Способы и средства защиты информации 1 страница

Причины нарушения безопасности

К причинам нарушения безопасности относятся:

1. предопределенные на стадии разработки требований выбора модели безопасности, не соответствующей назначению или архитектуре вычислительной системы;

2. обусловленные принципами организации системы обеспечения безопасности:

a. неправильное внедрение модели безопасности;

b. отсутствие идентификации и/или аутентификации субъектов и объектов;

c. отсутствие контроля целостности средств обеспечения безопасности;

3. обусловленные реализацией:

a. ошибок, допущенных в ходе программной реализации средств обеспечения безопасности;

b. наличием средств отладки и тестирования в конечных продуктах

4. ошибки администрирования.

Под защитой информации в компьютерных системах будем понимать создание и поддержание организованной совокупности средств, способов, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде (рис.2.9).

Рис. 2.9. Способы и средства защиты информации

Способы защиты:

Препятствия предусматривают создание преград, физически не допускающих к информации.

Управление доступом — способ защиты информации за счет регулирования использования всех ресурсов системы (технических, программных, временных и др.).

Маскировка информации осуществляется путем ее криптографического закрытия.

Регламентация заключается в реализации системы организационных мероприятий, определяющих все стороны обработки информации.

Принуждение заставляет соблюдать определенные правила работы с информацией под угрозой материальной, административной или уголовной ответственности.

Побуждение основано на использовании действенности морально-этических категорий (например, авторитета или коллективной ответственности).

Средства защиты:

Средства зашиты информации, хранимой и обрабатываемой в электронном виде, разделяют на три самостоятельные группы: технические, программные и социально-правовые.

Среди технических средств защиты выделяют физические и аппаратные.

К физическим средством защиты относятся:

- механические преграды, турникеты (заграждения), специальное остекление;

- сейфы, шкафы;

- механические и электромеханические замки, в том числе с дистанционным управлением;

- замки с кодовым набором;

- датчики различного типа;

- теле- и фотосистемы наблюдения и регистрации;

- СВЧ, ультразвуковые, радиолокационные, лазерные, акустические и другие системы;

- устройства маркировки;

- устройства с идентификационными картами;

- устройства идентификации по физическим признакам;

- устройства пространственного заземления;

- системы физического контроля доступа;

- системы охранного телевидения и охранной сигнализации;

- системы пожаротушения и оповещения о пожаре и др.

Под аппаратными средствами защиты понимают технические устройства, встраиваемые непосредственно в системы (аппаратуру) обработки информации

Наиболее часто используют:

- регистры хранения реквизитов защиты (паролей, грифов секретности и т.п.);

- устройства для измерения индивидуальных характеристик человека (например, цвета и строения радужной оболочки глаз, овала лица и т.д.);

- схемы контроля границ адреса имен для определения законности обращения к соответствующим полям (областям) памяти и отдельным программам;

- схемы прерывания передачи информации в линии связи с целью периодического контроля адресов выдачи данных;

- экранирование ЭВМ;

- установка генераторов помех и др.

Программные средства защиты данных в настоящее время получили значительное развитие. По целевому назначению их можно разделить на несколько классов (групп):

- программы идентификации пользователей;

- программы определения прав (полномочий) пользователей (технических устройств);

- программы регистрации работы технических средств и пользователей (ведение так называемого системного журнала);

- программы уничтожения (затирания) информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации;

- криптографические программы (программы шифрования данных).

Программные средства защиты информации часто делят на средства, реализуемые в стандартных операционных системах (ОС), и средства защиты в специализированных информационных системах. К программным средствам зашиты информации, реализуемым в стандартных операционных системах, следует отнести:

- динамическое распределение ресурсов и запрещение задачам пользователей работать с «чужими» ресурсами;

- разграничение доступа пользователей к ресурсам по паролям;

- разграничение доступа к информации по ключам защиты;

- защита таблицы паролей с помощью главного пароля и др.;

Средства защиты в специализированных (экономических информационных системах, в том числе банковских) позволяют реализовать следующие функции защиты данных:

- опознавание по идентифицирующей информации пользователей и элементов информационной системы, разрешение на этой основе работы с информацией на определенном уровне;

- ведение многоразмерных таблиц профилей доступа пользователей к данным.

ТЕМА 3. Информационная технология

1.Понятие информационной технологии. Этапы развития ИТ. Классификация ИТ. Новые информационные технологии.

1. Понятие информационной технологии

2. Применение информационных технологий в управлении

3. Этапы развития и классификация информационной технологии

4. Автоматизированная информационная технология. Характеристика и функции. Классификация АИТ. Внедрение информационной технологии АИТ: выбор вариантов внедрения, методические принципы внедрения. Перспективы применения информационных технологий для управления организацией.

5. Специальные технологии обработки информации. Иформационные технологии поддржки бизнеса: задачи автоматизации процессов делопроизводства и документооборота; задачи управления бизнес-проектами; задачи реинжиниринга бизнес-процессов. Технологии обработки информации в системах управления базами данных. Компьютерная технология учета на предприятиях и в организациях на базе программного комплекса 1С:Предприятие.

1. Понятие информационной технологии.

Информационные системы предусматривают использование информационных технологий. Под технологией в широком смысле понимают науку о производстве материальных благ, которая имеет три аспекта: информационный, инструментальный и социальный. Информационный аспект охватывает описание принципов и методов производства, инструментальный — орудия труда, с помощью которых реализуется производство, социальный — кадры и их организацию.

Любая информационная система характеризуется наличием технологии преобразования исходных данных в результатную информацию. Термин «информационная технология» (технология обработки информации) тесно связан с понятием «информационный ресурс». Понятие информационной технологии возникло в процессе становления науки информатики. Информатика как наука о производстве информации возникла именно потому, что информация стала рассматриваться как реальный производственный ресурс наряду с другими материальными ресурсами.

Информационная технология не может существовать отдельно от технической и программной среды. Термин информационные технологии отображает огромное количество разнообразных технологий в разных компьютерных средах и предметных отраслях. В информационной технологии можно выделить две составляющие:

а) способность генерировать по запросу информационный продукт;

б) средства доставки этого информационного продукта в удобное время и в удобной для пользователя форме.

Информационная технология — это комплекс методов и процедур, с помощью которых реализуются функции сбора, передачи, обработки, хранения и доведения к пользователям информации в организационно-управленческих системах с использованием избранного комплекса технических средств.

2. Применение информационных технологий в управлении

Понятие информационной системы управления неразрывно связано с понятием экономической информации и ее материальным представлением. При этом стоит различать два аспекта: смысловой и технологический.

Смысловой определяет круг решаемых информационных заданий, отображает структуру объекта управления и направления деятельности каждого его подраздела.

Технологический аспект допускает ее рассмотрение как одного из управленческих процессов, связанных с осуществлением комплекса информационных процедур.

Информационная процедура – совокупность однородных операций, связанных с влиянием на информацию (сбор и регистрация, передача, обработка и сохранение, передача и потребление результатной информации). Совокупность всех информационных процедур образует информационный процесс – технологическую основу управленческой деятельности. И

Информационный процесс управления – совокупность управленческих операций, главным предметом которых является информация. Информационный процесс управления состоит из двух частей: информационного процесса и процесса принятия управленческих решений. Информационный процесс аналогичен производству продукции с процессом получения определенного целостного по содержанию набора данных для выработки и принятия управленческих решений. Принятие управленческих решений основывается на результатной информации и является продолжением информационного процесса на высшем логическом уровне (схема использования результатной информации на рис.3.1).

Целью информационной технологии управления является удовлетворение схожих информационных потребностей работников разных функциональных подсистем (подразделов) или уровней управления предприятия. Эта технология ориентирована на работу в среде информационной системы управления и используется при низкой степени структурированности разрешимых задач, если их сравнивать с задачами, решаемыми с помощью информационной технологии обработки данных. Информация содержит сведения о прошлом, настоящем и достоверном будущем объекта управления. Эта информация имеет вид регулярных или специальных управленческих отчетов.

Регулярные отчеты создаются в соответствии с установленным графиком, что определяет время их создания, например месячный анализ продаж компании.

Специальные отчеты создаются по запросам управленцев или когда в компании состоялось что-то незапланированное.

Рис.3.1. Схема использования результатной информации

И те, и другие виды отчетов могут иметь форму отчетов, что подытоживают, сравнительных и чрезвычайных.

В отчетах, что подытоживают, данные объединены в отдельные группы, отсортированы и представлены в виде промежуточных и окончательных итогов по отдельным полям. Сравнитильные отчеты содержат данные, полученные из разных источников или классифицированные по разным признакам и используемые для целей сравнения. Чрезвычайные отчеты содержат данные исключительного (чрезвычайного) характера.

Использование отчетов для поддержки управления оказывается особенно эффективным при реализации так называемого управления по отклонениям. Управление по отклонениям допускает, что главным содержанием получаемых менеджером данных должны быть отклонения состояния хозяйственной деятельности объекта управления от некоторых установленных стандартов (например, от ее запланированного состояния). Ксоздаваемым отчетам предъявляются следующие требования:

‑ отчет должен создаваться только тогда, когда отклонение состоялось;

‑ сведения в отчете должны быть отсортированы по значении критического для данного отклонения показателя;

‑ все отклонения желательно показать вместе, чтобы менеджер мог уловить существующую между ними связь;

‑ в отчете необходимо показать количественное отклонение от нормы.

Для принятия решений на уровне управленческого контроля информация должна быть представлена в агрегированном виде так, чтобы были видимым тенденции изменения данных, причины возникших отклонений и возможные решения. На этом этапе решаются следующие задачи обработки данных:

‑ оценка планируемого состояния объекта управления;

‑ оценка отклонений от планируемого состояния;

‑ выявление причин отклонений;

‑ анализ возможных решений и действий.

База данных, используемая для получения указанной информации, должна состоять из двух элементов:

1) данных, накапливаемых на основе оценки операций, которые проводятся предприятием;

2) планов, стандартов, бюджетов и других нормативных документов, которые определяют планируемое состояние объекта управления (подразделы фирмы).

3. Этапы развития и классификация информационной технологии

Информационные технологии возникли вместе с производством и в своем развитии прошли ряд этапов. Рассмотрим этапы развития информационных технологий в соответствии с определенными целевыми признаками:

1) вид задач и процессов обработки информации

1-й этап (60 - 70-е гг.) — обработка данных в вычислительных центрах в режиме коллективного пользования. Основным направлением развития информационной технологии была автоматизация операционных рутинных действий человека.

2-й этап (с 80-х гг.) — создание информационных технологий, направленных на решение стратегических задач.

2) проблемы, которые стоят на пути информатизации общества

1-й этап (до конца 60-х гг.) характеризуется проблемой обработки больших объемов данных в условиях ограниченных возможностей аппаратных средств.

2-й этап (до конца 70-х гг.) связывается с распространением ЭВМ серии 1ВМ/360. Проблема этого этапа — отставание программного обеспечения от уровня развития аппаратных средств.

3-й этап (с начала 80-х гг.) — компьютер становится инструментом непрофессионального пользователя, а информационные системы — средством поддержки принятия его решений. Проблемы — максимальное удовлетворение потребностей пользователя и создания соответствующего интерфейса работы в компьютерной среде.

4-й этап (с начала 90-х гг.) — создание современной технологии межорганизационных связей и информационных систем. Проблемы этого этапа весьма многочисленны.

