ПОСТРОЕНИЕ РАЦИОНАЛЬНОЙ ЗАЩИТЫ

Необходимо отметить, что защита системы не может быть абсолютной. Она и не должна строиться как абсолютная. Это потребовало бы существенного увеличения затрат на ее создание и эксплуатацию, а также неизбежно привело бы к снижению про­изводительности системы по основным производственным фун­кциям. Защита должна строиться как рациональная, т.е. с опти­мальными по некоторому критерию характеристиками, что все­гда составляет предмет самостоятельного исследования.

Информационные системы являются сложными и комплекс­ными, поэтому выбор даже рациональной степени защищеннос­ти является сложной проблемой, которая может быть, например, проблемой полиоптимизации или векторной оптимизации. Воз­можны и упрощенные подходы с учетом конкретных особеннос­тей задачи. Для иллюстрации ниже приводится пример анализа условий рациональной защиты информации в базах данных от злонамеренного искажения или порчи.

Предполагается, что проблема защиты собранной регуляр­ным образом на предприятии информации возникает тогда, ког­да ставится задача обеспечения гарантированной сохранности данных, содержащихся в базах данных, от лиц, желающих ее ис­правления.

Решение задачи рациональной защищенности данных может достигаться, например, за счет введения системы паролей, исполь­зования криптографических методов защиты информации, уста­новления собственных командных процессоров, загрузчиков, со­здания и загрузки резидентных программ, перехватывающих пре­рывания и обрабатывающих команду от пользователя с последу­ющей ее блокировкой, если команда окажется запрещенной для данной системы. Возможно также использование установки соб­ственной главной загрузочной записи (MBR) на жестком диске.

Применительно к условиям охраны данных от активных по­пыток их похищения или порчи с учетом анализа особенностей задачи определяется следующий перечень мер по обеспечению защиты информации :

· аутентификация пользователя по паролю и, возможно, по ключевой дискете или аппаратному ключу;

· разграничение доступа к логическим дискам;

· прозрачное шифрование логических дисков;

· шифрование файлов с данными;

· разрешение запусков только строго определенных для каждого пользователя программ;

· реакция на несанкционированный доступ;

· регистрация всех попыток несанкционированного доступа в систему и входа/выхода пользователя в систему;

· создание многоуровневой организации работы пользователя с расширением предоставляемых возможностей при перехо­де на более высокий уровень;

· предоставление пользователю минимума необходимых ему функций.

Наиболее эффективны системы защиты, разработка которых ведется параллельно с разработкой защищаемой информацион­ной структуры. При создании систем защиты принято придер­живаться следующих принципов :

1) постоянно действующий запрет доступа; в механизме за­щиты системы в нормальных условиях доступ к данным должен быть запрещен, запрет доступа при отсутствии особых указаний обеспечивает высокую степень надежности механизма защиты;

2) простота механизма защиты; это качество необходимо для уменьшения числа возможных неучтенных путей доступа;

3) перекрытие всех возможных каналов утечки, для чего дол­жны всегда и гарантированно проверяться полномочия любого обращения к любому объекту в структуре данных; этот принцип является основой системы защиты. Задача управления доступом должна решаться на общесистемном уровне, при этом необходи­мо обеспечивать надежное определение источника любого обра­щения к данным;

4) независимость эффективности защиты от квалификации потенциальных нарушителей;

5) разделение полномочий в сфере защиты и доступа, т.е. при­менение нескольких разных ключей защиты;

6) предоставление минимальных полномочий;

7) максимальная обособленность механизма защиты; для ис­ключения передачи пользователями сведений о системе защиты друг другу рекомендуется при проектировании защиты миними­зировать число общих для нескольких пользователей парамет­ров и характеристик механизма защиты;

8) психологическая привлекательность защиты, для чего тоже важно добиваться, чтобы защита была по возможности простой в эксплуатации.

При построении систем защиты, основанных даже не на всех, а только на некоторых из вышеперечисленных принципов, воз­никают серьезные препятствия, связанные с большими затрата­ми на их реализацию. В связи с этим защита и должна быть не абсолютной, а только рациональной, т.е. изначально должна предполагаться в допустимой степени возможность злонамерен­ного проникновения в базу данных.

Активность посягательств, классификация похитителей, ха­рактеристики потока посягательств, ущерб от потери или порчи каждого из элементов информационной структуры, набор вари­антов способов защиты, их прочность и стоимость одного сеан­са защиты тем или иным способом - все эти данные нужно задать либо определить тем или иным путем.

Оценка возможных суммарных затрат, связанных с функцио­нированием системы защиты базы данных, включает суммарную стоимость Z работы всех способов защиты во всех возможных их наборах применительно ко всем областям базы данных и сум­му возможных потерь П, возникающих при проникновении по­хитителей через все способы защиты в различных их сочетаниях ко всем областям базы данных; эта оценка определится формулой

SUM = Z + П

С учетом того, что составляющие Z и Я в зависимости от сте­пени защищенности базы данных изменяются противоположным образом, величина SUM может иметь минимум при некоторой комбинации вариантов способов зашиты областей базы данных. В связи с этим для построения рациональной структуры системы зашиты необходимо ее минимизировать, т.е.

SUM = Z + П => min

Поиск решения может осуществляться различными метода­ми, например можно отыскивать решение на множестве вариан­тов комбинаций степеней защиты, т.е. путем перебора их возмож­ных наборов по множеству областей базы данных вложенными циклами по вариантам допустимых способов зашиты. Таким пу­тем будут определены индексы защит для каждой из защищае­мых областей базы данных, что даст для каждой области один определенный метод или совокупность нескольких методов защиты.

Такой подход позволяет подобрать самый дешевый из допус­тимых способов защиты для каждой из областей, при котором общая сумма затрат, связанных с функционированием защиты, и потерь, возникающих при несанкционированном доступе, будет минимальной.

Аналогично можно поставить и решить задачу выбора вари­анта структуры системы защиты в более сложных условиях, вы­полнив полноразмерный проект такой системы при соответству­ющих затратах на его выполнение. Если информация в базе дан­ных стоит того, чтобы ее защищать, то и на создание системы защиты придется затратить соразмерные средства.

Вопросы самопроверки

1) Как понимать комплексную защищенность информационных ресурсов?

2) В чем острота проблемы именно комплексной защищенности информационных ресурсов?

3) В чем сущность объекта правовой охраны в сфере информатизации?

4) Как складываются характерные правоотношения субъектов в сфере информатизации?

5) В чем состоят особенности информатизации как сферы правового регулирования на разных этапах жизненного цикла обработки информации?

6) Что составляет суть специфики сферы информатизации?

7) В чем состоит логика формирования законодательства по вопросам информатизации на разных этапах жизненного цикла обработки информации?

8) Как выглядит законодательство об интеллектуальной собственности в сфере информатизации?

9) В чем состоят основные правонарушения в сфере информатизации?

10) Как и почему возникают проблемы технологической защищенности информационных ресурсов?

11) Как происходит формирование основ технологической защищенности информационных ресурсов?

12) Что представляют собой международные стандарты в корпоративных информационных системах?

13) Какую роль играют корпоративные стандарты в корпоративных информационных системах?

14) Что такое техническая защищенность информационных ресурсов?

15) Как осуществляется процесс шифрования и дешифрования в информационных технологиях?

16) Как осуществляется организация комплексной защиты информационных систем?

17) Какие типичные правонарушения совершаются в области технической защищенности систем? Какую роль играют так называемые хакеры в сфере информатизации?

18) Как организовать построение рациональной защиты информационных ресурсов? Какие критерии рациональности можно привести в качестве примеров?


Литература

 

1. Ананьин В.И. Корпоративные стандарты – опора автоматизации // Системы управления базами данных. – 1997. - № 5. – с. 4-17.

2. Батурин Ю.М. Проблема компьютерного права. – М.: Юрид. Лит., 1991. – 272 с.

3. Введение в информационный бизнес / Под ред. В.П. Тихомирова и А.В. Хорошилова. – М. Финансы и статистика, 1996. – 240 с.

4. Гребенников П.И., Леусский А.И., Тарасевич Л.С. Микроэкономика. СПб.: Изд-во СПбУЭФ, 1998. – 447 с.

5. Дмитров В.И., Макаренков Ю.М. CALS-стандарты // Автоматизация проектирования. – 1997. - № 2. – с. 16-23; № 3. – с.31-39; № 4. – с.31-35.

6. Дружинин Г.В. Надежность автоматизированных систем. – М.: Энергия, 1977. – 536 с.

7. Егоршин А.П. Управление персоналом. – Н.Новгород: НИМБ, 1999. – 900 с.

8. Зверинцев А.Б. Коммуникационный менеджмент. – Спб.: Союз, 1997. – 288 с.

9. Знакомьтесь: компьютер. – М.: Мир, 1989. – 240 с.

10. Инновационный менеджмент: Учебник для вузов / С.Д. Ильенкова, Л.М. Гохберг, С.Ю. Ягудин и др.; Под ред. С.Д. Ильенковой. – М.: Банки и биржи, ЮНИТИ, 1997. – 768 с.

11. Информатика / Под ред. Н.В. Макаровой. – М.: Финансы и статистика, 1997. – 768 с.

12. Информационные системы в экономике / Под ред. В.В. Дика. – М.: Финансы и статистика, 1996. – 230 с.

13. Калянов Г.Н. Консалтинг при автоматизации предприятий. Подходы, методы, средства. – М.: Изд-во «Синтег», 1998. – 320 с.

14. Карминский А.М., Нестеров П.В. Информатизация бизнеса. – М.: Финансы и статистика, 1997. – 416 с.

15. Контроллинг в бизнесе. Методологические и практические основы построения контроллинга в организациях / А.М. Карминский, Н.И. Оленев, А.Г. Примак, С.Г. Фалько. – М.: Финансы и статистика, 1998. – 254 с.

16. Концепция формирования единого информационного пространства России и соответствующих государственных ресурсов. – М.: Информрегистр, 1996. – 40 с.

17. Копытов В.А. Информационное право. – М.: Юристь, 1997. – 472 с.

18. Костров А.В. Системный анализ и принятие решений. – Владимир; Владимир. Гос. Ун-т, 1995. – 68 с.

19. Костров А.В. Введение в информационный менеджмент. - Владимир; Владимир. гос. техн. ун-т, 1996. – 132 с.

20. Костров А.В. Динамика мирового рынка средств информатизации. Владимир; Владимир. гос. ун-т, 1998. – 136 с.

21. Кузьминский М. Краткий путеводитель по «интелпроцессорным джунглям» //Computerworld Россия. – 1998. - № 37. – с. 10,12; № 38. – с. 12,13.

22. Кутер М.И. Эксплуатация ЭВМ в условиях хозяйственного расчета. – М.: Финансы и статистика, 1990. – 143 с.

23. Левшин И. Взлеты и падения полупроводников // Computerworld Россия. – 1998. - № 41. – с. 34-36.

24. Марка Д.А., МакГоуэн К. Методология структурного анализа и проектирования. – М.: МетаТехнология, 1993. – 240 с.

25. Международные стандарты ИСО по качеству (семейство ИСО 9000). – СПб: Инженерный центр «Аргус-Стандарт», 1995. – 44 с.

26. Мельников В.В. Защита информации в компьютерных сетях. – М.: Финансы и статистика; Электроинформ, 1997. – 368 с.

27. Мескон М.Х., Альберт М., Хедуори Ф. Основы менеджмента. – М.: Дело, 1992. – 702 с.

28. Мильнер Б.З. Теория организаций. – М.: Инфра-М, 1998.- 336 с.

29. Ойхман Е.Г., Попов Э.В. Реинжиниринг бизнеса: реинжиниринг бизнеса и информационные технологии. – М.: Финансы и статистика, 1997. – 336 с.

30. Попков В.П. Интенсификация использования и обновления средств вычислительной техники. – Л.: Машиностроение. Ленингр. отделение, 1990. – 152 с.

31. Советов Б.Я. Информационная технология. – М.: Высш. шк., 1994. – 200 с.

32. Советов Б.Я., Цехановский В.В. Автоматизированное управление современным производством. – Л.: Машиностроение, 1998. – 167 с.

33. Управление вычислительным центром / Под ред. Ю.П. Лапшина. – М.: Финансы и статистика, 1987. – 288 с.

34. Управление персоналом: учебник для вузов / Под ред. Т.Ю. Базарова, Б.Л. Еремина. – М.: Банки и Биржи, ЮНИТИ, 1998. – 423 с.

35. Фатхутдинов Р.А. Производственный менеджмент: Учебник. – М.: Банки и Биржи, ЮНИТИ, 1997. – 447 с

36. Финансовый менеджмент: Учебник / Под ред. Г.Б. Поляка. – М.: Финансы, ЮНИТИ, 1997. – 518 с

37. Хабарова Л.П. Учет основных средств и нематериальных активов. Книга 1 из серии «Учетная политика». – М.: Библиотечка журнала «Бухгалтерский бюллетень», 1996 – 208 с.

38. Экономика вычислительных центров и правовое обеспечение их деятельности. – Киев: Наукова думка, 1987. – 108с.

 

СЛОВАРЬ ТЕРМИНОВ

Автоматизированная система управления (АСУ) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения тех или иных задач.

Администратор данных – работник, основная функция которого состоит в организации ведения информационной структуры организации, т.е. в организации ввода данных в базы, хранения их и выдачи по запросам приложений.

Амортизация основных средств – накопление средств, предназначенных для восстановления изношенных основных фондов, путем включения в отпускную цену продукции части стоимости основных фондов

База данных – совокупность связанных данных, правила организации которых основаны на общих принципах их описания, хранения и использования

Балансовая стоимость основных фондов – полная стоимость, включающая все затраты, связанные с соответствующим объектом, т.е. затраты на приобретение, доставку, установку, испытания и т.д., на базе которого определяется амортизация.

Вирус– обычно небольшая вредоносная программа, которая может в определенных условиях репродуцироваться или внедряться в другие программы. Как таковая программа-вирус производит в зараженной программе какое-либо искажение или уничтожает ее.

Группа– два лица или более, которое взаимодействуют друг с другом таким образом, что каждое лицо оказывает влияние на других и одновременно находится под влиянием других лиц.

Групповая динамика – социальный процесс взаимодействия индивидов в малых группах.

Данные – признаки и наблюдения об объектах и процессах ,которые собраны и хранятся в том или ином виде.

Доступ– процедура установления связи с памятью и размещенным в ней файлом для записи и чтения данных.

Жизненный цикл – последовательность типовых этапов, характеризующих состояние объекта (системы, изделия) с течением времени; например, создание – внедрение – сопровождение – ликвидация.

Защита данных – система ограничений, налагаемых на действия пользователя, а также на каталоги и файлы.

Износ – утрата средствами труда их первоначальных качеств.

Инновация– процесс, главной функцией является изменение.

Информация – используемые данные.

Информационная технология – технологический процесс, в котором используется совокупность средств и методов сбора, обработки и передачи данных.

Информационное общество – общество, в котором большинство работающих занято производством, сбором ,хранением, переработкой и использованием информации, прежде всего, в ее высшей форме – форме знаний.

Информационный ресурс – отдельные документы и массивы документов ,документы и массивы документов в информационных системах (библиотеках, архивах, банках данных, других информационных системах).

Информационный менеджмент:

  • в узком смысле – круг задач управления производственного и технологического характера в сфере основной деятельности организации, в той или иной мере использующих ИС и реализованные в ней ИТ;
  • в широком смысле – совокупность задач управления на всех этапах жизненного цикла организации, включающая действия и операции как с информацией в различных ее формах и состояниях, так и с организацией в целом на основе информации.

Комплексная защищенность системы – совокупность понятий, критериев и средств, учитывающая разнородные и, возможно, противоречивые требования к сохранности всех ценностей, сосредоточенных в системе.

Корпоративная информационная система (КИС) - информационная система, отражающая деятельность корпорации, т.е. организация, которая состоит из нескольких частей, имеющих определенную самостоятельность, но вместе с тем координирующих свою деятельность. КИС объединяет бизнес-стратегию организации и информационные технологии для реализации управленческой идеологии.

Лидерство - способность человека оказывать влияние на других людей и на руппы людей, направляя их на достижение поставленных целей.

Межличностные барьеры – коммуникативные помехи или препятствия, обусловленные различиями в свойствах взаимодействующих личностей.

Мотивация– формирование у работника собственного желания, внутренней потребности в выполнении поручаемой работы.

Надежность – качество, определяющее способность системы выполнят свои функции.

Оборотные средства – деньги, а также средства, которые могут быть быстро обращены в деньги, используемые в течение достаточно короткого периода времени (до одного года).

Обратная связь – информация о текущих результатах выполнения функции, получаемая непосредственно в ходе ее выполнения.

Операционная система – совокупность программных средств, обеспечивающих управление аппаратной частью компьютера и прикладными программами, а также взаимодействием с пользователем.

Организационное поведение – дисциплина, входящая в базовую подготовку менеджера и посвященная изучению человека-работника как элемента организации, группы работников и организации в целом как группы работников.

Основные фонды – здания, сооружения ,машины и другие средства, которые используются в течение длительного времени (более одного года) без изменения своей формы.

Платформа– согласованная совокупность базовых вычислительных (компьютер) и программных (операционная система) средств.

Полная стоимость владения (Total Cost of Ownership) - сумма всех затрат (издержек), связанных с приобретением и использованием изделия по его назначению.

Процессор – устройство ЭВМ, непосредственно выполняющее основные операции с данными и командами.

Разработка данных – направленный поиск информации в структурах данных и формирование на этой основе субструктур, ориентированных на конкретные задачи анализа данных.

Рациональная защищенность системы – такая защищенность системы, при которой учитывается возможность преодоления защиты и оценивается стоимость возникающих при этом потерь.

Система отображения информации – совокупность аппаратных и программных средств, обеспечивающих представление информации оператору.

Системный администратор – работник, управляющий ресурсами информационной системы и определяющий порядок выполнения запросов на ресурсы, поступающих от приложений.

Статус – социальный ранг личности в группе.

Телекоммуникационные сети – система средств, связывающих удаленных партнеров в целях передачи информации.

Телекоммуникационные услуги – услуги, предоставляемые телекоммуникационными сетями.

Управление персоналом – функция менеджмента, имеющая основной целью формирование и эффективное использование кадрового потенциала (ресурса) организации.

Функциональное моделирование – построение модели деятельности организации на базе набора основных функций, характеризующих данную сферу деятельности.

Харизма – свойство личности, вызывающее у других людей слепую веру ,желание подчиниться, следовать в всем.

Хост-компьютер – компьютер, включенный в состав сети Интернет в качестве одного из ее базовых компьютеров (Host - хозяин).

Хранилище данных (Data Warehouse) - упорядоченное, ориентированное на использование различными аналитическими приложениями собрание данных, включающее информацию о деятельности организации, по крайней мере, за несколько лет.

Цели – определенные показатели, к которым организация (индивидуум) стремится в течение некоторого периода времени.

«Человеческий фактор» - совокупность требований и условий, определяющих качество работы системы и обусловленные наличием и особенностями человека-оператора в составе системы.

Шифрование данных – преобразование данных с помощью специальных кодирующих программ, делающее невозможным непосредственное чтение.

Электронная коммерция (e-commerce) – осуществление сделок на основе систем телекоммуникации.

Электронная почта – система, дающая возможность на основе сетевого использования компьютеров получать, хранить и отправлять сообщения.

Эргономическое проектирование – согласование характеристик интерфейса «человек-машина» с требованиями, предъявляемыми условиями работы оператора в данной системе.

Язык SQL (Strctured Query Language) – структурно упорядоченный язык, предназначенный для работы с базами данных.