Информационные системы на предприятии

Автоматизацию работы базы данных обеспечивает СУБД, которая манипулирует с конкретной моделью организации данных на носителе. При построении логической модели данных выбирается один из трех подходов моделирования: иерархический, сетевой, реляционный.

ИЕРАРХИЧЕСКАЯ МОДЕЛЬ имеет структуру в виде дерева и выражает вертикальные связи подчинения нижнего уровня высшему. Это облегчает доступ к необходимой информации, но только при условии, что все запросы имеют древовидную структуру.

СЕТЕВАЯ МОДЕЛЬ является более сложной и отличается от иерархической модели наличием горизонтальных связей. Направления этих связей не являются однозначными, что усложняет модель и СУБД.

РЕЛЯЦИОННАЯ МОДЕЛЬ представляется в виде совокупности таблиц, над которыми выполняются операции, формулируемые в терминах реляционной алгебры. Достоинством модели является сравнительная простота инструментальных средств ее поддержки, недостатком - жесткость структуры данных и зависимость скорости работы от размера базы данных.

Привязку логической модели к программным и техническим средствам называют ФИЗИЧЕСКОЙ МОДЕЛЬЮ БАЗЫ ДАННЫХ. Она и дает конечное материализованное воплощение процессов создания базы данных.

Средства современных СУБД позволяют выполнять поиск в базе данных как через файл - оглавление, так и прямо, обращаясь к тексту файла DBT. Запрос может содержать, например, название организации или какое-то ключевое слово из текста, по которому СУБД будет просматривать все тексты подряд до нахождения соответствующего запросу текста.

Документирование результатов проектирования базы и банка данных выполняется по завершении каждого этапа проектирования, а его выводы и рекомендации по эксплуатации

обработки находятся в соответствующих разделах технорабочего проекта. Рассмотрим эти этапы применительно к созданию внутримашинного информационного обеспечения для компьютерных систем среднего и крупного класса.

Проектированию ИО предшествует ПРЕДПРОЕКТНАЯ СТАДИЯ, которая включает сбор материалов в процессе обследования, оформление их в виде технического задания. В них обосновывается целесообразность создания банка и базы данных. В качестве основных факторов раскрываются и приводятся следующие:

- многоцелевое использование данных;

- обеспечение многопользовательского доступа к данным в диалоговом режиме;

- наличие сложных связей между данными;

- необходимость поддержания системы в актуальном состоянии.

На стадии технического проектирования результаты разработок и проектных решений оформляются в виде технического проекта. Он включает общие вопросы: такие, как определение конфигурации вычислительных средств, создание логической модели базы данных, ее уточнение и доводка в виде моделей других уровней, выбор операционной системы и СУБД, физическое проектирование. Затем разрабатываются конкретные пользовательские применения БД, определяются подмодели, доступные каждому из пользователей.

ТЕХНИЧЕСКИЙ ПРОЕКТ является основным проектным документом, в котором приводятся разработки и их описания по всем компонентам создаваемого банка данных. При моделировании базы данных используются различные методы и средства, ориентированные на выбор конкретной СУБД. Сюда же относятся и предбазовые процессы подготовки информации и работы с ней, определение технологических особенностей по всем процессам, возникающим в результате создания и внедрения банка данных. В техническом проекте отражаются организационные изменения, связанные с работой технических и программных средств, с новой организацией информации.

На этапе рабочего проектирования доводятся и детализируются решения технического проекта. РАБОЧИЙ ПРОЕКТ имеет ту же структуру, что и технический, но с более глубокой проработкой и проверкой. На этом этапе выполняется сбор и предварительная подготовка нормативно-справочных материалов, разработка должностных, технологических инструкций для работы в условиях новой информационной технологии.

На этапе ВНЕДРЕНИЯ ПРОЕКТА выполняется проверка проектных решений и их доводка, при необходимости дорабатывается технология работы с банком данных, пользователями, выполняется перераспределение обязанностей, устанавливаются категории и иерархия доступа пользователей к данным.

Современные СУБД предоставляют возможность пользователям быстро и удобно создавать несложные базы данных.

Технология создания баз данных с помощью типовых инструментальных средств, рассчитанных на массового пользователя-непрограммиста, предоставляется СУБД Microsoft Access.

11. Понятие базы знаний, ее роль в организации экспертных систем экономической деятельности

В развитии информационного обеспечения автоматизированных информационных технологий управления экономической деятельностью наибольший интерес представляют применения в области искусственного интеллекта. Одной из форм реализации достижений в этой области является создание экспертных систем - специальных компьютерных систем, базирующихся на системном аккумулировании, обобщении, анализе и оценке знаний высококвалифицированных специалистов - экспертов. В экспертной системе используется база знаний, в которой представляются знания о конкретной предметной области.

