Иваненко / С прошлых курсов / TPZAS
.pdfТЕХНОЛОГИЯ ПОСТРОЕНИЯ ЗАЩИЩЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
Система – совокупность взаимодействующих элементов, упорядоченная для достижения одной или нескольких поставленных целей.
Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
АС – комплекс технических, программных, других средств и персонала, предназначенный для автоматизации различных процессов.
Немного интересных фактов об АС:
главное действующее лицо – персонал;
АС существует только там, где есть персонал, занятый полезной деятельностью;
за персоналом остаются важные функции, не поддающиеся автоматизации;
функция АС – совокупность действий, направленная на достижение конкретных целей;
персонал есть часть системы;
АС – есть совокупность своих функций;
сложную АС делят на подсистемы;
сложность – субъективная характеристика;
подсистема – часть АС, которая удовлетворяет определению АС;
однозначно разделить АС на подсистемы трудно;
компоненты АС – части, из которых состоит АС;
деление на компоненты более объективно, чем на подсистемы;
компоненты разрабатывают разные люди по разным стандартам.
Обеспечение АС:
информационное;
программное;
техническое;
методологическое и др.
АС управления (АСУ) – комплекс аппаратных и программных средств, предназначенный для управления различными процессами в рамках технологического процесса, производства, предприятия.
АСУ:
АСУ технологическим процессом (АСУ ТП);
АСУ производством;
АСУ учебным процессом;
АСУ дорожным движением.
АС:
автоматизированная банковская система;
автоматизированная обработка данных;
АС научных исследований (АС НИ);
автоматизированная информационная поисковая система.
АС – организованная совокупность средств, методов и мероприятий, используемая для регулярной обработки информации в процессе решения прикладных задач. Ключевое звено – функции (обычно по обработке информации).
Минусы: информация оказывается уязвимой с точки зрения искажения, уничтожения и НСД.
Способы защиты информации – комплекс мероприятий, направленных на обеспечение и поддержание уровня ИБ системы.
Способы ЗИ различают по характеру воздействия на дестабилизирующий фактор и порождающие его причины:
препятствие на пути распространения и возникновения дестабилизирующего фактора;
маскировка защищаемой информации;
регламентация (создание условий, затрудняющих возникновение и проявления дестабилизирующих факторов);
принуждение (соблюдение пользователем и персоналом правил обработки данных под угрозой ответственности);
побуждение (побуждение пользователя и персонала к соблюдению правил обработки данных за счет установления морально-этических норм).
Средства защиты информации – комплекс, реализующий исполнение какого-либо способа обеспечения безопасности.
Средства реализации выше перечисленных способов ЗИ разделяют на следующие категории:
физические (автономно функционирующие механические, электрические, электронные и другие устройства и системы, создающие различные физические препятствия на пути распространения дестабилизирующего фактора; например: охранная сигнализация; охрана телевидения, средств связи; магнитные карты);
аппаратные (электронные и электронно-механические устройства, схемно встраиваемые в аппаратуру АС или сопрягаемые с ней с целью реализации функций ЗИ);
программные (пакеты программ, используемые для реализации функций ЗИ);
организационные (организационно-технические мероприятия, предусматриваемые в АС для решения вопросов ЗИ);
законодательные (законы и другие нормативно-правовые акты, в которых регламентируются права и обязанности для всех субъектов, имеющих отношение к функционированию АС, а также устанавливается ответственность за действия, которые могут привести к нарушению ИБ системы);
морально-этические (моральные нормы и правила общества или конкретного коллектива, соблюдение которых способствует ЗИ);
криптографические методы.
Система защиты информации (СЗИ) – организованная совокупность всех средств, методов и мероприятий, предусматриваемых в АС, для решения в ней выбранных задач защиты.
Все ресурсы для ЗИ должны объединяться в единую целостную систему, самостоятельную подсистему АС (функциональная подсистема).
