4.3. Этапы технологического процесса

Следующим элементом АИТ является этап технологического процесса. На рис. 4.2 их выделено три. Если взглянуть на совокупность информационных процедур с точки зрения целей их проведения, то мы сможем разбить технологический процесс на три этапа.

Первая совокупность процедур обеспечивает проведение технологического процесса как такового, независимо от решаемых задач. Этот этап принято называть обеспечивающим. В него входит цепочка процедур, подготавливающих решение задачи: сбор, регистрация, передача.

Вторая совокупность процедур наряду с обеспечивающими целями носит и функциональный характер. Обработка информации ориентирована на решение конкретных задач в конкретной области и все процедуры, сопровождающие обработку, например, машинное хранение информации, получение и вывод данных по каналам дистанционной связи и др., также функционально ориентированы, несмотря на свой обеспечивающий характер. Поэтому выделяют второй этап технологического процесса - функционально-обеспечивающий.

Третья совокупность процедур напрямую зависит от решаемых АИТ задач, то есть функционально ориентирована. Это связано с процедурами формирования результатной информации, ее выводом и использованием. Поэтому третий этап технологического процесса называется функциональным.

Информационный аспект технологического процесса

В процессе сбора и регистрации первичной информации первичные документы составляются из знаков и символов конкретного информационного языка. Здесь рассматриваются вопросы отношений между символами, скорости создания нужной информации, правильности регистрации, сокращения количества данных и их ценности.

В процессе передачи информации важны вопросы частоты и достоверности передачи сообщений.

В процессе формирования результатной информации выделяются связи между знаками и символами, описывающими состояние контролируемых параметров и их отклонений от заданных значений. Здесь рассматриваются вопросы смыслового сочетания информации, происходит увязка символов, на языке которых зафиксирована информация, с их значениями в каждой конкретной ситуации. Кроме того, осуществляется процесс сопоставления, анализа, группировки, расчетов, агрегирования информации.

В процессе формирования управляющей информации выделяются вопросы воздействия управляющих объектов (контролируемых параметров), состояние которых отражает информация, на объект, получающий информацию. Анализируются проблемы восприятия, синтеза, интерпретации информации, использования ее для принятия решений, выработки новой, управляющей информации, а также вопросы ее полезности для определенных категорий пользователей.

Технический аспект технологического процесса

В техническом аспекте, технологический процесс представляет собой упорядоченную последовательность устройств преобразования информации, входы и выходы которых сопряжены между собой и рассредоточены в пространстве. Элементы автоматизированных технологий, выполняющие в процессе преобразования информации свои точно определенные функции, строго взаимосвязаны. Каждый элемент в информационном плане имеет вход (устройства ввода для приема информации), устройства связи (для перемещения информации и увязки устройств ее передачи), управление (устройства для обработки и преобразования информации), выход (устройства вывода для доставки информации пользователю или другой подсистеме).

Входы и выходы элементов всегда распределены во времени, поскольку сама информационная система и информация, обращающаяся в ней, - дискретны. Взаимодействие элементов производиться путем увязки входов и выходов, которые могут быть последовательными и параллельными. Например, в процессе формирования результатной информации прием информации вычислительным центром может осуществляться параллельно, а ввод данных в компьютер - последовательно (последовательный характер процедур требует дополнительных затрат времени). При проектировании технологического процесса необходимо определить наиболее рациональную схему взаимодействия элементов, с целью экономии времени обработки. Упорядоченная последовательность процедур в технологическом процессе представляет собой алгоритм функционирования информационной системы, нарушение которого делает информационную систему недееспособной.

Виды интерфейса

Сопряжение устройств преобразования информации осуществляется с помощью интерфейса. Под интерфейсом понимается: а) граница раздела двух систем, устройств или программ; б) совокупность средств и правил, обеспечивающих взаимодействие устройств, программ.

К организации интерфейса можно подойти с разных точек зрения. Во-первых, он является разграничителем функций человека и машины, а также средством их общения. Во-вторых, он является разграничителем элементов технологического процесса и средством их взаимодействия. Таким образом, выделим пользовательский интерфейс и технологический.

Пользовательский интерфейс необходим для общения человека с компьютером. При этом основным требованием к нему является простота использования. Это необходимо для того, чтобы с машиной мог работать даже не прошедший специальной подготовки человек, не знакомый с азами программирования. По степени простоты различают три вида интерфейса: командный, меню и речевой. Командный интерфейс основан на вводе команды. После ввода на экран специального значка, пользователь вводит команду. Этот интерфейс самый неудобный для пользователя, так как его использование требует знания команд и правил их ввода.

Интерфейс-меню высвечивает на экране образы команд и меню действий. Для выбора одного из них достаточно подвести курсор к выбранному символу и нажать клавишу. В настоящее время это самый распространенный способ общения пользователя с компьютером, так как он самый простой и не требует специального обучения, за клавиатурой может работать даже ребенок.

Речевой интерфейс позволяет по речевой команде переходить от одних поисковых образов к другим. Самый удобный, но малораспространенный интерфейс.

Технологический интерфейс, служащий для сопряжения элементов технологического процесса, основан на различных способах и методах отображения входных и выходных данных.

Отображение (регистрация) информации производиться на всех этапах технологического процесса. Информация, недоступная для регистрации, информационной системой использоваться не может. Для каждого элемента АИТ характерны свои носители информации и методы их регистрации. Основные требования, предъявляемые к ним, следующие: носители информации должны многократно использоваться и сопрягаться с устройствами преобразования информации; процедуры регистрации информации должны быть нетрудоемкими и надежными; в каждом элементе технологического процесса должны обращаться свои особые, унифицированные входные и выходные носители информации, обеспечивающие наиболее рациональное использование преобразующих устройств и минимальные затраты времени на эти операции.

Выбор носителей информации и формы ее предоставления зависят от состава технических устройств, применяемых в данной системе.

Таким образом, технологический интерфейс обеспечивает сопряжение всех элементов технологического процесса с помощью стандартного, унифицированного представления информации на каждом этапе.

4.4. Эволюция развития ИТ в ИС

С начала 1960-х годов ИТ претерпели значительные изменения, позволяя во все большей степени снимать ограничения по масштабу систем обработки данных и обеспечивать возрастающие требования к их безопасности и отказоустойчивости. Развитие методов и программных средств обработки данных во многом определялось возможностями технических средств обработки и хранения данных для соответствующего периода времени.

Для распространенных в 1960-х гг. файловых систем хранения данных были характерны: высокий сетевой трафик в системе, обусловленный структурными единицами обмена данными на уровне файлов, узкие возможности реализации политики безопасности данных и др. ИТ позволяли создавать слабоструктурированные системы хранения данных в виде упорядоченных наборов файлов, не рассчитанные на одновременную работу большого числа пользователей.

С развитием возможностей ВТ в 1970-х гг. была реализована актуальная потребность в поддержке сложных структур данных. Специализированную часть ИС, обеспечивающую управление структурированными данными, удалось выделить в самостоятельный класс ПО — системы управления базами данных (СУБД), что упростило разработку ИС. На СУБД возлагались задачи ввода, модификации и быстрого поиска данных, контроля целостности хранимых данных, параллельного доступа многих пользователей к базе данных и др. В большинстве современных СУБД поддерживается работа с БД реляционного типа, в которых данные структурированы в виде связанных посредством ключевых полей таблиц. Ускорение поиска данных обеспечивают средства оптимизации доступа к данным посредством различных индексов, стандартизированным язык структурированных запросов SQL обеспечил разработчикам программных приложений универсальный пользовательский интерфейс; со временем появились средства оптимизации запросов.

Широкое внедрение в практику этих механизмов повышения эффективности работы с реляционными БД послужило основой построения систем оперативной транзакционной обработки данных — OLTP-систем (On-Line Transaction Processing, оперативная транзакционная обработка данных), ориентированных на выполнение частых и коротких транзакций при анализе данных. Понятие транзакция используется для определения групповой дискретной операции в ИС, например ввода заказа клиента в систему. Основными свойствами транзакции являются: неделимость (должны выполняться все составляющие транзакцию операции или не выполняться ни одна из них); согласованность (транзакция не нарушает корректности информации в БД); изолированность (каждая транзакция не зависит от других); надежность (завершенная транзакция может восстанавливаться после сбоя в системе, а незавершенная отменяется). Для OLTP-таблиц характерна высокая степень упорядоченности часто модифицируемых данных.

С середины 1980-х гг. (во многом благодаря распространению ПК) проявилась тенденция расширения типов используемых структур данных с более сложной организацией, результатом чего явилось создание объектно-ориентированных БД, мультимедийных БД, многомерных хранилищ данных (Data Warehouses) и витрин данных (Data Marts). Соответственно, имела место специализация СУБД, и в последующем были созданы базы знаний.

Хранилище данных представляет собой предметно-ориентированный, интегрированный, неизменяемый, поддерживающий хронологию набор данных, организованный для целей поддержки принятия решений. Оно содержит как исходные, так и агрегированные данные, относящиеся ко всей компании и собранные из различных оперативных источников, включая учетно-операционные системы.

Витрины данных содержат тематически объединенное подмножество корпоративных данных и строятся для конкретных подразделений компании с учетом направлений их деятельности. Данные для витрины могут поступать как из корпоративного хранилища данных (зависимая витрина), так и непосредственно из оперативных источников (независимая витрина).

Независимо от типа структур хранения эффективность использования находящихся в них данных при подготовке управленческих решений во многом определяется наличием развитых инструментов доступа к данным, их обработки и визуализации.

К классу относительно простых систем в области информационно-аналитических систем (ИАС), использующих оперативные и накопленные данные, принадлежат информационные системы руководителей (Executive Information Systems — EIS), ориентированные на формирование заданного множества запросов. Как правило, они просты в применении, но жестко ограничены в функциональности. Формирование запросов, не входящих в состав типового перечня, связано с постановкой новых задач для программистов, что предполагает определенную временную задержку в получении ожидаемых результатов обработки данных.

Последующее развитие ИАС сопровождалось усилением возможностей выполнения нерегламентированных запросов пользователей (аналитиков, руководителей и др.) в интерактивном режиме работы. Интенсивное развитие подобных систем, в дальнейшем называемых системами OLAP (On-Line Analytical Processing — оперативная аналитическая обработка), началось с середины 1990-х гг. В основе концепции OLAP лежит принцип многомерного представления данных, обеспечивающий возможности проведения многомерного анализа, обнаружения закономерностей, поиска детализированных данных, формирования агрегированных показателей.

В 1990-е гг на развитие корпоративных ИС стали оказывать значительное влияние Wеb-технологии, обеспечивающие удобный единообразный доступ к данным. Они устраняют зависимость от конкретных особенностей используемых клиентами технических средств и операционных систем, обеспечивают возможность применения типовых решений (браузеров, протоколов и др.), снижают общую стоимость решений и др. Браузер — программа доступа к ресурсам сети Интернет. Сетевой протокол — набор правил для взаимодействия функциональных блоков (узлов), расположенных на одном уровне сети, и передачи данных между ними. В этот период были разработаны Web-ориентированные СУБД, реализуемые как в виде XML-хранилищ, так и в виде Web-хранилищ, формируемых на основе поиска данных в сети Интернет.

В последние годы все большее количество компаний переносят свои транзакционные системы в Интернет. Приложения OLTP становятся доступными для клиентов вне зависимости от их места расположения и используемой аппаратно-операционной платформы. В качестве универсального “клиентского места” используется браузер, стандартом для описания структуры перемещающихся в сети документов становится язык XML (extensible Markup Language — расширенный язык разметки).

Современным направлением развития и консолидации ИС организаций является использование технологии корпоративных порталов. Портал представляет собой интегрированную систему управления информационными ресурсами, реализующую доступ различных категорий пользователей (сотрудников организации, клиентов и др.) с единой точки входа, и использующую общие унифицированные правила представления и обработки информации. При этом портал устроен так, что сотрудник организации получит доступ к информации определенного направления для выполнения своих служебных обязанностей, партнеры по бизнесу видят другую информацию, а покупателям предлагаются прайс-листы и условия взаимодействия.

4.5. Базовые серверные архитектуры

В небольших организациях, использующих несколько компьютеров, связь между ними может быть осуществлена посредством одноранговой локальной сети (ЛКС), в которой все рабочие станции (PC) практически равноправны. Каждая PC может обслуживать запросы от других PC и, в свою очередь, направлять им свои запросы; таким образом, любая PC может выполнять функции как клиента, так и сервера. В современных условиях PC является технологической основой организации автоматизированного рабочего места (АРМ) пользователя практически в любой сфере деятельности. При этом характеристики PC определяют возможности технического и программного (системного) обеспечения АРМ. Увеличение числа PC в одноранговой ЛКС снижает ее эффективность, и, как следствие, требуется изменение топологии сети с вводом по крайней мере одного сервера, осуществляющего управление работой сети в целом.

ЛКС с выделенным сервером (серверами) реализует собой серверную сеть. Сервер представляет собой высокопроизводительный компьютер, имеющий современный процессор (зачастую два или более процессоров), быстродействующие ОЗУ и винчестер большой емкости (во многих случаях RAID-массив). Функции управления сервером возлагаются на системного администратора; он организует размещение данных и ПО, регистрирует уникальные имена пользователей и их пароли, задает права доступа к находящимся на сервере разделяемым ресурсам. Сервер может выполнять функции клиента только по отношению к другому серверу более высокого уровня иерархии. В ЛКС с выделенным сервером обеспечивается более высокая эффективность работы сети, практически снимается ограничение по числу PC, реализуются возможности проведения эффективной политики информационной безопасности. В то же время стоимость сети в целом увеличивается.

Во многих компаниях с большим числом компьютеров в составе ЛКС одновременно используются несколько специализированных серверов: файловый сервер, сервер баз данных, почтовый сервер, сервер безопасности и др.

На сервере баз данных размещаются необходимые для работы БД (например, базы информационно-справочной системы “КонсультантПлюс”, основные базы автоматизированной банковской системы и др.). При необходимости содержимое БД может модифицироваться со стороны различных PC, с них же пользователи имеют возможность отбирать требующиеся данные.

Почтовый сервер обеспечивает хранение получаемых и отправляемых сообщений, что позволяет в удобное для пользователя время отправить через него собственное сообщение или прочитать принятое.

Сервер безопасности реализует основные операции проводимой политики информационной безопасности с активным использованием криптографических средств.

Из ЛКС структурных подразделений в компании создается единая корпоративная КС, служащая основой автоматизированной системы управления компанией, и обеспечивающая организацию единого информационного пространства. Корпоративные сети обеспечивают совместное использование распределенных сетевых ресурсов, реализацию режима удаленного доступа, поддержку сложившейся традиционной технологии работы пользователей. Как правило, корпоративные сети используют в своей основе технологии сети Интернет, и, соответственно, их называют интранет-сетями. Семейство протоколов TCP/IP (Transmission Control Protocol — протокол управления передачей данных, Internet Protocol — межсетевой протокол) обеспечивает взаимодействие между компьютерами различных архитектур, работающих под управлением различных операционных систем. Для развертывания интранет-сетей необходимо наличие унифицированных аппаратных и программных средств, поддерживающих технологию сети Интернет.

Технология клиент-сервер. В компьютерных сетях в настоящее время широко применяется технология клиент-сервер, которая предполагает размещение обрабатывающих программ на сервере совместно с обрабатываемыми данными. При необходимости обработки данных клиент (в качестве клиента можно рассматривать АРМ, выполняемую программу или работающего пользователя) обращается к серверу за предоставлением определенного ресурса, в частности для выборки в соответствии с заданным условием отбора данных из находящейся на сервере БД, рис. 4.3. Выполнив необходимую обработку, сервер отправляет результаты обработки клиенту.

Рис. 4.3. Технология клиент-сервер

Следующим шагом развития технологии клиент-сервер являются системы с серверами приложений, реализующие трехзвенную архитектуру клиент-сервер. Основным устройством трехзвенной системы является сервер приложений. Под приложением понимается пакет прикладных программ, ориентированный на обработку данных, решение функциональных задач в конкретной предметной области, легко переносимый на различные компьютеры. Такой пакет реализует нужное число специализированных приложений, каждое из которых может быть запущено с любого клиентского места (с учетом прав доступа). Приложения в процессе их выполнения взаимодействуют с сервером БД, при этом, как правило, взаимодействие сервера приложений с сервером БД осуществляется в пакетном режиме работы. Таким образом, клиент полностью лишен непосредственного доступа к обрабатываемым данным, поскольку между ним и БД находится исполняемое приложение, рис. 4.4.

Рис. 4.4. Трехзвенная архитектура клиент-сервер

В крупных корпоративных ИС приложения могут быть распределены по различным серверам приложений. Подобное решение с технической точки зрения является более сложным по сравнению с двухзвенными системами, поэтому они получили название трехзвенных систем. Такие системы обладают большей гибкостью и повышенной безопасностью, так как все возможности клиента при работе с хранящимися на сервере БД данными определяются (ограничиваются) допустимыми операциями конкретного приложения; при этом внутренние особенности выполнения приложения и характер его взаимодействия с БД полностью скрыты от клиента.

Вопросы для самоконтроля

Что такое информационная процедура? Какие стандартные информационные процедуры вы знаете? Какие существуют этапы технологического процесса? Что такое пользовательский интерфейс? Какие вы знаете свойства транзакции? Что такое портал? Чем одноранговая сеть отличается от серверной сети? Какие серверы могут использоваться в ИС предприятия? Что такое технология клиент-сервер? Для чего используется протокол TCP/IP?

Список литературы

1. Информационные технологии в экономике : Учебник / Под ред. . — М.: ЮНИТИ-ДАНА, 2008. — С. 166-205.

2. Информационные технологии в экономике: Учебное пособие / , . — М.: Финансы и статистика, 2006.- С. 49-55.

Конспект лекций

назад | содержание | вперед

Модуль 5. Информационная безопасность

5.1. Понятие информационной безопасности

5.2. Модель системы защиты информации

5.2.1. Классификация информации

5.2.2. Цели и задачи защиты информации

5.3. Угрозы информационной безопасности

5.3.1. Классификация угроз

5.3.2. Пути реализации угроз информационной безопасности

5.4. Мероприятия по защите информации

5.5. Идентификация доступа к ИС

5.6. Компьютерные вирусы и борьба с ними

5.6.1. Компьютерные вирусы

5.6.2 Назначение и характеристики антивирусных программ

Модуль 5. Информационная безопасность

5.1. Понятие информационной безопасности

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз. Другими словами - это состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.

Безусловно, особую опасность представляют нарушения "извне", т. е. внешние, которые всегда осуществляются умышленно. К этой категории относятся, например, действия хакеров, обративших свои знания и умения в средство добывания денег незаконными способами.

Обращает на себя внимание, что в определении термина информационная безопасность упоминаются внутренние угрозы. Существует статистика, по которой около 80% злоумышленников - штатные сотрудники компании. Безусловно, далеко не все коллеги по работе только и занимаются разработкой коварных планов и их реализацией. Тем не менее, недостаточные знания тоже иногда приводят к ужасающим последствиям, однако, как говорят, "незнание законов не освобождает от ответственности".

5.2. Модель системы защиты информации

Любая компания представляет собой хозяйствующий субъект, имеющий краткосрочные и долгосрочные цели ведения своей деятельности, определенные миссией на рынке и стратегией развития, внешние и внутренние ресурсы, необходимые для достижения поставленных целей, а также сложившиеся правила ведения бизнеса.

В процессе деятельности сотрудники принимают, обрабатывают и передают информацию, организуя информационный обмен. Именно эти процессы и вызывают необходимость защиты информации в зависимости от того, какова эта информация, т. е. какие сведения она содержит, к какой категории ее можно отнести.

5.2.1. Классификация информации

Применительно к уровню защиты информацию можно разделить на три категории:

Информация, составляющая государственную тайну

Владельцем этой категории информации является государство. Оно само выдвигает требования по ее защите и контролирует их исполнение Законом РФ "О государственной тайне" от 01.01.01 г. № 000-1. Нарушение этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом РФ. К государственной тайне относятся защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В связи с чрезвычайно высокой важностью данного вида информации доступ к сведениям, составляющим государственную тайну, обеспечивается для работников только после проведения процедуры оформления соответствующего права (допуска). Предприятия, учреждения и организации получают право на проведение работ с использованием сведений, содержащих государственную тайну, также после получения соответствующих полномочий.

Сведения, содержащие коммерческую тайну

Информацией этой категории владеют предприятия, и поэтому они вправе ею распоряжаться и самостоятельно определять степень защиты.

В 1999 году Государственной Думой был принят проект закона "О коммерческой тайне", в котором коммерческая тайна определена следующим образом: "Коммерческая тайна - научно-техническая, коммерческая, организационная или иная используемая в предпринимательской деятельности информация, которая: обладает реальной или потенциальной экономической ценностью в силу того, что она не является общеизвестной и не может быть легко получена законным образом другими лицами, которые могли бы получить экономическую выгоду от ее разглашения или использования, и является предметом адекватных обстоятельств правовых, организационных, технических и иных мер по охране информации (режим коммерческой тайны)".

Законом устанавливаются три критерия, которые определяют сведения, составляющие коммерческую тайну:

    информация должна иметь действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; к информации не должно быть свободного доступа на законном основании; требуется, чтобы обладатель информации принимал меры к охране ее конфиденциальности.

Для того чтобы сведения, которые должны быть отнесены к категории коммерческой тайны, приобрели законную силу, их необходимо оформить в виде специального перечня, утвержденного руководителем предприятия.

Не все сведения могут быть отнесены к категории имеющих статус коммерческой тайны. Поскольку государство берет на себя функции контроля за осуществлением деятельности коммерческих организаций, правовыми документами определен перечень сведений, которые не могут составлять коммерческую тайну предприятия:

    его учредительные документы; разрешительные документы на право осуществления предпринимательской деятельности; сведения по установленным формам отчетности о финансово-хозяйственной деятельности предприятия и иные сведения о нем, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей; сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда,

Персональные данные

Собственниками информации данной категории являемся мы сами. Осознавая степень важности этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности, государство рассматривает ее защиту как одну из своих важных задач.

Любая организация вне зависимости от размеров и формы собственности имеет достаточные объемы информации, которую необходимо защищать. К такой информации обычно относятся:

    вся информация, имеющая коммерческую значимость, а именно сведения о клиентах, поставщиках, новых разработках и ноу-хау, факты и содержание заключенных договоров с партнерами; данные о себестоимости продукции и услуг предприятия; результаты аналитических и маркетинговых исследований и вытекающие из них практические выводы; планы организации, тактика и стратегия действий на рынке; данные о финансовом состоянии организации, размерах окладов, премий, денежном наличном обороте.

5.2.2. Цели и задачи защиты информации

Информацию нужно защищать, потому что в конечном счете она в дальнейшем материализуется в продукцию или услуги, приносящие компаниям прибыль. При недостаточном уровне защиты информации резко возрастает вероятность снижения прибыли и появления убытков вследствие вторжения злоумышленников в информационное пространство компании.

Основными целями защиты информации являются:

    предотвращение утечки, хищения, искажения, подделки; обеспечение безопасности личности, общества, государства; предотвращение несанкционированного ознакомления, уничтожения, искажения, копирования, блокирования информации в информационных системах; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных; сохранение государственной тайны, конфиденциальности документированной информации; соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки; сохранение возможности управления процессом обработки и пользования информацией.

Основными задачами защиты информации традиционно считаются обеспечение:

    доступности, т. е. возможности за приемлемое время получить требуемую информационную услугу; конфиденциальности, т. е. защищенности информации от несанкционированного ознакомления; целостности, включающей актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения; юридической значимости.

Проблемы информационной безопасности решаются, как правило, посредством создания специализированных систем защиты информации, которые должны обеспечивать безопасность информационной системы от несанкционированного доступа к информации и ресурсам, несанкционированных и непреднамеренных вредоносных воздействий. Система защиты информации является инструментом администраторов информационной безопасности, выполняющих функции по обеспечению защиты информационной системы и контролю ее защищенности.

Система защиты информации должна выполнять следующие функции:

    регистрация и учет пользователей, носителей информации, информационных массивов; обеспечение целостности системного и прикладного программного обеспечения и обрабатываемой информации; защита коммерческой тайны, в том числе с использованием сертифицированных средств криптозащиты; создание защищенного электронного документооборота с использованием сертифицированных средств криптопреобразования и электронной цифровой подписи; централизованное управление системой защиты информации, реализованное на рабочем месте администратора информационной безопасности; защищенный удаленный доступ мобильных пользователей на основе использования технологий виртуальных частных сетей (VPN); управление доступом; обеспечение эффективной антивирусной защиты.

Комплекс требований, которые предъявляются к системе информационной безопасности, предусматривает функциональную нагрузку на каждый из приведенных на рис. 5.1 уровней.

Рис. 5.1. Уровни защиты ИС

Организация защиты на физическом уровне должна уменьшить возможность несанкционированных действий посторонних лиц и источников.

Защита на технологическом уровне направлена на уменьшение возможных проявлений угроз безопасности информации, связанных с использованием некачественного программного продукта и технических средств обработки информации и некорректных действий разработчиков программного обеспечения. Система защиты на этом уровне должна быть автономной, но обеспечивать реализацию единой политики безопасности и строиться на основе использования совокупности защитных функций встроенных систем защиты операционной системы и систем управления базами данных и знаний.

На локальном уровне организуется разделение информационных ресурсов информационной системы на сегменты по степени конфиденциальности, территориальному и функциональному принципу, а также выделение в обособленный сегмент средств работы с конфиденциальной информацией. Повышению уровня защищенности способствуют ограничение и минимизация количества точек входа/выхода (точек взаимодействия) между сегментами, создание надежной оболочки по периметру сегментов и информационной системы в целом, организация защищенного обмена информацией.

На сетевом уровне требуется организовать защищенный информационный обмен между автоматизированными рабочими местами, в том числе удаленными и мобильными, и создать надежную оболочку по периметру информационной системы в целом. Основой организации защиты может служить применение программно-аппаратных средств аутентификации и защиты от несанкционированного доступа к информации. Кроме того, возможно использование между сегментами и по периметру информационной системы специальных средств защиты, исключающих проникновение в пределы защищаемого периметра посторонних пользователей (межсетевые экраны, технологии аутентификации) и обеспечивающих разграничение доступа к разделяемым защищенным базам данных и информационным ресурсам (авторизация). Дополнительно могут использоваться средства построения виртуальных сетей (VPN-технологий) и криптографической защиты информации при передаче по открытым каналам.

На пользовательском уровне требуется обеспечить допуск только авторизованных пользователей к работе в информационной системе, создать защитную оболочку вокруг ее элементов, а также организовать индивидуальную среду деятельности каждого пользователя.

5.3. Угрозы информационной безопасности

5.3.1. Классификация угроз

Угрозами информационной безопасности называются потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам информационной системы.

Все угрозы безопасности, направленные против программных и технических средств информационной системы, в конечном итоге оказывают влияние на безопасность информационных ресурсов и приводят к нарушению основных свойств хранимой и обрабатываемой информации. Как правило, угрозы информационной безопасности различаются по способу их реализации. Исходя из этого, можно выделить следующие основные классы угроз безопасности, направленных против информационных ресурсов:

    угрозы, реализуемые либо воздействием на программное обеспечение и конфигурационную информацию системы, либо посредством некорректного использования системного и прикладного программного обеспечения; угрозы, связанные с выходом из строя технических средств системы, приводящим к полному или частичному разрушению информации, хранящейся и обрабатываемой в системе; угрозы, обусловленные человеческим фактором и связанные с некорректным использованием сотрудниками программного обеспечения или с воздействием на технические средства, в большей степени зависят от действий и "особенностей" морального поведения сотрудников; угрозы, вызванные перехватом побочных электромагнитных излучений и наводок, возникающих при работе технических средств системы, с использованием специализированных средств технической разведки.

Угрозы с использованием программных средств

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9