Разработка модулей администрирования и шифрования данных для информационной системы предприятия

 

ВВЕДЕНИЕ

В настоящее время сетевые компьютерные технологии с высокой интенсивностью внедряются во все сферы человеческой жизнедеятельности. Электронная информация с каждым годом определяет действия не только все большего числа людей, но и все большего числа технических систем, созданных человеком. Следовательно, нарушение безопасности обработки, хранения и передачи электронной информации предприятия может привести к ущербу, степень и масштабы которого определяются целевым назначением этой информации.

Главная цель обеспечения безопасности информации, циркулирующей на предприятии, - реализация положений законодательных актов Российской Федерации и нормативных требований по защите информации ограниченного доступа и предотвращение ущерба в результате разглашения, утраты, утечки, искажения и уничтожения информации, ее незаконного использования и нарушения работы информационно-телекоммуникационной системы предприятия.

Федеральная налоговая служба (ФНС) России в своей деятельности формирует базы государственных информационных ресурсов, такие как ЕГРН (единый государственный реестр налогоплательщиков), ЕГРИП (единый государственный реестр индивидуальных предпринимателей), ЕГРЮЛ (единый государственный реестр юридических лиц), ЕГАИС (единая государственная автоматизированная информационная система), а также еще ряд менее значимых информационных баз данных. За незаконное получение и разглашение сведений, составляющих налоговую тайну, предусмотрена уголовная ответственность по статье 183 Уголовного кодекса Российской Федерации.

Первостепенная задача ФНС России - выполнение, возложенных на службу задач, а именно это обеспечения сохранности налоговой тайны. Для защиты столь значимых сведений, налоговая служба использует передовые технологии обеспечения информационной безопасности, своевременно модернизирует автоматизированную систему, разрабатывает новые методы защиты информации.

Целью дипломного проекта является разработка модулей администрирования и шифрования данных для информационной системы учета заявок предприятия, обеспечивающих целостность и конфиденциальность данных, доступ к которым ограничен, предоставление надежного и защищенного доступа к конфиденциальной информации для пользователей информационных ресурсов организации на территории любого предприятия, входящего в его состав, в соответствии с предоставленными пользователю полномочиями.

Для реализации криптографической защиты был выбран криптоалгоритм ГОСТ 28147-89 - блочный алгоритм шифрования типа "Сеть Фейстеля". Для разработки программного обеспечения, реализующего необходимый функционал, выбрана среда разработки Borland Delphi 7.

Дипломный проект состоит из шести глав. В первой главе анализируется структура Управления Федеральной налоговой службы (УФНС) России по Ставропольскому краю, детально рассматриваются функции отдела, отвечающего за сохранность налоговой тайны и установленная концепция информационной безопасности, делаются выводы о значимости информационных ресурсов Управления. Во второй главе на основе анализа безопасности автоматизированной системы УФНС России по Ставропольскому краю, в ходе которого строится обобщенная модель ИТКС предприятия, выявляется весь перечень возможных угроз информационной безопасности на объекте, определяется класс безопасности автоматизированной системы предприятия и формируются соответствующие требования к автоматизированной системе Управления, формулируются задачи проектирования модулей администрирования и шифрования данных информационной системы учета заявок предприятия. В третьей главе разрабатывается проект модулей администрирования и шифрования данных информационной системы учета заявок предприятия, описывается комплексное обеспечение информационной безопасности баз данных и алгоритм работы программы. Делается вывод о том, что реализация модулей шифрования и администрирования данных позволяет существенно снизить риски от угроз безопасности информационным ресурсам предприятия. В четвертой главе рассмотрены требования, предъявляемые к интерфейсу информационной системы учета заявок предприятия со встроенными модулями защиты, согласно обозначенным этапам проектирования, построен интерфейс пользователя. Сделан вывод о том, что разработанные модули администрирования и шифрования данных информационной системы учета заявок предприятия удовлетворяют всем требованиям, определенным на этапе проектирования системы. В пятой главе анализируется безопасность и экологичность проекта, в ходе которого формируются требования по обеспечению безопасности на рабочем месте, а также пожарной безопасности на предприятии. В шестой главе рассчитывается технико-экономическая эффективность проекта, что показывает экономическую целесообразность внедрения модулей администрирования и шифрования данных информационной системы учета заявок предприятия.

1. АНАЛИЗ СИСТЕМЫ УПРАВЛЕНИЯ УФНС РОССИИ ПО СТАВРОПОЛЬСКОМУ КРАЮ

1.1 Общие сведения об УФНС России по Ставропольскому краю

1.1.1 Общие положения Управления

Управление Федеральной налоговой службы по Ставропольскому краю (Управление) действует на основании Постановления Правительства Российской Федерации от 17.05.2002 № 319 "Об уполномоченном федеральном органе исполнительной власти, осуществляющем государственную регистрацию юридических лиц, крестьянских (фермерский) хозяйств, физических лиц в качестве индивидуальных предпринимателей" и Положения об Управлении Федеральной налоговой службы по Ставропольскому краю от 21.11.2005 г. [6, 4].

Управление в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, международными договорами Российской Федерации, нормативными правовыми актами Министерства финансов Российской Федерации, правовыми актами ФНС России, нормативными правовыми актами органов власти Ставропольского края и органов местного самоуправления, принимаемыми в пределах их полномочий по вопросам налогов и сборов, настоящим Положением.

Управление осуществляет свою деятельность непосредственно и через инспекции по районам, районам в городах, городам без районного деления, инспекции межрайонного уровня и во взаимодействии с территориальными органами федеральных органов исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и государственными внебюджетными фондами, общественными объединениями и иными организациями".

В соответствии с Положением об Управлении Федеральной налоговой службы по Ставропольскому краю "…Управление является территориальным органом, осуществляющим функции по контролю и надзору за соблюдением законодательства о налогах и сборах, за правильностью исчисления, полнотой и своевременностью внесения в соответствующий бюджет налогов и сборов, в случаях, предусмотренных законодательством Российской Федерации, за правильностью исчисления, полнотой и своевременностью внесения в соответствующий бюджет иных обязательных платежей, а также за производством и оборотом этилового спирта, спиртосодержащей, алкогольной и табачной продукции и за соблюдением валютного законодательства Российской Федерации в пределах компетенции налоговых органов.

Управление осуществляет государственную регистрацию юридических лиц, физических лиц в качестве индивидуальных предпринимателей, крестьянских (фермерских) хозяйств, представляет в делах о банкротстве и в процедурах банкротства требования об уплате обязательных платежей и требования Российской Федерации по денежным обязательствам [6].

1.1.2 Структура предприятия Управления Федеральной налоговой службы по Ставропольскому краю

В соответствии с функциями, возложенными на предприятие, структура Управления Федеральной налоговой службы по Ставропольскому краю представлена на рисунке 1.1.

Рисунок 1.1 - Структура УФНС по Ставропольскому краю

Отдел информатизации и ввода данных создан в Управлении согласно Положению об отделе, утвержден 31 декабря 2008 г. [7]. Структура отдела представлена на рисунке 1.2.

Рисунок 1.2 - Структура отдела информатизации и ввода данных

1.2 Обеспечение информационной безопасности УФНС России по Ставропольскому краю

1.2.1 Цели и задачи защиты информации на предприятии

Согласно статье 102 налогового кодекса Российской Федерации налоговую тайну составляют любые полученные налоговым органом, органами внутренних дел, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике. За незаконное получение и разглашение сведений, составляющих налоговую тайну, предусмотрена уголовная ответственность по статье 183 Уголовного кодекса Российской федерации [1].

Федеральная налоговая служба России в своей деятельности формирует базы государственных информационных ресурсов, такие как ЕГРН (единый государственный реестр налогоплательщиков), ЕГРИП (единый государственный реестр индивидуальных предпринимателей), ЕГРЮЛ (единый государственный реестр юридических лиц), ЕГАИС (единая государственная автоматизированная информационная система), а также еще ряд менее значимых информационных баз данных.

Эти сведения представляют огромный интерес для различного рода злоумышленников действующих на территории России и за рубежом, и могут повлечь большие экономические потери для налогоплательщиков. В связи с этим, для защиты налоговой тайны от всех видов угроз, в Управлении ФНС по Ставропольскому краю существует отдел информатизации и ввода данных.

В компетенцию отдела, входит разработка и реализация единой политики информационной безопасности службы, осуществление комплексной защиты информации на всех этапах технологических циклов ее создания, переноса на носитель, обработки и передачи в соответствии с единой политикой информационной безопасности, а также проведение контроля за эффективностью предусмотренных мер защиты налоговой тайны и конфиденциальной информации в налоговых органах [9, 10].

Проблема обеспечения безопасности информационных ресурсов предприятия является центральной для информационно-телекоммуникационной системы (ИТКС) предприятия

Главная цель обеспечения безопасности информации, циркулирующей на предприятии, - реализация положений законодательных актов Российской Федерации и нормативных требований по защите информации ограниченного доступа (конфиденциальной или защищаемой информации) и предотвращение ущерба в результате разглашения, утраты, утечки, искажения и уничтожения информации, ее незаконного использования и нарушения работы информационно-телекоммуникационной системы ФНС.

Основными целями обеспечения безопасности информации являются:

-предотвращение утечки, хищения, искажения, подделки информации, циркулирующей в ИТКС предприятия;

-предотвращение нарушений прав личности клиентов на сохранение конфиденциальности информации, циркулирующей в ИТКС предприятия;

-предотвращение несанкционированных действий по блокированию информации;

Основными задачами обеспечения безопасности информации являются:

-соответствие положениям законодательных актов и нормативным требованиям по защите;

-оптимальное, с экономической точки зрения, отнесение информации, циркулирующей на предприятии к категории ограниченного доступа - служебной тайны, иной чувствительной к нарушению безопасности информации, подлежащей защите;

-своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба интересам предприятия, нарушению нормального функционирования и развития ИТКС предприятии;

-создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции в системе информационных отношений;

-эффективное пресечение незаконных посягательств на информационные ресурсы, технические средства и информационныетехнологии, в том числе с использованием организационно-правовых итехнических мер и средств защиты информации;

-создание условий для максимально возможного возмещения и локализации наносимого интересам предприятия ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения информационной безопасности;

-совершенствование политики безопасности в информационной сфере, комплекса мероприятий и механизмов ее реализации;

-разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности подразделений предприятия по обеспечению защиты информации;

-развитие системы защиты, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;

-создание и применение защищенных информационных объектов и автоматизированной информационной системы (АИС), центров обработки защищаемой информации;

-развитие и совершенствование защищенного юридически значимого электронного документооборота;

-создание механизмов, обеспечивающих контроль системы информационной безопасности и гарантии достоверности выполнения установленных требований информационной безопасности;

-создание механизмов управления системой информационной безопасности.

1.2.2 Функции отдела информатизации и ввода данных УФНС России по Ставропольскому краю

Отдел информатизации и ввода данных УФНС России по Ставропольскому краю реализует единую политику защиты интересов налоговых органов от угроз в информационной сфере. Находиться в непосредственном подчинении руководителя Управления и оперативном подчинении Управления информационной безопасности ФНС России. В оперативном подчинении отдела находиться штат сотрудников (специалистов по информационной безопасности) инспекций ФНС по районам и городам Ставропольского края. Функции отдела [7]:

организует внедрение перспективных технологий развития информационно-телекоммуникационной системы в компоненты АИС на региональном и местном уровнях;

обеспечивает внедрение и сопровождение организационной и технологической составляющих системы информационного взаимодействия налоговых органов с налогоплательщиками с применением современных инфокоммуникационных и электронно-цифровых технологий;

организует и проводит работы по информационно-технологическому взаимодействию Управления с органами исполнительной власти. Организует информационный обмен с муниципальными образованиями;

организует работы по сопровождению нормативно-справочной информации, классификаторов и средств их ведения;

проводит работы по информационно-технологическому взаимодействию Управления с администрацией Ставропольского края, филиалом Сбербанка России (с использованием биллинговых технологий) и с другими внешними организациями;

осуществляет управление проблемами, возникающими в процессе информационного взаимодействия территориальных налоговых органов по соглашениям, заключенным на федеральном уровне;

участвует в обеспечении ведения Единой государственной автоматизированной информационной системы учета объема производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции;

реализует единую политику защиты интересов налоговых органов от угроз в информационной сфере;

устанавливает в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним;

участвует в согласовании кандидатур гражданских служащих, поступающих на государственную службу в Управление на должности, связанные с выполнением обязанностей по управлению информационными ресурсами, администрированию и сопровождению вычислительных средств;

осуществляет внедрение и сопровождение организационной и технологической составляющих системы информационного взаимодействия налоговых органов с налогоплательщиками с применением современных информационно коммуникационных технологий и электронной цифровой подписи. Организует внедрение системы в налоговых органах;

обеспечивает техническую защиту информации в Управлении;

осуществляет контроль за эффективностью предусмотренных мер защиты конфиденциальной информации в Управлении и территориальных налоговых органах;

проводит комплексные мероприятия по предотвращению и пресечению предательства служебных интересов работниками налоговых органов в части информационной безопасности;

организует в установленном порядке расследование причин и условий появления нарушений по вопросам защиты информации и разработку предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений;

осуществляет мониторинг информации, циркулирующей в сетях, системах и выделенных и защищаемых помещениях Управления и налоговых органах края, используя аппаратно-программные средства предотвращения и пресечения утечки информации;

организует защищенные каналы связи для взаимодействия налоговых органов края с внебюджетными фондами;

проводит экспертизу договоров Управления со сторонними организациями по вопросам безопасности при обмене информацией;

обеспечивает защиту информации в выделенных и защищаемых помещениях Управления, а также при ее передаче по техническим каналам.

обеспечивает взаимодействие со специализированными операторами связи, предоставляющими защищенные каналы для передачи данных налоговой отчетности;

участвует в проектировании, приемке, сдаче в промышленную эксплуатацию программных и аппаратных средств, в части требований к средствам защиты информации;

организует и проводит работы по контролю эффективности проводимых мероприятий и принимаемых мер по защите информации;

организует в установленном порядке расследование причин и условий появления нарушений по вопросам защиты информации и разработку предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществление контроля за устранением этих нарушений;

разрабатывает предложения по организации и совершенствованию системы защиты информации в Управлении и налоговых органах края;

осуществляет контроль за разрешительной системой допуска исполнителей к работе с защищаемой информацией;

участвует в согласовании кандидатур граждан, назначаемых на должности, связанные с выполнением обязанностей по защите информации, управлению информационными ресурсами, администрированию и сопровождению вычислительных средств и программного обеспечения.

1.3 Выводы

Анализ система управления УФНС России по Ставропольскому краю показал, что:

1.Управление ФНС России по Ставропольскому краю подчиняется ФНС России в Москве, и находиться под непосредственным контролем Межрегиональной инспекции ФНС России по Северо-Кавказскому федеральному округу.

2.Управление ФНС России по Ставропольскому краю организует работу территориальных налоговых органов на местном уровне (районы края, города).

.Сведения, составляющие налоговую тайну, представляют огромный интерес для различного рода злоумышленников действующих на территории России и за рубежом, и могут повлечь большие экономические потери для налогоплательщиков.

.Проблема обеспечения безопасности информационных ресурсов Управления ФНС по Ставропольскому краю является центральной для информационно-телекоммуникационной системы (ИТКС) предприятия.

.Для защиты налоговой тайны от всех видов угроз, в Управлении ФНС по Ставропольскому краю существует отдел информатизации и ввода данных, в оперативном подчинении которого находиться штат сотрудников (специалистов по информационной безопасности).

.Налоговая служба использует передовые технологии обеспечения информационной безопасности, своевременно модернизирует автоматизированную систему, разрабатывает новые методы защиты информации.