БАЗА ЗНАНИЙ - это совокупность моделей, правил и факторов (данных), порождающих анализ и выводы для нахождения решений сложных задач в некоторой предметной области.

Выделенные и организованные в виде отдельных, целостных структур информационного обеспечения знания о предметной области становятся явными и отделяются от других типов знаний, например общих знаний. Базы знаний позволяют выполнять рассуждения не только и не столько на основе формальной (математической) логики, но и на основе опыта, фактов, эвристик, т.е. они приближены к человеческой логике.

База знаний является основой экспертной системы, она накапливается в процессе построения. Знания выражаются в явном виде, позволяющем сделать явным способ мышления и решения задач, и организованы так, чтобы упростить принятие решений. База знаний, обусловливающая компетентность экспертной системы, воплощает в себе знания специалистов учреждения, отдела, опыт группы специалистов и представляет собой институциональные знания.

Знания и правила работы можно рассматривать в различных аспектах:

- глубинные и поверхностные;

- качественные и количественные;

- приближенные (неопределенные) и точные (определенные);

- конкретные и общие;

- описательные и предписывающие.

ЭКСПЕРТ - это специалист, умеющий находить эффективные решения в конкретной предметной области.

БЛОК ПРИОБРЕТЕНИЯ ЗНАНИЙ отражает накопление базы знаний, этап модификаций знаний и данных. База знаний отражает возможность использования высококачественного опыта на уровне мышления квалифицированных специалистов, что делает экспертную систему рентабельной в соответствии с нуждами бизнеса и заказчика.

БЛОК ЛОГИЧЕСКИХ ВЫВОДОВ, осуществляя сопоставление правил с фактами, порождает цепочки выводов. При работе с ненадежными данными формируются нечеткая логика, слабые коэффициенты уверенности, низкая степень меры доверия и т.д.

БЛОК ОБЪЯСНЕНИЙ отражает в технологии использования базы знаний пользователем последовательность шагов, которые привели к тому или иному выводу с возможностью ответа на вопрос «почему «.

К настоящему времени распространение баз знаний в значительной степени определяется темпом накопления профессиональных знаний.

Структуризация или формализация знаний основана на различных способах ПРЕДСТАВЛЕНИЯ ЗНАНИЙ. В современных системах самый популярный способ использует факты и правила. Они обеспечивают естественный способ описания процессов в некоторой предметной области.

Развитие концепции баз знаний связано с исследованиями и достижениями в области систем искусственного интеллекта. Области применения баз знаний и систем на их основе расширяются. Создается целый спектр баз знаний - от небольших по объему для портативных систем до мощных, предназначенных для профессионалов, эксплуатирующих сложные и дорогие АРМ. Очень большие базы знаний хранятся в централизованных хранилищах, доступ к которым осуществляется через сети пользователями различных систем, уровней, масштабов и т.д. Успехи в разработке баз знаний сделают их доступными для массового пользователя, что будет способствовать их появлению как актуального коммерческого продукта_____27. Технологическое обеспечение ИС, ИТ, АРМ, его цели и задачи

Широко масштабное сращение вычислительной техникой всех отраслей человеческой деятельности остро ставит вопрос о технологическом обеспечении информационных систем и технологий.

Технологическое обеспечение реализует информационные процессы в автоматизированных системах организационного управления с помощью ЭВМ и других технических средств.

Разработка технологического обеспечения требует учета особенности структуры экономических систем. Прежде всего - это сложность организационного взаимодействия, которое вызывает необходимость создания многоуровневых иерархических систем (головная фирма, филиалы) со сложными информационными связи прямого и обратного направления. В основу новой информационной технологии закладывается широкое применение компьютеров и формирования на их базе вычислительных сетей с взаимосвязанными, специализированными АРМ.

Обязательным условием функционирования АРМ является техническое обеспечение. Это обоснованно выбранный комплекс технических средств для их оснащения.

Средства обработки информации - вычислительные машины разных мощностей и типов - составляют основу технического обеспечения вычислительных сетей. Характерной особенностью практического использования технических средств в организационно-экономическом управлении в настоящее время является переход к децентрализованной и сетевой обработки на базе ПЭВМ.

Информационное наполнение АРМ при определении круга пользователей и выяснении сущности решаемых ими задач осуществляет информационное обеспечение АРМ. В сфере организационного управления пользователи могут быть условно разделены на три категории: руководители, персонал руководителей и обслуживающий персонал. Разрабатываемые АРМ для разных категорий пользователей отличаются видами представления данных.

Руководителям требуются как внутренние, так и внешние данных для реализации цели управления или принятие решения.

12. Основные виды технического обеспечеения АРМ экономиста, его состав

Применение АРМ не должно нарушать привычной пользователю ритм работы. АРМ концентрируют внимание пользователя на логической структуре решаемых задач, а не на характеристике реализующей их программной системы. Однако если заданное системе действие не производится, пользователь должен знать причину, и информация об этом должна выдаваться на экран.

Эти соображения лежат в основе разработки информационного обеспечения конкретного АРМ при организации внутримашинной информационной базы (выбора необходимого состава показателей, способа их организации и методов группировки и выборки необходимых данных).

Если АРМ является элементом распределенной системы обработки информации, например сети, существуют дополнительный требования к организации информационной базы.

- Структура базы данных должна позволять легко расчленять ее на составные фрагменты, размещаемые на отдельных АРМ, обеспечивать защиту от несанкционированного доступа к данным.

- Структура базы должна обеспечивать единовременный процесс корректировки нескольких одинаковых баз, хранящихся на разных АРМ.

- База должна быть минимальна избыточна и одновременна удобна для архивирования данных.

Математическое обеспечение АРМ представляет собой совокупность алгоритмов, обеспечивающих формирование результатной информации. Математическое обеспечение служит основой для разработки комплекса прикладных программ.

В составе программного обеспечения (ПО) АРМ можно выделить два основных вида обеспечения, различающихся по функциям: общее(системное) и специальное (прикладное). К общему программному обеспечению относится комплекс программ, обеспечивающий автоматизации разработки программ и организацию экономичного вычислительного процесса на ПЭВМ без относительно к решаемым задачам. Специальное программное обеспечение представляют собой совокупность программ, решения конкретных задач пользователя.

Лингвистическое обеспечение АРМ включает языки общения с пользователем, языки запросов, информацинно-поисковые языки, языки - посредники в сетях. Языковые средства АРМ обеспечивают однозначное смысловое соответствие действий пользователя и аппаратной части в виде ПЭВМ.

Организационное обеспечение АРМ включает комплекс документов, регламентирующих деятельность специалистов при использовании компьютера или терминала другого вида на рабочем месте и определяющих функции и задачи каждого специалиста.

Методическое обеспечение АРМ состоит из методических указаний, рекомендаций и положений по внедрению, эксплуатации и оценки эффективности их функционирования. Оно включает в себя также организованную машинным способом справочную информацию об АРМ, в целом и отдельных его функций, средства обучения работе на АРМ, демонстрационные примеры.

Эргономическое обеспечение АРМ представляет собой комплекс мероприятий. Обеспечивающих максимально комфортные условия использования АРМ специалиста. Этот предполагает выбор специальной мебели для размещения техники АРМ, организацию картотек для хранения документации и магнитных о носителей.

Одна их важнейших функций эргономического обеспечения АРМ уменьшение отрицательных воздействий на человека со стороны ПЭВМ.

Правовое обеспечение АРМ - это система негативно правовых документов, определяющих права и обязанности специалистов в условиях функционирования АРМ. Эти документы строго увязаны с комплексом разработок, регламентирующих порядок хранения и защиты информации, правила ревизии данных обеспечение юридической подлинности совершаемых на АРМ операций и т.д.

С учетом современной функциональной структуры территориальных органов управления совокупность программно-техзнических средств должна образовывать по меньшей мере трех уровневую глобальную систему обработки данных с развитым набором перифирийных средств каждого уровня.

Первый уровень - центральная вычислительная систематерриториального или корпоративного органа, включающая одну или несколько мощных ЭВМ или мэйнфреймов. Ее главная функция - общий, экономический и финансовый контроль, информационное обслуживание работников управления.

Второй уровень - вычислительный системы предприятий, организаций и фирм, которые мэйнфреймы, мощные ПЭВМ, обеспечивают обработку данных и управления в рамках структурной единицы.

Третий уровень - локально распределенный вычислительный сети на базе ПЭВМ обслуживающие производственные участки нижнего уровня. Каждый участок оснащен собственной ПЭВМ, которая обеспечивает комплекс работ по первичному учету. Учету потребности и распределения ресурсов. В принципе это может быть АРМ, выполняющее функциональный вычислительный процедуры в рамках определенной предметной области.