Требования к СЗИ:
адаптируемость (важнейшее!) (способность к целенаправленному приспособлению к изменениям структуры АС, ее отдельных технических средств, технологических схем и условий функционирования);
комплексность (в рамках единой концепции решаются 2 и более задачи – целевая комплексность; одна задача решается разноплановыми инструментальными средствами – инструментальная комплексность; целевая +
инструментальная = всеобщая комплексность);
функциональное (удовлетворение всем требованиям защиты);
эргономическое (минимизация помех пользователю и удобство для персонала СЗИ);
экономическое (минимизация затрат на систему, максимальное использование серийных средств);
техническое (комплексное использование средств защиты и оптимизация архитектуры);
организационное (простота эксплуатации, структурированность всех компонент).
Важно: типизация и стандартизация СЗИ.
Основные функции управления деятельностью СЗИ:
планирование (разработка рациональной программы предстоящих действий);
оперативно-диспетчерское управление (регулирование быстро протекающих процессов в реальном времени);
календарно-плановое руководство (периодический контроль и принятие управленческих решений);
обеспечение повседневной деятельности (предоставление ресурсов для эффективного управления СЗИ).
Устойчивые тенденции, влияющие на развитие СЗИ:
массовое насыщение предприятий, организаций и учреждений средствами ВТ;
сращивание традиционных технологий обработки информации с безбумажными процедурами;
непосредственный доступ к ресурсам систем автоматизированной обработки информации массой пользователей, не являющихся профессиональными программистами и не имеющими необходимых знаний в рациональном использовании технических средств;
сопряжение средств ВТ в ЛВС и территориально распределенных сетях;
настойчивое превращение информационных массивов и программных продуктов в интеллектуальную собственность и товар.
Изначально ЗИ – защита от НСД к информации, сохранение тайны.
Проблемы ЗИ:
сохранение тайны (предотвращение НСД);
обеспечение физической целостности (уничтожение);
обеспечение логической целостности (логическая структура);
предупреждение несанкционированной модификации;
предупреждение несанкционированного копирования информации;
соблюдение авторских прав в безбумажных технологиях хранения и обработки информации.
технические |
средства |
Виды ЗИ:
организационная ЗИ (службы режима, 1ые отделы);
техническая ЗИ (служба противодействия инженерно-технической разведке);
служба ЗИ в АСУ;
дублирование.
Объекты, имеющие повышенные требования ЗИ:
военные объекты стратегического назначения;
особо важные объекты ВПК;
система правительственной связи;
объекты атомной энергетики.
СЗИ необходимо создавать совместно с самой АС, включая их проектирование.
Инженерия – это применение физических, технических наук и математики, при помощи которого свойства материалов и источники энергии становятся полезными для людей.
Программная инженерия – это применение систематически упорядоченного количественного подхода к разработке, эксплуатации и сопровождению автоматизированной системы, и изучению возможных подходов.
Системная инженерия – избирательное приложение научно-технических усилий по выполнению следующих операций:
преобразование функциональных потребностей в описание системных конфигураций, которое наилучшим образом удовлетворяет этим потребностям и показателям эффективности;
объединение связанных технических параметров и обеспечение совместимости всех физических, функциональных и программно-технических интерфейсов способом, оптимизирующим в целом проектирование всей системы;
объединение возможностей всех инженерных дисциплин и специальностей в единое системотехническое достижение.
Жизненный цикл – процесс от замысла чего-либо вплоть до исчезновения; варьируется в соответствии с эволюцией.
Стадии жизненного цикла могут перекрещиваться, повторяться и выполняться параллельно.
Стадии жизненного цикла АС:
замысел;
разработка;
производство;
эксплуатация;
сопровождение;
списание.
Замысел начинается с момента осознания потребности или появления идеи создания новой системы; это период исследования рынка, оценки ресурсов (экономических, технических, рыночных и других), анализа осуществимости, изучения альтернативных решений, требования заказчика, необходимости обслуживания системы, разработка примерных проектных решений, оценка стоимости и требований к человеческим ресурсам; происходит принятие решения о целесообразности продолжения осуществления проекта (с учетом имеющихся ресурсов).
