Классификации угроз

date image 2015-06-24
views image 2388
Поделись с друзьями: 
21222324252627

Один из возможных подходов к классификации угроз информационным системам фактически был изложен в предыдущем разделе. Угрозы, таким образом, можно поделить на три класса: угрозы доступности информации, угрозы целостности информации и угрозы конфиденциальности информации. В следующих разделах мы подробно остановимся на всех трех классах угроз.

Угрозы можно разделить по тем компонентам ИС и ее инфраструктуры, на которые непосредственно направлена данная угроза. В этом случае, можно говорить об угрозе непосредственно данным, угрозе программному обеспечению ИС, угрозе системному программному обеспечению, угрозе компьютерной технике и сетевому оборудованию и т.д.

Деление всех угроз по их характеру приводит, таким образом, к делению угроз информационной безопасности на случайные и преднамеренные. Случайные угрозы возникают независимо от воли и желания людей, хотя люди и могут быть источниками этих угроз. Преднамеренные же угрозы всегда создаются людьми, причем их намеренными действиями.

Наконец угрозы безопасности можно поделить по их источникам. Всего можно, выделить три группы угроз:

· Природные угрозы. Природные угрозы являются случайными и связаны, прежде всего, с прямым физическим воздействием на компьютерную систему или системы ее жизнеобеспечения. Источником таких угроз являются природные катаклизмы. Предотвратить такие явления мы не можем, но можем предвидеть их и свести негативные их последствия к минимуму.

· Технические угрозы. Технические угрозы - это угрозы вызванные неполадками технических средств (компьютеров, средств связи и др.) и проблемами в работе программного обеспечения. В последнем случае следует различать неполадки в функционировании программного обеспечения, являющегося частью информационной системы и сбои в работе системного программного обеспечения (операционные системы, драйверы, сетевое программное обеспечение). К техническим же угрозам следует отнести и неполадки в системах жизнеобеспечения (здания, тепло-, водоснабжение и т.д.). Технические угрозы можно не только предвидеть, но свести на нет возможность реализации некоторых из них. Своевременный ремонт систем жизнеобеспечения, наличие источников бесперебойного электропитания, а еще лучше альтернативных источников – все это является частью информационной безопасности.

· Угрозы, созданные людьми. Угрозы, созданные людьми можно разделить на

o Угрозы со стороны людей, непосредственно работающих с системой (обслуживающий персонал, программисты, администраторы, операторы, управленческий аппарат и др.).

o Угрозы, вызванные внешними злоумышленниками, в том числе хакерские атаки, компьютерные вирусы и др.

Кроме перечисленных выше признаков, по которым можно классифицировать угрозы информационной безопасности, угрозы можно поделить на прямые и косвенные. Косвенные угрозы непосредственно не приводят к каким либо нежелательным явлениям в компьютерной системе, но они могут являться источниками новых косвенных или прямых угроз. Например, запись на диск зараженного компьютерным вирусом файла может лишь с некоторой вероятностью привести к неполадкам в работе операционной системы. В свою очередь неполадки в операционной системе также с некоторой вероятностью приведут к неполадкам в информационной системе. Знание возможных косвенных угроз помогает просчитать непосредственные угрозы для информационной системы и повысить уровень безопасности.

40.Содержание и методы канонического проектирования ЭИС.

Каноническое проектирования отражает особенности ручной технологии индивидуального (оригинального) проектирования, осуществляемого на уровне исполнителей без использования каких-либо инструментальных средств, позволяющих интегрировать выполнение элементарных операций.

В основе канонического проектирования лежит каскадная модель жизненного цикла ИС. Процесс каскадного проектирования в жизненном цикле ИС в соответствии с применяемым в нашей стране ГОСТ 34601-90 «Автоматизированные системы стадий создания» делится на следующие семь стадий:

исследование и обоснование создания системы;

разработка технического задания;

создание эскизного проекта;

техническое проектирование;

рабочее проектирование;

ввод в действие;

функционирование, сопровождение, модернизация.

