9.2. Методы и средства защиты информации в экономических информационных системах
При наличии простых средств хранения и передачи информации существовали и не потеряли значения до настоящего времени следующие методы ее защиты от преднамеренного доступа:
- ограничение доступа:
- разграничение доступа;
- разделение доступа (привилегий);
- криптографическое преобразование информации;
- контроль и учет доступа;
- законодательные меры.
Указанные методы осуществлялись чисто организационно или с помощью технических средств.
С появлением автоматизированной обработки информации изменился и дополнился новыми видами физический носитель информации и усложнились технические средства ее обработки.
С усложнением обработки, увеличением количества технических средств, участвующих в ней, увеличиваются количество и виды случайных воздействий, а также возможные каналы несанкционированного доступа. С увеличением объемов, сосредоточением информации, увеличением количества пользователей другими указанными выше причинами увеличивается вероятность преднамеренного несанкционированного доступа к информации. В связи с этим развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:
- методы функционального контроля, обеспечивающие обнаружение и диагностику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;
- методы повышения достоверности информации;
- методы защиты информации от аварийных ситуаций;
- методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;
- методы разграничения и контроля доступа к информации;
методы идентификации и аутентификации пользователей, технических средств, носителей информации и документов; - методы защиты от побочного излучения и наводок информации.
При разработке АИТ возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем.
Современные АИТ обладают следующими основными признаками:
• наличием информации различной степени конфиденциальности;
• необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных;
• иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и информации системы, необходимостью оперативного изменения этих полномочий;
• организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;
• обязательным управлением потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
• необходимостью регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;
• обязательным обеспечением целостности программного обеспечения и информации в АИТ;
• наличием средств восстановления системы защиты информации;
• обязательным учетом магнитных носителей;
• наличием физической охраны средств вычислительной техники и магнитных носителей.
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ.
Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии:
• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТ, оценивается уровень конфиденциальности и объемы;
• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты-информации;
• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;
• определяются мероприятия по обеспечению режима секретности на стадии разработки.
Среди организационных мероприятий по обеспечению безопасности информации важное место занимает охрана объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи.
Функционирование системы защиты информации от несанкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений, предусматривает:
• учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
• ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
• оперативный контроль за функционированием систем защиты секретной информации;
• контроль соответствия общесистемной программной среды эталону;
• приемку включаемых в АИТ новых программных средств;
• контроль за ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей;
• сигнализацию опасных событий и т.д.
Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации, какими бы совершенными эти программно-технические средства не были.
Создание базовой системы защиты информации в АИТ основывается на следующих принципах:
• Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающий оптимальное сочетание программных аппаратных средств и организационных мер защиты и подтвержденный практикой создания отечественных и зарубежных систем защиты.
• Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.
• Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без ее предварительной регистрации.
• Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.
• Обеспечение контроля за функционированием системы защиты, т. е. создание средств и методов контроля работоспособности механизмов защиты.
• «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.
• Экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации.
Проблема создания системы защиты информации включает в себя две взаимно дополняющие задачи: 1) разработка системы защиты информации (ее синтез); 2) оценка разработанной системы защиты информации.
Вторая задача решается путем анализа, ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам.
Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения. Методы и средства обеспечения безопасности информации показаны на рис. 9.1.
- Министерство образования рф
- Введение
- Часть 1. Основные понятия информационных систем и информационных технологий
- 1. Информационный ресурс -основа информатизации экономической деятельности
- 2. Возникновение информационных технологий
- 3. Понятие систем и системного анализа
- 3.1. Основные понятия теории систем и системного анализа.
- 3.2. Свойства и признаки систем
- Другая система
- 3.3. Принципы системного подхода.
- 3.4. Системообразующие и системоразрушающие факторы
- 3.4.1. Системообразующие факторы
- 3.4.2. Системоразрушающие факторы
- 3.5. Система и внешняя среда
- 3.6. Структура, функции и этапы развития систем
- 3.7. Принципы системного подхода
- 3.8. Механизм процесса описания системных объектов
- 4.Информационные технологии и преобразование информации в данные.
- Технология
- 4.1. Концептуальный уровень информационной технологии
- 4.2. Логический уровень информационной технологии.
- 4.3 Физический уровень информационной технологии.
- 4.4 Процесс превращения информации в данные.