Для постановки задач проектирования модулей администрирования и шифрования данных информационной системы учета заявок предприятия проведем анализ безопасности автоматизированной системы УФНС России по Ставропольскому краю.

2. АНАЛИЗ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УФНС РОССИИ ПО СТАВРОПОЛЬСКОМУ КРАЮ

2.1 Построение и анализ обобщенной модели информационно-телекоммуникационной системы предприятия

Концепция информационной безопасности Федеральной налоговой службы от 29 августа 2006 г. определяет систему взглядов на проблему обеспечения комплексной безопасности информации и устанавливает порядок организации и правила обеспечения информационной безопасности на предприятии, распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками, требования по информационной безопасности к информационным средствам, применяемым в организации.

Согласно Концепции объектами защиты являются:

-информационные ресурсы;

-средства и системы обработки информации;

-средства и системы защиты информации, в том числе криптографической защиты информации;

-помещения или объекты, предназначенные для ведения закрытых переговоров.

Под информационными ресурсами в ФНС понимаются совокупности сведений в электронном виде (база данных, электронная библиотека, реестр, кадастр, фонд, архив и другие виды информационных массивов),поддерживаемые программно-техническими средствами автоматизированной информационной системы. Информационные ресурсы представляют собой хранилища данных налоговых органов, из которого путем специализированной обработки пользователю предоставляется информация на электронных или бумажных носителях, в том числе в виде отдельных фрагментов баз данных, отчетов и справок [8].

Обобщенная модель незащищенной информационно-телекоммуникационной системы предприятия представлена на рисунке 2.1.

Рисунок 2.1 - Обобщенная модель ИТКС предприятия

Федеральная налоговая служба России собирает, обрабатывает и хранит множество информации, разделенной на несколько баз данных (единый государственный реестр налогоплательщиков, единый государственный реестр индивидуальных предпринимателей, единый государственный реестр юридических лиц и т.д.). Налоговые органы расположены в каждом крае и районе, потому автоматизированная система УФНС России по Ставропольскому краю очень обширна, включает в себя несколько десятков серверов, более 250 автоматизированных рабочих мест, иметься несколько каналов связи с налоговыми органами по всей территории России. Для обеспечения безопасности налоговой тайны используются передовые системы защиты, такие как: межсетевые экраны, системы создания криптографических каналов, единая антивирусная система защиты, на серверах используется резервное копирование всех массивов жестких дисков, производиться защита питания от сбоев, производится постоянное обновление программных средств для закрытия известных на данный момент уязвимостей [6].

2.2 Модель угроз безопасности информации на предприятии

Под угрозой информационной безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализацию угрозы принято называть атакой.

Информация, обрабатываемая в ИТКС ФНС России, дает потенциальную возможность для проявления угроз безопасности, вызванных действиями, процессами или явлениями, приводящими к нанесению ущерба ФНС России. В соответствии с ГОСТ Р 50922-96 предусматривается два типа угроз безопасности:

-связанные с утечкой информации (разглашение, утечка, несанкционированный доступ);

-связанные с несанкционированным воздействием на информацию и ее носители (искажение, уничтожение, копирование, блокирование,сбои и ошибки техники, другие случайные воздействия).

Реализация той или иной угрозы информационной безопасности предприятия может преследовать следующие цели:

-нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в ИТКС предприятия, может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;

-нарушение целостности информации. Потеря целостности информации - угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,

-нарушение (частичное или полное) работоспособности ИВС (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов сети, их модификация или подмена могут привести к получению неверных результатов, отказу компьютерной системы от потока информации или отказам при обслуживании.

Модель угроз концепции информационной безопасности должна разрабатываться с учетом особенностей топологии автоматизированной системы (АС) организации, ее функциональных задач, а также установленного общесистемного и прикладного ПО. Это позволяет более точно определить возможные источники угроз информационной безопасности, способы их реализации, а также последствия, к которым они могут привести. Модель угроз является основой для определения состава работ по следующим базовым направлениям обеспечения информационной безопасности:

нормативно-методическое обеспечение, направленное на создание сбалансированной правовой базы в области защиты информации;

технологическое обеспечение, предназначенное для реализации, внедрения и сопровождения комплексной системы информационной безопасности;

кадровое обеспечение, предполагающее укомплектование соответствующих подразделений специалистами по информационной безопасности, а также проведение обучения сотрудников организации по вопросам защиты от угроз информационной безопасности.

Обобщенная модель угроз безопасности информации на предприятия представлена в таблице 2.1

Таблица 2.1 - Модель угроз безопасности информации на предприятия

Угроза информ безопасностиИсточник угрозСпособы реализации угрозI. Получение информации1. Антропогенныйа) разглашение, передача или утрата атрибутов разграничения доступа;б) внедрение агентов в число персонала системы;в) хищение носителей информации;г) незаконное получение паролей и других реквизитов разграничения доступа;д) несанкционированная модификация программного обеспече) перехват данных, передаваемых по каналам связи;ж) несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;II. Анализ характе информации1. Антропогенныйа) хищение носителей информации хищение производственных отходов;б) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;в) несанкционированная модификация программного обеспечения;г) перехват данных, передаваемых по каналам связи, и их анализ.III. Изменение (искажение, подмена) информации1. Антропогенныйа) несанкционированный запуск технологических программ, способных вызывать потерю работоспособности системы или осуществляющих необратимые изменения в системе;б) непреднамеренное заражение компьютера вирусами;в) ввод ошибочных данных;г) вмешательство в процесс функционирования АС сетей общего пользования с целью несанкционированной модификации данных.2. Техногенныйа) аварии в системах электропитания;б) нарушение температурного режима в помещениях с критическим оборудованием (серверы, узлы связи) в результате неисправности систем кондиционирования.IV. Нарушение информации1. Антропогенныйа) действия сотрудников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств;б) несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расход ресурсов; в) непреднамеренное заражение компьютера вирусами;г) игнорирование организац ограничений при работе в системе;д) ввод ошибочных данных.2. Техногенныйа) аварии в системах электропитания;б) нарушение температурного режима в помещениях с критическим оборудованием в результате неисправности систем кондиционирования.V. Нарушение работоспособности систем1. Антропогенныйа) действия сотрудников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств;б) физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы.2. Техногенныйа) закупки несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;б) аварии в системах электропитания;в) аварии в системах отопления и водоснабжения в непосредственной близости к техническим средствам обработки информации;г) нарушение температурного режима в помещениях с критическим оборудованием;д) неумышленное повреждение внешних кабельных систем связи строительными организациями, физическими лицами и т.п;е) возникновение пожаров в непосредственной близости к техническим средствам обработки информации.3. Стихийныйа) разрушение зданий, отдельных помещений;б) воздействие атмосферного электричества;в) возникновение стихийных очагов пожаров.

Наложение угроз безопасности на обобщенную модель ИТКС предприятия позволяет оценить их опасность и методом исключения определить наиболее актуальные для конкретного объекта защиты.

2.3 Класс защищенности автоматизированной системы Управления

Согласно порядку классификации АС в зависимости от вида сведений конфиденциального характера установленным руководящим документом Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" УНФС России по Ставропольскому краю присвоен класс защищенности 1Г, сформулированы и реализованы требования по защите информации [5].

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А.

Рисунок 2.2 - Обобщенная модель угроз безопасности ИТКС предприятия

Таблица 2.2 - Классы защищенности автоматизированных систем

Подсистемы и требованияКлассы1Д1Г1В1Б1А1 Подсистема управления доступом 1.1 Идентификация, проверка подлинности и контроль доступа субъектов:в систему +++++к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ -++++к программам -++++к томам, каталогам, файлам, записям, полям записей -++++1.2 Управление потоками информации--+++2 Подсистема регистрации и учета2.1 Регистрация и учет: входа (выхода) субъектов доступа в (из) систему (узел сети) +++++выдачи печатных (графических) выходных документов -++++запуска (завершения) программ и процессов (заданий, задач) -++++доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи -++++доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей -++++изменения полномочий субъектов доступа --+++создаваемых защищаемых объектов доступа --+++2.2 Учет носителей информации+++++2.3 Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей-++++2.4 Сигнализация попыток нарушения защиты--+++3 Криптографическая подсистема3.1 Шифрование конфиденциальной информации---++3.2 Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах----+3.3 Использование аттестованных (сертифицированных) криптографических средств---++4 Подсистема обеспечения целостности4.1 Обеспечение целостности программных средств и обрабатываемой информации+++++4.2 Физическая охрана средств вычислительной техники и носителей информации+++++4.3 Наличие администратора (службы) защиты информации в АС--+++4.4 Периодическое тестирование СЗИ НСД+++++4.5 Наличие средств восстановления СЗИ НСД+++++4.6 Использование сертифицированных средств защиты--+++

2.4 Требования к классу защищенности

Требования, предъявляемые к классу защищенности 1Г:

Подсистема управления доступом:

должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Подсистема регистрации и учета:

1. Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

результат попытки входа: успешная или неуспешная - несанкционированная;

идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

код или пароль, предъявленный при неуспешной попытке.

2. Должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются:

дата и время выдачи (обращения к подсистеме вывода);

спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

идентификатор субъекта доступа, запросившего документ;

должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:

дата и время запуска;

имя (идентификатор) программы (процесса, задания);

идентификатор субъекта доступа, запросившего программу (процесс, задание);

результат запуска (успешный, неуспешный - несанкционированный).

. Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:

дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;

идентификатор субъекта доступа;

спецификация защищаемого файла.

. Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:

дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;

идентификатор субъекта доступа;

спецификация защищаемого объекта [логическое имя (номер)].

. Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку):

учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

Подсистема обеспечения целостности:

должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом:

целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;

должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

2.5 Постановка задач проектирования защищенной информационной системы учета заявок предприятия

Со 2 сентября 2010 года вступил в силу Федеральный закон от 27.07.2010 № 229-ФЗ "О внесении изменений в часть первую и часть вторую Налогового кодекса Российской Федерации и некоторые другие законодательные акты Российской Федерации, а также о признании утратившими силу отдельных законодательных актов (положений законодательных актов) Российской Федерации в связи с урегулированием задолженности по уплате налогов, сборов, пеней и штрафов и некоторых иных вопросов налогового администрирования" (далее - Закон № 229-ФЗ), внесший существенные поправки в Налоговый кодекс. В частности, согласно новым нормам значительно расширен электронный документооборот между налогоплательщиками и налоговыми органами, что заметно упростило их взаимодействие.

Закон был принят в том числе и в целях реализации Плана перехода на предоставление государственных услуг и исполнение государственных функций в электронном виде федеральными органами исполнительной власти, утвержденного распоряжением Правительства РФ от 17.10.2009 № 1555-р (далее - План перехода), в части оказания налоговыми органами услуг в электронном виде через Интернет или Единый портал государственных услуг (далее - Единый портал) по учету организаций и физических лиц, ведению Государственного реестра налогоплательщиков и предоставлению содержащихся в нем сведений.

Заявления о постановке на учет можно направлять в электронном виде. Законом № 229-ФЗ внесены изменения в статьи 23 и 84 НК РФ, предоставляющие право организациям и физическим лицам направлять в налоговые органы сообщения, заявления о постановке на учет (снятия с учета), уведомления о выборе налогового органа в электронном виде по телекоммуникационным каналам связи (ТКС).

Кроме того, по запросу организации или физического лица (заявителя) документы, подтверждающие постановку на учет или снятие с учета в налоговом органе, также могут быть направлены налоговым органом заявителю в электронном виде. Обязательным условием для направления этих документов в электронном виде является заверение электронной цифровой подписью (ЭЦП) лица, их подписавшего.

В целях реализации третьего этапа Плана перехода ФНС России реализована возможность для физических лиц обратиться с заявлением о постановке на учет в электронном виде. Оно направляется в соответствующий налоговый орган через сайт www.nalog.ru или Единый портал. Учитывая, что предлагаемая схема не требует обязательного заверения заявления ЭЦП, заявителю предложено в определенное время обратиться в инспекцию по месту жительства за получением свидетельства о постановке на учет. Для усовершенствования процедуры учета заявок налогоплательщиков в налоговых органах необходимо спроектировать защищенную информационную систему учета заявок.

Полное название системы - "Информационная система учета заявок предприятия". Информационная система предусматривает реализацию модуля администрирования и шифрования на основе симметричного блочного алгоритма шифрования ГОСТ 28147-89. Модель информационной системы представлена на рисунке 2.3.

Рисунок 2.3 - Модель информационной системы учета заявок для УФНС по СК

Информационная система учета заявок предприятия автоматизирует процесс постановки на учет налогоплательщиков в налоговом органе на территории Российской Федерации. Система является эффективным средством автоматизации процесса обработки заявок, что позволит снизить нагрузку сотрудников предприятия и автоматизировать их труд, а также вести контроль за выполнением процесса от момента подачи заявления, до получения заявителем документов.

Программный продукт будет применяться в помещениях налоговых органах, оснащенных персональными электронно-вычислительными машинами (ПЭВМ), подключенных в локальную сеть. База данных будет храниться на сервере, к которому подключаться все клиенты-пользователи. Все компьютеры, использующие систему, должны иметь доступ к папке BD, которая должна быть открыта для общего доступа на сервере. Для нормального функционирования системы на каждой ПЭВМ должны быть установлены MS OFFICE и BDE.

Информационная система при работе будет обслуживаться администратором, который дает разрешение на доступ к тем или иным папкам и файлам. Защита данных от несанкционированного доступа и прямого доступа к базе данных будет осуществляться с помощью модулей шифрования и администрирования данных.

При создании информационной системы учета заявок будет произведена непосредственная реализация системы на языке программирования высокого уровня Borland Pascal в среде программирования Borland Delphi 7.0.

2.6 Выводы

Анализ безопасности автоматизированной системы УФНС России по Ставропольскому краю позволяет утверждать, что:

1.На предприятие возложена обязанность по соблюдению налоговой тайны, по организации защиты информации, по защите конфиденциальной информации и персональных данных, обрабатываемых в информационных системах налоговых органов, обеспечению реализации права на доступ к информации.

2.Информация, обрабатываемая в ИТКС предприятия, обладает особой степенью уязвимости, в соответствии с обобщенной моделью угроз безопасности информации.

.Задачи по обеспечению информационной безопасности на объектах информатизации предприятия и выполнению требований федерального законодательства могут быть выполнены только путем построения системы информационной безопасности на объектах информатизации налоговых органов.

.Система информационной безопасности должна предусматривать комплекс организационных, программных, технических и криптографических средств и мер защиты информации при ее автоматизированной обработке, хранении и передаче по каналам связи.

.В целях реализации третьего этапа Плана перехода ФНС России реализована возможность для физических и юридических лиц обратиться с заявлением о постановке на учет в электронном виде.

.Для усовершенствования процедуры учета заявок налогоплательщиков в налоговых органах необходимо разработать защищенную информационную систему учета заявок предприятия.

Анализ системы информационной безопасности в Управлении показал целесообразность разработки модулей администрирования и шифрования данных информационной системы учета заявок предприятия. Программа должна дополнить существующую систему безопасности и помочь администратору бороться с различными видами атак, направленными на преодоление внутренней защиты.

3. ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА МОДУЛЕЙ ЗАЩИТЫ ДЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ УЧЕТА ЗАЯВОК ПРЕДПРИЯТИЯ

3.1 Комплексное обеспечение информационной безопасности баз данных

3.1.1 Архитектура информационной системы учета заявок предприятия

Сетевые приложения и базы данных тесно связаны между собой и являются ядром информационной инфраструктуры современного предприятия. Сетевые базы данных обеспечивают распределенное хранение информационных ресурсов предприятия, а сетевые приложения - их распределенную обработку.

Под термином "распределенный" понимают совместную работу взаимодействующих вычислительных устройств и средств телекоммуникаций, направленную на достижение общей цели, решение общей задачи [33, 37, 39].

Сетевые базы данных, как и сетевые приложения, это, прежде всего, распределенная система. Но если сетевые приложения специализируются на распределенной обработке данных, то сетевые базы данных - на распределенном хранении данных.

Задача распределенного хранения данных, прежде всего, заключается в обеспечении их целостности и доступности. Необходимо, чтобы требуемые данные извлекались быстро, и при этом всегда поддерживались в актуальном состоянии независимо от удаленности от первичного источника информации.

База данных - это модель некоторой предметной области, включающая в себя факты и логические отношения между ними. С точки зрения формальной логики процесс работы с базой данных - это процесс доказательства или опровержения теорем, некоторой теории, аксиомами которой являются факты (записи) базы данных, а правила вывода соответствуют классической логике высказываний или логике предикатов первого порядка [24, 28].

В соответствии с обобщенной моделью информационно-телекоммуникационной системы предприятия (рисунок 2.1), модель развертывания информационной системы учета заявок предприятия представлена на рисунке 3.1.

Рисунок 3.1 - Модель развертывания информационной системы учета заявок для УФНС по СК

На рисунке 3.1 показана декомпозиция задачи на три независимых процесса:

1)представление информации - реализуется программными средствами сетевого приложения, выполняемыми на компьютере клиента;

2)обработка информации - реализуется программным обеспечением сервера приложения;

)хранение информации - реализуется сервером базы данных.

Главными преимуществами такой архитектуры приложения являются:

1)независимая эволюция каждого компонента, которая может происходить в разное время с различной скоростью;

2)повышение производительности за счет специализации и оптимизации каждого вычислительного устройства на решении узкой, относительно самостоятельной задачи;

)неограниченное наращивание возможностей за счет использования типовых элементов и правил их взаимодействия.

Наложение угроз безопасности, описанных в таблице 2.1, на модель информационной системы учета заявок предприятия позволяет оценить их опасность и методом исключения определить наиболее актуальные для конкретного объекта защиты. Модель угроз безопасности информационной системе учета заявок предприятия представлена на рисунке 3.2.

Из модели угроз безопасности информационной системе учета заявок предприятия видно, что данные обладают большой степенью уязвимости. Следовательно, необходим комплексный подход по обеспечению информационной безопасности.

Комплекс правовых, организационных и технических мер при правильном подходе позволяет существенно снизить риски утечки информации.

Рисунок 3.2 - Модель угроз безопасности информационной системе учета заявок для УФНС по СК

3.1.2 Защита информации в базах данных

В современных СУБД поддерживается один из двух наиболее общих подходов к вопросу обеспечения безопасности данных: избирательный подход и обязательный подход. В обоих подходах единицей данных или "объектом данных", для которых должна быть создана система безопасности, может быть как вся база данных целиком, так и любой объект внутри базы данных.

Эти два подхода отличаются следующими свойствами:

1)в случае избирательного управления некоторый пользователь обладает различными правами (привилегиями или полномочиями) при работе с объектами. Разные пользователи могут обладать разными правами доступа к одному и тому же объекту. Избирательные права характеризуются значительной гибкостью;

2)в случае обязательного управления наоборот, каждому объекту данных присваивается некоторый классификационный уровень, а каждый пользователь обладает некоторым уровнем допуска. При таком подходе доступом к определенному объекту данных обладают только пользователи с соответствующим уровнем допуска;

)для реализации избирательного принципа предусмотрены следующие методы. В базу данных вводится новый тип объектов БД - это пользователи. Каждому пользователю в БД присваивается уникальный идентификатор. Для дополнительной защиты каждый пользователь, кроме уникального идентификатора, снабжается уникальным паролем, причем если идентификаторы пользователей в системе доступны системному администратору, то пароли пользователей хранятся, чаще всего, в специальном кодированном виде и известны только самим пользователям;

)пользователи могут быть объединены в специальные группы пользователей. Один пользователь может входить в несколько групп. В стандарте вводится понятие группы PUBLIC, для которой должен быть определен минимальный стандартный набор прав. По умолчанию предполагается, что каждый вновь создаваемый пользователь, если специально не указано иное, относится к группе PUBLIC;

)привилегии или полномочия пользователей или групп - это набор действий (операций), которые они могут выполнять над объектами БД;

)объектами БД, которые подлежат защите, являются все объекты, хранимые в БД: таблицы, представления, хранимые процедуры и триггеры. Для каждого типа объектов есть свои действия, поэтому для каждого типа объектов могут быть определены разные права доступа [37, 38].

На самом элементарном уровне концепции обеспечения безопасности баз данных исключительно просты. Необходимо поддерживать два фундаментальных принципа: проверку полномочий и проверку подлинности (аутентификацию).

Проверка полномочий основана на том, что каждому пользователю или процессу информационной системы соответствует набор действий, которые он может выполнять по отношению к определенным объектам. Проверка подлинности означает достоверное подтверждение того, что пользователь или процесс, пытающийся выполнить санкционированное действие, действительно тот, за кого он себя выдает.

Система назначения полномочий имеет в некотором роде иерархический характер. Самыми высокими правами и полномочиями обладает системный администратор или администратор сервера БД. Традиционно только этот тип пользователей может создавать других пользователей и наделять их определенными полномочиями.

