Безпека інформаційних систем

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Кафедра економічної кібернетики
Контрольна робота
з дисципліни:
Інформаційні системи і технології в банківській справі
Суми 200 8

Введення
Завдання захисту інформації в комп'ютерних інформаційних системах з метою попередження злочинів у цій сфері є на сьогодні досить актуальною. Для вирішення цього завдання використовується цілий комплекс засобів, що включає в себе технічні, програмно-апаратні засоби і адміністративні заходи захисту інформації.
Під комп'ютерним злочином розуміють всі протизаконні дії, знаряддям або об'єктом скоєння яких була електронна обробка інформації. Таким чином, до кола цих проблем потрапляють не тільки злочини, безпосередньо пов'язані з комп'ютерами, але і шахрайство з кредитними магнітними картками, злочини у сфері комунікації і т.д.
Комп'ютерні злочини можна розділити на дві великі групи:
1. Злочини, об'єктом скоєння яких є комп'ютер або комп'ютерна система, такі як:
- Знищення або заміна даних, програмного забезпечення і устаткування;
- Економічне шпигунство і розголошення інформації, що становить державну або комерційну таємницю.
2. Протизаконні дії, для вчинення яких комп'ютер використовується як знаряддя, такі як:
- Комп'ютерний саботаж;
- Вимагання та шантаж;
- Розтрата;
- Розкрадання грошових коштів.
Повсюдний перехід до електронної обробки інформації в економіці, управлінні та кредитно-фінансовій сфері обумовив виникнення комп'ютерної злочинності і в Україну.
Одними з перших з цим видом злочинів зіткнулися співробітники управління по боротьбі з організованою злочинністю УВС Дніпропетровської області. У червні 1994 року ними була попереджена спроба розкрадання 864 млн. крб. шляхом несанкціонованого проникнення в банківську електронну систему платежів.
Провідний інженер - комп'ютерник регіонального управління Промінвестбанку м. Дніпропетровська, маючи доступ до охоронної системи комп'ютерної мережі банку, скопіював на свою дискету програму охоронної системи і за допомогою особистого комп'ютера, встановленого в квартирі, увійшов у локальну комп'ютерну мережу банку. Оформивши фіктивний платіж на 864 млн. крб., Він вклав їх у поштову скриньку комп'ютера банку для відправки на раніше обумовлений рахунок однієї з дніпропетровських фірм. Після зарахування вказаної суми на розрахунковий рахунок фірми зловмисник був затриманий.
Подібні факти мали місце в Донецькій області та Республіці Крим. Так, Управлінням по боротьбі з організованою злочинністю УМВС України в Республіці Крим була викрита група розкрадачів в складі інженера з фінансової безпеки філії АКБ «Україна» в м. Сімферополі і трьох ніде не працюючих осіб. Інженер-комп'ютерник, маючи доступ до комп'ютера, що входить в комп'ютерну мережу електронних платежів, оформив фіктивний електронний платіж, по якому перерахував понад 450 млн. крб. на рахунок однієї з фірм в м. Севастополі, реквізити якої були надані йому спільниками. Надалі сума була переведена для конвертації у відділення Невіконбанка. Через два дні за фіктивною заявці один з спільників отримав в цьому банку майже 11 тис. дол США, які були поділені між членами злочинної групи. З метою приховування крадіжки інженер стер з пам'яті комп'ютера фіктивну операцію, замінивши її на реально існуючу. Через тиждень після крадіжки всі члени злочинної групи були заарештовані.
Події останніх років приводять до необхідності серйозно задуматися над проблемою комп'ютерної злочинності. Наведу зовсім свіжий факт із цієї області:
Спроба розкрадання 80 млн. грн. була здійснена шляхом несанкціонованого доступу до комп'ютерної мережі Вінницької обласної дирекції Національного банку. З резервного рахунку гроші були переведені спочатку на рахунок одного з місцевих підприємств, а потім - латвійській комерційної фірми. Керівництво Національного банку виявило ще одну спробу розкрадання значної суми. За виявленими фактами порушено кримінальну справу.
Кількість комп'ютерних злочинів зростає - також збільшуються масштаби комп'ютерних зловживань. За оцінкою фахівців США, збиток від комп'ютерних злочинів збільшується на 35 відсотків на рік і становить близько 3,5 мільярдів доларів. Однією з причин є сума грошей, одержувана в результаті злочину: у той час як збитки від середнього комп'ютерного злочину становить 560 тисяч доларів, при пограбуванні банку - всього лише 19 тисяч доларів.

1. Аналіз можливих загроз безпеки системи
Побудова надійного захисту комп'ютерної системи неможливо без попереднього аналізу можливих загроз безпеки системи. Цей аналіз повинен включати в себе:
- Оцінку цінності інформації, що зберігається в системі;
- Оцінку витрат часу і коштів на розтин системи, допустимих для зловмисників;
- Оцінку характеру зберігається в системі інформації, виділення найбільш небезпечних загроз (несанкціоноване читання, несанкціонована зміна і т.д.);
- Побудова моделі зловмисника - іншими словами, оцінка того, від кого треба захищатися - від сторонньої особи, користувача системи, адміністратора і т.д.;
- Оцінку припустимих витрат часу, коштів і ресурсів системи на організацію її захисту.
При проведенні такого аналізу захищеної системи експерт фактично ставить себе на місце хакера, який намагається подолати її захист. Але для того, щоб уявити себе на місці хакера, потрібно відповісти на наступні питання:
- Наскільки високий професійний рівень хакера;
- Наскільки повною інформацією про атакується системі має хакер;
- Чи має хакер легальний доступ до атакується системі, якщо так, які його повноваження;
- Які методи атаки хакер буде застосовувати з найбільшою ймовірністю.
Ми не будемо торкатися морально-етичних, історичних та соціальних аспектів діяльності хакерів, і будемо розуміти під хакером особа, яка намагається подолати захист комп'ютерної системи, неважливо, в яких цілях.
У відношенні атакується системи хакер може виступати в одній з наступних ролей:
- Стороння особа, що не має легального доступу до системи. Хакер може атакувати систему тільки з використанням загальнодоступних глобальних мереж;
- Співробітник організації, що не має легального доступу до атакується системі. Більш імовірна ситуація, коли в такій ролі виступає не сам хакер, а його агент (прибиральниця, охоронець і т.д.). Хакер може впроваджувати у атакуемую систему програмні закладки. Якщо хакер зуміє підглянути або підібрати пароль легального користувача, він може перейти в роль користувача або адміністратора;
- Користувач системи, що володіє мінімальними повноваженнями. Хакер може атакувати систему, використовуючи помилки в програмному забезпеченні і в адмініструванні системи;
- Адміністратор системи. Хакер має легально отримані повноваження, достатні для того, щоб успішно атакувати систему. Для нейтралізації цієї загрози в системі повинні бути передбачені засоби протидії несанкціонованим діям адміністраторів;
- Розробник системи. Хакер може вбудовувати в код системи «люки» (недокументовані можливості), які надалі дозволять йому здійснювати несанкціонований доступ (НСД) до ресурсів системи.

2. Можливі атаки автоматизованої банківської системи
У загальному випадку автоматизована банківська система включає в себе три основних рівня:
- Одна або кілька систем управління базами даних (СКБД);
- Одна або кілька операційних систем (ОС), що обслуговують СУБД і системи документообігу;
- Мережеве програмне забезпечення, що забезпечує інформаційну взаємодію робочих станцій і серверів банківської мережі.
Атака АБС може здійснюватися на будь-якому з перерахованих рівнів. Нехай, наприклад, хакеру потрібно прочитати певні записи з бази даних (БД). Хакер може спробувати:
- Прочитати ці записи засобами СУБД (атака на рівні СУБД);
- Прочитати файли БД (атака на рівні ОС);
- Відправити в мережу пакети певного виду, отримавши які, сервер БД надасть хакеру необхідну інформацію (атака на рівні мережі).
Оскільки методи здійснення НСД до ресурсів АБС істотно різняться залежно від того, на якому рівні відбувається атака АБС, ці методи для різних рівнів доцільно розглянути окремо.
2.1 Можливі атаки на рівні СУБД
Захист бази даних є однією з найбільш простих завдань захисту інформації. Це обумовлено тим, що бази даних мають чітко визначену внутрішню структуру, і операції над елементами баз даних також чітко визначені. Зазвичай над елементами баз даних визначено всього чотири основні операції: пошук, вставка, заміна і видалення. Інші операції носять допоміжний характер і використовуються відносно рідко. Така проста структура системи захисту спрощує її адміністрування і сильно ускладнює завдання подолання захисту СУБД. У більшості випадків хакери навіть не намагаються атакувати СУБД, оскільки подолати захист АБС на рівнях операційної системи та мережі набагато простіше. Тим не менш, в окремих випадках подолання хакером захисту, що реалізується СУБД, цілком можливо. Така ситуація має місце у наступних випадках:
якщо в АБС використовується СУБД, захист якої недостатньо надійна;
якщо використовується недостатньо добре протестована версія СУБД, що містить помилки в програмному забезпеченні;
якщо адміністратори бази даних допускають грубі помилки при визначенні політики безпеки.
Крім того, відомі дві атаки СУБД, для захисту, від яких потрібні спеціальні заходи. До них відносяться:
«Атака салямі», коли результати округлення результатів арифметичних операцій додаються до значення деякого елемента бази даних (наприклад, до суми, що зберігається на особистому рахунку хакера);
- Статистична ідентифікація. Ця атака дозволяє отримувати конкретні значення тих полів бази даних, для яких доступна тільки статистична інформація. Основна ідея полягає в тому, щоб так задати параметри запиту, що безліч записів, по яких збирається статистика, включає в себе лише один запис. Для реалізації атаки на СУБД хакер повинен як мінімум бути користувачем СУБД.
2.2 Можливі атаки на рівні ОС
Захистити операційну систему набагато складніше, ніж СУБД. Це обумовлено тим, що кількість різних типів об'єктів, що захищаються в сучасних ОС може досягати декількох десятків, а число різних типів захищаються інформаційних потоків - кількох сотень. ОС має дуже складну внутрішню структуру і тому завдання побудови адекватної політики безпеки для ОС вирішується значно складніше, ніж для СУБД.
Поширена думка, що найбільш ефективні і небезпечні атаки ОС організовуються за допомогою складних програмних засобів, що використовують останні досягнення науки і техніки. Вважається, що хакер обов'язково повинен бути програмістом високої кваліфікації. Насправді для подолання захисту ОС зовсім не обов'язково писати складну програму. Мистецтво хакера полягає не в тому, щоб зуміти написати програму, яка зламує будь-який захист, а в тому, щоб знайти вразливе місце в конкретній системі захисту і зуміти ним скористатися. При цьому найкращі результати досягаються при використанні самих найпростіших методів «влізання» у виявлені «дірки» у захисті ОС. Чим простіше алгоритм атаки, тим більша ймовірність того, що атака пройде успішно - можливості хакера за попередньою тестування алгоритму атаки звичайно сильно обмежені.
Можливість практичної реалізації тієї чи іншої атаки на ОС в значній мірі визначається архітектурою і конфігурацією ОС. Тим не менше, існують атаки, які можуть бути застосовані практично до будь-яких операційних систем. До них належать такі атаки:
Крадіжка ключової інформації. Може реалізовуватися з використанням таких методів:
- Підглядання паролю при введенні користувачем. Існують люди, які можуть підглянути пароль, що вводиться, дивлячись тільки на рухи рук по клавіатурі. Тому те, що зазвичай при введенні пароль не висвічується на екрані, не гарантує неможливість компрометації пароля;
- Отримання пароля з командного файлу. Деякі ГР при мережевий аутентифікації (підключенні до сервера) допускають введення пароля з командного рядка. Якщо аутентифікація відбувається з використанням командного файлу, пароль користувача присутній в цьому файлі в явному вигляді;
- Деякі користувачі, щоб не забути свій пароль, записують його в записники, на папірці, які потім приклеюють до нижньої частини клавіатури, і т.д. Для зловмисника дізнатися такий пароль не складає ніяких труднощів. Особливо часто така ситуація має місце, якщо адміністратори змушують користувачів використовувати довгі, труднозапомінаемие паролі;
- Крадіжка зовнішнього носія ключової інформації. Деякі ОС допускають використання замість паролів зовнішніх носіїв інформації (ключові дискети. Touch Memory, Smart Card і т.д.). Використання зовнішніх носіїв підвищує надійність захисту навколишнього середовища, але в цьому випадку з'являється загроза крадіжки носія з ключовою інформацією;
- Перехоплення пароля програмної закладкою.
Підбір пароля. Можуть використовуватися наступні методи:
- Неоптимізований перебір;
- Перебір, оптимізований за статистикою зустрічальності символів і біграм;
- Перебір, оптимізований з використанням словників ймовірних паролів;
- Перебір, оптимізований з використанням знань про користувача. У цьому випадку в першу чергу випробовується паролі, використання яких користувачем видається найбільш імовірним (ім'я, прізвище, дата народження, номер телефону тощо);
- Перебір, оптимізований з використанням знань про підсистему аутентифікації ОС. Якщо ключова система ОС допускає існування еквівалентних паролів, при переборі з кожного класу еквівалентності випробовується лише один пароль.
Всі ці методи можуть застосовуватися в сукупності. Якщо хакер не має доступу до списку користувачів ОС, підбір пароля користувача являє серйозну небезпеку тільки в тому випадку, коли користувач використовує тривіальний, легко вгадуваний пароль. Якщо ж хакер отримує доступ до списку користувачів, хакер може здійснювати перебір, не маючи прямого доступу до атакованого комп'ютера або мережі (наприклад, хакер може забрати список користувачів ОС додому і запустити програму перебору паролів на своєму домашньому комп'ютері). У цьому випадку за прийнятний час може бути підібраний пароль довжиною до 8-10 символів.
Сканування жорстких дисків комп'ютера. Хакер послідовно зчитує файли, що зберігаються на жорстких дисках комп'ютера. Якщо при зверненні до деякого файлу або каталогу хакер отримує відмову, він просто продовжує сканування далі. Якщо обсяг жорсткого диска комп'ютера досить великий, можна бути впевненим, що при описі прав доступу до файлів і каталогів цього диску адміністратор допустив хоча б одну помилку. При застосуванні цієї атаки всі файли, для яких були допущені такі помилки, будуть прочитані хакером. Незважаючи на примітивність даної атаки, вона в багатьох випадках виявляється досить ефективною. Для її реалізації хакер повинен бути легальним користувачем ОС. Якщо в ОС підтримується адекватна (або близька до адекватної) політика аудиту, дана атака буде швидко виявлена, але якщо хакер організовує атаку під чужим ім'ям (ім'ям користувача, пароль якого відомий хакеру), виявлення цієї атаки нічим йому не загрожує. Даний метод можна застосовувати не тільки для сканування дисків локального комп'ютера, але і для сканування поділюваних ресурсів локальної мережі.
«Збірка сміття». Якщо в ОС допускається відновлення раніше видалених об'єктів, хакер може скористатися цією можливістю для відновлення об'єктів, віддалених іншими користувачами. У найпростішому випадку хакеру досить переглянути чужу «сміттєву корзину». Якщо хакер використовує для збірки сміття програмну закладку, він може «збирати сміття» не тільки на дисках комп'ютера, але і в оперативній пам'яті.
Перевищення повноважень. Використовуючи помилки в програмному забезпеченні або адмініструванні ОС, хакер отримує в системі повноваження, що перевищують надані йому відповідно до поточної політики безпеки. Перевищення повноважень може бути досягнуто наступними способами:
- Запуск програми від імені користувача, що володіє необхідними повноваженнями;
- Запуск програми в якості системної програми (драйвера, сервісу, демона і т.д.), що виконується від імені ОС;
- Підміна динамічно завантажувані бібліотеки, використовуваної системними програмами, або несанкціонована зміна змінних середовища, що описують шлях до такої бібліотеці;
- Модифікація даних підсистеми захисту ОС.
Атаки класу «відмова в обслуговуванні». Ці атаки націлені на повний або частковий вивід ОС з ладу. Існують наступні атаки даного класу:
- Захоплення ресурсів - програма захоплює всі ресурси комп'ютера, які може отримати. Наприклад, програма присвоює собі найвищий пріоритет і йде в вічний цикл;
- Бомбардування важкоздійснюваними запитами - програма у вічному циклі направляє операційній системі запити, виконання яких вимагає великих витрат ресурсів комп'ютера;
- Бомбардування завідомо безглуздими запитами - програма у вічному циклі направляє операційній системі свідомо безглузді (звичайно випадково генеруються) запити. Рано чи пізно в ОС відбувається фатальна помилка;
- Використання відомих помилок в програмному забезпеченні або адмініструванні ОС.

3. Можливі атаки на рівні мережі
На рівні мережного програмного забезпечення можливі наступні атаки на АБС:
Прослуховування каналу (можливо тільки в сегменті локальної мережі). Практично всі мережеві карти підтримують можливість перехоплення пакетів, переданих за загальним каналу локальної мережі. При цьому робоча станція може приймати пакети, адресовані іншим комп'ютерам того ж сегменту мережі. Таким чином, весь інформаційний обмін в сегменті мережі стає доступним хакеру. Для успішної реалізації цієї атаки комп'ютер хакера повинен розташовуватися в тому ж сегменті локальної мережі, що і атакований комп'ютер.
Перехоплення пакетів на маршрутизаторі Мережеве програмне забезпечення маршрутизатора має доступ до всіх мережних пакетів, що передаються через даний маршрутизатор, що дозволяє здійснювати перехоплення пакетів. Для реалізації цієї атаки хакер повинен мати привілейований доступ хоча б до одного маршрутизатора мережі. Оскільки через маршрутизатор зазвичай передається дуже багато пакетів, тотальний їх перехоплення практично неможливий. Однак окремі пакети цілком можуть бути перехоплені і збережені для подальшого аналізу хакером. Найбільш ефективний перехоплення пакетів FTP, що містять паролі користувачів, а також електронної пошти.
Створення помилкового маршрутизатора Хакер відправляє в мережу пакети певного виду, в результаті чого комп'ютер хакера стає маршрутизатором і отримує можливість здійснювати попередню загрозу. Помилковий маршрутизатор необов'язково помітний всім комп'ютерам мережі - можна створювати помилкові маршрутизатори для окремих комп'ютерів мережі і навіть для окремих сполук.
Нав'язування пакетів Хакер відправляє в мережу пакети з помилковим зворотною адресою. За допомогою цієї атаки хакер може перемикати на свій комп'ютер з'єднання, встановлені між іншими комп'ютерами. При цьому права доступу хакера стають рівними прав того користувача, чиє з'єднання з сервером було переключено на комп'ютер хакера.
Атаки класу «відмова в обслуговуванні» Хакер відправляє в мережу пакети певного виду, в результаті чого один або декілька комп'ютерів мережі повністю або частково виходять з ладу.
Мережевий рівень АБС зазвичай найбільш уразливий для атак хакерів. Це обумовлено тим, що канал зв'язку, по якому передаються мережні пакети, є відкритим - кожен, хто має фізичний доступ до цього каналу, може відправляти в канал пакети довільного змісту. Для забезпечення надійного захисту мережевого рівня АБС необхідно домогтися максимальної «закрите ™» мережевих каналів зв'язку, іншими словами, максимально утруднити несанкціонований інформаційний обмін в мережі, що захищається.
3.1 Заходи щодо попередження несанкціонованого доступу та безпечного функціонування інформаційної банківської системи
Підводячи підсумки вищевикладеного, можна сформулювати перелік основних завдань, які повинні вирішуватися по всій банківській системі
• управління доступом (розмежування повноважень) користувачів до ресурсів локальної та корпоративної банківським комп'ютерних мережах з метою їх захисту від неправомірного випадкового або навмисного втручання в роботу системи та несанкціонованого (з перевищенням наданих повноважень) доступу до її інформаційних, програмних і апаратних ресурсів з боку сторонніх осіб , а також осіб з числа персоналу організації і користувачів; повинен бути чітко визначений порядок отримання доступу до ресурсів мережі відповідно до функціональних обов'язків конкретного працівника (набір повноважень повинен бути мінімально необхідний для виконання ним своїх прямих обов'язків);
• захист робочих станцій - застосування паролів на включення, програм захисту екрану, відключення дисководів, опечатування корпусів; використання дискет тільки у разі технологічної необхідності; дискети повинні бути промарковані;
• охорона серверних і забезпечення їх безперебійної роботи - обмежений доступ, засоби сигналізації, дотримання вимог НБУ до приміщень, де знаходиться апаратура СЕП; обов'язкове використання джерел безперебійного живлення, якісних систем пожежогасіння;
• захист даних, переданих по каналах зв'язку - у першу чергу це стосується системи Клієнт-банк (всього по системі працює 2877 клієнтів), де деякі дирекції та філії (Кіровоград, Дніпропетровськ) продовжують здійснювати клієнтські платежі взагалі без захисту чи з використанням несертифікованих засобів захисту ; не можна допускати передачі інформації у відкритому вигляді за межами охоронюваних територій;
контроль за діями користувачів в мережі - реєстрація, збір, зберігання, обробка і видача відомостей про всі події, що відбуваються в системі і які мають відношення до її безпеки; необхідно навчитися працювати з системними журналами і знати їхні можливості для відновлення хронології відбулися в мережі подій; оперативне оповіщення служби безпеки про спроби несанкціонованого доступу до ресурсів системи; недопущення фактів роботи в мережі під чужим ім'ям або з груповими паролями;
резервне копіювання - створення архіву резервних копії, який буде надійно захищена від знищення у разі стихійних лих, ненавмисних або навмисних дій; використання для зберігання вогнетривких сейфів;
• використання на робочих станціях тільки перевіреного програмного забезпечення з метою захисту від безконтрольного впровадження в систему потенційно небезпечних програм (у яких можуть міститися шкідливі закладку або небезпечні помилки) і засобів подолання системи захисту, а також від впровадження і розповсюдження комп'ютерних вірусів; не можна допускати самовільної установки на робочих місцях програмного забезпечення, у тому числі комп'ютерних ігор;
• контроль за підключеннями до мережі Інтернет - дозвіл на підключення до мережі Інтернет має даватися тільки у виняткових випадках, якщо це необхідно для здійснення працівником прямих функціональних обов'язків; в загальних випадках такі підключення повинні бути заборонені; в ідеалі підключення до Інтернет повинно здійснюватися з окремою машини, яка не працює в локальній мережі;
навчання користувачів - користувачі повинні знати ази комп'ютерної безпеки і нести певну відповідальність, як за свої дії (наприклад, робота без пароля або з легко вгадуваним паролем) так і за збереження в таємниці свого пароля;
Виконання цих завдань можливе при використанні існуючих численних видів захисту інформації, які умовно можна об'єднати в три основні групи;
• засоби фізичного захисту (захист кабельної системи, телекомунікаційної апаратури, антен, засоби архівації і т.д.)
Фізичні заходи захисту засновані на застосуванні різного роду механічних, електро-або електронно-механічних пристроїв і споруд, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів системи та інформації, що захищається, а також технічних засобів візуального спостереження, зв'язку та охоронної сигналізації.
програмні засоби захисту (антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу, криптографічний захист інформації)
Програмні (апаратно-програмні) заходи захисту засновані на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту (ідентифікацію та аутентифікацію користувачів, розмежування доступу до ресурсів, реєстрацію подій, криптографічне закриття інформації і т.д.).
• адміністративні заходи захисту (контроль доступу в приміщення, розробка стратегії безпеки, планів дій у надзвичайних ситуаціях, профілактичні роботи.
Організаційні (адміністративні) заходи захисту - це заходи організаційного характеру, що регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою таким чином, щоб найбільшою мірою ускладнити або виключити можливість реалізації загроз безпеці. Вони включають:
• заходи, здійснювані при проектуванні, будівництві та обладнанні серверних і інших об'єктів систем обробки даних;
• заходи з розробки правил доступу користувачів до ресурсів системи (розробка політики безпеки);
• заходи, здійснювані при підборі та підготовці персоналу системи; в переважній разі вчинення комп'ютерного злочину неможливо без участі інсайдера;
• організацію охорони і надійного пропускного режиму;
• організацію обліку, зберігання, використання та знищення документів і носіїв з інформацією;
• розподіл реквізитів розмежування доступу (паролів, ключів шифрування і т.п.);
• організацію явного і прихованого контролю за роботою користувачів;
заходи, здійснювані при проектуванні, розробці, ремонті і модифікаціях обладнання і програмного забезпечення і т.п.

4. Проект технічного завдання автоматизації функції збору та обробки інформації для центрального офісу банку про діяльність його філій
4.1 Призначення побудови інформаційної системи в банку
Головною метою створення інформаційної системи на рівні Центрального офісу комерційного банку є об'єднання в єдиний інформаційний простір всіх структурних одиниць (філій) банку.
Ця інформаційна система дозволить вирішити такі завдання:
ü автоматизувати облік надходжень платежів клієнтів по системі банку;
ü вести автоматичний облік клієнтів;
ü облік рухів по рахунках;
ü облік, робіт, що проводяться з іншими банками;
ü інформаційний обмін, в тому числі обмін електронною поштою, файлами й т.д. між структурними підрозділами банку;
ü інформаційне забезпечення керівного персоналу необхідною інформацією для прийняття управлінських рішень;
ü забезпечення збору, обробки і надійного зберігання корпоративної інформації;
ü автоматизація системи документообігу;
ü реалізація контрольованого доступу до внутрішніх ресурсів інформаційної системи.
Єдиний інформаційний простір передбачає, що всі користувачі будуть працювати з реальними даними, які можуть бути тільки що створені, внесені або відкориговані їх колегами з інших відділів, навіть якщо ці відділи знаходяться в різних місцях.
Для виконання перерахованих вище завдань інформаційна система повинна виконувати:
ü збір первинної інформації про надходження платежів в установленому порядку та їх автоматичну реєстрацію;
ü передача інформації користувачеві системи або її розсилка по локальній мережі;
ü зберігання і підтримку в робочому стані колективно використовуваної інформації в центральній базі даних.
4.2 Перелік автоматичних робочих місць і ставляться до них вимозі
Уповноважений співробітник Центрального офісу банку потребує інформаційної підтримки для виконання своїх службових обов'язків (наприклад, про стан кредитно - інвестиційного портфеля філії банку, доходів і витрат за звітний період і т.п.)
Дана інформаційна система вимагає створення наступних автоматизованих робочих місць (АРМ):
1. АРМ керівників кредитного департаменту, бухгалтерського обліку та звітності, планування та контролінгу;
2. АРМ адміністратора мережі;
3. АРМ начальника відділу контролю діяльності філій;
4. АРМ начальника планового отелення
5. АРМ начальника методології та аналізу
6. Начальника відділу кредитних ризиків
Керівництву Центрального офісу банку потрібне узагальнена, достовірна і повна інформація, що дозволяє приймати правильні управлінські рішення. Йому також необхідні дані для аналізу і планування різних фінансово - економічних показників діяльності структурних підрозділів банку.

4.3 Вимоги до апаратної частини
Дана інформаційна система повинна відповідати таким вимогам:
1. Щодо дешева при максимальному спектрі можливостей;
2. За рівнем територіальної розподіленості - локально-обчислювальна мережа з режимом роботи «Клієнт-сервер»;
3. За способом управління - централізована з виділенням центрального рівня.
4. За характером передачі даних - з маршрутизацією і комунікацією інформації;
5. За характером реалізації функції - інформаційно - обчислювальна;
6. За топології - широкомовна з типом коонфігураціі «зірка з пасивним центром»
Кожен АРМ повинен:
- Забезпечувати діалоговий режим роботи;
- Забезпечувати друк всіх вихідних форм на паперовому носії інформації з необхідною кількістю примірників;
- Створювати копії звітів розпоряджень, а так само іншої документації на магнітних носіях
Сервісні функції апаратної частини інформаційної системи:
- Можливість налаштування АРМ;
- Можливість архівації даних;
- Використання функцій лічильної машини і календаря;
- Електронна пошта;
- Можливість оперативної обробки табличної, графічної, текстової інформації.

Висновок
Бурхливий розвиток інформаційних технологій має і свій негативний аспект: це відкрило дорогу для нових форм антисоціальної та злочинної діяльності, які раніше були неможливі. Комп'ютерні системи містять у собі нові унікальні можливості для здійснення раніше невідомих правопорушень, а також для здійснення традиційних злочинів, однак, більш ефективними способами.
З розвитком міжнародних глобальних комп'ютерних і телекомунікаційних мереж виникли нові сфери для вчинення злочинів:
1. Міжнародна електронна система банківських розрахунків.
2. Система платежів із застосуванням кредитних карток.
3. Система міжнародних телекомунікацій.
4. Використання автоматизованих банків даних.
Широке використання комп'ютерів поставили деякі сфери сучасного життя в пряму залежність від них. Комерційна діяльність та банківська система, транспорт, атомні електростанції і автоматизовані виробничі процеси - ось деякі приклади життєво важливих областей, де комп'ютерні системи багато значать.
Інформаційно-технологічна революція призвела до драматичних змін у способі виконання своїх обов'язків для великого числа професій. Тепер нетехнічний спеціаліст середнього рівня може виконувати роботу, яку раніше робив висококваліфікований програміст. Службовець має у своєму розпорядженні стільки точної та оперативної інформації, скільки ніколи не мав.
Але використання комп'ютерів і автоматизованих технологій призводить до появи ряду проблем для керівництва організацією. Комп'ютери, часто об'єднані в мережі, можуть надавати доступ до колосального кількості найрізноманітніших даних. Тому люди турбуються про безпеку інформації та наявність ризиків, пов'язаних з автоматизацією і наданням набагато більшого доступу до конфіденційних, персональним або іншим критичним даними. Все збільшується кількість комп'ютерних злочинів, що може призвести, в остаточному підсумку, до підриву економіки. І тому повинно бути ясно, що інформація - це ресурс, який треба захищати.

Використана література
1. Ананьєв, О.М. Інформаційні системи І Технології в комерційній діяльності [Текст]: підручник / О.М. Ананьєв, В.М. Білик, Я.А. Гончарук. - Львів: Новий Світ-2000, 2006. - 584 с.
2. Антонов, В.М. Фінансовий менеджмент: Сучасні Інформаційні Технології [Текст]: Навчальний посібник / В.М. Антонов, Г.К. Яловий; ред. В.М. Антонов; МІН-во ОСВІТИ І науки України, КНУ ім. Т.Г. Шевченка. - К.: ЦНЛ, 2005. - 432 с.
3. Гужва, В.М. Інформаційні системи І Технології на підпріємствах [Текст]: Навчальний посібник / В.М. Гужва; МІН-во ОСВІТИ І науки України, КНЕУ. - К.: КНЕУ, 2001. - 400 с.
4. Гуржій, А.М. Інформатика та Інформаційні Технології [Текст]: підручник / А.М. Гуржій, Н.І. Поворознюк, В.В. Самсонов. - Х.: Компанія СМІТ, 2003. - 352 с.
5. Інформаційні системи і технології: додатки в економіці та управлінні: Кн. 6 [Текст]: навчальний посібник / Мін-во освіти і науки України, Донецький нац. ун-т; ред. Ю.Г. Лисенко. - Донецьк: Юго-Восток, 2004. - 377 с.
6. Маслов, В.П. Інформаційні системи І Технології в економіці [Текст]: Навчальний посібник / В.П. Маслов; МІН-во ОСВІТИ І науки України. - К.: Слово, 2003. - 264 с.
7. Олійник, А.В. Інформаційні системи І Технології у фінансовіх установах [Текст]: Навчальний посібник / О.В. Олійник, В.М. Шацьк. - Львів: Новий Світ-2000, 2006. - 436 с.
8. Румянцев, М.І. Інформаційні системи і технології фінансово-кредитних установ [Текст]: навчальний посібник для вузів / М.І. Румянцев; Західнодонбаський ін-т економіки і управління. - Дніпропетровськ: ІМА-прес, 2006. - 482 с. -
9. Черняк, О.І. Системи обробки економічної інформації [Текст]: підручник / О.І. Черняк, А.В. Ставіцькій, Г.О. Чорноус. - К.: Знання, 2006. - 447 с.
Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Контрольна робота
72.4кб. | скачати


Схожі роботи:
Безпека інформаційних систем 2
Безпека інформаційних систем 2 лютого
Правове регулювання створення та використання інформаційних технологій інформаційних систем
Використання корпоративних інформаційних систем систем класу MRPIIERP для управління виробництвом
Безпека інформаційних технологій
Захист інформаційних систем
Проектування інформаційних систем
Надійність інформаційних систем
Тестування інформаційних систем
© Усі права захищені
написати до нас