В тоже время на каждом уровне иерархии управления имеют место три способа организации технических средств: централизованный, децентрализованный и иерархически распределенный. 1-ый способ предполагает выполнение всех работ по обработке данных, начиная со сбора и регистрации данных в одном центре обработке; 2-ой - предусматривает предварительную обработку информации, которая не требует создания очень крупных массивов данных. На перифирийном оборудование удаленного пользователя в низивоых звеньях экономического объекта; при 3-ем способе техника и технология обработки оптимально распределены по уровням управления системы.

13. Понятие СУБД, их виды, направление, применение в экономической работе

Для работы с файлами баз данных созданы специальные пакеты прикладных программ, называемые СИСТЕМОЙ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ (СУБД).Средствами СУБД любой пользователь может создать файлы БД, просматривать их, изменять, выполнять поиск, формировать отчеты произвольной формы. Кроме того, поскольку структура файлов БД записана на диске в его начале, можно открыть, просмотреть, выбрать данные и из чужого файла, созданного кем-то программно или средствами СУБД.

СУБД позволяют создавать файлы БД на диске (то есть записать их структуру), вводить данные, просматривать созданные файлы, редактировать их, обновляя записи, удаляя ненужные, добавляя новые. Созданные файлы БД можно упорядочивать по назначению определенного ключевого реквизита или нескольких реквизитов, выполнять поиск информации в базе, формировать отчеты заданной формы по ее данным. Кроме того, очень важной является функция изменения структуры уже созданного файла базы данных.

Функция изменения структуры базы данных разрешает эту проблему автоматически, перезаписывая файл на новое место на диске с измененной структурой. При этом файлу с измененной структурой присваивается тоже имя, а старая копия файла сохраняется на диске с тем же именем, но с расширением. Расширение - это дополнительная страховка, выполняемая СУБД, которая предохраняет пользователя от потери данных при выполнении операции перезаписи и служит одной из мер защиты данных в БД. Кроме этой меры предусмотрен еще ряд возможностей, предохраняющих пользователя от случайной потери данных: предупреждения перед необратимыми операциями типа очистки файла от данных, перезаписи файлов и так далее. Средства СУБД также позволяют организовать систему паролей для защиты от несанкционированного доступа к данным базы.

Наиболее известной среди СУБД является система dBASE, кроме нее существуют FoxBase, FoxPro, Paradox, SQL, R:base, Clipper, Oracle и др.

СУБД предполагает работу пользователя с базой данных в разных режимах:

- режим «ассистента «с использованием разветвленного меню; наиболее простой способ работы, не требующий специальной подготовки пользователя, кроме общих представлений о работе с базами данных;

- командный режим, предполагающий диалог пользователя и системы на языке команд СУБД, требует от пользователя знания этого языка;

- программный режим, использующий язык СУБД и позволяющий создать пользовательские программы различной степени сложности, удобно оформленные, выполняющие все функции, необходимые для решения задачи. Большинство современных комплексов программ, решающих экономические задачи, написаны на языках СУБД. Эти языки позволяют создать программы, имеющие удобный «дружественный «пользовательский интерфейс (взаимодействие пользователя с компьютерной системой).

Удобство и комфортность работы пользователя с СУБД во многом определяют с пользовательским интерфейсом. ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС - это средство и часть СУБД, ориентированные на взаимодействие пользователя с компьютерной системой. Благодаря разветвленным иерархическим меню, всевозможным подсказкам и разнообразной помощи, пользователю легко ориентироваться в выборе действий адекватных возникающей в процессе работы ситуации. Очень важна в интерфейсе минимизация действий пользователя, необходимых для подключения часто требуемых функций. Для этой цели применяются ФУНКЦИОНАЛЬНЫЕ КЛАВИШИ. Их нажатие вызывает исполнение программных модулей, которые реализуют требуемую функцию.

Пользовательский интерфейс может быть МНОГОУРОВНЕВЫМ, рассчитанным на более широкий круг разнообразных пользователей.

Главная функция любой СУБД - координация совместной работы множества пользователей с разделяемой информацией.

При переходе от персональных к

многопользовательским СУБД пользователи сталкиваются с необходимостью четкого понимания механизма транзакций. Под ТРАНЗАКЦИЕЙ понимается неделимая в отношении воздействия на базу данных последовательность операций манипулирования данными (чтения, удаления, вставки, модифицирования).

ПРОФЕССИОНАЛЬНЫЕ СУБД обеспечивают выполнение более сложных операций. Они позволяют разработчику расширять сервисные возможности - процедуры базы данных, которые вызываются клиентом и выполняются сервером более производительно, чем компьютеры на рабочих местах пользователей. К профессиональным СУБД относятся Oracle, SyBase, Informix, Ingres, Progress.

