Автор: Пользователь скрыл имя, 17 Февраля 2013 в 13:43, курс лекций
Сегодня обработка экономической информации стала самостоятельным научно-техническим направлением с большим разнообразием идей и методов. Отдельные компоненты процесса обработки данных достигли высокой степени организации и взаимосвязи, что позволяет объединить все средства обработки информации, на конкретном экономическом объекте понятием "экономическая информационная система" (ЭИС).
Тема 1. Организация и средства информационных технологий обеспечения управленческой деятельности. Использование интегрированных программных пакетов.
1.1 Этапы развития информационных систем управления в России.
1.2 Классификация офисных задач.
1.3 Понятие электронного офиса.
1.4 Понятие и состав интегрированного программного пакета.
1.5 Пример интегрированного офисного пакета (Microsoft Office).
1.6 Компьютерные технологии подготовки текстовых документов.
1.7 Обработка экономической информации на основе табличных процессов.
Тема 2. Базы данных и системы управления базами данных.
2.1Основные понятия и классификация систем управления базами данных.
2.2 Модели организации данных.
2.3 Понятие реляционной БД.
2.4 Основные понятия и принципы реляционной модели.
Тема 3. Компьютерные сети.
3.1 Состав и структура системы телеобработки данных.
3.2 Понятие компьютерной сети (КС).
3.3 Виды серверов.
3.4 Устройства, функционирующие в КС.
3.5 Корпоративные компьютерные сети – Интернет.
3.6 Понятие и функции Интернет.
3.7 Протоколы взаимодействия компьютеров в сети.
3.8 Понятие и структуру IP – адреса.
3.9 Понятие доменного имени.
3.10 Службы Интернета.
Тема 4. Основные этапы и стадии создания и организации компьютерных информационных систем управления.
4.1 Понятие информационной системы (ИС).
4.2 Жизненный цикл ИС.
4.3 Модели жизненного цикла ИС.
4.4 Основные стадии проектирования автоматизированных информационных систем.
4.5 Основные концепции построения информационных систем.
Тема 5. Защита информации в автоматизированных информационных системах.
5.1 Понятие безопасности ИС.
5.2 Виды угроз информационным системам.
5.3 Естественные и искусственные угрозы.
5.4 Модель нарушителя.
5.5 Классификация нарушителей.
5.6 Методы и средства защиты информации.
5.7 Понятие брандмауэра.
5.8 Криптографическое закрытие информации.
5.9 Электронно – цифровая подпись.
5.10 Понятие компьютерного вируса.
5.11 Классификация компьютерных вирусов.
5.12 Классификация антивирусных программ.
5.13 Основные меры по защите компьютеров от вирусов.
Информационные системы для руководителей / Под. Ред. Ф.И. Перегудова.
М.: Финансы и статистика,
1989.
Речь идёт, прежде всего, о концепциях или методологиях, применяемых при построении компьютерных систем управления. Рассмотрим их по порядку.
MPS (Master Planning Shedule) - Хорошо известная методология "объемно-календарного планирования". Является базовой практически для всех планово-ориентированных методологий. Применяется в основном в производстве, но также может использоваться и в других отраслях бизнеса, например, дистрибуции.
MRP (Material Requirements Planning) - Методология планирования потребности в материальных ресурсах, заключающаяся в определении конечной потребности в ресурсах по данным объемно-календарного плана производства. Ключевым понятием методологии является понятие "разузлование", т.е. приведение древовидного состава изделия к линейному списку (Bill of Materials), по которому планируется потребность и осуществляется заказ комплектующих.
CRP (Capacity Requirements Planning) - Планирование производственных ресурсов. Данная концепция схожа с MRP, но вместо единого понятия состава изделия она оперирует такими понятиями, как "обрабатывающий центр", "машина", "рабочие ресурсы", ввиду чего технически реализация CRP более сложна. Обычно применяется совместно с MRP ввиду тесной логической связи при планировании. Методологии MRP/CRP применяются в АСУП производственных предприятий.
FRP (Finance Requirements Planning) - Планирование финансовых ресурсов.
MRPII (Manufacturing Resources Planning) - Планирование производства. Интегрированная методология, включающая MRP/CRP и, как правило, MPS и FRP. При использовании данной методологии обязательно подразумевается анализ финансовых результатов производственного плана.
ERP (Enterprise Resources Planning) - Концепция бизнес-планирования. Под ERP подразумевается "интегрированная" система, выполняющая функции, предусмотренные концепциями MPS-MRP/CRP-FRP. Важным отличием от методологии MRPII является возможность "динамического анализа" и "динамического изменения плана" по всей цепочке планирования. Конкретные возможности методологии ERP существенно зависят от программной реализации. Концепция ERP более "размыта", чем MRPII. Если MRPII имеет явно выраженную направленность на производственные компании, то методология ERP оказывается применимой и в торговле, и в сфере услуг, и в финансовой сфере.
CSRP (Customer Synchronized Resources Planning) - Планирование ресурсов, синхронизированное с покупателем. CSRP включает в себя полный цикл - от проектирования будущего изделия с учетом требований заказчика, до гарантийного и сервисного обслуживания после продажи. Суть CSRP состоит в том, чтобы интегрировать покупателя в систему управления предприятием. При этом не отдел продаж, а сам покупатель размещает заказ на изготовление продукции, сам отвечает за правильность его исполнения и при необходимости отслеживает соблюдение сроков производства и поставки. Предприятие же может очень четко отслеживать тенденции спроса на его продукцию.
