Уровни и меры защиты информации в АИС
Препятствие, управление доступом, маскировка и регламентация как меры защиты информации в автоматизированных информационных системах. Особенности криптографического метода защиты информации. Изучение системы управления электронным документооборотом.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | контрольная работа |
Язык | русский |
Дата добавления | 20.05.2019 |
Размер файла | 38,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
2
Размещено на http://www.allbest.ru/
1
МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
«ВОЛГОГРАДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»
ФАКУЛЬТЕТ ЭКОНОМИКИ И УПРАВЛЕНИЯ
Кафедра «Менеджмента и финансов производственных систем и технологического предпринимательства»
Контрольная работа
По дисциплине «Информационные системы управления предприятием»
«Уровни и меры защиты информации в АИС»
Вариант № 9
Выполнил:
Студент группы МЗК-585
Яковенко И.Д.
Проверил:
к.э.н., доцент Цыганкова В.Н.
Волгоград,2018
Содержание
Введение
1 Уровни и меры защиты информации АИС
1.1 Уровни защиты информации АИС
1.2 Меры защиты информации АИС
2. Криптографические методы защиты информации
3. Системы электронного документооборота
3.1 Документооборот в мире безбумажных технологий
3.2 Системы управления электронным документооборотом
Заключение
Список литературы
электронный документооборот криптография защита информация
Введение
Одной из оборотных сторон компьютерных информационных технологий является обострение проблемы защиты информации. Данные в компьютерной форме сосредоточивают в физически локальном и небольшом объеме огромные массивы информации, несанкционированный доступ к которой или ее разрушение могут приводить порой к катастрофическим последствиям и ущербу. Возможность быстрого, во многих случаях практически мгновенного, и без следов копирования огромных массивов данных, находящихся в компьютерной форме, в том числе и удаленно расположенных, дополнительно провоцирует злоумышленников на несанкционированный доступ к информации, ее несанкционированную модификацию или разрушение.
Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны.
Криптография занимается поиском и исследованием математических методов преобразования информации.
Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.
Криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа.
Трудно представить нашу жизнь без документов: гражданина- без паспорта, водителя - без водительских прав, туриста - без туристической визы, студента - без студенческого билета и зачетной книжки и т.д. Особенно это затрагивает практически все сферы экономики: торговлю, управление, банковскую деятельность. Ни одна фирма, компания, корпорация не может обойтись без документа и, следовательно, без документооборота. Оборот документов является обязательной частью деятельности любой из выше перечисленных сфер экономики и организаций.
С развитием информационных технологий для документооборота открылись огромные возможности. С появлением и развитием глобальной сети Интернет и его важным атрибутом - электронной почтой, проблема расстояния перестала быть проблемой. По электронной почте электронный документ приходит к получателю в считанные минуты. Но, с устранением одной проблемы, появилась другая - защита информации, которую содержит электронный документ. Безопасность информации особенно важна в наше время, поэтому настоящая работа содержит некоторые возможности ее обеспечения.
1 Уровни и меры защиты информации АИС
1.1 Уровни защиты информации АИС
Методами обеспечения защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение.
Препятствие -- метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).[1]
Управление доступом-- метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации (фирмы). Управление доступом включает следующие функции защиты:
идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);
аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
разрешение и создание условий работы в пределах установленного регламента;
регистрацию (протоколирование) обращений к защищаемым ресурсам;
реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.[2]
Указанные выше методы обеспечения информационной безопасности организации (фирмы) реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, аппаратные, программные, аппаратно-программные, криптографические, организационные, законодательные и морально-этические.
Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.
Наряду с традиционными механическими системами при доминирующем участии человека разрабатываются и внедряются универсальные * автоматизированные электронные системы физической защиты, предназначенные для охраны территорий, охраны помещений, организации пропускного режима, организации наблюдения; системы пожарной сигнализации; системы предотвращения хищения носителей.
Элементную базу таких систем составляют различные датчики, сигналы от которых обрабатываются микропроцессорами, электронные интеллектуальные ключи, устройства определения биометрических характеристик человека и т. д.
