- •Информационные системы в экономике Конспект лекций
- •1. Информационные процессы в экономике и необходимость их автоматизации.
- •1.1. Понятие информационного ресурса и информатизации, их характеристика.
- •1.2. Понятие и классификация информационных систем
- •1.3. Информационная технология – главная составная часть информационной системы
- •1.4. Назначение и состав арм конечного пользователя информационной системы
- •2. Методика создания аис в экономике
- •2.1. Проектирование: принципы и методы создания аис
- •2.2 Этапы создания информационных систем (ис)
- •3.Техническое и технологическое обеспечение аис
- •3.1 Техническое обеспечение (то) и его состав
- •3.2 Понятие и виды информационных технологий в экономике
- •3.3 Нейросетевые технологии в финансово-экономической деятельности
- •3.4 Информационная технология экспертных систем
- •3.5 Автоматизированные информационные технологии в биржевом деле
- •4. Информационное обеспечение аис
- •4.1. Понятие экономической информации, ее виды и структура
- •4.2. Понятие информационного обеспечения (ио). Системы классификации и кодирования
- •4.3. Проектирование документации и технология ее получения
- •4.4. Внутримашинное информационное обеспечение.
- •5. Автоматизированные информационные системы и технологии бухгалтерского учета и аудита
- •5.1. Технология применения персональных компьютеров в традиционных формах счетоводства
- •5.2. Организация учета с использованием автоматизированной формы
- •5.3. Системы автоматизации аудиторской деятельности (саад)
- •6. Автоматизированные информационные системы в банках
- •6.1. Автоматизированные банковские системы (абс)
- •6.2.Унифицированные решения в сфере автоматизации банковской деятельности
- •Возможности удаленного обслуживания клиентов.
- •6.4. Технология использования пластиковых карт
- •7. Автоматизированные информационные системы финансов.
- •7.1. Аис «Финансы»
- •7.2. Аис «Налог»
- •8.Информационная безопасность в аис
- •8.1. Понятие информационного пространства, информационной безопасности.
- •8.2. Виды угроз информационным объектам.
- •8.3. Компьютерные вирусы.
- •8.4. Методы и средства защиты информации.
- •6) Защита автоматизированных систем от компьютерных вирусов и незаконной модификации.
8.4. Методы и средства защиты информации.
Методами обеспечения зашиты информации на предприятии являются следующие: препятствие и управление доступом; маскировка; регламентация; принуждение и побуждение.
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).
Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:
идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);
аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
разрешение и создание условий работы в пределах установленного регламента;
регистрацию обращений к защищаемым ресурсам;
реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий).
Маскировка — метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.
Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.
Принуждение — метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.
Указанные выше методы обеспечения информационной безопасности реализуются с помощью следующих основных средств: физических, аппаратных, программных, аппаратно-программных, криптографических, организационных, законодательных и морально-этических.
Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.
Аппаратные средства защиты — это электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д.
Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.
Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.
Аппаратно-программные средства защиты — средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы.
Криптографические средства — средства защиты с помощью преобразования информации (шифрование).
Организационные средства — организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала.
Законодательные средства — правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил.
Морально-этические средства — нормы, традиции в обществе, например: Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США.
Существует два подхода к проблеме обеспечения информационной безопасности.
Фрагментарный подход ориентируется на противодействие строго определенным угрозам при определенным условиях.
Особенностью системного подхода к защите информации является создание защищенной среды обработки, хранения и передачи информации, объединяющей разнородные методы и средства противодействия угрозам: программно-технические, правовые, организационно-экономические. Организация подобной защищенной среды позволяет гарантировать определенный уровень безопасности автоматизированной информационной системы.
Системный подход к защите информации базируется на следующих методологических принципах:
конечной цели — абсолютного приоритета конечной (глобальной) цели;
единства — совместного рассмотрения системы как целого' и как совокупности частей (элементов);
связности — рассмотрения любой части системы совместно с ее связями с окружением;
модульного построения — выделения модулей в системе и рассмотрения ее как совокупности модулей;
иерархии — введения иерархии частей (элементов) и их ранжирования;
функциональности — совместного рассмотрения структуры и функции с приоритетом функции над структурой;
развития — учета изменяемости системы, ее способности к развитию, расширению, замене частей, накапливанию информации;
децентрализации — сочетания в принимаемых решениях и управлении централизации и децентрализации;
неопределенности — учета неопределенностей и случайностей в системе.
Защита информации на предприятии должна строиться по следующим основным направлениям:
1) Защита аппаратуры и носителей информации от похищения, повреждения и уничтожения.
Эта задача — часть общей проблемы защиты имущественных прав организаций. Для борьбы с угрозами этого вида используются традиционные мероприятия:
физическая охрана и ограничение доступа к аппаратуре и носителям данных;
ограждение зданий и территорий;
использование устройств, препятствующих похищению компьютерной аппаратуры, ее компонентов и узлов.
2) Защита информационных ресурсов от несанкционированного использования.
Для этого применяются средства контроля включения питания и загрузки программного обеспечения. Обеспечивает охрану конфиденциальности, целостности и доступности информации и автоматизированных служб системы.
3) Защита от утечки по побочным каналам электромагнитных излучений и наводок.
Реализуется экранированием аппаратуры и помещений, эксплуатацией специальной защищенной аппаратуры, применением маскирующих генераторов шумов и помех, а также проверкой аппаратуры на наличие излучений.
4) Защита информации в каналах связи и узлах коммутации.
Для защиты используются процедуры аутентификации (установления подлинности) абонентов и сообщений, шифрование и специальные протоколы связи.
5) Защита юридической значимости электронных документов.
При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве.