БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Выпускная работа по
«Основам информационных технологий»
Магистрант
кафедры кибернетики
Козловский Евгений
Руководители:
доцент Анищенко Владимир Викторович,
ст. преподаватель Кожич Павел Павлович
Минск – 2008 г.
Список обозначений ко всей выпускной работе. 3
Реферат на тему «Безопасность корпоративных информационных систем». 4
1. Классификация корпоративных информационных систем. 4
2. Угрозы корпоративных информационных систем. 9
2.2. Меры предотвращения угроз. 17
3. Механизмы разграничения доступа. 22
3.1. Дискреционная модель разграничения доступа. 22
3.2. Мандатная (полномочная) модель разграничения доступа. 24
3.3. Модель разграничения информационных потоков. 28
3.4. Модель ролевого разграничения доступа. 28
3.5. Модель изолированной программной среды.. 29
4.Система разграничения прав доступа к корпоративным ресурсам БГУ. 29
Список литературы к реферату. 36
Предметный указатель к реферату. 38
Интернет ресурсы в предметной области исследования. 39
Действующий личный сайт в WWW. 40
Презентация магистерской диссертации. 42
Список литературы к выпускной работе. 45
Список обозначений ко всей выпускной работе
ERP – Enterprise Resource Planning System
MRP II – Material Requirement Planning
MRP II – Manufacturing Resource Planning
ПО – программное обеспечение
КИС – корпоративные информационные системы
СВТ – средства вычислительной техники
НСД – несанкционированный доступ
WWW – World Wide Web
Реферат на тему «Безопасность корпоративных информационных систем»
Корпоративные информационные системы прочно вошли в нашу жизнь. В современном мире достаточно сложно представить себе успешно развивающееся предприятие, управляемое без участия такой системы.
В связи с тем, что в корпоративных информационных системах хранится информация, нарушение целостности или конфиденциальности которой может привести к краху целого предприятия остро стоит вопрос о защите информации в корпоративных информационных системах.
Данная работа ставит перед собой несколько целей. Одной из них является анализ структуры корпоративных информационных систем. На основе этого анализа будет проведена их классификация. Также одной из целей данной работы является исследование механизмов защиты данных в различных классах корпоративных информационных систем. Кроме того, ставится цель исследовать существующие угрозы корпоративных информационных систем и проанализировать методы их минимизации или полного устранения. В связи с этим будет проведено исследование существующих способов разграничения доступа и анализ их применимости тех или иных условиях.
1. Классификация корпоративных информационных систем.
Термин корпорация происходит от латинского слова corporatio – объединение. Корпорация обозначает объединение предприятий, работающих под централизованным управлением и решающих общие задачи. Как правило, корпорации включают предприятия, расположенные в разных регионах и даже в различных государствах (транснациональные корпорации).
Корпоративные информационные системы (КИС) – это интегрированные системы управления территориально распределенной корпорацией, основанные на углубленном анализе данных, широком использовании систем информационной поддержки принятия решений, электронных документообороте и делопроизводстве.
Причины внедрения корпоративных информационных систем:
· оперативный доступ к достоверной и представленной в удобном виде информации;
· создание единого информационного пространства;
· упрощение регистрации данных и их обработки;
· избавление от двойной регистрации одних и тех же данных;
· регистрация информации в режиме реального времени;
· снижение трудозатрат, их равномерное распределение на всех участников системы учета, планирования и управления;
· автоматизация консолидации данных для распределенной организационной структуры.
Все корпоративные информационные системы можно разделить на две большие подгруппы. Одна из них включает единую систему, собранную по модульному принципу и имеющую высокий уровень интеграции. Другая - представляет собой набор хоть и интегрированных между собой при помощи сервисов и интерфейсов, но все же разнородных приложений.
К первому классу в основном относятся современные ERP системы.
ERP-система (англ. Enterprise Resource Planning System — Система планирования ресурсов предприятия) — корпоративная информационная система, предназначенная для автоматизации учёта и управления. Как правило, ERP-системы строятся по модульному принципу, и в той или иной степени охватывают все ключевые процессы деятельности компании.
Исторически концепция ERP стала развитием более простых концепций MRP (Material Requirement Planning — Планирование материальных потребностей) и MRP II (Manufacturing Resource Planning — Планирование производственных ресурсов). Используемый в ERP-системах программный инструментарий позволяет проводить производственное планирование, моделировать поток заказов и оценивать возможность их реализации в службах и подразделениях предприятия, увязывая его со сбытом.
В основе ERP-систем лежит принцип создания единого хранилища данных, содержащего всю корпоративную бизнес-информацию и обеспечивающего одновременный доступ к ней любого необходимого количества сотрудников предприятия, наделенных соответствующими полномочиями. Изменение данных производится через функции (функциональные возможности) системы. Основные функции ERP систем: ведение конструкторских и технологических спецификаций, определяющих состав производимых изделий, а также материальные ресурсы и операции, необходимые для их изготовления; формирование планов продаж и производства; планирование потребностей в материалах и комплектующих, сроков и объемов поставок для выполнения плана производства продукции; управление запасами и закупками: ведение договоров, реализация централизованных закупок, обеспечение учета и оптимизации складских и цеховых запасов; планирование производственных мощностей от укрупненного планирования до использования отдельных станков и оборудования; оперативное управление финансами, включая составление финансового плана и осуществление контроля его исполнения, финансовый и управленческий учет; управления проектами, включая планирование этапов и ресурсов.
Они обычно обладают ядром, состоящим из нескольких ключевых модулей, без которых невозможна работа системы. Помимо прочих в это набор включена и система безопасности, которая берёт на себя большинство функций, связанных с защитой информации во всей системе в целом и в каждом из встраиваемых модулей в частности. Такой подход весьма удобен сразу по нескольким причинам:
• Механизмы обеспечения конфиденциальности, целостности и доступности данных в такой системе максимально унифицированы. Это позволяет администраторам избежать ошибок при настройке различных модулей системы, которые могли бы привести к образованию брешей в безопасности.
• Система имеет высокий уровень централизации и позволяет легко и надёжно управлять защитой корпоративной информационной системы.
К достоинствам таких систем можно отнести:
• Использование ERP системы позволяет использовать одну интегрированную программу вместо нескольких разрозненных.
• Реализуемая в ERP-системах система разграничения доступа к информации, предназначена (в комплексе с другими мерами информационной безопасности предприятия) для противодействия как внешним угрозам (например, промышленному шпионажу), так и внутренним (например, хищениям).
Исследование вузов союзного государства, в основном государственных, показало, что в самой автоматизированной области, финансах, 42% из них либо используют, лишь офисные приложения, либо по старинке — бумагу. Но даже там, где уровень автоматизации относительно высок, модули, как правило, никак не связаны между собой. А таких подсистем должно быть порядка десяти: финансовое планирование, управление недвижимостью, проектами, качеством, отчетность, инструментальная среда и т.п. При разработке каждой из них только на оплату труда уйдет, по самым скромным оценкам, примерно 25 тыс. долл. Если учесть, что на разработку идет 25-40% всех затрат на создание программного продукта, полученную оценку необходимо увеличить минимум в 2,5-4 раза. Поддержка внедренной системы обойдется еще в 140-240 тыс. долл. ежегодно. Так что мнение, будто собственная разработка обходится дешево — это иллюзия, возникающая в отсутствие эффективных средств контроля затрат.
Современные ERP системы могут быть вполне успешно адаптированы и к работе учебно-образовательных учреждений. Однако стоит отметить, что при внедрении таких систем необходимо учитывать некоторые особенности, присущие информационным системам таких учреждений.
• Наличие нескольких специализированных подсистем, решающих достаточно самостоятельные задачи. Данные, используемые каждой из подсистем, являются в большой степени специализированными, т.е. независимыми от других приложений информационной системы. Например, в рамках ВУЗа можно выделить подсистемы бухгалтерии, библиотеки, редакционно-издательского отдела, приложения обработки учебного процесса и т.д. С другой стороны, все подсистемы находятся в одном информационном пространстве и связаны между собой (единая система справочных данных, результат работы одного приложения служит основой для функционирования другого и т.д.).