Для организации охраны оборудования, входящего в состав автоматизированной информационной системы предприятия, и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) используются:
различные замки (механические, с кодовымнабором, с управлением от микропроцессора, радиоуправляемые), которые устанавливают на входные двери, ставни, сейфы, шкафы, устройства и блоки системы;
микровыключатели, фиксирующие открывание или закрывание дверей и окон;
инерционные датчики, для подключения которых можно использовать осветительную сеть, телефонные провода и проводку телевизионных антенн;
специальные наклейки из фольги, которые наклеиваются на все документы, приборы, узлы и блоки системы для предотвращения их выноса из помещения. При любой попытке вынести за пределы помещения предмет с наклейкой специальная установка (аналог детектора металлических объектов), размещенная около выхода, подает сигнал тревоги;
специальные сейфы и металлические шкафы для установки в них отдельных элементов автоматизированной информационной системы (файл-сервер, принтер и т. п.) и перемещаемых носителей информации.
Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия. При этом:
экранирование рабочих помещений, где установлены компоненты автоматизированной информационной системы, осуществляется путем покрытия стен, пола и потолка металлизированными обоями, токопроводящей эмалью и штукатуркой, проволочными сетками или фольгой, установкой загородок из токопроводящего кирпича, многослойных стальных, алюминиевых или из специальной пластмассы листов;
для защиты окон применяют металлизированные шторы и стекла с токопроводящим слоем;
все отверстия закрывают металлической сеткой, соединяемой с шиной заземления или настенной экранировкой;
на вентиляционных каналах монтируют предельные магнитные ловушки, препятствующие распространению радиоволн.
Для защиты от наводок на электрические цепи узлов и блоков автоматизированной информационной системы используют:
экранированный кабель для внутристоечного, внутриблочного, межблочного и наружного монтажа;
экранированные эластичные соединители (разъемы), сетевые фильтры подавления электромагнитных излучений;
провода, наконечники, дроссели, конденсаторы и другие помехоподавляющие радио- и электроизделия;
на водопроводных, отопительных, газовых и других металлических трубах помещают разделительные диэлектрические вставки, которые осуществляют разрыв электромагнитной цепи.[3]
Для контроля электропитания используются электронные отслеживатели -- устройства, которые устанавливаются в местах ввода сети переменного напряжения. Если шнур питания перерезан, оборван или перегорел, кодированное послание включает сигнал тревоги или активирует телевизионную камеру для последующей записи событий.[4]
Для обнаружения внедренных «жучков» наиболее эффективным считается рентгеновское обследование. Однако реализация этого метода связана с большими организационными и техническими трудностями.
Применение специальных генераторов шумов для защиты от хищения информации с компьютеров путем съема ее излучений с экранов дисплеев оказывает неблагоприятное воздействие на организм человека, что приводит к быстрому облысению, снижению аппетита, головным болям, тошноте. Именно поэтому они достаточно редко применяются на практике.
Аппаратные средства защиты -- это различные электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками.[5]
Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т. д.
Основные функции аппаратных средств защиты:
запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей автоматизированной информационной системе;
запрещение несанкционированного внутреннего доступа к отдельным файлам или базам данных информационной системы, возможного в результате случайных или умышленных действий обслуживающего персонала;
защита активных и пассивных (архивных) файлов и баз данных, связанная с необслуживанием или отключением автоматизированной информационной системы;
защита целостности программного обеспечения.
Эти задачи реализуются аппаратными средствами защиты информации с использованием метода управления доступом (идентификация, аутентификация и проверка полномочий субъектов системы, регистрация и реагирование).
Для работы с особо ценной информацией организации (фирмы) производители компьютеров могут изготавливать индивидуальные диски с уникальными физическими характеристиками, не позволяющими считывать информацию. При этом стоимость компьютера может возрасти в несколько раз.
Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.
Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.
В настоящее время создано большое количество операционных систем, систем управления базами данных, сетевых пакетов и пакетов прикладных программ, включающих разнообразные средства защиты информации.
С помощью программных средств защиты решаются следующие задачи информационной безопасности:
контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.);
разграничение и контроль доступа субъектов к ресурсам и компонентам системы, внешним ресурсам;
изоляция программ процесса, выполняемого в интересах конкретного субъекта, от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде);
управление потоками конфиденциальной информации с целью предотвращения записи на носители данных несоответствующего уровня (грифа) секретности;
защита информации от компьютерных вирусов;
стирание остаточной конфиденциальной информации в разблокированных после выполнения запросов полях оперативной памяти компьютера;
стирание остаточной конфиденциальной информации на магнитных дисках, выдача протоколов о результатах стирания;
обеспечение целостности информации путем введения избыточности данных;
автоматический контроль над работой пользователей системы на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.
В настоящее время ряд операционных системизначально содержит встроенные средства блокировки «повторного использования». Для других типов операционных систем существует достаточно много коммерческих программ, не говоря уже о специальных пакетах безопасности, реализующих аналогичные функции.