Новейшей технологией управления распределенными базами данных является ТИРАЖИРОВАНИЕ. Профессиональные СУБД поддерживают те или иные механизмы тиражирования.

Тиражирование представляет собой асинхронный перенос изменений объектов исходной базы данных в базы данных, принадлежащие различным узлам распределенной системы. При внесении изменений одновременный доступ ко всем узлам, затрагиваемым этими изменениями, не требуется. Данные изменяются на одном узле, а затем переносятся на остальные. 20. Понятие угрозы информации, виды угроз, необходимость защиты экономической информации в компьютерных системах.

Под УГРОЗОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИИ понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям АИТ и, в свою очередь, подразделяются на активные и пассивные.

ПАССИВНЫЕ УГРОЗЫ, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах, посредством их прослушивания.

АКТИВНЫЕ УГРОЗЫ имеют целью нарушение нормального процесса функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных или в системной информации в компьютерных технологиях и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

К основным угрозам безопасности информации относят:

* раскрытие конфиденциальной информации;

* компрометация информации;

* несанкционированное использование информационных ресурсов;

* ошибочное использование информационных ресурсов;

* несанкционированный обмен информацией;

* отказ от информации;

* отказ в обслуживании.

Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п.

Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений.

Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой - имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам и администрации. Это ущерб может варьироваться в весьма широких пределах - от сокращения поступления финансовых средств до полного выхода Аит из строя.

Ошибочное использование информационных ресурсов будучи санкционированным тем не менее может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющих в программном-обеспечении АИТ.

Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания банковской информации.

Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки. В условиях банковской деятельности это, в частности, позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них и нанося тем самым второй стороне значительный ущерб.

Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама АИТ. Подобный

отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов опасен в ситуациях, когда задержка с предоставлением ресурсов абоненту может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода времени, когда это решение еще возможно эффективно реализовать, может стать причиной его нерациональных или даже антимонопольных действий.

Особую опасность в настоящее время представляет проблема компьютерных вирусов, так как с учетом большого числа разновидностей вирусов надежной защиты против них разработать не удается. Все остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности._____

14. Методы и средства защиты экономической информации, их назначение

При разработке АИТ возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем.

Современные АИТ обладают следующими основными признаками:

- наличием информации различной степени конфиденциальности;

- необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных;

- иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и информации системы, необходимостью оперативного изменения этих полномочий;

- организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;

- обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

- необходимостью регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;

- обязательным обеспечением целостности программного обеспечения и информации в АИТ;

- наличием средств восстановления системы защиты информации;

- обязательным учетом магнитных носителей;

- наличием физической охраны средств вычислительной техники и магнитных носителей.

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ.

Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии:

- устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТ, оценивается уровень конфиденциальности и объемы;

- определяются режимы обработки информации (диалоговой, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;

- анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

- определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;

- определяются мероприятия по обеспечению режима секретности на стадии разработки.

Среди организационных мероприятий по обеспечению безопасности информации важное место занимает ОХРАНА ОБЪЕКТА, на котором расположена защищаемая АИТ.

Создание базовой системы защиты информации в АИТ основывается на следующих принципах:

КОМПЛЕКСНЫЙ ПОДХОД к построению системы защиты при ведущей роли организационных мероприятий, означающий оптимальное сочетание программных аппаратных средств и организационных мер защиты и подтвержденный практикой создания отечественных и зарубежных систем защиты.

РАЗДЕЛЕНИЕ И МИНИМИЗАЦИЯ ПОЛНОМОЧИЙ по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной

информации.

ПОЛНОТА КОНТРОЛЯ И РЕГИСТРАЦИЯ ПОПЫТОК несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без ее предварительной регистрации._____

ОБЕСПЕЧЕНИЕ НАДЕЖНОСТИ СИСТЕМЫ ЗАЩИТЫ, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

ОБЕСПЕЧЕНИЕ КОНТРОЛЯ ЗА ФУНКЦИОНИРОВАНИЕМ СИСТЕМЫ ЗАЩИТЫ, т.е. создание средств и методов контроля работоспособности механизмов защиты.

«ПРОЗРАЧНОСТЬ «СИСТЕМЫ ЗАЩИТЫ информации для общего, прикладного программного обеспечения и пользователей АИТ.

ЭКОНОМИЧЕСКАЯ ЦЕЛЕСООБРАЗНОСТЬ использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации.

