Использование нейронных сетей открывает практически неограниченные возможности применения, особенно в качестве аналитических инструментов в таких плохо формализуемых и многокритериальных областях управления, как анализ финансовой и банковской деятельности, биржевые рынки. Любая задача, связанная с использованием финансовых средств на валютном рынке или рынке ценных бумаг, сопряжена с риском и требует тщательного анализа и прогноза. Точность прогноза, устойчиво достигаемая нейросетевыми технологиями при решении реальных задач, уже превысила 95%. Поэтому количество примеров успешного применения нейросетевых программных продуктов стремительно растет. Среди перспективных направлений использования нейросетевых технологий в управлении можно назвать создание компьютерных моделей поведения клиента для оценки риска или перспективности работы с конкретными клиентами. Эти модели основаны на анализе проведенных сделок и оценке вероятности того, согласится ли конкретный клиент на то или иное предложение.

На мировом рынке аналитического программного обеспечения представлен широкий спектр нейросетевых технологий - от систем, ориентированных на суперкомпьютеры, стоимость которых превышает 50 тыс. долл., до недорогих (несколько сотен долларов) нейропакетон, работающих на платформе персональных компьютеров и рабочих станций. Это делает доступной технологию нейронных сетей для приложений практически любого уровня. Ее массовое применение - вопрос ближайшего будущего.

Исследования в области искусственного интеллекта

Искусственный интеллект в настоящее время применяется во многих областях. В последние годы современные информационные технологии совершили резкий скачок вперед, в основном за счет повышения производительности массовых процессоров и удешевления памяти ЭВМ. Это привело к появлению приложений, в которых воплотились серьезные теоретические наработки по искусственному интеллекту.

Основной проблемой исследовании в области искусственного интеллекта является построение машинной модели, которая бы производила сложные преобразования информации, осуществляемые человеческим мозгом, включая в частности зрительное распознавание пространственных сцен, общение на естественном языке, в том числе в форме речи, обучение на опыте, выработку новых понятий, открытие новых свойств и законов, постановку новых задач и нахождение алгоритмов их решения, разработку новых научных теорий и т. д.

Идея практического применения исследований в области искусственного интеллекта в виде экспертных систем заключается в следующем. Если пока не удается заставить машину тонко приспосабливаться к проблемной области, самой вырабатывать нужные методы поиска, находить существенно новые свойства и законы, вырабатывать новые знания, приобретать новый опытв изучаемой ею проблемной области, то можно воспользоваться накопленным человеческим опытом, готовыми знаниями, методами, навыками решения задач в некоторой предметной области и заложить их в машину (в ее базу знаний). Тем самым будет на время снята проблема накопления машиной опыта, открытия ею новых знаний и останется проблема применения уже накопленного специалистами опыта для вывода знаний с помощью имеющихся средств.

Затем необходимо разработать программу применения этого опыта для решения тех задач, с которыми справляется специалист и при решении которых он не располагает строгими математическими алгоритмами в силу неформализованности соответствующих знаний, отсутствия точных математических моделей. Речь идет о том опыте, который специалист может выразить словами в терминах данной предметной области, в виде либо некоторых общих высказываний и правил, либо описания конкретных примеров, образцов решений и действий в различных конкретных ситуациях. Такие знания называются вербализуемыми. Но у человека вырабатывается и другой опыт, не описываемый терминами исследуемой предметной области. Этот опыт представляется в некоторой системе формирующихся у человека связей, образов, интуитивных предчувствий, предвидений, предпочтений, неосознаваемых реакций и т. п. Он не сформирован в четко осознаваемые человеком правила, связи, принципы, эмпирические законы.

По-видимому, описание подсознательного опыта следует проводить в другом языке - не в терминах внешнего поведения человека при обработке им информации, а в терминах нейронных структур человеческого мозга и их связей, обеспечивающих самоорганизацию и специализацию поисковых механизмов. Поэтому предметная область для экспертных систем должна быть такой, чтобы опыт, который не удается вербализовать, не играл главенствующую роль при решении задач, как, например, в задачах оценки произведений искусства, в процессах художественного творчества, дегустации и т. п.