3) преимущество, которое приносит компьютерная технология

Первый этап (1950—1960 годы), что характеризуется применением больших ЭВМ с ориентацией на централизованное коллективное использование ресурсов вычислительных центров. Концепция информационной технологии заключалась в том, что ЭВМ выполняли только ту часть работы по обработке информации, которую люди объективно не в состоянии были выполнить, например многочисленные расчеты. Главное задание информационных технологий на этом этапе ‑ повышение эффективности обработки данных благодаря использованию формализированных алгоритмов. Основным критерием оценки эффективности создаваемых информационных систем была разница между потраченными на разработку и сэкономленными в результате внедрения средствами. Основной проблемой на этом этапе была психологическая — плохое взаимодействие пользователей и разработчиков ИС.

Для второго этапа (1960—1970 годы) определяющим стало появление персональных компьютеров (ПЭВМ). В корне изменилась концептуальная ориентация: все, что можно запрограммировать, должны были выполнять ПЭВМ; люди должны были делать лишь то, что не может быть запрограммировано. Изменился подход к созданию информационных систем — ориентация смещается в сторону индивидуального пользователя для поддержки принимаемых им решений.

На этом этапе используется как централизованная обработка данных, характерная для первого этапа, так и децентрализована, базируется на решении локальных задач и работе с локальными базами данных на рабочем месте пользователя.

Третий этап развития информационных технологий (1970—1990 годы), который известен под названием новой (современной, безбумажной) информационной технологии, характеризуется массовым выпуском персональных электронно-вычислительных машин (ПЭВМ). Основу новой информационной технологии составляют распределенная компьютерная техника, «дружеское» программное обеспечение, развитые коммуникации. Концепция третьего этапа: автоматизировать можно все, что люди способны описать (программирование без программистов). Поэтому центральным заданием технологии программирования стала разработка инструментальных средств, которые облегчают профессионалам-программистам процесс самостоятельной формализации их индивидуальных знаний. НИТ связана с понятием анализа стратегических преимуществ в бизнесе и основана на достижениях телекоммуникационной технологии распределенной обработки информации и призвана помочь организации выстоять в конкурентной борьбе и получить преимущество.

4) виды инструментария технологии

‑ во второй половине XIX ст. имели место «ручные» информационные технологии. Весь процесс обработки информации выполнялся человеком с помощью пера, счет, бухгалтерских книг. Связь осуществлялась пересылкой почтой пакетов и листов. Основная цель технологии — представление информации в нужной форме.

‑ «механическая» информационная технология» связана с появлением печатных машинок, телефона, диктофону, модернизация почтовой связи дали возможность существенно усовершенствовать как отдельные операции, так и весь технологический процесс обработки информации, резко повысить производительность управленческого труда. Основная цель технологии — представление информации в нужной форме более удобными средствами.

‑ на смену «механической» информационной технологии в 40—50-х годах XX ст. пришла «электрическая» технология, основанная на широком использовании электрических печатных машинок, копировальных машин, портативных диктофонов. Резко повысились качество, производительность и скорость обработки документов. Акцент в информационной технологии начинает перемещаться с формы представления информации на формирование ее содержания.

‑ 4-й этап (с начала 70-х гг.) — " электронная" технология, основным инструментарием которой становятся большие ЭВМ и создаваемые на их базе автоматизированные системы управления (АСУ) и информационно-поисковые системы (ИПС), оснащенные широким спектром базовых и специализированных программных комплексов. Центр тяжести технологии еще более смещается на формирование содержательной стороны информации для управленческой среды разных сфер общественной жизни, особенно на организацию аналитической работы. Была подготовлена профессиональная, психологическая и социальная база для перехода на новый этап развития технологии.

5-й этап (с середины 80-х гг.) — " компьютерная" ("новая") технология, основным инструментарием которой является персональный компьютер с широким спектром стандартных программных продуктов разного назначения. На этом этапе происходит процесс персонализации АСУ. ИС имеют встроенные элементы анализа и интеллекта для разных уровней управления, реализуются на персональном компьютере и используют телекоммуникации. Глобальные и локальные компьютерные сети начинают широко использоваться в разных областях. С появлением и широким развитием ЭВМ и периферийной техники наступила эра «компьютерных» информационных технологий.

