- •Частный институт управления и предпринимательства
- •А 42 Корпоративные информационные системы: Основы построения. Учебное пособие / а. И. Аксенов, а.Ф. Кривец – Мн.: Част. Ин-т упр. И пред., 2009. – с.
- •Содержание
- •1. Основные понятия корпоративных информационных систем
- •1.1. Компьютерные информационные технологии в управлении экономическим объектом.
- •1.2. Информационные системы.
- •1.3. Классификация информационных систем
- •1.4. Виды обеспечения информационных систем
- •1.5. Корпоративная информационная система (кис). Принципы организации кис.
- •1.6. Структура корпоративной информационной системы
- •1.7. Корпоративные информационные технологии
- •1.8. Требования к кис
- •2. Информационные ресурсы кис
- •2.1. Источники информации в кис
- •2.2. Информационные модели объекта управления
- •2.3. Информационные массивы и потоки
- •2.4. Информационное обеспечение кис
- •2.5. Информационные ресурсы и их роль в управлении экономикой
- •2.6. Информационные ресурсы Республики Беларусь
- •2.7. Государственные программы информатизации Республики Беларусь
- •3. Техническое и системное программное обеспечение кис
- •3.1. Технические средства кис и их классификация
- •3.2. Технические средства автоматизации производственных процессов
- •3.3. Системное программное обеспечение
- •3.4. Операционная среда
- •4. Сетевые технологии в корпоративных информационных системах
- •4.1. Компьютерные сети
- •4.2. Классификация компьютерных сетей
- •Технологии и сети
- •4.3. Понятие интерфейса и протокола компьютерных сетей
- •4.4. Понятие "открытой" системы. Модель osi.
- •4.5. Уровни модели osi [3]
- •4.6. Локальные компьютерные сети. Оборудование и методы доступа
- •4.7. Глобальная сеть Internet.
- •4.8. Адресация компьютеров в сетях [3,4]
- •4.9. Сервисы сети Internet [3,4]
- •Распределенная гипертекстовая информационная система www.
- •4.10. Корпоративные сети и их характеристика
- •4.11. Телекоммуникационные и Internet/Intranet-технологии в корпоративных информационных системах
- •4.12. Администрирование компьютерных сетей.
- •Почтовый сервер (Mail server) – сервер, обеспечивающий прием и передачу электронных писем пользователей, а также их маршрутизацию.
- •4.13. Перспективы развития телекоммуникационных технологий [4]
- •5. Корпоративные базы данных
- •5.1. Организация данных в корпоративных информационных системах.
- •Корпоративные базы данных и требования, предъявляемые к ним
- •Характеристика интеграционных решений корпоративных баз данных
- •5. 5.Системы управления базами данных и технологии доступа к данным в кис
- •6. Прикладное программное обеспечение кис
- •6.1. Программные средства моделирования экономических процессов [3,11]
- •6.2. Программное обеспечение кис.
- •6.3. Концепции управления компьютеризированными предприятиями [4]
- •II. Концепция внедрения ит в виде систем, таких как mrp, erp, crm.
- •III. Концепция csrp
- •6.4. Электронный бизнес, его классификация.
- •6.6. Корпоративные информационные системы в предметной области [4]
- •6.7. Пакеты ппо кис предметных областей, состояние рынка и перспективы его развития [4].
- •7. Системы искусственного интеллекта (ии)
- •7.1. Понятие систем ии, направления использования и развития [3,4]
- •7.2.Математические модели исследования ии.
- •7.3. Использование ии в экономике. Управление знаниями [4]
- •7.4. Понятие и назначение экспертной системы [3,4]
- •7.6. Режимы работы и классификация эс [3,4]
- •7.7. Понятие системы поддержки принятия решений [3,4]
- •7.8. Средства создания систем ии [4]
- •8. Обеспечение безопасности корпоративных информационных систем
- •8.1. Информационная безопасность, безопасная система
- •8.2. Критерии оценки информационной безопасности и классы безопасности информационных систем [4]
- •8.3. Политика информационной безопасности [3]
- •8.4. Классификация угроз информационной безопасности [3]
- •8.5. Понятие компьютерной преступности [4]
- •8.6. Программно-техническое обеспечение безопасности информационных систем [3,4]
- •8.7. Обеспечение безопасности в компьютерных сетях [4]
- •8.8. Организационно-экономическое обеспечение безопасности информационных систем [4]
- •8.9. Структура и функции системы информационной безопасности [4]
- •8.10. Методы защиты информации [4]
- •8.11. Правовое обеспечение безопасности информационных систем [3,4]
- •8.12. Нормативные акты Республики Беларусь об информатизации и защите информации
- •9. Проектирование корпоративных информационных систем
- •9.1. Понятие жизненного цикла и модели жизненного цикла кис [4]
- •9.2. Модели жизненного цикла кис [4]
- •9.3. Каноническое и индустриальное проектирование кис
- •9.4. Этапы проектирования кис [4]
- •9.5. Формирование требований к кис. Проблемы взаимодействия потребителя и проектировщика кис. Разработка концепции кис
- •Техническое задание
- •9.7. Технический проект
- •9.8. Рабочая документация. Ввод в действие. Сопровождение
- •9.9. Реинжиниринг бизнес-процессов [3,4]
- •9.10. Участники реинжиниринга бизнес-процессов [3,4]
- •9.11. Этапы реинжиниринга [4]
- •9.12. Моделирование бизнес-процессов [4]
- •9.13. Информационные технологии и реинжиниринг бизнес-процессов [4]
- •9.14. Примеры реализации реинжиниринга бизнес-процессов в предметной области [3].
- •9.15. Обзор систем автоматизированного проектирования кис [4]
- •9.16.Оценка эффективности внедрения информационных систем [4]
8.5. Понятие компьютерной преступности [4]
Компьютерная преступность – любые незаконные, неэтичные или неправомерные действия, связанные с обработкой данных и/или их передачей.
Данный термин, возникший первоначально как средство для обозначения появившихся новых способов совершения преступлений, по своему содержанию давно уже перерос в криминологическое понятие, обозначающее самостоятельный вид преступности. В настоящее время этот вид преступности включает в себя в зависимости от уголовно-правового регулирования в тех или иных стран уже целый перечень такого рода деяний и способов их совершения.
На международном уровне факт угрозы компьютерной преступности впервые был признан в 1985 году на VI Конгрессе ООН по профилактике преступлений и обращению с правонарушителями. Следующий VII Конгресс ООН (Гавана, 1990г.) рекомендовал международной общественности выработать универсально применимые стандарты и нормы, гарантирующие надежное использование компьютерных систем и средств телесвязи.
Международная организация уголовной полиции рассматривает компьютерную преступность в одном ряду с такими новыми категориями преступлений, как захват заложников, угон самолетов, "экологический бизнес'', международные синдикаты наемных убийц и т.п. Поэтому не случайно в 1991 году по решению 19-й Европейской Региональной Конференции Интерпола при Генеральном Секретариате была создана Рабочая группа по компьютерным преступлениям.
В разных странах по-разному подходят к регулированию уголовно-правовых отношений в данной области: в одних – уже действуют законы, направленные против компьютерной преступности, в других – они находятся в стадии разработки, в третьих странах – эти проблемы лишь обсуждаются.
Комитетом по законодательству Совета Европы разработаны рекомендации по данному виду преступной деятельности, в которых предлагается следующий минимальный перечень компьютерных преступлений:
компьютерное мошенничество;
компьютерный подлог (подделка);
повреждение компьютерной информации или программ;
компьютерная диверсия (саботаж);
несанкционированный доступ;
несанкционированный перехват информации;
несанкционированное производство патентованных компьютерных программ (пиратство программного обеспечения);
несанкционированное воспроизводство топографии (чертежей).
