Информатизация инженерного образования (выпуск 1)
.pdf
Г л а в а 2. Автоматизированные информационные системы управления образованием
|
|
|
|
|
|
Таблица 2.1 |
|
|
Рейтинги систем автоматизации |
|
|
|
|||
|
|
|
|
|
|
|
|
Раздел |
Подраздел |
MS |
Oracle E-Busi- |
PeopleSoft Enter- |
SAP my |
|
MS |
Axapta |
ness Suite |
priseOne |
SAP |
|
Navision |
||
|
|
|
|||||
|
|
|
|
|
|
|
|
Финансы |
Главная |
0 |
10,43 |
8,36 |
10,12 |
|
–0,77 |
|
бухгалтерия |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Бухгалтерия |
0 |
12,14 |
12,32 |
13,16 |
|
–8,81 |
|
кредиторов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Учет основных |
0 |
17,77 |
17,07 |
17,22 |
|
0,54 |
|
средств |
|
|
|
|
|
|
|
Контроль затрат |
0 |
8,27 |
8,12 |
12,60 |
|
–23,67 |
|
на производство |
|
|
|
|
|
|
|
и формирование це- |
|
|
|
|
|
|
|
ны продукта |
|
|
|
|
|
|
|
Финансовый |
0 |
9,27 |
9,27 |
9,27 |
|
–26,75 |
|
менеджмент |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Составление бюд- |
0 |
10,4 |
7,4 |
10,4 |
|
–15,88 |
|
жета и анализ его |
|
|
|
|
|
|
|
выполнения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Бухгалтерия |
0 |
15,82 |
17,11 |
16,85 |
|
0,21 |
|
дебиторов |
|
|
|
|
|
|
|
Финансовая |
0 |
13,3 |
13,3 |
13,3 |
|
7,31 |
|
отчетность |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление |
0 |
0 |
–3,51 |
0 |
|
–11,73 |
|
проектами |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
0 |
9,76 |
8,65 |
10,58 |
|
–10,66 |
|
|
|
|
|
|
|
|
Управление |
Управление |
0 |
–0,43 |
–56,69 |
–1,42 |
|
–42,74 |
персоналом |
персоналом |
|
|
|
|
|
|
|
(в узком смысле) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление |
0 |
–5,84 |
–2,97 |
1,03 |
|
–38,97 |
|
льготами |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Расчет заработной |
0 |
40,77 |
40,77 |
40,77 |
|
26,67 |
|
платы |
|
|
|
|
|
|
|
Самообслуживание |
0 |
40,00 |
17,27 |
40,00 |
|
–20,00 |
|
сотрудников |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Хранилища данных |
0 |
40,00 |
39,09 |
40,00 |
|
–20,00 |
|
|
|
|
|
|
|
|
|
Выплаты по здоро- |
0 |
30,91 |
21,82 |
40,00 |
|
–20,00 |
|
вью, страховки |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
0 |
23,65 |
8,86 |
25,60 |
|
–17,66 |
|
|
|
|
|
|
|
|
Используемые |
Архитектура |
0 |
1,76 |
4,26 |
4,27 |
|
–31,90 |
технологии |
|
|
|
|
|
|
|
Интерфейс |
0 |
8,57 |
8,57 |
8,57 |
|
8,57 |
|
|
|
|
|
|
|
|
|
|
Платформы |
0 |
4,63 |
14,26 |
24,44 |
|
–9,63 |
|
|
|
|
|
|
|
|
|
Средства расшире- |
0 |
20,06 |
23,67 |
22,00 |
|
–23,00 |
|
ния и создания ПО |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Документооборот |
0 |
10,00 |
–6,67 |
10,00 |
|
–16,67 |
|
|
|
|
|
|
|
|
|
Средства создания |
0 |
0 |
0 |
0 |
|
–15,0 |
|
отчетов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
0 |
7,09 |
7,34 |