Применение избыточных данных направлено на предотвращение появления в данных случайных ошибок и выявление неавторизованных модификаций. Это может быть применение контрольных сумм, контроль данных на чет-нечет, помехоустойчивое кодирование и т. д.
Часто практикуется хранение в некотором защищенном месте системы сигнатур важных объектов системы. Например, для файла в качестве сигнатуры может быть использовано сочетание байта защиты файла с его именем, длиной и датой последней модификации. При каждом обращении к файлу или в случае возникновения подозрений текущие характеристики файла сравниваются с эталоном.
Свойство ревизуемости системы контроля доступа означает возможность реконструкции событий или процедур. Средства обеспечения ревизуемости должны выяснить, что же фактически случилось. Здесь речь идет о документировании исполняемых процедур, ведении журналов регистрации, а также о применении четких и недвусмысленных методов идентификации и проверки.
Следует отметить, что задачу контроля доступа при одновременном обеспечении целостности ресурсов надежно решает только шифрование информации.
1.2 Меры защиты информации АИС
С созданием АИС расширяется число источников угроз нарушения информационной безопасности, источники угроз информационной безопасности бизнеса можно условно разделить на внешние и внутренние. К внешним источникам можно отнести:
- Деятельность конкурентов, использующих методы недобросовестной конкуренции: промышленный и экономический шпионаж, шантаж, дезинформацию, «чёрный» пиар;
-Действия хакеров и крекеров, стремящихся взломать систему защиты АИС организации с целью её дезорганизации;
-Агентурную деятельность иностранных спецслужб и систем электронного шпионажа, специализирующихся на промышленном и экономическом шпионаже [В качестве примера такой системы можно привести американскую систему Echelon, о степени, опасности которой можно судить по тем данным и фактам, которые широкообсуждались в руководящих кругах европейского общества, экономика которого понесла существенные потери в результате утечки по каналам системы Echelon информации о ряде крупных контрактов, «перехваченных» американскими подрядчиками у европейских];
- Недостаточный ассортимент сертифицированных средств защиты информации;
- Действия недобросовестных клиентов, стремящихся к получению незаконной выгоды;
- Деятельность недобросовестных клиентов, стремящихся ради собственной выгоды нанести ущерб организации;
К внутренним источникам относятся:
- Использование организацией технологий обработки информации, которые не обеспечивают требуемую защиту информации;
- Недостаточную надёжность систем защиты информации;
- Недобросовестность и низкую квалификацию персонала;
- Использование несертифицированных и закладок, аппаратных и программных средств;
- Недостаточную безопасность (техническую, пожарную и т.д.) зданий и помещений, в которых расположена АИС;
- Недостаточная надёжность систем энергоснабжения и жизнедеятельности;
- Использование «пиратских» копий программного обеспечения;
Чтобы представить весь круг и всю сложность задач по обеспечению информационной безопасности в таких условиях, приведём перечень объектов, нуждающихся в защите, и мер, которые могут быть приняты.[6]
Объектами обеспечения информационной безопасности являются:
- Здания, помещения и территории, на которых расположены средства АИС и где могут вестись переговоры и обмен конфидециальной информацией;
- Технические средства АИС - компьютерное оборудование, оборудование локальных сетей, кабельная система, телекоммуникационное оборудование;
- Программные средства АИС;
- информация, хранимая и обрабатываемая в АИС, и передаваемая по каналам связи;
- автономные носители информации (CD-диски, дискеты и т.д.);
- сотрудники организации, работающие с АИС и являющиеся носителями конфиденциальной информации и информации по защите АИС.[7]
Все меры защиты можно разделить на четыре категории:
1. Защита территорий и помещений, где расположена АИС (20%);
2. Защита от технических средств шпионажа(12%);
3. Защита АИС и хранилищ с носителями информации (28%);
4. Меры по работе с персоналом (40%).
