CC BY
101
УДК 004:681.3
Управление информационными ресурсами корпоративной сети
организации
Авдонина Л.А., Смогунов В.В., Грузин Д.П., Николаева С.Н.
Рассматриваются вопросы управления ресурсами корпоративной сети организации. Представлена схема системы управления с учетом состава элементов управляющей части. Рассматриваются возможные способы и методы несанкционированного получения информации незаконными пользователями. Приводится статистика исполнителей компьютерных атак и делается вывод о необходимости проводить политику четкого разграничения прав различных сотрудников на использование информации, находящейся в системе в соответствии с их должностными обязанностями.
Ключевые слова: управление, ресурсы, корпоративная сеть, организация, метод, информация, пользователи, фирма, предприятие, персонал, компьютерная атака, технология Internet.
Questions of resource management of a corporate network of the organization are considered. The scheme of a control system taking into account structure of elements of an operating part is presented. Possible ways and methods of unapproved reception of the information are considered by illegal users.
The statistics of executors of computer attacks is resulted and the conclusion about necessity to pursue a policy of accurate differentiation of the rights of various employees on use of the information which are in system according to their functions becomes.
Keywords: management, resources, a corporate network, the organization, a method, the information, users, firm, the enterprise, the personnel, computer attack, technology Internet.
Деятельность любой достаточно крупной современной организации носит многопрофильный характер, а управление организацией на основе информационных технологий является сложной комплексной задачей, требующей решения организационных и технологических проблем с учетом экономической целесообразности использования определенной технологии. Можно, с известной долей условности, выделить несколько проблемных областей или контуров информатизации организации: административное
управление, финансы, управление персоналом, управление информационными ресурсами.
Г оворя об управлении информационными ресурсами необходимо отметить, что информация - это упорядоченное (через принцип тождества и различия) отображение, позволяющее качественно и количественно охарактеризовать (раскрыть) объективные свойства как материальных, так и реализованных духовных систем (где виды упорядоченности -это структуры и законы композиции).
Количественной характеристикой организованности системы является ее энтропия, большее значение которой отвечает меньшему уровню сложности и организации системы. Для сохранения целостности системы необходимы процессы, препятствующие увеличению энтропии. Энтропия - это теоретикоинформационная мера неопределенности, а мера информации определяется через её диалектическую противоположность, в качестве которой выступает неопределенность. Это и есть процессы управления, общим для которых является их антиэнтропийный характер. В связи с этим процесс управления по своей сути является антиподом процессу дезорганизации. Он позволяет в зависимости от особенностей конкретных систем стабилизировать систему, сохранить ее качественную определенность, поддержать ее динамическое равновесие со средой, обеспечить совершенствование системы и достижение того или иного полезного эффекта. Короче говоря, управление — это обеспечение возможности не увеличивать энтропию системы.
Системы управления обладают определенной структурой, а именно состоят
2
из управляемого процесса и управляющей части.
Управляющая часть оказывает на управляемый процесс определенные воздействия, чтобы в соответствии с целью управления обеспечить сохранение качественной определенности всей системы. Чтобы управляющая часть могла осуществлять управление, ей нужно сопоставлять фактическое состояние управляемого процесса с целью управления, в связи с чем управляемый процесс воздействует на управляющую часть.
На рис. 1 представлена схема системы управления с учетом состава элементов управляющей части.
Информация о целях управления
Управляющая часть
Информация о состоянии управляемого процесса
СИСТЕМА УПРАВЛЕНИЯ
Информация об управляющих воздействиях
Измерительный элемент Исполнительный
элемент
Воздействия внешней среды
Воздействия на внешнюю среду
Управляемый процесс
Рис. 1 Структура системы управления
Управляемый процесс может иметь довольно сложную структуру, обуславливаемую конкретными особенностями его протекания, и состоять из подпроцессов, относительно автономных и различным образом
взаимодействующих друг с другом. Автономность подпроцессов выражается в их определенной локализации во времени и пространстве, наличии собственных критериев качества.
Сложная конфигурация управляемого процесса порождает и
соответствующее усложнение управляющей части системы управления, приводя к появлению дополнительных координирующих элементов, зачастую нескольких уровней. Можно говорить об относительной самостоятельности управляющей части уже со своими критериями функционирования, сложной структурой, принципами и законами внутреннего существования, т. е. речь идет уже скорее об управляющей системе. А это означает, что функционирование такой системы определяет соответствующий и отличный от других (порождаемых управляемым процессом) специфический вид деятельности — управленческую деятельность.
Исходя из рассмотренных положений можно определить управленческую деятельность как определенным образом организованную в пространстве и времени совокупность действий множества людей (персонала), реализация которых в рамках управляющей системы обеспечивает реализацию функций управляемого процесса, а следовательно, и достижение целей системы управления в целом [1].
Одной из непременных составляющих современных информационных технологий является объединение вычислительных ресурсов организации в единую корпоративную сеть.
Корпоративная сеть - это внутренняя частная сеть организации, объединяющая вычислительные, коммуникационные и информационные ресурсы этой организации и предназначенная для передачи информации различного типа (цифровая, аудио, видео и другая информация) [2].
Корпоративная сеть, как правило, является территориально рас-
4
пределенной, то есть объединяющей подразделения и структуры, находящиеся на значительном удалении друг от друга. Часто узлы корпоративной сети оказываются расположенными в различных городах, а иногда и странах. Внутри корпоративной сети определена специальная политика, описывающая используемые аппаратные и программные средства, правила получения доступа пользователей к сетевым ресурсам, правила управления сетью, контроль использования ресурсов и дальнейшее развитие сети.
В настоящее время наиболее развивающейся технологией для построения корпоративных информационных систем является intranet, которая предусматривает специфические решения реализации приложений архитектуры клиент-сервер.
При реализации корпоративных информационных систем на базе технологий Internet /intranet важнейшими вопросами являются: организация защиты информации, централизованное управление информационными ресурсами, разграничение доступа к ресурсам. Особенно это важно при организации доступа пользователей из внешних сетей к ресурсам корпоративной информационной системы, так называемая extranet-технология.
В современном компьютерном сообществе атаки на информацию стали обыденной практикой. Злоумышленники используют как ошибки в написании и администрировании программ, так и методы социальной психологии для получения желаемой информации.
Интересные цифры об атаках на информацию были приведены в отчетах исследовательского центра DataPro Research [3]. Основные причины повреждений электронной информации распределились следующим образом: неумышленная ошибка человека - 52% случаев, умышленные действия человека - 10% случаев, отказ техники -10% случаев, повреждения в результате пожара - 15% случаев, повреждения водой - 10% случаев, прочие причины - 3% случаев. Таким образом, каждый десятый случай повреждения электронных данных связан с компьютерными атаками.
Можно выделить два типа потенциальных нарушителей, исходя из их расположения относительно компьютерных ресурсов организации. Это может
5
быть законный или незаконный пользователь компьютерной системы.
Незаконный пользователь не имеет прав на использование компьютерных ресурсов организации. Когда он решит осуществить атаку, то ему придется сначала проникнуть через систему защиты, если таковая имеется. Адекватные меры защиты можно организовать на основе предполагаемых возможностей нарушителей такого рода.
Законный пользователь обладает определенными правами на использование компьютерных ресурсов. Возможно, он даже имеет доступ к конфиденциальной информации. И ничто не помешает ему сделать с этой информацией то, что он посчитает нужным. Такого рода нарушители являются наиболее опасными.
Согласно статистике центра DataPro Research [3] исполнителями компьютерных атак являлись: в 81% случаев - текущий кадровый состав учреждений, в 13% случаев - совершенно посторонние люди, в 6% случаев -бывшие работники этих же учреждений. Доля атак, производимых сотрудниками фирм и предприятий, просто ошеломляет и заставляет вспомнить не только о технических, но и о психологических методах профилактики подобных действий.
Из приведенной статистики видно, что необходимо проводить политику четкого разграничения прав различных сотрудников на использование информации, находящейся в системе в соответствии с их должностными обязанностями.
При передаче данных по каналам связи, которыми может быть локальная сеть, Internet и др., они (данные) обычно проходят через несколько промежуточных узлов, поэтому любой подключенный к каналу связи может перехватить их. Для защиты от перехвата и несанкционированного ознакомления, данные могут быть предварительно зашифрованы и только затем переданы получателю. Таким образом, только законный получатель, имеющий необходимый ключ, сможет их расшифровать и прочитать. Однако в некоторых случаях требуется более гибкая система защиты передаваемых данных, как, например, в системах платной электронной рассылки.
6
Электронная почта на сегодняшний день является одной из наиболее применяемых технологий обмена данными между пользователями. В настоящее время это способ повсеместного общения пользователей в Internet. В корпоративных системах подобный метод находит свое применение в качестве средства обеспечения электронного документооборота.
В настоящее время, в связи с развитием глобальной сети Internet, многие компании обеспечивают рассылку данных в электронной форме своим пользователям. Типичной является ситуация, когда пользователи интересуются только определенной частью информации и хотят получать только эту часть, чтобы уменьшить плату за нее. Кроме того, информация поставляется в определенный период времени, после истечения которого пользователь не должен иметь возможности с ней ознакомиться.
Пусть имеется m допустимых частей информации; Si, Sj - данные из i-й и j-й частей информации соответственно, где i,j = l,m; 0- пустое множество. Следует заметить, что в большинстве случаев
Si Sj=0, I = j. (1.1)
Пусть Ui - множество пользователей подписавшихся на Si. Одним из возможных решений поставленной выше задачи является шифрование каждого Si , с помощью ключа Ki и распространение этого ключа среди всех подписчиков из Ui. Если у пользователя из Ui истек срок подписки, то компания изменяет ключ от Si на К и отправляет его оставшимся подписчикам из Ui.
Нетрудно заметить, что при таком решении проблемы вскоре у компании возникнут сложности с распространением ключей, и, кроме того, неэффективно используется канал передачи данных, так как, с учетом условия (1.1), одни и те же данные будут отправлены несколько раз.
Исходя из вышесказанного, можно сделать вывод: для систем электронной рассылки является актуальной задача разработки эффективных алгоритмов и средств управления доступом к иерархической информации, зависящей от времени.
Одной из важнейших проблем, от решения которой зависит применение
7
технологий Internet в системе офисной деятельности, является сложность контроля и защиты ресурсов виртуальной предметной среды и действий потребителя в процессе производственной деятельности с использованием дистанционных форм передачи информации.
Иерархия пользователей в этих системах достаточно проста: существует администратор, существуют различные отделы, занимающиеся дистанционной передачей данных, существуют администраторы этих отделов, и потребители информации. Таким образом, иерархия является древовидной.
Такое разделение позволяет легко управлять доступом к информационным ресурсам системы дистанционной передачи данных. К примеру, администратор должен получить доступ ко всем данным пользователей, но не наоборот. Пользователи же должны иметь доступ только к специально опубликованным для них данным. Кроме того, необходимо осуществлять управление доступом к данным в зависимости от времени [4].
Это порождает необходимость защиты информации от несанкционированного доступа. Такая защита может выполняться и на уровне аутентификации, несмотря на сомнительность этого метода. Конечно же, более надежной защитой является шифрование информации, но и оно не предотвратит возможной утечки.
В данном случае обычным шифрованием информации не обойтись: пользователям придется хранить множество ключей. При этом неизбежна «утечка» ключей, путаница с большим их количеством и, как следствие, нагрузка на администратора и несанкционированный доступ к информации.
Огромную роль играет возможность рассылки одних и тех же зашифрованных данных подписанным на них пользователям. Причем возможна ситуация, когда объем этих данных не играет роли (к примеру, когда информация рассылается на компакт-дисках) [5].
Литература
1. Корнеев И.К., Степанов Е.А. Защита информации в офисе. - М. : ТК
8
Велби, Изд-во Проспект, 2007.-336 с.
2. Грошенков К. Обеспечение безопасности в корпоративных компьютерных сетях.- Ж-л «Компьютер Пресс», №3, 2003.- С. 40-43.
3. Семко Ю., Прохоров А. Internet- отмычка для компьютера. Ж-л «Компьютер Пресс», №3, 2002.
4. Сидоров Д.П., Асемов А.Ю., Федосин С. А. Система контроля и аудита доступа к иерархической информации дистанционного обучения. - Ж-л «Инженерное образование», вып. 1, 2003. - С. 66-69.
5. Сидоров Д.П., Асемов А.Ю., Федосин С. А. Система контроля и аудита доступа к иерархической информации дистанционного обучения. Труды Х Всероссийской НМК «Телематика - 2003», т.2; 2003.- С.521-523.
9
