ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 28.07.2021
Просмотров: 72
Скачиваний: 1
|
Экзаменационный билет № 10 |
|
|
Кафедра бизнес-информатики |
|
|
Итоговый междисциплинарный экзамен по специальности «Прикладная информатика в экономике». Специализации «Информационные системы в банковском деле» |
|
Зачем нужен стандарт? Банк работает с деньгами других экономических и финансовых субъектов. В случае возникновения у него серьезных трудностей, о которых непременно и очень быстро станет известно, другие кредитные учреждения будут вынуждены закрыть ему линии рефинансирования, клиентов же это побудит забрать либо не возобновлять свои вклады – а это неизбежно приведет к кризису ликвидности. Дестабилизация работы даже одного из ее компонентов может привести к системному обвалу, что уже создает угрозу государству. Основные принципы обеспечения ИБ Cтандарта. Общие принципы безопасного функционирования организации, отражают суть понятия «информационная безопасность организации банковской системы РФ», которое в стандарте определено как «состояние защищенности интересов (целей) организации банковской системы (БС) РФ в условиях угроз в информационной сфере». В частности они ориентированы на то, чтобы не допустить таких ситуаций, когда в системе собственника устанавливается сверхмощная, дорогая и сертифицированная по высочайшему уровню система управления доступом, а на поверке через месяц оказывается, что в системе всем и все разрешено. При этом собственник остается уверенным, что он, вложив значительные средства, имеет надежную систему безопасности, а на практике все обстоит иначе. Таким образом, в систему должны устанавливаться только те защитные меры, правильность работы которых может быть проверена. Модели угроз и нарушителей ИБ стандарта. Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней: – физического (линии связи, аппаратные средства и пр.); – сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.); – сетевых приложений и сервисов; – операционных систем (ОС); – систем управления базами данных (СУБД); – банковских технологических процессов и приложений; – бизнес–процессов организации. При этом на каждом из перечисленных уровней угрозы и их источники (в том числе злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры. Также положениями стандарта определено, возможна разработка моделей угроз и нарушителей ИБ для данной организации. Требования к модели угроз ИБ, включающие описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба, основываются на соответствующих требованиях стандартов международных стандартов. Для источников угроз – людей может быть разработана модель злоумышленников (нарушителей), включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий. Политика ИБ стандарта. В стандарт включены общие требования (правила) ИБ по следующим восьми областям, которые должны найти отражение в политике ИБ организации: 1. назначение и распределение ролей и обеспечение доверия к персоналу; 2. ИБ автоматизированных банковских систем на стадиях жизненного цикла; 3. обеспечение ИБ при управлении доступом и регистрация; 4. обеспечение ИБ средствами антивирусной защиты; 5. обеспечение ИБ при использовании ресурсов сети Интернет; 6. обеспечение ИБ при использовании средств криптографической защиты информации; 7. обеспечение ИБ банковских платежных технологических процессов; 8. обеспечение ИБ банковских информационных технологических процессов. В то же время в политике ИБ организации могут быть рассмотрены и другие области обеспечения ИБ, которые отвечают ее бизнес–целям.
2. Распределенная обработка информации, модели «клиент-сервер» в системах баз данных. Вычислительная модель «клиент–сервер» исходно связана с парадигмой открытых систем, которая появилась в 90-х гг. и быстро эволюционировала. Сам термин «клиент–сервер» изначально применялся к архитектуре программного обеспечения, которое описывало распределение процесса выполнения по принципу взаимодействия двух программных процессов, один из которых в этой модели назывался клиентом, а другой — сервером. Клиентский процесс запрашивал некоторые услуги, а серверный процесс обеспечивал их выполнение. При этом предполагалось, что один серверный процесс может обслужить множество клиентских процессов. Основной принцип технологии «клиент–сервер» применительно к технологии баз данных заключается в разделении функций стандартного интерактивного приложения на 5 групп, имеющих различную природу:
Презентационная логика (Presentation Logic) как часть приложения определяется тем, что пользователь видит на своем экране, когда работает приложение. Сюда относятся все интерфейсные экранные формы, которые пользователь видит или заполняет в ходе работы приложения, к этой же части относится все то, что выводится пользователю на экран как результаты решения некоторых промежуточных задач либо как справочная информация. Поэтому основными задачами презентационной логики являются:
Бизнес-логика, или логика собственно приложений (Business processing Logic), — это часть кода приложения, которая определяет собственно алгоритмы решения конкретных задач приложения. Обычно этот код пишется с использованием раз личных языков программирования, таких как C, C++, Cobol, SmallTalk, VisualBasic. Логика обработки данных (Data manipulation Logic) — это часть кода приложения, которая связана с обработкой данных внутри приложения. Данными управляет собственно СУБД (DBMS). Для обеспечения доступа к данным используются язык запросов и средства манипулирования данными стандартного языка SQL. Обычно операторы языка SQL встраиваются в языки 3-го или 4-го поколения (3GL, 4GL), которые используются для написания кода приложения. Процессор управления данными (Database Manager System Processing) — это собственно СУБД, которая обеспечивает хранение и управление базами данных. В идеале функции СУБД должны быть скрыты от бизнес-логики приложения, однако для рассмотрения архитектуры приложения нам надо их выделить в отдельную часть приложения. В централизованной архитектуре (Host-based processing) эти части приложения располагаются в единой среде и комбинируются внутри одной исполняемой про граммы. В децентрализованной архитектуре эти задачи могут быть по-разному распределены между серверным и клиентским процессами. В зависимости от характера распределения можно выделить следующие модели распределений:
Эта условная классификация показывает, как могут быть распределены отдельные задачи между серверным и клиентскими процессами. В этой классификации отсутствует реализация удаленной бизнес-логики. Действительно, считается, что она не может быть удалена сама по себе полностью. Считается, что она может быть распределена между разными процессами, которые в общем-то могут выполняться на разных платформах, но должны корректно кооперироваться (взаимодействовать) друг с другом. 3. Создать на контроллере домена новое подразделение и сформировать на нем новую групповую политику безопасности, запрещающую пользователям изменять параметры экрана. Продемонстрировать на рабочей станции. На сервере зайти в Администрирование – пользователи и компьютеры. Нужно создать новое подразделение. Добавить в него пользователя. Далее зайти в свойства подразделения и новую политику создать. Затем зайти в эту политику и включить
Потом проверить от этого пользователя
|
|
