Информационные технологии

В последние несколько лет, когда компьютерный рынок заполнили новые модели мониторов, в том числе и с жидкокристаллическими матрицами, безвредных, как заявляют их производители, для здоровья пользователей и снабженных в подтверждение этого разнообразными знаками соответствия «стандартам безопасности», у многих пользователей возникло ощущение, что проблемы безопасности в этой области решены раз и навсегда, а защитные экраны должны навсегда исчезнуть из жизни вместе с отжившей свое техникой.

Действительно ли так безопасны мониторы с наклейками «MPR» и «ТСО», что не требуют дополнительной защиты?

Прежде всего стоит заметить, что сейчас в мире «имеют хождение» десятки самых разнообразных стандартов и требований, разработанных различными организациями, основанных на различных предпосылках и предъявляющих различные требования к более или менее широкому набору критериев функционирования различных устройств. Каждый производитель техники (тех же мониторов, например) сам решает для себя: под какой стандарт он будет «подгонять» характеристики своей продукции, да и будет ли он это делать вообще.

На сегодняшний день самыми распространенными стандартами и требованиями являются: UL, CSA, DHHS, СЕ, SEMKO, DEMKO, NEMKO, FIMKO, FCC Class В, ЕРА Energy Star и TUV Ergonomie| ISO-9241-3, MPR 1990:10, MPR-II, TCO'92, TCO'95, TCO'99, TCO'03 и СанПиН 2.2.2./2.4.1340-03 (в России).

Знак «Low Radiation» (LR), который можно встретить на многих современных мониторах, никаким требованиям не соответствует, конкретного содержания не несет и является скорее элементом дизайна, чем знаком соответствия стандарту.

Рассмотрим стандарты, регламентирующие уровни безопасности мониторов, подробнее.

1. MPR-II -- разработан в 1990 г. Шведским национальным департаментом стандартов и утвержден ЕЭС. Он налагает ограничения на излучения от компьютерных мониторов и промышленной техники, используемой в офисе. В частности, устанавливает допустимый уровень напряженности электромагнитного поля:

-- в диапазоне частот от 5 Гц до 2 кГц -- 25 В/м;

-- в диапазоне частот от 2 до 400 кГц -- 2,5 В/м.

ТСО'92 -- разработан Шведской конфедерацией профсоюзов и Национальным советом индустриального и технического развития Швеции (NUTEK). Регламентирует широкий набор эргономических и гигиенических параметров: уровни электрического и магнитного полей, характеристики энергопотребления, стандарты пожарной и электрической безопасности.

ТСО'95 -- расширение ТСО'92. Вводятся экологические требования ко всему жизненному циклу компьютерной системы, включая влияние на окружающую среду процесса производства и утилизации аппаратуры.

ТСО'99 -- новое расширение ТСО'95. Ужесточение требований по эргономике и экономии энергии, а также к материалам, используемым при производстве.

В ТСО'ОЗ наряду с традиционно жесткими требованиями к CRT-мониторам расширен перечень параметров LCD-моделей, подлежащих сертификации. Кроме наиболее важных для LCD-мониторов параметров (цветопередача, величина и равномерность яркости экрана), ТСО'ОЗ включает самые последние требования к экологической безопасности. В частности, ограничено использование некоторых материалов при производстве мониторов и регламентированы требования к их дизайну. Стандарт допускает выпуск мониторов в цветных корпусах, но четко определяет величину эргономически допустимой отражательной способности корпусов. Остаются ограничения по использованию черного или отражающего серебристого цвета из-за их эргономических свойств. Таким образом, ТСО'ОЗ является самым строгим стандартом для мониторов на сегодняшний день.

При работе на правильно выбранном компьютере, т. е. удовлетворяющем как минимум требованиям MPR-II и имеющем соответствующий

сертификат, для сохранения здоровья пользователя следует придерживаться некоторых несложных правил:

рабочее место должно быть удобным и обеспечивать нормальное функционирование опорно-двигательного аппарата и кровообращения;

суммарное время работы за видеотерминалом в течение рабочего дня не должно превышать 4 ч, а продолжительность непрерывной работы с ВДТ не должна быть более 1,5--2 ч; после каждого часа работы следует делать перерыв как минимум на 10--15 мин, во время которого необходимо встать и выполнить ряд упражнений для глаз, поясницы, рук и ног;

при нормальном зрении (тем более при работе в очках) следует располагать глаза от экрана на расстоянии вытянутой руки (не ближе 60--70 см) и не реже одного раза в год проверять зрение у врача;

не делать более 10 тыс. нажатий на клавиши в течение часа;

не допускать бликов на экране монитора;

не разрешается работать за компьютером беременным женщинам;

резко сократить время компьютерных игр для детей (максимум 15--20 мин в день).

