Корпоративные информационные системы
..pdfпризванная обнаружить попытки проникновения в частную сеть
исообщить системному администратору о факте вторжения. Эта технология защиты информации используется довольно давно и уже завоевала популярность среди заказчиков.
Сегодня существует более эффективный и удобный способ борьбы с хакерами. Эта система Intrusion Prevention System – IPS.
Аббревиатура IPS в области информационной безопасности закреплена за системами и решениями, которые служат для предотвращения нападений. Подней подразумевается набортехнологий, которые появились на стыке межсетевых экранов и систем обнаружения нападений IDS. От межсетевых экранов в IPS взят принцип активного вмешательства в сетевое взаимодействие или поведение программ, аот IDS – интеллектуальные методы мониторинга происходящих событий. Таким образом, IPS не только обнаруживает нападения, но
ипытается предотвратить их. В России решения IPS появились еще в составе межсетевых экранов или классических систем IDS. Сегодня на рынке есть и специализированные продукты, такие как семейство аппаратных IPS компании NetScreen. Среди продуктов IPS аналитики выделяют пять типов компонентов, каждый из которых выполняетсвоифункции и можеткомбинироваться сдругими.
1.Сетевая IDS. Устройство, которое анализирует проходящие через него IP-пакеты, пытаясь найти в них признаки атаки по заранее определенным правилам и сигнатурам, называется сетевой IDS (NIDS). От традиционной IDS такие продукты отличаются тем, что они не только выискивают случаи ненормального
инестандартного использования сетевых протоколов, но и пытаются блокировать все несоответствия. Хотя NIDS и пользуется базой сигнатур известных атак, они могут также предотвратить
инеизвестное им нападение, особенно если оно построено на аномальном использовании протоколов.
2.Коммутаторы седьмого уровня. Сетевые устройства,
которые определяют маршруты IP-пакетов в зависимости от типа приложения, называются коммутаторами седьмого уровня (приложений). Их можно использовать для разных целей: создания кластеров, балансировки нагрузки, раздельного хранения данных по типам, а также для защиты. Подозрительные пакеты такие устройства либо полностью уничтожают, либо перенаправляют на специальный сервер для дальнейшего анализа. Этот тип IPS
161
хорошо отражает атаки, направленные на отказ в обслуживании
ина совместный взлом нескольких служб.
3.Экран приложений. Механизм, который контролирует системные вызовы сетевых программ, называется экраном приложений (application firewall/IDS). Он отслеживает не сетевое взаимодействие, а поведение программ и библиотек, работающих с сетью. Такой экран может работать и по фиксированному набору правил, однако наибольший интерес представляют самообучающиеся продукты, которые вначале запоминают штатную работу приложения, а впоследствии фиксируют или не допускают нештатное их поведение. Такие экраны блокируют неизвестные атаки, но их необходимо устанавливать на каждый компьютер
и«переобучать» при изменении конфигурации приложений.
4.Гибридные коммутаторы. Есть технологии, которые объединят в себе экраны приложений и коммутаторы седьмого уровня, – это гибридные коммутаторы. Они, в отличие от экранов приложений, имеют дело уже с IP-пакетами, вначале обучаясь штатным запросам, а все нештатные либо блокируя, либо направляя на специальный сервер для дальнейшего изучения. Они могут отразить и атаки на отказ в обслуживании, и неизвестные атаки, но их придется каждый раз переобучать заново при каждом изменении конфигурации системы.
5.Ловушки. К категории IPS относятся также приложенияловушки, которые пытаются активно вмешиваться в процесс нападения. Такие продукты, эмулируя работу других программ, провоцируют нападающего атаковать, а потом контратакуют его, стараясь одновременно выяснить его личность. Ловушки лучше всего комбинировать с коммутаторами – гибридными или седьмого уровня, чтобы реагировать не на основной поток информации, а только на подозрительные соединения. Ловушки используют скорее для устрашения и контратаки, чем для защиты.
Следует отметить, что IPS разных типов хорошо интегрируются в достаточно интеллектуальную систему защиты, каждый элемент которой хорошо дополняет другие. При этом они не конкурируют с уже существующими средствами информационной безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку дополняют их.
