Содержание к диссертации
Введение
1 Анализ проблемы высоконадежной обработки информации финансовой деятельности и тенденции ее решения 15
1.1 Совершенствование защиты информационных процессов финансовой деятельности посредством организации надежного информационного процесса 15
1.2 Анализ современного состояния процесса моделирования высоконадежной обработки информации и повышения надежности информационного процесса финансовой деятельности 17
1.2.1 Анализ современного состояния реализации повышения надежности информационного процесса финансовой деятельности 17
1.2.2. Анализ современного состояния процесса моделирования политики безопасности информационного процесса финансовой деятельности 24
1.3 Общий подход к моделированию надежного информационного процесса финансовой деятельности 26
1.4 Организация субъектного наполнения средств реализации надежного информационного процесса финансовой деятельности 28
1.5 Задание требований к подсистеме автоматизированного управления сервисом контроля целостности информационного процесса финансовой деятельности 38
1.5.1 Структурная схема управления сервисом контроля целостности информационного процесса финансовой деятельности 38
1.5.2 Схема управления сервисом контроля целостности надежного информационного процесса финансовой деятельности 41
1.5.3 Критерии качества функционирования сервиса контроля целостности надежного информационного процесса финансовой деятельности 42
1.6 Основные выводы по главе 1 47
2. Математические модели разграничения доступа надежного информационного процесса финансовой деятельности 49
2.1 Подсистема учета труда и заработной платы типовой автоматизированной информационной системы финансовой деятельности с точки зрения ЭМЗАС 49
2.2 Организация разграничения доступа в надежном информационном процессе финансовой деятельности 59
2.3 Математическая модель реализации политики безопасности надежного информационного процесса финансовой деятельности 67
2.4 Математическая модель политики безопасности надежного информационного процесса финансовой деятельности 69
2.5 Основные выводы по главе 2 86
3. Разработка алгоритмов и моделей управления сервисом контроля целостности информационного процесса финансовой деятельности 88
3.1 Модель динамики функционирования сервиса контроля целостности информационного процесса финансовой деятельности 88
3.2 Анализ динамических критериев информационного процесса финансовой деятельности посредством полумарковских моделей 97
3.3 Средства оценки критерия динамической эффективности контроля целостности информационного процесса финансовой деятельности 102
3.4 Алгоритм оценки динамических критериев качества функционирования сервиса контроля целостности информационного процесса финансовой деятельности как объекта организационно технологического управления 103
3.5 Оптимальное управление сервисом контроля целостности информационного финансовой деятельности учета на основе комплексной оценки качества его функционирования 106
3.5.1 Формализованная постановка задачи принятия решения при управлении контролем целостности информационного процесса финансовой деятельности 106
3.5.2 Организация варьирования параметров в процессе управления контролем целостности надежного информационного процесса финансовой деятельности 107
3.6 Основные выводы по главе 3 113
4. Методы и средства управления сервисом контроля целостности надежного информационного процесса финансовой деятельности 114
4.1 Вычислительный эксперимент определения свойств динамических критериев качества функционирования сервиса контроля целостности надежного информационного процесса финансовой деятельности как объекта управления 114
4.2 Исследование свойств качества функционирования сервиса контроля целостности надежного информационного процесса финансовой деятельности 115
4.3 Основные выводы четвёртой главы 122
Заключение 123
Список использованных источников 125
Приложение А 143
Приложение Б 172
Приложение В 182
- Анализ современного состояния реализации повышения надежности информационного процесса финансовой деятельности
- Организация разграничения доступа в надежном информационном процессе финансовой деятельности
- Организация варьирования параметров в процессе управления контролем целостности надежного информационного процесса финансовой деятельности
- Исследование свойств качества функционирования сервиса контроля целостности надежного информационного процесса финансовой деятельности
Введение к работе
Актуальность темы. Информационные процессы в финансовой деятельности организации связаны с функциями управления, учета, контроля, планирования, анализа и регулирования, на основе этого формулируются стратегические и тактические направления деятельности этой организации, определяются причины отклонений результатов этой деятельности. В настоящее время в информационный процесс финансовой деятельности активно внедряются современные технологии сбора, хранения и обработки информации, которые формируют облик автоматизированных информационных систем финансовой деятельности.