Проблема создания системы защиты информации включает в себя две взаимно дополняющие задачи.

- Разработка системы защиты информации (ее синтез).

- Оценка разработанной системы защиты информации.

Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система зашиты информации комплексу требований к таким системам.

Рассмотрим основное содержание представленных средств и методов защиты информации, которые составляют основу механизмов защиты.

ПРЕПЯТСТВИЕ - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

УПРАВЛЕНИЕ ДОСТУПОМ - метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы банковской деятельности (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

- идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

- опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

- проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

- разрешение и создание условий работы в пределах установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

МАСКИРОВКА - метод защиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

РЕГЛАМЕНТАЦИЯ - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

ПРИНУЖДЕНИЕ - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

ПОБУЖДЕНИЕ - такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписанных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические.

К основным средствам защиты, используемым для создания механизма защиты, относятся следующие:

* ТЕХНИЧЕСКИЕ СРЕДСТВА реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

* ФИЗИЧЕСКИЕ СРЕДСТВА реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно - механическое оборудование охранной сигнализации.

* ПРОГРАММНЫЕ СРЕДСТВА представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации.

* ОРГАНИЗАЦИОННЫЕ СРЕДСТВА защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).

* МОРАЛЬНО-ЭТИЧЕСКИЕ СРЕДСТВА защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.

* ЗАКОНОДАТЕЛЬНЫЕ СРЕДСТВА защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Для реализации мер безопасности используются различные механизмы шифрования (криптографии).

Наряду с шифрованием используются и другие механизмы безопасности:

- цифровая (электронная) подпись;

- контроль доступа;

- обеспечение целостности данных;

- обеспечение аутентификации;

- постановка графика;

- управление маршрутизацией;

- арбитраж или освидетельствование._____

15. Основные виды защиты экономической информации, роль криптографичесских и других способов защиты

В практической деятельности коммерческих банков применение мер и средств защиты информации включает следующие самостоятельные направления:

- защита информации от несанкционированного доступа;

- защита информации в системах связи;

- защита юридической значимости электронных документов;

- защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучений и наводок;

- защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ;

- защита от несанкционированного копирования и распространения программ и ценной компьютерной информации.

Для каждого направления определяются основные цели и задачи.

Под НЕСАНКЦИОНИРОВАННЫМ ДОСТУПОМ понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничения, являющейся составной частью системы защиты информации.

Одним из эффективных методов увеличения безопасности АИТ является РЕГИСТРАЦИЯ. Система регистрации и учета, ответственная за ведение регистрационного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам. Содержание регистрационного журнала может анализироваться как периодически, так и непрерывно.

ЗАЩИТА ИНФОРМАЦИИ В СИСТЕМАХ СВЯЗИ направлена на предотвращение возможности несанкционированного доступа к конфиденциальной и ценной информации, циркулирующей по каналам связи различных видов. В своей основе данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтролируемых каналах связи является применение криптографии и специальных связных протоколов.

ЗАЩИТА ЮРИДИЧЕСКОЙ ЗНАЧИМОСТИ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы, платежные поручения, контракты и другие распорядительные, договорные, финансовые документы. Их общая особенность заключается в том, что в случае возникновения споров (в том числе и судебных) должна быть обеспечена возможность доказательства истинности факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением так называемых «цифровых подписей «. На практике вопросы защиты значимости электронных документов решаются совместно с вопросами защиты компьютерных информационных систем.

ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в ПЭВМ от несанкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информативных электромагнитных сигналов за пределы охраняемой территории.

ЗАЩИТА ИНФОРМАЦИИ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ и других опасных воздействий по каналам распространения программ приобрела за последнее время особую актуальность. Масштабы реальных проявлений вирусных эпидемий оцениваются сотнями тысяч случаев заражения персональных компьютеров.

В методах защиты от вирусов существуют два направления:

1. Применение «иммуностоуких» программных средств. Защищенных от возможности несанкционированной модификации (разграничение доступа, методы самоконтроля и самовосстановления).

2. Применение специальных программ-аналихаторов, осуществляющих постоянный контроль возникновения отклонений в деятельности прикладных программ, периодическую проверку наличия других возможных следов вирусной активности, а также входной контроль новых программ перед их использованием.

Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты имущественных прав, ориентированных на проблему охраны интеллектуальной собственности, воплощенной в виде программ ПЭВМ и ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке, которая приводит исполняемый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» машинах. Для повышения защищенности применяются дополнительные аппаратные блоки (ключи), подключаемые к разъему принтера или к системной шине ПЭВМ, а также шифрование файлов, содержащих исполняемый код программы.