162
Ложные срабатывания – один из самых серьезных недостатков IDS – представляют собой весьма обременительную ношу при нехватке опыта обеспечения внутренней безопасности, а постоянно сокращающиеся бюджеты заставляют вновь и вновь поднимать вопросы, связанные с приоритетами обработки соответствующих событий. Технологии IPS позволяют избежать получения фальсифицированных позитивных результатов благодаря различным механизмам. Среди них, в частности, анализ сигнатур, изменяющихся в ходе проверки сессии, идентификация сетевых протоколов и пакетов с целью проверки на предмет обнаружения в них внезапных изменений шаблонов трафика (как это происходит в атаке, рассчитанной на отказ в обслуживании) или таких изменений, которые не предусмотрены установленными правилами.
В России продукты IPS появились недавно и сейчас у всех поставщиков их продано по нескольку экземпляров. В основном это продажи IPS в составе других продуктов: межсетевых экранов или IDS. Так, компания NetWell, объявившая прошедшим летом о начале поставок устройств NetScreen, продает их в составе корпоративной сети и уже имеет шесть проектов с их использованием. По оценкам Дмитрия Коваля, генерального директора NetWell, затраты на устройства IPS/IDS составляют не более 10 % общей стоимости проекта. Для предустановленных систем IPS цена одного устройства находится в диапазоне от 7 до 10 тыс.
долл. Программное решение CheckPoint Applications Intelligence
поставляется в составе межсетевого экрана и отдельно не продается (только через модификацию старых версий).
3.7.1. Единое информационное пространство
Традиционный подход, сложившийся в первоначальный период внедрения вычислительной техники в производственные процессы, состоял в том, что с ее помощью решались отдельные, частные задачи, относившиеся к различными стадиями ЖЦ изделий. Для взаимодействия в рамках ЕИП необходимы стандартные интерфейсы взаимодействия, предназначенные для интеграции всех программных систем, используемых участниками ЖЦ изделия. Поскольку программных систем очень много, а также в силу необходимости быстрой интеграции в ЕИП их новых версий
163
(случай виртуального предприятия), интерфейсы взаимодействия необходимо согласовывать с международными стандартами.
ЕИП предполагает отказ от прямого взаимодействия и передачи данных между участниками ЖЦ. Все коммуникации между ними должны осуществляться через ЕИП. К его основным свойствам относятся следующие:
♦Информация представлена в электронном виде, преимущества которого перед бумажным способом представления информации очевидны: большая эффективность создания, хранения, изменения и доступа к данным.
♦ЕИП охватывает всю информацию, созданную об изделии любым участником ЖЦ на любом этапе ЖЦ.
♦ЕИП выступает единственным источником данных для любого участника ЖЦ, предоставляя (в соответствии с правами доступа) нужную информацию в нужное время в нужном виде.
♦Для интеграции программно-аппаратных средств участников ЖЦ в ЕИП используются только международные, государственные и отраслевые стандарты, поддерживаемые подавляющим большинством производителей прикладных систем. Эти стандарты регламентируют вопросы представления и обмена данными об изделии, а также процессы взаимодействия прикладных систем между собой.
♦Для создания ЕИП используются существующие на предприятиях программно-аппаратные средства. Это означает, что предприятиям не нужно отказываться от уже используемых прикладных систем и терять, таким образом, сделанные в них
инвестиции. Вопрос стоит только об адаптации этих систем к работе в рамках ЕИП.
ЕИП, как схема взаимодействия между собой участников ЖЦ, должно в соответствии с бизнес-идеей непрерывного развития улучшаться в течение ЖЦ изделия, используя новейшие достижения в области вычислительной техники и информационнокоммуникационных технологий жизненного цикла продукции.
На западных предприятиях создание ЕИП вызвало определенные проблемы, связанные с необходимостью связать между собой множество несовместимых между собой компьютерных систем, разработанных ранее для автоматизации локальных задач, возникающих в течение ЖЦ. Отечественные предприятия,
164
уровень автоматизации которых не столь высок, как на Западе (многие процессы ЖЦ еще не автоматизированы), могут избежать значительной части этих проблем. Этого можно достичь за счет учета требований ЕИП при автоматизации отдельных процессов ЖЦ, что позволит относительно безболезненно интегрировать точечные решения в рамках ЕИП.
Материальное воплощение ЕИП предприятия – интегрированная информационная система (ИИС) предприятия, которая объединяет системы (рис. 3.5), автоматизирующие отдельные этапы ЖЦ:
♦система управления маркетингом;
♦САПР;
♦АСТПП;
♦система управления качеством;
♦АСУП и др.
