Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Контакти
 


Тлумачний словник






Тема 11. Основи створення та безпека функціонування управлінських інформаційних систем обліку

План

1. Моделі життєвого циклу інформаційних систем.

2. Методи створення інформаційних систем.

3. Впровадження інформаційних систем на підприємстві

 

1. Моделі життєвого циклу інформаційних систем

В основі створення, використання та вдосконалення ІС лежить поняття життєвого циклу (ЖЦ). Життєвий цикл є моделлю створення та використання ІС, який відображає різні її стани.

Традиційно виділяють такі основні етапи ЖЦ ІС:

- аналіз вимог;

- проектування;

- адаптування/впровадження;

- тестування і налаштування;

- експлуатація і супровід.

Часто використовується каскадна модель ЖЦ, схема якої наведена на

рис.6.

  Рис.6. Каскадна модель життєвого циклу ІС

 

Ця модель передбачає перехід до наступного етапу роботи лише після повного завершення попереднього.

Спіральна модель використовується для складних ІС крупних економічних систем (рис.7).

Спіральна модель загострює увагу на початкових етапах ЖЦ. Кожний виток спіралі відповідає поетапній моделі створення фрагмента або системи в цілому, в яких уточнюються цілі й характеристики проекту, визначається його якість.

Фахівці відзначають такі переваги спіральної моделі:

- накопичення і повторне використання програмних засобів, моделей і прототипів;

- орієнтація на розвиток і модифікацію системи в ході її проектування;

  Рис.7. Спіральна модель життєвого циклу ІС

 

2. Методи створення інформаційних систем

Головна особливість розробки ІС полягає в поєднанні складності на початкових етапах ЖЦ та порівняно невисокої складності та трудомісткості наступних етапів. Крім цього, питання не вирішені на початкових етапах, породжують на подальших етапах складні проблеми і можуть завадити успішному завершенню розробки.

В залежності від того, як виконується аналіз і проектування, прийнято розрізняти такі методи створення ІС:

- структурно-орієнтовані;

- об'єктно-орієнтовані;

- процесно-орієнтовані.

Методи структурного аналізу дозволяють подолати складність великих систем шляхом розчленування їх на частини, які розглядаються як "чорні скриньки" та ієрархічної організації цих частин.

Перевага використання "чорних скриньок" полягає втому, що їхньому користувачеві не потрібно знати, як вони працюють, - потрібно лише знати їх входи і виходи, а також їх призначення.

Важливе місце в розробці ІС займають об'єктно-орієнтовані методології, засновані на об'єктній декомпозиції предметної області, що подається у вигляді сукупності об'єктів, які взаємодіють між собою за допомогою передачі інформації.

Цей підхід не є протиставленням до структурного підходу. Фрагменти методологій структурного аналізу використовуються при об'єктно-орієнтованому аналізі для моделювання структури і поведінки самих об'єктів.

- аналіз ризику і витрат в процесі проектування.

Основою процесно-орієнтованого підходу до проектування ІС є реінжиніринг бізнесу.

Сучасний підхід до управління підприємством ґрунтується на думці, що автоматизоване управління будується на інших принципах, ніж управління в доком'ютерний період, і вимагає докорінної перебудови всієї системи управління з погляду виконання основних функцій та зв'язків між ними.

Існує інструментарій, яким користуються інженери з управління, аналітики і проектувальники ІС. Цей інструментарій називається CASE- засобами (Computer Aided Software/System Engineering) - сукупність методологій аналізу, проектування, розробки і супроводу складних програмних систем, підтримана комплексом взаємопов'язаних засобів автоматизації. Проте, слід зазначити, що зараз не існує таких систем, які б повністю забезпечували генерування повноцінних програмних модулів, що повністю відповідають встановленим вимогам.

3. Впровадження інформаційних систем на підприємстві

Під час впровадження ІС слід дотримуватись наступних принципів:

1. Ефективність ІС повинна оцінюватись віддачею від інвестицій (поверненням вкладень)

2. Суворе дотримання затвердженого плану, уникаючи додавання до системи нових непередбачених складових

3. Бізнес-процеси підприємства треба описувати та аналізувати до початку впровадження, а не під час реалізації проекту

4. Впровадження повинно виконуватись по модульно, починаючи з модулів, які найшвидше принесуть реальний результат

5. Успішне впровадження - результат тісної співпраці розробника і замовника

Один з типових планів впровадження був запропонований в компанії Oliver Wight, і досвід показує, що подібного плану слід дотримуватись завжди. Цей план передбачає наступні етапи:

1. Попереднє обстеження й оцінка стану підприємства

2. Попередня підготовка до впровадження

3. Технічне завдання

4. Техніко-економічне обґрунтування

5. Організація проекту

6. Визначення цілей

7. Технічне завдання на керування процесами

8. Початкова перепідготовка співробітників

9. Планування і керування верхнього рівня

10. Керування даними

11. Одночасне впровадження різних технологій організації і керування

12. Програмне забезпечення

13. Екстремальне випробування

14. Одержання результатів

15. Аналіз поточного стану

16. Постійна перепідготовка


 

План

1. Інформаційна політика та політика безпеки.

2. Сервіси безпеки та механізми її порушень.

3. Шифрування даних.

4. Засоби захисту операційних систем.

5. Захист апаратних пристроїв.

6. Безпека та захист комп'ютерних мереж.

1. Інформаційна політика та політика безпеки

На сьогоднішній день захист інформації - достатньо розвинена галузь науки і техніки, що пропонує широкий спектр різноманітних засобів захисту даних. Проте жодний окремо взятий засіб не забезпечує потрібного рівня захисту ІС. Захист на потрібному рівні можливий лише за умови комплексного вжиття взаємодоповнюючих заходів, а саме:

- нормативно-правових;

- адміністративних;

- спеціального обладнання та програмного забезпечення.

Нормативно-правові засоби захисту визначаються законодавчими

актами, які регламентують правила користування, опрацювання та передачі інформації обмеженого доступу та встановлюють міру відповідальності за порушення цих правил.

У ст.34 Конституції України визначається право громадян України на інформацію та забезпечення інформаційних процесів.

З липня 2003 року в Україні введена кримінальна відповідальність за незаконне втручання в роботу комп'ютерів чи поширення комп'ютерних вірусів, яке призводить до спотворення, зникнення або блокування доступу до інформації чи носіїв.

Слід брати до уваги також морально-етичні проблеми захисту, які реалізуються у вигляді різних норм, що традиційно сформувались в державі і суспільстві.

Використання систем захисту інформації не приносить прибутку, але її відсутність може стати причиною значних збитків за рахунок:

- втрати конфіденційності;

- втрати даних;

- відмови системи в обслуговуванні користувачів;

- втрати репутації.

Сукупність адміністративних заходів та вибір обладнання і програмного забезпечення повинен здійснюватись окремо для кожної конкретної ІС. Безпеку інформаційної системи не можна один раз придбати і встановити, її потрібно постійно підтримувати. Займатись цим повинні передусім керівники підприємств, відділи інформаційної безпеки, ІТ- менеджери або системні адміністратори.

Незважаючи на те, що політика безпеки повинна розроблятись індивідуально для кожної системи, є низка рекомендацій щодо організації захисту в довільній системі. Ці рекомендації наведені в документі RFC 2196 "Site Security Book" (інструкція з безпеки систем), що є частиною документів RFC (Request for Comment), в яких визначаються стандарти і процедури для Інтернет. Тут дається наступне визначення політики безпеки:

Політика безпеки - це формальний виклад правил, яких повинні дотримуватись особи, що отримують доступ до корпоративних технологій та інформації.

У відповідності до RFC 2196 виділяють чотири етапи формування політики безпеки:

1. Реєстрація всіх ресурсів, які повинні бути захищені

2. Аналіз та створення списків можливих загроз для кожного ресурсу

3. Оцінка ймовірності появи кожної загрози

4. Прийняття рішень, які дозволять економічно ефективно захистити інформаційну систему.

Інформаційні системи наражені на такі загрози:

- несанкціонований доступ;

- ненавмисне розкриття інформації;

- різні види атак, що дозволяють проникнути в мережу або перехопити управління нею;

- комп'ютерні віруси;

- логічні бомби;

- засоби пригальмовування передавання даних;

- природні катаклізми та стихійні лиха.

Щодо визначення економічної ефективності систем захисту, то тут слід керуватись наступним міркуванням: вартість засобів захисту не повинна перевищувати втрат, до яких може спричинити ця загроза, зокрема витрат на відновлення інформації.

2. Сервіси безпеки та механізми її порушень

Сервіс безпеки - це сукупність механізмів, процедур та інших заходів управління для зменшення ризиків, пов'язаних із загрозою втрати або розкриття даних.

Одні сервіси забезпечують захист від загроз, інші - виявляють слабкі місця в системі безпеки.

Основними сервізами безпеки є:

- сервіс аутентифікації;

- сервіс конфіденційності;

- сервіс цілісності;

- сервіс дотримання зобов'язань.

Аутентифікація користувача передбачає два кроки: ідентифікацію - уведення імені, під яким користувач зареєстрований в системі, та верифікацію - уведення пароля, присвоєного даному користувачу.

Останнім часом великого розповсюдження набули системи біометричної аутентифікації.

Конфіденційність означає, що доступ до інформації може бути наданий лише тим користувачам, які мають на це право.

Сервіс цілісності даних забезпечує захист від навмисної чи випадкової зміни даних. Він дозволяє виявити факт зміни, часткового вилучення або доповнення даних.

Сервіс дотримання зобов'язань гарантує, що учасники інформаційного обміну не можуть заперечити факт своєї участі в ньому.

Виділяють чотири основних механізми порушень безпеки даних:

- роз'єднання, коли порушується доступність даних;

- перехоплення, що спричиняє порушення конфіденційності даних;

- модифікація, що призводить до порушення цілісності;

- фальсифікація. В цьому випадку порушується автентичність даних.

Схеми механізмів порушень безпеки даних наведено на рис.8.

Джерело   Адресат
 
  а) нормальний обмін  

 

  Рис.8. Механізми порушень безпеки даних

 

2 Шифрування даних

Ускладнити чи унеможливити читання даних сторонніми особами дозволяє шифрування даних.

Шифрування - це перетворення даних у форму, яка не дає можливості безпосереднього сприйняття зашифрованої інформації.

Шифрування здійснюється з використанням криптографічного ключа. З використанням ключа здійснюється і зворотна процедура - дешифрування (повернення інформації до первинного вигляду).

Використовують два основних методи криптографії (шифрування) даних - симетричний та асиметричний.

Якщо відправник і отримувач користуються одним і тим же ключем, то говорять про симетричну криптографію.

Асиметрична криптографія передбачає використання двох різних ключів. Розрізняють відкриті і таємні ключі. При цьому таємний ключ використовується або на стороні отримувача, або на стороні відправника. Якщо таємний ключ використовується для шифрування інформації (на стороні відправника), то говорять про цифровий підпис.

Ключ - це набір символів, сформований довільним чином з доступних у системі шифрування символів. Довжина такого ключа може коливатись від 16 до 128 біт.

У практику бізнесу увійшла також удосконалена система шифрування, що має назву цифровий сертифікат. Цифровий сертифікат пов'язує ім'я з відкритим ключем. Він створюється для того, щоб можна було виявити несанкціоновану заміну імені або відкритого ключа. До складу сертифікату входять: ім'я, відкритий ключ і підпис. Найрозповсюдженішим стандартом, що описує формат сертифікатів відкритих ключів, є стандарт Х.509, за яким цифровий підпис ставиться вповноваженим сертифікаційним центром.

3 Засоби захисту операційних систем

Операційна система є найважливішим програмним забезпеченнямкожної ІС. Основи стандартів у сфері захисту операційних систем були закладені "Критеріями оцінки надійних комп'ютерних систем. Цей документ, виданий в США 1983 року національним центром комп'ютерної безпеки (NCSC - National Computer Security Center), називають "оранжевою книгою".

Основними є наступні методи захисту операційних систем: 1. Паролі та облікові записи користувачів. Компанія RSA Security під час вибору паролів рекомендує:

- використовувати пароль завдовжки не менше 10 символів;

- суміщати в паролі символи верхнього і нижнього регістру, цифри та інтервали;

- не використовувати один символ більше двох разів;

- уникати слів, які мають змістовне значення;

- уникати використання особистої інформації;

- запам'ятовувати, а не записувати пароль.

2. Групова політика. Під час реалізації групової політики є можливість об'єднання користувачів у групи, закріпивши за всіма учасниками групи певні (однакові) права доступу до даних.

4 Захист апаратних пристроїв

Необхідність захисту апаратних засобів обґрунтовується наступними засадами:

- будь-який механічний або електронний пристрій рано чи пізно відмовить;

- якість електричної енергії, необхідної для живлення апаратних засобів, завжди може стати нижчою, ніж це допустимо.

В зв'язку з цим використовуються такі способи захисту:

1. Резервування апаратних засобів

2. Використання технології RAID

3. Резервування даних

5 Безпека та захист комп 'ютерних мереж

Для захисту мереж використовуються наступні засоби:

a. Брандмауер.

Брандмауер - апаратно-програмний комплекс, що дозволяє розділити мережу на кілька частин, в кожній з яких можна визначити свій окремий набір правил проходження пакетів з одної частини в іншу.

Розрізняють три типи брандмауерів:

- фільтри пакетів;

- лінійні шлюзи;

- шлюзи прикладного рівня.

2. Система збору статистики та попередження про атаку

3. Захищені мережеві і транспортні протоколи (IPSec для VPN, SSL

4. Протоколи прикладного рівня для забезпечення захисту (S/MIME, SET).


Рекомендована література

1. Батюк А.Є. та ін. Інформаційні системи в менеджменті: Навчальний посібник. - Львів: НУ "Львівська політехніка", 2004.

2. Гордієнко І.В. Інформаційні системи і технології в менеджменті.

- К.: КНЕУ, 2003.

3. Гужва В.М. Інформаційні системи і технології на підприємствах.

- К.: КНЕУ, 2001.

4. Дубина А.Г. и др. Excel для ^кономистов и менеджеров. - СПб.: Питер, 2004.

5. Інформаційні системи і технології в економіці. / за ред. В.С.Пономаренка. - К.: ВЦ "Академія", 2002.

6. Мур Джеффри и др. ^кономическое моделирование в Microsoft Excel, 6-е изд.: Пер. с англ. - М.: ИД "Вильямс", 2004.


Читайте також:

  1. A) правові і процесуальні основи судово-медичної експертизи
  2. ACCESS. СТВОРЕННЯ ЗВІТІВ
  3. ACCESS. СТВОРЕННЯ ФОРМ
  4. Active-HDL як сучасна система автоматизованого проектування ВІС.
  5. I. Органи і системи, що забезпечують функцію виділення
  6. I. Особливості аферентних і еферентних шляхів вегетативного і соматичного відділів нервової системи
  7. II. Анатомічний склад лімфатичної системи
  8. II. Бреттон-Вудська система (створена в 1944 р.)
  9. III етап. Системний підхід
  10. IV. Розподіл нервової системи
  11. IV. Система зв’язків всередині центральної нервової системи
  12. IV. УЗАГАЛЬНЕННЯ І СИСТЕМАТИЗАЦІЯ ВИВЧЕНОГО




Переглядів: 771

<== попередня сторінка | наступна сторінка ==>
Тема 10. Інтегровані інформаційні системи управління підприємством. | I. Вступна частина

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.005 сек.