Совершенствование системы защиты персональных данных ОАО "Альфа Банк"
Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 17.11.2012 |
Размер файла | 2,6 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Основной целью структурного программирования является уменьшение трудностей тестирования и доказательства правильности программы. Это особенно важно при разработке больших программных систем. Опыт применения методов структурного программирования при разработке ряда сложных операционных систем показывает, что правильность логической структуры системы поддается доказательству, а сама программа допускает достаточно полное тестирование. В результате в готовой программе встречаются только тривиальные ошибки кодирования, которые легко исправляются.
Структурное программирование улучшает ясность и читабельность программ. Программы, которые написаны с использованием традиционных методов, особенно те, которые перегружены операторами переходов, имеют хаотичную структуру.
Структурированные программы имеют последовательную организацию, поэтому возможно читать такую программу сверху донизу без перерыва. Наконец, структурное программирование призвано улучшить эффективность программ.
Итак, структурное программирование представляет собой некоторые принципы написания программ в соответствии со строгой дисциплиной и имеет целью облегчить процесс тестирования, повысить производительность труда программистов, улучшить ясность и читабельность программы, а также повысить ее эффективность.
В связи с вышеизложенным, считается целесообразным при выполнении дипломного проекта использование объектного ориентированного подхода связанного с выводом графических изображений форм, вызова стандартных классов, компонентов с одной стороны, а с другой использование стандартных классических методов обработки массивов и матриц, присущих структурным подходам. Выбор такого подхода основан на специфичности рассматриваемой задачи обеспечении требований по тестированию продукта, в условиях ограниченности временных ресурсов.
В качестве средства разработки было выбрано RAD- система BorlandDelphi 2006[1-5,13,14,15]. Выбор данного средства продиктован его распространенностью, не требовательностью к вычислительным затратам компьютерной системы с одной стороны, достаточной «мощностью» в выборе функций, удобстве построения интерфейсов пользователя с другой.
2 Проектная часть
2.1 Разработка и описание проекта СУБД, информационной безопасности и защиты информации в СУБД
информационная безопасность защита персональный
Для анализа защиты информационной системы от внутренних угроз необходимо определить группы пользователей разрабатываемой системы и назначить им соответствующие права доступа к папкам и модулям системы, определить требования к паролям и частоте их смены, а также другие параметры использования ИС. Сформированные данные представлены в табл. 2.1.
Таблица 2.1
Разграничение прав пользователей
Группы пользова-телей |
Модуль запросы |
Модуль справочники |
Модуль |
Модуль «Получение доступа» |
|
Сотрудник службы безопасности |
Чтение/создание |
Чтение/создание |
Чтение |
Чтение |
|
Начальник службы безопасности |
Чтение/создание/удаление |
Чтение/создание/ удаление |
Полный |
Полный |
|
Системный администратор |
Чтение/создание/удаление |
Чтение/создание/ удаление |
Полный |
Полный |
В процессе разработки политики безопасности сформирован правила информационной безопасности для противодействия угрозам сотрудника отдела продаж ОАО «Альфа Банк», которые представлены в табл. 2.2.
Таблица 2.2
Политика безопасности продаж ОАО «Альфа Банк»
Правила ИБ |
Ответственные |
Виды защитных мер |
|
В организации должны проводиться проверки выполняемых действий персонала |
Системный администратор |
Организационные и технические |
|
В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности |
Системный администратор |
Организационные |
|
Обеспечение защиты СУБД и хранение информации |
Персонал (операторы, администраторы) |
Организационные и технические |
|
Обеспечение защиты бизнес-процессов филиала фирмы |
Персонал (операторы, администраторы) |
Организационные и технические |
|
Управление доступом |
Персонал (операторы, администраторы) |
Организационные и технические |
|
Защита от вредоносного ПО |
Администраторы ИБ и СУБД |
Организационные и технические |
В качестве предложений по организации и управлению службой информационной безопасности продаж ОАО «Альфа Банк» необходимо проведение следующих мероприятий
1. Агент сетевой системы обнаружения атак (СОА) присутствует на каждом сегменте в сети организации. Для СОА сигнатурного типа базы данных сигнатур регулярно обновляются, имеется специалист по созданию собственных сигнатур. Для СОА с выявлением аномалий определены все необходимые профили, которые регулярно пересматриваются. Кроме этого производится периодический анализ сетевой активности средствами сетевого мониторинга (перехватчиками сетевых пакетов -- снифферами).
2. Агенты СОА-хоста установлены на каждом узле сети, база данных атак (или профили) регулярно обновляется. Кроме этого производится периодический выборочный анализ регистрационных журналов (которые настроены на фиксацию всех событий), в том числе лично уполномоченным персоналом. СОА интегрирована с межсетевым экраном и другими устройствами защиты.
3. Внешний удаленный доступ в информационную сеть предприятия (выход во внешнее информационное пространство) ограничен единственным центральным шлюзом плюс существует резервный канал связи, неактивный в штатном режиме. Оба канала защищены межсетевыми экранами, которые надежно функционируют, корректно настроены и регулярно подвергается проверке службой информационной безопасности. Все модемы и другие устройства удаленного доступа учтены и также сведены к указанной единой точке входа/выхода. Снаружи по отношению к точке входа установлен агент сетевой СОА.
4. Все данные, объекты и информационные системы классифицированы. Субъекты распределены по ролям. Определена надежная структура и внедрен механизм доступа субъектов к объектам с учетом наименьших привилегий и разделения обязанностей. Каждый новый объект своевременно классифицируется и устанавливается в общую схему информационного пространства.
5. Все каналы обмена данными в информационной сети криптографически защищены, внутри локальной сети организованы виртуальные сети. Любой обмен данными регистрируется в электронных журналах и снабжен средством контроля целостности. Обеспечен контроль целостности данных, системных файлов и т. п. на серверах и рабочих станциях. Обмен данными между пользователями производится с использованием электронной цифровой подписи. Организовано надежное управление криптографическими ключами.
6. Вся работа службы информационной безопасности должна организована в строгом соответствии с законодательством государства.
7. Для всех информационных систем существуют политики, для функциональных обязанностей пользователей -- правила, процедуры и методики. Изменения в работе организации и сотрудников адекватно отражаются в соответствующих документах.
8. Контроль за любой системой или объектом децентрализован. Служба информационной безопасности принимает участие в любом проекте организации (в том числе и в разработке программного обеспечения) с правом внесения серьезных изменений и запретов в рамках своих функций. Служба имеет полномочия к принятию и реализации решений, связанных с информационной безопасностью.
9. На каждый компьютер в сети установлен антивирусный пакет, кроме того антивирусы установлены на почтовый сервер, межсетевой экран и другие ключевые узлы. Режим работы антивируса -- перехват на лету (autoprotect). Антивирусные базы обновляются ежедневно, а также при поступлении информации о новом вирусе.
10. Настроено подробное ведение регистрационных журналов по всем информационным системам. Ведется регулярная автоматизированная обработка этих журналов, а также периодический выборочный ручной их анализ на предмет выявления подозрительных или злоумышленных событий. Система анализа информационной активности интегрирована с системой физического доступа сотрудников в здание и к рабочим местам. Все регистрационные журналы сохраняются наряду с резервными копиями и архивами бизнес-данных.
11. Обеспечен контроль входящей и исходящей информации на внешних носителях. Установлены надежные защищенные (возможно, виртуальные) шлюзы обмена информацией с внешними информационными системами (обеспечены соответствующие интерфейсы, установлена связь с центром сертификатов, получен корневой сертификат организации и т. д.).
12. Обеспечено единое согласованное непротиворечивое управление всеми автоматизированными средствами информационной безопасности.
13. После изменения любой единицы данных обеспечивается ее резервное копирование либо организовано избыточное сохранение данных (RAID). Обеспечивается географически разнесенное защищенное сохранение архивов и резервных копий. Все сетевые устройства имеют возможность для быстрой замены (продублированы), все каналы передачи данных имеют альтернативные линии. Здание организации имеет горячий резерв (hot-site). Обеспечено бесперебойное электропитание (и контроль его работы) основного и резервного зданий. Ключевые работники организации могут выполнять функции друг друга либо имеют функциональных дублеров. Имеется регулярно обновляемый аварийный план.
14. Регулярно производится процедура тестирования всей сети или отдельных систем на взлом. В распоряжении службы информационной безопасности имеется команда программистов для создания собственных программ или утилит для анализа защищенности либо, наоборот, для защиты объектов и систем.
15. Способы аутентификации пользователей находятся под контролем службы информационной безопасности, т. е. производится периодический анализ отсутствия слабых паролей, фактов передачи паролей другим лицам, оставление «токенов» без надзора и т. п. Идентификация пользователей стандартизована, имеется четкая таблица соответствия пользователь -- сетевые адреса, разрешенные для работы данного пользователя (username, IP-адрес, МАС-адрес и т. д.).
2.2 Информационное обеспечение задачи
2.2.1 Информационная модель и её описание
Методика разработки информационной модели предполагает моделирование нового варианта организации информационной системы предметной, а именно:
– полного состава информации, необходимой для решения комплекса задач данного автоматизированной системы;
– отражение этой информации на всех типах носителей;
– отражение процесса преобразования информации, начиная от получения первичной переменной и условно-постоянной информации, загрузки ее в файлы с и заканчивая получением файлов с результатной информацией и выдачей ее пользователю;
– состава исходных первичных документов и распределение их по задачам;
– источники и способы получения первичной информации;
– состава файлов с первичной, условно-постоянной, промежуточной и результатной информацией;
– информационную потребность для каждой задачи комплекса;
– адресатов выдачи и получения результатной информации.
Разработаем информационную модель системы. Информационная модель представляет собой схему, отражающую преобразование информационных реквизитов от источников информации до её получателей или, иными словами, процесс обработки информации в информационной системе. Общий вид системы представлен на рис. 2.1.
Рис. 2.1 Информационная модель разрабатываемой системы
Анализ построенной информационной модели позволил выделить ряд областей, которые формализуют функционирование системы.
1 область - это область, ввода исходных данных, при помощи специальных форм.
Область 2 выделяет области основных таблиц базы данных.
Область 3 соответствует справочникам базы данных.
Область 4 характеризует результирующую информацию о системе.
2.2.2 Характеристика нормативно-справочной и входной оперативной информации
Основными документами при разработке автоматизированной системы защиты персональных данных ОАО «Альфа Банк» считались - запрос на получения определенного вида информации о пользователе и данные о новом клиенте банка. Для основных документов системы были разработаны «электронные» формы представления, разработаны формы для создания документов, просмотра документов, редактирования и обработки документов. Для эффективного хранения основных документов системы разработаны соответствующие таблицы базы данных[6].
Форма документа накладная на получения доступа к данным, создается на основе заказа - заявки на получения материла и содержит следующую информацию:
- дата документа;
- номер запроса;
- необходимая информация о пользователе;
- дата создания запроса;
- цель получения информации;
- номер разрешения;
- фамилия сотрудника;
- коды защиты.
Запрос - заказ на получение информационных материалов содержит следующую информацию:
- номер запроса;
- дату;
- название информационного материала;
-цель получения;
- фамилия сотрудника.
Разработанная автоматизированная система позволяет автоматически создавать и сохранять в базе данных основные документы, которые в свою очередь являются отчетными документами, а также получать справочную информацию о всех запросах и разрешение на получение доступа информации.
Все перечисленные средства позволяют получить исчерпывающую информацию о состоянии информационных таблиц разработанной базы данных
2.2.3 Характеристика базы данных и средств информационной безопасности и защиты информации СУБД
Для реализации функций информационной модели системы учета данных обеспечивающих защиту конфиденциальной информации необходимо наличие нескольких взаимосвязанных таблиц, описание которых представлено в табл.2.6. Данные таблицы необходимо реализовать в среде MS SQL Server 2008, по ключевым полям, для этого необходимо разработать концептуальную схему информационной модели. Таблицы попарно связаны между собой через ключи связи, что существенно упрощает их обработку, так как автоматически обеспечивается контроль целостности данных.
Таблица 2.6
Содержание таблиц базы данных
№ п/п |
Название таблицы |
Назначение |
|
1. |
dostup |
Таблица, содержащая данные о доступе к конфиденциальных данных клиента |
|
2. |
Zapros |
Таблица, содержащая информацию о запросах на доступ к информации |
|
3. |
Infom |
Таблица, содержащая информацию о содержании запроса на доступ к информации |
|
4. |
Sotrudnyk |
Таблица, содержащая информацию о сотрудниках, создавших запрос |
|
5. |
Obshkod |
Таблица, содержащая информацию об общих кодах защиты информации в организации. |
|
6. |
Client |
Таблица, содержащая информацию о клиентах банка |
|
7. |
Kod |
Таблица, содержащая информацию о кодах защиты клиента |
|
8. |
Razresh |
Таблица, содержащая информацию о выданных разрешениях на доступ к информации. |
Каждую из таблиц описанных выше введем индексное поле, с помощью которых решим задачи связи информационных таблиц. В результате, объединив необходимые ссылки, получим концептуальную схему информационной модели
Разработанная информационная модель позволит эффективно решать задачи информационного поиска и учета материальных средств на находящихся в обороте ОАО «Альфа Банк».
Для реализации функций информационной модели необходимо наличие нескольких взаимосвязанных таблиц, описание которых представлено в табл. 2.7-2.13 рис. 2.9-2.16.
Таблица 2.7
Назначение полей таблицы Dostup
№п/п |
Название поля |
Тип |
Назначение |
|
1. |
Id_Dostup |
Целое |
Индексное поле - первичный ключ таблицы Dostup. |
|
2. |
Id_zapros |
Целое |
Поле содержит ссылку на таблицу запросов на доступ к информации |
|
3. |
Id_client |
Целое |
Поле содержит ссылку на запись в таблице client. |
|
4. |
Id_obshkod |
Целое |
Поле содержит ссылку на запись в таблице obshkod. |
|
5. |
Id_razresh |
Целое |
Поле содержит ссылку на запись в таблице разрешений на доступ к информации |
Рис. 2.9 Реализация таблицы Dostup средствами MS SQL 2008
Таблица 2.8
Назначение полей таблицы Zapros
№п/п |
Название поля |
Тип |
Назначение |
|
1. |
Id_zapros |
Целое |
Индексное поле - первичный ключ таблицы zapros. |
|
2. |
Id_sotrudnyk |
Дата-время |
Поле содержит ссылку на запись в таблице сотрудников |
|
3. |
Date_zapros |
дата |
Поле содержит информацию о дате и времени запроса |
|
4. |
Id_inform |
Целое |
Поле содержит ссылку на запись в таблице информации |
|
5. |
Id_client |
Целое |
Поле содержит ссылку на запись в таблице клиентов |
|
6. |
Parol |
Символьное |
Поле содержит пароль сотрудника на доступ к информации |
Рис. 2.10 Реализация таблицы Zapros средствами MS SQL 2008
Таблица 2.9
Назначение полей таблицы Infom
№п/п |
Название поля |
Тип |
Назначение |
|
1. |
Id_inform |
Целое |
Индексное поле - первичный ключ таблицы inform. |
|
2. |
inform |
Символьное |
Поле содержит информацию необходимую сотруднику и указанную в запросе |
|
3. |
Target |
Символьное |
Поле содержит цель получения доступа |
|
4. |
Stepen |
Символьное |
Поле для степени конфиденциальности информации |
Таблица 2.10
Назначение полей таблицы Sotrudnyk
№п/п |
Название поля |
Тип |
Назначение |
|
1. |
Id_sotrudnyk |
Целое |
Индексное поле - первичный ключ таблицы sotrudnyk. |
|
2. |
familiya |
Символьное |
Поле для хранения фамилии сотрудника |
|
3. |
imiya |
Символьное |
Поле для хранения имени сотрудника |
|
4. |
otchestvo |
Символьное |
Поле содержит отчество сотрудника |
|
5. |
parol |
Целое |
Поле содержит пароль сотрудника |
|
6. |
klass |
Символьное |
Поле содержит информацию о классе доступа сотрудника |
Рис. 2.11 Реализация таблицы Infom средствами MS SQL 2008
Рис. 2.12 Реализация таблицы Sotrudnyk средствами MS SQL 2008
Таблица 2.11
Назначение полей таблицы Obshkod
№п/п |
Название поля |
Тип |
Назначение |
|
1. |
Id_obsh_kod |
Целое |
Индексное поле - первичный ключ таблицы obsh_kod. |
|
2. |
Kod1 |
целое |
Код1 |
|
3. |
Kod2 |
Целое |
Код2 |
|
4. |
Id_sotrudnyk |
Целое |
Поле содержит ссылку на запись в таблице сотрудников |
Рис. 2.13 Реализация таблицы Obshkod средствами MS SQL 2008
Таблица 2.12
Назначение полей таблицы Client
№п/п |
Название поля |
Тип |
Назначение |
|
1. |
Id_ Client |
Целое |
Индексное поле - первичный ключ таблицы Client. |
|
2. |
Fam |
Символьное |
Фамилия клиента |
|
3. |
Name |
Символьное |
Имя клиента |
|
4. |
Otchestvo |
Символьное |
Отчество клиента |
|
5. |
God |
Целое |
Год рождения клиента |
|
6. |
Id_kod |
Целое |
Ссылка на запись в таблице кодов |
|
7. |
Sekretnoe_slovo |
Символьное |
Секретное слово клиента |
Рис. 2.14 Реализация таблицы Client средствами MS SQL 2008
Таблица 2.10
Назначение полей таблицы Kod
№п/п |
Название поля |
Тип |
Назначение |
|
1. |
Id_kod |
Целое |
Индексное поле - первичный ключ таблицы kod. |
|
2. |
Pin1 |
целое |
Код1 |
|
3. |
Pin2 |
Целое |
Код2 |
|
4. |
Puk |
целое |
Код3 |
Рис. 2.15 Реализация таблицы Kod средствами MS SQL 2008
Таблица 2.13
Назначение полей таблицы Razresh
№п/п |
Название поля |
Тип |
Назначение |
|
1. |
Id_razresh |
Целое |
Индексное поле - первичный ключ таблицы razresh. |
|
2. |
Id_zapros |
Целое |
Ссылка на таблицу запросов |
|
3. |
Date_dost |
Дата |
Дата доступа |
|
4. |
status |
Символьное |
Состояние запроса |
|
5. |
Status_dostupa |
Символьное |
Разрешение на доступ к информации |
Рис. 2.16 - Реализация таблицы Razresh средствами MS SQL 2008
В результате препарирования - информационная модель была успешно реализована в среде MS SQL 2008. Концептуальная модель базы данных представлена на рис.2.17.
Рисунок 2.17 Концептуальная модель базы данных, созданная в среде Microsoft SQL Server 2008
2.2.4 Характеристика результатной информации
В этом подразделе приведем результирующую информацию, которая формируется в результате функционирования системы. Для отображения результирующей информации - полных связанных сведений о разрешениях на доступ к конфиденциальной информации, внешний вид формы представлен на рис. 2.18.
Рис.2.18 - Внешний вид формы для просмотра сведений о доступе
Данная результирующая форма строится на основе использования всех таблиц базы данных и является одним из основных результатов разрабатываемой системы.
В качестве выходной информации системы могут рассматриваться результаты выполнения поисковых запросах о наличии разрешений доступа, клиентах и данных разрешения на доступ. Для обеспечения этого процесса разработаны две формы, которые динамически формируются в процессе выполнения программы. Первая из этих форм позволяет сформировать условие для поиска данных. Вторая - для отображения результатов поиска. Внешний вид первой формы представлен на рисунке 2.19.
Рис. 2.16 Внешний вид формы для настройки параметров поиска
Поиск может производиться по различным полям фамилии клиента, полям в таблице доступа, дате проведения операции и др., выбор варианта поиска осуществляется при выборе альтернативы поиск в главном меню приложения.
Результаты выполнения поисковых запросов по различным критериям представлены на рисунке 2.17
Рис. 2.17 Поиск клиента по фамилии по наименованию («Петренко»)
Таким образом, результирующая информация разрабатываемой автоматизированной системы позволяет полностью определить запросы и требования, предъявляемые к системе
2.3 Программное и технологическое обеспечение задачи
2.3.1 Общие положения
Разработанный программный проект представляет собой многооконное приложение, причем одна форма является главной (родительской по отношению к другим) и на ней размещаются все другие формы, которые могут открываться по условию или по активизации различных элементов управления (пункты главного меню или кнопки панели инструментов). Для реализации основной функциональности будем использовать дочерние окна. Дочерние окна намного удобнее, но применение многодокументного интерфейса MDI (MultipleDocumentInterface), введет к ряду проблем, которые рассмотрим ниже.
Для обеспечения технологи MDI, необходимо у главной формы свойству FormStyle присвоить значение fsMDIForm, дочерним формам свойству FormStyle присвоим значение fsMDIChild.
На рисунке 2.18 представлен внешний вид разрабатываемого приложения с открытыми формами для добавления и редактирования записей.
Дерево объектов проекта главного модуля приложений представлена на рисунке 2.19.
Рис. 2.18 Внешний вид разрабатываемого приложения
Разрабатываемое приложение будет содержать 1 главную форму - MainClientsForm, а также несколько дочерних окон - addform, ChildTemplateForm, DBDirectoryTemplateForm, EditDBDirectoryForm, parampoik.
Рис. 2.19 Дерево объектов проекта главного модуля приложений
Сценарий диалога с программой приведен на рис.2.20.
Главная форма - MainClientsForm, предназначена для управления вычислительным процессом. Эта форма содержит следующие компоненты: MainMenu для запуска дочерних окон, а также компоненты ADOConnection, DataSorce, ADOTable, ADOQuery для обеспечения связи с базой данных, отображения данных, и выполнения SQL-запросов к базе данных.
Дочерняя форма addform, создается динамически при помощи метода Create и предназначена для добавления записей в базу данных и запускается при помощи выбора соответствующего пункта главного меню MainMenu главной формы приложения. Данная форма содержит следующие компоненты Edit, Label, DBNavigator, Button («OK», «Cancel»).. Компоненты Edit - для ввода информационных полей базы данных. Компоненты Label для идентификации компонентов Edit - для ввода соответствующих информационных полей.
Рис. 2.20 Сценарий диалога
Компонент DBNavigator связан с базой данных и позволяет перемещаться по записям базы данных, удалять и добавлять записи. Кнопки «OK» и «Cancel» используется в случае правильного ввода базы данных и отмены ввода записи соответственно
Дочерняя форма DBDirectoryTemplateForm, создается динамически при помощи метода Create - предназначена для организации справочников, т.е. эта форма предназначена для просмотра всех таблиц, с возможность контекстного поиска по любому символьному полю текущей таблицы. Эта форма содержит компоненты DBGrid, ToolBar с инструментами добавить запись, удалить запись, внести изменения (редактировать запись) Компонент DBgrid предназначен для отображения записей текущей таблицы.