На этапе создания экспертных систем первого поколения в них применялись наиболее проработанные фрагменты еще далеких от завершения исследований в области искусственного интеллекта. При этом из-за недостаточности научных знаний о том, как заставить машину приобретать знания и опыт, использовался накопленный человечеством научный потенциал и практический опыт; из-за недостаточности научных знаний о том, как передать машине ту часть человеческого опыта, которая не поддается словесным описаниям, пришлось передавать машине только опыт, поддающийся вербализации. Наконец, из вербализуемых знаний использовались в основном только так называемые поверхностные, эмпирические знания, получаемые в результате обобщения внешнего поведения исследуемых объектов, без учета их внутренней природы, внутренних законов функционирования, глубоких причинно-следственных связей. Представление же глубинных знаний, а также приведение индуктивных выводов, обучение на опыте, открытие новых свойств, законов и другие сложные интеллектуальные действия включаются в разработку экспертных систем второго и последующих поколений. Тем не менее уже разработанные экспертные системы находят применение в самых разнообразных областях науки, техники, производства, культуры.

Построение и использование экспертных систем управления

Экспертная система — это прикладная диалоговая система искусственного интеллекта, способная получать, накапливать, корректировать знания из некоторой предметной области (представляемые в основном специалистами-экспертами), выводить новые знания, находить на основе этих знаний решения практических задач, близкие по качеству к решениям экспертов, и по запросу пользователя объяснять ход решения в понятной для него форме.

В отличие от традиционных программ, предназначенных для решения математически строго определенных задач поточным разрешающим алгоритмам, с помощью экспертных систем решаются задачи, относящиеся к классу неформализованных или слабо формализованных, слабо структурированных задач. Алгоритмические решения таких задач или не существуют в силу неполноты, неопределенности, неточности, расплывчатости рассматриваемых ситуации и знаний о них или же такие решения неприемлемы на практике в силу сложности разрешающих алгоритмов. Поэтому экспертные системы используют логический вывод и эвристический поиск решения.

От систем поддержки принятия решений (которые не используют экспертных методов) экспертные системы, отличаются тем, что первые опираются больше на математические методы и модели, а экспертные системы в основном базируются на эвристических, эмпирических знаниях, оценках, методах, которые получены от экспертов, и, кроме того, способны анализировать и объяснять пользователю свои действия и знания.

Идея построения экспертных систем сформировалась в ходе исследований в области искусственного интеллекта. Экспертные системы распадаются на два больших класса с точки зрения задач, которые они решают. Системы первого класса предназначаются для повышения культуры работы и уровня знаний специалистов в различных областях деятельности (врачей, геологов, инженеров и т. п.). Системы второго класса можно назвать консультирующими, или диагностирующими. Для оказания помощи человеку в решении указанных задач разрабатываются комплексы программ персональных компьютеров, называемые интеллектуальными системами, основанными на знаниях. Эти разработки относятся к области приложений исследований по искусственному интеллекту.

Основные задачи экспертных систем

Задачи экспертных систем, которые, по сути, представляют собой комбинацию машинного и человеческого знания, - сохранять и пополнять опыт специалистов, работающих в плохо формализуемых областях, таких, как медицина, биология, история и т. п. Экспертные системы должны сыграть роль высококвалифицированных помощников, способных дать полезный совет, сообщить необходимые сведения человеку, находящемуся в затруднительном положении. Им может оказаться молодой, имеющий недостаточный опыт врач, перед которым возникла необходимость провести сложную и нетривиальную операцию. Им может быть археолог, столкнувшийся впервые с малоизвестной культурой, или биолог, которому срочно понадобились знания на уровне профессионального нейрофизиолога, или любой другой исследователь и специалист.

Экспертная система хранит массу сведений, полученных из самых различных источников (книг, журнальных публикаций, устных сообщений специалистов и т. п.). Она может использовать эти сведения для консультации и при, необходимости объяснить специалисту, как она пришла к сообщаемым ему выводам.

В настоящее время, применяя компьютерные технологии, стало возможным использовать системы поддержки в управлении потрем направлениям:

·  поддержка принятия управленческих решений;

·  проведение сравнительного анализа вариантов решений (различных прогнозов, стратегий развития и т. д.);

·  поддержка выбора управленческого решения. Такого рода системы базируются на методах многокритериального анализа и экспертных оценок.