Специалисты Госстандарта России указывают, что знаки международных стандартов, а также российские сертификаты или знаки соответствия -- это еще вовсе не свидетельство абсолютной безвредности вашего экрана. Хотя в компьютерах последнего поколения используются довольно действенные средства защиты, тем не менее не надо обманываться: опасность лишь сведена до возможного минимума, не более того. Не случайно во многих странах работа за компьютером включена в перечень самых вредных видов деятельности.

Глава 7. ПРОГРАММНЫЕ СРЕДСТВА КОМПЬЮТЕРНЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

7.1 Общая характеристика программных средств компьютерных информационных технологий

Для компьютерных информационных технологий в качестве средств управления техническим комплексом (компьютерных систем) выступают программные средства (программное обеспечение).

Вопросы разработки и использования программного обеспечения вообще достаточно хорошо проработаны и широко освещены в научной и учебно-практической литературе. Но необходимы некоторые уточнения.

Так, общее определение содержания понятия «программное обеспечение» включает в себя совокупность программ системы обработки данных и программных документов, необходимых для эксплуатации этих программ Першиков В. М., Савинков В. М. Толковый словарь по информатике. М.: Финансы и статистика, 1991. С. 221--222.. Данная трактовка в общем случае может быть использована, особенно если речь идет о проблемах собственно разработки и эксплуатации программных комплексов как таковых. Но с точки зрения пользователей в рамках соответствующих технологий следует выделить из состава их программного обеспечения эксплуатационные документы, поскольку в соответствии со структурой средств и методов информационных технологий они относятся к организационно-методическому обеспечению.

Кроме того, в учебной и справочной литературе по-разному описывается структура программного обеспечения. Используются в различных сочетаниях такие понятия, как «общее программное обеспечение», «системное программное обеспечение», «базовое программное обеспечение», «прикладное программное обеспечение», «специальное программное обеспечение». При этом содержание этих понятий зачастую пересекается, что не дает возможности четко структурировать собственно программное обеспечение. В последующих разделах будет дана содержательная характеристика этих понятий, а сейчас необходимо сформулировать принимаемую здесь структуризацию программного обеспечения офисных технологий. Она основывается на четко выделенных и не пересекающихся по содержанию выполняемых соответствующими программами функциях, при этом в совокупности обеспечивается необходимая полнота всего состава программного обеспечения.

В составе программного обеспечения выделяются (рис. 7.1):

— системное программное обеспечение;

— инструментальное обеспечение разработки программ;

— прикладное программное обеспечение.

—

Программное обеспечение информационных технологий
Системное программное обеспечение	Инструментальное обеспечение разработки программ	Прикладное программное обеспечение

Рис. 7.1. Структура программного обеспечения информационных технологий

Системное программное обеспечение представляет собой совокупность связанных между собой программ, которые обеспечивают функционирование средств вычислительной техники как таковых, без выполнения операций по реализации программ и заданий пользователей.

Инструментальное обеспечение разработки программ включает в себя различные системы программирования, с помощью которых могут разрабатываться и адаптироваться к конкретным условиям применения те или иные функциональные программы для решения конкретных задач.

Прикладное программное обеспечение представляет собой совокупность программных комплексов, обеспечивающих решение конкретных задач пользователя.

В дальнейшем инструментальное обеспечение разработки программ рассматриваться не будет, поскольку вопросы создания программных продуктов образуют специфическую область, не входящую в сферу деятельности секретарского обслуживания, и само осуществление программистских работ, как правило, производится не в офисах, а в специализированных фирмах и организациях, а также в индивидуальном порядке.

7.2 Жизненный цикл программных средств компьютерных информационных технологий

Программное обеспечение информационных технологий представляет в целом сложную систему с относительно самостоятельными принципами и закономерностями функционирования в рамках концепции жизненного цикла.

Под жизненным циклом системы программных средств обычно понимают повторяющийся и структурно единообразный интервал в течение всего времени ее существования, начинающийся с момента выработки первоначальной концепции системы и заканчивающийся тогда, когда система морально устаревает.

Жизненный цикл традиционно представляется в виде некоторого числа последовательных этапов (или стадий, фаз). В настоящее время не выработано общепринятого разбиения жизненного цикла программной системы на этапы. Иногда этап выделяется как отдельный пункт, иногда -- входит в качестве составной части в более крупный этап. Могут варьироваться действия, производимые на том или ином этапе. Нет единообразия и в названиях этих этапов.

С точки зрения организации информационных технологий жизненный цикл программных средств представляется следующим образом:

— определение потребности в определенном виде программных средств для реализации конкретной функции офисной технологии;

— выбор конкретного программного продукта для реализации конкретной офисной технологии;

— приобретение промышленного программного продукта, его модернизация или разработка уникального программного продукта;

— установка программного продукта на имеющуюся вычислительную систему офиса;

— эксплуатация программного продукта;

— оценка эффективности применения программного продукта;

— модернизация программного продукта;

— демонтаж программного продукта.

Варианты реализации указанных стадий жизненного цикла программных средств информационных технологий представлены на рис. 7.2.

Определение потребности в определенном виде программных средств должно производиться на основе анализа выполнения соответствующего набора работ в организации, для которых уже принято принципиальное решение о применении компьютерных технологий.

1. Определение потребности в определенном виде программных средств
2. Выбор конкретного программного продукта
3. Приобретение промышленного программного продукта
4. Модернизация промышленного программного продукта
5. Разработка уникального программного продукта
6. Установка программного продукта
7. Эксплуатация программного продукта
8. Оценка эффективности применения программного продукта
9. Модернизация программного продукта
10. Демонтаж программного продукта

Рис. 7.2. Структура жизненного цикла программных средств информационных технологий

Выбор конкретного программного продукта должен осуществляться на основе совместного рассмотрения следующих факторов:

— наличие промышленных программных продуктов, реализующих функции конкретной информационной технологии;

— наличие программно-технических организаций, ведущих профессиональную разработку программных средств, реализующих функции конкретной информационной технологии;

— наличие в составе организации подразделений, обеспечивающих разработку и сопровождение программных средств информационных технологий;

— степень соответствия возможностей и эксплуатационных характеристик конкретных программных продуктов выявленным потребностям в рамках реализации конкретной информационной технологии;

— совместимость выбираемых программных средств с используемой операционной средой и другими установленными прикладными программами;

— степень соответствия возможностей и эксплуатационных характеристик программных средств достигнутому уровню научно- технических разработок в соответствующей области;

— требуемый уровень квалификации персонала по использованию и сопровождению выбираемых программных средств;

— уровень технической поддержки программных средств со стороны разработчиков;

— затраты на приобретение или разработку программных средств;

— затраты на установку и сопровождение программных средств;

— затраты на возможный прием на работу квалифицированного персонала;

— затраты на возможное обучение или переподготовку персонала.

Приобретение промышленного программного продукта, полностью готового к использованию, -- наиболее распространенный вариант для большинства организаций малого и среднего бизнеса. Речь идет о программных средствах так называемого «коробочного» исполнения, когда в одном комплекте (коробке) реализуются собственно программные средства на носителях (обычно оптические диски), а также техническая и эксплуатационная документация с официальной лицензией на использование. Такая лицензия оговаривает права и обязанности потребителя и разработчика программного продукта и является официальным документом, на основании которого в рамках законодательства регулируются последующие их отношения.

Приобретение промышленного программного продукта с последующей модернизацией характерно для предприятий среднего бизнеса, имеющих определенные уникальные свойства, требующие при использовании типовых технологий определенной доработки соответствующего программного обеспечения. Такие промышленные продукты реализуются обычно самими разработчиками на основе соответствующих договорных документов, в которых, помимо обычных отношений по поводу купли-продажи сложных изделий, оформляются права и обязанности участников договора по поводу доработки (модернизации, настройки, наладки) программных средств. Такие договоры, как правило, предусматривают установку и последующее сопровождение программных средств.

Разработка уникального программного продукта осуществляется в тех случаях, когда невозможно приобрести соответствующие промышленные программы либо из-за их принципиального отсутствия, либо из-за недоступности (слишком дорогие или запрещены к реализации по каким-либо причинам). Подобная ситуация характерна для крупных предприятий с уникальными свойствами. Разработка оригинального программного обеспечения ведется либо специализированными программно-техническими предприятиями, либо соответствующими подразделениями самого предприятия. Это обычно осуществляется в рамках довольно крупных проектов, и сама разработка регламентируется соответствующими стандартами.

Установка программного продукта по своему содержанию зависит от того, какого типа продукт приобретен для организации (в «коробочном» исполнении, адаптированный промышленный продукт или уникальный, разработанный продукт), поскольку само приобретение включает в себя установку.

Эксплуатация программного продукта должна осуществляться п соответствии с технической и эксплуатационной документацией, являющейся обязательным его компонентом.

Оценка эффективности применения программного продукта имеет своей целью дать основу для своевременного принятия решения о необходимой модернизации или замене используемого программного продукта. Данная оценка должна быть результатом либо периодически выполняемого контроля эффективности соответствующей информационной технологии на основе соответствующего нормативного документа (положения, регламента, инструкции), либо специально организованной акции, основанием для которой является выраженное тем или иным способом (высказыванием специалиста на совещании, подачей докладной записки, указанием руководства) осознание возможной неэффективности используемых методов и средств.

Источниками возникновения потребности в оценке эффективности используемых программных средств могут быть следующие ситуации:

— разработка новых версий используемых программных продуктов с дополнительными возможностями и их поставкой на льготных условиях для зарегистрированных пользователей, имеющих соответствующие лицензии;

— появление принципиально новых программных продуктов, реализующих необходимые функции на более высоком качественном уровне;

— перевод информационной технологии в новую операционную среду;

— перевод информационной технологии на новую техническую базу;

— изменение количественных и качественных характеристик деятельности в результате соответствующих изменений объема и содержания управленческих действий в рамках конкретной системы управления;

— изменение организации в целом в соответствии с наступлением очередного витка «жизненного цикла» (модернизация или реализация принципиально нового проекта);

— изменения внешней среды функционирования организации (изменения законодательства, государственных и ведомственных стандартов, политической и экономической обстановки и т. п.).

Оценка эффективности используемых программных средств должна лежать в основе рекомендаций по дальнейшим действиям в рамках реализации «жизненного цикла» программных средств, предусматривающих либо продолжение их эксплуатации без изменений, либо их модернизацию, либо их замену.

Модернизация программного продукта осуществляется различными способами в зависимости от того, как он приобретался на начальных стадиях «жизненного цикла».

Если это был вариант приобретения полностью готового программного продукта (в «коробочном» исполнении), то по имеющейся лицензии со скидкой покупается и устанавливается его новая версия либо комплект программного обеспечения, обеспечивающего соответствующую модернизацию (upgrade) силами самих пользователей по приложенной к документации инструкции.

При настраиваемом программном продукте его модернизация (как за счет новой версии, так и за счет процедуры upgrade) осуществляется представителями организации-разработчика, выполнившими в свое время первоначальную установку и настройку.

Модернизация уникального программного обеспечения осуществляется разработчиками в рамках договорных отношений, предусматривающих ее выполнение при техническом сопровождении или выполнении соответствующего целевого заказа.

При замене программного продукта на новый, а также при полномасштабной установке его новой версии (в рамках модернизации) требуется демонтаж ставших ненужными компонентов программного обеспечения. В зависимости от их количества, состава, сложности, интегрированности в используемые информационные технологии возможны различные варианты реализации данного этапа «жизненного цикла» программного продукта:

— автоматическая деинсталляция средствами самого программного продукта, предусмотренная его функциональными возможностями, сопровождаемая необходимыми интерактивными инструкциями и предупреждающими сообщениями;

— автоматическая деинсталляция средствами операционной среды, сопровождаемая необходимыми интерактивными инструкциями и предупреждающими сообщениями;

— принудительное удаление всех компонентов программного продукта самим пользователем в соответствии с предусмотренной для этого инструкцией;

— демонтаж программного продукта представителями организации-разработчика в соответствии с договором на техническое сопровождение или выполнение целевого задания.

Если в первых двух случаях (автоматические режимы) удаление всех ненужных компонентов осуществляется на основании соответствующих описаний взаимосвязей программных и информационных модулей, имеющихся в системных регистрах (списках) операционной среды, и не вызывает каких-либо негативных последствий для функционирования всей системы программного обеспечения офисных технологий, то при демонтаже, выполняемом в «ручном» режиме, следует четко придерживаться необходимых инструкций или установленного порядка администрирования вычислительного комплекса.

7.3 Состав системного программного обеспечения компьютерных информационных технологий

Прежде чем рассмотреть по существу состав и назначение отдельных компонентов системного программного обеспечения офисных технологий, определимся с содержанием довольно близких к нему понятий «общее программное обеспечение» и «базовое программное обеспечение».

Под общим программным обеспечением понимается совокупность управляющих и обрабатывающих программ, предназначенных для планирования и организации вычислительного процесса, автоматизации программирования и отладки программ решения прикладных задач Першиков В. М., Савинков В. М. Толковый словарь по информатике. М.: Финансы и статистика, 1991. С. 221--222.. При таком понимании состава общего программного обеспечения в нем объединены средства обеспечения функционирования самой вычислительной системы и инструментальные средства разработки программ.

Теперь о базовом программном обеспечении.

В соответствии с формулировкой в толковом словаре по информатике Там же. -- это минимальный набор программных средств, включающий операционную систему и систему программирования, поставляемый вместе с ЭВМ.

Для такого определения базового программного обеспечения введена характеристика минимального набора программных средств, но при этом не раскрывается критерий минимальности. В связи с этим характеристика минимальности набора программных средств в силу своей неоднозначности не может быть принята для структуризации программного обеспечения информационных технологий.

Кроме того, в определении указано, что базовое программное обеспечение поставляется вместе с ЭВМ. Данное требование не отвечает реалиям компьютерной практики, поскольку различные компьютеры при продаже или поставке в конкретных случаях имеют различные по составу комплекты программного обеспечения, а то и вовсе его не имеют. А указанный в определении перечень программ с точки зрения уже проведенной структуризации программного обеспечения информационных технологий включает в себя разные категории программных средств.

Системное программное обеспечение информационных технологий включает в себя (рис. 7.3):

— тестовые и диагностические программы;

— антивирусные программы;

— операционные системы;

— программы поддержки файловой системы и обеспечения сохранности данных;

— командно-файловые процессоры (оболочки).

Тестовые и диагностические программы	Системное программное обеспечение	Операционные системы
Антивирусные программы		Командно-файловые процессоры
	Программы поддержки файловой системы и обеспечения сохранности данных

Puc. 7.3. Структура системного программного обеспечения информационных технологий

Тестовые и диагностические программы предназначены для проверки работоспособности отдельных узлов компьютера, выявления и, возможно, выдачи рекомендаций по устранению выявленных неисправностей.

Антивирусные программы предназначены для выявления и, возможно, устранения вирусных программ, нарушающих нормальную работу вычислительной системы. В определенной степени эти программы могут быть 'использованы в офисных технологиях, реализующих функцию защиты данных.

Операционные системы являются основными системными программными комплексами, выполняющими следующие функции:

— тестирование работоспособности вычислительной системы и ее настройку при первоначальном включении;

— обеспечение синхронного и эффективного взаимодействия всех аппаратных и программных компонентов вычислительной системы в процессе ее функционирования;

— обеспечение эффективного взаимодействия пользователя с вычислительной системой.

Операционные системы классифицируются следующим образом:

— однопользовательские однозадачные системы (MS-DOS, DR-DOS);

— однопользовательские многозадачные системы (OS/2, Windows 95/98/2000/ХР);

— многопользовательские системы (системы семейства UNIX);

— сетевые операционные системы.

Программы поддержки файловой системы и обеспечения сохранности данных обеспечивают целостность файловых систем и выполнение операций с ее элементами (файлами, каталогами и т. п.), имеющих общий характер и не связанных с решением конкретных прикладных задач (например, копирование, удаление, объединение, перемещение или переименование файлов). Сюда же входят программы работы с носителями информации (форматирование и проверка рабочей поверхности дисков, дефрагментация файлов, резервное копирование и т. п.). Несмотря на общий характер перечисленных операций, они во многом отвечают специфике многих функций офисных технологий и соответствующие программы практически без изменений могут быть использованы в конкретных реализациях указанных технологий.

Командно-файловые процессоры (оболочки) предназначены для организации системы взаимодействия пользователя с вычислительной системой на принципах, отличных от реализуемых операционной системой, с целью облегчения его работы или предоставления дополнительных возможностей (например, Norton Commander или Windows версий до 3.11 для операционной системы MS-DOS, Windows Commander для операционной системы Windows 95/98/2000/ХР, Midnight Commander и различные графические оболочки для UNIX-подобной операционной системы Linux).

7.4 Состав прикладного программного обеспечения компьютерных информационных технологий

Применительно к области секретарского обслуживания прикладные программные средства информационных технологий классифицируются следующим образом (рис. 7.4):

	Системы подготовки текстовых документов	Системы обработки финансово-экономической информации
Системы подготовки презентаций	Прикладное программное обеспечение	Системы управления базами данных
Прочие системы		Личные информационные системы
	Экспертные системы и системы поддержки принятия решений	Системы интеллектуального проектирования и совершенствования систем управления

Рис. 7.4. Структура прикладного программного обеспечения информационных технологий

— системы подготовки текстовых документов;

— системы обработки финансово-экономической информации;

— системы управления базами данных;

— личные информационные системы;

— системы подготовки презентаций;

— экспертные системы и системы поддержки принятия решений;

— системы интеллектуального проектирования и совершенствования систем управления;

— прочие системы.

Системы подготовки текстовых документов предназначены для изготовления управленческих документов и различных информационных материалов текстового характера. Они включают в себя:

-- текстовые редакторы;

— текстовые процессоры;

— настольные издательские системы.

Текстовые редакторы представляют собой программы, с помощью которых создаются и модифицируются файлы с текстом. Они позволяют выполнять над содержимым файла операции редактирования (вставку, удаление, перемещение, копирование, поиск и замену фрагментов текста). Файлы, созданные с помощью текстовых редакторов, содержат только символы с кодами, значение Которых меньше 32, т. е. не содержат символов, интерпретируемых многими периферийными устройствами как управляющие (исключение составляют символы возврата каретки и новой строки, означающие конец текстовой строки).

В силу этого обстоятельства текстовые редакторы совместимы друг с другом, т. е. файл, подготовленный с помощью одного редактора, может быть обработан другим. За достаточно длительный период применения ЭВМ для обработки текстов (последние 30--35 лет) было создано большое количество программ этого класса, первоначально используемых для создания текстов программ на языках высокого уровня. Это и предопределило их нынешнее положение, когда текстовые редакторы используются не как самостоятельные программы, а как встроенные компоненты систем программирования и командно-файловых процессоров.

Текстовые процессоры существенно расширяют возможности редакторов текста, добавляя к их возможностям реализацию операций форматирования (разнообразное шрифтовое оформление, оформление абзацев и страниц, разбиение на разделы и страницы, оформление сносок и колонтитулов, формирование различных индексов и т. п.), что позволяет готовить документы, удовлетворяющие всем требованиям соответствующих стандартов. Такие возможности текстовых процессоров привели к тому, что в файлах, помимо собственно содержательного текста, появились управляющие символы и их комбинации, интерпретация которых и обеспечивает указанное разнообразие оформления документов. Как следствие текстовые процессоры несовместимы друг с другом, поскольку используют различные по составу и смыслу наборы управляющих символов. Современные текстовые процессоры обладают возможностями преобразования содержимого файлов для наиболее распространенных форматов хранения, что частично снимает проблему совместимости.

Настольные издательские системы представляют собой программные комплексы, предназначенные для профессиональной подготовки документов на уровне, характерном для полиграфической продукции. К возможностям текстовых процессоров в них добавлены операции произвольной верстки текстовых фрагментов и обработки графических материалов.

Системы обработки финансово-экономической информации предназначены для обработки числовых данных, характеризующих различные производственно-экономические и финансовые явления и объекты, и составления соответствующих управленческих документов и информационно-аналитических материалов. Они включают в себя:

— универсальные табличные процессоры;

— специализированные бухгалтерские программы;

— специализированные банковские программы (внутрибанковские и межбанковские расчеты);

— специализированные программы финансово-экономического анализа и планирования.

Системы управления базами данных предназначены для создания, хранения и манипулирования массивами данных большого объема. По выполняемым функциям СУБД в наибольшей степени отвечают потребностям деятельности секретарского обслуживания и обеспечивают такие функции информационных технологий, как упорядочение, хранение, поиск и выдача данных.

Личные информационные системы предназначены для информационного обслуживания рабочего места управленческого работника и по существу выполняют функции секретаря. Они, в частности, позволяют осуществлять:

— планирование личного врёмени на различных временных уровнях с возможностью своевременного напоминания о наступлении запланированных мероприятий;

— ведение персональных или иных картотек с возможностью автоматической выборки необходимой информации;

— соединение по телефонным линиям с ведением журнала телефонных переговоров и выполнением функций, характерных для многофункциональных телефонных аппаратов;

— ведение персональных информационных блокнотов для хранения разнообразной личной информации.

Системы подготовки презентаций предназначены для квалифицированной подготовки графических и текстовых материалов, используемых в целях демонстрации на презентациях, деловых переговорах, конференциях. Для современных технологий подготовки презентаций характерно подключение к традиционным графике и тексту таких форм информации, как видео- и аудиоинформация, что позволяет говорить о реализации гипермедиа- технологий как технологий, обеспечивающих реализацию функций представления и выдачи данных.

Экспертные системы и системы поддержки принятия решений предназначены для реализации технологий информационного обеспечения процессов принятия управленческих решений на основе применения экономико-математического моделирования и принципов искусственного интеллекта. Как таковые они не относятся к сфере собственно секрётарского обслуживания, но, будучи непосредственно инструментом выработки и принятия управленческих решений, функционируют в соответствующей среде, создаваемой информационными технологиями, и могут включать в себя компоненты вышеперечисленных программных средств.

Системы интеллектуального проектирования и совершенствования управления предназначены для использования так называемых CASE-технологий (Computer Aid System Engineering), ориентированных на автоматизированную разработку проектных решений по созданию и совершенствованию систем организационного управления.

Глава 8. ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ В ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМАХ

8.1 Необходимость защиты информации

При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец либо уполномоченное им лицо накладывает набор правил по работе с ним. Умышленное их нарушение классифицируется как атака на информацию.

Каковы возможные последствия атак на информацию? Прежде всего это экономические потери:

— раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке;

— известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций;

— фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки;

— подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам;

— многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов.

Естественно, компьютерные атаки могут принести и огромный моральный ущерб. Само собой разумеется, что никакому пользователю компьютерной сети не хочется, чтобы его письма, кроме адресата, получали еще 5--10 человек или, например, весь текст, набираемый на клавиатуре ЭВМ, копировался в буфер, а затем при подключении к Интернету отправлялся на определенный сервер. А именно так и происходит в тысячах и десятках тысяч случаев.

И наконец, что же именно предпринимают злоумышленники, добравшись до информации:

— непосредственную кражу денег с электронных счетов;

— вывод из строя программного обеспечения;

— кражу информации с различными негативными последствиями;

— фальсификацию информации;

— несанкционированное получение услуг.

Информация с точки зрения информационной безопасности обладает следующими категориями:

конфиденциальность -- гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена (нарушение этой категории называется хищением либо раскрытием информации);

целостность -- гарантия того, что информация сейчас существует в ее исходном виде, т. е. при ее хранении или передаче не было произведено несанкционированных изменений (нарушение этой категории называется фальсификацией сообщения);

аутентичность -- гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор (нарушение этой категории также называется фальсификацией, но уже автора сообщения).

В отношении информационных систем применяются иные категории:

надежность -- гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано;

точность -- гарантия точного и полного выполнения всех команд;

контроль доступа -- гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются;

контролируемость -- гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса;

контроль идентификации -- гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает;

устойчивость к умышленным сбоям -- гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

8.2 Основные способы защиты информации в вычислительной системе

Обеспечение безотказности, или надежности доступа к информации, является одним из способов защиты информации. В табл. 8.1 описаны четыре уровня безотказности.

Таблица 8.1

Уровни безотказности

Параметр	Класс 0	Класс 1	Класс 2	Класс 3
Максимально возможное непрерывное время отказа	1 нед.	1 сут.	1 ч.	1 ч.
В какой период время отказа не может превышать указанное выше значение	В рабочее время	В рабочее время	В рабочее время	24 часа в сутки
Средняя вероятность доступности данных в произвольный момент времени, %	80	95	99,5	99,9
Среднее максимальное время отказа	1 день в неделю	2 часа в неделю	20 мин. в неделю	12 мин. в месяц

Обеспечение определенного уровня конфиденциальности информации является одной из самых важных мер защиты, принимаемых в рассмотрение при создании определенной политики безопасности учреждения. В табл. 8.2 описаны уровни конфиденциальности информации.

Таблица 8.2

Уровни конфиденциальности информации

Класс	Тип информации	Описание	Примеры
0	Открытая информация	Общедоступная информация	Информационные брошюры, сведения, публиковавшиеся в СМИ
1	Внутренняя информация	Информация, недоступная в открытом виде, но не несущая никакой опасности при ее раскрытии	Финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы
2	Конфиденциальная информация	Раскрытие информации ведет к значительным потерям на рынке	Реальные финансовые данные, планы, проекты, полный набор сведений о клиентах, информация о бывших и нынешних проектах с нарушениями этических норм
3	Секретная информация	Раскрытие информации приведет к финансовой гибели компании	(зависит от ситуаций)

При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований:

— осведомление сотрудников о закрытости данной информации;

— общее ознакомление сотрудников с основными возможными методами атак на информацию;

— ограничение физического доступа;

— полный набор документации по правилам выполнения операций с данной информацией.

При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:

— расчет рисков атак на информацию;

— поддержание списка лиц, имеющих доступ к данной информации;

— по возможности выдача подобной информации под расписку (в том числе электронную);

— автоматическая система проверки целостности системы и ее средств безопасности;

— надежные схемы физической транспортировки;

— обязательное шифрование при передаче по линиям связи;

— схема бесперебойного питания ЭВМ.

При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:

— детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв);

— защита ЭВМ либо носителей информации от повреждения водой и высокой температурой;

— криптографическая проверка целостности информации.

Функции каждого человека, так или иначе связанного с конфиденциальной информацией в организации, можно классифицировать и в некотором приближении формализовать. Подобное, общее описание функций носит название роли. В зависимости от размеров организации некоторые из перечисленных ниже ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности предприятия. Он проводит расчет и перерасчет рисков, ответствен за поиск самой свежей информации об обнаруженных уязвимостях в используемом программном обеспечении и в целом в стандартных алгоритмах.

Владелец информации -- лицо, непосредственно работающее с данной информацией. Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных).

Поставщик аппаратного и программного обеспечения -- обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

Разработчик системы и (или) программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодействовать со специалистами по информационной безопасности.

Руководитель подразделения является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача -- своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Руководители подразделений должны быть осведомлены обо всей политике безопасности организации, но доводить до сведения подчиненных только те ее аспекты, которые непосредственно их касаются.

Политика безопасности -- это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов в организации. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:

— определение того, какие данные и насколько серьезно необходимо защищать;

— определение того, кто и какой ущерб может нанести организации в информационном аспекте;

— вычисление рисков и определение схемы уменьшения их до приемлемой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности в организации. Они получили образные названия «исследование снизу вверх» и «исследование сверху вниз».

Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: «Вы -- злоумышленник. Ваши действия?» То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможна ли такая атака со стороны реального злоумышленника.

Метод «сверху вниз» представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение того, насколько серьезный ущерб может принести организации раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название «вычисление рисков». В первом приближении риском называется произведение «возможного ущерба от атаки» на «вероятность такой атаки». Существует множество схем вычисления рисков, остановимся на одной из самых простых Пример представлен в курсе лекций «Методы и средства защиты информации» А. В. Беляева, опубликованном на сайте http://ww.citforum.ru..

Ущерб от атаки может быть представлен неотрицательным числом:

0. -- раскрытие информации принесет ничтожный моральный и финансовый ущерб организации;

1. -- ущерб от атаки есть, но он незначителен, основные финансовые операции и положение организации на рынке не затронуты;

2. -- финансовые операции не ведутся в течение некоторого времени, за это время организация терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально;

3. -- значительные потери на рынке и в прибыли. От организации уходит ощутимая часть клиентов;

4. -- потери очень значительны, организация на период до года теряет положение на рынке. Для ввосстановления положения требуются крупные финансовые займы;

5. -- организация прекращает существование.

Вероятность атаки представляется неотрицательным числом:

0. -- данный вид атаки отсутствует;

1. -- реже, чем раз в год;

2. -- около 1 раза в год;

3. -- около 1 раза в месяц;

4. -- около 1 раза в неделю;

5. -- практически ежедневно.

Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.

Затем составляется таблица рисков организации (табл. 8.3).

Таблица 8.3

Таблица рисков организации

Описание атаки	Ущерб	Вероятность	Риск (= Ущерб * Вероятность)
Спам (переполнение почтового ящика)	1	4	4
Копирование жесткого диска из центрального офиса	3	1	3
…	…	…	2
Итого	9

На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на непревышение риска этого значения. Если такое превышение имеет место, значит, данная строка -- это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7x2 = 14) с интегральным риском (ячейка «Итого»). Если интегральный риск превышает допустимое значение, значит, набирается множество мелких погрешностей в системе безопасности, которые в сумме не дадут организации эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение интегрального риска, и производится попытка их уменьшить или устранить полностью.

На самом ответственном этапе производится собственно разработка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объективные проблемы, которые могут встать на пути реализации политики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпорации, этические нормы общества.

После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае когда финансовые вложения в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задавались максимально допустимым риском 7, и увеличение его на один или два пункта.

Завершается разработка политики безопасности ее утверждением у руководства организации и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и как следствие модификация политики безопасности организации должны производиться раз в два года.

8.3 Антивирусная безопасность

Общая характеристика и классификация компьютерных вирусов

Под компьютерным вирусом (или просто вирусом) понимается автономно функционирующая программа, обладающая способностью к самостоятельному внедрению в тела других программ и последующему самовоспроизведению и самораспространению в информационно-вычислительных сетях и отдельных ЭВМ.

Предшественниками вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд (модули), выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы массового применения (редакторы, игры, трансляторы и т. д.), в которые встроены так называемые «логические бомбы», срабатывающие по наступлении некоторого события. Следует отметить, что троянские программы не являются саморазмножающимися.

Принципиальное отличие вируса от троянской программы состоит в том, что вирус после его активизации существует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, компьютерный вирус можно рассматривать как своеобразный «генератор троянских программ». Программы, зараженные вирусом, называются вирусоносителями.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

«Первичное» заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (дискеты, оптические диски, флэш-память и т. п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на магнитных носителях.

Физическая "структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост -- это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, -- сегментированными.

Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию (рис. 8.1).

Критерии классификации вирусов
По режиму функционирования	По режиму внедрения	По степени и способу маскировки

По режиму функционирования:

— резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);

— транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).

По объекту внедрения:

— файловые вирусы (вирусы, заражающие файлы с программами);

— загрузочные вирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).

В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:

— исполняемые файлы;

— командные файлы и файлы конфигурации;

— составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы);

-- файлы с драйверами устройств;

файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т. п.

Загрузочные вирусы подразделяются на вирусы, заражающие:

-- системный загрузчик, расположенный в загрузочном секторе дискет и логических дисков;

-- внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.

По степени и способу маскировки:'

-- вирусы, не использующие средств маскировки;

-- stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);