Контроль целостности программного обеспечения проводится следующими способами:

- Контроль целостности программного обеспечения с помощью внешних средств (программ контроля целостности);

- Контроль целостности программного обеспечения с помощью внутренних средств

Контроль целостности программ внешними средства выполняется при старте системы и состоит в сравнении контрольных сумм отдельных производить также при каждом запуске программы на выполнение.

Контроль целостности программ внутренними средствами выполняется при каждом запуске программы на выполнение и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами. Такой контроль используется в программах для внутреннего пользования.

Защита информации может обеспечиваться разными методами, но наибольшей надежностью и эффективностью обладают системы и средства, построенные на базе криптографических методов. В случае использования некриптографических методов большую сложность составляет доказательство достаточности реализованных мер и обоснование надежности системы защиты от несанкционированного доступа.

Определяющим фактором при выборе и использовании средств защиты является надежность защиты.

16. Структура ИС и ИТ финансово-кредитной, бухгалтерской деятельности, состав и характеристика их элементов, функциональный и обеспечивающие подсистемы. Роль и специфика организации АРМ

Традиционно включаются функции управления подготовкой производства, планирования, матерально-технического снабжения и сбыта; ведения бухгалтерского учета и осуществления бухгалтерской деятельности, реализации и сбыта готовой продукции, а также решение кадровых вопросов. В теории компьютерной обработке они называются функциональными подсистемами. Значительную роль в процессе управления играет бухгалтерский учет, гду сосредоточено около 60% всей информации.

Каждая функциональная подсистема имеет свой состав комплексов задач и информации, предназначенный для реализации определенных функций управления, например, в функциональной подсистеме материально-технического снабжения можно выделить комплексы задач по расчету потребности в материалах, выполнения договоров с поставщика, определения норм запасов и др.

В основе информационной подсистемы бухгалтерского учета принято считать учетные задачи, объединенные в комплексы, выполняемые отдельными участками учета. Комплекс задач характеризуется определенным экономическим содержанием, ведение утвержденных синтетических счетов, первичными и сводными документами, взаимосвязанными алгоритмами расчетов, а также методическими материалами и нормативными документами конкретного участка учета.

Информационная подсистема бухгалтерского учета традиционно включает следующие комплексы задач: учет основных средств. Учет материальных ценностей. Учет труда и з/п, учет готовой продукции, учет финансово-расчетных операций, учет затрат на производство, сводный учет и составление отчетности. Ориентация выделения комплексов задач как содержащих информацию о качественно однородных ресурсах предприятия сложилась традиционно при ручном ведении учета, а затем нашла применение при централизованной обработке учетной информации в вычислительном центре.

Организация АРМ на базе ПК, создание локальных вычислительных сетей предприятия, выдвигает новые требования в организации информационной базы и формированию комплексов экономических задач, появляются возможности создания системы, распределенных баз данных, обмена информацией между различными пользователями, автоматического формирования первичных документов в компьютере. В этих условиях начинает стираться четкая грань между комплексами различных функциональных подсистем, что в первую очередь сказывается на информационной базе бухгалтерского учета.

Возникают межфункциональные комплексы задач управления. Новые версии программных продуктов по бухгалтерскому учету объединяют информацию комплексов различных участков учета. Так, например, в типовых проектах учета труда и з/п одновременно предусмотрена выписка платежных документов по платежам в фонды (платежные поручения по оплате НДФЛ, отчисления в ПФ, МС, начисление фонд занятости). Выполнение такой машинной программы объединяет два комплекса учетных задач - учет труда и з/п и финансово-расчетные операции. Аналогичные примеры можно привести и в комплексах задач по учету материальных ценностей, учету готовой продукции и др.

Комплексы бухгалтерских задач имеют сложные внутренние и внешние информационный связи. Внутренние связи отражают информационные взаимодействия отдельных задач, комплексов и участков бухгалтерского учета, внешние связи - взаимодействие с другими подразделениями, реализующими иные функции управления, а также с внешними организациями. Взаимная увязка комплексов учетных задач заложена в самой методологии бухгалтерского учета в системе ведения счетов и выполнения проводок, где каждая хозяйственная операция отражается дважды: в кредите одного счета и дебете другого. Информационные связи комплекса

учетных задач позволяют выделить три фазы обработке, заложенные в основу машинные программ.