Построение экспертных систем

Одним из самых сложных процессов при создании экспертных систем является построение базы знаний. Эта сложность о основном связана с необходимостью структурирования знаний, а возможность той или иной степени структурирования существенно зависит от изучаемой проблемы. Эксперт, знания которого вводятся в систему, может не быть знакомым с деталями программы и вычислительной машиной, на которой реализована экспертная система. Поэтому появляется необходимость привлечения инженера по знаниям, который знает одновременно и область возможного применения экспертной системы и структуру указанной программы. Именно этот специалист поможет подобрать оптимальный вариант структурирования вводимых знаний в соответствии с возможностями системы.

Создание экспертной системы не может вестись по обычной схеме «заказчик—исполнитель», т. е. когда в соответствии с техническим заданием разработки исполнитель сдает заказчику готовую для эксплуатации систему. Это невозможно потому, что знаниями, которыми должна быть заполнена конкретная экспертная система располагает заказчик, а не разработчик. Исполнитель (разработчик) с помощью специальных инструментальных средств создает пустую экспертную систему, или метасистему, ориентированную на один из классов экспертных систем. Заполнение знаниями пустой системы осуществляется непосредственно у заказчика специалистами (инженерами по знаниям), входящими либо в организацию заказчика, либо в организацию разработчика. Эти специалисты должны, с одной стороны, быть компетентны в теории экспертных систем, а с другой - знать предметную область и уметь работать с экспертами, чтобы превращать их знания в формализмы данном экспертной системы, т. е. в специальные конструкции, понятные ЭВМ (рис. 6.3).

Базы знаний

База знаний является основой экспертной системы, она накапливается в процессе ее построения. Наибольший интерес в развитии информационного обеспечения автоматизированных информационных технологий управления экономической деятельностью представляют применения в области искусственного интеллекта. Одной из форм реализации достижений в этой области является создание экспертных систем - специальных компьютерных систем, базирующихся на системном аккумулировании, обобщении, анализе и оценке знаний высококвалифицированных специалистов (экспертов). В экспертной системе используется база знаний, в которой представляются знания о конкретной предметной области.

База знаний — это совокупность моделей, правил и факторов (данных), порождающих анализ и выводы для нахождения решений сложных задач в некоторой предметной области. Выделенные и организованные в виде отдельных, целостных структур информационного обеспечения знания о предметной области становятся явными и отделяются от других типов знаний (например, общих знаний). Базы знаний позволяют вести рассуждения не только и не столько на основе формальной (математической) логики, но и на основе опыта, фактов, эвристик, т. е. базы знаний приближены к человеческой логике (рис. 6.4).

Разработки в области искусственного интеллекта имеют целью использование большого объема высококачественных специальных знаний о некоторой узкой предметной области для решения сложных, неординарных задач. Развитие концепции баз знаний связано с исследованиями и достижениями в области систем искусственного интеллекта. Области применения баз знаний и систем на их основе расширяются. Создается целый спектр баз знаний — от небольших по объему для портативных систем до мощных, предназначенных для профессионалов, эксплуатирующих сложные, технически оснащенные АРМ. Очень большие базы знаний хранятся в централизованных единых хранилищах данных, доступ к которым осуществляется через сети пользователями различных систем, разного уровня, масштаба и т. д. Совершенствование создаваемых баз знаний сделает их доступными для массового пользователя, будет способствовать их превращению в коммерческий продукт.

6.7. Анализ возможностей корпоративных систем

Корпоративные компьютеры (иногда их называют мини-ЭВМ) представляют собой вычислительные системы, обеспечивают совместную деятельность многих управленческих работников в рамках одной организации, одного проекта, одной сферы информационной деятельности при использовании единых информационно-вычислительных ресурсов. Это многопользовательские вычислительные системы, имеющие центральный блок большой вычислительной мощности со значительными информационными ресурсами, к которому подсоединяются многочисленные рабочие места с минимальной оснащенностью (видеотерминал, клавиатура, устройство позиционирования типа «мышь» и устройство печати). В качестве рабочих мест, подсоединенных к центральному блоку корпоративного компьютера, могут быть использованы и персональные компьютеры.

Область использования корпоративных компьютеров - реализация информационных технологий обеспечения управленческой деятельности в крупных финансовых и производственных компаниях, организация различных информационных систем, обслуживающих большое число пользователей в рамках одной функции (биржевые и банковские системы, бронирование и продажа билетов на транспорт и т. д.). Например, корпоративные сети банка обслуживают телекоммуникационное обеспечение бизнес-процессов банка и доступ в любые другие локальные и глобальные сети.

Существующие корпоративные системы обладают большими возможностями: поддерживают управленческие функции, интегрируют системы управления предприятием, облегчают управление формированием спроса, управление поставками, управление производством и управление сбытом.

Внедрение корпоративной системы на предприятии или фирме дает возможность:

·  определить степень развитости функций управления, поддерживающих процессы планирования производственных процессов и связанных с ними ресурсов;

·  оценить и проанализировать структуру планов промышленного предприятия, автоматизированных алгоритмов планирования, взаимосвязей планов производства с прогнозом спроса, планами поставок, сбыта, распределения и движения ресурсов (финансовым планом, цеховыми заданиями, документооборотом и т. п.);

·  оценить степень полноты состава управленческих функций, поддерживающих информационные системы управления производством, развитость этих средств.

Оценить полноту управленческих функций, осуществляющихся с помощью корпоративных систем, можно с помощью рис. 6.5, на котором представлены основные бизнес-процессы промышленного производства.

Для наглядности управляемый процесс, который обеспечивают корпоративные системы, можно представить в виде табл. 6.2.

Таблица 6.2

Поддержка информационными системами функций управляемого процесса на производстве

Управленческая функция

Реализация в интегрированных системах управления предприятием

Наблюдение

Открытый интерфейс с возможностью подключения датчиков, технологического оборудования и др.

Описание состояния

Автоматизированное составление отчетов

Сравнение с целью

Вычисление отклонения план-факт

Выявление причин отклонения

Трактовка системой причин возникновения отклонений (по совокупности значений ряда параметров)

Выработка решения

Выбор оптимального управленческого решения из некоторого пространства альтернатив по заданным критериям

Перевод в управляющее воздействие

Формирование приказа, распоряжения, сигнала и т. д.

Ввод управляющего воздействия

Передача сигнала (сообщения) по локальным и распределенным сетям в виде сообщения на монитор соответствующего должностного лица

Российские корпоративные системы имеют шесть основных отличий от аналогичных западных систем, которые приводятся в табл. 6.3.

Таблица 6.3

Шесть типов основных различий между интегрированными системами управления производством отечественных и западных производителей

№ п/п

Основные различия

1

Степень развитости программных средств, поддерживающих процесс целеполагания, т. е. планирования производственных процессов и связанных с ними ресурсов

2

Полнота состава управленческих функций, поддерживаемых интегрированными системами управления предприятием, и развитость реализующих их программных средств

3

Степень специализации управления производством на различных типах и видах производства (особенности объектов управления)

4

Специфика процедур управления ресурсами (финансовыми, кадровыми, материально-техническими, информационными)

5

Степень развитости аналитических программных средств, позволяющих обрабатывать данные и предоставлять их в удобном для руководителя виде

6

Степень соответствия международным стандартам и концепциям

Тесты и тренировочные задания

Тесты*

* Для выполнения тестов выберите правильный ответ из предложенных вариантов.

6.1. Товар имеет зависимый спрос, если его использование связано с планами производства других изделий:

а) да;

б) нет.

6.2. Какова основная цель создания системы управления на фирме «Тоета»:

а) снижение издержек производства путем почти полной ликвидации излишних материальных запасов или избыточной рабочей силы;

б) увеличение прибыли путем расширения производства?

6.3. Какие виды планов составляются на фирме «Тоета»:

а) годовой план производства (сколько в текущем году надо продать и выпустить автомобилей);

б) месячные планы производства (составляются в два этапа: первый этап — за два месяца до планового определяются модели, модификации и объемы их выпуска, второй этап — за месяц до планового эти планы детализируются);

в) суточные производственные графики (в них указывается последовательность сборки различных модификаций автомобилей на линиях главного конвейера, эти графики составляются только для главного сборочного конвейера);

г) первые два вида (а + б);

д) второй и третий виды (б + в);

е) все три вида планов (а + б + в)?

6.4. Электронным офисом называется:

а) программно-аппаратный комплекс, предназначенный для обработки документов и автоматизации работы пользователей в системах управления;

б) программное обеспечение, позволяющее совершать необходимые действия по информационному обмену и обеспечивать пользователя необходимой информацией;

в) единое информационное пространство, созданное на основе информационных технологий, обеспечивающее получение необходимой информации, анализ и принятие управленческих решений.