Владелец информационных ресурсов и/или информационных систем должен обеспечивать уровень защиты информации в соответствии с действующим законодательством. Ответственность за использование не сертифицированных ИС и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Владелец информационных ресурсов и/или информационных систем обязан оповещать собственников этих систем и ресурсов о всех фактах нарушения режима защиты информации. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом, с учетом специфики правонарушений и нанесенного ущерба.
8.6. Программно-техническое обеспечение безопасности информационных систем [3,4]
Программно-техническое обеспечение защиты объектов информационной безопасности включает следующие методы и средства защиты информации:
1. Физические средства защиты. Обеспечивают внешнюю охрану территории объектов, защиту ЭВМ и информационных систем в целом. В настоящее время используются преимущественно чисто механические средства физической защиты при доминирующем участии человека. Однако достижения микроэлектроники и появление микропроцессоров создали объективную базу для разработки и внедрения, наряду с традиционными механическими системами, универсальных автоматизированных электронных систем физической защиты, предназначенных для охраны территории, охраны помещений, организации пропускного режима, организации наблюдения, систем пожарной сигнализации, систем предотвращения хищения носителей. Элементную базу таких систем составляют различные датчики, сигналы которых обрабатываются микропроцессорами, электронные интеллектуальные ключи и замки на микропроцессорах, устройства определения биометрических характеристик человека и т.д. Так, для организации охраны оборудования (узлов и блоков компьютеров, средств передачи данных) и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) используются:
различные замки и микро выключатели, инерционные датчики, специальные наклейки из фольги или с чипами (микросхемами) на документах, приборах, узлах и блоках системы, специальные сейфы и металлические шкафы для установки в них отдельных узлов и блоков компьютера и перемещаемых носителей информации (магнитные ленты, диски, распечатки).
Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия.
Для контроля электропитания могут использоваться электронные устройства, которые устанавливаются в местах ввода сети переменного напряжения. Если шнур питания перерезан, оборван или перегорел, кодированное послание включает сигнал тревоги или активирует ТВ-камеру для последующей записи событий.
2. Аппаратные средства защиты. Представляют собой различные электронные, электронно-механические и другие устройства, непосредственно встроенные в серийные блоки электронных систем обработки и передачи данных или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначаются для внутренней защиты структурных элементов ЭВМ, средств и систем вычислительной техники: терминалов, устройств ввода-вывода, процессоров, периферийного оборудования, линий связи и т.д. Основные функции аппаратных средств защиты информации:
запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей вычислительной системе;
запрещение несанкционированного (неавторизованного) внутреннего доступа к отдельным файлам или базам данных вычислительной системы, возможного в результате случайных или умышленных действий обслуживающего персонала;
защита активных и пассивных (архивных) файлов и баз данных, связанная с не обслуживанием или отключением вычислительной системы (компьютера) из сети ЭВМ;
идентификации субъектов (пользователей, обслуживающего персонала) и объектов (ресурсов) системы;
проверки полномочий, заключающейся в проверке соответствия дня недели, времени суток, а также разрешение и создание условий работы субъекту в пределах установленного регламента;
регистрации (протоколирования) при обращении к запрещаемым ресурсам;
реагирования (задержки выполнения работ, отказа в обслуживании, тревожной сигнализации) при попытках несанкционированного доступа к защищаемым ресурсам
3. Программные средства защиты. Предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения систем обработки данных, либо в состав средств, комплексов и систем аппаратуры контроля. С помощью программных средств защиты решаются следующие задачи информационной безопасности:
контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.);
разграничение и контроль доступа субъектов к системным и пользовательским ресурсам.
изоляция программ процесса, выполняемого в интересах конкретного субъекта от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде);
управление потоками конфиденциальной информации с целью предотвращения записи на магнитные носители данных несоответствующего уровня (грифа) секретности;
защита файлов от вирусных инфекций;
удаление остаточной информации из запоминающих устройств;
автоматический контроль работы пользователей на ЭВМ на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.
4. Аппаратно-программные средства защиты. Данные средства защиты широко используются при реализации биометрических методов аутентификации пользователей автоматизированных информационных систем.
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности личности пользователя или его действий
Аутентификация обычно осуществляемая перед разрешением доступа к ресурсам автоматизированной информационной системы. Классификация и примеры реализации методов аутентификации, расположенных в порядке возрастания степени их надежности, представлены в таблице 8.1:
Таблица 8.1
|
Методы аутентификации |
Примеры реализации |
|
По знаниям |
Парольная защита |
|
По имуществу |
Touch-memory Магнитные какты Smart-карты |
|
По навыкам |
Клавиатурный почерк Роспись |
|
По уникальным параметрам |
Отпечатки пальцев, сетчатка глаза, голос, характеристика ладони и т.п. |
5. Криптографические методы зашиты. Представляют собой методы защиты данных с помощью криптографического преобразования, под которым понимается преобразование данных шифрованием.
Шифрование или криптографическое преобразование информации - это процедура, которая препятствует без знания определенного ключа получить первоначальный (незашифрованный) смысл сообщения. Практические приемы шифрования информации разрабатывает наука криптология, название которой идет от греческих слов criptos - тайна и logos - слово. Криптография известна с древних времен (например, еще Цезарь использовал специальные коды для своих документов) и до недавнего времени оставалась привилегий государственных и военных учреждений. Однако после выхода в 1949 г. книги К. Шеннона "Работы по теории информации и кибернетике" криптографией стали серьезно интересоваться ученые многих отраслей, в том числе и в коммерческой сфере.
Необходимо, чтобы способы шифрования обладали двумя свойствами:
-
законный получатель может достаточно быстро и просто расшифровать сообщение;
-
нарушитель, перехвативший сообщение, не сможет его расшифровать без таких временных и материальных затрат, которые делают эту работу бессмысленной.
Разработано и реализовано большое количество методов шифрования информации, основными элементами которых являются алгоритм шифрования и ключ.
Ключ (специальный код) обеспечивает оригинальное преобразование информации при использовании одного и того же алгоритма. Знание ключа позволяет быстро и просто зашифровать и расшифровать данные. Без знания ключа расшифровка данных затруднена даже при известном алгоритме шифрования.
Криптографические методы защиты информации могут использовать:
- шифрование с помощью датчика псевдослучайных чисел заключается в генерации гаммы шифра с помощью датчика псевдослучайных чисел и наложении полученной гаммы на открытые данные обратимым образом;
- шифрование с помощью криптографических стандартов шифрования данных (с симметричной схемой шифрования), использующих проверенные и апробированные алгоритмы шифрования данных с хорошей криптостойкостью;
- шифрование с помощью систем с открытым ключом (с асимметричной схемой шифрования), в которых для шифрования данных используется один ключ, а для дешифровки – другой. Первый ключ не является секретным и может быть опубликован для использования всеми пользователями системы. Второй ключ является секретным и используется получателем зашифрованной информации для ее дешифровки.
В настоящее время в качестве корпоративных проектов рынок предлагает следующие программные средства, обеспечивающие шифрование [3]: PGP, BestCrypt, PC-ENCRYPT, A-Lock(http://ware.aktobe.kz/secur/), «Шифратор» (http://softsearch.ru/), Cryptext, Coded Drag, GNU Privacy Guard (http://www.crackzone.org/download/), Advanced Encryption Package, Antiy Info Stego Personal Edition, CRYPKEY C.A.S.P.E.R, F-SECURE FILE CRYPTO, HotCrypt, Lock-It, Masker, Steganos Crypt and Go, Visual Soft Secure File Handling Suite (http://www.skladcd.com/) и др.