Безопасность ЭИС

Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения её безопасности.

Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.

Зарубежные публикации последних лет показывают, что возможности злоупотреблений информацией, передаваемой по каналам связи, развивались и совершенствовались не менее интенсивно, чем средства их предупреждения.

В этом случае для защиты информации требуется не просто разработка частных механизмов защиты, а организация комплекса мер, то есть использование специальных средств, методов и мероприятий с целью предотвращения потери информации.

В этом смысле сегодня рождается новая современная технология — технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Несмотря на предпринимаемые дорогостоящие методы, функционирование компьютерных информационных систем выявило наличие слабых мест в защите информации.

Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным. Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Угрозы принято делить на случайные, или непреднамеренные, и умышленные.

Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т. п. Умышленные угрозы преследуют цель нанесения ущерба пользователям АИТ и, в свою очередь, подразделяются на активные и пассивные, Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.

Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или её операционной системы, искажение сведений в базах данных либо в системной информации и т. д.

Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т. п. К основным угрозам и безопасности информации относят:

• раскрытие конфиденциальной информации;

• компрометация информации;

• несанкционированное использование информационных ресурсов;

• ошибочное использование ресурсов;

• несанкционированный обмен информацией;

• отказ от информации;

• отказ от обслуживания.

Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т. п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц), другими лицами наносит её владельцам существенный ущерб.

Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего её потребитель вынужден либо отказаться от неё, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими последствиями. Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой — имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определённый ущерб абонентам и администрации.

Этот ущерб может варьировать в широких пределах — от сокращения поступления финансовых средств до полного выхода АИТ из строя. Ошибочное использование информационных ресурсов, будучи санкционированным, тем не менее может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок в программном обеспечении АИТ. Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания маркетинговой информации. Отказ от информации состоит в непризнании получателем или отправителем информации фактов её получения или отправки.

В условиях маркетинговой деятельности это, в частности, позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путём, формально не отказываясь от них и нанося тем самым второй стороне значительный ущерб. Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама АИТ. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов абоненту может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода, когда это решение ещё может быть эффективно реализовано, может стать причиной его нерациональных или даже антимонопольных действий.

Основными типовыми путями несанкционированного доступа к информации, сформулированными на основе анализа зарубежной печати, являются:

• перехват электронных излучений;

• принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции;

• применение подслушивающих устройств (закладок);

• дистанционное фотографирование;

• перехват акустических излучений и восстановление текста принтера;

• хищение носителей информации и документальных отходов;

• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

• копирование носителей информации с преодолением мер защиты;

• маскировка под зарегистрированного пользователя;

• мистификация (маскировка под запросы системы);

• использование программных ловушек;

• использование недостатков языков программирования и операционных систем;

• включение в библиотеки программ специальных блоков типа «Троянский конь»,

• незаконное подключение к аппаратуре и линиям связи;

• злоумышленный вывод из строя механизмов защиты;

• внедрение и использование компьютерных вирусов.

Необходимо отметить, что особую опасность в настоящее время представляет проблема компьютерных вирусов, ибо эффективной защиты против них разработать не удалось. Остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.

Понятие Экономической информационной системы

ЭИС представляет собой систему, функционирование которой во времени заключается в сборе, хранении, обработке и распространении информации о деятельности какого-то экономического объекта реального мира.

Информационная система создается для конкретного экономического объекта и должна в определённой мере копировать взаимосвязи элементов объекта.

ЭИС предназначены для решения задач обработки данных, автоматизации конторских работ, выполнения поиска информации и отдельных задач, основанных на методах искусственного интеллекта.

Задачи обработки данных обеспечивают обычно рутинную обработку и хранение экономической информации с целью выдачи (регулярной или по запросам) сводной информации, которая может потребоваться для управления экон. объектом.

Автоматизация конторских работ предполагает наличие в ЭИС системы ведения картотек, системы обработки текстовой информации, системы машинной графики, системы электронной почты и связи.

Поисковые задачи имеют свою специфику, и информационный поиск представляет собой интегральную задачу, которая рассматривается независимо от экономики или иных сфер использования найденной информации.

Алгоритмы искусственного интеллекта необходимы для задач принятия управленческих решений, основанных на моделировании действий специалистов предприятия при принятии решений

35.Технология внедрения. Анализ рынка ПО-средств

Технология внедрения CASE-средств

Приведенная в данном разделе технология базируется в основном на стандартах IEEE [16,17] (IEEE - Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике). Термин "внедрение" используется в широком смысле и включает все действия от оценки первоначальных потребностей до полномасштабного использования CASE-средств в различных подразделениях организации-пользователя. Процесс внедрения CASE-средств состоит из следующих этапов [16]:

определение потребностей в CASE-средствах; оценка и выбор CASE-средств; выполнение пилотного проекта; практическое внедрение CASE-средств.

Процесс успешного внедрения CASE-средств не ограничивается только их использованием. На самом деле он охватывает планирование и реализацию множества технических, организационных, структурных процессов, изменений в общей культуре организации, и основан на четком понимании возможностей CASE-средств.

На способ внедрения CASE-средств может повлиять специфика конкретной ситуации. Например, если заказчик предпочитает конкретное средство, или оно оговаривается требованиями контракта, этапы внедрения должны соответствовать такому предопределенному выбору. В иных ситуациях относительная простота или сложность средства, степень согласованности или конфликтности с существующими в организации процессами, требуемая степень интеграции с другими средствами, опыт и квалификация пользователей могут привести к внесению соответствующих корректив в процесс внедрения.

36.Технология внедрения. Определение критериев успешного внедрения

37.Технология внедрения. Разработка стратегии внедрения CASE-средств

). Термин "внедрение" используется в широком смысле и включает все действия от

оценки первоначальных потребностей до полномасштабного использования CASE-средств в

различных подразделениях организации-пользователя. Процесс внедрения CASE-средств состоит

из следующих этапов [16]:

? определение потребностей в CASE-средствах;

? оценка и выбор CASE-средств;

? выполнение пилотного проекта;

? практическое внедрение CASE-средств.

Процесс успешного внедрения CASE-средств не ограничивается только их использованием. На

самом деле он охватывает планирование и реализацию множества технических, организационных,

структурных процессов, изменений в общей культуре организации, и основан на четком

понимании возможностей CASE-средств.

На способ внедрения CASE-средств может повлиять специфика конкретной ситуации. Например,

если заказчик предпочитает конкретное средство, или оно оговаривается требованиями контракта,

этапы внедрения должны соответствовать такому предопределенному выбору. В иных ситуациях

относительная простота или сложность средства, степень согласованности или конфликтности с

существующими в организации процессами, требуемая степень интеграции с другими средствами,

опыт и квалификация пользователей могут привести к внесению соответствующих корректив в

процесс внедрения.

. Разработка стратегии внедрения CASE-средств

Стратегия внедрения должна обеспечивать удовлетворение потребностей и критериев,

определенных ранее. Стратегия включает следующие составляющие:

? организационные потребности;

? базовые метрики, необходимые для последующего сравнения результатов;

? критерии успешного внедрения, связанные с удовлетворением организационных

потребностей, включая ожидаемые результаты последовательных этапов процесса

внедрения;

? подразделения организации, в которых должно выполняться внедрение CASE-средств;

? влияние, оказываемое на другие подразделения организации;

? стратегии и планы оценки и выбора, пилотного проектирования и перехода к

полномасштабному внедрению;

? основные факторы риска;

? ориентировочный уровень расходов и источники финансирования процесса внедрения

CASE-средств;

? ключевой персонал и другие ресурсы.

Необходимо отметить, что внедрение новой технологии может включать важные и сложные

изменения в культуре организации. Существенное внимание должно уделяться ролям различных

групп, вовлеченных в процесс таких изменений. Наиболее существенные роли включают

следующие:

? спонсор (обычно из числа менеджеров высшего уровня). Данная роль является критической

для поддержки проекта и обеспечения необходимого финансирования. Спонсор должен

обладать четким пониманием необходимости серьезных усилий, связанных с внедрением

CASE-средств, и длительности периода ожидания осязаемых результатов;

? исполнитель - обычно лицо (или группа лиц), осознающее потенциальные возможности

новой технологии, пользующееся авторитетом среди технического персонала и способное

возглавить процесс внедрения новой технологии;

? целевая группа - обычно включает менеджеров и технический персонал, которые будут

привлечены к непосредственному использованию CASE-средств, а также специалистов,

которые будут привлечены косвенно, таких, как специалисты по документированию,

персонал поддержки сети и заказчики. Должны быть определены потребности каждой из

таких групп и план их эффективного удовлетворения.

В общем случае, внедрение CASE-средств должно управляться и финансироваться таким же

образом, как и любой проект разработки ПО. Стратегия внедрения может быть пересмотрена в

случае появления дополнительной информации.

Существует несколько подходов к разработке стратегии внедрения CASE-средств. Относительные

преимущества того или иного подхода перед другими должны рассматриваться в контексте

специфики конкретной организации. Особое значение при этом придается персоналу организации

и процессу разработки ПО.

Нисходящий подход к разработке стратегии признает важность исследования всех типов CASE-

средств и документирования процессов разработки и сопровождения ПО в данной организации до

того, как определяются требования к CASE-средствам. При этом выполняется общий анализ

процесса создания и сопровождения ПО в организации. Данный подход зачастую влечет за собой

общую реорганизацию процессов создания и сопровождения ПО в той степени, в какой это

связано с CASE-средствами. Результатом такой реорганизации становится крупномасштабная

стратегия автоматизации процессов создания и сопровождения ПО.

Преимущество нисходящего подхода заключается в том, что он охватывает все процессы создания

и сопровождения ПО, обеспечивая максимально возможную их автоматизацию. Другим

преимуществом является приобретение интегрированного (или интегрируемого) набора средств,

поскольку каждая отдельная поставка подчиняется общей стратегии. Нисходящий подход также

может быть легко интегрирован в общую стратегию развития процесса создания и сопровождения

ПО, в которой внедрение CASE-средств является только одним из аспектов.

Недостатки данного подхода заключаются в следующем:

? нисходящий подход требует для своей реализации значительных людских и финансовых

ресурсов;

? в общем случае, широкомасштабный подход такого рода не позволяет пользователям

достаточно быстро приступить к практическому использованию средств;

? нисходящий подход может привести к относительно серьезным изменениям

существующих в организации процессов. Реализацией такого подхода труднее управлять,

и, кроме того, он содержит в себе повышенный риск провала, ведущего к тому, что CASE-

средства "кладутся на полку".

Нисходящий подход рекомендуется для относительно зрелых организаций с устоявшимся

процессом создания и сопровождения ПО, которые стремятся вложить все необходимые ресурсы в

полностью законченную работу. Чтобы повысить вероятность успеха, требуется принятие

серьезных обязательств со стороны как руководства, так и потенциальных пользователей.

Восходящий подход начинается с определения некоторого средства или типа средств, которые

потенциально могут помочь организации в улучшении выполнения текущей работы. Организация

может затем оценить возможное воздействие средств на процесс разработки и сопровождения ПО.

Преимущества данного подхода заключаются в следующем:

? небольшая автоматизация может быть выполнена при минимальных затратах;

? автоматизация может быть выполнена за короткий промежуток времени, позволяя быстро

устранить известные недостатки в существующих процессах;

? небольшой масштаб восходящей стратегии позволяет лучше фокусировать и

контролировать воздействие, оказываемое на существующие процессы.

Недостатки данного подхода заключаются в следующем:

? средства, приобретаемые как результат отдельных взятых применений данного подхода,

могут плохо интегрироваться между собой. Это может привести к необходимости

выполнения большого объема ручной работы;

? в то время как конкретные, сравнительно небольшие проблемы решаются достаточно

быстро, до решения фундаментальных проблем, связанных с широким кругом процессов

разработки ПО, дело обычно не доходит.

Восходящий подход рекомендуется для организаций с узко специфическими потребностями в

автоматизации, не нуждающихся в общем совершенствовании процессов. В некоторых случаях

может оказаться не слишком практичным приступать к такому совершенствованию, не определив

самые насущные потребности в автоматизации. В то время как данный подход может помочь

организации удовлетворить самые насущные потребности и развить основные процессы, остается

существенная опасность того, что выбранное средство не окажет существенного воздействия на

такие факторы, как качество и продуктивность.

Наиболее рациональная стратегия может сочетать характеристики обоих подходов. Например,

нисходящие методы могут использоваться для определения стандартов качества организации,

потребностей в средствах и ожидаемых результатов, тогда как восходящие методы могут

использоваться для оценки и выбора конкретных CASE-средств, разработки планов внедрения и

контроля его результатов

38.Технология внедрения. Разработка прототипов.