УДК 004.056.53
ПРОЕКТИРОВАНИЕ ПОДСИСТЕМЫ КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
Логунов Н.Д.
студент группы БИб16-И1 «Сибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
Толкачева Е.В.
научный руководитель, канд. тех. наук, доцент кафедры информационной безопасности « ибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
СибАДИпроектирования и разра отки новых подсистем с последующей интеграцией в действующую информационную систему организации. Для обеспечения функционирования новых подсистем могут потре оваться дополнительные базы данных и модули, а также дополнительные роли и пользователи с правами, соответствующими требованиям их должностных обязанностей. Такие изменения в корпоративной ИТ-инфраструктуре могут привести к усилению требований информационной безопасности, поскольку могут повлечь за собой появление новых актуальных угроз, для нейтрализации которых потребуются дополнительные средства защиты информации.
Аннотац я. В данной статье исследована проблема проектирования подсистем
корпоративных нформац онных систем с учетом требований информационной безопасности компан . Представлены результаты проектирования подсистемы корпоративной нформац онной системы в защищенном исполнении на примере подсистемы расчетов расходов информационной системы отдела сопровождения решений
блока корпорат вных коммун каций и изнес-аналитики предприятия «Информационнотехнологическая серв сная компания».
Ключевые слова. Информац онная система, базы данных, безопасность баз данных,
защита информац |
от несанкц онированного доступа, подсистемы безопасности. |
|
В процессе эксплуатац |
корпоративной информационной системы нередко потребность |
|
в дополнен |
зменен |
действующего функционала. Это приводит к необходимости |
Таким образом, проблеме информационной безопасности подсистемы корпоративной информационной системы следует уделять внимание на этапе проектирования подсистемы. В данной работе выполнено проектирование в защищенном исполнении подсистемы расчета расходов корпоративной информационной системы отдела сопровождения решений блока корпоративных коммуникаций и бизнес-аналитики (ОСРБККиБА) предприятия «Информационно-технологическая сервисная компания» («ИТСК»).
Работу информационной система отдела ОСРБККиБА обеспечивают следующие программные продукты технологии:
Microsoft Office PerformancePoint Server 2007;Microsoft SharePoint 2010;
Microsoft Excel 2010;
СУБД Microsoft SQL Server 2017.
Согласно данным банка угроз ФСТЭК [1] все обнаруженные уязвимости используемого стека технологий устранены. Защита информационной системы отдела ОСРБККиБА на предприятии соответствует требованиям [2].
В результате анализа предметной области была спроектирована база данных подсистемы расчетов, содержащая следующие таблицы:
Ds_Procurement (Закупки);Ds_UD (Услуги);
Ref_Const (Константные данные для справочника);
69
Ref_Activity (Активность);Ref_Region (Регион);
Ref_Rate (Ставка);
Ref_CostCenter (Центр определяющий стоимость);
Ref_Product (Продукт);
Ref_User_Roles (Права пользователя);Ref_users (Пользователи);
Ref_Roles (Роли).
СибАДИфункционирования подсистемы: клиенты взаимодействуют с базой данных через определённую надстройку в Excel; если клиент имеет право сохранять изменения и желает сделать это, осуществляется обращение к серверу приложений с помощью метода, в котором передаются два объекта – первый объект (obj1) отвечает за отправку данных на сервер, второй (obj2) отвечает за получение ответа от сервера.
Поскольку проектируемая подсистема должна быть реализована средствами имеющегося
в отделе стека технологий, работа с данными будет выполняться под управлением СУБД Microsoft SQL Server 2017. Д аграмма созданной базы данных представлена на рис. 1. Механизм разгран чен я доступа и резервного копирования данных реализован на уровне
базы данных с |
спользован ем возможностей СУБД [3]. |
|
Рисунок 1 – Диаграмма базы данных подсистемы расчета расходов |
||
На рис. 2 |
представлена схема взаимодействия клиента |
сервера в процессе |
Рисунок 2 – Схема взаимодействия клиента и сервера при работе подсистемы расчета расходов
70
Представленный способ взаимодействия реализуется в информационной системе компании средствами платформы Windows Communication Foundation (WCF) [4]. Эта платформа для построения сервисноориентированных приложений позволяет реализовать сценарии безопасности служб, клиентов и транзакций в масштабе всей корпоративной информационной системы [5].
Использование современного безопасного стека технологий и соблюдение политики безопасности в компании позволяет сделать вывод о соответствии защиты проектируемой подсистемы расчетов установленным требованиям информационной безопасности.
СибАДИ |
||
ледовательно, на этапе проектирования подсистемы требуется обеспечить контроль |
||
целостности для защиты данных от нежелательных изменений, которые могут произойти в |
||
результате ош бок пользователей. |
|
|
Для обеспечен я контроля |
восстановления целостности данных в базе данных |
|
предусмотрена реал зац я: |
|
|
|
хран мых процедур для контроля добавления, изменения и удаления данных; |
|
|
триггеров для лог рован я действий пользователей. |
|
На рис. 3 представлена д аграмма декомпозиции бизнес-процесса защищенной обработки данных в подс стеме расчета расходов с учетом реализации требовании безопасности компании контроля целостности данных.
Рисунок 3 – Диаграмма декомпозиции защищенного бизнес-процесса расчета расходов
Таким образом, для обеспечения выполнения требований информационной безопасности корпоративных информационных систем в условиях проектирования, разработки и введения в эксплуатацию новых подсистем необходимо выполнить анализ уязвимостей стека технологий, используемого для разработки подсистемы, а также анализ защищенности подсистемы от актуальных угроз безопасности. В случае если технологии и средства защиты, используемые в корпоративной информационной системе, обеспечивают безопасность новой подсистемы, достаточно предусмотреть защиту данных подсистемы от ошибок пользователей. В противном случае потребуется актуализация системы защиты информационных ресурсов в масштабе корпоративной информационной системы предприятия.
71
|
|
Библиографический список |
|
|
|
|
1. |
Банк данных угроз безопасности информации [Электронный ресурс] – Режим доступа: |
|||||
https://bdu.fstec.ru/ |
|
|
|
|
|
|
2. |
Руководящий |
документ. |
Автоматизированные |
системы. |
Защита |
от |
несанкционированного доступа к информации. Классификация автоматизированных систем |
||||||
и требования к защите информации. [Электронный ресурс] – Режим доступа: |
||||||
https://fstec.ru/component/attachments/download/296. |
|
|
|
|||
3. |
Основы администрирования SQL Server [Электронный ресурс] – Режим доступа: |
|||||
СибАДИ |
||||||
http://sqlcom.ru/dba-tools/sql-server-for-beginer/ |
|
|
|
|||
4. Разработка ориентированных на службы приложений с помощью WCF [Электронный |
||||||
ресурс] – Реж м доступа: https://docs.microsoft.com/ru-ru/dotnet/framework/wcf/ |
|
|
||||
5. |
Безопасность Windows Communication Foundation [Электронный ресурс] – Режим |
|||||
Доступа: https://docs.microsoft.com/ru-ru/dotnet/framework/wcf/feature-details/security.
72