На первой фазе производится первичный учет, составление первичных бухгалтерских документов, их обработка и составление ведомостей аналитического учета по каждому участку учета (например, по учету з/п, составляется расчетно0платежная документация, своды начисленной и удержанной з/п и др.). Все операции преобразования выполняются на основании пакета прикладных программ конкретного участка учета или встроенным модулем в единую программу бухгалтерскому учета.

Второй фазой обработки является составление проводок и их размещение в различных регистры аналитического и синтетического учета, журналы - ордера по номерам счетов. Компьютерная обработка позволяет полностью автоматизировать этот процесс, формируя проводки по окончании решения каждого участка учета.

Третья фаза обработки состоит в составление сводного синтетического учета: отчетно-сальдовых ведомостей по счетам главной книги, баланса и форм финансовой отчетности, что обеспечивается головным модулем машинной программы «Проводка-Главная книга-Баланс».

Особенности информационного большим объемом разнообразных первичных документов, возникающих в различных подразделениях как вне, так и внутри бухгалтерии, а также широким использованием нормативно-справочной документации.

Все хозяйственные операции регистрируются в первичном бухгалтерском документе - полном и достоверном письменном свидетельстве о совершении хозяйственной операции. Документы имеют юридическую силу. Общее методическое руководство по их формированию и применению осуществляется Министерством финансов РФ и Госкомстатом РФ, которые издают положения о документах, разрабатывают типовые формы первичных документов, устанавливают порядок заполнения и применения документов, устанавливают порядок их заполнения и применения, издают инструктивные и методические материалы.

Типовые бухгалтерские документы делятся на межотраслевые и отраслевые. Межотраслевые являются едиными для применения во всех предприятиях и организациях. К ним относятся документы, документы для расчета с подотчетными лицами. Разработаны рекомендации по ведению бухгалтерского учета и применению единых учетных регистров на малых предприятиях.

Отраслевые формы носят рекомендательных характер. На их основе каждая отрасль может разрабатывать свои формы документов с учетом специфики учета в данной отрасли. Отраслевые формы документов применяются на участках учета труда и з/п, учета материалов, учета готовой продукции.

Информационное обеспечение бухгалтерских задач включает также совокупность данных, расположенных на машинных носителях. 29. Особенности информационного обеспечения ИС в финансово-кредитной и бухгалтерской деятельности

Информационное обеспечение, его организация определяются составом объектов отражаемой предметной области, задач, данных и совокупность информационных потребностей всех пользователей автоматизированной банковской системы.

Информационное обеспечение, внемашинное и внутримашинное, включает полный набор показателей, документов, классификаторов, файлов, баз данных, баз знаний, методов их использования, хранения, преобразования, передачи информации, принятые в конкретной системе дл я удовлетворения любых информационных потребностей всех категорий пользователей в нужной форме и в требуемое время. Ведущим направлением организации внутримашинного информационного обеспечения является технология баз и банков данных. К организации информационного обеспечения банковской деятельности предъявляется ряд требований. Наиболее важными из них являются: обеспечение для многих пользователей работы с данными в реальном времени; предоставление для обмена информацией возможности экспорта / импорта данных в разных форматах; безопасность хранения и передачи банковской информации; сохранение целостности информации при отказе аппаратуры.

17. Техническое и программное обеспечение в финансово-кредитной и бухгалтерской деятельности

Основой современного подхода технических решений в построении информационных технологий банков является архитектура «клиент-сервер». Она предполагает организацию технического обеспечения и разделения обработки информации между двумя компонентами, которые называются клиентом и сервером. Обе части выполняются на разных по мощности компьютерах, объединенных сетью. При разных по мощности компьютерах, объединенных сетью. При этом клиент посылает серверу запросы, а сервер их обслуживает. Такая технология реализуется в профессиональных СУБД, имеющих специальных язык структурированных запросов.

Одним из вариантов реализации технологии «клиент-сервер» является ее трехуровневая архитектура. В сети должны присутствовать как минимум три компьютера: клиентская часть, сервер приложений и сервер базы данных. В клиентской части организуется взаимодействие с пользователем. Сервер приложений реализует бинес-процедуры для клиентской части. Сервер базы данных обслуживает бизнес-процедуры, которые выступают в роли клиентов. Гибкость такой архитектуры в независимом использовании и замене вычислительных и программных ресурсов на всех трех уровнях.

Для повышения надежности, отказоустойчивости технических решений в банковских АИТ практикуется объединение сервер в группы. При этом ресурсы и нагрузка разделяются между серверами так, что пользователь не знает, с каким конкретным сервером он работает данный момент, а использование технических средств оказывается более эффективными.