Дестабилизация информационных процессов финансовой деятельности в результате реализации угроз защищенности может повлечь за собой нарушение целостности обрабатываемой и хранимой информации, что приводит к частичному или полному прекращению этой деятельности, а, следовательно, к серьезным убыткам организации, чреватых банкротством. По этой причине возникает необходимость высоконадежной обработки финансовой информации.
На этапе разработки средств реализации надежных информационных процессов финансовой деятельности возникает необходимость моделирования систем, обеспечивающих высоконадежную обработку информации, и включающих механизмы проведения анализа эффективности их функционирования. Реализовываться такие модели должны согласно перспективному взгляду на надежность информационного процесса, требующему отсутствия в нем уязвимостей как таковых.
Добиться этого можно путём интеграции передовых математических формализмов защиты в процесс разработки моделей системы защиты информационного процесса, что обеспечивает на уровне моделей недопущение уязвимостей и гибкость защитных механизмов.
Таким образом, актуальность темы исследования определяется необходимостью разработки комплекса моделей функционирования высоконадежного информационного процесса финансовой деятельности, которые обеспечивают недопущение уязвимостей в этом процессе.
Диссертационная работа выполнена на кафедре информатики и методики преподавания математики Воронежского государственного педагогического университета в соответствии с Федеральным законом об информации, информационных технологиях и о защите информации (от 14.07.2006 № 149-ФЗ), Федеральным законом «о бухгалтерском учете» (от 21.11.1996 № 129-ФЗ) и целевой программой «Научно-методическое, материально-техническое и информационное обеспечение системы образования» (приказ Минобразования России от 26.01.2001 № 240).
Объектом исследования являются информационные процессы высоконадежной обработки финансовой информации с гибкими защитными механизмами.
Предметом исследования являются методы и модели процессов высоконадежной обработки финансовой информации, обеспечивающие недопущение ее уязвимостей от воздействия угроз защищенности.
Целью диссертационного исследования является повышение эффективности информационного процесса финансовой деятельности за счет высоконадежной обработки информации, которая обеспечивается разграничением прав доступа, политикой безопасности и управлением контролем целостности.
Для достижения поставленной цели предполагается решить следующие основные задачи:
Проанализировать существующие методы моделирования информационных процессов высоконадежной обработки финансовой информации, влияющие на защищенность соответствующих информационных процессов;
Построить математическую модель разграничения прав доступа в информационных процессах финансовой деятельности, обеспечивающую высоконадежную обработку информации;
Построить математическую модель политики безопасности в информационных процессах финансовой деятельности;
Построить модели и алгоритмы оценки качества функционирования сервиса контроля целостности информационного процесса финансовой деятельности;
Построить модель и алгоритм оптимального управления контролем целостности информационного процесса финансовой деятельности;
Разработать систему проблемно-ориентированных программ комплексной оценки качества функционирования сервиса контроля целостности информационных процессов финансовой деятельности.
Научная новизна. При выполнении диссертационного исследования получены следующие основные результаты, характеризующиеся научной новизной:
Математическая модель разграничения прав доступа к информационным процессам финансовой деятельности, отличающаяся использованием проблемно ориентированного математического аппарата ЭМЗАС-сетей, гарантирующего конфиденциальность и доступность обрабатываемой информации.
Математическая модель политики безопасности в информационных процессах финансовой деятельности, отличающаяся высоконадежной обработкой информации, основанной на проблемно ориентированном математическом аппарате ЭМЗАС-сетей.
Математические модели и алгоритмы оценки качества функционирования сервиса контроля целостности информационных процессов финансовой деятельности, отличающиеся учётом повышенных требований к целостности обрабатываемой информации, за счет динамики системы управления контролем целостности обрабатываемой информации.
Математическая модель и алгоритм оптимального управления контролем целостности информационных процессов финансовой деятельности, обеспечивающего сохранение требуемого уровня эффективности функционирования при максимальной целостности информации.
Методы исследования. Для решения поставленных задач в работе использовались принципы системного подхода, теория принятия решений и математическое программирование, теория вероятности, аппарат ЭМЗАС-сетей, теория конечных полумарковских процессов.
Практическая значимость. Разработаны комплекс проблемно-ориентированных программ комплексной оценки качества функционирования сервиса контроля целостности информационных процессов финансовой деятельности, как объекта организационно-технологического управления и методика построения идеализированных автоматизированных информационных систем финансовой деятельности, реализующих модели и алгоритмы надежного информационного процесса.
Область исследования. Содержание диссертации соответствует паспорту специальности 05.13.17 «Теоретические основы информатики» (технические науки) по следующим областям исследований:
п. 11. «Разработка методов обеспечения высоконадежной обработки информации и обеспечения помехоустойчивости информационных коммуникаций для целей передачи, хранения и защиты информации; разработка основ теории надежности и безопасности использования информационных технологий»;
п. 12. «Разработка математических, логических, семиотических и лингвистических моделей и методов взаимодействия информационных процессов, в том числе на базе специализированных вычислительных систем».
Апробация работы. Основные положения и результаты диссертационной работы докладывались и обсуждались на следующих конференциях и семинарах: Пятая Всероссийская научно-техническая конференция «Теория конфликта и ее приложения» (Воронеж, 2008), Всероссийская научно-практическая конференция «Техника и безопасность объектов УИС-2008» (Воронеж 2008), Межвузовская научно-практическая конференция «Общество, право, правосудие: история, теория, практика» (Воронеж 2008), Международная научно-практическая конференция «Преступность в России: состояние, проблемы предупреждения и раскрытия» (Воронеж 2008), Всероссийская научно практическая конференция «Общество, право, правосудие» (Воронеж 2008), Всероссийская научно-практическая конференция курсантов, слушателей, студентов, адъюнктов и соискателей (Воронеж 2008), Международная научная конференция «Современные проблемы прикладной математики и математического моделирования» (Воронеж 2009), Третья Международная научная конференция «Современные проблемы прикладной математики и математического моделирования» (Воронеж 2009), Всероссийская научно-практическая конференция «Охрана, безопасность и связь» (Воронеж 2009), Девятая Всероссийская научно-техническая конференция «Повышение эффективности средств обработки информации на базе математического моделирования» (Тамбов 2009), Всероссийская научно практическая конференция «Общество, право, правосудие» (Воронеж 2009), Шестая Всероссийская научно-техническая конференция «Теория конфликта и ее приложения» (Воронеж 2010), Пятая всероссийская научно-практическая конференция «Математические методы и информационно-технические средства» (Краснодар 2010).
Публикации. По теме диссертации опубликовано 20 печатных работ (6 статьи, 14 материалов научных конференций) в том числе 6 работы опубликовано без соавторов, 3 публикации в изданиях из Перечня ВАК Министерства образования и науки РФ.
Структура работы. Диссертационная работа включает введение, четыре главы, заключение, список литературы из 142 наименований и 3 приложения. Работа изложена на 180 страницах машинописного текста (основной текст занимает 131 страницу), содержит 25 рисунков и 51 таблицу.
Анализ современного состояния реализации повышения надежности информационного процесса финансовой деятельности
В стандартах информационной безопасности обобщаются все знания в области создания защищенных компьютерных систем, которые регламентируют основные понятия и концепции ИБ и безопасному использованию информационных технологий на государственном или межгосударственном уровнях. В них определяется понятие «защищенная система» посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности. Согласно этим стандартам надежный (защищенный) информационный процесс - это процесс, отвечающий тому или иному стандарту ИБ. С течением времени формируется все более совершенное понимание защищенности информационного процесса посредством анализа и устранения недостатков прежних стандартов, оно выходит из области теоретических поисков и становится практической реальностью. Таким образом можно проследить эволюцию данного понятия, которая представляется классическим, современным и перспективным взглядами.
Описание классического взгляда можно найти, например, в Руководящих документах Гостехкомиссии 1992 года, в которых представляется понятие защищенного информационного процесса как процесса, в котором реализован тот или иной комплекс средств защиты [132]. Предполагались известными достаточно универсальные защитные механизмы, и конкретный ИП характеризовался тем набором защитных механизмов, который реализован именно в нем. При этом считалось, что чем больше защитных механизмов реализовано, тем выше защищённость ИП.
С течением времени сложилось понимание не состоятельности такого взгляда. Наличие определенных защитных механизмов не является самоцелью, и может являться только средством достижения защищенности ИП. На смену ему пришел современный взгляд, трактующий понятие надежного ИП как процесса, который успешно противодействует заданным угрозам защищенности при заданных внешних условиях функционирования.
Стандартизация современного взгляда защищенности ИП ознаменовалась выходом на межгосударственный уровень стандартизации в области ИБ. Под эгидой Международной организации по стандартизации (ISO) в 1999 году разработан стандарт ISO/IEC 15408 [35, 36], кратко называемый также «Общие критерии» (OK) (Common Criteria). В России была принята группа стандартов ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», которая содержит полный текст соответствующего стандарта ISO [4, 26].
Данный стандарт принят для формализации требований ИБ и содержит перечень всех возможных требований безопасности произвольного объекта оценки (00), который можно разделить на функциональные требования и требования доверия к безопасности. Он предполагает осуществление оценки 00 согласно перечню требований безопасности, причем выбранные требования безопасности конкретного ОО детализируются исходя из анализа назначения 00, условий его использования и излагаются в профиле защиты или в задании по безопасности. Стандарт не регламентирует обязательность применения тех или иных требований. Идеология ОК предполагает принятие и использование ряда нормативных документов, содержащих сформулированные на основе данного стандарта профили защиты, которые собственно и будут задавать требования безопасности к объектам ИТ.
Данные стандарты (международный и российские) применительно к оценке безопасности изделий ИТ являются по сути средствами, задающими систему понятий, на основе которых должна производиться оценка, и содержащими относительно полный перечень требований безопасности как функциональных так и доверия, но не предоставляющих конкретных наборов требований и критериев для тех или иных типов продуктов и систем ИТ, выполнение которых необходимо проверять. Данные требования и критерии присутствуют в профилях защиты и заданиях по безопасности. Подразумевается, что профили защиты носят относительно универсальный характер: они характеризуют определенный класс изделий ИТ вне зависимости от специфики условий применения. Профили защиты образуют построенную на основе ОК и используемую на практике нормативную базу в области реализации защищенного ИП. На сегодняшний день в мире [34], и в России данная база только создается. В нашей стране эту работу курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК России), ранее - Государственная техническая комиссия при Президенте РФ (Гостехкомиссия России).
В отношении ресурсов 00 осуществляется определенная политика безопасности (ПБ) средствами сервисов безопасности (СБ), которые реализуют определенные функции безопасности. Ввиду требований безопасности 00 задаются исходя из его назначения и условий использования, а значит определить эти требования вполне полно и конкретно можно только для ИП конкретной направленности (в нашем случае ИП финансовой деятельности). Следовательно можно достаточно определенно говорить о технологии функционирования ИП финансовой деятельности, организации его ресурсов, по которым предписывается определенная ПБ. Исходя из положений описанных в ОК представим понятийный аппарат.
Можно говорить о защищенности информационного процесса финансовой деятельности, как о защищенности средств его реализации (например, автоматизированной информационной системы финансовой деятельности). Обеспечение защищенности средств реализации информационного процесса означает организацию необходимого управления доступом ко всем его ресурсам. Управление доступом к ресурсам реализуется системой защиты информационного процесса (СЗИП) от несанкционированного доступа (НСД) и направлено на предотвращение несанкционированного раскрытия, модификации информации или потери возможности её использования при воздействии угроз, которые могут быть результатами действий человека преднамеренных или неумышленных. Защищенность от этих видов угроз обычно называют конфиденциальностью, целостностью и доступностью соответственно. Политика безопасности (ПБ) - это совокупность правил, регулирующих управление, защиту и распределение подлежащих защите ресурсов (в том числе и информационных). Политикой безопасности определяются правила, согласно которым информационный процесс финансовой деятельности управляет доступом к ресурсам. Сервис безопасности (СБ) - это часть или несколько частей информационного процесса финансовой деятельности, которые обеспечивают выполнение подмножества правил ПБ (взаимосвязанных между собой) программно-аппаратными средствами ЭВМ. Комплекс сервисов безопасности (КСБ) - совокупность всех программно-аппаратных средств ЭВМ, которые обеспечивают адекватное выполнение ПБ. Совокупность программных или диалоговых интерфейсов, благодаря которым СБ обращается к информации или ресурсам, называется интерфейсом сервиса безопасности (ИСБ). Все ИСБ данного информационного процесса объединяются в интерфейс КСБ (ИКСБ) - набор интерфейсов доступа к ресурсам информационного процесса финансовой деятельности под контролем КСБ, или получение от КСБ какой-либо информации.
К чрезмерному усложнению информационного процесса финансовой деятельности ведет сложность, неоднородность и масштабность. Также значительно усложняются КСБ и ИКСБ, вследствие чего становится затруднительным их эффективный анализ и синтез. Поэтому проблема защищенности информационного процесса финансовой деятельности имеет аспекты, относящиеся к реализации отдельных функций безопасности и комплексированию защитных механизмов.
Поэтому современное понимание защищенности информационного процесса финансовой деятельности, несмотря на все преимущества, вызывает законную критику исследователей, так как практика показывает несовершенство и этого взгляда [3, 14].
Каждая реализация (успешная) угрозы безопасности информационного процесса финансовой деятельности (атака) использует определенные недостатки механизмов реализации его или недостатки средств его защиты. Эти недостатки исследуются уже достаточно давно и получили название «изъянов защиты» или «уязвимостей». Все атаки проводимые на информационный процесс финансовой деятельности основываются на знании злоумышленником изъянов защиты, наличие которых и провоцируют появление средств нападения. Таким образом, противостояние угроз и средств защиты напоминает систему с обратной связью - новые виды атак приводят к появлению новых средств защиты, а недостатки в средствах защиты приводят к появлению новых средств нападения и т.д. Остановить это бесконечное противостояния можно двумя способами:
- создать эффективные и безупречно надежные средства защиты информационного процесса и от каждого типа атак.
- устранить уязвимости в информационном процессе финансовой деятельности, служащие источником успешной реализации угроз.
Организация разграничения доступа в надежном информационном процессе финансовой деятельности
Остановимся на рассмотрении понятия роли, так как его понимание играет важную роль в построении модели надежного информационного процесса финансовой деятельности.
Ролевая модель определяет особый тип политики, основанный на компромиссе между гибкостью управления доступом, характерной для дискреционных моделей, и жесткостью правил контроля доступа, присущей мандатным моделям. В ролевой модели классическое понятие субъект разделяется на две части: пользователь и роль. Пользователь - это человек, работающий со средствами реализации информационного процесса и выполняющий определенные служебные обязанности. Роль - это активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор привилегий, необходимых для осуществления определенной деятельности.
Ролевая ПБ является существенно усовершенствованной моделью Харрисона - Руззо - Ульмана, но не является ни дискреционной, ни мандатной. Для реализации ПБ организации на основе базовой модели, необходимо ввести механизм ограничений. Такие ограничения дают возможность использовать взаимно исключающие роли. К другим распространенным вариантам ограничений относят кардинальное число роли и роли с необходимым предусловием.
Управление ролевой моделью доступа включает множество аспектов. Администратором дается тому или иному должностному лицу (пользователю) привилегия на использование определенных данных согласно роли, позволяющей исполнять предписанные должностной инструкцией обязанности. Управление доступом к данным самим пользователем предусмотрено только с использованием специального механизма делегирования прав роли. Каждая модель разграничения доступа ориентирована на описание операций с абстрактными объектами. Существуют три основных множества объектов: пользователи, роли и привилегии.
Пользователь в ролевой модели доступа - это человек или информационный процесс (в общем случае пользователем могут являться программы, компьютеры, или даже сети компьютеров).
Роль - это набор функций для выполнения определенного круга задач, которые выполняются в информационном процессе и связана с семантикой, определяющей полномочия и ответственность исполнителя роли.
Привилегия - это право на выполнение определенного вида операций с одним или несколькими объектами информационного процесса. Под объектами будем понимать компоненты базы данных финансовой деятельности или глобальные системные ресурсы серверов БД. Ролевая модель позволяет рассматривать множество интерпретаций для привилегий. С одной стороны разграничение грубое, где доступ разрешается ко всей базе данных или табличной области. С другой - разграничение очень избирательно, где единица доступа - это определенное значение элемента данных или кортежа. Сущность привилегии зависит от деталей реализации системы и ее свойств. Поэтому ролевая модель управления доступом должна рассматривать привилегии как формальные метки (обозначения) совокупности прав доступа.
Исходя из структуры надежного информационного процесса финансовой деятельности и совокупности работников организации, имеющих доступ к БД финансовой деятельности, в общем случае можно выделить совокупность ролей используемых в БД (информационном процессе вцелом). Наиболее общие типы ролей информационного процесса финансовой деятельности по учету труда и заработной платы приведены в таблице 2.1. Роли используются для назначения пользователям надежного информационного процесса привилегий доступа к соответствующим данным или возможности вносить и изменять данные подбаз данных (ПБД), позволяющим пользователю эффективно выполнять свои должностные обязанности.
Из анализа должностных инструкций сотрудников, занимающихся расчетом с персоналом по оплате труда, приведём вероятное разграничение доступа пользователей к данным хранящимся в БД финансовой деятельности. Назовём его дискреционным разграничением доступа. Причем данный перечень пользователей может меняться исходя из специфики и масштабов организации, а также штата сотрудников.
1. Администратор имеет доступ ко всем таблицам всех подбаз БД финансовой деятельности. Он имеет права на изменение структуры таблиц и БД вцелом (добавление и удаление полей и таблиц, а при необходимости и ПБД). Также в обязанности администратора входит регистрация (удаление, приостановка прав доступа и т.д.) пользователей, присвоение им ролей и управление привилегиями.
2. Финансовый директор имеет доступ к данным всех таблиц БД финансовой деятельности без права изменения. Он осуществляет анализ и прогнозирование в целях формирования аналитической информации для принятия управленческих решений. Данные финансового учета используются при планировании и прогнозировании экономической политики предприятия, определении основных направлений развития, финансовом менеджменте, полном экономическом анализе информации, который включает финансовый анализ, анализ результатов ревизий и инвентаризаций и анализ производственно-хозяйственной деятельности.
3. Внутренний аудитор (главный бухгалтер) также имеет доступ к данным всех таблиц БД финансовой деятельности без права изменения. Он обеспечивает организацию внутреннего аудита, что позволяет отслеживать изменения в системе бухгалтерских стандартов, анализировать хозяйственную ситуацию и законодательство, новые способы ведения учета, вырабатывать предложения по ведению учетной политики, осуществлять налоговое планирование, т.е. изыскивать законные возможности минимизации налоговых выплат, осуществлять камеральную проверку отчетных форм. Данная роль повторяет полномочия роли финансового директора, но только лишь в рассматриваемой нами подсистеме учета труда и заработной платы, но в информационном процессе финансовой деятельности вцелом они различны, по этой причине мы рассматриваем их как различные.
4. Бухгалтер по расчетам с персоналом по оплате труда и депонированию имеет права на доступ к данным подбаз «ТУ», «УСЗП» и «УД» без права на удаление или изменение и полный доступ к данным подбаз «УТЗП» и «УД». Он вводит, просматривает и корректирует водные и рассчитанные данные, выводит результаты решения задач на экран или на печать. Предусмотрена возможность печати всех справочников, различных сведений из базы данных, расчетно-платежной документации, контрольных итогов по видам удержаний и начислений, ведомостей распределения заработной платы по категориям и видам оплат, кодам затрат и др. Обеспечивает также расчеты с рабочими и служащими по различным видам начислений и удержаний, количество которых может быть изменено согласно предложениям пользователя. Также осуществляет расчет и депонирование заработной платы. В некоторых случаях (крупное предприятие, большой штат сотрудников) данную роль целесообразно разбить на две: бухгалтер по учету труда и заработной платы и бухгалтер по депонированию заработной платы, но в большинстве случаев это приводит к замедлению и частичному дублированию процессов расчетов, поэтому остановимся на одной роли.
5. Оператор, ведущий табельный учет отработанного времени и неявок - полный доступ к данным подбазы «ТУ». Он занимается вводом данных о неявках (традиционный вариант формирования первичной информации), получением экранных и печатных форм по видам явок и отклонений. Готовит массивы данных по отработанному времени и неявкам. Это позволяет автоматизировать процесс ввода данных и предусмотреть пакетный режим расчета разных видов начислений.
Организация варьирования параметров в процессе управления контролем целостности надежного информационного процесса финансовой деятельности
Проведем комплексную оценку качества функционирования сервиса контроля целостности надежного информационного процесса. Подсистема контроля качества функционирования сервиса КЦ (которая является частью подсистемы автоматизированного управления КЦ надежного информационного процесса финансовой деятельности), в качестве входных использует статистические данные (представляемые подсистемой регистрации и учета), полученные при выполнении процедур КЦ модулей ЭМЗАС различных уровней. Обозначим список этих данных следующим образом
Так же исходными данными подсистемы принятия решений являются величины Vt, г" = Umax, таф, тва- Еттвсп определяемые администратором согласно требованиям к подсистеме защиты информации от не санкционированного доступа эксплуатационной документации средств реализации надежного информационного процесса финансовой деятельности. Заранее задаются способ варьирования управляемыми параметрами (значения атт, атах). Подсистемой принятия решений реализуется выбор квазиоптимального значения аопт, который, как было ранее отмечено, заключается в решении задач математического программирования (3.44) и (3.45) для переменной а.
Введем следующее обозначение - а , где а будет принимать значение параметра а, для которого выполняется следующее условие
То есть, задача принятия решения при управлении сервисом КЦ защищенного надежного информационного процесса финансовой деятельности представляется вычислительно простой. Помимо принятия решения (подсистемой принятия решений) интересным представляется теоретическое изучение закономерностей организационно-технологического управления сервисом КЦ надежного информационного процесса. Осуществить это можно исследуя графические зависимости критерия динамической эффективности и характеристики случайной величины времени осуществления КЦ (согласно заданному дискреционному доступу) от параметра а в прямоугольных системах координат для заданных исходных данных задачи (3.51) . При фиксированных тт по графикам функций у = Е(гт,а) выбор аопт можно производить наглядно, а также производить оценку максимально достижимого значения Еаф{аопт) критерия Еаф. В случаях, когда кривая у = Е(гтва,а) целиком лежит ниже прямой у = Ет\п ва, по причине некорректности исходных данных, аопт не существует. В тех случаях, когда она лежит выше, аопт = атт. Иначе аопт = атах Если же существует точка пересечения кривой и прямой, то ее абсцисса а и есть искомое значение аопт (в этом случае аопт = а ). При этом значение Е.аф{,аопт) можем получить вычитанием из единицы ординаты точки с абсциссой аопт, лежащей на кривой у = Е(ттаф,а).
На рисунке 3.4 изображен пример блок-схемы алгоритма выбора квазиоптимального значения параметра аопт при управлении сервисом КЦ надежного информационного процесса финансовой деятельности, который производится, основываясь на комплексной оценке качества функционирования сервиса КЦ. Вычисления реализуются подсистемами контроля (блоки 1-8) и принятия решений (блоки 9-15).
Дадим описание содержания каждого из блоков алгоритма.
Блок 1 предназначен для ввода в программу исходных данных для расчетов, которые выполняются подсистемой контроля качества функционирования сервиса КЦ (М , М, Vm, Кт ,tm,tm, /max).
Блок 2 позволяет выбрать ветвь алгоритма для дальнейшего выполнения согласно результату выполнения условия М М.
В случае возвращения функцией результата true начинается пересчет (обновление значений) статистических данных и управление передается блоку 3, иначе - блоку 9.
В блоке 3 осуществляется присвоение начальных значений переменным: т = М +1, УО6Щ = їобщ , тобщ = тобщ .
Блок 4 предназначен для организации циклических вычислений У0 Щ И тобщ Для заданного уровня, для чего присваивается счетчику цикла начальное значение (j = m)n вычисляется число итераций (т-М).
В блоке 5 осуществляется вычисление промежуточных статистических данных подсистемы контроля уобщ = уобщ + K„-Vm и тобщ = тобщ + tm- tm согласно (3.46).
Блоки 6 осуществляет увеличение счетчика цикла на единицу (j = j +1 ), после чего происходит следующая итерация.
В случае если условие (3.53) не выполняется, блоком 11 выводится сообщение о некорректности исходных данных.
Если же условие выполняется, управление передается блоку проверки условия Е(т meo amin) — - minse (3.54) для вычисления аопт.
В случае выполнения условия (3.54) согласно (3.51) происходит присвоение значения аопт - ат-т (блок 13), иначе - аопт = а (блок 14).
После чего управление передается блоку вывода искомого результата (квазиоптимального значения аопт независимо варьируемого параметра).
Исследование свойств качества функционирования сервиса контроля целостности надежного информационного процесса финансовой деятельности
В надежном информационном процессе финансовой деятельности при каждом дискреционном доступе происходит акт управления сервисом КЦ, с которым тесно связан этот сервис. При этом полнота проверки информации модуля соответствующего дискреционного доступа зависит от ее количественного распределения внутри каждого уровня ЭМЗАС. Для рассматриваемой нами информационного процесса по учету труда и заработной платы распределение информации по всем уровням ЭМЗАС приведено в таблице 4.1 (в рамках одного дискреционного доступа всю информацию примем за единицу {V = JVI =\), где а - номер авторизации согласно таблице 2.2.
Наибольшие объемы информации при доступе к информационному процессу пользователя с ролью ADMIN (с номером 1 согласно таблице 2.2) сосредоточены на уровнях 15 и 13. На 15-ом уровне находятся утилиты администрирования, а на 13-ом (интеграционном уровне) - создается достаточно сложная интегрированная индивидуальная пользовательская рабочая среда администратора. Сама же административная информация хранится на 1-ом уровне и имеет незначительные объемы.
При доступе пользователей с ролями FDIR и VNUTAUD (финансового директора и внутреннего аудитора соответственно) наибольшие объемы информации сосредоточены на уровнях 13 и 9 при доступе к аналитическим модулям и на уровнях 13 и 1 - к модулям чтения данных. Это связано с тем, что на 13-ом уровне строится ИПРС (обеспечивающая функциональность пользователя согласно роли), на 9-ом реализуются достаточно сложные механизмы обработки аналитической информации (исходными данными для которых являются подбазы данных «ТУ», «УСЗП» и «УТЗП», а хранимая на 1-ом уровне информация имеет значительно меньшие объемы) и на 1-ом уровне модуля чтения данных сосредоточена вся бухгалтерская информация предприятия.
Для пользователей с ролями BUHOT, OPTU и OPVR (бухгалтера по учету труда, заработной платы и депонированию и операторов табельного учета и выработки рабочих сдельщиков соответственно) не доступны аналитические модули, а только модули чтения и изменения данных в подбазах данных (согласно служебным обязанностям). Операторы занимаются сбором первичных данных и подготовкой (соответствующих служебным обязанностям) первичной документации. По этой причине наибольшие объемы информации распределены на уровнях 13 и 1 (обеспечивающие функциональность ИПРС н хранение данных).
Анализируя данные таблицы 4.1, можно выделить четыре группы дискреционных доступов (принадлежность к которым отмечены в столбце «Группы» таблицы 4.1) с равным распределением информации по уровням ЭМЗАС-сети, связанных главным образом с видом и назначением доступа («АД» - администрирование; «АН» - анализ; «ЧТ» - чтение; «ИЗ» -изменение) к информации подбаз данных.
Для исследования управления КЦ информационного процесса финансовой деятельности проведём ряд экспериментов (приложение В).
При управлении сервисом КЦ важную роль играют величины параметра Ктах и а, так как являются исходными данными в задаче принятия решения для организации управления сервисом контроля целостности в надежном информационном процессе финансовой деятельности. Проведем вычислительный эксперимент для всех групп дискреционного доступа (согласно таблице 4.1). При вычислении значения критерия динамической эффективности вначале будем варьировать значения taum для различных Ктт при фиксированном значении параметра а, а затем - а при фиксированном taum.
Из исследования (приложение В) можно заметить, что результаты вычислений при одинаковых входных данных для различных групп количественного распределения информации по уровням ЭМЗАС отличаются незначительно (таблицы В.1 - В.8). То есть при вычислениях можно использовать лишь один любой тип распределения (согласно таблице 4.1) и тем самым сократить время вычислений при проведении вычислений оптимальных начальных значений.
Следует так же заметить, что для различных значений АГтах при варьировании taum и а значения критерия динамической эффективности изменяются закономерно. То есть значения критерия динамической эффективности для всех Ктах (взятых с определенным приращением) изменяются пропорционально (таблиц 4.2 и рисунок 4.2 при варьировании taum, таблица 4.3 и рисунок 4.3 при варьировании а). Из анализа результатов проведённых экспериментов можно сделать ряд выводов.
1. Для различных вариантов уровневого распределения информации значение критерия динамической эффективности изменяется не значительно, ввиду чего можно сократить число вычислений, выбрав для них вместо четырех групп распределения информации один - усредненный вариант распределения.
2. В случае характерного для информационного процесса финансовой деятельности уровневого распределения информации разница значений критерия динамической эффективности при равномерном уровневом распределении информации незначительна, поэтому более целесообразно проводить расчёты для равномерного распределения информации.
3. Значения критерия динамической эффективности уменьшается при увеличении значения Ктах, а значит, увеличивается значение Еаф (критерия адекватности функционирования) и уменьшается значение Ева (критерия временной агрессивности). Это вызвано тем, что увеличение объема проверяемой на неизменность информации влечет снижение вероятности нарушения её целостности и увеличение требуемого для этой проверки времени.
4. С увеличением значения параметра taum скорость уменьшения критерия динамической эффективности резко снижается, следовательно, снижается эффективность управления контролем целостности.
5. При значении параметра taum 0 эффективность управления контролем целостности наиболее максимальна (Ктах є [0;l]).
6. При увеличении значения taum скорость уменьшения эффективности управления сервисом контроля целостности снижается. А при taum 3, значение Ктах целесообразно выбрать равным 1.