Возможны и другие схемы классификации информационных технологий. В основу каждой из них положены определенные классификационные признаки.

Первый признак классификации – назначение.Например, принято различать обеспечительные и функциональные информационные технологии. Обеспечительные технологии могут использоваться как инструментарий в разных предметных отраслях для решения разных задач. Они могут быть классифицированы относительно классов задач, которые решаются. Под функциональными технологиями следует понимать совокупность обеспечительных технологий для автоматизации определенной задачи или функции.

Второй признак классификации — наличие или отсутствие автоматизации. Автоматизация — это замена деятельности человека работой машин и механизмов. Мера автоматизации может меняться и в широких границах — от систем, в которых процесс управления полностью осуществляется человеком, к таким, где он реализуется автоматически.

Автоматизация управления, а следовательно, и автоматизация информационной системы и автоматизация технологий, необходимы в таких случаях:

а) физиологичские и психологические возможности человека для управления данным процессом являются недостаточными;

б) система управления находится в среде, опасной для жизни и здоровья человека;

в) участие человека в управлении процессом требует от нее очень высокой квалификации;

г) процесс, которым нужно управлять, переживает критическую или аварийную ситуацию.

4. Автоматизированная информационная технология

4.1. Характеристика и функции АИТ. С позиции технологии и выполняемых функций АИС может состоять из нескольких элементов. С точки зрения технологии выделяются аппарат управления, технико-экономическая информация, методы и средства ее технологической обработки. Оставшиеся элементы образуют автоматизированную информационную технологию обработки данных (АИТ). АИТ – системно организованная для решения задач управления совокупность методов и средств реализации операций сбора, регистрации, передачи, накопления, поиска, обработки и защиты информации на базе применения развитого программного обеспечения, используемых средств вычислительной техники и связи, а также способов, с помощью которых информация предлагается пользователям. АИТ предусматривает существование комплекса соответствующих технических средств, которые обеспечивают реализацию информационного процесса, и системы управления этим комплексом технических средств (как правило, это ПС и ОМО, что связывает действия персонала и технических средств в единственный технологический процесс). Являясь человеко-машинной системой, в рамках которой реализуется информационная модель, формализующая процессы обработки данных в условиях новой технологии, АИТ замыкает через себя прямые и обратные информационные связи между объектом управления (ОУ) и аппаратом управления (АУ), а также вводит в систему потоки внешних информационных связей.

Функции АИТ определяют ее структуру, которая включает следующие процедуры: сбор и регистрацию данных; подготовку информационных массивов; обработку, накопление и хранение бранных; формирование результатной информации; передачу данных от источников возникновения кместу обработки, а результатов расчетов – к потребителям информации для принятия управленческих решений.

1) Сбор и регистрация информации происходят по-разному в различных экономических объектах. Наиболее сложна эта процедура в автоматизированных управленческих процессах промышленных предприятий, фирм и т.п., где производятся сбор и регистрация первичной учетной информации, отражающей производственно-хозяйственную деятельность объекта. Не менее сложна эта процедура и в финансовых органах, где происходит оформление движения денежных ресурсов. Особое значение при этом придается достоверности, полноте и своевременности первич-ной информации. На предприятии сбор и регистрация информации происходят при выполнении различных хозяйственных операций (прием готовой продукции, получение и отпуск материалов и т.п.), в банках – при совершении финансово-кредитных операций с юридическими и физическими лицами. Учетные данные могут возникать на рабочих местах в результате подсчета количества обработанных деталей, прошедших сборку узлов, изделий, выявления брака и т.д.

Сбор информации, как правило, регистрируется, т.е. информация фиксируется на материальном носителе (документе, машинном носителе) вводом в ПЭВМ. Запись в первичные документы в основном осуществляется вручную, поэтому процедуры сбора и регистрации остаются пока наиболее трудоемкими, а процесс автоматизации документооборота – по-прежнему актуальным. В условиях автоматизации управления предприятием особое внимание придается использованию технических средств сбора и регистрации информации, совмещающих операции количественного измерения, регистрации, накопления и передачи информации по каналам связи, ввод ее непосредственно в ЭВМ для формирования нужных документов или накопления полученных данных в системе.

