Организационные мероприятия
КУРСОВАЯ РАБОТА На тему: «Обеспечение защиты данных в системе «Учет рабочего времени»»
Выполнила: студентка группы ИС-2-00 Шульц О.В.
Проверила: Некучаева Н.А.
УХТА 2008
Введение
В данном курсовом проекте рассматривается вопрос обеспечения защиты данных в системе «Учет рабочего времени», разрабатываемой для предприятия НПО «Криста» занимающегося внедрением и сопровождением бухгалтерской программы «Смета» в г.Воркута. Система создается для автоматизации процесса контроля и учета распределения рабочего времени, а так же формирования сопроводительных документов, и информации полученной в процессе работы. В работе рассматривается вопрос обеспечения защиты данных в системе, разрабатываемой для сопроводителей и методы практической реализации обеспечения безопасности этих данных. Целью проекта является повышение эффективности работы сопроводителей. Кроме этого, предлагаемая система должна позволять: уменьшить затраты времени на обработку заявок, поступающих от организаций, экономить рабочее время сотрудника и облегчить его работу в оперативности получения и обработки информации о предстоящих посещениях организаций; хранить данные в более удобном компактном виде, что существенно повысит скорость доступа к информационным ресурсам, а также обеспечит надёжную защиту от потери информации и несанкционированного доступа к ней. Разработчиком системы является студент группы ИСТ-03, Степанова И.А., Заказчиком системы является НПО «Криста» в лице директора Класс защищённости разрабатываемой подсистемы
Все классы оценки автоматизируемых систем разделяют на 3 группы, которые различаются особенностями обработки информации: 3 группа: классифицирует АС, в которой работает один пользователь, допущенный ко всему объёму информации АС, относящейся к одному уровню конфиденциальности (3А, 3Б). 2 группа: классифицирует АС, в которой пользователи имеют одинаковые права ко всей информации и вся она размещена на одном уровне конфиденциальности (2А, 2Б). 1 группа: классифицирует многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности, и не все пользователи имеют права доступа ко всей информации (1А, 1Б, 1В, 1Г, 1Д). Разрабатываемая система относится к первой группе, т.к. она является многопользовательской. В подсистеме предусматривается разграничение прав доступа пользователей к данным (каждый пользователь имеет доступ только к тем данным, которые необходимы только ему). В то же время информация, с которой работает система, не имеет ни один из грифов секретности, а носит чисто конфиденциальный характер. Таким образом, классом защиты нашей системы будет являться 1Г.
Горизонтальная модель сети
Все пользователи системы, а также сервера баз данных соединены в сеть (см. Приложение 1 «Схема сети»). Компьютеры пользователей соединены между собой устройством (Switch), которое позволяет объединить компьютеры в небольшую локальную сеть. Один из компьютеров подключен к Интернету с помощью модема. Данная сеть нуждается в защите информации, передаваемой по сети. Информация может быть подвергнута изменению, удалению, хищению, что приведет предприятие к потерям. Для разграничения доступа к информации на сервере будет установлена СУБД и организован доступ к серверу со всех клиентов. Следовательно, получение, заполнение и редактирование информации будет происходить средствами сервера СУБД, что позволяет разграничивать доступ к информации средствами самой СУБД. АС будет доступна только сопроводителям предприятия и руководителю. Вся информация будет храниться на сервере с установленной системой управления базами данных (СУБД) и будет организован доступ к серверу со всех клиентов посредством локальной сети предприятия. Таким образом, получение, заполнение и редактирование информации будет происходить средствами сервера СУБД, что позволяет разграничивать доступ к информации средствами самой СУБД. В разрабатываемой системе в зависимости от используемых ролей настраиваются права конкретного пользователя, при этом оговаривается набор доступных ему подсистем и перечень операций, которые он может выполнять в каждой из них.
Табл.1
Пользователи | |||||||||||
Таблица БД | Сопроводитель | Руководитель | |||||||||
Расписание | П | ПРДУ | |||||||||
Организации | П | ПРДУ | |||||||||
Заявки | П | ПРДУ | |||||||||
Сотрудники | П | ПРДУ | |||||||||
Акты | ПРДУ | ПРДУ |
Условные обозначения:
П – просмотр данных;
Р – редактирование;
Д – добавление данных;
У – удаление данных;
Сопроводитель имеет право просматривать расписание, организации заявки и информацию о сотрудниках. Руководитель же, может все эти данные просматривать, редактировать добавлять в них данные и удалять их. На таблицу Акты и сопроводитель, и руководитель имеют одинаковые права.
Организационные мероприятия
Самым дешёвым и самым эффективным средством защиты информации является проведение организационных мероприятий. Для защиты автоматизируемой подсистемы «Учет рабочего времени» необходимо проведение следующих организационных мероприятий:
1. Утверждение политики безопасности;
2. Охрана периметра здания;
3. Распоряжения о персональном доступе в кроссовое помещение;
4. Учёт ключей и их выдача лицам, утверждённым в специальном списке, имеющим доступ к серверным помещениям, активному оборудованию и конфиденциальной информации; все действия, выполняемые в этих помещениях, должны документироваться и регистрироваться, т.е. необходимо ведение аудита;
5. Регламент на работу с конфиденциальной информацией;
6. Регламент о резервном копировании и архивировании:
Выполнение функций резервного копирования и архивирования данных за отчетный период должны быть закреплены за ответственным лицом;
Резервное копирование и архивирование должно производиться на внешние носители - CD/RW;
Резервные копии должны быть в двух экземплярах и должны храниться в различных местах не с сервером;
7. Запрет использования переносных устройств информации;
8. Должен быть разработан список доступа пользователей к информационным объектам: матрица доступа;
9. Регламент на использование и защиту паролей:
Минимальная длина пароля;
Минимальный срок жизни пароля;
Максимальное количество ошибок при вводе пароля;
Поддержка истории паролей;
При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;
10 Описание конфигурации серверов, все конфигурационные файлы должны быть зарезервированы;
11 Разработка регламента о получении сведений при перемещении по службе (увольнении): на основании приказов об увольнении служащих или их переводе в другие подразделения необходимо удалить учётную запись, либо изменить права доступа соответственно;
12 Разработка регламента на использование антивирусов;
13 Регламент на восстановление системы после сбоев;
14 Налаживание учёта используемого программного обеспечения: учёт лицензий, стандарт программного обеспечения, рабочего места;
15 Регламент на профилактику: установка patch-ей;
16 При обнаружении уязвимого места в программном обеспечении установить соответствующий patch. Если же такового ещё нет, то следить за его появлением, а так же за информацией об использовании обнаруженного изъяна злоумышленниками.
2019-07-03 | 196 | Обсуждений (0) |
5.00
из
|
Обсуждение в статье: Организационные мероприятия |
Обсуждений еще не было, будьте первым... ↓↓↓ |
Почему 1285321 студент выбрали МегаОбучалку...
Система поиска информации
Мобильная версия сайта
Удобная навигация
Нет шокирующей рекламы