Полный текст:
Содержание
1. Этапы развития информационных технологий. 4
2. Задачи комплексной системы автоматизации предприятия. 8
3. Методы и средства защиты информации в ЭИС.. 14
Список использованных источников. 25
1. Этапы развития информационных технологий.
Автоматизированная информационная технология (АИТ) - системно организованная для решения задач управления совокупность методов и средств реализации операций сбора, регистрации, передачи, скопления, поиска, обработки и защиты информации на базе применения развитого программного обеспечения, используемых средств вычислительной техники и связи, а также способов, с помощью которых информация предлагается клиентам.
Все возрастающий спрос в условиях рыночных отношений на информацию и информационные услуги привел к тому, что современная технология обработки информации ориентирована на применение самого широкого спектра технических средств и прежде всего электронных вычислительных машин и средств коммуникаций. На их основе создаются вычислительные системы и сети различных конфигураций с целью не только накопления, хранения, переработки информации, но и максимального приближения терминальных устройств к рабочему месту специалиста или принимающего решения руководителя. Это явилось достижением многолетнего развития АИТ.
Появление в конце 1950-х годов ЭВМ и стремительное совершенствование их эксплуатационных возможностей создало реальные предпосылки для автоматизации управленческого труда, формирования рынка информационных продуктов и услуг. Развитие АИТ шло параллельно с появлением новых видов технических средств обработки и передачи информации, совершенствованием информационных форм использования ЭВМ и ПЭВМ, насыщением инфраструктуры новыми средствами коммуникаций. Эволюция АИТ представлена в таблице 1.1.
Таблица 1.1. Этапы развития АИТ, технических средств и решаемых задач.
Год
ЭВМ
Решаемые задачи
Тип АИТ
Конец 1950-х – начало 1960-х гг.
I, II поколения
Использование ЭВМ для решения отдельных наиболее трудоемких задач по начислению заработной платы, материальному учету и др., решение отдельных оптимизированных задач
Частичная электронная обработка данных
1960-е – начало 1970-х гг.
II, III поколения
Электронная обработка плановой и текущей информации, хранение в памяти ЭВМ нормативно-справочных данных, выдача машинограмм на бумажных носителях
ЭСОД – электронная система обработки данных
1970-е гг.
III поколение
Комплексная обработка информации на всех этапах управленческого процесса деятельностью предприятия, организации, переход к разработке подсистем АСУ (материально-технического снабжения, товародвижения, контроль запасов и транспортных перевозок, учет реализации готовой продукции, планирование и управление)
Централизованная автоматизированная обработка информации в условиях ВЦ, ВЦКП (вычислительных центров коллективного пользования)
1980-е гг.
IV поколение
Развитие АСУТП (АСУ технологическими процессами), САПР (систем автоматизированного проектирования), АСУП (АСУ предприятиями), ОАСУ (отраслевых АСУ), общегосударственных АСУ: плановых расчетов, статистики, материально-технического снабжения, науки и техники, финансовых расчетов и др. Тенденция к децентрализации обработки данных, решению задач в многопользовательском режиме, переход к безбумажной эксплуатации ВТ.
Специализация технологических решений на базе мини-ЭВМ, ПЭВМ и удаленного доступа к массивам данных с одновременной универсализацией способов обработки информации на базе мощных суперЭВМ.
Конец 1980-х гг. – по настоящее время
V поколение
Комплексное решение экономических задач, объектно-ориентированный подход в зависимости от системных характеристик предметной области; широкий спектр приложений; сетевая организация информационных структур; преобладание интерактивного взаимодействия пользователя в ходе эксплуатации ВТ. Реализация интеллектуального человеко-машинного интерфейса, систем поддержки принятия решений, информационно-советующих систем.
