- •Глава 1, Основные сведения об информационных технологиях обработки экономической информации 7
- •Глава 2 Основные сведения об автоматизированных информационных системах………….38
- •Глава 3. Информационное обеспечение автоматизированных систем ...59
- •Глава 4. Программное обеспечение автоматизированных систем 76
- •Основные понятия 76
- •Глава 5. Проектирование автоматизированных информационных систем 93
- •Глава 6. Основные сведения о компьютерных сетях
- •Основные понятия 116
- •Глава 7. Основы защиты информации в автоматизированных системах 137
- •Основные понятия 137
- •Введение
- •Глава 1
- •Основные сведения
- •Об информационных технологиях
- •Обработки экономической информации
- •1.1. Экономическая информация как часть информационного ресурса общества
- •1.2. Информация и информационные процессы в организационно-экономической сфере
- •1.3. Информационные технологии обработки экономической информации
- •1.3.1. Информационная технология обработки данных
- •1.3.2. Информационные технологии автоматизированного офиса
- •1.3.3. Информационные технологии управления
- •1.3.4. Информационные технологии поддержки принятия решений
- •1.3.5. Информационные технологии экспертных систем
- •1.3.6. Нейросетевые технологии
- •1.4. Государственная политика в области информатизации
- •Глава 2
- •2.1. Понятие автоматизированной информационной системы
- •2.2. Классификация экономических автоматизированных информационных систем
- •2.3. Структура автоматизированной информационной системы
- •2.3.1 Функциональная часть автоматизированной информационной системы
- •2.3.2. Обеспечивающая часть аис
- •2.4. Свойства и характеристики аис
- •Вопросы для самоконтроля
- •Глава 3 информационное обеспечение автоматизированных систем
- •3.1. Основные понятия
- •3.2. Документы в автоматизированной системе
- •3.3. Классификация и кодирование
- •3.4. Внутримашинное информационное обеспечение
- •3.4.1. Понятие базы данных
- •3.4.2. Базы данных и файловые системы
- •3.5. Проектирование и эксплуатация баз данных
- •Вопросы для самоконтроля
- •Глава 4 программное обеспечение автоматизированных систем
- •4.1. Основные понятия
- •4.2. Виды программного обеспечения автоматизированной системы
- •4.2.1. Системное общее программное обеспечение
- •4.2.2. Сервисное общее программное обеспечение
- •4.2.3. Прикладное общее программное обеспечение
- •Пакеты прикладных программ
- •Прикладные программы офисного применения
- •4.2.4. Инструментальное общее программное обеспечение
- •4.2.5. Специальное программное обеспечение автоматизированных систем
- •Вопросы для самоконтроля
- •Глава 5
- •5.1. Современные подходы к автоматизации управления в организационно-экономических системах
- •5.1.1. Кусочная автоматизация
- •5.1.2. Автоматизация по участкам
- •5,1.3. Автоматизация по направлениям
- •5.1.4. Полная автоматизация управления организацией
- •5.1.5. Подходы к проектированию автоматизированных информационных систем
- •5.2. Стандартизация деятельности, связанной с разработкой автоматизированных информационных систем
- •5.3. Жизненный цикл автоматизированной информационной системы
- •5.3.1. Понятие и модели жизненного цикла аис
- •5.3.2. Представление процесса разработки в екс ас
- •5.4. Некоторые вопросы проведения автоматизации в организации
- •5.4.1. Управление процессом автоматизации
- •5.4.2. Стратегия автоматизации
- •5.4.3. Реорганизация деятельности организационной системы
- •5.5. Роль пользователей в процессе разработки автоматизированной информационной системы
- •Вопросы для самоконтроля
- •6.5. Эталонная модель взаимодействия открытых систем
- •Основные функции уровней модели osi
- •Глава 7 основы защиты информации в автоматизированных системах
- •7.1. Основные понятия
- •7.2. Угрозы безопасности информации в эис
- •7.2.1. Случайные угрозы
- •7.2.2. Преднамеренные угрозы
- •7.2.3. Последствия реализации угроз, специфические для эис
- •7.3. Методы и средства защиты информации в информационных системах
- •7.4. Комплексный подход к защите информации в автоматизированных системах
- •Вопросы для самоконтроля
- •Примеры современных программных средств в экономической сфере Система «1с: Предприятие»
- •Система «Галактика»
- •Литература
7.2. Угрозы безопасности информации в эис
По характеру причин, создающих угрозу безопасности информации, выделяют два основных вида угроз - случайные и преднамеренные (рис. 7.2).
Рис. 7.2. Угрозы безопасности информации в ЭИС
7.2.1. Случайные угрозы
Действие случайных угроз приводит, прежде всего, к полному уничтожению или нарушению целостности и. доступности (т.е. частичному уничтожению) информации. Реже нарушается конфиденциальность информации, но при реализации угроз этого класса создаются предпосылки для злоумышленного воздействия на
информацию.
По статистике в результате стихийных бедствий и различных аварий на объектах автоматизированных систем теряется до 13 % информации от общего числа потерь. Как правило, реализация этих угроз имеет тяжелые последствия для системы, требуется затрата значительных усилий и средств на восстановление ее информационных ресурсов.
Сбои и отказы сложных программно-технических систем неизбежны. Они приводят к нарушению работоспособности технических средств, уничтожению или
140
искажению данных и программ, нарушению алгоритмов работы устройств. Нарушения алгоритмов работы отдельных компонентов системы, в свою очередь, могут привести к нарушению конфиденциальности информации. Например, сбои и отказы средств выдачи информации могут привести к несанкционированному доступу к информации путем непредусмотренной ее выдачи в канал связи, на печатающее устройство и т.п.
Ошибки при разработке (проектировании) системы приводят к последствиям, аналогичным последствиям сбоев и отказов программно-технических средств. Кроме того, в дальнейшем такие ошибки могут быть использованы злоумышленниками для воздействия на отдельные компоненты или информационные ресурсы системы.
До 60 % всех потерь информации в результате реализации случайных угроз вызываются ошибками пользователей и обслуживающего персонала. Небрежное или некомпетентное выполнение функциональных обязанностей сотрудниками приводит к компрометации информации, нарушению механизмов ее зашиты или нарушению целостности информации.
Механизмы реализации случайных угроз изучены достаточно хорошо, накоплен солидный опыт противодействия этим угрозам. Современная технология разработки программных и технических средств, эффективная система эксплуатации информационной системы, включающая обязательное резервирование информации, позволяют значительно снизить потери от реализации угроз этого класса.
7.2.2. Преднамеренные угрозы
Преднамеренные угрозы умышленно создаются человеком. Этот класс угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами.
Несанкционированный доступ к информации (НСД) - это доступ к информации, нарушающий правила разграничения доступа с использованием штатных (т.е. предусмотренных) средств автоматизированной системы. Правша разграничения доступа регламентируют права доступа лиц к единицам информации. Право доступа к ресурсам системы определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Выполнение установленных правил разграничения доступа в системе реализуется с помощью специальной подсистемы разграничения доступа. НСД возможен в следующих случаях:
141
отсутствует система разграничения доступа;
сбой, отказ или ошибка в системе разграничения доступа;
ошибочные действия пользователей или персонала;
фальсификация полномочий.
Методы традиционного шпионажа и диверсий чаще всего используются для получения сведений о системе защиты с целью проникновения в ЭИС, а также хищения и уничтожения информационных ресурсов. К таким методам относятся: подслушивание, визуальное наблюдение, хищение документов и машинных носителей информации, подкуп и шантаж сотрудников, сбор и анализ отходов машинных носителей информации и принтерных распечаток, поджоги и взрывы.
Для подслушивания используются специальные технические устройства. В помещении могут быть установлены прослушивающие закладные устройства («жучки»). Сверхчувствительные направленные микрофоны позволяют слышать на расстоянии нескольких десятков метров. Лазерные устройства – на расстоянии несколько сотен метров, если разговор ведется в помещении с окнами.
Процесс обработки и передачи информации техническими средствами автоматизированной системы сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземлении и других проводниках. Такие излучения и сигналы получили название побочные электромагнитные излучения и наводки (ПЭММН). С помощью специального оборудования ПЭМИН улавливаются, и путем специальной обработки на их основе восстанавливается исходное сообщение. Наибольший уровень электромагнитного излучения в компьютерных системах присущ работающим устройствам отображения информации на электронно-лучевых трубках. Содержание экрана такого устройства может просматриваться с помощью обычного телевизионного приемника, дополненного специальной схемой синхронизации сигналов.
Несанкционированная модификация компонентов автоматизированной системы предполагает внесение изменений в программные или технические компоненты. Такие изменения могут быть выполнены на любой стадии жизненного цикла системы, измененные элементы называют «закладками». Программные и технические закладки могут использоваться либо для непосредственного
142
вредительского воздействия на систему, либо для обеспечения неконтролируемого входа в нее.
В зависимости от механизма действия вредительские программы делятся на четыре класса:
* логические бомбы;
черви;
троянские кони;
* компьютерные вирусы.
Логическая бомба - программа, выполняемая только при возникновении определенного условия (наступление заданной даты, наступление некоторою события заданное число раз и т.п.). Червями называют такие программы, которые выполняются каждый раз при загрузке операционной системы, обладают способностью самовоспроизводить свои копии и перемешаться по компьютерной сети. Троянские кони - это программы, полученные путем изменения или добавления команд в пользовательские программы. При выполнении такой программы наряду с заданными функциями выполняются несанкционированные функции.
Компьютерные вирусы - это программы, которые обладают способностью самопроизвольно воспроизводить свои колик и внедряться (в отличие от червей) в другие программы или файлы с данными с целью вредительского воздействия на них и на всю систему в целом.