Выделите и Дайте характеристику уровням баз данных страховой компании.

Все рассмотренное позволяет выделить три уровня баз данных:

· центрального офиса – содержит информацию по всей фирме;

· регионального филиала – содержит информацию только по данному региону;

· отделения – содержит все данные по охватываемой им территории.

Покажем, как взаимодействуют эти базы данных между собой. Изначально информация возникает на уровне отделения страховой компании. Там ведется непосредственная, самая массовая работа по страхованию. Эта информация накапливается в течение дня или другого непродолжительного периода времени в базе данных отделения страховой компании – она добавляется к уже имеющейся. При наступлении заранее определенного времени происходит автоматическая связь с компьютером регионального офиса страховой компании и совершается так называемая репликация баз данных.

Смысл репликации баз данных заключается в следующем: одна из двух баз выбирается «главной», она содержит в себе наиболее актуальные данные, а другая является «подчиненной» и получает копии информации из той, что назначена главной, руководство по разработке в данной среде приведено в работе [2]. Таким образом, две базы данных синхронизируют свое состояние, обновляют данные и согласовывают конфликты, если таковые возникли. Метод репликации реализован и осуществляется на уровне самих систем управления базами данных. Это стандартная и высокоэффективная процедура позволяет за достаточно небольшой по продолжительности сеанс привести две большие базы данных к идентичному состоянию, так как по линиям связи передаются только изменения, произошедшие в период начиная с предыдущего сеанса связи. Другими словами для приведения в соответствие двух баз данных необходимо передать только информацию, полученную в течение дня, при периодичности сеансов связи – раз в сутки.

Действуя, таким образом с каждым из отделений страховой компании, региональный филиал собирает информацию со всех подчиненных ему отделений в свою собственную базу данных. Это приводит к тому, что база данных регионального уровня пополняется автоматически, без постоянного участия страхового служащего и содержит полную информацию по всему региону. При этом данные, возникающие в процессе деятельности регионального офиса, работники страховой компании могут вводить в интерактивном режиме. На рис. 2 приведена структура распределения данных по объектам автоматизированной информационной системы страховой компании.

Описанные объекты баз данных, справочников, пользователей автоматизированной информационной системы страховой компании являются носителями или источниками информации как таковой, но информация как статическая сущность не представляет собой особой ценности. Ценность информации заключена в возможности получения ее для каких-либо нужд деятельности страховой компании. Обеспечить такую возможность доступа и сделать его эффективным (быстрым, надежным, защищенным, недорогим) должен сетевой комплекс страховой компании. Весь комплекс вычислительной сети можно разделить на две основные составляющие:

· сети конкретных структурных подразделений – филиалов страховой компании;

· сети, обеспечивающие связь между ними.

Для каждого подразделения страховой компании создается соответствующая именно его масштабу сеть с требованием предоставления должной эффективности доступа к внутренней информации. Такие сети должны быть достаточно скоростными, так как объем передаваемых внутренних данных может быть большим. Связь между отдельными филиалами страховой компании обеспечивает передачу значительно меньшего объема данных, поэтому, что в такой сети происходят запросы конкретной информации, а также сверка и передача изменений баз данных подразделений различных уровней, руководство по разработке в данной среде приведено в работе [3].

 

Рис. 2. Структура распределения данных по объектам автоматизированной ИС страховой компании.

 

21)Оцените проблемы, возникающие при использовании распределительных систем.

22)Какие преимущества получает страховая компания при использовании в своей работе вычислительных сетей?

22) Что понимают под безопасностью информации и безопасностью автоматизированной системы?

Под информационной безопасностью (ИБ) следует понимать защиту интересов субъектов информационных отношений. Ниже описаны основные ее составляющие – конфиденциальность, целостность, доступность. Приводится статистика нарушений ИБ, описываются наиболее характерные случаи.

Безопасность автоматизированной информационной системы[5] — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Понятие информационной безопасности

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин "информационная безопасность" будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.

Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. (Чуть дальше мы поясним, что следует понимать под поддерживающей инфраструктурой.)

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной Основные составляющие информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.

Поясним понятия доступности, целостности и конфиденциальности.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.

Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?

Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей

 

23)Дайте характеристику объектам, входящим в состав АИС страховой компании.

24)Дайте характеристику сетевого комплекса центрального офиса страховой компании.

24) Понятие и состав объективных и субъективных угроз.

Угроза безопасности объективная и субъективная.

Объективная угроза — не зависящая от человека.

Субъективная угроза — преднамеренная и не преднамеренная.

Не преднамеренные субъективные (искусственные) угрозы.

1. Искусственные, не умышленные действия людей, персонала, которые приводят к частичному или полному выводу компьютерных систем из строя.

2. Не правомерное использование оборудования или изменения режимов работ этого оборудования.

3. Не умышленная порча носителей информации.

4. Запуск технологически не правомочных программ (не лицензионных программ).

5. Это не легальное использование не учтённых программ (не лицензионное оборудование).

6. Заражение ПК или системы вирусами.

7. Не осторожное разглашение конфиденциальной информации, делающей её общедоступной для не санкционированного круга пользователей.

8. Нарушение атрибутов, правил, разграничений и т.д.

9. Это изначально не правильное проектирование архитектуры системы, в которую заранее заложены «люки», «лазы» и «дырки» для постороннего нарушителя. Игнорирование посторонних нарушений.

10. Вход в компьютерную систему в обход установленных правил.

11. Не компетентность в использовании КС и установление правил разграничения доступа.

12. Это ошибочная пересылка данных по не санкционированному адресу абонента.

13. Ввод ошибочных данных.

14. Не умышленное повреждение каналов передачи данных.

Основные преднамеренные искусственные угрозы.

1. Физическое разрушение системы.

2. Вывод из строя обеспечивающих систему.

3. Дезорганизация компьютерной или вычислительной системы.

4. Внедрение в число персонала «заинтересованного» человека.

5. Преднамеренная искусственная угроза: шантаж, угроза персонала компьютерной системы.

6. Применение средств технических разведок:

• Фотографирование, подслушивание и т.д.

7. Перехват побочных электромагнитных излучений и наводок (ПЭМИН).

8. Перехват передаваемых данных по каналу связи и т.д.

9. Хищение носителей информации.

10. Не законное получение правил и атрибутов разграничения доступа (паролей, логинов и т.д.).

11. Не законное воспользование терминалами законных пользователей с целью проникновения в систему под именем санкционированного пользователя.

12. Вскрытие шифров криптозащиты санкционированных пользователей.

13. Внедрение закладок типа «троянских коней», «жучков», «ловушек» и т.д. с целью внедрения не декларированного программного обеспечения санкционированных пользователей.

14. Не законное подключение к линиям передачи данных с целью работы между строк, выдавая себя за законного пользователя.

 

26) Умышленные и неумышленные угрозы.

Неумышленные угрозы вызываются ошибочными действиями лояльных сотрудников, становятся следствием их низкой квалификации или безответственности. Кроме того, к такому роду угроз относятся последствия ненадежной работы программных и аппаратных средств системы. Так, например, из-за отказа диска, контроллера диска или всего файлового сервера могут оказаться недоступными данные, критически важные для работы предприятия. Поэтому вопросы безопасности так тесно переплетаются с вопросами надежности, отказоустойчивости технических средств. Угрозы безопасности, которые вытекают из ненадежности работы программно-аппаратных средств, предотвращаются путем их совершенствования, использования резервирования на уровне аппаратуры (RAID-массивы, многопроцессорные компьютеры, источники бесперебойного питания, кластерные архитектуры) или на уровне массивов данных (тиражирование файлов, резервное копирование).

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.

В вычислительных сетях можно выделить следующие типы умышленных угроз:

 незаконное проникновение в один из компьютеров сети под видом легального пользователя;

 разрушение системы с помощью программ-вирусов;

 нелегальные действия легального пользователя;

 «подслушивание» внутрисетевого трафика.

Незаконное проникновение может быть реализовано через уязвимые места в системе безопасности с использованием недокументированных возможностей операционной системы. Эти возможности могут позволить злоумышленнику «обойти» стандартную процедуру, контролирующую вход в сеть.

Другим способом незаконного проникновения в сеть является использование «чужих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Особенно опасно проникновение злоумышленника под именем пользователя, наделенного большими полномочиями, например администратора сети. Для того чтобы завладеть паролем администратора, злоумышленник может попытаться войти в сеть под именем простого пользователя. Поэтому очень важно, чтобы все пользователи сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы максимально затруднить угадывание.

Подбор паролей злоумышленник выполняет с использованием специальных программ, которые работают путем перебора слов из некоторого файла, содержащего большое количество слов. Содержимое файла-словаря формируется с учетом психологических особенностей человека, которые выражаются в том, что человек выбирает в качестве пароля легко запоминаемые слова или буквенные сочетания.

27Что понимается под репликацией баз данных.

25)Выделите и дайте характеристику уровням баз данных страховой компании.

26) Обоснуйте направления совершенствования использования АИТ в страховом деле.

27)Что понимают под безопасностью информации и безопасностью автоматизированной системы?

28)Параметры безопасности информации, их характеристика.

29)Понятие и состав объективных и субъективных угроз.

30)Умышленные и неумышленные угрозы.

23) Основные виды преднамеренных и непреднамеренных угроз.

24) Что понимают под внешней и внутренней безопасностью компьютерных систем?

25) Дайте характеристику правовым мерам защиты АИС.

26) Дайте характеристику морально-этическим мерам защиты АИС.

27) Дайте характеристику морально-психологическим мерам защиты АИС, их виды.

28) Дайте характеристику организационным (административным) мерам защиты АИС, их виды.

29) Дайте характеристику физическим мерам защиты АИС.

30) Дайте характеристику инженерно-техническим мерам защиты АИС.

31) В чем состоит принцип системности и комплексности в защите информации АИС.

32) В чем состоит принцип равнопрочности и непрерывности защиты в защите информации АИС.

33) В чем состоит принцип разумной достаточности и простоты применения средств защиты АИС.