НИТ (новая информационная технология) – сочетание средств ВТ, средств связи и оргтехники
Развитие рыночных отношений привело к появлению новых видов предпринимательской деятельности и, прежде всего, к созданию фирм, занятых информационным бизнесом, разработкой информационных технологий, их совершенствованием, (распространением компонентов АИТ, в частности программных Продуктов, автоматизирующих информационные и вычислительные процессы). К их числу относят также вычислительную технику, средства коммуникаций, офисное оборудование и специфические виды услуг - информационное, техническое и консультационное обслуживание, обучение и т.п. Это способствовало быстрому распространению и эффективному использованию информационных технологий в управленческих и производственных процессах, практически к повсеместному их применению и большому многообразию. [1]
Зарубежные специалисты выделяют пять основных тенденций развития информационных технологий.
Первая тенденция связана с изменением характеристик информационного продукта, который все больше превращается в гибрид между результатом расчетно-аналитической работы и специфической услугой, предоставляемой индивидуальному пользователю ПЭВМ.
Отмечаются способность к параллельному взаимодействию логических элементов АИТ, совмещение всех типов информации (текста, образов, цифр, звуков) с ориентацией на одновременное восприятие человеком посредством органов чувств.
Прогнозируется ликвидация всех промежуточных звеньев ни пути от источника информации к ее потребителю, например, становится возможным непосредственное общение автора и читателя, продавца и покупателя, певца и слушателя, ученых между собой, преподавателя и обучающегося, специалистов на предприятии через систему видеоконференций, электронный киоск, электронную почту.
В качестве ведущей называется тенденция к глобализации информационных технологий в результате использования спутниковой связи и всемирной сети Интернет, благодаря чему люди смогут общаться между собой и с общей базой данных, находясь в любой точке планеты.
Конвергенция рассматривается как последняя черта современного процесса развития АИТ, которая заключается в стирании различий между сферами материального производства и информационного бизнеса, в максимальной диверсификации видов деятельности фирм и корпораций, взаимопроникновении различных отраслей промышленности, финансового сектора и сферы услуг.
Таким образом, новые информационные технологии – основа перехода общественного развития от индустриальной к информационной эпохе в мировом масштабе.[4]
2. Задачи комплексной системы автоматизации предприятия
Изменения в управлении экономикой, переход к рыночным отношениям оказывают значительное влияние на организацию и ведение бухгалтерского учета. Осуществляется переход к международным системам учета, что требует разработки новых форм его методологии. Значительным изменениям подвергается информационная система бухгалтерского учета и традиционные формы организации ее компьютерной обработки. От бухгалтера требуется знание объективной оценки финансового состояния предприятия, овладение методами финансового анализа, умение работать с ценными бумагами, обоснование инвестиций денежных средств в условиях рынка и др.
В новом качестве бухгалтер может быть назван «финансовым менеджером», «бухгалтером-аналитиком».
Овладение новыми методами немыслимо без совершенствования информационной системы и использования современных персональных компьютеров — необходимого инструмента в работе бухгалтера. Основу деятельности управления любого экономического объекта составляют информационные системы, имеющие сложное построение, состав которых зависит от вида деятельности и размера предприятия, организации, фирмы.
Традиционно включаются функции управления подготовкой производства, планирования, материально-технического снабжения и сбыта (маркетинга); ведения бухгалтерского учета и осуществления бухгалтерской деятельности, реализации и сбыта готовой продукции, а также решение кадровых вопросов. В теории компьютерной обработки они называются функциональными подсистемами. Значительную роль в процессе управления играет бухгалтерский учет, где сосредоточено около 60% всей информации.
Каждая функциональная подсистема имеет свой состав комплексов задач и информации, предназначенный для реализации определенных функций управления. Например, в функциональной подсистеме материально-технического снабжения можно выделить комплексы задач по расчету потребности в материалах, выполнения договоров с поставщиками, определения норм запасов и др.
