Охарактеризуйте найпоширеніші загрози безпеці управлінських ІС.

Розглянемо загрози економічних інформаційних систем, із якими найчастіше доводиться мати справу на практиці.

Несанкціонований доступ є найпоширенішим видом комп’ютерних порушень і полягає в одержанні користувачем до об’єкта доступу, якого у нього немає відповідно до прийнятої в даній економічній інформаційній системі політики безпеки. Це стає можливо внаслідок непродуманого вибору засобів захисту, їхнього некоректного налаштування, при недбалому відношенні до захисту своїх власних даних.

Незаконне використання привілеїв. Будь-яка захищена система містить засоби, які використовуються в надзвичайних ситуаціях, або засоби, які спроможні функціонувати з порушенням існуючої політики безпеки. Так, на випадок раптової перевірки користувач повинний мати можливість доступу до всіх наборів системи. Як правило, ці засоби використовуються адміністраторами, операторами, системними програмістами та іншими користувачами, які виконують спеціальні функції. Більшість систем захисту в таких випадках використовують набори привілеїв, що охороняються системою захисту. Незаконне захоплення привілеїв призводить до можливості несанкціонованого виконання певних функцій. Отже, суворе дотримання правил управління системою захисту, дотримання принципу мінімуму привілеїв дозволяє уникнути порушень.

Атаки «салямі». Найбільш характерні для систем, які опрацьовують грошові рахунки, тому найбільшу небезпеку складають саме для банків. Принцип атак побудований на тому факті, що при опрацюванні рахунків використовуються цілі одиниці, а при нарахуванні відсотків нерідко утворюються дробові суми. Атаки небезпечні для значних банків та інших фінансових організацій. Запобігти таким атакам можна тільки забезпеченням цілісності або коректності прикладних програм, що опрацьовують рахунки, розмежуванням доступу користувачів автоматизованих систем до рахунків, постійним контролем рахунків на предмет відпливу сум.

«Маскарад». Під «маскарадом» розуміється виконання певних дій одним користувачем економічної інформаційної системи від імені іншого користувача. При цьому такі дії іншому користувачу можуть бути дозволеними. Порушення полягає в присвоєнні прав і привілеїв. Мета «маскараду» - приховування певних дій іменем іншого користувача для доступу до його наборів даних. Прикладом «маскараду» є вхід у систему під іменем або паролем іншого користувача, при цьому система захисту не зможе розпізнати порушення. Найбільш небезпечний «маскарад» у банківських системах електронних платежів, де неправильна ідентифікація клієнта може привести до величезних збитків. Особливо це стосується платежів із використанням електронних карток. Для запобігання «маскараду» необхідно використовувати надійні методи ідентифікації, блокувати спроби злому системи, контролювати входи в неї.

«Злом системи». Під «зломом системи» розуміється навмисне проникнення в систему, коли зломщик не має санкціонованих параметрів для входу. Основне навантаження на захист системи несе програма входу. Алгоритм впровадження імені і пароля, їхнє шифрування, правила збереження і зміни паролів не повинні містити помилок. Протистояти «злому» допоможе обмеження спроб неправильного впровадження пароля із наступним блокуванням термінала і повідомленням адміністратору у випадку порушення. Крім того, адміністратор безпеки повинний постійно контролювати активних користувачів системи: імена, характер роботи, час входу і виходу. Такі дії допоможуть своєчасно встановити факт «злому» і розпочати необхідні адекватні дії.

«Люки».» Люк - прихована, не документована точка входу в програмний модуль, яка вставляються в програму на етапі налагодження для полегшення роботи: даний модуль може бути викликаним у різних місцях, що дозволяє налагоджувати окремі частини програми незалежно. Наявність «люка» дозволяє викликати програму нестандартним чином, що може серйозно позначитися на стані системи захисту. Велика небезпека «люків» полягає у високій складності їх виявлення. Захист від «люків» один – не допускати появи «люків» у програмі, а при прийманні програмних продуктів, розроблених іншими виробниками, треба проводити аналіз початкових текстів програм із метою виявлення «люків».

Приведений стислий огляд найбільш небезпечних загроз безпеки автоматизованих економічних систем не охоплює всіх можливих загроз. Різноманіття класифікацій погроз відображує складність їх означення і засобів захисту від них. Порушниками цілісності інформації є насамперед користувачі і співробітники автоматизованих економічних систем, які мають до неї доступ. Головне джерело порушень – усередині самої автоматизованої економічної системи. Отже, внутрішній захист повинний бути обов’язковим.

 

22. Дайте визначення поняття інформаційного забезпечен­ня ІС.

Інформаційне забезпечення інформаційних систем обліку передбачає створення єдиного інформаційного фонду, систематизацію та уніфікацію показників і документів, розроблення засобів формалізованого опису даних тощо.

Інформаційне забезпечення — важливий елемент автоматизованих інформаційних систем обліку, призначений для відображення інформації, що характеризує стан керованого об’єкта і є основою для прийняття управлінських рішень.

У процесі розроблення інформаційного забезпечення варто визначити:

§ склад інформації, що охоплює перелік інформаційних одиниць або сукупностей, потрібних для розв’язання комплексу задач;

§ структуру інформації та перетворення її, тобто формування показників документів;

§ характеристики руху інформації, тобто обсяг потоків, марш­рути, терміни;

§ характеристику якості інформації;

§ способи перетворення інформації.

Організація інформаційного забезпечення ведеться паралельно з програмним забезпеченням та інформаційною технологією, зорієнтованою на кінцевого користувача. Інформаційне забезпечення інформаційної системи поділяється на позамашинне та внутрішньомашинне.

Структуру інформаційного забезпечення наведено на рис. 1.3.

Основою інформаційного забезпечення ІС є інформаційна база (ІБ), що використовується у функціонуванні ІС. За складом, змістом вона повинна відповідати вимогам тих задач, проектувати ті системи, які розв’язуються на її основі. За сферою функціонування виділяють позамашинну та внутрішньомашинну ІБ.