11,54 |
|
–14,09 |
|
|
|
|
|
|
|
|
81
Ч А С Т Ь 1. НАПРАВЛЕНИЯ ИНФОРМАТИЗАЦИИ ОБРАЗОВАНИЯ
Продолжение табл. 2.1
|
Подраздел |
MS |
Oracle E-Busi- |
PeopleSoft Enter- |
SAP my |
MS |
|
Axapta |
ness Suite |
priseOne |
SAP |
Navision |
|
|
|
|||||
|
|
|
|
|
|
|
Управление |
Управление стоимо- |
0 |
8,67 |
9,48 |
6,21 |
–1,07 |
производст- |
стью продукта |
|
|
|
|
|
вом |
Управление |
0 |
19,05 |
18,98 |
12,38 |
7,22 |
|
цехом/учет |
|
|
|
|
|
|
рабочего времени |
|
|
|
|
|
|
|
|
|
|
|
|
|
Сервисное |
0 |
45,04 |
46,40 |
45,75 |
21,85 |
|
обслуживание |
|
|
|
|
|
|
|
|
|
|
|
|
|
Планирование |
0 |
13,37 |
7,78 |
14,51 |
–2,65 |
|
и управление |
|
|
|
|
|
|
производством |
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление |
0 |
33,33 |
32,31 |
26,61 |
19,66 |
|
проектами |
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление дан- |
0 |
30,34 |
32,13 |
28,08 |
–8,38 |
|
ными о продукте |
|
|
|
|
|
|
Конфигуратор |
0 |
–2,37 |
2,63 |
–2,11 |
–33,16 |
|
производимой |
|
|
|
|
|
|
продукции |
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
0 |
21,06 |
22,34 |
17,82 |
0,50 |
|
|
|
|
|
|
|
Управление |
Оперативное управ- |
0 |
13,97 |
17,46 |
14,67 |
2,79 |
запасами |
ление запасами |
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление |
0 |
14,08 |
14,08 |
9,75 |
1,08 |
|
процессами |
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление |
0 |
15,83 |
15,83 |
15,83 |
13,33 |
|
данными |
|
|
|
|
|
|
|
|
|
|
|
|
|
Отчеты и характе- |
0 |
9,31 |
9,31 |
9,31 |
3,45 |
|
ристики |
|
|
|
|
|
|
интерфейса |
|
|
|
|
|
|
Контроль |
0 |
8,29 |
8,29 |
5,18 |
3,63 |
|
физического |
|
|
|
|
|
|
расположения |
|
|
|
|
|
|
|
|
|
|
|
|
|
Прогнозирование |
0 |
23,57 |
23,75 |
22,54 |
0,28 |
|
|
|
|
|
|
|
|
Управление |
0 |
22,09 |
22,75 |
8,93 |
9,80 |
|
резервами |
|
|
|
|
|
|
|
|
|
|
|
|
|
Уточнение матери- |
0 |
48,48 |
48,48 |
48,48 |
6,67 |
|
альных запасов |
|
|
|
|
|
|
Итого |
0 |
20,34 |
20,98 |
17,56 |
4,99 |
Управление |
Профили вендоров |
0 |
1,59 |
1,59 |
1,59 |
–5,31 |
закупками |
и поставщиков |
|
|
|
|
|
|
|
|
|
|
|
|
|
Рейтинги постав- |
0 |
19,23 |
4,62 |
10,00 |
–22,31 |
|
щиков |
|
|
|
|
|
|
|
|
|
|
|
|
|
Требования и коти- |
0 |
25,38 |
19,23 |
16,15 |
–4,62 |
|
ровки |
|
|
|
|
|
|
|
|
|
|
|
|
|
Заказы на покупку |
0 |
16,73 |
12,60 |
16,75 |
–12,92 |
|
|
|
|
|
|
|
|
Цены и скидки |
0 |
–8,62 |
–6,67 |
6,34 |
0 |
|
|
|
|
|
|
|
|
Контракты и согла- |
0 |
17,26 |
–4,66 |
26,71 |
2,28 |
|
шения с вендорами |
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление зака- |
0 |
15,66 |
13,61 |
15,16 |
–3,77 |
|
зами на покупку |
|
|
|
|
|
|
|
|
|
|
|
|
82
Г л а в а 2. Автоматизированные информационные системы управления образованием
Окончание табл. 2.1
Раздел |
Подраздел |
MS |
Oracle E-Busi- |
PeopleSoft Enter- |
SAP my |
MS |
|
Axapta |
ness Suite |
priseOne |
SAP |
Navision |
|||
|
|
||||||
|
|
|
|
|
|
|
|
Управление |
Возможности отче- |
0 |
38,75 |
37,50 |
38,75 |
1,25 |
|
закупками |
тов по снабжению |
|
|
|
|
|
|
|
(в том числе опера- |
|
|
|
|
|
|
|
тивное) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Повторяющиеся |
0 |
63,55 |
58,28 |
63,55 |
17,40 |
|
|
операции по снаб- |
|
|
|
|
|
|
|
жению (Repetitive |
|
|
|
|
|
|
|
Vendor Procurement) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Денежные опера- |
0 |
29,68 |
14,66 |
29,68 |
–0,43 |
|
|
ции, вызванные |
|
|
|
|
|
|
|
поставками |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Оперативное управ- |
0 |
22,32 |
27,68 |
24,74 |
–9,29 |
|
|
ление закупками |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отчеты и харак- |
0 |
16,67 |
4,44 |
16,67 |
–13,33 |
|
|
теристики интер- |
|
|
|
|
|
|
|
фейса |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
0 |
21,52 |
15,28 |
22,17 |
–4,20 |
|
|
|
|
|
|
|
|
|
Управление |
Оперативное управ- |
0 |
5,54 |
5,54 |
4,82 |
–10,58 |
|
продажами |
ление продажами |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отчеты и харак- |
0 |
3,98 |
5,83 |
5,21 |
–19,75 |
|
|
теристики интер- |
|
|
|
|
|
|
|
фейса |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Возможности обе- |
0 |
0 |
0 |
0 |
–6,0 |
|
|
щаний (Available-to- |
|
|
|
|
|
|
|
Promise, ATP) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Цены и скидки |
0 |
3,11 |
3,91 |
3,91 |
–20,34 |
|
|
|
|
|
|
|
|
|
|
Обслуживание кли- |
0 |
8,28 |
8,28 |
6,13 |
–2,07 |
|
|
ентов и возвратов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление взаимо- |
0 |
–1,21 |
–5,53 |
–0,27 |
–19,51 |
|
|
отношениями с кли- |
|
|
|
|
|
|
|
ентами (CRM) и |
|
|
|
|
|
|
|
возможности элек- |
|
|
|
|
|
|
|
тронной коммер- |
|
|
|
|
|
|
|
ции (B2C) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
0 |
3,05 |
2,69 |
3,12 |
–13,19 |
|
|
|
|
|
|
|
|
информации о функциональности рассматриваемых решений, их достаточно чтобы сформировать представление об их относительном уровне. При формировании рейтингов, все признаки учитывались с набором весовых коэффициентов, отражающих приоритеты, характерные для задачи автоматизации вуза, и нормировались относительно Microsoft Axapta.
Важность перечисленных выше модулей зависит от типа и области деятельности организаций. Так, для фирм, основной целью деятельности которых является производство продуктов и реализация их крупным оптовикам, основными модулями будут «управление производством», «управление закупками» и, возможно,
83
Ч А С Т Ь 1. НАПРАВЛЕНИЯ ИНФОРМАТИЗАЦИИ ОБРАЗОВАНИЯ
«управление запасами». Для розничных торговых организаций наиболее существенными будут «управление продажами», «управление закупками» и «управление запасами» и т.п.
