- •Глава 1, Основные сведения об информационных технологиях обработки экономической информации 7
- •Глава 2 Основные сведения об автоматизированных информационных системах………….38
- •Глава 3. Информационное обеспечение автоматизированных систем ...59
- •Глава 4. Программное обеспечение автоматизированных систем 76
- •Основные понятия 76
- •Глава 5. Проектирование автоматизированных информационных систем 93
- •Глава 6. Основные сведения о компьютерных сетях
- •Основные понятия 116
- •Глава 7. Основы защиты информации в автоматизированных системах 137
- •Основные понятия 137
- •Введение
- •Глава 1
- •Основные сведения
- •Об информационных технологиях
- •Обработки экономической информации
- •1.1. Экономическая информация как часть информационного ресурса общества
- •1.2. Информация и информационные процессы в организационно-экономической сфере
- •1.3. Информационные технологии обработки экономической информации
- •1.3.1. Информационная технология обработки данных
- •1.3.2. Информационные технологии автоматизированного офиса
- •1.3.3. Информационные технологии управления
- •1.3.4. Информационные технологии поддержки принятия решений
- •1.3.5. Информационные технологии экспертных систем
- •1.3.6. Нейросетевые технологии
- •1.4. Государственная политика в области информатизации
- •Глава 2
- •2.1. Понятие автоматизированной информационной системы
- •2.2. Классификация экономических автоматизированных информационных систем
- •2.3. Структура автоматизированной информационной системы
- •2.3.1 Функциональная часть автоматизированной информационной системы
- •2.3.2. Обеспечивающая часть аис
- •2.4. Свойства и характеристики аис
- •Вопросы для самоконтроля
- •Глава 3 информационное обеспечение автоматизированных систем
- •3.1. Основные понятия
- •3.2. Документы в автоматизированной системе
- •3.3. Классификация и кодирование
- •3.4. Внутримашинное информационное обеспечение
- •3.4.1. Понятие базы данных
- •3.4.2. Базы данных и файловые системы
- •3.5. Проектирование и эксплуатация баз данных
- •Вопросы для самоконтроля
- •Глава 4 программное обеспечение автоматизированных систем
- •4.1. Основные понятия
- •4.2. Виды программного обеспечения автоматизированной системы
- •4.2.1. Системное общее программное обеспечение
- •4.2.2. Сервисное общее программное обеспечение
- •4.2.3. Прикладное общее программное обеспечение
- •Пакеты прикладных программ
- •Прикладные программы офисного применения
- •4.2.4. Инструментальное общее программное обеспечение
- •4.2.5. Специальное программное обеспечение автоматизированных систем
- •Вопросы для самоконтроля
- •Глава 5
- •5.1. Современные подходы к автоматизации управления в организационно-экономических системах
- •5.1.1. Кусочная автоматизация
- •5.1.2. Автоматизация по участкам
- •5,1.3. Автоматизация по направлениям
- •5.1.4. Полная автоматизация управления организацией
- •5.1.5. Подходы к проектированию автоматизированных информационных систем
- •5.2. Стандартизация деятельности, связанной с разработкой автоматизированных информационных систем
- •5.3. Жизненный цикл автоматизированной информационной системы
- •5.3.1. Понятие и модели жизненного цикла аис
- •5.3.2. Представление процесса разработки в екс ас
- •5.4. Некоторые вопросы проведения автоматизации в организации
- •5.4.1. Управление процессом автоматизации
- •5.4.2. Стратегия автоматизации
- •5.4.3. Реорганизация деятельности организационной системы
- •5.5. Роль пользователей в процессе разработки автоматизированной информационной системы
- •Вопросы для самоконтроля
- •6.5. Эталонная модель взаимодействия открытых систем
- •Основные функции уровней модели osi
- •Глава 7 основы защиты информации в автоматизированных системах
- •7.1. Основные понятия
- •7.2. Угрозы безопасности информации в эис
- •7.2.1. Случайные угрозы
- •7.2.2. Преднамеренные угрозы
- •7.2.3. Последствия реализации угроз, специфические для эис
- •7.3. Методы и средства защиты информации в информационных системах
- •7.4. Комплексный подход к защите информации в автоматизированных системах
- •Вопросы для самоконтроля
- •Примеры современных программных средств в экономической сфере Система «1с: Предприятие»
- •Система «Галактика»
- •Литература
7.2.3. Последствия реализации угроз, специфические для эис
Реализация угроз безопасности информации в ЭИС, помимо физического уничтожения информации, может привести к последствиям, особенно актуальным в финансово-экономической сфере деятельности (рис. 7.3).
Раскрытие конфиденциальной информации может создать условия для НСД к базам данных системы, прослушиванию каналов связи и передачи данных и т.п.
Компрометация информации реализуется путем внесения несанкционированных изменений в базы данных, в результате чего потребитель этой информации вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования
143
скомпрометированных данных потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.
Несанкционированное использование информационных ресурсов является средством раскрытия и компрометации информации. Кроме того, даже не касаясь пользовательской или системной информации, такое использование может нанести определенный вред абонентам и администрации (от сокращения поступления финансовых средств до полного выхода ЭИС из строя).
Рис. 7.3. Специфические для ЭИС последствия реализации угроз безопасности
Ошибочное использование информационных ресурсов, даже полученных только в рамках разрешенных прав, может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, содержащихся в программном обеспечении системы.
Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен.
Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправления. В условиях банковской деятельности это, в частности, позволяет одной из сторон расторгать заключенные
144
финансовые соглашения «техническим путем», нанося тем самым второй стороне значительный ущерб.
Отказ в обслуживании представляет собой непредставление системой пользователю информации или услуг в течение определенного интервала времени. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов абоненту может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения в течение времени, когда это решение еще возможно эффективно реализовать, может стать причиной его нерациональных или ошибочных действий.
7.3. Методы и средства защиты информации в информационных системах
Методы и средства защиты информации в автоматизированных информационных системах представлены на рис. 7.4.
Рис. 7.4. Методы и средства защиты информации
Рассмотрим основное содержание методов защиты информации в автоматизированной системе.
145
Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).
Управление доступом - регулирование использования ресурсов ЭИС потребителями и обслуживающим персоналом. При этом реализуются следующие функции:
идентификация пользователей, персонала и ресурсов системы (присвоение уникального кода-идентификатора каждому объекту);
установление подлинности (аутентификация) объекта по предъявленному им идентификатору (например, предъявление паролей);
проверка полномочий (проверка соответствия дня недели, запрашиваемых ресурсов и процедур установленному регламенту);
разрешение и создание условий работы в пределах установленного регламента;
регистрация (протоколирование) обращений к защищаемым ресурсам;
реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка - метод защиты информации путем ее криптографического закрытия. Защищаемые данные преобразуются в зашифрованную форму, не позволяющую постороннему лицу раскрыть содержание исходных данных. Для этого используются специальные алгоритмы преобразования цифровых кодов исходного сообщения в коды криптограммы, реализуемые программным, аппаратным или программно-аппаратным способом. Санкционированный пользователь может выполнить обратное преобразование криптограммы, получив исходные данные в их первоначальном виде. Шифрование и расшифровка сообщения выполняется на основе уникального числа, называемого ключом. Метод криптографического закрытия широко используется при хранении информации и при ее передаче по каналам связи и передачи данных.
Регламентация - создание таких условий для обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму.
Принуждение - создание условий, при которых пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования
146
защищаемой информации (угроза материальной, административной или .уголовной ответственности).
Побуждение - создание условий, побуждающих пользователей и персонал системы не нарушать установленные порядки (традиции организации, моральные и этические нормы).
Рассмотрим возможные средства защиты в автоматизированной информационной системе.
Физическими средствами защиты называются механические, электронно-механические или электромеханические устройства и сооружения, специально предназначенные для создания физических препятствий на пути к защищаемой информации (замки на дверях, решетки на окнах, оборудование контрольно-пропускных пунктов, системы охранной сигнализации и т. п.).
Аппаратными средствами защиты являются различные электронные устройства, которые включаются в состав технического обеспечения системы и выполняют (самостоятельно или в комплексе с другими средствами) некоторые функции защиты. К настоящему времени в зарубежных системах применяется значительное число различных аппаратных средств практически во всех структурных элементах автоматизированных систем: терминалах, устройствах группового ввода-вывода данных, центральных процессорах, внешней памяти, периферийном оборудовании.
Программными средствами защиты называются специальные программы, входящие в состав программного обеспечения системы, которые способны осуществлять функции защиты. Программные средства ввиду их универсальности, сравнительной простоты реализации и гибкости являются важнейшей и непременной частью механизма защиты современных автоматизированных систем. Программы защиты принято делить на группы в соответствии с выполняемыми ими функциями:
программы идентификации, опознания (терминала, пользователя);
программы регулирования работы (технических средств, пользователей, задач, элементов баз: данных);
программы разграничения доступа (к задачам, программам, элементам баз данных);
программы криптографического закрытия информации;
147
программы защиты программ (ОС, СУБД, программ пользователей);
вспомогательные программы уничтожения остаточной информации, форматирования грифа секретности выдаваемых документов, ведения регистрационных журналов, имитации работы с нарушителем (для отвлечения его внимания), тестового контроля механизма защиты и др.
В настоящее время все более широко применяется такое программное средство защиты информации, как электронная (цифровая) подпись. Механизм электронной подписи основан на криптографических алгоритмах шифрования и включает две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура формирует двоичную последовательность (число) на основе содержания сообщения и секретного ключа, известного только отправителю. Это число передастся по сети вместе с сообщением и расшифровывается получателем с помощью другого ключа, известного всем пользователям данного уровня конфиденциальности. Электронная подпись особенно важна для защиты юридической значимости электронных документов (передаваемых по сети приказов, платежных поручений, контрактов и других финансовых, договорных, распорядительных документов). Особенность таких электронных документов заключается в том, что в случае возникновения споров (в том числе и судебных) должна быть обеспечена возможность доказательства истинности того факта, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе.
Организационными средствами защиты называются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы. Эти мероприятия должны проводиться на всех стадиях жизненного цикла ЭИС и охватывать все компоненты системы (помещения, технические и программные средства и т.п.).
К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. В России в настоящее время разработан ряд законов, имеющих отношение к информационной безопасности вообще и защите автоматизированных информационных систем в частности: «О государственной
тайне», «О федеральных органах правительственной связи и информации», «Об участии в международном информационном обмене», «Об авторском праве и смежных правах», «О правовой охране программ для ЭВМ и баз данных», «Об информации, информатизации и защите информации», «Об электронной цифровой подписи», «О коммерческой тайне» (в проекте).
К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или организации. Наиболее показательным примером таких корм является Кодекс профессионального поведения членов американской Ассоциации пользователей ЭВМ.
Все рассмотренные средства защиты делятся на формальные и неформальные. Формальными считаются такие средства, которые выполняют свои защитные функции строго формально, т.е. по заранее предусмотренной процедуре и без непосредственного участия человека. К неформальным средствам отнесены такие, которые либо определяются целенаправленной деятельностью людей, либо регламентируют (непосредственно или косвенно) эту деятельность.