Впоследнее время Россия получила возможность использовать наиболее перспективные решения в создании «скелета» будущей системы управления. Такими скелетообразующими направлениями стали инфраструктура производства продукции
итехнологии. На современном уровне задача создания «скелета» для описания производственной деятельности решается на уровне ERP- и PDM-систем.
Рис. 3.5. Интегрированная информационная среда
165
ЕИП может быть создано для организационных структур разного уровня от отдельного подразделения предприятия – до корпорации. Соответственно, разным может быть эффект, получаемый от создания ЕИП. В качестве критериев для оценки эффекта от ЕИП можно рассматривать повышение эффективности управления данными и повышение эффективности обмена данными внутри организационнойструктуры.
Что касается повышения эффективности управления данными, то здесь во всех случаях наблюдается большой эффект. Это объясняется большим количеством информации об изделии, создаваемом и используемом на всех уровнях.
Среднее повышение эффективности управления процессами наблюдается там, где количество и сложность процессов относительно невелики (эксплуатирующая организация) и достаточно контролируемы (подразделение предприятия).
Повышение эффективности обмена данными незначительно в случае подразделения предприятия. Это объясняется тем, что в подразделении, скорее всего, либо используются одинаковые компьютерные системы, либо, в случае разнородных систем, взаимодействие между ними уже налажено. На предприятии эта проблема стоит более остро и ЕИП дает средний эффект (то же самое можно сказать и про эксплуатирующую организацию). Наибольший же эффект в области эффективности обмена данными ЕИП приносит для виртуального предприятия (корпорации).
Для оценки экономической эффективности внедрения информационных систем применяют несколько показателей. Среди них наиболее известными являются:
1) показатель совокупной стоимости владения – TCO (Total
Cost of Ownership);
2) показатель возврата инвестиций – ROI (Return On
Investment);
3) показатель анализа выгодности затрат (показатель оценки издержек иэкономических выгод) – CBA (Cost Benefits Analysis).
Для примера рассмотрим, как можно оценить эффект от инвестиций в CALS с помощью показателя ROI, который характеризуется отношениемстоимостиинвестицийивыгоды, которыеониприносят:
ROI = (a – b) / b,
где a – выгода от внедрения; b – стоимость инвестиций.
166
Сам показатель ROI во многом зависит от специфики предприятия. Однако есть общие, не зависящие от специфики конкретного предприятия выгоды, которые приносит внедрение CALS. Так, основными выгодами от CALS можно назвать:
♦ общее повышение производительности труда. Достигается за счет повышения индивидуальной производительности сотрудников, глобализации и распределения бизнеса, а также повышения коллективной производительности. При этом индивидуальная производительность сотрудников повышается за счет оптимизации расхода рабочего времени: сотрудники больше времени тратят на выполнение своих прямых обязанностей и меньше – на выполнение обеспечивающих функций. Появляется возможность эффективно сотрудничать с географически удаленными партнерами и распределять свои производственные мощности. Повышается производительность коллективной работы – значительно сокращается количество ошибочных решений, принимаемых контрагентами из-за наличия у них устарелой исходной информации;
♦общее снижение материальных затрат. Достигается за счет детального учета требований к изделию на ранних этапах и отслеживания их выполнимости в последующем, что позволяет выявить большинство ошибочных решений в виртуальном прототипе изделия, а не в физическом его воплощении. При этом значительно повышаетсяколичествозаимствованных итиповыхрешений;
♦общее повышение прибыли. Достигается за счет расширения доли рынка, более раннего выпуска изделий по сравнению
сконкурентами и представления большего количества модификаций продукции, учитывающей больше потребностей клиентов.
В результате, если все вышеперечисленные выгоды преобразовать в количественные параметры, можно получит следующую формулу для расчета ROI:
ROI = (c – d) / d,
где c – выгода (от повышения производительности + от снижения затрат + от повышения прибыли); d – стоимость инвестиций.
Перечисленные выгоды от внедрения CALS не дублируют выгоды, получаемые от ERP, CRM и SCM, среди которых в основном выделяют:
♦снижение транспортно-заготовительных расходов;
♦снижение задержек отгрузки готовой продукции;
167
♦уменьшение страховых запасов (уровень неснижаемых остатков на складах);
♦снижение производственного брака;
♦уменьшение затрат на административно-управленческий
аппарат;
♦сокращение производственного цикла;
♦уменьшение складских помещений;
♦увеличениеоборачиваемоститоварно-материальныхзапасов.