В основе информационной подсистемы бухгалтерского учета принято считать учетные задачи, объединенные в комплексы, выполняемые отдельными участками учета. Комплекс задач характеризуется определенным экономическим содержанием, ведением утвержденных синтетических счетов, первичными и сводными документами, взаимосвязанными алгоритмами расчетов, а также методическими материалами и нормативными документами конкретного участка учета.
Информационная подсистема бухгалтерского учета традиционно включает следующие комплексы задач: учет основных средств, учет материальных ценностей, учет труда и заработной платы, учет готовой продукции, учет финансово-расчетных операций, учет затрат на производство, сводный учет и составление отчетности. Ориентация выделения комплексов задач как содержащих информацию о качественно однородных ресурсах предприятия сложилась традиционно еще при ручном ведении учета, а затем нашла применение при централизованной обработке учетной информации в вычислительном центре.
Организация автоматизированных рабочих мест на базе персональных компьютеров, создание локальных вычислительных сетей предприятия выдвигают новые требования в организации информационной базы и формированию комплексов экономических задач. Появляются возможности создания системы распределенных баз данных, обмена информацией между различными пользователями, автоматического формирования первичных документов в компьютере. В этих условиях начинает стираться четкая грань между комплексами различных функциональных подсистем, что в первую очередь сказывается на информационной базе бухгалтерского учета.[2]
Возникают межфункциональные комплексы задач управления. Новые версии программных продуктов по бухгалтерскому учету объединяют информацию комплексов различных участков учета. Так, например, в типовых проектах учета труда и заработной платы одновременно предусмотрена выписка платежных документов по платежам в фонды (платежные поручения по оплате подоходного налога, отчислениям в пенсионный фонд, медицинское страхование, начисление в фонд занятости). Выполнение такой машинной программы объединяет два комплекса учетных задач - учет труда и заработной платы и финансово-расчетные операции. Аналогичные примеры можно привести и в комплексах задач по учету материальных ценностей, учету готовой продукции и др.
Организация межфункционального комплекса может быть рассмотрена на примере программы «Материалы», основу которой составляет единая база данных, функционирующая в условиях локальной вычислительной сети предприятия. В процессе учета наличия и движения материальных ценностей задействованы специалисты трех подразделений: складов, бухгалтерии и отдела материально-технического снабжения. Программный комплекс включает три части: модуль кладовщика (склад), модуль бухгалтерии и модуль экономиста материально-технического снабжения.
Программный модуль кладовщика обеспечивает ведение картотеки склада, регистрацию прихода-расхода материальных ценностей; бухгалтера - заполнение документов по движению материальных ценностей в части данных бухгалтерского учета, контроль операций по движению материалов, учет движения материалов в количественном и суммовом выражении, финансовые расчеты. Экономист материально-технического снабжения ведет номенклатуру материальных ценностей, банк коммерческих предложений, формирование документов по движению материальных ценностей и др.
Для торговых организаций программные продукты предусматривают многофункциональную обработку бухгалтерского учета в комплексе с маркетинговыми операциями. Так, модуль «склад» позволяет вести учет движения товаров на складе, составление книги покупок, выписывать счета, автоматически формировать проводки и передавать их бухгалтеру; автоматически формировать прайс-листы, обеспечивать работу совместно с кассовыми аппаратами, установленными в торговом зале магазина.
Комплексы бухгалтерских задач имеют сложные внутренние и внешние информационные связи. Внутренние связи отражают информационные взаимодействия отдельных задач, комплексов и ''участков бухгалтерского учета; внешние связи — взаимодействие с другими подразделениями, реализующими иные функции управления, а также с внешними организациями.
Взаимная увязка комплексов учетных задач заложена в самой методологии бухгалтерского учета, системе ведения счетов и выполнения проводок, где каждая хозяйственная операция отражается дважды: в кредите одного счета и дебете другого. Информационные связи комплекса учетных задач позволяют выделить три фазы обработки, заложенные в основу машинных программ. На первой фазе производятся первичный учет, составление первичных ; бухгалтерских документов, их обработка и составление ведомостей : аналитического учета по каждому участку учета (например, по учету заработной платы, составляется расчетно-платежная документация, своды начисленной и удержанной заработной платы и др.). Все операции преобразования выполняются на основании пакета прикладных программ конкретного участка учета или встроенным модулем в единую программу бухгалтерского учета (например, БЭМБИ+).
Второй фазой обработки является составление проводок и их размещение в различные регистры аналитического и синтетического учета, журналы-ордера по номерам счетов. Компьютерная обработка позволяет полностью автоматизировать этот процесс, формируя проводки по окончании решения каждого участка учета.
Третья фаза обработки состоит в составлении сводного синтетического учета: отчетно-сальдовых ведомостей по счетам главной книги, баланса и форм финансовой отчетности, что обеспечивается головным модулем машинной программы «Проводка — Главная книга — Баланс».
Между комплексами бухгалтерского учета существуют информационные связи, взятые в основу организации вычислительной сети бухгалтерии. Для таких участков учета, как учет основных средств, учет готовой продукции, учет финансово-расчетных операций, учет материальных ценностей, учет труда и заработной платы, формирование исходной информации происходит, как правило, за счет первичного учета и отражения хозяйственных операций в первичных документах. Для задач по учету затрат на производство и сводному учету входной информации в основном служат результаты решения других комплексов учетных задач. Особого внимания заслуживает формирование информационной базы по учету затрат на производство, где основным источником являются итоговые данные, полученные ранее при решении задач по учету основных средств, материалов, труда и заработной платы, готовой продукции.
Программное обеспечение решения задач бухгалтерского учета строится с учетом рассмотренных фаз обработки, интеграции учетных задач, а также наличия внешних связей.
Особо следует остановиться на информационных связях бухгалтерского учета с внешними организациями. В основном эта связь заключается в получении нормативных и методических материалов, а также передаче сводной финансовой отчетности заинтересованным организациям: вышестоящим административным органам, налоговой инспекции, органам статистики, финансовым организациям и др. Узаконено представление в вышестоящие организации форм бухгалтерской отчетности, полученных на ПЭВМ; решаются вопросы о передаче информации в эти организации на магнитных носителях и по каналам связи.
Для связи с банками предусматривается межмашинный обмен информацией по системе «Клиент — банк».
Банк, который обслуживает расчетный счет организации, предлагает услуги по оперативному управлению расчетным счетом прямо из офиса. Программа «Клиент — банк» позволяет создавать платежные поручения, передавать их в банк по модему, а также получать выписки из расчетного счета. При этом для обеспечения защиты информации используется электронная подпись, без которой передаваемые документы недействительны, а также специальная система шифрования информации. Система крайне удобна, экономит время и позволяет получать информацию о приходе денег на расчетный счет от различных клиентов и таким образом существенно ускорить их обслуживание. Кроме того, система «Клиент - банк» избавляет организации от поездок в банк для осуществления платежей.[3]
3. Методы и средства защиты информации в ЭИС
При разработке АИТ возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем.
Современные АИТ обладают следующими основными признаками:
? наличием информации различной степени конфиденциальности;
? необходимостью криптографической зашиты информации различной степени конфиденциальности при передаче данных;
? иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и информации системы, необходимостью оперативного изменения этих полномочий;
? организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;
? обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
? необходимостью регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;
? обязательным обеспечением целостности программного обеспечении и информации в АИТ;
? наличием средств восстановления системы защиты информации;
? обязательным учетом магнитных носителей;
? наличием физической охраны средств вычислительной техники и магнитных носителей.
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ.
Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии:
? устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТ, оценивается уровень конфиденциальности и объемы;
? определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
? анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
? определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;
? определяются мероприятия по обеспечению режима секретности на стадии разработки.
Среди организационных мероприятий по обеспечению безопасности информации важное место занимает охрана объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи.
Функционирование системы защиты информации от несанкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений, предусматривает:
? учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
? ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
? оперативный контроль за функционированием систем защиты секретной информации;
? контроль соответствия общесистемной программной среды эталону;
? приемку включаемых в АИТ новых программных средств;
? контроль за ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей;
? сигнализацию опасных событий и т.д.
Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации, какими совершенными эти программно-технические средства не были. Создание базовой системы защиты информации в АИТ основывается на следующих принципах:
Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающий оптимальное сочетание программных аппаратных средств и организационных мер защиты и подтвержденный практикой создания отечественных и зарубежных систем защиты.
Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной конфиденциальной информации.
Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для введения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без ее предварительной регистрации.
Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.
Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.
«Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.
Экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации.
Проблема создания системы защиты информации включает и себя две взаимно дополняющие задачи.
1. Разработка системы защиты информации (ее синтез).
2. Оценка разработанной системы защиты информации.
Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам.
Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.
Методы и средства обеспечения безопасности информации по казаны на рисунке 3.1.
Рассмотрим основное содержание представленных средств и методов защиты информации, которые составляют основу механизмов защиты.
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом — метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы банковской деятельности (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:
? идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
? опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
? проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
? разрешение и создание условий работы в пределах установленного регламента;
? регистрацию (протоколирование) обращений к защищаемым ресурсам;
? реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка — метод зашиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение — такой метод защиты, при котором пользователи персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Рисунок 3.1. Методы и средства обеспечения безопасности информации на примере банковской системы.
Побуждение — такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).
Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические.
К основным средствам зашиты, используемым для создания механизма защиты, относятся следующие:
1. Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
2. Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
3. Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации.
4. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).
5. Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью чего-либо, регламентируют эту деятельность). Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений. Сущность криптографических методов заключается в следующем.
Готовое к передаче сообщение, будь то данные, речь или графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом или сообщением. В процессе передачи такого сообщения по незащищенным каналам оно может быть легко перехвачено или отслежено подслушивающим лицом посредством его умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к такому сообщению оно зашифровывается и тем самым преобразуется в шифрограмму или закрытый текст. Когда же санкционированный пользователь получает сообщение, он дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст.
Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом, или битовой последовательностью, обычно называемым шифрующим ключом. Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом. Для большинства систем закрытия схема генератора ключи может представлять собой либо набор инструкций команд, либо часть, узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования/дешифрования единственным образом определяется выбранным специальным ключом. Поэтому, чтобы обмен зашифрованными сообщениями проходил успешно, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.
Следовательно, стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети, так чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образам перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный получатель, приняв эти сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.
Шифрование может быть симметричным и асимметричным. Симметричное основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Асимметричное характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования — другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.
Наряду с шифрованием используются и другие механизмы безопасности:
? цифровая (электронная) подпись;
? контроль доступа;
? обеспечение целостности данных;
? обеспечение аутентификации;
? постановка графика;
? управление маршрутизацией;
? арбитраж или освидетельствование.
Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, также в конечной точке.
Механизмы обеспечения целостности данных применяются как отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет скрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.
Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.
Механизмы постановки графика, называемые также механизмами заполнения текста, используются для реализации засекречивания потока данных. Они основываются на генерации объектами ИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Этим нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи.
Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по компрометированным (небезопасным) физически ненадежным каналам.
Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.
В АИТ при организации безопасности данных используется комбинация нескольких механизмов. [1]
Список использованных источников
1. Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. – М.: ЮНИТИ, 2002. – 399 с.
2. Экономика, разработка и использование программного обеспечения ЭВМ. Благодатских В.А., Енгибарян М.А., Ковалевская Е.В. – М.: Финансы и статистика, 2004.
3. Компьютеризация бухгалтерского учета. Брага В.В. – М.: АО «Финстатинформ», 2001.
4. Информационные системы в экономике. / Под ред. В.В. Дика. – М.: Финансы и статистика, 2004.