Оперативные методы повышения безопасности функционирования информационных систем

Невозможность обеспечить в процессе создания ИС ее абсолютную защищенность даже при отсутствии злоумышленных воздействий заставляет искать дополнительные методы и средства повышения безопасности функционирования системы на этапе эксплуатации.

Для этого разрабатываются и применяются методы оперативного обнаружения дефектов при исполнении программ и искажений данных путем введения в них временной, информационной и программной избыточности. Эти же виды избыточности используются для оперативного восстановления искаженных программ и данных и предотвращения возможности развития угроз до уровня, нарушающего безопасность функционирования информационной системы.

Для обеспечения высокой надежности и безопасности функционирования системы необходимы вычислительные ресурсы для максимально быстрого обнаружения проявления дефектов, возможно точной классификации типа уже имеющихся и вероятных последствий искажений, а также для автоматизированных мероприятий, обеспечивающих быстрое восстановление нормального функционирования системы.

Временная избыточность состоит в использовании некоторой части производительности ЭВМ для контроля исполнения программ и восстановления (рестарта) вычислительного процесса. Для этого при проектировании информационной системы должен предусматриваться запас производительности, который будет затем использоваться на контроль и повышение надежности и безопасности функционирования.

Величина временной избыточности зависит от требований к безопасности функционирования критических систем управления или обработки информации и находится в пределах от 5-10% производительности до трех-четырехкратного дублирования в мажоритарных вычислительных комплексах.

Оперативные методы повышения безопасности функционирования информационных систем - student2.ru Информационная избыточность состоит в дублировании накопленных исходных и промежуточных данных, обрабатываемых программами.

Избыточность используется для сохранения достоверности данных, которые в наибольшей степени влияют на нормальное функционирование системы и требуют значительного времени для восстановления.

Оперативные методы повышения безопасности функционирования информационных систем - student2.ru Программная избыточность используется для контроля и обеспечения достоверности наиболее важных решений по управлению и обработке информации.

Она заключается в сопоставлении результатов обработки одинаковых исходных данных разными программами и исключении искажения результатов, обусловленных различными аномалиями.

Программная избыточность необходима также для реализации средств автоматического контроля и восстановления данных с использованием информационной избыточности и для функционирования всех средств защиты, использующих временную избыточность.

Таким образом, введение избыточности в программы и данные способствует повышению качества функционирования информационной системы. Особенно большое влияние избыточность может оказывать на надежность и безопасность решения задач в критических системах реального времени. При этом возможно снижение затрат на отладку и частичное обеспечение необходимой надежности и безопасности системы за счет средств повышения помехоустойчивости, оперативного контроля и восстановления функционирования программ и данных.

В зависимости от степени проявления и причин обнаружения искажений возможны следующие оперативные меры для ликвидации их последствий, восстановления информации и сохранения безопасности процессов обработки данных и управления:

§ игнорирование обнаруженного искажения вследствие слабого влияния на весь процесс функционирования и выходные результаты;

§ исключение сообщения из обработки вследствие его искажения или трудности предстоящего восстановления вычислительного процесса;

§ повторение функциональной группы программ при тех же исходных данных или восстановление данных в процессе последующей обработки;

§ кратковременное прекращение решения задач данной группы прикладных программ до обновления исходных данных;

§ перестройка режима работы или структуры системы для снижения влияния перегрузки или в связи с потерей информации о ходе процесса обработки данных и управления;

§ переход на резервную ЭВМ с накопленной информацией о ходе процесса управления или восстановление информации за счет ее дублирования;

§ восстановление процесса управления или обработки информации с режима начального пуска всей системы с оперативным вмешательством обслуживающего персонала.

Последний метод не всегда гарантирует целостность, непрерывность и полную безопасность процесса взаимодействия ЭВМ с объектами внешней среды, а при остальных типах оперативной реакции на выявленные дефекты обязательно проявляются более или менее длительные отклонения от нормального хода процесса обработки информации.

Выбор метода оперативного восстановления происходит в условиях значительной неопределенности сведений о характере предотказовой ситуации и степени ее возможного влияния на работоспособность и безопасность системы. Восстановление работоспособности желательно производить настолько быстро, чтобы отказовую ситуацию можно было свести до уровня сбоя.

Оперативная индикация отклонений от нормы при функционировании системы позволяет пользователям контролировать аномалии в процессе обработки данных и в особых случаях оперативно корректировать реакцию системы защиты на выявление искажений.

Средства оперативной защиты вычислительного процесса, программ и данных являются сложными системами и не застрахованы от ошибок, способных привести к нарушению безопасности функционирования систем. Поэтому необходим комплексный анализ, распределение ресурсов и видов избыточности для максимизации безопасности применения информационных систем.

Оперативные методы повышения безопасности функционирования информационных систем - student2.ru Вопросы для самопроверки:

1. Что понимается под ошибкой информационной системы в контексте технологической безопасности?

2. Какие методы снижения угроз технологической безопасности системы Вам известны?

3. Приведите оперативные методы повышения безопасности системы. На Ваш взгляд, какой из них является наиболее продуктивным?

4. Что представляют собой средства оперативной защиты вычислительного процесса системы?

Вернуться к содержанию

Глоссарий

Автоматизированные информационные системы – ИС, которые предполагают участие в процессе обработки информации и человека, и технических средств, причем главная роль отводится компьютеру.

Автоматические информационные системы – ИС, которые выполняют все операции по переработке информации без участия человека.

Анализ (аналитическая функция) - функция, которая связана с изучением итогов выполнения планов и заказов, определением влияющих факторов, выявлением резервов, изучением тенденций развития и т.д.

Безопасность информационной системы- свойство системы, в силу которого посторонние лица не имеют доступа к информационным ресурсам организации, кроме тех, которые для них предназначены.

Верификация- это процесс определения соответствия текущего состояния разработки, достигнутого на данном этапе, требованиям этого этапа.

Внешние связи организации - связи, при которых некоторые подразделения взаимодействуют с внешними системами, причем их взаимодействие также может быть как информационным, так и функциональным.

Восстанавливаемость информационной системы – способность полного восстановления функционирования программ после перезапуска (рестарта) после сбоя или отказа.

Гибкость информационной системы - возможность приспособления информационной системы к новым условиям, новым потребностям предприятия.

Групповые информационные системы – ИС, ориентированные на коллективное использование информации членами рабочей группы и чаще всего строятся на базе локальной вычислительной сети.

Децентрализация технического обеспеченияинформационной системы - техническое обеспечение, которое предполагает реализацию функциональных подсистем на персональных компьютерах непосредственно на рабочих местах.

Жизненный цикл информационной системы - непрерывный процесс, начинающийся с момента принятия решения о создании информационной системы и заканчивающийся в момент полного ее изъятия из эксплуатации.

Интегрированные (кopпopативные) информационные системы – ИС, которые используются для автоматизации всех функций фирмы и охватывают весь цикл работ от проектирования до сбыта продукции.

Информационная избыточностьинформационной системы – метод, который состоит в дублировании накопленных исходных и промежуточных данных, обрабатываемых программами.

Информационная система - взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.

Информационное обеспечениеинформационной системы - совокупность единой системы классификации и кодирования информации, унифицированных систем документации, схем информационных потоков, циркулирующих в организации, а также методология построения баз данных.

Информационно-поисковые системы - ИС, производящие ввод, систематизацию, хранение, выдачу информации по запросу пользователя без сложных преобразований данных.

Информационно-решающие системы – ИС, осуществляющие все операции переработки информации по определенному алгоритму.

Информационные связи организации - связи, при которых подразделения обмениваются информацией (документами, факсами, письменными и устными распоряжениями и т.п.).

Информационные системы автоматизированного проектирования (САПР) – ИС, предназначенные для автоматизации функций инженеров-проектировщиков, конструкторов, архитекторов, дизайнеров при создании новой техники или технологии.

Информационные системы организационного управления - ИС, которые предназначены для автоматизации функций управленческого персонала.

Информационные системы управления технологическими процессами (ТП) – ИС, которые служат для автоматизации функций производственного персонала.

Информационные системы, создающие управленческие отчеты – ИС, обеспечивающие информационную поддержку пользователя, т.е. предоставляющие доступ к информации в базе данных и ее частичную обработку.

Кадровая деятельность - деятельность, направленная на подбор и расстановку необходимых фирме специалистов, а также ведение служебной документации по различным аспектам.

Контрольная функция - функция, заключающаяся в осуществлении (менеджером) контроля за выполнением планов, расходованием материальных ресурсов, использованием финансовых средств и т.п.

Корпоративная информационная система (КИС) - совокупность специализированного программного обеспечения и вычислительной аппаратной платформы, на которой установлено и настроено программное обеспечение, предназначены для рабочих групп. Ориентированы на крупные компании и могут поддерживать территориально разнесенные узлы или сети.

Коэффициент готовностиинформационной системы – коэффициент, отражающий вероятность иметь восстанавливаемую систему в работоспособном состоянии в произвольный момент времени.

Mapкетинговая деятельность - деятельность, которая включает в себя анализ рынка производителей и потребителей выпускаемой продукции, анализ продаж, организацию рекламной кампании по продвижению продукции, рациональную организацию материально-технического снабжения.

Математическое и программное обеспечениеинформационной системы - совокупность математических методов, моделей, алгоритмов и программ для реализации целей и задач информационной системы, а также нормального функционирования комплекса технических средств.

Методология RAD - это комплекс специальных инструментальных средств, позволяющих оперировать с определенным набором графических объектов, функционально отображающих отдельные информационные компоненты приложений.

Методология SADT - совокупность методов, правил и процедур, предназначенных для построения функциональной модели объекта какой-либо предметной области.

Модель жизненного циклаинформационной системы - некоторая структура, определяющая последовательность осуществления процессов, действий и задач, выполняемых на протяжении жизненного цикла информационной системы, а также взаимосвязи между этими процессами, действиями и задачами.

Модельные информационные системы – ИС, предоставляющие пользователю математические, статистические, финансовые и другие модели, использование которых облегчает выработку и оценку альтернатив решения.

Надежность информационной системы - возможность функционирования системы без искажения информации, потери данных по «техническим причинам».

Неструктурированная (неформализуемая) задача - задача, в которой невозможно выделить элементы и установить между ними связи.

Обобщающая обработка результатов тестирования – процесс,производящийся вне реального времени после завершения одного или серии экспериментов.

Одиночные информационные системы – ИС, реализуемые, как правило, на автономном персональном компьютере (сеть не используется).

Оперативная обработкарезультатов тестирования – процесс, производящийся по упрощенным алгоритмам с большой пропускной способностью, обеспечивающим сохранение реального масштаба времени для всего тестируемого комплекса.

Операционный (нижний) уровень управления организацией – уровень, обеспечивающий решение многократно повторяющихся задач и операций и быстрое реагирование на изменения входной текущей информации.

Организационная функцияпредприятия – функция, заключающаяся в разработке организационной структуры и комплекса нормативных документов (штатного расписания фирмы, отдела, лаборатории, группы и т.п.) с указанием подчиненности, ответственности, сферы компетенции, прав, обязанностей и т.п.

Организационное обеспечениеинформационной системы - совокупность методов и средств, регламентирующих взаимодействие работников с техническими средствами и между собой в процессе разработки и эксплуатации информационной системы.

Организация - сообщество людей, объединенных общими целями и использующих общие материальные и финансовые средства для производства материальных и информационных продуктов и услуг.

Открытые информационные системы – ИС, которые создаются в процессе информатизации всех основных сфер современного общества: органов государственного управления, финансово-кредитной сферы, информационного обслуживания предпринимательской деятельности, производственной сферы, науки, образования.

Ошибка - дефект, погрешность или неумышленное искажение объекта или процесса. При этом предполагается, что известно правильное, эталонное состояние объекта, по отношению к которому может быть определено наличие отклонения.

Планирование (плановая функция)предприятия - функция, заключающаяся в разработке и реализации планов по выполнению поставленных задач.

Подсистема - это часть системы, выделенная по какому-либо признаку.

Правовое обеспечениеинформационной системы - совокупность правовых норм, определяющих создание, юридический статус и функционирование информационных систем, регламентирующих порядок получения, преобразования и использования информации.

Принятие решения - акт целенаправленного воздействия на объект управления, основанный на анализе ситуации, определении цели, разработке программы достижения этой цели.

Проверка - это процесс определения соответствия параметров разработки исходным требованиям.

Программная избыточностьинформационной системы – метод, который используется для контроля и обеспечения достоверности наиболее важных решений по управлению и обработке информации.

Проект - это ограниченное по времени целенаправленное изменение отдельной системы с изначально четко определенными целями, достижение которых означает завершение проекта, а также с установленными требованиями к срокам, результатам, риску, рамкам расходования средств и ресурсов, организационной структуре.

Производственная деятельность предприятия – деятельность, связанная с непосредственным выпуском продукции и направлена на создание и внедрение в производство научно-технических новшеств.

Профиль - это совокупность нескольких (или подмножество одного) базовых стандартов с четко определенными и гармонизированными подмножествами обязательных и факультативных возможностей, предназначенная для реализации заданной функции или группы функций.

Работоспособность информационной системы - такое состояние объекта, при котором он способен выполнять заданные функции с параметрами, установленными требованиями технической документации.

Регрессионное тестирование - это тестирование, проводимое после усовершенствования функций программы или внесения в нее изменений.

Ручные информационные системы – ИС, которые характеризуются отсутствием современных технических средств переработки информации и выполнением всех операций человеком.

Система - любой объект, который одновременно рассматривается и как единое целое, и как объединенная в интересах достижения поставленных целей совокупность разнородных элементов.

Советующие информационные системы – ИС, вырабатывающие информацию, которая принимается человеком к сведении, но не превращается немедленно в серию конкретных действий.

Стандартные процедуры в организации - точно определенные правила выполнения заданий в различных ситуациях.

Стимулирование (мотивационная) функция - функция, предполагающая разработку и применение различных методов стимулирования труда подчиненных работников:

Стратегическая информационная система - компьютерная информационная система, обеспечивающая поддержку принятия решений по реализации стратегических перспективных целей развития организации.

Стратегический уровень управления организацией - уровень, обеспечивающий выработку управленческих решений, направленных на достижение долгосрочных стратегических целей организации.

Структурированная (формализуемая) задача- задача, где известны все ее элементы и взаимосвязи между ними.

Субкультура организации - совокупность представлений, принципов, типов поведения. Важная ее составляющая - информационная культура специалиста.

Техническое обеспечениеинформационной системы - комплекс технических средств, предназначенных для работы информационной системы, а также соответствующая документация на эти средства и технологические процессы.

Технологическая безопасность информационной системы - алгоритмическая и программно-технологическая безопасность, где в качестве основной непредумышленной угрозы рассматривается наличие внутренних дефектов программных продуктов и базы данных, вызванных ошибками проектирования и реализации.

Управление организацией - обеспечение поставленной цели при условии реализации следующих функций: организационной, плановой, учетной, анализа, контрольной, стимулирования.

Управленческие информационные системы – ИС, имеющие крайне небольшие аналитические возможности. Они обслуживают управленцев, которые нуждаются в ежедневной, еженедельной информации о состоянии дел.

Управляющие информационные системы – ИС, вырабатывающие информацию, на основании которой человек принимает решение.

Устойчивостьинформационной системы - способность системы к безотказному функционированию при наличии сбоев и отказов. Она зависит от уровня неустраненных ошибок и способности системы реагировать на проявления ошибок так, чтобы это не отражалось на показателях надежности и безопасности.

Учетная функцияпредприятия - функция, заключающаяся в разработке или использовании уже готовых форм и методов учета показателей деятельности фирмы (бухгалтерский учет, финансовый учет, управленческий учет и т.п.)

Финансовая деятельностьпредприятия - деятельность, связанная с организацией контроля и анализа финансовых ресурсов фирмы на основе бухгалтерской, статистической, оперативной информации.

Функциональные связи организации – связи, при которых каждое подразделение выполняет определенные виды работ в рамках единого бизнес-процесса.

Функциональный (тактический) уровень управления организацией - уровень, обеспечивающий решение задач, требующих предварительного анализа информации, подготовленной на первом уровне.

Функциональный признак – признак, определяющий назначение подсистемы, а также ее основные цели, задачи и функции.

Централизованное техническое обеспечениеинформационной системы - техническое обеспечение, которое базируется на использовании в информационной системе больших ЭВМ и вычислительных центров.

Экспертные информационные системы – ИС, обеспечивающие выработку и оценку возможных альтернатив пользователем за счет создания экспертных систем, связанных с обработкой знаний.

Эффективная информационная система – ИС, которая с учетом выделенных ей ресурсов позволяет решать задачи в минимальные сроки.

CASE-средства - программные средства, поддерживающие процессы создания и сопровождения систем, включая анализ и формулировку требований, проектирование прикладного программного обеспечения (приложений) и баз данных, генерацию кода, тестирование, документирование, обеспечение качества, конфигурационное управление и управление проектом, а также другие процессы.

Вернуться к содержанию

Литература

1. Избачков Ю.С., Петров В.Н. Информационные системы: Учебник для вузов. 2-е изд. – СПб: Питер, 2006.

2. Информатика: Учебник. – 3-е перераб. изд./Под ред. Макаровой Н.В. – М.: Финансы и статистика, 2004.

3. Информационные системы и технологии в экономике: Учебник. – 2-е изд., доп. и перераб./ Барановская Т.П., Лойко В.И., Семенов М.И., Трибулин А.И.; Под ред. Лойко В.И. – М.: Финансы и статистика, 2003.

4. Калянов Г.Н. CASE. Структурный системный анализ (автоматизация и применение). - М.: Лори, 1996.

5. Рязанцева Н.А., Рязанцев Д.Н. 1С: Предприятие. Комплексная конфигурация. Секреты работы. – СПб: БХВ-Петербург, 2003.

6. Создание информационной системы предприятия./«Computer Direct», 1999, № 2.

7. Шафрин Ю.А. Информационные технологии: В 2 ч. Ч. 1: Основы информатики и ИТ. – М.: БИНОМ. Лаборатория знаний, 2003.

8. http:// www.citforum.ru

9. http:// www.jetinfo.ru

Вернуться к содержанию

[1] Термин CASE (Computer Aided Software Engineering) используется в настоящее время в весьма широком смысле. Первоначальное значение термина CASE, ограниченное вопросами автоматизации разработки только лишь программного обеспечения, в настоящее время приобрело новый смысл, охватывающий процесс разработки сложных информационных систем в целом. Теперь под термином CASE-средства понимаются программные средства, поддерживающие процессы создания и сопровождения систем, включая анализ и формулировку требований, проектирование прикладного программного обеспечения (приложений) и баз данных, генерацию кода, тестирование, документирование, обеспечение качества, конфигурационное управление и управление проектом, а также другие процессы.

[2] Расшифровывается как International Organization of Standardization (международная организация по стандартизации), IEC— как International Electrotechnical Commission (международная комиссия по электротехнике).

[3] Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике

Наши рекомендации