционная среда.
- •Тема 4. Сетевое обеспечение корпоративных информационных систем Корпоративные сети. Характеристики корпоративных компьютерных сетей.
- •Internet/Intranet-технологии в корпоративных информационных системах.
- •Развитие телекоммуникационных и сетевых технологий.
- •Тема 5. Корпоративные базы данных
- •Тема 6. Прикладное программное обеспечение корпоративных информационных систем
- •Электронный бизнес, его классификация.
- •Пакеты прикладных программ в предметной области. Состояние рынка программного обеспечения в Республике Беларусь. Перспективы развития прикладного программного обеспечения в предметной области.
- •Модель нейрона, алгоритм ее работы.
- •Активационные функции
- •Искусственные нейронные сети. Однословные искусственные нейронные сети
- •Примеры применения нейронных сетей для решения экономических задач.
- •Интеллектуальный анализ данных.
- •Понятие и назначение экспертной системы (эс).
- •Классификация эс. Архитектура и принципы построения эс.
- •Режимы работы эс.
- •Понятие системы поддержки принятия решений (сппр).
- •Применение сппр в экономике.
- •Тема 8. Обеспечение безопасности корпоративных информационных систем Информационная безопасность.
- •Классы безопасности информационных систем.
- •3. Разработка и распространение компьютерных вирусов.
- •4. Преступная небрежность в разработке, изготовлении и эксплуатации программно-вычислительных комплексов, приведшая к тяжким последствиям.
- •5. Подделка компьютерной информации.
- •6. Хищение компьютерной информации. Программно-техническое обеспечение безопасности информационных систем.
- •Средства защиты: физические, аппаратные, программные, аппаратно-программные, криптографические и т.Д.
- •Корпоративные проекты информационной безопасности. Обеспечение безопасности в компьютерных сетях.
- •Методы защиты информации: организационно-административные и организационно-технические.
- •Тема 9. Проектирование корпоративных информационных систем Жизненный цикл кис. Модели жизненного цикла кис: каскадная, спиральная.
- •Этапы проектирования кис.
- •Разработка концепции кис.
- •Реинжиниринг бизнес-процессов. Участники реинжиниринга бизнес-процессов.
- •Case-технологии.
- •Оценка эффективности внедрения информационных систем.
Тема 8. Обеспечение безопасности корпоративных информационных систем Информационная безопасность.
Термин "безопасность" определяется как "состояние защищённости жизненно важных интересов личности, общества, государства от внутренних и внешних угроз». Состояние защищенности — это стабильно прогнозируемое во времени состояние окружения, в котором предприятие может осуществлять свои уставные задачи без перерывов, нарушений и потери конкурентоспособности
Следует различать понятия информационная безопасность и безопасность информации. Первое понятие охватывает более широкий круг проблем. Информационная безопасность — состояние защищённости информационной сферы (информационной среды общества), обеспечивающее её формирование и развитие в интересах граждан, организаций и государства. Жизненно важные интересы — совокупность потребностей, обеспечивающих существование и прогрессивное развитие. Объекты безопасности — личность, её права и свободы, общество — его духовные и материальные ценности, государство — его конституционный строй, суверенитет и территориальная целостность. С точки зрения информационной безопасности необходимо защитить граждан (информационная безопасность личности) от ненужной информации, от разрушающего психику и сознание потока информации. С другой стороны, необходимо обеспечить право граждан на информацию.
Информационная безопасность как составная часть экономической безопасности предпринимательской деятельности включает в себя: а) комплексную программу обеспечения безопасности информационных ресурсов предприятия и б) экономически обоснованную технологическую систему защиты, обеспечивающую должный уровень защищенности, готовности, надежности ИС и безопасность информации.
Безопасность информации — это обеспечение ее конфиденциальности, целостности и доступности законным пользователям. Безопасность информации - состояние защищённости информации, обрабатываемой средствами вычислительной техники (ВТ), находящуюся на машинных и традиционных носителях, от внутренних и внешних угроз.
Угрозам — случайным или намеренным действиям, выводящим фирму, независимо от рода ее деятельности, из состояния безопасности со стороны внешнего окружения и внутренних источников подвержены персонал, имущество, информация и товары при перемещении. Кроме того, фирма может быть признана виновной в судебном порядке за ущерб, нанесённый третьим лицам (включая и собственных служащих) или собственности.
Таким образом, можно определить цель обеспечения безопасности информации, которая заключается в защите прав собственности на неё, и задачи безопасности, которые заключаются в защите её от утечки, копирования, блокирования, модификации и утраты.
Классы безопасности информационных систем.
В 1983 году Министерство обороны США выпустило Orange Book книгу в оранжевой обложке под названием Критерии оценки достоверных компьютерных систем. За пределами США также появились аналоги Оранжевой книги : это руководящие документы Гостехкомиссии, а также Критерии оценки безопасности информационных технологий, действующие в странах Западной Европы. Новый международный стандарт ISO/IEC 15408 Единые критерии оценки безопасности в области ИТ чаще всего называют просто Common Criteria ( Единые критерии ).