SCM (Supply Chain Management) - Управление цепочками поставок. Концепция SCM придумана для оптимизации управления логистическими цепями и позволяет существенно снизить транспортные и операционные расходы путем оптимального структурирования логистических схем поставок. Концепция SCM поддерживается в большинстве систем ERP- и MRPII-класса.
CRM (Customer Relationship Management)
- Концепция построения автоматизированных
систем обслуживания клиентов компании.
CRM подразумевает накопление, обработку
и анализ не только финансово-бухгалтерской,
но и прочей информации о взаимоотношениях
с клиентами. Это способствует повышению
производительности менеджеров, улучшает
качество обслуживания клиентов и способствует
увеличению продаж.
Левин В.К. Защита информации в информационно-вычислительных системах и сетях. / Программирование, 2004.-№5- 5-16 с.
Современные информационные системы сложны, а значит, опасны уже сами по себе, даже без учета вмешательства злоумышленников. Постоянно обнаруживаются новые ошибки и уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.
Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.
Высокие темпы развития
информационных технологий делают весьма
актуально проблему защиты информации,
ее пользователей, информационных ресурсов
и каналов передачи данных, а также требуют
постоянного совершенствования механизмов
защиты.
Левин В.К. Защита информации
в информационно-вычислительных системах
и сетях. / Программирование, 2004.-№5- 5-16
с.
Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.
Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БнД, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.
Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.
Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.
Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж — это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
К основным угрозам безопасности информации и нормального функционирования ИС относятся:
· утечка конфиденциальной информации;
· компрометация информации;
· несанкционированное использование информационных ресурсов;
· ошибочное использование информационных ресурсов;
· несанкционированный
обмен информацией между
· отказ от информации;
· нарушение информационного обслуживания;
· незаконное использование
привилегий.
5.3 Естественные и
искусственные угрозы
Левин В.К. Защита информации
в информационно-вычислительных системах
и сетях. / Программирование, 2004.-№5- 516 с.
Угрозы информационной
безопасности могут быть разделены на
угрозы, не зависящие от деятельности
человека (естественные угрозы физических
воздействий на информацию стихийных
природных явлений), и угрозы, вызванные
человеческой деятельностью (искусственные
угрозы), которые являются гораздо более
опасными.
Искусственные угрозы исходя из их мотивов разделяются на непреднамеренные (случайные) и преднамеренные (умышленные).
К непреднамеренным угрозам относятся:
• ошибки в проектировании КС;
• ошибки в разработке программных средств КС;
• случайные сбои в работе аппаратных средств КС, линий связи, энергоснабжения;
• ошибки пользователей КС;
• воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.
К умышленным угрозам относятся:
• несанкционированные действия обслуживающего персонала КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС);
• несанкционированный доступ к ресурсам КС со стороны пользователей КС и посторонних лиц, ущерб от которого определяется полученными нарушителем полномочиями.
В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:
• угроза нарушения конфиденциальности, т.е. утечки информации ограниченного доступа, хранящейся в КС или передаваемой от одной КС к другой;
• угроза нарушения целостности,
т. е. преднамеренного воздействия
на информацию, хранящуюся в КС или
передаваемую между КС (заметим, что
целостность информации может быть
также нарушена, если к несанкционированному
изменению или уничтожению
• угроза нарушения доступности
информации, т. е. отказа в обслуживании,
вызванного преднамеренными действиями
одного из пользователей КС (нарушителя),
при котором блокируется доступ
к некоторому ресурсу КС со стороны
других пользователей КС (постоянно
или на большой период времени).
Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ. — М.: Гостехкомиссия России, 1992.
Модель нарушителя — (в информатике) абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.
Модель нарушителя определяет:
категории (типы) нарушителей, которые могут воздействовать на объект;
цели, которые могут преследовать нарушители каждой категории, возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и проч.;
типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе.
Модель нарушителей может иметь разную степень детализации.
Содержательная модель нарушителей отражает систему принятых руководством объекта, ведомства взглядов на контингент потенциальных нарушителей, причины и мотивацию их действий, преследуемые цели и общий характер действий в процессе подготовки и совершения акций воздействия.
Сценарии воздействия нарушителей определяют классифицированные типы совершаемых нарушителями акций с конкретизацией алгоритмов и этапов, а также способов действия на каждом этапе. С точки зрения наличия права постоянного или разового доступа в контролируемую зону нарушители могут подразделяться на два типа:
нарушители, не имеющие права доступа в контролируемую зону территории (помещения) — внешние нарушители;
нарушители, имеющие право доступа в контролируемую зону территории (помещения) — внутренние нарушители.
Так же, модель нарушителя
можно представить так: 1) Разработчик;
2) Обслуживающий персонал (системный
администратор, сотрудники
5.5 Классификация
нарушителей
Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ. — М.: Гостехкомиссия России, 1992.
При разделении нарушителей безопасности по классам можно исходить из его принадлежности определенным категориям лиц, мотивов действий и преследуемых целей, характера методов достижения поставленных целей, квалификации, технической оснащенности и знаний об атакуемой информационной системе.