6.5. В интегрированный пакет для офиса входят взаимодействующие между собой программные продукты:

а) да;

б) нет.

6.6. Главной отличительной чертой программ, составляющих интегрированный пакет, является общий интерфейс пользователя, позволяющий применять похожие приемы при работе с различными приложениями пакета:

а) да;

б) нет.

6.7. Основные задачи, присущие электронному офису:

а) анализ деятельности организации;

б) сбор и обработка входной и выходной информации;

в) документационное обеспечение управления.

6.8. На чем основана классификация задач электронного офиса:

а) на степени их интеллектуальности и сложности;

б) на использовании информации о документообороте;

в) на применении пакетов прикладных программ?

6.9. Работа в электронном офисе подразумевает:

а) принятие, обработку и передачу информации;

б) решение задач управления и принятия решений;

в) облегчение рутинной работы работников офиса.

6.10. Информационные технологии виртуальных офисов основываются на работе локальной сети, соединенной с территориальной или глобальной сетью:

а) да;

б) нет.

6.11. При изучении информационных потоков большое значение придается правильной организации документооборота, т. е. последовательности прохождения документа от момента выполнения первой записи до сдачи его в архив:

а) да;

б) нет.

6.12. Электронный офис предусматривает:

а) постановку, задач, базирующуюся на принятии решений в условиях неполной информации;

б) наличие интегрированных пакетов прикладных программ, включающих специализированные программы и информационные технологии, которые обеспечивают комплексную реализацию задач любой предметной области;

в) использование входной и выходной информации для компьютерной обработки экономических задач на предприятиях.

6.13. Какие важнейшие этапы обработки и использования офисной информации реализуют информационные технологии управления:

а) учет;

б) анализ;

в) принятие решений;

г) все три этапа (а + б + в);

д) первые два этапа (a + б)?

6.14. Автоматизированное рабочее место — это совокупность информационно-программно-технических ресурсов, обеспечивающих конечному пользователю обработку данных и автоматизацию управленческих функций в конкретной предметной области:

а) да;

б) нет.

6.15. С помощью АРМ усиливается интеграция управленческих функций, и каждое более или менее «интеллектуальное» рабочее место обеспечивает работу в многофункциональном режиме:

а) да;

б) нет.

6.16. Искусственный интеллект — это:

а) наука, основанная на базе вычислительной техники, математической логики, программирования, психологии, лингвистики, нейрофизиологии и других отраслей знаний;

б) создание машин, обнаруживающих поведение, которое у людей называется интеллектуальным;

в) программная система, имитирующая на компьютере мышление человека.

6.17. Одним из самых сложных процессов при создании экспертной системы является:

а) правильная постановка задачи;

б) построение базы знаний;

в) правильное представление алгоритма.

6.18. База знаний — это совокупность моделей, правил и факторов (данных), порождающих анализ и выводы для нахождения решений сложных задач в некоторой предметной области:

а) да;

б) нет.

Тренировочные задания

Продолжите следующие предложения.

6.19. Суть системы MRP состоит в следующем...

6.20. В своем развитии стандарт MRP II прошел следующие этапы...

6.21. Систему «канбан» можно охарактеризовать следующим образом...

6.22. Активизация человеческого фактора на фирме «Тоета» подразумевает следующее...

6.23. Современные системы управления проектами выполняют следующие функции...

6.24. Интегрированная автоматизированная информационная система управления проектами может содержать следующие уровни управления...

6.25. В состав электронного офиса входят следующие аппаратные средства...

6.26. Наиболее известными пакетами по управлению проектами являются...

6.27. К офисным задачам относятся следующие...

6.28. Существующие корпоративные системы обладают большими возможностями...

ТЕМА 7. ЗАЩИТА ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ УПРАВЛЕНИЯ

Необходимость и потребность в защите информации

Жизнь современного общества немыслима без современных информационных технологий. Компьютеры обслуживают банковские системы, контролируют работу атомных реакторов, распределяют энергию, следят за расписанием поездов, управляют самолетами, космическими кораблями. Компьютерные сети и телекоммуникации предопределяют надежность и мощность систем обороны и безопасности страны. Компьютеры обеспечивают хранение информации, ее ' обработку и предоставление потребителям, реализуя таким образом информационные технологии.

Однако именно высокая степень автоматизации порождает риск снижения безопасности (личной, информационной, государственной, и т. п.). Доступность и широкое распространение информационных технологий, ЭВМ делает их чрезвычайно уязвимыми по отношению к деструктивным воздействиям. Тому есть много примеров. Так, каждые 20 секунд в США совершается преступление с использованием программных средств, 80% этих преступлений, расследуемых ФБР, происходит через сеть Internet. Потери от хищений или повреждений компьютерных сетей превышают 100 млн. долл. в год.

Субъекты производственно-хозяйственных отношений вступают друг с другом в информационные отношения (отношения по поводу получения, хранения, обработки, распределения и использования информации) для выполнения своих производственно-хозяйственных и экономических задач. Поэтому обеспечение информационной безопасности — это гарантия удовлетворения законных прав и интересов субъектов информационных отношений. В дальнейшем субъектами информационных отношений будем называть государство (в целом или отдельные его органы и организации), общественные или коммерческие организации (объединения) и предприятия (юридические лица), отдельных граждан (физические лица).

Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно):

·  источников (поставщиков) информации;

·  пользователей (потребителей) информации;

·  собственников (владельцев, распорядителей) информации;

·  физических и юридических лиц, о которых собирается информация;

·  владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т. д.

Для успешного осуществления деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

·  своевременного доступа (за приемлемое для них время) к необходимой информации;

·  конфиденциальности (сохранения в тайне) определенной части информации;

·  достоверности (полноты, точности, адекватности, целостности) информации;

·  защиты от навязывания ложной (недостоверной, искаженной) информации, т. е. от дезинформации;

·  защиты части информации от незаконного ее тиражирования (защита авторских прав, прав собственника информации и т. п.);

·  разграничения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

·  контроля и управления процессами обработки и передачи информации.

Будучи заинтересованными в обеспечении хотя бы одного из вышеназванных требований субъект информационных отношений является уязвимым, т. е. потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию и ее носители либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений заинтересованы в обеспечении своей информационной безопасности (конечно, в различной степени в зависимости от величины ущерба, который им может быть нанесен).

Известно следующее разделение информации по уровню важности:

1) жизненно важная, незаменимая информация, наличие которой необходимо для функционирования организации;

2) важная информация — информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;

3) полезная информация — информация, которую трудно восстановить, однако организация может функционировать и без нее;

4) несущественная информация — информация, которая больше не нужна организации.

Для удовлетворения законных прав и перечисленных выше интересов субъектов (обеспечение их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:

·  доступность информации, т. е. свойство системы (среды, средств и технологий ее обработки), в которой циркулирует информация, характеризующаяся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующим их данным и готовностью соответствующих автоматизированных служб к выполнению поступающих от субъектов запросов;

·  целостность информации, т. е. свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства — достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и целостности информации, т. е. ее неискаженности;

·  конфиденциальность информации - субъективно определяемая (предписываемая) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов, которые имеют доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.

Основные понятия

Дадим несколько определений. Защита информации — это средства обеспечения безопасности информации. Безопасность информации — защита информации от утечки, модификации и утраты. По существу, сфера безопасности информации — не защита информации, а защита прав собственности на нее и интересов субъектов информационных отношений. Утечка информации - ознакомление постороннего лица с содержанием секретной информации. Модификация информации — несанкционированное изменение информации, корректное по форме и содержанию, но другое по смыслу. Утрата информации — физическое уничтожение информации.

Цель защиты информации — противодействие угрозам безопасности информации. Угроза безопасности информации — действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов (т. е. к утечке, модификации и утрате), включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Поэтому для обеспечения безопасности информации необходима защита всех сопутствующих компонентов информационных отношений (т. е. компонентов информационных технологий и автоматизированных систем, используемых субъектами информационных отношений):

·  оборудования (технических средств);

·  программ (программных средств);

·  данных (информации);

·  персонала.

С этой целью в соответствующих организациях и на соответствующих объектах строится система защиты. Система защиты — это совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программно-аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом. Для построения эффективной системы защиты необходимо провести следующие работы:

1) определить угрозы безопасности информации;

2) выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к защищаемым данным;

3) построить модель потенциального нарушителя;

4) выбрать соответствующие меры, методы, механизмы и средства защиты;

5) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.

При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:

·  устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТУ, оценивается уровень ее конфиденциальности и объем;

·  определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т. д.;

·  анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

·  определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

·  определяются мероприятия по обеспечению режима секретности на стадии разработки.

Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасностисоздать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и взгляды на проблему информационной безопасности.

Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке): Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»), Руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем и Единые критерии безопасности информационных технологий.

Угрозы безопасности

Основными видами угроз безопасности информационных технологий и информации (угроз интересам субъектов информационных отношений) являются:

·  стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т. п.);

·  сбои и отказы оборудования (технических средств) АИТУ;

·  последствия ошибок проектирования и разработки компонентов АИТУ (аппаратных средств, технологии обработки информации, программ, структур данных и т. п.);

·  ошибки эксплуатации (пользователей, операторов и другого персонала);

·  преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т. п.).

Угрозы безопасности можно классифицировать по различным признакам. По результатам акции: 1) угроза утечки; 2) угроза модификации; 3) угроза утраты. По нарушению свойств информации: а) угроза нарушения конфиденциальности обрабатываемой информации; б) угроза нарушения целостности обрабатываемой информации; в) угроза нарушения работоспособности системы (отказ в обслуживании), т. е. угроза доступности. По природе возникновения: 1) естественные; 2) искусственные.

Естественные угрозы — это угрозы, вызванные воздействиями на АИТУ и ее элементы объективных физических процессов или стихийных природных явлений. Искусственные угрозы — это угрозы АИТУ, вызванные деятельностью человека. Среди них, исходя и мотивации действий, можно выделить: а) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АИТУ и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т. п.; б) преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников). Источники угроз по отношению к информационной технологии могут быть внешними или внутренними (компоненты самой АИТУ - ее аппаратура, программы, персонал).

Основные непреднамеренные искусственные угрозы АИТУ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т. п.);

2) неправомерное включение оборудования или изменение режимов работы устройств и программ;

3) неумышленная, порча носителей информации;

4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.);

5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

6) заражение компьютера вирусами;

7) неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;

8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т. п.).

9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ с возможностями, представляющими угрозу для работоспособности системы и безопасности информации;

10) игнорирование организационных ограничений (установленных правил) при ранге в системе;

11) вход в систему в обход средств зашиты (загрузка посторонней операционной системы со сменных магнитных носителей и т. п.);

12) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

13) пересылка данных по ошибочному адресу абонента (устройства);

14) ввод ошибочных данных;

15) неумышленное повреждение каналов связи.

Основные преднамеренные искусственные угрозы характеризуются возможными путями умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

а) физическое разрушение системы (путем взрыва, поджога и т. п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т. п.);

б) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.);

в) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т. п.);

г) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

д) вербовка (путем подкупа, шантажа и т. п.) персонала или отдельных пользователей, имеющих определенные полномочия;

е) применение подслушивающих устройств, дистанционная фото - и видеосъемка и т. п.;

ж) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводка активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т. п.);

з) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

и) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и персональных ЭВМ);

к) несанкционированное копирование носителей информации;

л) хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.);

м) чтение остатков информации из оперативной памяти и с внешних запоминающих устройств;

н) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных операционных систем и систем программирования;

о) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, имитации интерфейса системы и т. п.) с последующей маскировкой под зарегистрированного пользователя («маскарад»);

п) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие, как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т. п.;

р) вскрытие шифров криптозащиты информации;

с) внедрение аппаратных спецвложений, программ «закладок» и «вирусов» («троянских коней» и «жучков»), т. е. таких участков программ, которые не нужны для осуществления заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

т) незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

у) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один способ, а их некоторую совокупность из перечисленных выше.

Каналы утечки и несанкционированного доступа к информации

Возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации рассмотрены выше при описании искусственных преднамеренных угроз. На рис. 7.1 представлен состав типовой аппаратуры автоматизированной системы обработки данных и возможные каналы несанкционированного доступа к информации.

Модель нарушителя

При разработке модели нарушителя определяются: 1) предположения о категориях лиц, к которым может принадлежать нарушитель; 2) предположения о мотивах действий нарушителя (целях, преследуемых нарушителем); 3) предположения о квалификации нарушителя и его технической оснащенности (методах и средствах, используемых для совершения нарушения); 4) ограничения и предположения о характере возможных действий нарушителя.

По отношению к АИТУ нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала:

·  пользователи (операторы) системы;

·  персонал, обслуживающий технические средства (инженеры, техники);

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9