Структура и состав автоматизированных информационных систем

Содержание

Введение 3

1. Структура и состав автоматизированных информационных систем 4

2. Классификация угроз информации в современных

информационных системах 10

3. Задачи                                                                                                                 20 

Заключение 21

Список литературы 23

 

 

 

 

 

 

 

 

Введение

 

Информационные технологии в настоящее время активно  внедряются во все сферы деятельности. Быстро развивающийся рынок электронных  информационных продуктов и услуг  предлагает большое количество отечественных и зарубежных экономических информационных систем (ЭИС) различного назначения [1]. ЭИС – это не только компьютерная техника и применение новейших технологических достижений, но и совокупность внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и в выработке управленческих решений.

 Важнейшим ресурсом  современного предприятия, способным  значительно повлиять на повышение его конкурентоспособности, инвестиционной привлекательности и капитализации, являются корпоративные информационные ресурсы и знания, которые сегодня призваны обеспечивать безопасность.

Характерной чертой нашего времени  являются интенсивно развивающиеся процессы информатизации практически во всех сферах человеческой деятельности. Они привели к формированию новой информационной инфраструктуры, которая связана с новым типом общественных отношений (информационные отношения), с новой реальностью (виртуальной реальностью), с новыми информационными технологиями различных видов деятельности. Сердцевиной современных информационных технологий являются автоматизированные информационные системы (АИС), создание, функционирование и использование которых привело к возникновению специфических понятий, категорий, приемов и навыков.

Цель контрольной работы раскрыть сущность 2 теоретических вопроса и решить задачи. Цель работы предопределила порядок решения задач.

 

 

  1. Структура и состав автоматизированных информационных систем

В составе  информационной системы можно выделить три подсистемы, представленные на рис. 1.

 

Рис. 1 Состав и функциональные группы информационной системы

 

Организационно-технологическая  подсистема сбора информации обеспечивает отбор и накопление данных в информационную систему и включает совокупность источников информации, организационно-технологические цепочки отбора информации для накопления в системе. Без правильно организованной, оперативно и эффективно действующей организационно-технологической подсистемы сбора информации невозможна эффективная организация функционирования всей информационной системы в целом.

Подсистема  представления и обработки информации составляет ядро информационной системы и является отражением представления разработчиками и абонентами системы структуры и картины предметной области, сведения о которой должна отражать информационная система. Подсистема представления и обработки информации является одним из наиболее сложных компонентов при разработке информационной системы.

Нормативно-функциональная подсистема выдачи информации определяет пользователей, или иначе абонентов, системы, реализует целевой аспект назначения и выполнения задач информационной системы.

Информационным ядром (информационным фондом) подсистемы представления и обработки информации АИС, или, говоря иначе, внутренним носителем знаний о предметной области является база данных (БД). Понятие базы данных является центральным в сфере технологий автоматизированных информационных систем. В справочной литературе по информатике приводится следующее определение базы данных — «совокупность данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных программ».1 Нормативно-правовая трактовка понятия базы данных представлена в законе «О правовой охране программ для ЭВМ и баз данных», согласно которому «база данных — это объективная форма представления и организации совокупности данных (например, статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ».

 Другим фундаментальным понятием, непосредственно связанным с  АИС, является система управления базами данных (СУБД), которая по ГОСТу определяется как «совокупность программ и языковых средств, предназначенных для управления данными в базе данных, ведения базы данных и обеспечения взаимодействия ее с прикладными программами». В настоящее время развитие СУБД как специального вида программного обеспечения для создания и эксплуатации АИС приводит к более широким санкциям СУБД. Ввиду этого в расширенном толковании СУБД можно определить как комплекс программных средств, реализующих создание баз данных, их поддержание в актуальном состоянии, а также обеспечивающих различным категориям пользователей возможность получать из БД необходимую информацию. Совокупность конкретной базы данных, СУБД, прикладных компонентов АИС (набор входных и выходных форм, типовых запросов для решения информационно-технологических задач в конкретной предметной области), а также комплекса технических средств, на которых они реализованы, образуют банк данных (БнД), или иначе автоматизированный банк данных (АБД). Таким образом, соотношение понятий БнД, СУБД и БД можно проиллюстрировать схемой, приведенной на рис. 2. По характеру представления и логической организации хранимой информации АИС разделяются на фактографические, документальные и геоинформационные.

Фактографические АИС накапливают и хранят данные в виде множества экземпляров одного или нескольких типов структурных элементов (информационных объектов). Каждый из таких экземпляров структурных элементов или некоторая их совокупность отражают сведения по какому-либо факту, событию и т. д., отделенному (вычлененному) от всех прочих сведений и фактов.2

Структура каждого типа информационного  объекта состоит из конечного  набора реквизитов, отражающих основные аспекты и характеристики сведений для объектов данной предметной области.

К примеру, фактографическая АИС, накапливающая  сведения по лицам, каждому конкретному лицу в базе данных ставит в соответствие запись, состоящую из определенного набора таких реквизитов, как фамилия, имя, отчество, год рождения, место работы, образование и т.д.

Комплектование  информационной базы в фактографических АИС включает, как правило, обязательный процесс структуризации входной информации из документального источника. Структуризация при этом осуществляется через определение (выделение, вычленение) экземпляров информационных объектов определенного типа, информация о которых имеется в документе, и заполнение их реквизитов. 

 

Рис. 2 Соотношение понятий  БнД,  СУ БД и БД

 

 В документальных АИС единичным элементом информации является нерасчлененный на более мелкие элементы документ и информация при вводе (входной документ), как правило, не структурируется, или структурируется в ограниченном виде.

Для вводимого документа могут  устанавливаться некоторые формализованные  позиции — дата изготовления, исполнитель, тематика и т.д. Некоторые виды документальных АИС обеспечивают установление логической взаимосвязи вводимых документов — соподчиненность по смысловому содержанию, взаимные отсылки по каким-либо критериям и т.п.

Определение и установление такой  взаимосвязи представляет собой  сложную многокритериальную и многоаспектную аналитическую задачу, которая не может в полной мере быть формализована.

В геоинформационных АИС данные организованы в виде отдельных информационных объектов (с определенным набором реквизитов), привязанных к общей электронной топографической основе (электронной карте). Геоинформационные системы применяются для информационного обеспечения в тех предметных областях, структура информационных объектов и процессов в которых имеет пространственно-географический компонент, например маршруты транспорта, коммунальное хозяйство и т. п. Разработка и проектирование информационной системы начинаются с построения концептуальной модели ее использования.

Концептуальная  модель использования информационной системы определяет, прежде всего, круг конкретных задет и функций, обеспечиваемых созданием и эксплуатацией информационной системы, а также систему сбора, накопления и выдачи информации. Поэтому другим критерием классификации АИС являются функции и решаемые задачи, основными из которых могут являться:

  • справочные; -  поисковые;
  • расчетные; - технологические.

Справочные функции являются наиболее распространенным типом функций информационных систем и заключаются в предоставлении абонентам системы возможностей получения установочных данных на определенные классы объектов (Лица, Организации, Телефоны, Адреса и т. п.) с жестко или произвольно заданным набором сведений. Видами информационных систем, реализующих чисто справочные функции, являются всевозможные электронные справочники, картотеки, программные или аппаратные «электронные записные книжки» и их более развитые аналоги в виде т.н. персональных информационных систем.

Системы, реализующие поисковые функции, являются наиболее широко распространенным классом информационных систем, которые чаще всего называют информационно-поисковыми системами (ИПС). ИПС в общем виде можно рассматривать как некое информационное пространство, задаваемое в терминах информационно-логического описания предметной области — «информационные объекты», «информационные связи». Пользователям ИПС предоставляется возможность поиска и получения сведений по различным поисковым образам в таком информационном пространстве.

Расчетные функции информационных систем заключаются в обработке информации, находящейся в системе, по определенным расчетным алгоритмам для различных целей. К числу подобных задач относится вычисление определенных статистических характеристик и показателей по экземплярам различных типов объектов и отношений, данные по которым накапливаются в системе. Широко применяющейся разновидностью расчетных информационных систем являются различные системы автоматического проектирования, всевозможные бухгалтерские и финансово-экономические системы.

Технологические функции информационных систем заключаются в автоматизации всего технологического цикла или отдельных его компонент, какой-либо производственной или организационной структуры. К системам, обеспечивающим подобные задачи, относится широкий класс автоматизированных систем управления (АСУ, АСУ ТП). Другой разновидностью технологических информационных систем являются системы автоматизации документооборота. Рассмотренная классификация автоматизированных информационных систем, как и всякая классификация, условна и на практике конкретная АИС может характеризоваться комплексным характером представления информации (например, являться фактографически-документальной системой) и решать комплекс справочных, поисковых, расчетных и технологических задач.

 

2. Классификация угроз  информации в современных

информационных  системах

Безопасность (с точки  зрения экономики) – это интегральная системная характеристика сложных объектов, которая зависит от надежности элементов, устойчивости и стабильности показателей, управляемости параметров и живучести объекта в целом [2].  Если отойти от строго теоретического определения экономической безопасности, то можно дать более простое толкование этому термину через понятие «бизнес». Ведь что такое бизнес – это самостоятельная, осуществляемая с риском деятельность с целью получения систематической прибыли. Эту прибыль может или уже получает кто-то вместо вас. А, следовательно, возникают риски, которые формируются за счет целого списка потенциальных угроз для бизнеса.

 Рассмотрим возможные угрозы  для бизнеса на экономическом  объекте «Торговый центр» (см. рис. 1), которых в настоящее время  достаточно много.

 Экономическая безопасность  предприятия – это такое состояние  коммерческой, финансовой, производственной  и любой другой деятельности  на предприятии, при которой  невозможно или затруднительно  нанести экономический ущерб  данному предприятию.

Рис. 1. Возможные угрозы экономической  безопасности объекта «Торговый  центр»

 Современная «зависимость»  бизнеса от ИТ: качество функционирования  и обслуживания может серьезно  сказаться на экономической безопасности  предприятия, так как высокая  степень централизации корпоративной информации делает ее особенно уязвимой и увеличивает риск утечки данных. Таким образом, одной из составляющих экономической безопасности является информационная. Информационная безопасность - это система, позволяющая выявлять уязвимые места организации, опасности, угрожающие ей, и справляться с ними.

 Событие, которое может вызвать  нарушение функционирования экономического  объекта (фирмы, предприятия, организации  и т.д.), включая искажение, уничтожение  или несанкционированное использование обрабатываемой информации, называется угрозой. Возможность реализации угроз зависит от наличия уязвимых мест. Состав и специфика уязвимых мест определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями обработки информации на предприятии, наличием средств защиты и их характеристиками.

 Следует выделить два основных  класса угроз информационной  безопасности [2]:

1. Непреднамеренные или случайные  действия, выражающиеся в неадекватной  поддержке механизмов защиты и ошибками в управлении (например, если пользователи пишут пароли на бумажках и приклеивают их к мониторам, ни о какой защите информации не может быть и речи).

2. Преднамеренные угрозы – несанкционированное  получение информации и несанкционированная манипуляция данными, ресурсами и самими системами (например, попадание накопителей на жестких (оптических) дисках и магнитных лентах в руки посторонних лиц часто приводит к утечке конфиденциальной информации).

 Сегодня, например, повсеместное  распространение мобильных накопителей информации — таких как flash-диски, винчестеры с USB интерфейсом и т.д. обусловило появление нового класса угроз информационной безопасности. Несанкционированное использование таких устройств нелояльными сотрудниками может привести к утечке информации из корпоративной сети. Единственной альтернативой физическому отключению USB-портов может быть использование специальной системы защиты информации.

 Большинство специалистов в области информационной безопасности считают мобильные накопители главной угрозой бизнеса сегодня (рис. 2) [3].

 

Рис. 2. Самые популярные каналы утечки

 Электронная почта  достаточно долго занимала лидирующие  позиции в рейтинге самых опасных  каналов утечки. Причина в том, что мобильные накопители являются менее заметными: крошечные запоминающие устройства, способные вмещать десятки гигабайтов данных, объем, сравнимый с возможностями жестких дисков. Их вместимость, мобильность и простота подключения — главные причины распространения как оружия инсайдеров. С другой стороны, за электронной почтой на большинстве предприятий зорко наблюдает служба безопасности. А также, очевидно, сложно таким образом переслать большой массив данных.

Просто запретить использование мобильных накопителей не всегда возможно, так как очень часто «флэшки» требуются по производственной необходимости. Это что-то вроде кухонного ножа: с одной стороны — самое распространенное орудие бытовых убийств, а с другой — незаменимый помощник в хозяйстве. Так что вариант с заклеиванием USB-порта ленточкой с голографической наклейкой здесь неуместен. Впрочем, сегодня уже есть широкий выбор специализированного ПО, способного предотвратить утечку программным способом, без таких экзотических средств.

Классификация угроз  безопасности может быть осуществлена разделением угроз на связанные  с внутренними и внешними факторами [2].

 Множество непреднамеренных  угроз, связанных с внешними (по  отношению к бизнесу) факторами,  обусловлено влиянием воздействий, неподдающихся предсказанию (например, угрозы связанные со стихийными бедствиями, техногенными, политическими, экономическими, социальными факторами, развитием информационных и коммуникационных технологий, другими внешними воздействиями).

 К внутренним непреднамеренным относят угрозы, связанные с отказами вычислительной и коммуникационной техники, ошибками программного обеспечения, персонала, другими внутренними непреднамеренными воздействиями. Отдельно следует выделить угрозы связанные с преднамеренными ошибками, возникающие за пределами бизнеса. К таким угрозам относят следующее:

  • несанкционированный доступ к информации, хранящейся в системе;
  • отрицание действий, связанных с манипулированием информацией (например, несанкционированная модификация, приводящая к нарушению целостности данных);
  • ввод в программные продукты и проекты “логических бомб”, которые срабатывают при выполнении определенных условий или по истечении определенного периода времени и частично или полностью выводят из строя компьютерную систему;
  • разработка и распространение компьютерных вирусов;
  • небрежность в разработке, поддержке и эксплуатации программного обеспечения, приводящие к краху компьютерной системы;
  • изменение компьютерной информации и подделка электронных подписей;
  • хищение информации с последующей маскировкой (например, использование идентификатора, не принадлежащего пользователю, для получения доступа к ресурсам системы);
  • перехват (например, нарушение конфиденциальности данных и сообщений);
  • отрицание действий или услуги (отрицание существования утерянной информации);
  • отказ в предоставлении услуги (комплекс нарушений, вызванных системными ошибками, несовместимостью компонент и ошибками в управлении).

 Под несанкционированным  доступом (НСД) к ресурсам информационной  системы понимаются действия по использованию, изменению и уничтожению исполняемых модулей и массивов данных системы, проводимые субъектом, не имеющим права на подобные действия.

 К сожалению, приходится  констатировать, что унифицированный  подход к классификации угроз  информационной безопасности отсутствует. И это вполне объяснимо, так как при всем том многообразии информационных систем, направленных на автоматизацию множества технологических процессов, которые затрагивают различные сферы человеческой деятельности, жесткая систематизация и классификация угроз неприемлема.

 Наиболее приемлемой  в настоящее время можно считать  следующую классификацию (рис. 3).

Рис. 3. Классификация угроз информационной безопасности

Как видно из рисунка, по составу и последствиям ПЗ представляются в виде преступлений, мошенничеств и хулиганств.

Под компьютерным преступлением (КП) следует понимать комплекс противоправных действий, направленных на несанкционированный  доступ, получение и распространение  информации, осуществляемых с использованием средств вычислительной техники, коммуникаций и ПО.

Компьютерное мошенничество  отличается от других видов компьютерных нарушений тем, что его целью  является незаконное обогащение нарушителя.

Компьютерное хулиганство, на первый взгляд, является безобидной демонстрацией интеллектуальных способностей, но последствия подобных действий могут быть весьма серьезными, поскольку они приводят к потере доверия пользователей к вычислительной системе, а также к краже данных, характеризующих личную или коммерческую информацию.

 По типу реализации  можно различать программные  и непрограммные злоупотребления.  К программным относят злоупотребления,  которые реализованы в виде  отдельного программного модуля  или модуля в составе программного  обеспечения. К непрограммным  относят злоупотребления, в основе которых лежит использование технических средств для подготовки и реализации компьютерных преступлений (например, несанкционированное подключение к коммуникационным сетям, съём информации с помощью специальной аппаратуры и др.).

 Компьютерные злоумышленники преследуют различные цели и для их реализации используют широкий набор программных средств. Исходя из этого, представляется возможным объединение программных злоупотреблений по целям в две группы: тактические и стратегические. К тактическим относят злоупотребления, которые преследуют достижение ближайшей цели (например, получение пароля, уничтожение данных и др.). К группе стратегических относятся злоупотребления, реализация которых обеспечивает возможность получения контроля над технологическими операциями преобразования информации, влияние на функционирование компонентов ИС (например, мониторинг системы, вывод из строя аппаратной и программной среды и др.).

 По характеру возникновения  различают непреднамеренные и  преднамеренные злоупотребления. Непреднамеренные угрозы связаны со стихийными бедствиями и другими неподдающимися предсказанию факторами, сбоями и ошибками вычислительной техники и программного обеспечения, а также ошибками персонала. Преднамеренные угрозы обусловлены действиями людей и ориентированы на несанкционированное нарушение конфиденциальности, целостности и/или доступности информации, а также использование ресурсов в своих целях.

 При реализации  угроз безопасности информационные  и коммуникационные технологии  могут выступать в качестве объекта преступления, средства преступления, средства подготовки преступления или среды совершения преступления.

 По месту возникновения  угроз безопасности ЭИС можно  различать угрозы, возникающие в  пределах ЭИС и угрозы, возникающие  во внешней среде.

 По объекту воздействия  следует выделять угрозы, воздействующие  на ЭИС в целом и угрозы, воздействующие на отдельные  ее элементы.

 По причине возникновения  различают такие угрозы, как сбои  оборудования, некорректная работа  операционных систем и программного обеспечения, несанкционированный доступ и неправильное хранение архивных данных, вследствие чего они могут быть утеряны (уничтожены).

 Реализация нарушителями  угроз безопасности ЭИС приводит  к нарушению нормального функционирования  ЭИС и/или к снижению безопасности информации, определенное конфиденциальностью, целостностью и доступностью.

Структура и составляющие информационной безопасности

Таким образом, все перечисленное  можно отобразить в виде схемы, которая  дает полное представление о структуре информационной безопасности (ИБ) [1], которая предусматривает защиту информации от широкого спектра угроз для обеспечения непрерывности бизнеса, минимизации потерь и максимизации возврата от вложенных инвестиций. Каждая организация имеет информационные ресурсы (пункт 1) - знания и умения сотрудников, аппаратное и программное обеспечение, БД, документацию и прочие виды информации (пункт 2).

 Рис. 4. Структура и составляющие информационной безопасности

Важной составляющей ресурса компании является информация о компании в обществе, которая формирует репутацию фирмы, степень доверия к ней со стороны клиентов, популярность бренда и т.д.

 Информационные ресурсы  подвержены потерям в виде  нарушения конфиденциальности, работоспособности,  целостности и полноты (пункт 3). Чем ценнее информация в компании, тем больше опасность вредоносных действий, направленных на завладение ею или на ее уничтожение. Вредоносные действия могут совершаться в виде неавторизованного доступа в сеть, неавторизованного раскрытия информации (утечки информации), модификации данных или ПО, а также мошеннических действий в сети (пункт 4).

 Наличие описанных  уязвимостей определяет угрозы  безопасности, которые представляют  собой риски, требующие введения  мер безопасности. Степень риска  определяет уровень затрат на меры безопасности. Меры безопасности должны гарантировать конфиденциальность, целостность, доступность информации, своевременную отчетность, физическую безопасность и контроль доступа (пункт 5). В свою очередь, меры безопасности могут быть техническими, организационными и управленческими (пункт 6).

 Например, защита от  вирусов может быть реализована  технически - посредством установки  антивируса, а может быть решена  организационно путем запрещения  выхода в интернет, самовольной  установки ПО и использования мобильных накопителей информации.

 Меры безопасности  обеспечиваются различными системами  безопасности: процедурной, физической, системной, коммуникационной и  др. (пункт 7).

 На рисунке показаны  также источники угрозы: намеренные  действия со стороны людей, возможные аварии (ошибки в работе пользователей, программ и оборудования), а также природные факторы (пункт 9).

 Интересно, что  в категорию вандалов и террористов  (представляющих опасность с точки  зрения кражи и повреждения  информации) попадают также журналисты (пункт 8). Впрочем, очевидно, что в плане утечки корпоративной информации журналисты порой представляют не меньшую опасность для корпорации, чем шпионы. Недаром во многих компаниях общаться с журналистами имеют право лишь определенные категории сотрудников - обычно высший менеджмент и сотрудники отдела маркетинга.

 

3.  Задачи  
Заключение

Исходя из вышесказанного, необходимо отметить следующие моменты.

1. Как правило, в состав АИС входят:

  • информационные ресурсы, представленные в виде баз данных (баз знаний), хранящих данные об объектах, связь между которыми задается определенными правилами;
  • формальная логико-математическая система, реализованная в виде программных модулей, обеспечивающих ввод, обработку, поиск и вывод необходимой информации;
  • интерфейс, обеспечивающий общение пользователя с системой в удобной для него форме и позволяющий работать с информацией баз данных;
  • персонал, определяющий порядок функционирования системы, планирующий порядок постановки задач и достижения целей;
  • комплекс технических средств.

Структура — определенное внутреннее устройство системы. Исходя из определения, что информационная система — взаимосвязанная совокупность средств, методов и персонала, используемых для сбора, хранения, обработки и выдачи информации в целях решения поставленных задач, ее структуру следует рассматривать как совокупность определенным образом организованных подсистем, обеспечивающих выполнение этих процессов.

АИС состоит, как правило, из функциональной и обеспечивающей частей, каждая из которых имеет свою структуру. Функция есть проявление взаимодействия системы с внешней средой. Проявление функции во времени называется функционированием. Функциональная часть — совокупность подсистем, зависящих от особенностей АСУ. Эти подсистемы разделяются по определенному признаку (функциональному или структурному) и объединяют в себе соответствующие комплексы задач управления.

Структура и состав автоматизированных информационных систем