2) Передача информации осуществляется различными способами: с помощью курьера, пересылки по почте, доставки транспортными средствами, дистанционной передачи по каналам связи, с использованием других средств коммуникаций. Предпочтительным является использование технических средств сбора и регистрации, которые, собирая автоматически информацию с установленных на рабочих местах датчиков, передают ее в ЭВМ для последующей обработки, что повышает ее достоверность и снижает трудоемкость. Дистанционно может передаваться как первичная информация с мест ее возникновения, так и результатная – в обратном направлении. Поступление информации по каналам связи в центр обработки в основном осуществляется двумя способами: на машинном носителе или непосредственно вводом в ЭВМ при помощи специальных программных и аппаратных средств.

3) Машинное кодирование – процедура машинного представления (записи) информации на машинных носителях с помощью кодов, принятых в ПЭВМ. Кодирование информации производится путем переноса данных первичных документов на магнитные диски, информация с которых затем вводится в ПЭВМ для обработки. Запись информации на машинные носители осуществляется на ПЭВМ как самостоятельная процедура или как результат обработки.

4) Хранение и накопление экономической информации вызвано многократным ее использованием, применением условно-постоянной, справочной и других видов информации, необходимостью комплектации первичных данных до их обработки. Информация хранится и накапливается в информационных базах, на машинных носителях в виде информационных массивов, где данные располагаются по установленному в процессе проектирования поименованному порядку. С хранением и накоплением непосредственно связан поиск данных, т.е. выборка нужных данных из хранимой информации, включая поиск информации, подлежащей корректировке либо замене. Процедура поиска выполняется автоматически на основе составленного пользователем или ПЭВМ запроса на нужную информацию.

5) Обработка экономической информации производится на ПЭВМ, как правило, децентрализованно. В местах возникновения первичной информации организуются автоматизированные рабочие места специалистов той или иной управленческой службы (отдела материально-технического снабжения и сбыта, отдела главного технолога, конструкторского отдела, бухгалтерии и т.п.). Обработка, однако, может проводиться не только автономно, но и в вычислительных сетях, с использованием набора ПЭВМ, программных средств и информационных массивов для решения функциональных задач. В ходе решения задач на ЭВМ в соответствии с машинной программой формируются результатные сводки, которые печатаются машиной или отображаются на экране. Печать сводок может сопровождаться процедурой тиражирования, если документ с результатной информацией необходимо предоставить нескольким пользователям.

6) Принятие решения в автоматизированной системе организационного управления, как правило, осуществляется специалистом с применением или без применения технических средств, но в последнем случае – на основе тщательного анализа результатной информации, полученной на ПЭВМ. Задача принятия решений осложняется тем, что специалисту приходится выбирать из множества допустимых решений наиболее приемлемое, сводящее кминимуму потери ресурсов (временных, трудовых, материальных и т.д.). Благодаря применению персональных ЭВМ и терминальных устройств повышается аналитичность обрабатываемых сведений, а также обеспечивается постепенный переход кавтоматизации выработки оптимальных решений в процессе диалога пользователя с вычислительной системой. Этому способствует использование новых технологий экспертных систем поддержки принятия решений.

4.2. Классификация АИТ. АИТ можно классифицировать по следующим признакам: по степени охвата АИТ задач управления; по классам реализованных технологических операций АИТ; по типу интерфейса пользователя; по способу реализацииАИТ в АИС.

1) по степени охвата АИТ задач управления выделяют электронную обработку данных, когда с использованием ЭВМ без пересмотра методологии и организации процессов управления ведется обработка данных с решением отдельных задач, и автоматизацию управленческой деятельности (функций управления, поддержка принятия решений, экспертная поддержка).

2) по типу интерфейса пользователя можно рассматривать АИТ с точки зрения возможностей доступа пользователя к информационным и вычислительным ресурсам.