Контрольные вопросы к главе 3
1.Дать определение CALS/ИПИ-технологий.
2.Основные принципы CALS-технологий.
3.Охарактеризовать основные этапы жизненного цикла продукции.
4.Дать определение ИИС, охарактеризовать ее структуру
исостав.
5.Цель создания виртуальных предприятий.
6.Информационная безопасность в CALS-системах.
7.Охарактеризовать ЕИП.
168
4. ИНФОРМАЦИОННАЯ ИНТЕГРАЦИЯ ПРОЦЕССОВ ЖИЗНЕННОГО ЦИКЛА ИЗДЕЛИЯ
Технологии представления данных являются набором методов для представления в электронном виде данных об изделии, относящихся к отдельным процессам ЖЦ изделия. Эти технологии предназначены для автоматизации отдельных процессов ЖЦ изделия, что является одним из пунктов стратегии CALS по созданию ЕИП. Технологии представления данных включают также технологии перевода данных из бумажного в электронный вид.
Рассматриваемая группа CALS-технологий состоит из более или менее известных методов (реализованных в соответствующих автоматизированных системах), которые можно расположить по трем группам (в соответствии с укрупненными этапами ЖЦ):
♦проектирование изделия. В данную группу попадают технологии автоматизации проектирования изделия, в частности компьютерные системы автоматизированного проектирования (CAD), системы автоматизированной подготовки производства (САМ), системы инженерных расчетов(САЕ) ит. п.;
♦производство изделия. В данную группу попадают технологии автоматизации производственных процессов и их планирования. Сюда относятся следующие типы автоматизированных систем: MRP (Material Requirements Planning – планирование потребностей в материалах), MRP-II (Manufacturing Resource Planning – планирование ресурсов производства), ERP (Enterprise Resource Planning – планирование ресурсов предприятия). Эти системы в отечественной терминологии чаще всего называются АСУП (автоматизированная система управления производством/предприятием);
♦поставка и эксплуатация изделия. В данную группу попадают технологии автоматизации процессов поставки и эксплуатации изделия, в частности:
– системы логистической поддержки изделия. К данной категории относятся системы автоматизации обслуживания и ремонта
169
изделия на этапе эксплуатации, заказа комплектующих к изделию, поставки изделий икомплектующих, вчастности, SCM-системы;
– системы электронной коммерции. К данной категории относятся отдельные блоки ERP-систем, а также самостоятельные системы, предназначенные для проведения коммерческих операций в электронном виде, в том числе CRM-системы. Среди этих бурно развивающихся в настоящий момент систем можно выделить системы типа В2В (business-to-business: взаимодействие поставщиков между собой) и системы типа В2С (business-to-customer: взаимодействие поставщика и покупателя);
♦ интерактивные электронные технические руководства (ИЭТР). К данной категории относятся автоматизированные системы, предоставляющие пользователю эксплуатационную информацию по конкретному изделию, а также возможности по диагностике изделия, поиску и устранению неисправностей, обучению, взаимодействию с поставщиком и т.п.
На основе перечня приведенных технологий и поддерживающих их автоматизированных систем может сложиться впечатление, что и в мире, и у нас в стране CALS-технологии используются уже давно. Однако это не совсем верно, поскольку
кCALS-технологиям представления данных предъявляется одно важное требование. Требование заключается в том, что данные технологии должны обеспечивать стандартизованный интерфейс
кпредставляемым ими данным. Такой интерфейс необходим на окончательном этапе стратегии CALS для того, чтобы интегрировать отдельные процессы ЖЦ в ЕИП.
Технологии интеграции данных представляют собой набор методов для интеграции автоматизированных процессов ЖЦ и относящихся к ним данных, представленных в электронном виде, в рамках ЕИП. Таким образом, эти технологии реализуют заключительный этап стратегии CALS по созданию ЕИП для всех участников ЖЦ изделия. Исходной точкой для данной группы технологий является результат работы технологий представления данных, т.е. автоматизированныепроцессыиданные, представленныевэлектронномвиде.
Технологии интеграции данных могут пониматься как технологии управления интеллектуальным продуктом, так как они предназначены для управления всей информацией, созданной об изделии в ходе его ЖЦ. Среди CALS-технологий интеграции дан-
170