Дочерняя форма ChildTemplateForm, создается динамически при помощи метода Create и предназначена для просмотра таблицы, содержащей результаты поиска, т.е. результаты выполнения динамического SQL-запроса. Эта форма содержит компоненты DBGrid, ToolBar с инструментами добавить запись, удалить запись, внести изменения (редактировать запись). Компонент DBgrid предназначен для отображения записей, найденных в результате поиска.
Дочерняя форма EditDBDirectoryForm предназначена для редактирования текущей записи активной таблицы, она создается динамически при помощи метода Create, также динамически для текущей таблицы создаются компоненты Edit, Label для каждого неиндексного поля текущей таблицы, с помощью которых идентифицируется, заносятся в только что созданные компоненты для редактирования текущей записи. Элементы управления «OK» и «Cancel» используется в случае правильного ввода базы данных и отмены ввода записи соответственно.
Дочерняя форма parampoik создается динамически при помощи метода Create, - предназначена для настройки и выполнения динамического SQL-запроса для поиска записи, удовлетворяющей сформированному критерию. Форма содержит 2 компонента GroupBox.
Первый компонент GroupBox, содержит компоненты Edit, которые предназначены для заполнения полей, необходимых для вывода в результате SQL-запроса..
Второй компонент GroupBox, предназначен для формирования ключа для поиска записей в базе данных, он содержит компонент label, компоненты Edit, элементы управления button «Поиск», «Отмена».
При выборе пункта меню, по которому будет производится поиск, активируется соответствующий этому полю компонент Edit (свойству Visible присваивается значение true). После ввода в компонент Edit символов, свойство Text будет содержать значение ключа, которое будет использоваться для формирования динамического SQL-запроса.
По умолчанию окна MDI создаются сразу при старте программы, и закрыть их нельзя. Чтобы решить проблему закрытия, необходимо убрать форму из числа автоматически создаваемых и в обработчики события OnClose окон добавить строку: Action:=caFree;
2.3.2 Схемы технологического процесса сбора, передачи, обработки и выдачи информации
В программном обеспечении автоматизированной системы можно выделить серверную и клиентскую часть. На серверную часть возлагаются функции хранения БД и архива, а так же поддержки целостности данных, обработка запросов, управление транзакциями. На клиентскую часть возлагается обеспечение интерфейса пользователя, посылка запросов серверу БД (серверной части системы), получение результатов и сообщений от сервера, управление бизнес-правилами, проверку корректности, допустимости и обработку данных согласно содержащихся в них алгоритмах.
В среде БД клиент-сервер, сервер должен обеспечить целостность данных. Сервер использует несколько механизмов поддержания целостности:
Для обеспечения целостности данных в БД были реализованы:
совместное удаление зависимых данных;
поддержка внешних ключей;
централизованное хранение данных на сервере;
восстановление данных в исключительных ситуациях из архива;
контроль входных данных.
Для обеспечения функциональности ПП осуществляется:
управление данными (вставка, редактирование, удаление данных);
выдача результатов на запросы пользователей;
формирование отчетов для просмотра и вывод на печать.
Структура разработанного проекта представлена на рисунках 2.28-2.31.
Задача эксплуатируется в среде Windows 98, Windows XP и выше.
Серверная часть программного обеспечения функционирует под управлением сетевой платформы Microsoft WINDOWS 2000 и выше. В качестве СУБД используется СУБД Microsoft SQL Server 2008.
Доступ к сетевым ресурсам осуществляется через соответствующие драйверы по протоколу TCP/IP. Для связи клиентского приложения с серверной частью задачи на каждой рабочей станции должны быть установлено BDE версии 5.0 - средства связи с базой данных SQL Server.
Разработанное приложение состоит из 5 модулей MainClients.pas, childTemplate.pas, DbdDirectoryTemplate.pas, AddSource.pas, ParamPoisk.pas.
Структура разработанного проекта представлена на рис. 2.21-2.24. Разработанное приложение состоит из 5 модулей MainClients.pas, childTemplate.pas, DbdDirectoryTemplate.pas, AddSource.pas, ParamPoisk.pas.
Назначение главного модуля приложения MainClients.pas. Выборка, обработка, поиск данных, редактирование, добавление, удаление данных. Данная разработка предназначена для автоматизации действий сотрудника службы безопасности ОАО «Альфа Банк».
Рис. 2.21 Структура разработанного программного проекта
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Рис. 2.22 Структура разработанного проекта.
Рис. 2.23 Состав программного проекта
Модуль является главным и управляющим для остальных объектов проекта.
Для обеспечения связи с файлами базы данных размещенной на SQL сервере в разрабатываемом программном проекте в среде BorlandDevelopmentStudio 2006 используется хорошо зарекомендовавшая себя технология ADO (ActiveXDataObjects - объекты данных, построенные как объекты ActiveX), которая развивается и поддерживается корпорацией Microsoft.
Все компоненты должны связываться с базой данных. Делается это двумя способами либо через компонентTADOConnection, либо прямым указанием базы данных в остальных компонентах. К TADOConnection остальные компоненты привязываются с помощью свойства Connection, к базе данных напрямую через свойство ConnectionString.
База данных может быть указана двумя способами через файл соединения к данным (файл в формате MicrosoftDataLink, расширение UDL), либо прямым заданием параметров соединения.
Значение свойства всехConnectionString этих компонент могут быть введены напрямую в текстовой форме, но куда проще вызвать редактор свойства, нажав на кнопку “…” в конце поля ввода. Окно этого свойства представлено на рис.2.24-2.25:
Рис. 2.24 Настройка строки связи с базой данных
Рис. 2.25 Свойства связи с данными
При выборе “Usedatalinkfile” и нажатии на кнопку “Browse…” появляется стандартный диалог выбора файла. При выборе в редакторе свойства “Useconnectionstring” и нажатии на кнопку “Build…” появляется такой же propertysheet, как и при выборе “Open” для MicrosoftDataLink файла. В этом окне выбирается тип базы данных, местоположение базы и параметры соединения. На первой странице выбирается тип базы данных или Provider, в терминах ADO.
Рис. 2.26 Свойства связи с данными
В компоненте TADOConnection существуют свойства Provider, DefaultDatabase и Mode которые являются альтернативным методом задания частей строки параметров соединения - провайдера, базы данных (например, пути до базы MS SQL) и режима совместного использования файлов базы данных. Эти значение этих свойств автоматически включаются в строку соединения, если были заданы до активизации компонента и автоматически выставляются после соединения.
Структурно клиентская часть ПП представляет собой выполнимый.EXE файл. Кроме него для работы с БД не нужны никакие другие файлы.
При работе с БД, во избежание некорректного соединения с БД, ошибок ввода входных данных, использовались обработчики исключительных ситуаций. Которые при возникновении исключительной ситуации выводят диагностические сообщения и позволяют продолжить работу ПП дальше.
Для реализации базы данных в качестве основного инструмента был выбран сервер MS SQL 2008 DEVELOPER Edition. Данный выбор позволяет эффективно решать задачи организации таблиц базы данных, а также задачи разграниченного быстрого доступа, хранения, редактирования таблиц. Данное средство является стандартным средством, на котором реализовано большое количество промышленных баз данных, внедрена OLAP технология доступа к данным.
Фирма MicroSoft поддерживает данный продукт в смысле выпуска обновлений и гарантий эффективной работы в среде Windows. Одним из основных достоинств продукта проектирования новых баз данных могут использоваться другие совместимые продукты MicroSoft, MicroSoftVisio, MicrosoftAcess, т.е. продукты, спроектированные в этих системах, могут адаптированы в MS SQL 2008.
2.4 Контрольный пример реализации проекта и его описание
Рассмотрим контрольный пример функционирования системы. Начальная форма настройки связей с базой данных представлена на рис. 2.26.
1. В случае правильной связи с базой данных на экране появится главная форма приложения (рис.2.18).
2. Для дальнейшей работы приложения необходимо выбрать пункт главного меню. В результате выполнения выбора альтернативы «просмотр БД», происходит создание двух дочерних форм DBDirectoryTemplateForm и AddSource. Форма DBDirectoryTemplateForm расположена на рис.2.27 в верхней части позволяет отобразить записи таблицы, перемешаться, редактировать, обновлять которые позволяет компонент DBNavigator, расположенный на форме AddSource. Динамически создаваемая форма AddSource предназначена для отображения записей, находящейся в различных таблицах базы данных firm2 и связанных с записями расположенными в таблице «доступ».
Например, выбираем пункт просмотр таблицы комплектующих документов рисунок 2.28. Результат просмотра базы данных представлен на рисунке 2.29
Рис. 2.27 Пункт главного меню «просмотр»
Рис. 2.28 Выбор просмотра данных о комплектующих
Рис. 2.29 Результат просмотра данных
3. На следующем шаге просмотрим всю базу данных для этого выберем альтернативу просмотр базы данных в меню «просмотр» рисунок 2.30
Рис. 2.30 Просмотр всей базы данных
4. После этого приведем в исполнение элемент управления - кнопку «создать» - получаем Подтверждающую надпись).
Для выполнения поиска не обходимо выбрать пункт меню «ПОИСК», как показано на рис.2.31.
Рис.2.31 Выбор пункта меню поиск для активации поиска
Элементы управления button («Выполнить поиск») на динамически создаваемых формах позволяют активировать программную процедуру учитывающую вид информационного поиска, соответствующие динамически создаваемые ключи и выполняют соответствующие вычислительные процедуры и операции по изменению, удалению, добавлению необходимых записей в базе данных.
Рис. 2.32 Дочерняя форма ParamPoisk, динамически создаваемая для организации запроса на поиск комплектующих по их наименованию
Рис. 2.33 Дочерняя форма ParamPoisk с введенным запросом
Для отображения результатов информационного поиска, согласно выбранным настройкам, динамически создается форма ChildTemplateForm. Результат выполненного поиска по запросу рис.2.33 представлен на рис.2.34.
Рис.2.34 Результат выполненного поиска
В результате активации элемента управления button («получение доступа»), осуществляется запуск сложной программной процедуры, осуществляющей неоднократный сложный динамический информационный поиск в базе данных, изменения записей базы данных с целью осуществления проверки возможности осуществления доступа.
Таким образом, считаем, что работоспособность программы полностью продемонстрирована.
Часть 3. Обоснование экономической эффективности проекта
Годовой экономический эффект от разработки и внедрения ЭИС служит для сравнения различных направлений капитальных вложений и рассчитывается по формуле (3.1)[7]:
(3.1)
где Э - годовой экономический эффект;
П - годовая экономия(годовой прирост прибыли), руб.;
К - единовременные капитальные затраты, руб.;
Ен - нормативный коэффициент эффективности капитальных вложений.
Значение Ен принимается равным 0.15. Ен представляет собой минимальную норму эффективности капитальных вложений, ниже которой они нецелесообразны.
Расчетный коэффициент эффективности капитальных вложений определяется по формуле (3.2):
(3.2)
Полученное значение сравнивается со значением Ен. Если Ер ? Ен, то капитальные затраты можно считать целесообразными, в противном случае они экономически необоснованны.
Срок окупаемости Т представляет собой период времени (в годах), в течение которого капитальные затраты на разработку ЭИС полностью окупятся, и рассчитывается по формуле (3.3):
(3.3)
Расчет указанных обобщающих показателей требует вычисления частных показателей:
- годовая экономия (годовой прирост прибыли);
-единовременные затраты на разработку и внедрение системы;
-среднегодовая трудоемкость функционирования и др.
Годовая экономия П рассчитывается по формуле (3.4):
(3.4)
где П1 - годовая стоимостная оценка результатов применения ЭИС, рассчитанная без учета затрат на обработку информации, руб.;
Зп - приведенные к одному году затраты на обработку информации при предполагаемом варианте организации системы.
Показатель П1 может быть оценен с применением нескольких альтернативных подходов. В данном случае автоматизируются ранее решавшиеся задачи при условии получения примерно одинаковых конечных результатов, поэтому значение П1 может быть взято равным затратам существующей системы обработки данных. Тогда формула (3.4) примет вид (3.5):
(3.5)
где Зб - приведенные к одному году затраты на обработку информации при существующем варианте организации системы обработки данных (СОД).
Среднегодовые затраты на обработку информации Зп определяются по формуле (3.6):
(3.6)
где Р - стоимость приобретения и освоения используемых средств автоматизации проектирования, руб.;
С - единовременные затраты на создание системы, не учитываемые в себестоимости машино-часа, руб.;
Тэкс - предполагаемый срок эксплуатации системы, лет;
Ф - среднегодовые затраты на функционирование системы, руб.;
А - единовременные затраты на модернизацию системы, руб.;
Тмод - среднее время между смежными периодами модернизации, лет;
Z - среднегодовая сумма потерь вследствие ненадежности системы, руб.
Существует несколько методик оценки экономической эффективности. Так, разработаны алгоритмы расчета эффективности для ранее решавшихся и принципиально новых задач, есть методика, оценивающая эффективность путем вычисления прироста прибыли за счет увеличения объема производства, и другие.
Экономическая эффективность проекта (Э) складывается из двух составляющих:
- Косвенного эффекта, который, например, характеризуется увеличением прибыли, привлечением большего числа клиентов, снижением уровня брака в производстве, уменьшение количества рекламаций, получаемых от клиентов, снижение затрат на сырье и материалы, уменьшение сумм штрафов, неустоек и т. д.
- Прямого эффекта, который характеризуется снижением трудовых, стоимостных показателей.
К трудовым показателям относятся следующие:
1) абсолютное снижение трудовых затрат (Т) в часах за год:
Т = Т0 - Т1, (3.7)
где Т0 - трудовые затраты в часах за год на обработку информации по базовому варианту;
Т1 - трудовые затраты в часах за год на обработку информации по предлагаемому варианту;
2) коэффициент относительного снижения трудовых затрат (КТ):
КТ =Т / T0 * 100%; (3.8)
3) индекс снижения трудовых затрат или повышение производительности труда (YT):
YT = T0 / T1.(3.9)
К стоимостным показателям относятся: абсолютное снижение стоимостных затрат (C) в рублях за год, коэффициент относительного снижения стоимостных затрат (КC) индекс снижения стоимостных затрат (YC), рассчитываемые аналогично.
Помимо рассмотренных показателей целесообразно также рассчитать срок окупаемости затрат на внедрение проекта машинной обработки информации (Ток), рассчитываемые в годах, долях года или в месяцах года:
Ток = КП /C,.(3.10)
где КП - затраты на создание проекта (проектирование и внедрение).
Этап составления первичных документов и/или ввода исходных данных будет занимать примерно одинаковое количество времени при различных вариантах организации труда.
Накладные расходы рассчитываются в размере 65% от заработной платы оператора. Часовая амортизация ЭВМ (Ам) рассчитывается по формуле (3.11). Сумма месячной амортизации составляет 200 руб. В среднем в месяце 21 рабочий день. В день ЭВМ работает в течение 10 часов.
. (3.11)
Состав серверного решения представлен в таблице 3.1, стоимость серверного решения составляет 57 630 руб.
Таблица3.1
Состав серверного решения
Узел |
Характеристика |
Количество |
|
Процессор BX80574E5405A |
IntelXeon E5405 (4-ядерный, тактовая частота 2 ГГц, 12 МБ кэш-памяти второго уровня, частота системной шины 1333МГц, активная система охлаждения) |
2 |
|
Системная плата S5000VSASATAR |
Intel S5000VSASATAR (до 16ГБ оперативной памяти, до 6 разъемов SATA). |
1 |
|
Корпус SC5299DP |
Intel SC5299DP (напольное исполнение с возможностью монтажа в стойку высотой 6U, поддержка системных плат расширенного форм-фактора ATX, 2 порта USB 2.0, источник питания мощностью 550 Вт) |
1 |
|
Жесткий диск |
WD 500 ГБ WD5002ABYS SATA II 16Mb |
2 |
|
Оперативная память |
1ГБ DDR-2 PC2-5300 FB |
4 |
|
Привод |
DVD RW |
1 |
Рабочая станция - рабочее место менеджера, конфигурация приводится в таблице 3.2. Стоимость решения составляет 12958,31.
Таблица 3.2
Состав рабочей станции
Узел |
Характеристика |
цена |
|
Процессор |
Процессор AMD Athlon 64 X2 3800+ (2.00ГГц, 2x512КБ, HT1000МГц, 65Вт) SocketAM2 |
1378,13 |
|
Вентилятор |
Вентилятор для Socket754/939/940 TITAN TTC-NK32TZ |
423,68 |
|
Плата |
Мат. плата SocketAM2 ASUS "M2N-X" (nForce 520, 2xDDR2, U133, SATA II-RAID, PCI-E, SB, LAN, USB2.0, ATX) |
1718,06 |
|
Память |
Модуль памяти 2x1ГБ DDR2 SDRAM Corsair XMS2 TWIN2X2048-6400C4DHX G (PC6400, 800МГц, CL4) |
2033,06 |
|
HDD |
Жесткий диск (HDD) 250ГБ SamsungSpinPoint S250 HD250HJ 7200об./мин., 8МБ (SATA II) |
1617,79 |
|
Видео |
Видеокарта PCI-E 256МБPalit GeForce 8600 GT Sonic (GeForce 8600 GT, DDR3, D-Sub, DVI, HDMI) |
2974,65 |
|
CD/DVD |
Привод DVD-RW 18xW/8xRW/16xR/48xW/32xRW/48xR LG GSA-H62N, черный (SATA) |
751,54 |
|
Корпус |
КорпусMiditower IN-WIN "IW-S508U" ATX 2.03, черно-серебр. (450Вт, ATX12V V2.0) |
1915,20 |
|
Вентилятор |
Вентилятор для корпуса ScytheKaze-Jyu SY1025SL12L d100/d90мм (питание от мат.платы и БП) |
146,21 |
Заключение.
В дипломном проекте была спроектирована и разработана Автоматизация защиты персональных данных на примере ОАО «Альфа Банк». Динамический процесс проектирования системы происходил в несколько стадий.
На этапе обследования была рассмотрена общая характеристика объекта автоматизации, его организационная структура и организация работы. На основе анализа сформированы и обоснованы требования к работе системы и к ее отдельным компонентам: программному, информационному, техническому.
На стадии проектирования разработана общая структура информационной системы в целом, а также по каждой отдельной ее задаче. Определены основные проектные решения, что стало основанием для разработки, отладки программной части и для конструирования эксплуатационной документации.
Создание и внедрение автоматизированной системы учета Автоматизация защиты персональных данных на примере ОАО «Альфа Банк» позволит повысить производительность труда менеджера, увеличит объем обрабатываемой информации на 20%, увеличит прибыль банка на 20%, сократить время работы сотрудников с документами, и поиск документов в среднем на 30-35% за счет автоматического анализа информации, имеющейся в базе данных.
Использование информационной системы позволит более глубоко и в полном объеме собирать и анализировать необходимую информацию о запросах, клиентах, кодах доступа.
Отмечено так же повышение эффективности учета конфиденциальной информации. Одним из самых главных качественных результатов является то, что у сотрудника, несущего наибольшую ответственность за правильность учета и доступа, имеется полное представление о запросах, клиентах, кодах доступа, поскольку он сам оперативно организует и контролирует учет. При этом в практику работы персонала входят новые информационные технологии, такие как совместный авторизованный доступ к справочной информации о наличии необходимых ресурсов на складе, автоматизация рутинных операций, доступ к информационно-справочным ресурсам, автоматическое заполнение документов, исключение недостатков бумажных носителей, контроль качества, стандартизация учета.
Для быстрой и полной адаптации пользователя к системе был разработан удобный дружественный интерфейс пользователя и подробное описание работы с системой в руководстве пользователя.
Для обеспечения надежной защиты информации предусмотрена парольная система разграничения доступа к данным и функциям, авторизация вводимой и корректируемой информации, посредством подстановки и анализа данных.
Считаю, что созданная в дипломном проекте автоматизации защиты персональных данных открытого акционерного общества ОАО «Альфа Банк», полностью соответствует информационным требованиям предприятия и сможет поддерживать это соответствие в течение всего жизненного цикла системы.
Список литературы
1. Архангельский А.Я. 100 компонентов общего назначения библиотеки Delphi 5. -- М.: Бином, 1999. -- 266 с.
2. Архангельский А.Я. Delphi 6. Справочное пособие. -- М.: Бином, 2001. -- 1024 с.
3. Архангельский А.Я. Программирование в Delphi 6. -- М.: Бином, 2001. -- 564 с.
4. Архангельский А.Я. Язык SQL в Delphi 5. -- М.: Бином, 2000. -- 205 с.
5. Базы данных: модели, разработка, реализация / Карпова Т.- СПб.: Питер, 2001. -304с.
6. Буч Г. Объектно-ориентированное проектирование с примерами применения. М., 1992. - 654с.
7. Волков В. Ф. Экономика предприятия. - М.: Вита-Пресс, 1998. - 380с.
8. Галатенко В. Информационная безопасность // Открытые системы- 1996. - N 1-4.
9. Глушаков С.В., Ломотько Д.В. Базы данных.- Х.: Фолио, 2002. - 504 с.
10. Гофман В.Э. Хомоненко А.Д. Delphi 5. - СПб.: - Санки-Петербург, 2000. -800с.
11. Гофман В.Э. Хомоненко А.Д. Delphi 6. - СПб.: - Санки-Петербург, 2001. -1145с.
12. Конноли Томас, Бегг Каролин. Базы данных. Проектирование, реализация и сопровождение. Теория и практика. -- М.: Вильямс, 2000. - 1111 с.
13. Культин Н.Б. Delphi 6: Программирование на Object Pascal. -- М.: Бином, 2001. -- 526 с.
14. Культин Н.Б. Delphi 7: Программирование на Object Pascal. -- М.: Бином, 2003. -- 535 с.
15. Маклаков С.В. BPwin и ERwin. CASE-средства разработки информационных систем. -- М.: Диалог-Мифи, 2001. -- 304 с.
16. Фатрелл Р., Шафер Д. Шафер Л. Управление программными проектами: достижение оптимального качества при минимуме затрат. М.: «Вильямс», 2003. - 1128с.
Размещено на Allbest.ru
Подобные документы
Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.
курсовая работа [63,4 K], добавлен 30.09.2013Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.
презентация [2,1 M], добавлен 15.11.2016Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.
контрольная работа [34,1 K], добавлен 29.08.2013