- 4.5 Информатика и информационная технология
- 5. Управление в системах
- 5.1. Управление как процесс целенаправленной переработки информации
- 5.2. Схема системы управления
- 5.3. Информационные модели
- 5.4 Роль и место человека и информационной технологии в автоматизированном управлении
- 5.5 Процесс принятия решения
- Вопросы для самопроверки
- Часть 2. Информационные экономические системы
- 6. Основные понятия и структура автоматизированных информационных технологий и систем в экономике
- 6.1. Классификация существующих информационных технологий и систем
- 6.2. Автоматизированные информационные технологии, их развитие и классификация
- 6.3. Проблемы использования информационных технологий
- 6.4. Виды информационных технологий
- 6.4.1. Информационная технология обработки данных
- База данных
- 6.4.2. Информационная технология управления
- 6.4.3. Автоматизация офиса
- 6.4.4. Информационная технология поддержки принятия решения
- 6.5. Этапы развития информационных систем
- 6.6. Основные понятия информационных систем
- 7. Методика создания автоматизированных информационных систем и технологий
- 7.1. Структура и состав информационной системы
- Информационные системы
- Техническая подготовка производства
- Промышленного предприятия
- Информационное обеспечение
- Рис 7.3. Структура информационной системы как совокупность обеспечивающих подсистем
- 7.2. Проектирование: стадии и этапы создания аис и аит
- 7.3. Особенности проектирования аит и аис
- 7.4. Содержание и методы ведения проектировочных работ
- 7.5. Роль пользователя в создании аис и аит и постановке задач
- 7.6. Технология постановки задачи
- 8. Типы, виды и оценка и области применения информационных систем
- 8.1. Классификация информационных систем по функциональному признаку
- 8.2. Виды автоматизированных информационных систем в организации
- 8.2.1. Информационная система оперативного уровня
- 8.2.2. Информационные системы специалистов
- 8.2.3. Информационные системы для менеджеров среднего звена
- 8.2.4. Стратегические информационные системы
- 8.2.5. Информационная система по отысканию рыночных ниш.
- 8.2.6. Информационные системы, ускоряющие потоки товаров.
- 8.2.7. Информационные системы по снижению издержек производства.
- 8.2.8. Информационные системы автоматизации технологии("менеджмент уступок").
- 8.3. Классификация информационных систем по характеру использования информации и сфере применения
- 8.3.1. Классификация по характеру использования информации
- 8.3.2. Классификация по сфере применения
- 8.4. Основные Типы автоматизированных информационных систем
- 9. Проблемы безопасности информации в информационных системах
- 9.1. Виды угроз безопасности эис
- 9.2. Методы и средства защиты информации в экономических информационных системах
- Методы средства
- 9.3. Основные виды защиты, используемые в аит банковской деятельности
- Часть 3. Интегрированные информационные технологии и системы формирования, обработки и представления данных в экономике
- 10. Автоматизированные информационные технологии в бухгалтерском учете
- 10.1. Назначение бухгалтерских систем в управлении предприятиями.
- 10.2. Бухгалтерские ис на крупных предприятиях.
- 10.3. Особенности функционирования буис на предприятиях малого и среднего бизнеса.
- 10.4. Основные характеристики бухгалтерских информационных систем
- 10.4.1. Основные характеристики аис 1с: предприятие
- 10.4.2. Основные характеристики аис бэст
- Первичный
- 10.4.2. Основные характеристики аис парус
- 11. Автоматизированные информационные технологии в банковской деятельности
- 11.1. Специфика организации банковского дела в россии
- 11.2. Проблемы создания автоматизированных банковских систем
- 11.3. Особенности информационного обеспечения автоматизиро-ванных банковских технологий
- 11.4. Технические решения банковских технологий
- 11.5. Программное обеспечение информационных технологий в банках
- 11.6. Функциональные задачи и модули банковских систем
- 11.7. Автоматизация межбанковских расчетов
- Основные характеристики аис разработки и оценки инвестиционных проектов
- 12.1. Производственный процесс и его обеспечение.
- 12.2. Бизнес-план как средство выражения идей развития фирмы
- 12.3. Стадии разработки бизнес-планов
- 12.4. Использование информационных систем для бизнес - планирования
- 12.5 Краткая характеристика пакета Project Expert
- 13. Общая характеристика аис управления проектами
- 13.1. Базовые функциональные возможности систем управления
- 13.2. Характеристики наиболее распространенных систем управления проектами
- 13.2.1. Microsoft Project
- 13.2.2.TimeLine6.5
- 13.2.3. Primavera Project Planner (p3)
- 13.2.4.SureTrak
- 13.2.5.ArtemisViews
- 13.2.6. Spider Project
- 13.2.7. Open Plan Welcom Software
- 14. Справочно-правовые информационные системы
- 14.1. Система "Консультант Плюс"
- 14.2. Система "Гарант"
- 14.3. Информационная система “Договор”
- 15. Экспертные системы.
- 15.1. Характеристика и назначение экспертных систем
- 15.2. Основные компоненты информационной технологии экспертных систем.
- Р инструкции и информация решение и объяснения знанияис. 15.1. Структура экспертной системы
- 16.Нейросетевые технологии в финансово - экономической деятельности
- 17. Автоматизированные информационные технологии формирования, обработки и представления данных в налоговой службе
- 17.1. Автоматизированная информационная система (аис) «Налог»
- 17.2. Характеристика функциональных задач, решаемых в органах налоговой службы.
- 17.3. Особенности информационного обеспечения аис налоговой службы
- 17.4. Особенности информационных технологий, используемых в органах налоговой службы
- 18. Автоматизированные информационные технологии в казначействе
- 18.1. Создание казначейских органов и перспективы их развития
- 18.2. Информационное обеспечение органов казначейства
- 18.3. Организация автоматизированной информационной технологии в органах казначейства
- 18.4. Терминальная архитектура автоматизированной информационной системы казначейства
- 18.5. Архитектура «клиент - сервер» автоматизированной информационной технологии казначейства
- 18.6. Организация коммуникационной системы органов казначейства
- 19. Пластиковые карточки в россии
- 19.1. Что такое пластиковая карточка
- 19.2. Микропроцессорные карточки
- 20. Автоматизация в торговле
- 20.1. Автоматизация учета в торговле
- 20.2. Штрихкоды как средство автоматизации торговых расчетов
- 20.3. Безналичные расчеты с покупателем
- 21. Управленческие автоматизированные информационные системы
- 21.1. Концепция интегрированной управленческой аис
- 21.2. Основные требования к интегрированной аис.
- 22. Системы управления электронным документооборотом
- 23. Автоматизация работы с персоналом
- 24. Корпоративные информационные системы: технологии и решения
- 24.1. Введение
- 24.2. Структура корпоративной информационной системы
- 24.3. Заключение
- 25. Электронные каналы маркетинга и дистрибуции
- 26. Информационные технологии в туризме
- 26.1. Пути развития и эффективность внедрения новых информационных технологий в туризме
- 26.2. Классификация специалистов и классы задач, решаемых в туристском офисе
- 26.3. Прикладные программы по формированию, продвижению и реализации туристского продукта
- 26.3.1. Анализ рынка прикладных программ автоматизации туристского офиса
- 26.3.2. Программа Само-Тур
- 26.3.3. Программа ТурбоТур
- 26.3.4. Пакет прикладных программ Туристский офис
- 6. Финансовый модуль:
- 26.3.5. Система интеграции сети розничной продажи туристских услугTravelnet-2000
- 26.3.6. Программа автоматизации работы в турофисе «TurWin»
- 26.3.7. Программа "TourPilot
- 26.3.8. Программа "Business Tour"
- 26.4. Автоматизированные системы бронирования и резервирования в туризме
- 26.4.1. Отечественные системы резервирования
- 26.4.2. Зарубежные системы бронирования и резервирования
- Система Амадеус (Amadeus Global Travel Distribution, www.Global.Amadeus.Net)
- 26.5. Отечественные системы бронирования мест размещения
- 26.5.1. Система Ключ
- 26.5.2. Система Туринтел (www.Tourintel.Ru)
- 26.5.3. Система Тур Резерв (www.Tours.Ru)
- 26.6. Комплексная автоматизация гостиниц
- 26.6.1. Гостиничная асу (pms) "Эдельвейс" - ядро комплекса.
- 26.6.2. Работа с другими программами и системами
- 25.6.3. Программы автоматизации объектов питания и развлекательных комплексов
- 26.7. Бэст-про (приложение "администратор гостиницы")
- 26.8. Использование глобальной компьютерной сети Internet в практике туристского бизнеса
- 26.8.1. ВозможностиInternetв формировании, продвижении и реализации туристского продукта
- 26.8.2. Участие в международных туристских выставках и ярмарках в сетиInternet
- 26.8.3. Электронная система бронирования и резервирования туристских услуг вInternet
- 26.8.5. Другие возможности использованияInternetдля туризма