На практике часто используют следующие стадии процесса разработки ИС:

1. Предпроектная стадия. Цель - уточнить границы изучения системы, определить круг пользователей будущей ИС различных уровней и выделить классы и типы объектов, подлежащих обследованию и последующей автоматизации.

1.1. Сбор материалов обследования.

Основными целями являются:

выявление основных параметров предметной области (например, предприятия или его части);

установление условий, в которых будет функционировать проект ИС;

выявление стоимостных и временных ограничений на процесс проектирования.

В результате выполнения первого этапа проектировщики получают материалы обследования, которые должны содержать полную и достоверную информацию, описывающую изучаемую предметную область - предприятие, в том числе: цель функционирования; организационную структуру системы и объекта управления, т.е. его управленческие отделы, цехи, склады и хозяйственные службы; функции управления, выполняемые в этих подразделениях, протекающие в них технологические процессы обработки управленческой и экономической информации, а также материальные потоки и процессы их обработки, ресурсные ограничения.

1.1.1. Предварительное изучение предметной области. Цель - на основе общих сведений об объекте выявить предварительные размеры объемов работ по проектированию и состав стоимостных и временных ограничений на процессы проектирования, а также найти примеры разработок проектов ИС для аналогичных систем

1.1.2. Выбор технологии проектирования. В настоящее время существует несколько типов технологий проектирования: технология оригинального, типового, автоматизированного и смешанного вариантов проектирования. Основными ограничениями при выборе технологии могут служить: наличие денежных средств на приобретение и поддержку выбранной технологии, ограничения по времени проектирования, доступность соответствующих инструментальных средств и возможность обеспечения поддержки их эксплуатации собственными силами, наличие специалистов соответствующей квалификации. Результатом выполнения этой операции служит получение описания выбранной технологии, методов и средств проектирования.

1.1.3. Выбор метода проведения обследования. Все методы можно объединить в группы по следующим признакам (Рисунок 5):

по цели обследования выделяют метод организации локального проведения обследования, используемый для разработки проекта отдельной задачи или для комплекса задач, и метод системного обследования объекта, применяемый для изучения всего объекта с целью разработки для него проекта ИС в целом;

по числу исполнителей, проводящих обследование, применяется индивидуальное обследование, осуществляемое одним проектировщиком, и бригадное с выделением ряда бригад-исполнителей, изучающих все подразделения предприятия, и одной координирующей бригады;

по степени охвата предметной области применяют метод сплошного обследования, охватывающего все подразделения экономической системы, и выборочное, применяемое при наличии типовых по структуре подразделений (например, цехов или складов);

по степени одновременности выполнения работ первого и второго этапов предпроектной стадии выделяют метод последовательного проведения работ, при котором проектировщики сначала собирают данные о предметной области, а затем их изучают (часто применяют при отсутствии опыта в выполнении такого рода работ), и метод параллельного выполнения работ, когда одновременно со сбором происходит изучение полученных материалов обследования, что значительно сокращает время на проведение работ на предпроектной стадии и повышает качество получаемых результатов.

Выбор метода сбора материалов обследования

Выполнение работ по обследованию предметной области в каком-либо подразделении и сбору материалов можно проводить на основе предварительного проведения выбора методов сбора материалов обследования, которые можно разделить на две группы (Рисунок 6):

При выборе метода следует учитывать следующие критерии:

степень личного участия проектировщика в сборе материала;

временные, трудовые и стоимостные затраты на получение сведений в подразделениях.

Проектировщику необходимо знать и в каждом конкретном случае применять наиболее экономичный, обеспечивающий нужную полноту сведений метод сбора материалов обследования.

[Базы данных: Учебник для высших учебных заведений /Под ред. проф. А.Д. Хомоненко. – Спб.: КОРОНА принт, 2000. –416с. Стр. 147–161.]

Разработка программы обследования.

Обследование проводится по заранее разработанной программе, составленной по форме, представленной в Таблица 2, содержащей перечень вопросов, ответы на которые дадут полное представление о деятельности изучаемого объекта и будут учтены при создании проекта ИС. Вопросы можно систематизировать по трем основным направлениям исследования объекта.