Меры защиты территории и помещений включают следующие технические системы:
- Пожарной безопасности;
- Охранной сигнализации;
- Охранного телевидения и видеонаблюдения;
- Управление допуском, включая системы опознавания личности и другие системы, позволяющие автоматизировать процесс допуска людей и транспорта в защищаемые здания и сооружения, а также дающие возможность отслеживать длительность пребывания и маршруты передвижения людей на защищаемых объектах;
- Входного контроля (металлодетекторы, средства обнаружения радиоактивных веществ и т.п.);
- Инженерные средства защиты - специальные замки и двери, решётки на окнах, защитные оконные плёнки, пулестойкие оконные бронемодули и др.[8]
Меры защиты от технических средств шпионажа включают:
- Поиск и уничтожение технических средств шпионажа;
- Шифрование телефонных переговоров, факсимильных сообщений, всей информации, передаваемой по каналам телефонной связи;
- Подавление технических средств шпионажа постановкой помех;
- Экранирование помещений и источников электромагнитных излучений;
- Заземление, звукоизоляция;
Меры защиты АИС включают:
- Выработку политики безопасности в АИС;
- Организационные меры по внедрению политики безопасности;
- Защиту оборудования (компьютеров) от нарушения их целостности;
- Антивирусную защиту программного обеспечения;
- Проверку целостности аппаратных средств и программного обеспечения, установленного на компьютерах АИС;
- Создание систем разграничения доступа к ресурсам информационно-вычислительной системы и к базам данных;
- Определение пользователей при доступе к ресурсам локальной сети и базам данных;
- Протоколирование действий пользователей при работе на компьютере в сетях;
- Аудит протоколов действий пользователей;
- Использование прокси-серверов;
- Установку систем обнаружения атак;
- Применение систем криптографической аутентификации и защиты информации в телекоммуникационных сетях;
- Создание систем учёта и контроля информации, хранимой на автономных носителях информации, и учёта этих носителей;
- Создание систем резервного копирования и хранения информации, по возможности, территориально-распределённых;
- Использование систем резервирования электропитания;
- Проведение расследований попыток нарушения информационной безопасности АИС, в том числе с привлечением профессиональных служб компьютерных криминалистов;
- Периодический контроль программного обеспечения, установленного на компьютерах пользователей, на предмет его легальности.
Большинство из указанных мер, как правило, реализуется путём установки в АИС специальных программно-аппаратных средств. Вся совокупность программных и технических средств защиты информации в АИС объединяется в подсистему информационной безопасности АИС.
2. Криптографические методы зашиты информации
Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытые текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения дешифрует его (т. е. раскрывает) посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям.
Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом.
Для большинства систем схема генератора ключа может представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования (дешифрования) реализуется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать правильную ключевую установку и хранить ее в тайне.
Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.[9]
Современная криптография знает два типа криптографических алгоритмов: классические алгоритмы, основанные на использовании закрытых, секретных ключей, и новые алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключ (эти алгоритмы называются также асимметричными). Кроме того, существует возможность шифрования информации и более простым способом -- с использованием генератора псевдослучайных чисел.
Использование генератора псевдослучайных чисел заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым способом.
Надежность шифрования с помощью генератора псевдослучайных чисел зависит как от характеристик генератора, так и, причем в большей степени, от алгоритма получения гаммы.
Этот метод криптографической защиты реализуется достаточно легко и обеспечивает довольно высокую скорость шифрования, однако недостаточно стоек к дешифрованию и поэтому неприменим для таких серьезных информационных систем, каковыми являются, например, банковские системы.
Для классической криптографии характерно использование одной секретной единицы -- ключа, который позволяет отправителю зашифровать сообщение, а получателю расшифровать его. В случае шифрования данных, хранимых на магнитных или иных носителях информации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него.[10]
Существует довольно много различных алгоритмов криптографической защиты информации. Среди них можно назвать алгоритмы DES, Rainbow (CIIJA); FEAL-4 и FEAL-8 (Япония); В-Crypt (Великобритания); алгоритм шифрования по ГОСТ 28147 -- 89 (Россия) и ряд других, реализованных зарубежными и отечественными поставщиками программных и аппаратных средств защиты
Наиболее перспективными системами криптографической защиты данных сегодня считаются асимметричные криптосистемы, называемые также системами с открытым ключом. Их суть состоит в том, что ключ, используемый для зашифровывания, отличен от ключа расшифровывания. При этом ключ зашифровывания не секретен и может быть известен всем пользователям системы. Однако расшифровывание с помощью известного ключа зашифровывания невозможно. Для расшифровывания используется специальный, секретный ключ. Знание открытого ключа не позволяет определить ключ секретный. Таким образом, расшифровать сообщение может только его получатель, владеющий этим секретным ключом.
Суть криптографических систем с открытым ключом сводится к тому, что в них используются так называемые необратимые функции (иногда их называют односторонними или однонаправленными), которые характеризуются следующим свойством: для данного исходного значения с помощью некоторой известной функции довольно легко вычислить результат, но рассчитать по этому результату исходное значение чрезвычайно сложно.
Известно несколько криптосистем с открытым ключом. Наиболее разработана на сегодня система RSA. RSA-- это система коллективного пользования, в которой каждый из пользователей имеет свои ключи зашифровывания и расшифровывания данных, причем секретен только ключ расшифровывания.
Специалисты считают, что системы с открытым ключом больше подходят для шифрования передаваемых данных, чем для защиты данных, хранимых на носителях информации. Существует еще одна область применения этого алгоритма -- цифровые подписи, подтверждающие подлинность передаваемых документов и сообщений.
Асимметричные криптосистемы наиболее перспективны, так как в них не используется передача ключей другим пользователям и они легко реализуются как аппаратным, так и программным способами. Однако системы типа RSA работают приблизительно в тысячу раз медленнее, чем классические, и требуют длины ключа порядка 300-- 600 бит. Поэтому все их достоинства сводятся на нет низкой скоростью работы. Кроме того, для ряда функций найдены алгоритмы инвертирования, т. е. доказано, что они не являются необратимыми. Для функций, используемых в системе RSA, такие алгоритмы не найдены, но нет и строгого доказательства необратимости используемых функций. В последнее время все чаще возникает вопрос о замене в системах передачи и обработки информации рукописной подписи, подтверждающей подлинность того или иного документа, ее электронным аналогом -- электронной цифровой подписью (ЭЦП). Ею могут скрепляться всевозможные электронные документы, начиная с различных сообщений и кончая контрактами. ЭЦП может применяться также для контроля доступа к особо важной ин- формации. К ЭЦП предъявляются два основных требования: высокая сложность фальсификации и легкость проверки.
Для реализации ЭЦП можно использовать как классические криптографические алгоритмы, так и асимметричные, причем именно последние обладают всеми свойствами, необходимыми для ЭЦП.
Однако ЭЦП чрезвычайно подвержена действию обобщенного класса программ «троянский конь» с преднамеренно заложенными в них потенциально опасными последствиями, активизирующимися при определенных условиях. Например, в момент считывания файла, в котором находится подготовленный к подписи документ, эти программы могут изменить имя подписывающего лица, дату, какие-либо данные (например, сумму в платежных документах) и т.п.
Поэтому при выборе системы ЭЦП предпочтение безусловно должно быть отдано ее аппаратной реализации, обеспечивающей надежную защиту информации от несанкционированного доступа, выработку криптографических ключей и ЭЦП.
Из изложенного следует, что надежная криптографическая система должна удовлетворять ряду определенных требований.
* Процедуры зашифровывания и расшифровывания должны быть «прозрачны» для пользователя.
* Дешифрование закрытой информации должно быть максимально затруднено.
* Содержание передаваемой информации не должно сказываться на эффективности криптографического алгоритма.
* Надежность криптозащиты не должна зависеть от содержания в секрете самого алгоритма шифрования (примерами этого являются как алгоритм DES, так и алгоритм ГОСТ 28147 -- 89).
Процессы защиты информации, шифрования и дешифрования связаны с кодируемыми объектами и процессами, их свойствами, особенностями перемещения. Такими объектами и процессами могут быть материальные объекты, ресурсы, товары, сообщения, блоки информации, транзакции (минимальные взаимодействия с базой данных по сети). Кодирование кроме целей защиты, повышая скорость доступа к данным, позволяет быстро определять и выходить на любой вид товара и продукции, страну-производителя и т.д. В единую логическую цепочку связываются операции, относящиеся к одной сделке, но географически разбросанные по сети.
Например, штриховое кодирование используется как разновидность автоматической идентификации элементов материальных потоков, например товаров, и применяется для контроля за их движением в реальном времени. Достигается оперативность управления потоками материалов и продукции, повышается эффективность управления предприятием. Штриховое кодирование позволяет не только защитить информацию, но и обеспечивает высокую скорость чтения и записи кодов. Наряду со штриховыми кодами в целях за- щиты информации используют голографические методы.
Методы защиты информации с использованием голографии являются актуальным и развивающимся направлением. Голография представляет собой раздел науки и техники, занимающийся изучением и созданием способов, устройств для записи и обработки волн различной природы. Оптическая голография основана на явлении интерференции волн. Интерференция волн наблюдается при распределении в пространстве волн и медленном пространственном распределении результирующей волны. Возникающая при интерференции волн картина содержит информацию об объекте. Если эту картину фиксировать на светочувствительной поверхности, то образуется голограмма. При облучении голограммы или ее участка опорной волной можно увидеть объемное трехмерное изображение объекта. Голография применима к волнам любой природы и в настоящее время находит все большее практическое применение для идентификации продукции различного назначения.
Технология применения кодов в современных условиях преследует цели защиты информации, сокращения трудозатрат и обеспечение быстроты ее обработки, экономии компьютерной памяти, формализованного описания данных на основе их систематизации и классификации.
В совокупности кодирование, шифрование и защита данных предотвращают искажения информационного отображения реальных производственно-хозяйственных процессов, движения материальных, финансовых и других потоков, а тем самым способствуют обоснованности формирования и принятия управленческих решений.
3. Системы электронного документооборота
3.1 Документооборот в мире безбумажных технологий
Увеличение информационных потоков в науке, бизнесе, производстве, культуре требует адекватной реакции со стороны информационных технологий. Для общества обременительно расходование огромного количества бумаги, да и информация, поступающая на таких носителях, менее динамична, чем электронная.
Концепция безбумажной технологии имеет за плечами не одно десятилетие. В это же время сегодня можно говорить лишь о частичной реализации этой идеи. Здесь ряд причин:
Можно указать на психологический аспект проблемы. Получение информации в электронном виде требует привычки;
Безбумажные технологии требуют основательной технической поддержки: соответствующей производительной вычислительной техники, высокой пропускной способности коммуникационных линий, технологичности алгоритмов; Безбумажные технологии требуют основательной юридической поддержки (например, в России на данный момент ни одна налоговая инспекция не примет отчет только в электронном виде, ни один суд не примет договор, заверенный электронной подписью и т.п.).[11] Процесс управления предприятием в условиях рыночной экономики требует интенсификации и четкой организации всего предприятия, вплоть до каждого сотрудника. Таким образом, при наличии регламентации деятельности, прежде всего в отношении делопроизводства, информационные технологии как катализатор дальнейшего прогресса общества призваны обеспечить доступный и эффективный инструмент автоматизации на основе безбумажного делопроизводства и документооборота.
3.2 Системы управления электронным документооборотом
Система управления электронным документооборотом (СУЭД) предназначена для следующих целей:
интеграции процессов документального обеспечения управления предприятием в рамках единой информационной системы;
повышение информированности руководства и специалистов за счет увеличения объемов информационного хранения, централизированной обработки информации, уменьшения времени поиска документов и соответственно подготовки отчетов и докладов, а также за счет повышения полноты и достоверности отчетов;
уменьшения стоимости документационного обеспечения управления предприятием за счет перехода от бумажного делопроизводства к электронному, снижения стоимости копирования и передачи бумажных документов;
уменьшения стоимости и сокращения времени поиска бумажных оригиналов документов в архивном хранении за счет получения точной адресации в электронном виде;
интеграции информационных процессов в рамках кооперации предприятий;
создание качественно новой информационной базы для последующего совершенствования процессов документационного обеспечения управления и технологии работы с документами.
СУЭД должна соответствовать существующей информационно - организационной структуре предприятия (группы предприятий) и обеспечивать модификацию по мере совершенствования этой структуры.
СУЭД предназначена для автоматизации процессов документационного обеспечения управления предприятием, включая:
процессы подготовки, ввода, хранения, поиска и вывода организационно - распорядительных документов (подсистема «Электронный архив»);
процессы подготовки, ввода, хранения, поиска и вывода стандартных форм документов (подсистема «Ввод стандартных форм документов»);
управление делопроизводством (создание, обработка и систематизация архивного хранения документов - подсистема «Делопроизводство»).
Объектом автоматизации являются процессы:
создание документов;
подготовки, учета, систематизации и архивного хранения, поиска и получения организационно - распорядительных, отчетно - статистических, учетных, плановых, информационно - справочных и других управленческих документов;
работы с документами (передача, учет, контроль исполнения и др.).[12]
Основные требования к системе состоят в следующем. Для информационного обмена в системе должна использоваться корпоративная вычислительная сети, в которую включаются как локальные, так и удаленные пользовательские системы. СУЭД должна взаимодействовать с электронной почтовой системой и автоматизированными системами управления предприятием. Система должна допускать круглосуточный режим функционирования; иметь средства диагностики и индикации текущего состояния системы, используемых ресурсов; позволять наращивать количественные и расширять функциональные характеристики системы.
СУЭД должна обеспечивать изменение своих характеристик, параметров, адресатов передачи документов и т.п. в зависимости от изменения регламента документооборота предприятия (норм, правил, порядка, форматов и т.п.).
Система должна строиться на основе открытых технологий, обеспечивающих ее дальнейшую модернизацию и развитие без переработки. В системе должна быть предусмотрена возможность использования масштабируемых аппаратных платформ, в частности технологически простой замены серверов и устройств хранения информации на более производительные (емкие).
Система должна обеспечивать с достаточной точностью распознавания документов на русском и основных европейских языках текстового формата А4, а также полнотекстовую индексацию текстового документа. Особое внимание должно уделяться объемам хранения, одновременному доступу к документам и срокам хранения документов.
Подсистема «Электронный архив» предназначена для следующих целей:
оперативного и потокового ввода документов, полеченных из бумажных документов путем сканирования (получение электронных графических образов) и OCR - распознавания (преобразование их в текстовые документы);
оперативного и потокового ввода электронных документов из других источников;
передачи электронных документов в подсистему «Делопроизводство»;
реквизитного и полнотекстового индексирования документов;
хранения электронных документов всех видов и представлений (в том числе графических образов), их поисковых образов и индексов (атрибутных и полнотекстовых);
адресация оригиналов документов в бумажном архиве;
поиска и извлечения документов из электронного архива;
вывода документов из системы в виде твердой (бумажной) копии или в электронном виде, в том числе для дельнейшей доставки средствами связи;
связи представлений хранимых документов с фактографической частью базы данных;
Подсистема «Ввод стандартных форм документов» обеспечивает:
проектирование представлений стандартных форм документов для их последующего ввода;
потоковый ввод стандартных форм документов в фактографическую часть подсистемы «Электронный архив» (включая сканирование, OCR (ICR) - стилизованное распознавание, контекстный контроль и экспорт в БД).
Подсистема «Делопроизводство» обеспечивает:
создание электронных документов средствами подсистемы;
ведение версий (редакций) документов и их авторства;
защиту от конфликтов при попытке одновременной модификации документа;
электронное визирование документов (электронная подпись);
связывание документов в логические группы;
организацию потока работ с документами: задание маршрута (регламентного или ситуационного) движения документов и условий осуществления работ с ними;
допуск к документам и расширенным видам работ с ними в соответствии с установленными правами пользователей;
протоколирование видов работ, производимых пользователями с документами;
управление маршрутами движения документов;
контроль местонахождения документа и состояния его исполнения;
передачу и извлечение документов в/из подсистемы «Электронный архив».
Возможный состав программных инструментальных и технологических средств, ориентированных на управление документами и документооборотом, а также средств реализации процедур работы с документами может быть представлен следующим образом:
средства для ввода бумажных документов и распознавание образов;
средства для создания электронных документов;
средства для организации и работы с электронным архивом;
технологические средства, ориентированные на управление документооборотом;
технологические средства, ориентированные на управление документами;
инструментальные средства разработки приложений, реализующих специфические функции и технологии работы с документами.
Программные технологические пакеты, ориентированные на управление документами и документооборотом, должны быть открытыми для интеграции с приложениями, реализующими специфические функции, характерные при работе с документами на предприятии.
Инструментальные средства для разработки приложений должны быть такими, чтобы приложения, разработанные с их помощью, интегрировались в программную среду управления документами и документооборотом.
Заключение
Проблема защиты информации появилась задолго до разработки компьютерной техники, а появление ЭВМ лишь перевело ее на новый уровень. И как показывает практика: лучшая защита от нападения это не допускать его. Нельзя защиту информации ограничивать только техническими методами. Основной недостаток защиты - это человеческий фактор и поэтому надежность системы безопасности зависит от отношения к ней.
Для поддержания защиты на высоком уровне необходимо постоянно совершенствоваться вместе с развитием современной техники и технологий, так сказать двигаться в ногу со временем.
Криптография сегодня - это важнейшая часть всех информационных систем: от электронной почты до сотовой связи, от доступа к сети Internet до электронной наличности. Криптография обеспечивает подотчетность, прозрачность, точность и конфиденциальность. Она предотвращает попытки мошенничества в электронной коммерции и обеспечивает юридическую силу финансовых транзакций. Криптография помогает установить вашу личность, но и обеспечивает вам анонимность. Она мешает хулиганам испортить сервер и не позволяет конкурентам залезть в ваши конфиденциальные документы. А в будущем, по мере того как коммерция и коммуникации будут все теснее связываться с компьютерными сетями, криптография станет жизненно важной.
Но присутствующие на рынке криптографические средства не обеспечивают того уровня защиты, который обещан в рекламе. Большинство продуктов разрабатывается и применяется отнюдь не в сотрудничестве с криптографами.
Этим занимаются инженеры, для которых криптография - просто еще один компонент программы. Но криптография - это не компонент. Нельзя обеспечить безопасность системы, «вставляя» криптографию после ее разработки. На каждом этапе, от замысла до инсталляции, необходимо осознавать, что и зачем вы делаете.
Для того, чтобы грамотно реализовать собственную криптосистему, необходимо не только ознакомится с ошибками других и понять причины, по которым они произошли, но и, возможно, применять особые защитные приемы программирования и специализированные средства разработки.
Вопрос о необходимости автоматизации управления документооборотом давно перешел в практическую плоскость, и все больше российских предприятий внедряют у себя системы электронного документооборота (СЭД), позволяя организациям уже на собственном опыте оценить преимущества новой технологии работы с документами. Однако и для тех немногих, кто считает автоматизацию документооборота пройденным этапом, возможно, в скором времени потребуется переосмыслить сделанный выбор и вновь погрузиться в проблему повышения эффективности управления документооборотом. Это обусловливается, в частности, изменением рыночной ситуации, ростом организации, создающим кризисы «переходного возраста» и приводящим к необходимости реструктуризации, а также развитием информационно-коммуникационных технологий (ИКТ), с одной стороны, предоставляющих новые возможности для ведения бизнеса, с другой - заставляющих идти в ногу со временем, чтобы не отстать от конкурентов
Необходимость в автоматизации управления документооборотом разные организации сегодня видят по-разному: одни - в повышении эффективности организационно-распорядительного документооборота (ОРД), другие - в повышении эффективности работы функциональных специалистов, создающих документы и использующих их в повседневной работе, и лишь немногие уделяют внимание обоим аспектам. Такое разделение точек зрения в вопросах документооборота определяется разной ролью и значимостью самих документов в деятельности организации, что зависит от размера организации, стиля управления, отрасли производства, общего уровня технологической зрелости и многих других факторов. Поэтому для одних документ может быть базовым инструментом управления, а для других - средством и продуктом производства.
Список литературы
1. Титоренко Г.А. Информационные технологии управления. М., Юнити: 2012.
2. Мельников В. Защита информации в компьютерных системах. - М.: Финансы и статистика, Электронинформ, 2017
3. Электронные документы и архивы: теория и практика Юмин И.Ф. Оте. арх. - 2015г.
4. Карминский А. М., Нестеров П. В. Информатизация бизнеса. - М.: Финансы и статистика, 2013г.
5. Куперштейн В.И. Современные информационные технологии в делопроизводстве и управлении. - СПб. и др.: БХВ, 2015г.
6. Гражданско - правовое регулирование банковской деятельности: Учеб. пособие В. А. Белов 2016г.
7. Системы управления и информационные технологии: Межвузов. сб. науч. тр.Воронеж. Гос. техн. ун - т; Науч. ред. С. Л. Подвальные. - Воронеж: Из-во Воронеж Гос. техн. ун - т., 2016г.
8. Астахова Л. В. Информатика. Часть 1. Социальная информатика: Учебная пособие. - Челябинск, 2015.
9. Бизнес и безопасность. - КМЦ "Центурион", 2017.
10. Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2016.
11. Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2013.
12. Чалдаева Л. А. Информационная безопасность компании. / Л. А. Чалдаев, А. А. Килячков // Финансы и кредит. - 2015.
Размещено на Allbest.ru
Подобные документы
Необходимость защиты информации. Виды угроз безопасности ИС. Основные направления аппаратной защиты, используемые в автоматизированных информационных технологиях. Криптографические преобразования: шифрование и кодирование. Прямые каналы утечки данных.
курсовая работа [72,1 K], добавлен 22.05.2015Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Анализ нормативно-правовой базы, обоснование направлений создания обеспечения комплексной защиты информации в автоматизированных системах. Разработка методики оценки, выбор путей повышения эффективности защитных мероприятий в автоматизированных системах.
дипломная работа [368,5 K], добавлен 17.09.2009Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.
дипломная работа [575,2 K], добавлен 19.04.2011Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Программно-аппаратные средства защиты компьютера от несанкционированного доступа. Электронный замок "Соболь". Система защиты информации SecretNet. Дактилоскопические устройства защиты информации. Управление открытыми ключами, удостоверяющие центры.
курсовая работа [3,1 M], добавлен 23.08.2016Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Современные физические и законодательные методы защиты информации. Внедрение системы безопасности. Управление доступом. Основные направления использования криптографических методов. Использование шифрования, кодирования и иного преобразования информации.
реферат [17,4 K], добавлен 16.05.2015Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010