Итоги: 1 установление концепций, предлагающих новые возможности: повышение производительности труда или понижение затрат;
2оценка осуществимости системы с учетом технических и экономических возможностей заказчика;
3разработка базовых требований к системе и предварительных системных требований.
Разработка: исходными данными являются базовые и предварительные требования, полученные на этапе замысла; происходит детальное техническое уточнение системных требований и проектного решения, полученных на этапе замысла; создание структуры или макета АС, анализ, проектирование, испытание, производство программноаппаратного обеспечения; здесь важна обратная связь с заказчиком, производителем и теми, кто будет управлять, испытывать, сопровождать и списывать продукт в дальнейшем, происходит выбор обеспечивающих систем; разрабатывается документация; оцениваются затраты.
Итоги: 1 оцененные и уточненные системные требования, проектный бюджет, базовые сроки выполнения 2 оценка затрат владельца системы во всем жизненном цикле; 3 архитектура системы из элементов программно-аппаратного обеспечения, персонала и интерфейсов;
4 аргументированное подтверждение того, что система соответствует требованиям заказчика и будет запущена в производство; 5 техническая документация.
Производство может осуществляться и на последующих стадиях с целью улучшения, перепроектирования, придания дополнительных функций, реконфигурации системы; предполагается, что у организации имеется соответствующая производственная инфраструктура: производственное оборудование, инструментальные средства, персонал и финансовые ресурсы; эти составляющие должны быть в наличии или должны быть приобретены.
Цель: производство продукции и ее испытание, а также производство поддерживающих и обеспечивающих систем.
Итоги: 1 передача укомплектованной продукции заказчику или в каналы распространения 2 оценка производственных мощностей и одобрение потребителем качества системы
Эксплуатация начинается после установки и передачи системы для использования; в запланированных условиях функционирования, необходимо достичь требуемых функций и устойчивых показателей функциональной эффективности; планируется на стадии производства, завершается снятием системы с эксплуатации; эксплуатация включает все процессы, относящиеся к использованию продукции, а также включает мониторинг функционирования, классификацию отклонений и составление отчетов об отклонениях, недостатках, нарушениях; возможные реакции на
отклонения: |
1 |
бездействие; |
|
2 |
незначительная по затратам времени и финансов модификация; |
|
3 |
значительная модификация и продление сроков эксплуатации; |
|
4 |
списание. |
Итоги: 1 |
опытный персонал, обеспечивающий выполнение требуемых функций; |
|
|
2 |
установленная система, устойчиво выполняющая требуемые функции; |
|
3 |
мониторинг и оценка производительности и затрат; |
|
4 |
идентификация проблем и недостатков; |
|
5 |
планы и критерии перехода на стадию списания. |
Сопровождение – реализация технического обслуживания и сопровождения, которые обеспечивают непрерывное функционирование системы и ее устойчивую эксплуатацию; поддержка функционирования и использования системы; планирование осуществляется на предыдущих стадиях, завершается на стадии списания; осуществление контроля производительности системы; составление отчетов.
Итоги: 1 обученный персонал;
2обеспечение материально-технического сопровождения;
3обеспечение запчастями;
4соглашение об окончании функционирования служб сопровождения.
Списание – ликвидация системы и связанных с ней эксплуатационных служб и служб сопровождения; начинается в момент снятия с эксплуатации, которое наступает по следующим причинам: 1 замещение новой системой; 2 непоправимый износ; 3 катастрофический отказ; 4 система больше не представляет интереса или экономически не эффективна.
Итоги: 1 опытный персонал; 2 прекращение эксплуатации системы (ликвидация и переработка в соответствии с законодательством);
3 планы и процедуры передачи функциональных возможностей новой системе; 4 уничтожение отходов; 5 возврат среды к первоначальному состоянию;
6 перемещение, перевод или увольнение обслуживающего персонала;
7 соответствие критериям завершения стадии списания.
Информационная система (ИС) – АС или ее часть, результатом работы которой является представление выходной информации для ее последующего использования.
Современные информационные системы выполняют свои функции, посредством сбора, хранения и обработки информации, на основе интеграции возможностей человека, компьютера, различного рода программных и технических средств и связи.
Отличительные особенности ИС:
на вход ИС подается входная информация, на выход – выходная информация для последующего использования;
ИС – неотъемлемая часть более сложных всеобъемлющих систем (т.е. не сама по себе).
ИС ориентирована на достижение целей более объемлющих систем с учетом условий использования, потенциальных угроз, выделенных ресурсов, функциональных возможностей источника информации и взаимодействия с другими системами.
С точки зрения системного анализа, применение информационной системы должно преследовать следующую цель: надежное и своевременное представление полной и достоверной конфиденциальной информации для последующего использования.
реальные события и
другие ИС
управляемые
объекты
вход ИС
источник 1
источник N
ИС |
|
|
контроль, прием, |
хранение |
обработка |
ввод информации |
информации |
информации |
(техническое, программное, информационное обеспечение, |
||
обслуживание, контроль и управление) |
|
|
|
пользователи |
|
|
|
выход ИС |
входная информации ИС должна быть достоверной и актуальной;
безопасность информации и ПО определяется состоянием защищенности системы от различных угроз;
требования к ИС должны быть направлены на достижение целей применения системы при ограничениях на допустимые затраты (сверху) и на уровень безопасности (снизу);
характеристики качества функционирования оцениваются с помощью показателей, которые оцениваются в зависимости от угроз с учетом специфики ИС
Угроза безопасности информации – совокупность явлений, факторов и условий, создающих опасность нарушения статуса информации.
Виды угроз:
природные (стихийные бедствия, магнитные бури, радиоактивное излучение);
технические (колебание напряжения питания, отказы и сбои аппаратных средств, электромагнитное излучение и наводки, утечки через каналы связи);
угрозы, создаваемые людьми (непреднамеренные – усталость, невнимательность, низкая квалификация; преднамеренные).
Источники угроз: люди, технические устройства, алгоритмы и программы, технологические схемы, природные явления.
Причины преднамеренных угроз:
стремление к материальной выгоде;
нанесение вреда;
бескорыстная услуга коллегам из конкурентной организации;
стремление продвинуться по службе;
стремление обезопасить себя от угроз шантажа и физического насилия.
Вредоносное ПО – комплексы программ, скрытно и преднамеренно внедряемые в различные программные системы для разрушения, сбора и других преднамеренных угроз информации (вирусы, компьютерные черви, троянский конь).
Стадии и этапы создания АС (ГОСТ 34.601-90):
1.Формирование требований АС
2.Разработка концепции АС
3.Техническое задание
4.Эскизный проект
5.Технический проект
6.Рабочая документация(рабочий проект)
7.Ввод в действие
8.Сопровождение АС
Примечания:
допускается полностью исключать эскизный проект, а также отдельные виды и этапы работ на каждой стадии
разрешается объединять технический проект и рабочую документацию в технорабочий проект
в зависимости от специфики АС можно выполнять отдельные этапы до завершения предшествующих стадий, при этом отдельные виды работ могут выполняться параллельно
разрешается включение новых этапов, которые не предусмотрены в ГОСТ
Этапы:
1.1. Обследование объекта и обоснование необходимости создания АС (сбор данных об объекте автоматизации и осуществляемых видах деятельности; оценка качества функционирования объекта и осуществляемых видов деятельности; выявление проблем, решение которых возможно средствами автоматизации; оценка целесообразности создания АС – технико-экономическая, социальная, финансовая)
1.2Формирование требований пользователя к АС
1.3Оформление отчета о выполненной работе; оформление заявки на разработку АС (тактико-техническое задание)
2.1Изучение объекта
2.2Проведение необходимых НИР
2.3Разработка вариантов концепции АС, выбор удовлетворительного варианта для пользователя
2.4Оформление отчета о выполненной работе
3.1Разработка и утверждение технического задания на создание АС; решаем, нужен ли эскизный проект (4)
4.1Разработка предварительных проектных решений по системе и ее частям
4.2Разработка документации на АС и ее части
5.1Разработка проектных решений на АС и ее части
5.2Разработка документации на АС и ее части
5.3Разработка и оформление документации на поставку изделий для комплектования АС
5.4Разработка заданий на проектирование в смежных частях проекта объекта автоматизации
6.1Разработка рабочей документации на АС и ее части
6.2Разработка и адаптация программ
7.1Подготовка объекта автоматизации к вводу АС в действие
7.2Подготовка персонала
7.3Комплектация АС поставляемыми изделиями (программно-технические средства, программно-технические комплексы, информационные изделия)
7.4Строительно-монтажные работы
7.5Пуско-наладочные работы
7.6Проведение предварительных испытаний
7.7Проведение опытной эксплуатации
7.8Проведение приемочных испытаний
8.1Выполнение работ в соответствии с гарантийными обязательствами
8.2После гарантийное обслуживание
Перечень организаций, принимающих участие в создании АС:
организация заказчик (пользователь; тот, для кого создается АС; обеспечивает финансирование, приемку работ и эксплуатирование)
организация разработчик (осуществляет работы по созданию АС; предоставляет заказчику совокупность научно-технических услуг на различных стадиях и этапах создания; разрабатывает и поставляет различные программные и технические средства для заказчика)
организация поставщик (изготавливает и поставляет программные и технические средства по заказу разработчика или заказчика)
организация генеральный проектировщик объекта автоматизации
организации поставщики различных частей проекта (для проведения строительных, электротехнических, сантехнических и других подготовительных работ, связанных с созданием АС)
организации строительные, монтажные, наладочные и др.
Примечания:
в зависимости от специфики и условий создания АС возможны различные совмещения функций заказчика, поставщика, разработчика и других организаций
стадии и этапы работ, выполняемые организациями, определяются в соответствии с ГОСТ
НИР (НИОКР=НИР+ОКР)
ОКР – опытно-конструкторские работы.
НИОКР – совокупность работ, направленных на получение новых знаний и практическое применение при создании нового изделия или технологии.
НИР – комплекс теоретических и/или эксперимент исследований, проводимых с целью получения обоснованных исходных данных при изыскании принципов и путей создания (модернизации) продукции.
Виды НИР:
1) фундаментальные (направлены на получение новых данных о процессах, явлениях и закономерностях, а также на расширение теоретических знаний в исследуемой области; устанавливает научные основы, методы и принципы исследований)
2)поисковые (направлены на увеличение объема знаний для более глубокого понимания изучаемого предмета; разработка прогнозов развития науки и техники, выявление путей применения новых явлений и закономерностей)
3)прикладные (разрешение конкретных научных проблем для создания новых научных изделий; получение инструкций, рекомендаций, расчетно-технических материалов и методик; определяются возможности проведения ОКР по рассматриваемой тематике, решается вопрос о том, возможно ли создание нового вида продукции и какие характеристики он будет иметь)
Этапы НИР:
1.разработка ТЗ на НИР
2.выбор направления исследований
3.теоретические и экспериментальные исследования
4.обобщение результатов исследований
Этап НИР – часть НИР, которая является объектом планирования или финансирования.
ОКР – продолжение НИР; комплекс работ по разработке конструкторской и технологической документации на опытный образец; документация по изготовлению и испытаниям нового изделия.
Основной результат ОКР – отчет о выполнении научных исследований, а также допускается создание опытных образцов.
Результат ОКР – образец изделия, конструкторская документация или новая технология.
НИР осуществляется в рамках договора на его выполнение; исполнитель обязуется провести научные исследования, предусмотренные ТЗ, а заказчик обязуется работу принять и оплатить; договор может охватывать как весь цикл проведения исследований, так и отдельные этапы; как правило, риск невозможности исполнения работы несет заказчик. НИР выполняется в рамках контракта (коммерческого документа, в котором оформляется сделка по купле/продаже продуктов и услуг).
ТЗ на НИР – исходный технический документ на проведение НИР, который устанавливает требования к содержанию, объему и срокам выполнения работ.
Заказчик – предприятие, по заявке которого производится создание и/или поставка продукции (в том числе научнотехнического характера).
Исполнитель НИР – предприятие, которое выполняет НИР.
Отчетная научно-техническая документация – комплект документов, отражающих объективную информацию о содержании и результатах НИР, а также содержащих рекомендации по ее использованию.
Основание для выполнения НИР – ТЗ, которое утверждает заказчик или руководитель предприятия исполнителя (для инициативных НИР); для решения отдельных самостоятельных задач могут быть выделены составные части, которые могут выполняться соисполнителем, в таком случае сам исполнитель выполняет функцию заказчика по отношению к соисполнителю, но исполнитель несет ответственность за НИР в целом.
Этапы выполнения НИР:
1)выбор направления исследования на основе анализа состояния исследуемой проблемы, сравнительная оценка вариантов возможных решений с учетом известных результатов по аналогичным проблемам
2)теоретические и экспериментальные исследования, необходимые для решения поставленных задач
3)обобщение и оценка результатов исследований, выпуск научно-технической документации, сравнение эффективности полученных результатов с актуальным научно-техническим уровнем
4)предъявление работы приемке; приемка
Примечание: допускается разделять этапы на самостоятельные отчетные подэтапы, оговоренные в ТЗ
Согласованный и утвержденный план работ по выполнению НИР является обязательным для всех участников НИР; исполнитель по согласованию с заказчиком может уточнять план работ в пределах ТЗ. В процессе выполнения НИР может выявиться нецелесообразность продолжения работ, в таком случае исполнитель предоставляет заказчику обоснования приостановления работ. Основание для прекращения НИР – совместное решение заказчика и исполнителя.
ОКР (опытно-конструкторские работы) – продолжение НИР; комплекс работ по разработке конструкторской и технической документации на опытный образец, по изготовлению и испытаниям нового образца изделия.
НИОКР – совокупность работ, направленных на получение новых знаний и практическое применения при создании новых изделий или технологий.
ТЗ на создание АС (ГОСТ 34.602-89) – основной документ, определяющий требования и порядок создания (развития и модернизации) АС, в соответствие с которым проводится разработка АС и ее приемка при вводе в действие.
ТЗ разрабатывается на систему в целом, предназначенную на работу самостоятельно или в составе другой системы (дополнительно могут быть разработаны ТЗ на части АС). Включаемые в ТЗ требования должны соответствовать современному развитию науки и техники, не должны уступать аналогичным требованиям, предъявляемым к лучшим аналогам. ТЗ разрабатывается на основе исходных данных, которые получаются на стадии исследования и обоснования создания АС. В процессе работы над самим ТЗ и на этапах его реализации могут быть дополнения и уточнения, они оформляются совместным протоколом, подписанным заказчиком и разработчиком.
ТЗ на АС содержит следующие разделы:
1)общие сведения (плановые сроки начала и окончания работ; сведение об источнике и порядке финансирования; порядок предъявления результатов работы)
2)назначение и цели создания (развития) АС
3)характеристика объекта автоматизации
4)требования к АС (защита информации от НСД; требования, действующие в области заказчика; количественные показатели надежности; перечень аварийных ситуаций; надежность технических средств и ПО)
5)состав и содержание работ по созданию АС
6)порядок контроля и приемки системы
7)требования к составу и содержанию работ по подготовке и автоматизации объекта к введению системы в действие
8)требование к документированию
9)источники разработки
+ приложения, количество и состав которых зависит от вида и назначения АС
Отчет о НИР (ГОСТ 7.32-2001, не распространяется на отчеты о НИР гуманитарного профиля) – научно-технический документ, который содержит систематизированные данные о НИР, описывает состояние проблемы, процесса и/или результата научного исследования.
По результатам выполнения НИР составляется итоговый отчет, могут также составляться промежуточные отчеты по промежуточным этапам, необходимость выполнения которых отражается в ТЗ и календарном плане. Ответственность за достоверность данных отраженных в отчете, несет организация-исполнитель.
Структура отчета о НИР:
титульный лист*
список исполнителей
реферат*
содержание
нормативные ссылки
определения
обозначения и сокращения
введение*
основная часть*
заключение*
список использованных источников*
приложения
Примечание: * – обязательные элементы
РЕФЕРАТ отчет 25 с., 12 рис., 5 табл., 17 источников, 3 прил. (сведения об объеме; количество иллюстраций, таблиц,
количество томов; сведения о языке; количество источников) перечень ключевых слов (от 5 до 15 слов, в именительном падеже)
<текст реферата> (объект исследования; цель работы; методика и методология исследований; результаты; основные конструкторские и технологические характеристики; степень внедрения; рекомендации по внедрению или его итоги; область применения; экономическая эффективность и значимость; прогнозные предположения)
ВВЕДЕНИЕ (оценка современного состояния решаемой проблемы; основание и исходные данные для разрабатываемой темы;
обоснование необходимости проведения НИР; сведения о планируемом научно-техническом уровне разработки; актуальность и новизна темы; связь с другими НИР; краткое описание разделов)
ОСНОВНАЯ ЧАСТЬ (выбор направления исследования; методы решения проблемы, их сравнение; описание и обоснование выбранной
методики; процесс теоретических и экспериментальных исследований; методы расчета; характеристики объекта; обобщение и оценка результатов исследования; сравнение с другими имеющимися результатами; обоснование и рекомендации дальнейших исследований)
Основная часть делится на 4-5 разделов, которые должны быть примерно равнозначны, наибольший раздел не должен превышать минимальный более чем в 2 раза; у разделов и подразделов должны быть заголовки, у пунктов и подпунктов заголовков может не быть; названия разделов должны быть описывающими.
ЗАКЛЮЧЕНИЕ (краткие выводы; оценка полноты решения поставленной задачи и рекомендации по конкретному использованию;
оценка технико-экономической выгоды внедрения; оценка научно-технического уровня выполненной работы в сравнении с лучшими достижениями в данной области; выводы должны быть примерно равнозначными, пишутся в прошедшем времени в совершенной форме; объем одна или несколько страниц)
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ (ссылки обязательны; нумерация двух видов – по алфавиту или в порядке ссылок в работе; от 10 и выше источников)
Примечание: введение, заключение и список литературы не нумеруются; титульный лист – страница №1, но номер на нем не проставляется
ПРИЛОЖЕНИЯ (необязательная часть!)
(материалы, связанные с выполнением работы, которые не включены в основную часть: математические формулы и расчеты; протоколы испытаний; описание аппаратуры; инструкции и методики, разработанные в процессе работы; акты о внедрении НИР; тексты программ и алгоритмы; вспомогательные рисунки; приложение имеет название и номер, если оно не одно; на приложение обязательно должны быть ссылки!)
Общие требования к отчету:
четкость и логическая последовательность изложения материала
убедительность аргументов
краткость и точность формулировок, исключение возможности их неоднозначного истолкования
конкретность изложения результатов работы
обоснованность рекомендаций и предложений
Примечание: Ответственность за достоверность данных несут авторы и организация исполнитель
Рубеж защиты – организованная совокупность всех средств, методов и мероприятий, используемых на соответствующем элементе системы для ЗИ; типовые проектные решения.
Семирубежная модель СЗИ:
1)территория, занимаемая АС
2)здание на территории
3)помещение внутри здания, где расположены ресурсы АС и защищаемая информация
4)ресурсы обработки и хранения информации + сама защищаемая информация
5)линии связи в пределах одного здания
6)линии связи между различными зданиями на охраняемой территории
7)линии связи вне контролируемой территории
НАДЕЖНОСТЬ ПО
ПО – объект защиты, а также средство защиты
Стадии разработки ПО:
техническое задание
эскизный проект (можно исключить)
технический проект (иногда можно исключить)
рабочий проект
внедрение
Жизненный цикл программы:
1 системный анализ 10% (изучается и определяется задача, необходимо начинать с полного ее понимания; требования и функции программы; необходимо выбрать полное решение задачи во всех деталях; самое главное - хорошо проработанные требования)
2 проектирование 10% (проблема преобразуется в конкретные требования к составлению ПО; выбор вычислительных средств, ресурсов, языка программирования; разделение задачи на модули; необходимо выбрать последовательность выполнения функций; получение проекта ПО – словесное описание, блок-схема, решающие таблицы; определение момента завершения стадии проектирования – большая проблема, это определяет стоимость программы)
3 реализация 10% (программирование; большое зло здесь – небрежность)
4 отладка 20% (поиск ошибок; проверка сомнительных требований и работы при нестандартных условиях;
начинается тогда, когда устранены синтаксические ошибки, когда программа уже работает и выдает правдоподобные результаты; наведение общего лоска)
5эксплуатация (функционирование в рабочем режиме)
6сопровождение 50% (параллельно с эксплуатацией; эксплуатационное обслуживание; удовлетворение потребностей пользователя; доработка и устранение ошибок – повышение полезности программы; проблема – отсутствие высококвалифицированных кадров)
По длительности жизненного цикла программы делятся на:
программы с малым временем жизни (создаются для решения научных и инженерных задач с целью получения конкретных результатов вычислений; как правило невелики – не более нескольких тысяч команд; не предназначены для последующего тиражирования и использования в других коллективах; по существу являются частью НИР и не является отчуждаемыми изделиями – ими пользуются только создатели и разработчики, но не другие люди; в жизненный цикл входит длительный этап системного анализа, значительный этап проектирования и относительно недолгая эксплуатация; требования к характеристикам программ как правило не разрабатываются, а процесс создания не формализуется; показатели качества контролируются самим разработчиком; сопровождение и модификация не требуются; жизненный цикл прекращается как только получены результаты – как правило от одного до нескольких месяцев, редко превышает год)
программы с большим временем жизни (создаются для регулярной обработки информации и для управления в процессе функционирования сложных систем(10^6 команд и более); допускают тиражирование; к ним оформляется документация; такие программы, как правило, представляют собой отчуждаемый программный продукт; жизненно необходима формализация процесса; от программ требуется определенное качество; жизненный цикл обычно до 5 лет и более; до 90% времени приходится на эксплуатацию и сопровождение; затраты на сопровождение могут превышать половину всех затрат)
По объему программы делятся на:
большие (как правило, отчуждаемые; число команд >10^4; если над программой работают 5-20 программистов – средние программы, >20 – большие проекты; важна технология и организационные методы, а также формализация, график работ и документация; группы взаимодействия с исполнителем, контроля качества и изменения, тестирования; необходимо контролировать и проверять работу; объем проблем растет нелинейно с ростом размера программы)
малые (как правило, не отчуждаемые; команд порядка 10^4; до 5 программистов)
Выявление ошибок происходит весь жизненный цикл ПО; больше всего их выявляется на этапе приемо-сдаточных испытаний; примерно 66% ошибок закладываются на этапе проектирования и 33% на этапе программирования; распределение стоимости устранения ошибок: на этапе системного анализа, проектирования и реализации по 5%, на этапе отладки 10%, на этапе сопровождения 75%.
Потребительские характеристики программ:
надежность (свойство ПО удовлетворять поставленным требованиям и ее пригодность для эксплуатации; составная часть качества – более общего понятия)
корректность (правильность; степень удовлетворения требованиям ТЗ)
Качественное ПО:
надежность
компактность
совместимость
эффективность
Примечание: ПО может быть корректной, но ненадежной (и наоборот)!
Для определения надежности ПО перед эксплуатацией проверяются:
1 автономная проверка (способность ПО правильно выполнять свои функции, проверка отдельных функций) 2 проверка в системе (контролирует правильность выполнения функций программы в составе всей системы в реальном масштабе времени)
Доработка – процесс улучшения ПО с целью сделать его пригодным для эксплуатации (прежде всего – устранение ошибок).
Методы доработки:
тестирование (процесс выполнения программы с целью проверки правильности результатов ее работы; официальная стадия тестирования – приемо-сдаточные испытания (комплекс мероприятий, которые определяют приемлемость для заказчика конечного программного продукта))