Для вуза наиболее важными являются модули «Финансы» и «Управление персоналом». Также, при формировании финальной оценки большую роль играет технологичность продукта. Управление запасами, по сути, нужно лишь для управления инвентарем, основными средствами и т.п. Управление закупками, как и управление продажами, потеряло свое основное значение. Управление производством в традиционном смысле, как и управление качеством, ориентировано, в основном, на конвейерное производство вполне определенных продуктов, причем сам процесс строго регламентирован и увязан с операциями закупки, продажи и т.д. Таким образом, эти модули учитываются с минимальными весовыми коэффициентами.
Для формирования финального критерия, относительные рейтинги из табл. 2.1 были просуммированы с весовыми коэффициентами из второй колонки табл. 2.2.
Анализ стандартной функциональности показывает, что из выбранных пяти систем продукты компании Microsoft являются явными аутсайдерами, существенно проигрывая по всем критериям. Особенно сильное отставание в области управления персоналом и модулей, связанных с реальным производством.
PeopleSoft имеет самые высокие рейтинги по модулям «Управление производством» и «Управление запасами», однако слегка уступает конкурентам в модуле «Финансы» и существенно проигрывает по возможностям управления персоналом. Таким образом, система PeopleOne больше всего подходит для производственных организаций.
Система «Oracle Enterprise Business Suite» (OeBS), получившая второе место с рейтингом 13.34, является сильным, сбалансированным продуктом, лишенным явных недостатков, однако в ключевых областях она несколько уступает системе SAP.
|
|
|
|
|
|
Таблица 2.2 |
|
|
|
Итоговые рейтинги |
|
|
|
||
|
|
|
|
|
|
|
|
|
Весовой |
Microsoft |
Oracle |
PeopleSoft En- |
SAP my |
Microsoft |
|
Модуль |
E-Business |
||||||
коэффициент |
Axapta |
terpriseOne |
SAP |
Navision |
|||
|
Suite |
||||||
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
Финансы |
1,00 |
0 |
9,76 |
8,65 |
10,58 |
–10,66 |
|
Управление |
1,00 |
0 |
23,65 |
8,86 |
25,60 |
–17,66 |
|
персоналом |
|
|
|
|
|
|
|
Используемые |
0,50 |
0 |
7,09 |
7,34 |
11,54 |
–14,09 |
|
технологии |
|
|
|
|
|
|
|
Управление |
0,10 |
0 |
21,06 |
22,34 |
17,82 |
0,50 |
|
производством |
|
|
|
|
|
|
|
Управление |
0,20 |
0 |
20,34 |
20,98 |
17,56 |
4,99 |
|
запасами |
|
|
|
|
|
|
|
Управление |
0,10 |
0 |
21,52 |
15,28 |
22,17 |
–4,20 |
|
закупками |
|
|
|
|
|
|
|
Управление |
0,10 |
0 |
3,05 |
2,69 |
3,12 |
–13,19 |
|
продажами |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
3,00 |
0 |
13,34 |
9,63 |
14,83 |
–4,9 |
|
|
|
|
|
|
|
|
|
84
Г л а в а 2. Автоматизированные информационные системы управления образованием
MySAP (SAP R3) с наиболее высоким финальным баллом является самой сильной в модулях «Финансы» и «Управление персоналом», хотя и с минимальным перевесом относительно OeBS. По модулям, связанным с управлением запасами и производством, MySAP несколько проигрывает лидерам, однако для вузов это несущественно. Преимущества, полученные системой R/3 в области технологии, объясняются, прежде всего, широким спектром поддерживаемых платформ возможности работы с разными ОС, СУБД, на различном оборудовании от ноутбуков до мэйнфреймов и развитыми средствами документооборота. Безусловно, MySap является самой функциональной системой, однако за избыточную функциональность, особенно для вузов, нужно платить очень дорого.
2.2.4. Критерии, специфичные для российских вузов
Все системы были проанализированы с точки зрения стандартной функциональности и базовых возможностей, которые пользователь ожидает от системы управления предприятием. Однако существуют еще два класса возможностей, которые не вошли в таблицы: учет российской и вузовской специфики.
Все перечисленные выше системы могут служить базой для разработки продуктов, предназначенных для автоматизации российских вузов. При этом финальный продукт можно разрабатывать своими силами или выбрать существующее решение.
Преимущества и недостатки собственных разработок:
•несколько меньшие требования к оборудованию, чем при универсальном решении (+);
•как правило, есть зависимость от конкретной аппаратно-программной платформы (+/–);
•возможно, меньшая стоимость тиражирования рабочих мест. С другой стороны, стоимость базовой лицензии на АРМ ERP-системы остается неизменной (+/–);
•велика вероятность того, что проект выйдет за рамки сроков и не уложится в бюджет (–);
•бюджет на разработку собственной системы, скорее всего, окажется выше бюджета на внедрение стандартной системы (+/–);
•скорее всего, у разработчиков будет отсутствовать методика обследования и внедрения систем класса ERP в вузах (–);
•поддержка системы, постоянные обновления для соответствия российскому законодательству будут лежать на разработчиках. Проект будет постоянно требовать существенных вложений (–);
•невозможно заранее оценить функциональность, интерфейс, удобство использования итоговой системы (–);
•зависимость от состава разработчиков (–).
Преимущества и недостатки использования фирменного решения, построенного на базе стандартной ERP-системы:
•зависимость от поставщика системы (–);
•стандартные решения могут требовать мощного оборудования. С другой стороны, стоимость аппаратуры по отношению к стоимости ПО и поддержки год от года снижается, требования к ней растут медленнее (+/–);
85
ЧА С Т Ь 1. НАПРАВЛЕНИЯ ИНФОРМАТИЗАЦИИ ОБРАЗОВАНИЯ
•необходимость платить за клиентские лицензии. В то же время некоторые поставщики предлагают для ряда АРМ портальные решения с льготными условиями лицензирования (+/–);
•решение уже существует, поэтому вероятность выйти за рамки сроков и не уложиться в бюджет при внедрении резко снижается (+);
•бюджет на покупку системы можно определить заранее (+);
•поддержка системы, ее обновления, соответствие российскому законодательству и прочее гарантируется третьей стороной (+);
•можно заранее, до внедрения оценить возможности системы, ее интерфейс, удобство работы и т.д. (+);
•у поставщика системы, скорее всего, есть опыт проведения обследования
ивнедрения в вузах (+).
В настоящее время большинство крупных образовательных учреждений выбирает второй путь. Это находит отражение в действиях поставщиков: Oracle, PeopleSoft и SAP предлагают модули, предназначенные для удовлетворения запросов вузов.
2.3.Сопряжение ИАИС образовательного учреждения
сядром ИАИС и центральным сегментом сети
Интеграция системы управления учебным учреждением с ядром ИАИС и центральным сегментом сети возможна при соблюдении ряда требований.
Общесистемные (технологические) требования к информационным системам:
•открытость, т.е. совместимость со всеми современными стандартами сетевого администрирования и сервиса, использование только стандартных СУБД известных производителей (Oracle, DB2, Informix, Sybase, Microsoft и т.п.). ИС должна обеспечивать доступ к системе через Интернет/Интранет. Пользователю, разработчику дополнительной функциональности должен быть доступен исходный код системы;
•расширяемость, т.е. возможность наращивания функциональных возможностей системы, без изменения характеристик технологической базы и специфических потребностей пользователей (должны быть приведены и обоснованы границы расширяемости системы и обеспечивающие ее механизмы);
• масштабируемость, т.е. возможность наращивания мощности системы по всем измерениям, в частности, по объему хранимой информации, скорости ее обработки, интенсивности обмена данными, количеству пользователей, набору предоставляемых услуг, способам обеспечения доступа без принципиальной перестройки системы;
•адаптируемость, т.е. возможность настройки системы на актуальные нужды пользователя (должны быть явно перечислены функциональные механизмы настройки и адаптации системы, например, к изменениям требований заказчика или законодательства);
•интегрируемость, т.е. возможность объединения в единую информационную среду и возможность включения в свою среду элементов, необходимых для развития ее функциональных возможностей;
•переносимость ИС, т.е. способность работать на различных компьютерах и различных аппаратных платформах, серверах баз данных, в операционных системах. Должны быть явно указаны и обоснованы программно-аппаратные
86
Г л а в а 2. Автоматизированные информационные системы управления образованием
платформы, на которых способна функционировать создаваемая система без дополнительной доработки.
Функциональные требования. Функциональность создаваемой ИС при целесообразности ее дальнейшего сопряжения с функциональностью подсистем ИАИС сферы образования, должна содержать:
•спецификации интерфейсов для сопряжения создаваемой ИС с функциональными подсистемами ИАИС;
•спецификации данных (форматы и структуры), передаваемых между создаваемой ИС и функциональными подсистемами ИАИС (в создаваемой ИС должен быть предусмотрен механизм протоколирования всех действий по передаче данных).
Требования к защите и безопасности данных создаваемой ИС. Создаваемая ИС должна обеспечивать:
•разграничение прав доступа к данным и функциям системы в соответствии с должностными инструкциями пользователей;
•защиту данных от несанкционированного доступа и непреднамеренного разрушения;
•безопасность данных при нештатных ситуациях (сохранение массивов информации и программ при нарушении электропитания и др.);
•механизм резервного копирования данных без участия разработчиков;
•механизм восстановления данных из резервной копии без участия разработчиков.
Требования к качеству разработки ИС. Программные продукты и инструментальные средства, используемые в качестве платформы для разработки ИС должны быть лицензионными. Желательно наличие сертификатов соответствия стандартам серии ISO-9000 у разработчиков, а также обладание длительным и позитивным опытом эксплуатации.
Фирма-поставщик программного обеспечения должна обеспечить технологическую и методическую поддержку процесса смены версий системы, не только поставляя набор модулей для проведения такой процедуры, но и ее выполнение своими силами, либо организовать подготовку соответствующих специалистов для выполнения данных работ.
Требования к технической платформе. Разработанная система должна удовлетворять следующим требованиям:
•широкий спектр готовых к применению промышленных прикладных систем для различных областей управленческой деятельности (как правило, предлагаемое одной компанией);
•высокая степень модульности решений;
•создание отраслевого решения на основе единого, стандартного и открытого системного фундамента.
Общие технические требования. Разрабатываемая система должна:
•интегрировать в единой среде задачи управления всеми аспектами деятельности образовательного учреждения, Министерства, служб, агентств, отрасли в целом;
•обеспечивать построение единого информационного пространства при взаимодействии органов управления и образовательных учреждений;
•иметь опыт мирового внедрения, в первую очередь — в высших учебных заведениях;
87
Ч А С Т Ь 1. НАПРАВЛЕНИЯ ИНФОРМАТИЗАЦИИ ОБРАЗОВАНИЯ
•иметь опыт внедрения на российских предприятиях, быть адаптированной
кРоссийскому законодательству;
•поддерживать бухгалтерский учет и финансовый контроль как в соответствии с требованиями законодательства РФ, так и в соответствии с международными стандартами;
•осуществлять оперативный контроль движения финансовых средств, оценку ликвидности различных видов платежных средств.
2.3.1.Требования к аппаратно-программным средствам
Аппаратно-программные средства системы должны создаваться на передовых мировых технологиях в сфере телекоммуникаций и автоматизации управления
иудовлетворять следующим основным требованиям:
•поддерживать способность хранения в единой базе данных больших объемов информации, обеспечивать возможности функционального расширения
инаращивания мощности (расширяемость и масштабируемость);
•поддерживать распределенную обработку информации, доступ к ресурсам системы как по локальной сети, так и через Интернет;
•использовать единую систему классификации и кодирования;
•иметь встроенные средства оперативной аналитической обработки данных;
•функционировать в гетерогенных средах и на различных аппаратных платформах (многоплатформенность);
•обеспечивать взаимодействие и совместимость с различными программными продуктами, уже используемыми в высших учебных заведениях (открытость
иинтегрируемость);
•обеспечивать высокую надежность и устойчивость к сбоям;
•обеспечивать непротиворечивость и полноту хранимой информации (целостность);
•обеспечивать надлежащий уровень защиты и конфиденциальности передаваемых данных (безопасность);
•поддерживать возможность модернизации при эксплуатации.
2.4. Безопасность информационных систем
Общие вопросы защиты информации. Руководитель каждой современной организации сталкивается с проблемой информационной безопасности. В части безопасности информационной системы руководитель задает себе следующие вопросы:
—Что мне даст компьютерная безопасность?
—Сколько стоит компьютерная безопасность?
Для того чтобы ответить на вопрос, что даст предприятию компьютерная безопасность, нужно ответить на следующие два вопроса: потеря какой информации может принести ощутимый ущерб и есть ли субъект, который намерен нанести ущерб организации с помощью воздействия на информационную систему?
В качестве субъектов могут выступать стихийные бедствия и халатность или противник, который хочет нанести ущерб информационным ресурсам и тем самым нанести ущерб организации в целом.
88
Г л а в а 2. Автоматизированные информационные системы управления образованием
Остановимся на противнике, который хочет нанести ущерб предприятию через информационные технологии. Для реализации такого ущерба необходимо организовать атаку на информационные технологии и информационные ресурсы. Атака — это центральное понятие информационной безопасности, связанное с наличием противника, пытающегося нанести ущерб. Атака на информационные ресурсы и компьютерную систему требует большой подготовки. Атака состоит из комплекса действий, в которых применяется специальная техника. Успех атаки состоит не только в том, чтобы нанести ущерб, а и скрыть или замаскировать результаты своих действий, не давая возможности в дальнейшем использования следов атаки для возбуждения судебных исков и преследования. Отсюда следует, что организация атаки требует определенных материальных затрат.
Поэтому, если руководитель предприятия имеет четкий ответ на вопрос, кому нужно нанести ущерб предприятию через информационные технологии, то он может ответить на вопрос, а сможет ли противник выделить необходимое количество денег на успешную организацию атаки. Здесь мы приходим к самому важному вопросу, на который должны дать ответ эксперты. Сколько нужно денег для того, чтобы организовать атаку на данную информационную систему? Зная величину ущерба, который можно нанести через информационные технологии предприятию, предполагаемый перечень противников, которые готовы вложить деньги в организацию причинения ущерба, можно ответить на первый вопрос, что даст компьютерная безопасность руководителю такого предприятия.
Если противник может вложить в организацию атаки 1000000 долл. США, а система компьютерной безопасности может быть успешно атакована с затратами в 10 000 или 100 000 долл. США, то ясно, что атака будет осуществлена успешно и ущерб будет нанесен. Если система компьютерной безопасности может противостоять атакам, то ясно, что противник не сможет организовать эффективную атаку на информационную систему или откажется от атаки вовсе. Если финансовые возможности противника по организации атаки намного превосходят стоимость тех атак, которым может противостоять защита, то организация и ее руководитель фактически провоцируют атаку на информационные ресурсы с целью нанесения большого ущерба.
Руководитель фирмы может оценить, сколько денег вложит противник в организацию атаки. Например, такой оценкой является стоимость активов или величина ущерба, который может быть нанесен организации. Таким образом, не обращаясь к тонкостям компьютерных систем, руководитель предприятия может оценить финансовые возможности противника по нанесению ущерба через информационные технологии. После такой оценки руководителю предприятия нужно найти хороших экспертов или хорошую консалтинговую фирму, которые в состоянии оценить, какие атаки можно построить за указанную руководителем сумму и какие меры могут предотвратить атаки, стоимость которых не превосходит данную сумму. Имея перед собой проект или реализацию информационной системы организации и указанные финансовые ориентиры, эксперт в состоянии построить адекватную защиту, не допускающую нанесения ущерба в рамках заданных финансовых возможностей противника. Стоимость такой защиты будет давать ответ на второй вопрос, который поставил в самом начале руководитель предприятия: «Сколько стоит защита?». Такая схема построения системы защиты используется во всем мире. Детальная разработка схемы принадлежит Geneva Management Group
89
Ч А С Т Ь 1. НАПРАВЛЕНИЯ ИНФОРМАТИЗАЦИИ ОБРАЗОВАНИЯ
(GMG). Однако практическая реализация схемы связана с определенными трудностями, не зависящими от компетенции эксперта. Можно предложить несколько схем защиты, не допускающих причинения ущерба противником с заданными финансовыми возможностями. Эти схемы различаются стоимостью, и у руководителя предприятия сейчас же возникают сомнения: «А не является ли цена защиты искусственно завышенной?».
Кроме того, продукты, из которых строится информационная система, выпускаются различными производителями. В описаниях этих продуктов заявлены некоторые функции безопасности, и каждая фирма объявляет, что защита, построенная на ее продуктах, самая лучшая. Любой руководитель задает вопрос, каким образом консалтинговая фирма может быть уверена в защитных качествах тех или иных продуктов информационных технологий, если фирма-производитель не заинтересована в раскрытии конструкторской документации этих продуктов и результатов тестирования, в частности, функций безопасности. Для того чтобы убедить заказчика информационной системы и покупателя продуктов информатизации в том, что заявленные функции безопасности в действительности выполняются надежно, существует система сертификации.
Электронный документооборот. Одним из важнейших достижений в современной теории защиты информации является изобретение электронной подписи под документами в электронной форме. Электронная подпись основана на криптографии. Способность ее устоять перед подделкой подтверждается государственными криптографическими службами. В Российской Федерации разработана криптографически стойкая электронно-цифровая подпись, описанная в двух стандартах ГОСТ Р-3410 и ГОСТ Р-3411.
Электронная цифровая подпись под электронным документом представляет собой последовательность битов, создание которой возможно владельцем секретного алгоритма, имеющегося у обладателя подписи. Проверить подпись может любой пользователь компьютера, имеющий соответствующее программное обеспечение, в котором реализован алгоритм проверки подписи исходного пользователя. Однако безопасное использование электронно-цифровой подписи требует, чтобы алгоритм проверки подписи был подписан третьей стороной, которой доверяют все участники консорциума, использующего электронно-цифровую подпись. Эта третья сторона обычно называется удостоверяющим центром. Законность электронноцифровой подписи, основанной на стандартах Р-3410 и Р-3411, подтверждается Федеральным законом «Об электронно-цифровой подписи». Электронно-цифровая подпись уже широко применяется в банковских технологиях, электронной торговле и делопроизводстве.
Одной из основных опасностей при использовании электронно-цифровой подписи является возможность обхода средств защиты в компьютерной системе пользователя и модификация алгоритмов электронно-цифровой подписи или кража секретного ключа подписи пользователя. Для обеспечения достаточного уровня компьютерной безопасности отечественная нормативная база требует, чтобы разработчик программного обеспечения для поддержки электронно-цифровой подписи обладал лицензией ФСБ. Само программное обеспечение, поддерживающее электронно-цифровую подпись, должно быть сертифицировано по требованиям ФСБ, а встраивание этого программного обеспечения в продукты информационных технологий должно проводиться создателем сертифицированного ПО в соответствии с общими требованиями компьютерной безопасности.
90