Стихийные бедствияи аварии

Название Описание

Concept, Melissa Макровирусы, скрытые внутри исполняемых программ, называ-

(Мелисса) емых макросами, предоставляющих дополнительные возможности

пользователям таких программ, как Microsoft Word. Могут распро­страняться через документы, рассылаемые по почте. Могут копиро­вать себя из одного документа в другой и удалять файлы Form Издает звук при нажатии каждой клавиши, но действует только

на восемнадцатый день каждого месяца. Может повреждать данные на гибких дисках

Explore.exe Сетевой червь, распространяемый под видом почтовых вложений.

При запуске старается отправить свои копии по электронной почте на другие компьютеры и удаляет файлы определенных типов

Monkey Создает видимость повреждения жесткого диска, что приводит

к невозможности загрузки Windows

Chernobyl (Чернобыль) Стирает информацию на жестком диске компьютера и удаляет содержимое ПЗУ BIOS

Junkie Составной вирус, который заражает файлы и загрузочный сектор

жесткого диска (раздел, который считывается при загрузке ком­пьютера). Может вызывать конфликты памяти

верки компьютерных систем и дисков на наличие вирусов различных типов. Ча­сто такие программы могут «излечивать» зараженные файлы. Однако большин­ство программ-антивирусов эффективно действуют только против уже извест­ных вирусов, поэтому для защиты информационных систем организации должны постоянно обновлять такие программы.

Что следует знать системным разработчикам и пользователям

Растущая уязвимость компьютерных данных привела к появлению новых требо­ваний, предъявляемых к разработчикам и пользователям информационных си­стем. В них учитываются стихийные бедствия, обеспечение безопасности и адми­нистративные ошибки.

Вычислительная техника, программное обеспечение, файлы данных и другое об­орудование могут быть уничтожены при пожарах, перебоях с электропитанием и других стихийных бедствиях. На их восстановление могут потребоваться годы и миллионы долларов. Если организация использует их в повседневной дея­тельности, то она больше не сможет функционировать. Именно поэтому такие ком­пании, как VISA USA Inc. и National, имеют в своем составе службы аварийного резервирования. Компания VISA USA Inc. дублирует свои мэйнфреймы, сети, тер-

Antivirus software (антивирусная программа)

Программное обеспечение, предназначенное для обнаружения и по возмож-| ности уничтожения компьютерных вирусов.

миналы и электросети. Компания даже имеет в своем распоряжении копию ин­формационного центра в Виржинии, которая служит в качестве аварийного ре­зерва для банка данных, размещенного в Калифорнии. Крупный канадский банк National Trust использует систему непрерывного электропитания, разработанную International Power Machines (IPM), поскольку в районе его размещения нередки перебои с электричеством.

Вместо того чтобы самостоятельно заниматься резервным копированием, мно­гие фирмы заключают контракты со сторонними компаниями, такими как Com­disco Disaster Recovery Services (штат Иллинойс) или Sungard Recovery Services (штат Пенсильвания). Эти компании предоставляют в распоряжение своих клиентов средства хранения данных и позволяют им при необходимости запускать важные программы на собственных компьютерах, расположенных по всей стране. С пе­реходом фирм на цифровую основу их зависимость от информационных систем значительно возрастает, поэтому чрезвычайное планирование становится все бо­лее важным. Чрезвычайный план включает в себя набор инструкций, позволяю­щих фирме продолжать работу при сбое в компьютерных системах, а также ука­зывает на наиболее уязвимые места информационных систем (Choy, Leong, and Wong, 2000).

Обеспечение безопасности

Обеспечение безопасности заключается в разработке политик, процедур и тех­нических мероприятий, направленных на предотвращение несанкционированно­го доступа, внесения изменений или хищения данных, а также физического по­вреждения информационных систем. Данный процесс включает набор методик и технологий для защиты вычислительной техники, программного обеспечения, коммуникаций и данных. Меры защиты при аварийных ситуациях были описаны выше. Другие методики защиты будут рассмотрены в последующих разделах.

Ошибки

Компьютеры также могут служить источником ошибок, причем в этом случае данные организации могут быть изменены или уничтожены. Например, 25 фев­раля 1991 г. во время военной операции «Буря в пустыне» система противоракет­ной обороны Пэтриот, развернутая в Саудовской Аравии, не смогла отследить и перехватить ракету «Скад» из-за ошибки в программе управляющего компью­тера. Ракета взорвалась в казармах, унеся жизни 28 американских солдат. Ошиб-

ки в автоматизированных системах могут по-разному влиять на обработку дан­ных: во время ввода информации, работы программы или при взаимодействии с аппаратными средствами. На рис. 14.2 показаны основные этапы этого процесса, где могут возникать сбои и ошибки.

Проблемы качества систем: программы и данные

Помимо аварий, стихийных бедствий, вирусов и взломов серьезную угрозу для функционирования информационных систем представляют дефектные программы и данные. Не вовремя обнаруженная ошибка в программе обслуживания креди­тов или неправильные финансовые данные могут привести к миллионным убыт­кам. Скрытая ошибка в программном обеспечении телефонной компании А Т&Т привела к простою телефонной системы Нью-Йорка — финансового центра стра­ны и соответственно к потере многими компаниями миллиардов долларов из-за отсутствия связи в течение нескольких часов. Современный пассажирский и гру­зовой транспорт все больше зависит от работы компьютерных программ. В такой ситуации ошибка в программном коде может стать причиной катастрофы.

Ошибки и неисправности

Основная проблема, связанная с программным обеспечением, заключается в скры­тых ошибках («жучках») или дефектах кода. Исследования показали, что прак­тически невозможно исключить все ошибки в больших программах. Основным источником «жучков» является сложность кода. Даже относительно маленькая программа, состоящая из нескольких сотен строк, содержит десятки решений (выборов), каждое из которых ведет к сотням или даже тысячам различных ре­зультатов. Серьезные программы, используемые предприятиями, как правило, гораздо больше по размеру, они включают в себя десятки тысяч или миллионы строк кода и множество подпрограмм. Такие программы сложно разрабатывать, не менее сложно и создавать к ним сопутствующую документацию. Исследова­ния показывают, что около 60% ошибок, выявляемых в процессе тестирования, являются результатом недочетов в проектной документации.

Бездефектность, являющаяся целью управления качеством, не может дости­гаться в случае больших программ. При этом просто невозможно провести пол­ное тестирование. Всесторонняя проверка программы, содержащей тысячи вари­антов выбора и миллионы ветвей, может потребовать не одну тысячу лет. Процесс поиска ошибок обычно идет «по убывающей» — чем меньше остается ошибок и чем они незначительнее, тем больше времени уходит на их обнаружение и ис­правление (Littlewood, Strigini, 1993). Даже при проведении максимально строгого тестирования нельзя быть уверенным в том, что отдельная часть программы бу­дет работать нормально, если подключится нештатный режим. В итоге получает­ся, что мы не можем исключить все ошибки, а также не можем получить четкое представление о серьезности оставшихся дефектов программы.

Техническое обслуживание

Еще одной причиной ненадежности программного обеспечения является слож­ность его технического обслуживания и сопровождения. Техническое обслужи­вание является одним из самых ресурсоемких процессов. В большинстве органи­заций на него уходит примерно половина рабочего времени всего технического персонала.

Почему же техническое обслуживание обходится так дорого? Одной из основ­ных причин являются организационные изменения. Фирма может перестраивать свою внутреннюю структуру или систему руководства, эти изменения могут быть вызваны также новым окружением, в котором ей приходится работать. Такие из­менения влияют и на информационные потребности предприятия. Другая при­чина заключается в сложности программного обеспечения, которая определяется количеством и размером отдельных взаимосвязанных программ и подпрограмм системы и объемом потока данных между ними (Banker, Datar, Kemerer, and Zweig, 1993). Третья причина связана с неправильными системным анализом и разра­боткой, особенно с неправильной оценкой информационных потребностей фирмы.

Некоторые исследования, проведенные компанией TRW Inc., показали, что 64% системных ошибок связаны с неправильным анализом, проведенным на ранних стадиях разработки.

На рис. 14.3 показано, во что обходится исправление ошибок в компьютерных системах. Если ошибки обнаружены сразу, на ранних стадиях разработки, то ис­править их несложно. Однако если они не найдены до того, как был создан про­граммный код, проведены процедуры тестирования и внедрения, то впоследствии могут потребоваться поистине астрономические суммы. Устранение маленькой логической ошибки, выполняемое за час на стадии анализа, после внедрения си­стемы занимает в 90 раз больше времени.

Качество данных

Распространенной причиной сбоев в работе информационных систем является низкое качество данных. Неточные, устаревшие или несогласованные с другими источниками данные могут привести к серьезным финансовым и операционным проблемам предприятия. Ошибочные данные могут быть источником неправиль­ных решений, некачественных продуктов и убытков (Redman, 1998). Компании не могут применять методики агрессивного маркетинга и управления взаимоот­ношениями с клиентами до тех пор, пока у них не будет точной информации о по­требителях. В табл. 14.4 описаны некоторые проблемы, связанные с низким каче­ством данных.

Низкое качество данных может быть результатом ошибок при их вводе или неправильной работы информационной системы и баз данных (Wand, Wang, 1996; Strong Lee, Wang, 1997). В последующих разделах будет изучено, каким об-

14.2. Создание системы управления и контроля

Для минимизации числа ошибок, аварий, простоев, компьютерных преступлений и взломов необходимо использовать специальные политики и процедуры, ко­торые создаются на стадиях разработки и внедрения информационных систем. Контроль включает в себя сочетание ручных и автоматизированных процедур, направленных на обеспечение безопасности информационных систем и их нор­мального функционирования.

Ранее этим процедурам не уделялось должного внимания, их разрабатывали только в конце процесса внедрения готовой системы. Однако в наши дни деятель­ность организаций настолько связана с информационными системами, что во­просы уязвимости и управляемости последних должны решаться на самых ран­них, насколько это возможно, стадиях. Обеспечение контроля и безопасности информационной системы должно быть составной частью процесса ее создания (Viega, Kohno, and Potter, 2001).

j Controls (контроль)

Совокупность методик, политик и процедур, служащих для обеспечения без­опасности активов организации, точности и надежности данных и соответ-| ствия операций принятым стандартам. §

Общий контроль и контроль приложений

Управление компьютерными системами осуществляется при помощи комбинации из средств общего контроля и средств контроля приложений. Общий контроль отслеживает процессы проектирования, обеспечения безопасности, использова­ния программных приложений и данных в рамках существующей информацион­ной инфраструктуры. В целом он применяется ко всем компьютерным прило­жениям и представляют собой сочетание аппаратных, программных и ручных процедур, которые вместе создают общую контролируемую среду.

Контроль приложений специфичен для каждой отдельной программы. Он вклю­чает в себя инструменты контроля, специфичные для области применения систе­мы, и автоматизированные процедуры.

Средства общего контроля

Средства общего контроля являются инструментами общего управления, влияю­щими на всю информационную инфраструктуру организации. Они применяются ко всем приложениям. Общий контроль включают в себя следующие элементы:

♦ контроль процесса внедрения системы;

♦ контроль программных средств;

♦ физический контроль оборудования;

♦ контроль компьютерных операций;

♦ контроль безопасности данных;

♦ административные политики, стандарты и процедуры.

Контроль процесса внедрения следит за процессом разработки системы и обес­печивает управление им на различных стадиях. Аудит процесса разработки уста­навливает «контрольные точки», каждая из которых должна отвечать определен­ным требованиям, выполнение которых служит основой для принятия решения о внедрении готовой системы. Аудит процесса разработки также предполагает определение уровня вовлечения пользователей на каждой из стадий разработки и проверяет соотношения затрат и выгод от использования новых технологий. Аудит подразумевают использование средств управления и методик обеспечения ка­чества на всех этапах проекта, а также подготовку сопутствующей документации.

Контроль программных средств важен для всех типов программ, использу­емых в компьютерных системах. Он служит для слежения за работой системного программного обеспечения и предотвращения несанкционированного доступа к нему. Это одна из самых важных областей контроля, поскольку системные про­граммы выполняют все основные функции по обработке информации и файлов данных.

Контроль оборудования обеспечивает безопасность оборудования на физи­ческом уровне и отвечает за поиск неисправностей. Доступ к оборудованию раз­решается только авторизованному персоналу. Кроме того, вычислительная тех­ника должна быть защищена от пожаров, перепадов температуры и сырости. Организации, деятельность которых связана с компьютерными системами, долж­ны принимать дополнительные меры по резервному копированию данных и дуб­лированию устройств хранения информации, а также обеспечивать непрерывное техническое обслуживание. Многие виды компьютерной техники содержат встро­енные механизмы проверки правильности их функционирования.

Контроль компьютерных операций находится в ведении специалистов ком­пьютерного отдела, которые обеспечивают согласованную и корректную обработ­ку данных и их хранение. Сюда входят процедуры инсталляции программ, конт­роль их работы, операции резервного копирования и восстановления. Технические специалисты могут разрабатывать специальные инструкции на случай непредви­денных ситуаций, сбоев в работе программ и вычислительной техники, аварий и изменений системной конфигурации.

Контроль безопасности данных препятствует осуществлению несанкциони­рованного доступа к данным, их изменению или уничтожению. Он необходим как для контроля данных, которые обрабатываются системой, так и для обеспечения безопасности носителей информации. В случае ввода данных через удаленные терминалы нужно уделять особое внимание процедурам авторизации пользова­телей. Например, кредитная запись может быть изменена для получения фаль­шивого счета-фактуры. В подобных случаях рекомендуется использовать не­сколько уровней защиты информации:

♦ доступ к терминалам может быть физически ограничен (работа на них раз­решается только авторизованному персоналу);

♦ программное обеспечение может быть защищено паролями, запрашива­емыми при запуске приложений. Дл%регистрации в системе также необхо­димо будет вводить пароль;

♦ для отдельных систем и приложений могут быть созданы дополнительные наборы паролей и ограничений. К примеру, может быть ограничен доступ к определенным файлам, таким как файлы счетов. Можно разграничить права доступа таким образом, чтобы не каждый авторизованный пользова­тель мог изменять данные в отдельных файлах. Большая часть пользовате­лей сможет только считывать информацию;

♦ на рис. 14.4 изображена система безопасности, рассчитанная на две группы пользователей, работающих с интерактивной базой личных дел сотрудни­ков, содержащей информацию об их зарплатах и льготах, а также истории болезни. Одна группа пользователей включает в себя всех сотрудников, которые выполняют функции клерков, такие как ввод данных в систему. Все работники, обладающие профилями данного типа, могут обновлять системные данные, но не могут считывать информацию, касающуюся зар­плат, историй болезни или премий. Профили другого типа присваиваются менеджерам подразделений, которые не могут обновлять информацию,

однако имеют право на получение любых данных о сотрудниках своих от­делов Все профили поддерживаются системой обеспечения безопасно­сти данных Система безопасности данных, изображенная на рис 14.4, со­держит комплекс многоуровневых ограничений, таких как разрешение авторизованным пользователям получать информацию обо всех сотрудни­ках за исключением конфиденциальных данных, к которым, например, от­носятся истории болезни. Раздел в начале главы описывает подобную си­стему, используемую компанией Keystone Mercy Health Plan. Административный контроль включает в себя формализованные стандарты, правила и процедуры, служащие для обеспечения того, чтобы ■общий контроль и контроль приложений исполнялись и были обязательными. Наиболее важными из них являются: (1) разделение функций; (2) письменные политики и процеду-

ры; (3) надзор.

Разделение функций означает планирование функции сотрудников, позволя­ющее свести к минимуму риск ошибок или обманных манипуляций с данными организации. Сотрудники, ответственные за работу системы, должны также про­изводить все необходимые действия по изменению и обновлению информации, хранящейся в ней. Обычно отдел информационных систем организации отвечает за сохранность файлов данных и программ, а конечные пользователи занимаются такими операциями, как обработка платежных ведомостей и чеков.

Письменные политики и процедуры устанавливают формальные стандарты для средств управления информационными системами. Все процедуры должны быть задокументированы и заверены руководством. Права и обязанности сотрудников должны быть четко определены.

Надзор за деятельностью сотрудников обеспечивает правильное и своевремен­ное выполнение последними всех контрольных процедур. Иначе даже самые изощ­ренные процедуры могут остаться существующими только «на бумаге».

Контроль приложений

Контроль приложений - специфичный для различных компьютерных программ контроль, выполняющих, к примеру, такие функции, как выписка счетов или об­работка заказов. Сюда входят автоматизированные и ручные процедуры, обеспе­чивающие корректную обработку данных приложениями. Контроль каждого при­ложения должен охватывать всю последовательность обработки данных.

Не все инструменты контроля, описанные здесь, присутствуют в каждой информационной системе. Некоторые системы требуют большего контроля, чем остальные, что зависит от важности содержащихся в них данных и типа про-

граммных приложений. Контроль приложений может быть разделен на три основ­ные группы: (1) контроль ввода данных; (2) контроль обработки; (3) контроль вывода данных.

Контроль ввода данных служит для проверки точности и полноты данных перед вводом их в систему. Существуют отдельные процедуры для авторизации, конвертации данных, их редактирования и исправления ошибок. Например, для авторизации сотрудников отдела сбыта, проводящих торговые операции, может использоваться специальная процедура входа в систему.

Введенные данные должны быть правильно конвертированы для дальнейшей обработки. Ошибки на этом этапе могут быть минимизированы путем проведе­ния основных операций прямо с компьютерного терминала или использования технологии автоматического формирования первичных данных.

Контрольные суммы должны вычисляться до выполнения транзакций ввода данных. Они могут варьироваться от простого пересчета документов до подсчета итоговых значений отдельных полей, таких как общий объем продаж (при пакет­ной обработке). Отдельные программы учитывают весь объем введенных данных.

Контроль редактирования включает в себя различные запрограммированные процедуры, используемые для исправления ошибок в данных до того, как они будут обработаны системой. Транзакции, не отвечающие заданным критериям, не будут проведены. К примеру, может проверяться формат вводимых данных (девятизначные номера карточек социального страхования не должны содержать букв) или правильность системных кодов. Результатом контроля редактирова­ния может быть список обнаруженных ошибок, которые будут исправлены позже.

Контроль обработки обеспечивает полноту и точность обновления данных. При этом используются методики подсчета контрольных сумм, согласования и контроля редактирования.

Подсчет контрольных сумм. Данная методика заключается в сравнении объ­емов введенных и обработанных данных. Обновление данных может контроли­роваться при помощи генерации контрольных сумм во время процесса вычисле­ний. Контрольные суммы, такие как общее число транзакций или критических величин, могут сравниваться вручную или при помощи компьютера. В случае об­наружения несоответствий необходимо тщательное расследование причин такой ситуации.

Компьютерное сравнение сравнивает вводимые данные с информацией, хра­нящейся в системе. Большинство ошибок выявляется на этапе ввода, но иногда может потребоваться проверка полноты обновления информации. Например, программа сравнения может сравнить данные карточек табельного учета сотруд­ников с платежной ведомостью, хранящейся в мастер-файле, и сообщить о пропу­щенных или продублированных записях.

Контроль редактирования, как правило, выполняется во время ввода данных. Однако некоторые приложения требуют проверки корректности данных во вре­мя их обновления. К примеру, электрическая компания может проводить провер­ку достоверности полученной информации, сравнивая новые счета потребителей с предыдущими. Если суммы счетов отличаются более чем в пять раз, то они не обрабатываются до тех пор, пока не будет проведена повторная проверка.

Контроль вывода данных служит для обеспечения точности и полноты ре­зультатов компьютерных вычислений. Они включают в себя следующие инстру­менты:

♦ сравнение конечных контрольных сумм с исходными и суммами, получен­ными в процессе вычислений;

♦ просмотр протоколов работы компьютера с целью определения правильно­сти выполнения вычислений;

♦ формальные процедуры и документация, в которой перечислены авторизо­ванные получатели информации.

Дата добавления: 2015-04-29; Просмотров: 397; Нарушение авторских прав?; Мы поможем в написании вашей работы!