Главная: Рефераты

Рефераты. Автоматизована система управління проектами студії інтер’єрів "Сервіс-Центр"

Дослідження і аналіз численних випадків впливів на інформацію і несанкціонованого доступу до неї показують, що їх можна розділити на випадкові і навмисні.

Наслідками, до яких призводить реалізація загроз, можуть бути: руйнування (втрата) інформації, модифікація (зміна інформації на помилкову, коректну за формою і змістом, але яка має інше значення) і ознайомлення з нею сторонніх. Ціна вказаних подій може бути різною - від невинних жартів до відчутних втрат, що в деяких випадках являють собою загрозу національній безпеці країни. Попередження наведених наслідків в автоматизованій системі і є основною метою створення системи безпеки інформації.

Причинами випадкових впливів при експлуатації автоматизованої системи можуть бути:

* відмови і збої апаратури;

* перешкоди на лініях зв'язку від впливів зовнішньої середи;

* помилки людини як ланки системи;

* схемні і системотехнічні помилки розробників; структурні, алгоритмічні і програмні помилки;

* аварійні ситуації та інші впливи.

Частота відмов і збоїв апаратури збільшується при виборі і проектуванні системи, слабкої у відношенні надійності функціонування апаратури. Перешкоди на лініях зв'язку залежать від правильності вибору місця розміщення технічних засобів АСОД відносно один одного, а також по відношенню до апаратури й агрегатів сусідніх систем.

При розробці складних автоматизованих систем збільшується кількість схемних, системотехнічних, структурних, алгоритмічних програмних помилок. На їх збільшення в процесі проектування впливає великим чином багато інших чинників: кваліфікація розробників, умови їх роботи, наявність досвіду і інші.

До помилок людини, як ланки системи, потрібно відносити помилки людини як джерела інформації, людини-оператора, помилкові дії обслуговуючого персоналу та помилки людини, як ланки, що приймає рішення.

Помилки людини можуть поділятися на логічні (неправильно прийняте рішення),сенсорні (неправильне сприйняття оператором інформації), або моторні (неправильна реалізація рішення).

Навмисні загрози пов'язані з діями людини. Потенційні загрози з цієї сторони будемо розглядати тільки в технічному аспекті.

Як об'єкт захисту, згідно з класифікацією, вибираємо автоматизовану систему, яка може бути елементом обчислювальної мережі.

Для таких систем в цьому випадку характерні наступні штатні канали доступу до інформації:

* термінали користувачів;

* термінал адміністратора системи;

* термінал оператора функціонального контролю;

* засоби відображення інформації;

* засоби документування інформації;

* засоби завантаження програмного забезпечення в обчислювальний комплекс;

* носії інформації (ОЗУ, ДЗУ, паперові носії);

* зовнішні канали зв'язку.

Очевидно, що при відсутності законного користувача, контролю і розмежування доступу до терміналу кваліфікований порушник легко скористається його функціональними можливостями для несанкціонованого заволодіння інформацією шляхом введення відповідних запитів або команд.

Особливу небезпеку являє собою безконтрольне завантаження програмного забезпечення ЕОМ, в якому можуть бути змінені дані, алгоритми або введена програма "троянський кінь" - програма, що виконує додаткові незаконні функції: запис інформації на сторонній носій, передачу в канали зв'язку іншого абонента обчислювальної мережі, занесення в систему комп'ютерного вірусу тощо.

Небезпечною є ситуація, коли порушником є користувач обчислювальної системи, який за своїми функціональними обов'язками має законний доступ до однієї частини інформації, а звертається до іншої за межами своїх повноважень. З боку законного користувача існує багато способів порушувати роботу обчислювальної системи, зловживати нею, витягувати, модифікувати або знищувати інформацію.

При технічному обслуговуванні (профілактиці і ремонті) апаратури можуть бути виявлені залишки інформації на магнітній стрічці, поверхнях дисків та інших носіях інформації. Стирання інформації звичайними методами при цьому не завжди ефективне. Її залишки можуть бути легко прочитані.

Не має значення створення системи контролю і розмежування доступу до інформації на програмному рівні, якщо не контролюється доступ до пульта управління ЕОМ, внутрішнього монтажу апаратури, кабельних з'єднань.

Злочинець може стати незаконним користувачем системи в режимі розділення часу, визначивши порядок роботи законного користувача або працюючи услід за ним по одних і тих же лініях зв'язку. Він може також використати метод проб і помилок та реалізувати "діри" в операційній системі, прочитати паролі. Без знання паролів він може здійснити "селективне" включення в лінію зв'язку між терміналом і процесором ЕОМ; без переривання роботи законного користувача продовжити її від його імені.

Процеси обробки, передачі і зберігання інформації апаратними засобами автоматизованої системи забезпечуються спрацюванням логічних елементів, побудованих на базі напівпровідникових приладів, виконаних найчастіше у вигляді інтегральних схем. Спрацювання логічних елементів зумовлене високочастотною зміною рівнів напружень і струмів, що призводить до виникнення в ефірі, ланцюгах живлення і заземлення, а також в паралельно розташованих ланцюгах і індуктивностях сторонньої апаратури, електромагнітних полів і наведень, що несуть в амплітуді, фазі й частоті своїх коливань ознаки інформації, що обробляється. Використання порушником різних приймачів може призвести до їх прийому і просочення інформації. Із зменшенням відстані між приймачем порушника та апаратними засобами імовірність прийому сигналів такого роду збільшується.

Безпосереднє підключення порушником приймальної апаратури спеціальних датчиків до ланцюгів електроживлення і заземлення, до канав зв'язку також дозволяє здійснити несанкціоноване ознайомлення з інформацією, а несанкціоноване підключення до каналів зв'язку передуючої апаратури може привести і до модифікації інформації.

Сформульовані п'ять основних категорій загроз безпеки даних в обчислювальних мережах:

* розкриття змісту повідомлень, які передаються;

* аналіз трафіка, що дозволяє визначити приналежність відправника і одержувача даних до однієї з груп користувачів мережі, пов'язаних загальною задачею;

* зміна потоку повідомлень, що може призвести до порушення режиму роботи якого-небудь об'єкта, керованого з видаленої ЕОМ;

* неправомірна відмова в наданні послуг;

* несанкціоноване встановлення з'єднання.

В обчислювальних мережах порушник може застосовувати наступну стратегію:

* отримати несанкціонований доступ до секретної інформації;

* видати себе за іншого користувача, щоб зняти з себе відповідальність або ж використати його повноваження з метою формування помилкової інформації, зміни законної інформації, застосування помилкового посвідчення особистості, санкціонування помилкових обмінів інформацією або ж їх підтвердження;

* відмовитися від факту формування переданої інформації;

* затверджувати про те, що інформація отримана від деякого користувача, хоч насправді вона сформована самим же порушником;

* стверджувати те, що одержувачу в певний момент часу була надіслана інформація, яка насправді не посилалася (або, посилалася в інший момент часу);

* відмовитися від факту отримання інформації або стверджувати про інший час її отримання;

* незаконно розширити свої повноваження з доступу до інформації та її обробки;

* незаконно змінити повноваження інших користувачів (розширити або обмежити, вивести або ввести інших осіб);

* приховати факт наявності деякої інформації в іншій інформації (прихована передача однієї в змісті іншої);

* підключитися до лінії зв'язку між іншими користувачами як активного ретранслятора;

* вивчити, хто, коли і до якої інформації отримує доступ (навіть якщо сама інформація залишається недоступною);

* заявити про сумнівність протоколу забезпечення інформацією через розкриття деякої інформації, яка, згідно з умовами протоколу, повинна залишатися секретною;

* модифікувати програмне забезпечення шляхом виключення або додання нових функцій;

* навмисно змінити протокол обміну інформацією з метою його порушення або підриву довір'я до нього;

* перешкодити обміну сполученнями між іншими користувачами шляхом введення перешкод з метою порушення аутентифікації повідомлень.

Як підсумок, треба зазначити, що для реалізації надійного захисту інформації, дуже важливе дослідження та визначення можливих каналів витоку інформації та шляхів несанкціонованого доступу в кожній конкретній автоматизованій системі.

Розділ 5. Техніко-економічний ефект від впровадження системи

5.1 Визначення витрат часу на розробку проекту

Норми часу залежать від факторів які найбільше впливають на трудомісткість розробки системи. До них відносяться: кількість різновидів форм вхідної та вихідної інформації, ступінь новизни задачі, складності алгоритму, виду та складності контролю інформації, мови програмування, обсягу вхідної інформації, використання типових проектних рішень, типових проектів та програм. В основу нормування покладено документ «Типовые нормы времени на программирование задач для ЭВМ» [10].

Досліджувальна система відноситься за [10, с.5] до виду «управління проектуванням, оперативне управління, управління ціноутворенням»

Досліджувана система за [10, с.5] відноситься до групи В - «Розробка проекту з використанням типових проектних рішень за умови їх змін; розробка проектів, що мають аналогічні рішення»

Складність алгоритму відноситься до групи 3 [10, с.5].

Вхідна інформація складається із змінної, нормативно-довідкової та банку даних. Вихідна інформація включає форми друкованих документів та інформації, яка переноситься на машинні носії.

Складність контролю вхідної інформації відноситься до групи 11- вхідні дані і документи різного формату і структури, контроль здійснюється перехресно, тобто враховується зв'язок між показниками різних документів [10, с.5]; вихідної інформації - 21- друк документів складної багаторівневої структури, різної форми та змісту[10, с.5].

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.