Первое направление предусматривает получение представления об объекте изучения, т.е. экономической системе (например, предприятии) в целом, включая выяснение целей функционирования этой системы, выявление значений основных параметров деятельности предприятия и т. д.

Второе направление предусматривает изучение и описание организационно-функциональной структуры объекта (как правило, относится к аппарату управления). При этом изучаются функции, выполняемые в структурных подразделениях, хозяйственные процессы и процедуры, выявляются комплексы задач, обусловленные выполняемыми функциями, процессами и процедурами, определяется состав входной и выходной информации по каждой задаче. В Таблица 2 приведен фрагмент составления программы.

Третье направление предусматривает изучение и описание структуры информационных и (или) материальных потоков: состава и структуры компонентов потоков, частоты их возникновения, объемов за определенный период, направления движения потоков, процедур обработки, в которых участвуют эти компоненты. Источником сведений являются получаемые от специалистов предметной области интервью, экономическая документация и результаты расчетов. Описание информационной структуры выполняется на уровне экономических документов и показателей

41.Средства реализации ЭИС.

Для реализации информационных процессов необходимы программы, процедуры, правила и документация, входящие в состав вычислительной системы, называемые программным обеспечением. Программное обеспечение подразделяется на системное и прикладное.

Системное программное обеспечение - это программное обеспечение, используемое для разработки и выполнения прикладных программ.

Прикладное программное обеспечение - программное обеспечение, предназначенное для решения определенного класса задач или для представления пользователю определенного типа услуг.

Операционные системы и оболочки

Операционная система (ОС) - это программа, которая загружается при включении компьютера. Она производит:

диалог между компьютером и пользователем;

осуществляет управление компьютером и его' ресурсами;

запускает прикладные программы;

обеспечивает пользователю и прикладным программам удобный способ общения (интерфейс) с устройствами ПК.

Операционная система скрывает от пользователя подробности выполнения операций низкого уровня. Каждое действие пользователя при работе с операционной системой состоит из множества элементарных операций, о которых пользователю в большинстве случаев нет необходимости знать. Для компьютеров типа IBM PC используются следующие операционные системы ОС: MS DOS, MS Windows, MS Windows NT, Unix и т. д.

Программная оболочка - это программа, которая позволяет в полноэкранном режиме выполнять наиболее часто используемые операции операционной системы.

В операционной системе MS DOS программные оболочки значительно облегчают жизнь пользователя. Примерами таких программных оболочек являются Norton Commander (NC), Dos Navigator (DN) и др. Программа NC является одной из наиболее популярных программных оболочек для работы с операционной системой DOS. Это программа позволяет выполнять большое количество различных функций. В частности:

наглядно изображать содержание каталогов на диске;

удобно копировать, переименовывать, переносить и удалять файты;

просматривать файлы;

редактировать текстовые файлы (созданные в редакторах DOS);

выполнять любые команды DOS;

изменять атрибуты файлов и т. д.

Программные средства обработки текстовой информации

В настоящее время программное обеспечение включает в себя огромное количество программ сервисного назначения, облегчающих обработку информации. К таким программам относятся и текстовые редакторы. Текстовые редакторы, графические редакторы и другие программы, предназначенные для решения определенного класса задач, объединены под общим названием прикладное программное обеспечение.

Текстовый редактор - это программа для создания и редактирования текстов, формул, таблиц, диаграмм. Редактирование осуществляется в процессе диалога пользователя с системой.

Нельзя также забывать и об информационной безопасности

42.Облачные технологии и ЭИС.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

21222324252627

double arrow
Сейчас читают про:
article image
Орфография и орфограммы. Типы и виды орфограмм
article image
КЛАССИФИКАЦИЯ ГЛАСНЫХ ЗВУКОВ РУССКОГО ЯЗЫКА
article image
Порядок проведения текущей и генеральной уборки помещений УЗ
article image
Нормальные показатели эхокардиографии, допплерографии
article image
Парциальная несформированность высших психических функций
article image
Наследование по римскому праву
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Живопись сильнее меня и всегда заставляет меня делать то, чего она желает. © Пикассо ==> читать все изречения...
like icon 5868
like icon 5786
Понравился сайт? Поделись им с друзьями: