- •Информационные системы управления бизнесом конспект вшуб
- •Тема 1. Основные понятия ис
- •1. Организационная структура предприятия. Информационные процессы в управлении предприятием. Классификация структур управления.
- •2. Понятие информационной системы (ис). Классификация информационных систем.
- •3. Архитектура ис, типы архитектур.
- •5. Перспективные направления использования информационных технологий в экономике.
- •Тема 2. Информационное обеспечение ис
- •1. Информационная модель предприятия. Информационные потоки, источники и потребители информации.
- •2. Информационное обеспечение ис и требования к нему.
- •3. Информационные ресурсы, информационные продукты и услуги
- •4. Классификация информационных ресурсов.
- •5. Информационные ресурсы ис. Корпоративные базы данных. Единое информационное пространство организации (предприятия). Электронный документооборот.
- •6. Проблемы создания информационных ресурсов и обеспечения доступа к ним.
- •Тема 3. Ит-инфраструктура предприятия
- •1. Понятие, компоненты и уровни зрелости ит-инфраструктуры предприятия.
- •2. Способы организации ит-инфраструктуры: центр обработки данных (цод) и его компоненты, виртуальный цод.
- •3. Корпоративные информационные системы (кис). Основные компоненты кис. Требования к кис.
- •4. Технологии интеграции ис. Технологии открытых систем. Эталонная модель среды и взаимосвязи открытых систем.
- •5. Техническое обеспечение ит-инфраструктуры ис: компоненты и требования к нему.
- •6. Технические средства front- и back-офиса ис в предметной области. Критерии выбора технических средств для ис в предметной области.
- •7. Корпоративная сеть (кс) предприятия: назначение, структура и основные компоненты.
- •8. Сети Интранет и Экстранет. Требования, предъявляемые к кс.
- •9. Организация сетевого доступа к ресурсам ис.
- •10. Администрирование кс.
- •Тема 4. Программное обеспечение ис
- •1. Программное обеспечение (по) ис: состав и требования к нему.
- •2. Сегментация рынка прикладного по для ис.
- •4. Интегрированное прикладное по.
- •5. Критерии выбора программного обеспечения для ит-инфраструктуры.
- •6. Тенденции развития программного обеспечения.
- •Тема 5. Средства поддержки принятия решений
- •1. Понятие искусственного интеллекта (ии), направления использования ии.
- •2. Математические модели и методы искусственного интеллекта.
- •3. Системы ии и их роль в поддержке управленческих решений.
- •4. Аналитическая обработка данных, системы оперативной аналитической обработки (оlap).
- •5. Интеллектуальный анализ данных (Data Mining) и знаний (Knowledge Мining). Управление и анализ больших объемов данных (Big data). Системы бизнес-аналитики (Business Intelligence, bi).
- •6. Управление знаниями. Системы управления знаниями.
- •7. Экспертные системы (эс): назначение и классификация. Основные компоненты эс.
- •8. Системы поддержки принятия решений (сппр): назначение и классификация. Основные компоненты сппр.
- •9. Интеллектуальные агенты: назначение и классификация.
- •10. Роль и место систем ии в информационных системах.
- •Тема 6. Информационная безопасность ис
- •1. Понятие информационной безопасности (иб) ис.
- •2. Угрозы информационной безопасности ис и их классификация.
- •3. Методы и средства защиты информации. Криптографический метод защиты. Электронная цифровая подпись. Компьютерная стеганография и др.
- •4. Оценка информационной безопасности ис: стандарты и классы иб, требования к иб.
- •5. Правовое обеспечение ис. Политика безопасности предприятия. Государственное законодательство в области информационной безопасности ис.
- •Тема 7. Проектирование информационных систем
- •1. Жизненный цикл (жц) ис. Стандарты разработки ис. Этапы и модели разработки ис, формируемые документы. Роль заказчика и разработчика ис в формировании требований к ней.
- •2. Проектирование ис. Подходы к проектированию ис. Методологии проектирования ис.
- •3. Средства автоматизации проектирования ис. Case-системы.
- •4. Оценка качества информационной системы. Критерии качества ис.
- •5. Реинжиниринг ис и его место в жц ис. Методы и технологии реинжиниринга ис.
- •Тема 8. Сетевые технологии в экономике
- •1. Сетевая экономика.
- •2. Электронный бизнес. Модели электронного бизнеса.
- •3. «Облачные» сервисы в экономике.
- •4. Роль социальных сетей в экономике.
2. Угрозы информационной безопасности ис и их классификация.
Все происходящие процессы преобразования оказывают влияние на состояние информационной безопасности.
Факторы, влияющие на безопасность, принято делить на:
- экономические;
- политические;
- организационно-технические.
К политическим факторам относят: изменение геополитической обстановки в результате фундаментальных перемен; информационную экспансию развитых стран; разрушение командно-административной системы управления; нарушение информационных связей в результате образования новых государств; стремление стран СНГ к более тесному сотрудничеству; низкую общую правовую и информационную культуру в обществе.
Среди экономических факторов угроз информационной безопасности выделяют: переход к рыночной экономике; критическое состояние отраслей промышленности; расширяющуюся кооперацию с зарубежными странами.
К организационно-техническим факторам угроз информационной безопасности относят: недостаточною нормативно-правовую базу в сфере информационных отношений; рост объемов информации, передаваемой по открытым каналам связи; обострение криминогенной обстановки; широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации.
Существуют и другие подходы к классификации угроз информационной безопасности:
•По иерархическому признаку: глобальные, региональные, локальные.
•по цели реализации угрозы делят на нарушение конфиденциальности, целостности, доступности;
•по характеру воздействия делят на активные, пассивные;
•по использованию средств атаки выделяют: с использованием штатного ПО, с использованием разработанного ПО;
•по состоянию объекта атаки при хранении, передаче, обработке объекта.
3. Методы и средства защиты информации. Криптографический метод защиты. Электронная цифровая подпись. Компьютерная стеганография и др.
Защита информации – деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны, на сохранение носителей информации любого содержания.
Создание системы информационной безопасности основывается на следующих принципах: системный подход, непрерывное развитие, разделение и минимизация полномочий, полнота контроля и регистрации попыток, обеспечение надежности системы защиты, обеспечение контроля за функционированием системы защиты, обеспечение всевозможных средств борьбы с вредоносными программами, обеспечение экономической целесообразности.
Выделяют два подхода к проблеме обеспечения ИБ:
фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях.;
комплексный подход ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разнородные меры противодействия угрозам..
Для обеспечения ИБ используются следующие основные методы:
законодательные (законы, нормативные акты, стандарты и т.п.);
административно-организационные (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, направленные на работу с людьми);
программно-технические (конкретные технические меры).
К законодательным методам относят комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий потому, что это осуждается и/или наказывается обществом, и потому, что так поступать не принято.
Администратпивно-организационные метод – администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соответствующие ресурсы. Основой мер защиты административно-организационного уровня является политика безопасности и комплекс организационных мер, к которым относят методы безопасности, реализуемые людьми (управление персоналом, физическая защита, поддержание работоспособности, реагирование на нарушения режима безопасности, планирование восстановительных работ). В любой организации должен существовать набор регламентов, определяющих действия персонала в соответствующих ситуациях.
Программно-технические методы и средства:
применение защищенных виртуальных частных сетей для защиты информации, передаваемой по открытым каналам связи;
применение межсетевых экранов для защиты корпоративной сети от внешних угроз при подключении к общедоступным сетям связи;
управление доступом на уровне пользователей и защита от несанкционированного доступа к информации;
гарантированная идентификация пользователей путем применения токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.) и других средств аутентификации;
защита информации на файловом уровне (путем шифрования файлов и каталогов) для обеспечения ее надежного хранения;
защита от вирусов с использованием специализированных комплексов антивирусной профилактики и защиты;
технологии обнаружения вторжений и активного исследования защищенности информационных ресурсов;
криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности информации
В настоящее время для организации современных защищенных VPN-каналов широко используется комплекс стандартов сети Интернет, известный под названием IPSec (IP Security).
Средства VPN предприятия могут эффективно поддерживать защищенные каналы трех типов:
с удаленными и мобильными сотрудниками (защищенный удаленный доступ);
с сетями филиалов предприятий (защита intranet);
с сетями предприятий-партнеров (защита extranet).
Поддержка IPSec является сегодня обязательным условием для перспективных VPN-продуктов.
Для защиты VPN применяются межсетевые экраны, которые реализуют относительно простую схему доступа:
доступ контролируется в одной точке, располагающейся на пути соединения внутренней сети с сетью Интернет или другой публичной сетью, являющейся источником потенциальных угроз;
все субъекты доступа делятся на группы по IP-адресам (внутренние и внешние пользователи);
внешним пользователям разрешается для доступа к внутренним ресурсам сети использовать один-два популярных сервиса сети Интернет, например электронную почту, а трафик остальных сервисов отсекается.
При применении нескольких межсетевых экранов в пределах одной внутренней сети требует организации их скоординированной работы на основе единой политики доступа. Такая координация нужна для того, чтобы корректно обрабатывать пакеты пользователей независимо от того, через какую точку доступа проходит их маршрут.
При предоставлении информации в сети для гарантированной идентификации пользователей используется специальный механизм, состоящий из трех процедур:
идентификация – процедура распознавания пользователя по его идентификатору (имени), который пользователь сообщает сети по ее запросу, сеть проверяет его наличие в своей базе данных;
аутентификация – процедура проверки подлинности заявленного пользователя, которая позволяет достоверно убедиться, что пользователь именно тот, кем себя объявляет (в частности, пароль);
авторизация – процедура предоставления пользователю определенных полномочий и ресурсов сети, т.е. устанавливает сферу действия пользователя и доступные ему ресурсы.
Особую роль в программно-технических методах защиты информации играют криптографические преобразования данных и электронная цифровая подпись.
Криптографический алгоритм, или шифр, – это математическая формула, описывающая процессы зашифрования и расшифрования. Чтобы зашифровать открытый текст, криптоалгоритм работает в сочетании с ключом – словом, числом или фразой. Одно и то же сообщение одним алгоритмом, но с разными ключами будет преобразовываться в разный шифротекст. Защищенность шифротекста целиком зависит от двух параметров: стойкости криптоалгоритма и секретности ключа.
Дополнительное преимущество от использования криптосистем с открытым ключом состоит в том, что они предоставляют возможность создания электронных цифровых подписей (ЭЦП). Электронная цифровая подпись – это реквизит электронного документа, предназначенный для удостоверения источника данных и защиты данного электронного документа от подделки. Цифровая подпись позволяет получателю сообщения убедиться в аутентичности источника информации (иными словами, в том, кто является автором информации), а также проверить, была ли информация изменена (искажена), пока находилась в пути.