Безопасность информационных систем
Безопасность информационных систем
25
Кафедра экономической кибернетики
Контрольная работа
по дисциплине:
Информационные системы и технологии в банковском деле
Сумы 2008
Введение
Задача защиты информации в компьютерных информационных системах с целью предупреждения преступлений в этой сфере является на сегодня весьма актуальной. Для решения этой задачи используется целый комплекс средств, включающий в себя технические, программно-аппаратные средства и административные меры защиты информации.
Под компьютерным преступлением понимают все противозаконные действия, орудием или объектом совершения которых была электронная обработка информации. Таким образом, в круг этих проблем попадают не только преступления, непосредственно связанные с компьютерами, но и мошенничество с кредитными магнитными карточками, преступления в сфере коммуникации и т.д.
Компьютерные преступления можно разделить на две большие группы:
1. Преступления, объектом совершения которых является компьютер или компьютерная система, такие как:
- уничтожение или замена данных, программного обеспечения и оборудования;
- экономический шпионаж и разглашение информации, составляющей государственную или коммерческую тайну.
2. Противозаконные действия, для совершения которых компьютер используется как орудие, такие как:
- компьютерный саботаж;
- вымогательство и шантаж;
- растрата;
- хищение денежных средств.
Повсеместный переход к электронной обработке информации в экономике, управлении и кредитно-финансовой сфере обусловил возникновение компьютерной преступности и в Украине.
Одними из первых с этим видом преступлений столкнулись сотрудники управления по борьбе с организованной преступностью УВД Днепропетровской области. В июне 1994 года ими была предотвращена попытка хищения 864 млн. крб. путем несанкционированного проникновения в банковскую электронную систему платежей.
Ведущий инженер - компьютерщик регионального управления Проминвестбанка г. Днепропетровска, имея доступ к охранной системе компьютерной сети банка, скопировал на свою дискету программу охранной системы и при помощи личного компьютера, установленного в квартире, вошел в локальную компьютерную сеть банка. Оформив фиктивный платеж на 864 млн. крб., он вложил его в почтовый ящик компьютера банка для отправки на ранее оговоренный счет одной из днепропетровских фирм. После зачисления указанной суммы на расчетный счет фирмы злоумышленник был задержан.
Подобные факты имели место в Донецкой области и Республике Крым. Так, Управлением по борьбе с организованной преступностью УМВД Украины в Республике Крым была изобличена группа расхитителей в составе инженера по финансовой безопасности филиала АКБ «Украина» в г. Симферополе и трех нигде не работающих лиц. Инженер-компьютерщик, имея доступ к компьютеру, входящему в компьютерную сеть электронных платежей, оформил фиктивный электронный платеж, по которому перечислил свыше 450 млн. крб. на счет одной из фирм в г. Севастополе, реквизиты которой были предоставлены ему сообщниками. В дальнейшем сумма была переведена для конвертации в отделение Невиконбанка. Через два дня по фиктивной заявке один из сообщников получил в этом банке почти 11 тыс. долл. США, которые были поделены между членами преступной группы. В целях сокрытия кражи инженер стер из памяти компьютера фиктивную операцию, заменив ее на реально существующую. Через неделю после кражи все члены преступной группы были арестованы.
События последних лет приводят к необходимости серьезно задуматься над проблемой компьютерной преступности. Приведу совершенно свежий факт из этой области:
Попытка хищения 80 млн. грн. была совершена путем несанкционированного доступа в компьютерную сеть Винницкой областной дирекции Национального банка. С резервного счета деньги были переведены сначала на счет одного из местных предприятий, а потом - латвийской коммерческой фирмы. Руководство Национального банка обнаружило еще одну попытку хищения значительной суммы. По выявленным фактам возбуждено уголовное дело.
Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год и составляет около 3,5 миллиардов долларов. Одной из причин является сумма денег, получаемая в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов.
1. Анализ возможных угроз безопасности системы
Построение надежной защиты компьютерной системы невозможно без предварительного анализа возможных угроз безопасности системы. Этот анализ должен включать в себя:
- оценку ценности информации, хранящейся в системе;
- оценку затрат времени и средств на вскрытие системы, допустимых для злоумышленников;
- оценку характера хранящейся в системе информации, выделение наиболее опасных угроз (несанкционированное чтение, несанкционированное изменение и т.д.);
- построение модели злоумышленника - другими словами, оценка того, от кого нужно защищаться - от постороннего лица, пользователя системы, администратора и т.д.;
- оценку допустимых затрат времени, средств и ресурсов системы на организацию ее защиты.
При проведении такого анализа защищенной системы эксперт фактически ставит себя на место хакера, пытающегося преодолеть ее защиту. Но для того, чтобы представить себя на месте хакера, нужно ответить на следующие вопросы:
- насколько высок профессиональный уровень хакера;
- насколько полной информацией об атакуемой системе обладает хакер;
- имеет ли хакер легальный доступ к атакуемой системе, если да, каковы его полномочия;
- какие методы атаки хакер будет применять с наибольшей вероятностью.
Мы не будем касаться нравственно-этических, исторических и социальных аспектов деятельности хакеров, и будем понимать под хакером лицо, которое пытается преодолеть защиту компьютерной системы, неважно, в каких целях.
В отношении атакуемой системы хакер может выступать в одной из следующих ролей:
- постороннее лицо, не имеющее легального доступа к системе. Хакер может атаковать систему только с использованием общедоступных глобальных сетей;
- сотрудник организации, не имеющий легального доступа к атакуемой системе. Более вероятна ситуация, когда в такой роли выступает не сам хакер, а его агент (уборщица, охранник и т.д.). Хакер может внедрять в атакуемую систему программные закладки. Если хакер сумеет подсмотреть или подобрать пароль легального пользователя, он может перейти в роль пользователя или администратора;
- пользователь системы, обладающий минимальными полномочиями. Хакер может атаковать систему, используя ошибки в программном обеспечении и в администрировании системы;
- администратор системы. Хакер имеет легально полученные полномочия, достаточные для того, чтобы успешно атаковать систему. Для нейтрализации этой угрозы в системе должны быть предусмотрены средства противодействия несанкционированным действиям администраторов;
разработчик системы. Хакер может встраивать в код системы «люки» (недокументированные возможности), которые в дальнейшем позволят ему осуществлять несанкционированный доступ (НСД) к ресурсам системы.
2. Возможные атаки автоматизированной банковской системы
В общем случае автоматизированная банковская система включает в себя три основных уровня:
- одна или несколько систем управления базами данных (СУБД);
- одна или несколько операционных систем (ОС), обслуживающих СУБД и системы документооборота;
- сетевое программное обеспечение, обеспечивающее информационное взаимодействие рабочих станций и серверов банковской сети.
Атака АБС может осуществляться на любом из перечисленных уровней. Пусть, например, хакеру требуется прочитать определенные записи из базы данных (БД). Хакер может попытаться:
- прочитать эти записи средствами СУБД (атака на уровне СУБД);
- прочитать файлы БД (атака на уровне ОС);
- отправить в сеть пакеты определенного вида, получив которые, сервер БД предоставит хакеру требуемую информацию (атака на уровне сети).
Поскольку методы осуществления НСД к ресурсам АБС существенно различаются в зависимости от того, на каком уровне происходит атака АБС, эти методы для разных уровней целесообразно рассмотреть отдельно.
2.1 Возможные атаки на уровне СУБД
Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще. Тем не менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД, вполне возможно. Такая ситуация имеет место в следующих случаях:
если в АБС используется СУБД, защита которой недостаточно надежна;
если используется недостаточно хорошо протестированная версия СУБД, содержащая ошибки в программном обеспечении;
если администраторы базы данных допускают грубые ошибки при определении политики безопасности.
Кроме того, известны две атаки СУБД, для защиты, от которых требуются специальные меры. К ним относятся:
«атака салями», когда результаты округления результатов арифметических операций прибавляются к значению некоторого элемента базы данных (например, к сумме, хранящейся на личном счету хакера);
- статистическая идентификация. Эта атака позволяет получать конкретные значения тех полей базы данных, для которых доступна только статистическая информация. Основная идея заключается в том, чтобы так задать параметры запроса, что множество записей, по которым собирается статистика, включает в себя только одну запись. Для реализации атаки на СУБД хакер должен как минимум являться пользователем СУБД.
2.2 Возможные атаки на уровне ОС
Защитить операционную систему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков - нескольких сотен. ОС имеет очень сложную внутреннюю структуру и поэтому задача построения адекватной политики безопасности для ОС решается значительно сложнее, чем для СУБД.
Распространено мнение, что наиболее эффективные и опасные атаки ОС организуются с помощью сложнейших программных средств, использующих последние достижения науки и техники. Считается, что хакер обязательно должен быть программистом высочайшей квалификации. На самом деле для преодоления защиты ОС вовсе не обязательно писать сложную программу. Искусство хакера заключается не в том, чтобы суметь написать программу, которая взламывает любую защиту, а в том, чтобы найти уязвимое место в конкретной системе защиты и суметь им воспользоваться. При этом наилучшие результаты достигаются при использовании самых простейших методов «влезания» в выявленные «дыры» в защите ОС. Чем проще алгоритм атаки, тем больше вероятность того, что атака пройдет успешно - возможности хакера по предварительному тестированию алгоритма атаки обычно сильно ограниченны.
Возможность практической реализации той или иной атаки на ОС в значительной мере определяется архитектурой и конфигурацией ОС. Тем не менее, существуют атаки, которые могут быть применены практически к любым операционным системам. К ним относятся следующие атаки:
Кража ключевой информации. Может реализовываться с использованием следующих методов:
- подсматривание пароля при вводе пользователем. Существуют люди, которые могут подсмотреть вводимый пароль, глядя только на движения рук по клавиатуре. Поэтому то, что обычно при вводе пароль не высвечивается на экране, не гарантирует невозможность компрометации пароля;
- получение пароля из командного файла. Некоторые ОС при сетевой аутентификации (подключении к серверу) допускают ввод пароля из командной строки. Если аутентификация происходит с использованием командного файла, пароль пользователя присутствует в этом файле в явном виде;
- некоторые пользователи, чтобы не забыть свой пароль, записывают его в записные книжки, на бумажки, которые затем приклеивают к нижней части клавиатуры, и т.д. Для злоумышленника узнать такой пароль не составляет никакого труда. Особенно часто такая ситуация имеет место, если администраторы заставляют пользователей использовать длинные, труднозапоминаемые пароли;
- кража внешнего носителя ключевой информации. Некоторые ОС допускают использование вместо паролей внешних носителей информации (ключевые дискеты. Touch Memory, Smart Card и т.д.). Использование внешних носителей повышает надежность защиты ОС, но в этом случае появляется угроза кражи носителя с ключевой информацией;
- перехват пароля программной закладкой.
Подбор пароля. Могут использоваться следующие методы:
- неоптимизированный перебор;
- перебор, оптимизированный по статистике встречаемости символов и биграмм;
- перебор, оптимизированный с использованием словарей вероятных паролей;
- перебор, оптимизированный с использованием знаний о пользователе. В этом случае в первую очередь опробуются пароли, использование которых пользователем представляется наиболее вероятным (имя, фамилия, дата рождения, номер телефона и т.д.);
- перебор, оптимизированный с использованием знаний о подсистеме аутентификации ОС. Если ключевая система ОС допускает существование эквивалентных паролей, при переборе из каждого класса эквивалентности опробуется всего один пароль.
Все эти методы могут применяться в совокупности. Если хакер не имеет доступа к списку пользователей ОС, подбор пароля пользователя представляет серьезную опасность только в том случае, когда пользователь использует тривиальный, легко угадываемый пароль. Если же хакер получает доступ к списку пользователей, хакер может осуществлять перебор, не имея прямого доступа к атакуемому компьютеру или сети (например, хакер может унести список пользователей ОС домой и запустить программу перебора паролей на своем домашнем компьютере). В этом случае за приемлемое время может быть подобран пароль длиной до 8-10 символов.
Сканирование жестких дисков компьютера. Хакер последовательно считывает файлы, хранящиеся на жестких дисках компьютера. Если при обращении к некоторому файлу или каталогу хакер получает отказ, он просто продолжает сканирование дальше. Если объем жесткого диска компьютера достаточно велик, можно быть уверенным, что при описании прав доступа к файлам и каталогам этого диска администратор допустил хотя бы одну ошибку. При применении этой атаки все файлы, для которых были допущены такие ошибки, будут прочитаны хакером. Несмотря на примитивность данной атаки, она во многих случаях оказывается весьма эффективной. Для ее реализации хакер должен быть легальным пользователем ОС. Если в ОС поддерживается адекватная (или близкая к адекватной) политика аудита, данная атака будет быстро выявлена, но если хакер организует атаку под чужим именем (именем пользователя, пароль которого известен хакеру), выявление этой атаки ничем ему не грозит. Данный метод можно применять не только для сканирования дисков локального компьютера, но и для сканирования разделяемых ресурсов локальной сети.
«Сборка мусора». Если в ОС допускается восстановление ранее удаленных объектов, хакер может воспользоваться этой возможностью для восстановления объектов, удаленных другими пользователями. В простейшем случае хакеру достаточно просмотреть чужую «мусорную корзину». Если хакер использует для сборки мусора программную закладку, он может «собирать мусор» не только на дисках компьютера, но и в оперативной памяти.
Превышение полномочий. Используя ошибки в программном обеспечении или администрировании ОС, хакер получает в системе полномочия, превышающие предоставленные ему согласно текущей политике безопасности. Превышение полномочий может быть достигнуто следующими способами:
запуск программы от имени пользователя, обладающего необходимыми полномочиями;
- запуск программы в качестве системной программы (драйвера, сервиса, демона и т.д.), выполняющейся от имени ОС;
- подмена динамически подгружаемой библиотеки, используемой системными программами, или несанкционированное изменение переменных среды, описывающих путь к такой библиотеке;
- модификация данных подсистемы защиты ОС.
Атаки класса «отказ в обслуживании». Эти атаки нацелены на полный или частичный вывод ОС из строя. Существуют следующие атаки данного класса:
- захват ресурсов - программа захватывает все ресурсы компьютера, которые может получить. Например, программа присваивает себе наивысший приоритет и уходит в вечный цикл;
- бомбардировка трудновыполнимыми запросами - программа в вечном цикле направляет операционной системе запросы, выполнение которых требует больших затрат ресурсов компьютера;
- бомбардировка заведомо бессмысленными запросами - программа в вечном цикле направляет операционной системе заведомо бессмысленные (обычно случайно генерируемые) запросы. Рано или поздно в ОС происходит фатальная ошибка;
- использование известных ошибок в программном обеспечении или администрировании ОС.
3. Возможные атаки на уровне сети
На уровне сетевого программного обеспечения возможны следующие атаки на АБС:
Прослушивание канала (возможно только в сегменте локальной сети). Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру. Для успешной реализации этой атаки компьютер хакера должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.
Перехват пакетов на маршрутизаторе Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для реализации этой атаки хакер должен иметь привилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут быть перехвачены и сохранены для последующего анализа хакером. Наиболее эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной почты.
Создание ложного маршрутизатора Хакер отправляет в сеть пакеты определенного вида, в результате чего компьютер хакера становится маршрутизатором и получает возможность осуществлять предыдущую угрозу. Ложный маршрутизатор необязательно заметен всем компьютерам сети - можно создавать ложные маршрутизаторы для отдельных компьютеров сети и даже для отдельных соединений.
Навязывание пакетов Хакер отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки хакер может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа хакера становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер хакера.
Атаки класса «отказ в обслуживании» Хакер отправляет в сеть пакеты определенного вида, в результате чего один или несколько компьютеров сети полностью или частично выходят из строя.
Сетевой уровень АБС обычно наиболее уязвим для атак хакеров. Это обусловлено тем, что канал связи, по которому передаются сетевые пакеты, является открытым - каждый, кто имеет физический доступ к этому каналу, может отправлять в канал пакеты произвольного содержания. Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной «закрытое™» сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети.
3.1 Меры по предупреждению несанкционированного доступа и безопасного функционирования информационной банковской системы
Подводя итоги вышеизложенному, можно сформулировать перечень основных задач, которые должны решаться по всей банковской системе
* управление доступом (разграничение полномочий) пользователей к ресурсам локальной и корпоративной банковским компьютерным сетям с целью их защиты от неправомерного случайного или умышленного вмешательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и пользователей; должен быть четко определенный порядок получения доступа к ресурсам сети в соответствии с функциональными обязанностями конкретного работника (набор полномочий должен быть минимально необходимый для выполнения им своих прямых обязанностей);
* защита рабочих станций - применение паролей на включение, программ защиты экрана, отключение дисководов, опечатывание корпусов; использование дискет только в случае технологической необходимости; дискеты должны быть промаркированы;
* охрана серверных и обеспечение их бесперебойной работы - ограниченный доступ, средства сигнализации, соблюдение требований НБУ к помещениям, где находится аппаратура СЕП; обязательное использование источников бесперебойного питания, качественных систем пожаротушения;
* защита данных, передаваемых по каналам связи - в первую очередь это касается системы Клиент-банк (всего по системе работает 2877 клиентов), где некоторые дирекции и филиалы (Кировоград, Днепропетровск) продолжают осуществлять клиентские платежи вообще без защиты или с использованием несертифицированных средств защиты; нельзя допускать передачи информации в открытом виде за пределами охраняемых территорий;
* контроль за действиями пользователей в сети - регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности; необходимо научиться работать с системными журналами и знать их возможности для восстановления хронологии происшедших в сети событий; оперативное оповещение службы безопасности о попытках несанкционированного доступа к ресурсам системы; недопущение фактов работы в сети под чужим именем или с групповыми паролями;
* резервное копирование - создание архива резервных копии, который будет надежно защищен от уничтожения в случае стихийных бедствий, неумышленных или умышленных действий; использование для хранения несгораемых сейфов;
* использование на рабочих станциях только проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов; нельзя допускать самовольной установки на рабочих местах программного обеспечения, в том числе компьютерных игр;
* контроль за подключениями к сети Интернет - разрешение на подключение к сети Интернет должно даваться только в исключительных случаях, если это необходимо для осуществления работником прямых функциональных обязанностей; в общих случаях такие подключения должны быть запрещены; в идеале подключение к Интернет должно осуществляться с отдельно стоящей машины, которая не работает в локальной сети;
* обучение пользователей - пользователи должны знать азы компьютерной безопасности и нести определенную ответственность, как за свои действия (например, работа без пароля или с легко угадываемым паролем) так и за сохранение в тайне своего пароля;
Выполнение этих задач возможно при использовании существующих многочисленных видов защиты информации, которые условно можно объединить в три основные группы;
* средства физической защиты (защита кабельной системы, телекоммуникационной аппаратуры, антенн, средства архивации и т.д.)
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
* программные средства защиты (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа, криптографическая защита информации)
Программные (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
* административные меры защиты (контроль доступа в помещения, разработка стратегии безопасности, планов действия в чрезвычайных ситуациях, профилактические работы.
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:
* мероприятия, осуществляемые при проектировании, строительстве и оборудовании серверных и других объектов систем обработки данных;
* мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
* мероприятия, осуществляемые при подборе и подготовке персонала системы; в подавляющем случае совершения компьютерного преступления невозможно без участия инсайдера;
* организацию охраны и надежного пропускного режима;
* организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
* распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
* организацию явного и скрытого контроля за работой пользователей;
мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.
4. Проект технического задания автоматизации функции сбора и обработки информации для центрального офиса банка о деятельности его филиалов
4.1 Назначение построения информационной системы в банке
Главной целью создания информационной системы на уровне Центрального офиса коммерческого банка является объединение в единое информационное пространство всех структурных единиц (филиалов) банка.
Эта информационная система позволит решить следующие задачи:
автоматизировать учет поступлений платежей клиентов по системе банка;
вести автоматический учет клиентов;
учет движений по счетам;
учет, проводимых работ с другими банками;
информационный обмен, в том числе обмен электронной почтой, файлами и т.п. между структурными подразделениями банка;
информационное обеспечение руководящего персонала необходимой информацией для принятия управленческих решений;
обеспечение сбора, обработки и надежного хранения корпоративной информации;
автоматизация системы документооборота;
реализация контролируемого доступа к внутренним ресурсам информационной системы.
Единое информационное пространство предполагает, что все пользователи будут работать с реальными данными, которые могут быть только что созданы, внесены или откорректированы их коллегами из других отделов, даже если эти отделы находятся в разных местах.
Для выполнения вышеперечисленных задач информационная система должна выполнять:
сбор первичной информации о поступлении платежей в установленном порядке и их автоматическую регистрацию;
передача информации пользователю системы или ее рассылка по локальной сети;
хранение и поддержку в рабочем состоянии коллективно используемой информации в центральной базе данных.
4.2 Перечень автоматических рабочих мест и предъявляемых к ним требовании
Уполномоченный сотрудник Центрального офиса банка нуждается в информационной поддержке для выполнения своих служебных обязанностей (к примеру, о состоянии кредитно - инвестиционного портфеля филиала банка, доходов и затрат за отчетный период и т.п.)
Данная информационная система требует создания следующих автоматизированных рабочих мест (АРМ):
1. АРМ руководителей кредитного департамента, бухгалтерского учета и отчетности, планирования и контролинга;
2. АРМ администратора сети;
3. АРМ начальника отдела контроля деятельности филиалов;
4. АРМ начальника планового отела
5. АРМ начальника методологии и анализа
6. Начальника отдела кредитных рисков
Руководству Центрального офиса банка требуется обобщенная, достоверная и полная информация, позволяющая принимать правильные управленческие решения. Ему также необходимы данные для анализа и планирования различных финансово - экономических показателей деятельности структурных подразделений банка.
4.3 Требования к аппаратной части
Данная информационная система должна соответствовать следующим требованиям:
Относительно дешевая при максимальном спектре возможностей;
По степени территориальной распределённости - локально-вычислительная сеть с режимом работы «Клиент-сервер»;
По способу управления - централизованная с выделением центрального уровня.
По характеру передачи данных - с маршрутизацией и коммуникацией информации;
По характеру реализации функции - информационно - вычислительная;
По топологии - широковещательная с типом коонфигурации «звезда с пассивным центром»
Каждый АРМ должен:
обеспечивать диалоговый режим работы;
обеспечивать печать всех выходных форм на бумажном носителе информации с требуемым количеством экземпляров;
- создавать копии отчетов распоряжений, а так же другой документации на магнитных носителях
Сервисные функции аппаратной части информационной системы:
возможность настройки АРМ;
возможность архивации данных;
использование функций счетной машины и календаря;
электронная почта;
возможность оперативной обработки табличной, графической, текстовой информации.
Заключение
Бурное развитие информационных технологий имеет и свой негативный аспект: это открыло дорогу для новых форм антисоциальной и преступной деятельности, которые ранее были невозможны. Компьютерные системы содержат в себе новые уникальные возможности для совершения ранее неизвестных правонарушений, а также для совершения традиционных преступлений, однако, более эффективными способами.
С развитием международных глобальных компьютерных и телекоммуникационных сетей возникли новые сферы для совершения преступлений:
1. Международная электронная система банковских расчетов.
2. Система платежей с применением кредитных карточек.
3. Система международных телекоммуникаций.
4. Использование автоматизированных банков данных.
Широкое использование компьютеров поставили некоторые сферы современной жизни в прямую зависимость от них. Коммерческая деятельность и банковская система, транспорт, атомные электростанции и автоматизированные производственные процессы - вот некоторые примеры жизненно важных областей, где компьютерные системы много значат.
Информационно-технологическая революция привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.
Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.
Использованная литература
1. Ананьєв, О.М. Інформаційні системи і технології в комерційній діяльності [Текст]: підручник / О.М. Ананьєв, В.М. Білик, Я.А. Гончарук. - Львів: Новий Світ_2000, 2006. - 584 с.
2. Антонов, В.М. Фінансовий менеджмент: сучасні інформаційні технології [Текст]: навчальний посібник / В.М. Антонов, Г.К. Яловий; ред. В.М. Антонов; Мін-во освіти і науки України, КНУ ім. Т.Г. Шевченка. - К.: ЦНЛ, 2005. - 432 с.
3. Гужва, В.М. Інформаційні системи і технології на підприємствах [Текст]: навчальний посібник / В.М. Гужва; Мін-во освіти і науки України, КНЕУ. - К.: КНЕУ, 2001. - 400 с.
4. Гуржій, А.М. Інформатика та інформаційні технології [Текст]: підручник / А.М. Гуржій, Н.І. Поворознюк, В.В. Самсонов. - Х.: Компанія СМІТ, 2003. - 352 с.
5. Информационные системы и технологии: приложения в экономике и управлении: Кн. 6 [Текст]: учебное пособие / Мин-во образования и науки Украины, Донецкий нац. ун_т; ред. Ю.Г. Лысенко. - Донецк: Юго-Восток, 2004. - 377 с.
6. Маслов, В.П. Інформаційні системи і технології в економіці [Текст]: навчальний посібник / В.П. Маслов; Мін-во освіти і науки України. - К.: Слово, 2003. - 264 с.
7. Олійник, А.В. Інформаційні системи і технології у фінансових установах [Текст]: навчальний посібник / А.В. Олійник, В.М. Шацька. - Львів: Новий Світ_2000, 2006. - 436 с.
8. Румянцев, М.И. Информационные системы и технологии финансово-кредитных учреждений [Текст]: учебное пособие для вузов / М.И. Румянцев; Западнодонбасский ин_т экономики и управления. - Днепропетровск: ИМА-пресс, 2006. - 482 с. -
9. Черняк, О.І. Системи обробки економічної інформації [Текст]: підручник / О.І. Черняк, А.В. Ставицький, Г.О. Чорноус. - К.: Знання, 2006. - 447 с.
|