Критерии, сформулированные в TCSEC, ITSEC и CCITSE, определяют разбиение компьютерных систем на четыре уровня безопасности. Уровень A самый высокий. Далее идет уровень B (в порядке понижения безопасности здесь идут классы B3, B2, B1). Затем наиболее распространенный уровень C (классы C2 и C1). Самый нижний уровень D. Следуя компромиссу между требованиями безопасности, эффективностью системы и ее ценой, подавляющее большинство компаний стремится сегодня получить сертификат по классу C2.
Класс D. Минимальный уровень безопасности. В этот класс попадают системы, которые были заявлены на сертификацию, но ее не прошли.
Класс С1. Избирательная защита доступа. Предусматривает наличие достоверной вычислительной базы (TCB), выполнение требований к избирательной безопасности. Обеспечивается отделение пользователей от данных (меры по предотвращению считывания или разрушения данных, возможность защиты приватных данных). В настоящее время по этому классу сертификация не предусмотрена.
Класс C2. Управляемая защита доступа. Системы данного класса способны осуществлять более четко выделенный контроль в плане избирательной защиты доступа. Действия пользователя связываются с процедурами идентификации/аутентификации. Наделение и лишение пользователей привилегий доступа. Кроме этого, ведется аудит событий, критичных с точки зрения безопасности, выполняется изоляция ресурсов.
Класс B1. Маркированное обеспечение безопасности. В дополнение к требованиям класса C2 необходимо неформальное описание модели политики безопасности, маркировки данных, а также принудительного управления доступом к поименованным субъектам и объектам.
Класс B2. Структурированная защита. В этом классе систем TCB должна опираться на четко определенную и документированную формальную модель политики безопасности. Действие избирательного и принудительного управления доступом распространяется на все субъекты и объекты в системе. Выявляются тайные каналы. TCB должна четко декомпозироваться на элементы, критичные и некритичные с точки зрения безопасности. Усиливаются механизмы аутентификации. Обеспечивается управление механизмами достоверности в виде поддержки функций системного администратора и оператора. Подразумевается наличие механизмов строгого управления конфигурацией.
Класс B3. Домены безопасности. TCB должна удовлетворять требованиям эталонного механизма мониторинга, который контролирует абсолютно весь доступ субъектов к объектам и при этом быть достаточно компактным, чтобы его можно было проанализировать и оттестировать. Требуется наличие администратора по безопасности. Механизмы аудита расширяются до возможностей оповещения о событиях, критичных по отношению к безопасности. Требуются процедуры восстановления системы. Система крайне устойчива к вторжению.
Класс A1. Верифицированное проектирование. Данный класс систем функционально эквивалентен классу B3 в том смысле, что не требуется добавления дополнительных архитектурных особенностей или предъявления иных требований к политике безопасности. Существенное отличие состоит в требовании наличия формальной спецификации проектирования и соответствующих методов верификации. В данном классе не зарегистрировано ни одной ОС.
Классификация угроз информационной безопасности. Факторы угроз: глобальные, региональные и локальные.
Угрозы безопасности деятельности предприятий и информации подразделяются на внешние и внутренние. Их перечень обширен и для каждого предприятия индивидуален. Общими для всех являются угрозы стихийных бедствий, техногенных катастроф и деятельность людей - непреднамеренные ошибки персонала (нарушители) или преднамеренные действия (злоумышленники), приводящие к нарушениям безопасности. Перечень угроз информационным системам:
Противоправный сбор и использование информации;
Нарушения технологии обработки информации;
Внедрение аппаратных и программных закладок, нарушающих нормальное функционирование ИС;
Создание и распространение вредоносных программ
Уничтожение и повреждение ИС и каналов связи
Компрометация ключей и средств криптографической защиты;
Утечка информации по техническим каналам;
Внедрение устройств для перехвата информации;
Хищение, повреждение, уничтожение носителей информации;
Несанкционированный доступ в ИС, базы и банки данных.
Понятие компьютерной преступности.
Ни в одном из уголовных кодексов союзных республик не удастся найти главу под названием “Компьютерные преступления”. Таким образом компьютерных преступлений, как преступлений специфических в юридическом смысле не существует.
Попытаемся кратко обрисовать явление, которое как социологическая категория получила название “компьютерная преступность”. Компьютерные преступления условно можно подразделить на две большие категории - преступления, связанные с вмешательством в работу компьютеров, и, преступления, использующие компьютеры как необходимые технические средства.
Перечислим основные виды преступлений, связанных с вмешательством в работу компьютеров.
1. Несанкционированный доступ к информации, хранящейся в компьютере. Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов технических устройств, использованием информации оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи, подключаемой к каналам передачи данных.
2. Ввод в программное обеспечение “логических бомб”, которые срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему.