Лекции по "Информационные системы маркетинга"

 

5. Принципы построения и правила проектирования пользовательского интерфейса МИС.

(Слайд 13) Академик Глушков В.М. сформулировал следующие основополагающие принципы проектирования автоматизированных систем управления:

- принцип системности – позволяющий рассмотреть исследуемый объект как систему, используя при этом методы моделирования

- принцип развития – предусматривающий возможность пополнения и обновления функциональных компонентов

- принцип совместимости – взаимодействия компонентов ЭИС различных уровней

- принцип стандартизации и унификации – типовые проектные решения , что позволяет сократить временные, трудовые и стоимостные затраты на создание ЭИС

- принцип эффективности – достижение рационального соотношения между затратами на создание ЭИС и целевым эффектом ее функционирования.

Результатом проектирования является создание проекта ЭИС.

(Слайд 14) Цели проектирования: оптимизировать процесс управления экономическим объектом путем его автоматизации при условии окупаемости затрат на проектирование и эксплуатацию информационной системы управления.

(Слайд 15) Задачи проектирования:

• Повышение оперативности, аналитичности информации, используемой в управлении;
• Снижение трудоемкости управленческой деятельности;
• Оптимизация информационных потоков путем интеграции в централизованных БД;
• Оптимизация технологии обработки информации.

(Слайд 16) Интерфейс–процесс взаимодействия между оператором и компьютером, является крайне важной составляющей МИС.

Интерфейс бывает пакетным, диалоговым и новым.

(Слайд 17) Правила:

• Контроль интерфейса пользователем (возможность сфокусировать внимание пользователя, возможность выбора работы – мышью или клавиатурой, режимы);
• Уменьшение нагрузки на память пользователя (кнопки, подсказки, быстрый доступ, метафоры реального мира);
• Создание совместимого интерфейса (эстетическая привлекательность, совместимость программ, поощрение изучения).

 

6. Этапы проектирования МИС.

(Слайд 18) Жизненный цикл ЭИС включает следующие этапы

I этап. Анализ и предпроектное обследование. Анализируется организационная структура управления на предприятии, информационные потоки по подсистемам, функциям, задачам. Создается модель системы и объекта управления, на которой анализируются и выявляются недостатки существующей системы управления. Формирование требований к: информационному обеспечению; техническому обеспечению;  программно- математическому обеспечению.

Сбор данных об объекте  позволяет детально изучить и  вскрыть узкие места в прохождении  информационных потоков с целью  последующей оптимизации. При этом применяются (Слайд 18)  2 метода обследования информационных потоков:

- организационный (горизонтальный) - предусматривает анализ информационных потоков по подразделениям предприятия (цехам, секторам, отделам, рабочим местам);

- функциональный (вертикальный) - предполагает  исследование потоков информации по каждой решаемой задаче от момента возникновения до использования.

Способы обследования: беседы с руководителями и групповое обсуждение со специалистами; опросы исполнителей на рабочих местах;  анкетирование и тестирование; анализ документов и документопотоков;  выборочное аудиторское обследование; документальная инвентаризация;  хронометраж.

Это позволяет разработать оптимальную концепцию построения ЭИС.

Делается предварительный расчет экономической эффективности внедрения АИС и сроков проектирования.

По результатам обследования разрабатывается  системный проект, отражающий результаты анализа и техническое задание на проектирование, которое включает разделы:

- организационно- экономическая  характеристика объекта;

- требования к информационному  обеспечению;

- требования к техническому  обеспечению;

- требование к программно-математическому  обеспечению;

- предварительная оценка  эффективности создания ЭИС;

- этапы и сроки разработки  технического проекта и внедрения.

II этап. Проектирование ИС. На данном этапе происходит разработка технического задания на проектирование.  На его основе составляется договор на проектирование и разрабатывается технический проект, включающий следующие разделы:

- - пояснительная записка;  

- описание постановки задачи;

- разрабатывается информационно-логической модели базы данных; документация на информационное и техническое обеспечение (классификаторы, структура комплекса технических средств),

- алгоритм решения задач;

- обосновывается выбора технологий программирования.

После утверждения технического проекта приступают к созданию рабочего проекта, представляющего детальную разработку, программного обеспечения проектируемой ЭИС.

III этап. Внедрение проекта – процесс перехода к эксплуатации ЭИС.

Предусматривает выполнение следующих работ:

-Ввод в эксплуатацию  технических средств, загрузка БД; Обучение персонала, обеспечение технической документацией; Опытная эксплуатация; Устранение недостатков, допущенных в ходе проектирования; Промышленная эксплуатация. Составляется Акт ввода в эксплуатацию.

4.Эксплуатация  и сопровождение ЭИС. На данном этапе осуществляется:

- Обеспечение работоспособного состояния комплекса технических и программных  средств ЭИС;

- Обновление программного обеспечения в соответствии с требованиями заказчика.

Составляется рабочая документация на обновление.

5.Утилизация  проекта. Осуществляется с помощью демонтаж системы или переноса на новую аппаратную и программную платформу баз данных и отдельных элементов ЭИС.

 

Лекция 2

(Слайд 19) Проблемы безопасности информации. Защита информации в МИС.

(Слайд 20) Вопросы.

1. Причины обеспечения безопасности информации. Безопасность АИС.
2. Классификация умышленных угроз.
3. Система защиты АИС.
4. Основные виды защиты, используемые в маркетинговой деятельности.

 

1. Причины обеспечения безопасности информации. Безопасность АИС.

АИС  открывают новые  возможности в информационных процессах, повышают надежность и эффективность документооборота в организации, повышают качества информационных продуктов. Но в то же время АИС является наиболее уязвимой стороной безопасности информации организации, привлекая к себе злоумышленников, как из числа персонала, так и со стороны.

(Слайд 21) Причины обеспечения безопасности информации:

1. Информация в настоящее время рассматривается как стратегический ресурс.
2. Высокий уровень доверия к  АИС. Ей доверяется формирование результатной информации для поддержки управленческих решений.
3. Концентрация в АИС больших объемов информации и процессов их обработки.
4. Развитие и усложнение современных средств телекоммуникаций, в том числе сетей.
5. Ответственность организации за сохранность информации перед клиентами, учредителями, контрагентами и т.д.
6. Доступность современных средств вычислительной техники и сетей,  широкое распространение компьютерной грамотности делает практически любого пользователя потенциальным злоумышленником.
7. Ущерб от информационных потерь исчисляется в миллионах рублей и имеет продолжительный  косвенный характер.

(Слайд 22) Под безопасностью АИС понимают ее способность противостоять различным воздействиям на нее.

(Слайд 23) Достижение безопасности АИС строится на следующих принципах:

• Конфиденциальность  – допуск к информации лишь отдельных проверенных (авторизованных) пользователей. Для  остальных объектов данная информация как бы не существует.
• Санкционированный доступ и тщательная его проверка.
• Целостность- способность АИС сохранять свои компоненты неизменными и реагировать на вносимые изменения.
• Доступность – возможность быть доступным для авторизованных пользователей в любое время.
• Готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию всегда, когда в них возникает необходимость).

(Слайд 24) Различают внутреннюю и внешнюю безопасность АИС.

Внешняя безопасность-защита от случайных внешних воздействий и от несанкционированного доступа.

Внутренняя  безопасность – регламентация деятельности персонала, организация прямого или косвенного доступа к ресурсам АИС и к информации.

(Слайд 25) Под несанкционированным доступом понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей либо других субъектов системы разграничения, являющейся составной частью системы защиты информации.

(Слайд 26) Субъекты, совершившие несанкционированный доступ к информации, называются нарушителями. С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечку обрабатываемой конфиденциальной информации, ее искажение или разрушение в результате умышленного нарушения работоспособности АИТ.

(Слайд 26) Нарушителями могут быть:

• штатные пользователи АИТ;

• сотрудники-программисты, сопровождающие системное, общее и  прикладное программное обеспечение  системы;

• обслуживающий персонал (инженеры);

• другие сотрудники, имеющие  санкционированный доступ к АИТ (в том числе подсобные рабочие, уборщицы и т.д.).

(Слайд  27) Под каналом несанкционированного доступа к информации понимается последовательность действий лиц и выполняемых ими технологических процедур, которые либо выполняются несанкционированно, либо обрабатываются неправильно в результате ошибок персонала и/или сбое оборудования, приводящих в конечном итоге к факту несанкционированного доступа. Выявление всех каналов несанкционированного доступа проводится в ходе проектирования путем анализа технологии хранения, передачи и обработки информации, определенного порядка проведения работ, разработанной системы защиты информации и выбранной модели нарушителя.

 

2.Классификация  умышленных угроз.

(Слайд 28) Под угрозой безопасности АИС понимается потенциально возможное воздействие, которое может прямо или косвенно нанести урон пользователям и владельцам АИС. Реализация  угрозы называется атакой.

(Слайд 29) Классификация умышленных угроз:

По объекту атаки:

• Атака на АИС в целом - проникновение в АИС для выполнения несанкционированных действий. Может быть реализовано непосредственно либо с помощью ЭВМ и компьютерных сетей. Во втором случае возможен перехват паролей, вскрытие пароля, вход в систему от имени авторизованного пользователя, внесение с АИС вирусов и т.д.
• Атака на техническое обеспечение АИС. Непосредственное или с помощью ЭМВ и компьютерных сетей воздействие на носители информации с целью их кражи, разрушения или копирования, изменения, удаления информации в них. Доступ к мониторам с целью считывание информации с них, доступ к устройствам ввода-вывода информации.
• Атака на процессы обработки информации. Может выражаться  в виде прямого воздействия на процесс, либо воздействие на работу компьютерных программ. Проявляется в приостановке процесса, его изменении, присвоении злоумышленником привилегий.
• Атака на каналы передачи данных. Возможно вмешательство в переписку, телефонные переговоры и в работу компьютерной сети. Проявляется в прослушивании каналов, подключении к каналам, перестройке каналов, нарушением системы адресации.

 

3. Система защиты АИС.

(Слайд 30) Система защиты АИС - единая совокупность правовых, морально-этических, административных, технологических мер и программно-технических средств, направленных на противодействие угрозам АИС с целью сведения до минимума возможного ущерба пользователям и владельцам.

(Слайд 31) Существует 2 подхода к построению систем защиты информации:

1. Фрагментарный. Ориентация на определенный вид угроз при определенных обстоятельствах. Например ориентация на атаку со стороны собственных сотрудников. Средствами защиты в данном случае будут: мероприятия по подбору персонала, стимулирование честности и ответственности сотрудников, пропускной режим, скрытый контроль за работой персонала, установка паролей, жесткое разграничение прав пользователей по работе с программами, ресурсами, БД и сетями.
2. Комплексный подход объединение разнородных мер противодействия угрозам. Проходит в несколько этапов:

• Анализ возможных угроз. Построение  плана защиты, формирование политики безопасности.

• Разработка системы защиты. На этом этапе разрабатывается комплексной использование всех средств защиты: