Автоматизированные системы управления на автомобильном транспорте

 

4.3 Достоверность информации

 

Одним из основных условий эффективного функционирования ИСУ является обеспечение  необходимого уровня достоверности  информации, на основе которой принимаются  управленческие решения.

Под достоверностью информации понимают вероятность появления ошибки, т.е. событие, заключающегося в том, что информация в системе о каком-либо параметре не совпадает с истинным значением в пределах заданной точности.

Ошибки возникают на любом этапе обработки информации: сбор, ввод, преобразование, передача. Ошибки информации обусловлены психо-физиологическими возможностями человека, а также объективными причинами (несовершенством технических средств, недостатками технологии сбора и обработки информации, недостаточной квалификацией персонала и т.д.), субъективными причинами (небрежность заполнения документов, плохая организация труда, преднамеренное искажение информации).

Причинами ошибок может быть неисправность  оборудования, несоответствие его техническим  параметрам, физический износ оборудования, нарушение условий технологии его работы, недостатки проектирования, наличие помех различного рода (плохая освещенность, шум, и т.д.), человеческий фактор (ошибки ввода, нарушение технологических инструкций).

Методы контроля:

1.Организационные: совершенствование технологии сбора и обработки данных; поддержание параметров технических средств в заданных пределах; повышение квалификации персонала; создание благоприятных условий труда; регламентация доступа к информации с использованием ключей, паролей, установлением списка пользователей и вида доступа пользователей к информации (чтение, запись, редактирование).

2. Программные методы основаны на информационной и программной избыточности, так как они предусматривают усложнение алгоритмов и программ, для внутри машинного контроля.

 Метод контрольных сумм  широко используются для контроля правильности ввода информации, подготовленной вручную.

Метод контроля формата  сообщения основан на проверке структуры сообщения на соответствие определенному макету.

Программно-логические методы контроля используются для проверки смыслового содержания информации, ее логичности и непротиворечивости (метод «вилок», контроль сообщений между реквизитами одного сообщения и между реквизитами различных сообщений,  контроль значения вводимого реквизита по справочнику).

Методы аппаратного  контроля: наличие блока индикации в устройствах ввода информации; получение печатных копий; многократный ввод информации; двойной, параллельный расчет задачи.                               

При передаче информации по каналам  связи используется следующие методы контроля: защита информации контрольным  разрядом; трехкратная передача информации; передача сообщений с использованием обратной связи.

Таким образом, универсального метода контроля достоверности информации пока не существует. Поэтому при построении информационного обеспечения применяют совокупность различных методов.

 

4.4. Безопасность компьютерных систем

В настоящее время  проблема защиты информации стоит перед  каждым пользователем ЭВМ и постоянно усугубляется процессами проникновения во все сферы деятельности общества технических средств обработки информации и вычислительных систем.

Виды атак на компьютерную сеть и отдельные компьютеры:

- хищение частной и  корпоративной информации;

- хищение номеров кредитных карт;

- сетевые атаки с  последующим требованием денежного  вознаграждения за прекращение  атаки (компьютерный рэкет);

- рассылка спама;

- внедрение программ, рассылающих спам или звонящих  на междугородние и международные  телефоны с вашего компьютера.

Спам представляет собой ненужную информацию, с целью распространения рекламы, предвыборных данных о кандидатах, участия в различных конкурсах и т.д.

Под несанкционированным доступом (НСД)  понимается проникновение в информационную среду организации без разрешения ее владельца с целью:

1. незаконного копирования программ и данных для дальнейшего использования (в т.ч. и для продажи);
2. преднамеренного или непреднамеренного искажения и уничтожения информации;
3. внедрение в информационную среду вредоносных программ (компьютерных вирусов, программ-шпионов, спама).

Система защиты информации – это совокупность специальных мер правового (законодательного), административного характера, организационных мероприятий, технических и программных средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом.

Способы защиты информации:

- создание различных  физических препятствий;

- управление доступом (регулирование использования всех ресурсов системы: технических, программных, информационных, временных);

- маскировка информации  – использование криптографических  методов;

- организационные методы  защиты информации;

- принуждение – соблюдение  определенных правил работы с информацией под угрозой материальной, административной и уголовной ответственности;

- побуждение – использование  морально-этических категорий (долг, ответственность, патриотизм и  т.п.).

  Нарушители могут  быть из числа персонала (внутренними)  или внешними (посторонними) лицами.

Основные преднамеренные угрозы:

1. физическое разрушение системы (взрыв, поджог, вывод из строя технических средств);
2. отключение или вывод из строя подсистем обеспечения функционирования систем (электропитание, вентиляции, охлаждение, линий связи и т.д.);
3. создание помех на частотах работы средств связи и технических устройств;
4. внедрение агентов в число персонала;
5. вербовка (подкуп, шантаж) персонала;
6. применение подслушивающих устройств, дистанционная фото- видеосъемка;
7. перехват побочных электромагнитных, акустических и др. излучений устройств и линий связи;
8. перехват данных, передаваемых по каналам связи путем подключения к ним;
9. хищение носителей информации;
10. хищение производственных отходов (распечаток, списанных носителей информации, и т.п.);
11. незаконное получение паролей;
12. вскрытие шифров криптографической защиты;
13. внедрение вирусов и программ-шпионов.

Чаще всего достижение поставленной цели злоумышленник использует не один способ, а их некоторую совокупность.

Экономические методы предполагают применение мер стимулирования по приобретению законным путем легальных программных продуктов и баз данных. К их числу можно отнести следующие меры:

- предоставление скидок  при покупке очередной версии  программы и регулярное информирование  пользователей об изменениях, доработках и новых версиях;

- издание различных  средств массовой информации, в  которых представляется рынок  программных продуктов, указываются  поставщики, их реквизиты;

- организация специализированных  выставок, курсов, консультаций.

Организационные методы защиты информации:

- подбор и проверка  персонала;

- разграничение доступа  сотрудников к компьютерным сетям,  информации и действий с ней  в соответствии с их функциональными  обязанностями и полномочиями;

- продуманная планировка  помещений с целью минимизации контактов персонала;

- обозначения и названия  документов и носителей не  должны раскрывать их содержание;

- организация контроля  и учета выходной информации  и документов (ведение журналов  учета);

- уничтожение «отработанных»  документов и машинных носителей информации или передача их в архив;

- ведение учета передачи смен, дежурств и т.д.;

- постоянное повышение квалификации  персонала;

- использование служб безопасности, оснащение помещений охранной  и противопожарной сигнализацией;

- включение в должностные инструкции мероприятий по обеспечению режима секретности;

- анализ содержимого документов  на степень конфиденциальности, присвоение грифа секретности;

- смена всех паролей при увольнении  сотрудников;

- регулярное тестирование компьютерных систем;

- создание необходимого числа  копий важной информации.

Аппаратная защита информации предполагает использования специальной аппаратуры, которая обеспечивает проверку целостности компьютерных систем и разграничивает доступ к ней.

К данному виду защиты относятся устройства, работающие с идентификационными карточками и паролями, аппаратура,  осуществляющая идентификацию и аутентификацию пользователей по физическим признакам,  саморазрушающиеся микросхемы, горячее резервирование серверов и отдельных компьютеров.

Устройства, работающие с  идентификационными карточками (смарт-карты), используются в пропускных пунктах, осуществляют идентификацию и регистрацию пользователей.

Пароли способствуют идентификации пользователей, разграничению доступа к информационным ресурсам. К основным недостаткам паролей являются: пароль можно забыть, возможна кража пароля, пароль может быть подобран и взломан.

Для пользователей разработаны  следующие правила пользования паролями:

- длина пароля должна  быть не менее 8 символов;

- в пароле использовать  весь набор символов (различные  алфавиты, большие и малые буквы,  цифры и специальные символы);

- периодически изменять  пароли (время действия пароля  не должно превышать 42 дней);

- пароли не должны  повторяться;

- нельзя записывать, выставлять  на видном месте (наклеивать  на монитор, на стену и т.д.);

- менять пароли после  каждого случая утечки информации  или увольнения сотрудника;

- в случае возникновения  проблем с паролем (подозрение в его хищении, трудности ввода, забывчивость) обращаться к системному администратору, который отвечает за генерацию паролей и их качество.

Таким образом, правильное использование паролей для идентификации  пользователей позволит повысить информационную безопасность компьютерных систем. В дальнейшем в «чистом» виде пароли будут задействоваться все реже и реже, постепенно уступая системе аутентификации пользователей по биометрическим параметрам.

Идентификация – распознавание пользователя, процесса, устройства компьютерной системой типа «свой», «чужой» для допуска в систему. Для идентификации пользователя используются карточки, шифры, системы «вопрос – ответ».

Аутентификация – установление подлинности идентификации пользователя, процесса, устройства. При аутентификации применяются биометрические методы распознавания пользователя, когда используются такие элементы личности, которые носят индивидуальный характер и сохраняются на протяжении всей жизни человека (отпечатки пальцев, ладони, сетчатки и расположение кровеносных сосудов глаза, личной подписи, форма ушных раковин, ладоней и кистей рук, термограмма лица, ДНК, индивидуальный запах человека и т.п.).

Саморазрушающиеся микросхемы уничтожают себя при попытке несанкционированного проникновения в неё.

При горячем резервировании серверов и компьютеров базы данных и ведение расчетов осуществляется на двух ЭВМ.

Компания «Рускард»  разработала сетевую версию программно- аппаратного комплекса «Мастер  паролей», предназначенного для идентификации пользователей и разграничения прав доступа к компьютерным сетям.

Таким образом, мероприятия  по защите информации должны проводиться  на всех стадиях создания ИСУ: проектировании, разработке, подготовке к внедрению  и проведении эксплуатации.

Правовые методы защиты информации

Правовые методы используют законодательные акты, положения и инструкции. В мировой практике существует набор различных правовых средств. К ним относятся нормы авторского права, патентного права, право на товарный знак, законодательство о производственных секретах.

Уголовно-правовая защита компьютерной информации в российском уголовном  законодательстве впервые введена 23 сентября 1992г., когда был принят Закон «О правовой охране программ для электронно-вычислительных машин  и баз данных». Затем 9 июля 1993г. вышел в свет Закон РФ « Об авторском праве и смежных правах» и 20 февраля 1995г. – Федеральный Закон «Об информации, информатизации и защите информации». Эти законы защищают право на имя программы, базы данных, право на использование, право на модификацию.