Далее схема предоставления полномочий строится по следующему принципу. Каждый объект в БД имеет владельца - пользователя, который создал данный объект. Владелец объекта обладает всеми правами-полномочиями на данный объект, в том числе он имеет право предоставлять другим пользователям полномочия по работе с данным объектом или забирать у пользователей ранее предоставленные полномочия.

Второй задачей при работе с БД является проверка полномочий пользователей. Полномочия пользователей хранятся в специальных системных таблицах и их проверка осуществляется ядром СУБД при выполнении каждой операции. Логически для каждого пользователя и каждого объекта в БД как бы строится некоторая условная матрица, где по одному измерению расположены объекты, а по другому - пользователи. На пересечении каждого столбца и каждой строки расположен перечень разрешенных операций для данного пользователя над данным объектом [29, 32, 35, 40].

3.2 Проектирование модулей администрирование и шифрования данных информационной системы учета заявок предприятия

Для построение модели модулей администрирования и шифрования данных информационной системы учета заявок предприятия опишем процесс функционирования системы в целом в виде контекстной диаграммы. На рисунке 3.3 представлена контекстная диаграмма защищенной информационной системы учета заявок предприятия [31].

Взаимодействие системы с окружающей средой описывается в терминах входа ("Заявки" и "Пользователи"); выхода (основной результат процесса - "Защищенное предоставление информации" и "Защищенная обработка информации" и "Защищенное хранение информации"); управления ("Законодательные акты Российской Федерации", "Нормативные требования по защите информации" и "Политика информационной безопасности предприятия"); механизмов ("Администратор безопасности", "Сотрудник отдела информатизации и ввода данных", "Аппаратные средства", "Инструментальные средства").

Весь процесс функционирования защищенной информационной системы учета заявок предприятия разбивается на четыре подсистемы:

1.Модуль администрирования данных.

2.Модуль шифрования данных.

.Подсистема обработки информации.

.Подсистема вывода данных.

Рисунок 3.3 - Контекстная диаграмма защищенной информационной системы учета заявок предприятия

Функциональная декомпозиция информационной системы представлена на рисунке 3.4.

После дальнейшего разбиения диаграммы, представленной на рисунке 3.4 получим две диаграммы декомпозиции, описывающие модуль администрирования и модуль шифрования данных информационной системы учета заявок предприятия. Диаграммы декомпозиций для каждого модуля безопасности представлены на рисунке 3.5 и рисунке 3.6.

Рисунок 3.4 - Функциональная декомпозиция информационной системы учета заявок предприятия

Рисунок 3.5 - Функциональная декомпозиция модуля администрирования данных информационной системы учета заявок предприятия

Рисунок 3.6 - Функциональная декомпозиция модуля шифрования данных информационной системы учета заявок предприятия

Реализация решений, обеспечивающих безопасность информационных ресурсов предприятия, существенно повышает эффективность всего процесса информатизации, обеспечивая целостность, подлинность и конфиденциальность информации, циркулирующей в информационной среде предприятия.

3.3 Построение модели информационной системы учета заявок предприятия со встроенными модулями администрирования и шифрования данных

Чтобы снизить риски от угроз безопасности информационной системе учета заявок предприятия, следует реализовать:

1.Модуль администрирования, т.е. обеспечить:

1)строгую аутентификацию пользователей и контроль доступа в соответствии с избирательным управлением, регулируемым администратором безопасности. Это даст возможность персонализировать доступ и существенно снизить риск отказа пользователей от совершенных ими действий;

2)аудит критических (в плане безопасности) действий пользователей.

Сочетание аудита и строгой персонификации - достаточно веский аргумент в пользу отказа от противоправных действий для потенциальных нарушителей [22, 24]. Реализация этого модуля способствует нейтрализации следующих угроз:

-разглашение, передача или утрата атрибутов разграничения доступа;

-внедрение агентов в число персонала системы;

-незаконное получение паролей и других реквизитов разграничения доступа;

-несанкционированная модификация программного обеспечения;

-несанкционированный запуск технологических программ, способных вызывать потерю работоспособности системы или осуществляющих необратимые изменения в системе;

-вмешательство в процесс функционирования автоматизированной системы сетей общего пользования с целью несанкционированной модификации данных;

-действия сотрудников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств;

-игнорирование организационных ограничений при работе в системе;

-ввод ошибочных данных.

2.Модуль шифрования, т.е. обеспечить:

)шифрование трафика между клиентской рабочей станцией и сервером БД, что предотвратит попытки кражи информации на сетевом уровне;

2)криптографическое преобразование тех данных, которые необходимо защитить. Это значительно снизит риск потери информации;

)хранение аутентификационной информации и ключей шифрования на персонализированном съемном носителе, например, на USB-ключе в защищенном виде. Это позволит устранить проблему "забытых паролей" и повысить персональную ответственность сотрудника [25, 26].

Реализация этого модуля способствует нейтрализации следующих угроз:

-разглашение, передача или утрата атрибутов разграничения доступа;

-незаконное получение паролей и других реквизитов разграничения доступа;

-перехват данных, передаваемых по каналам связи;

-хищение носителей информации;

-чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств.

Согласно Концепции информационной безопасности Федеральной налоговой службы от 29 августа 2006 г. в целях защиты конфиденциальной информации в автоматизированных информационных системах ФНС России должны применяться средства криптографической защиты информации (СКЗИ). К ним предъявляются ряд требований, перечислим основные [12, 8]:

-СКЗИ должны допускать их встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;

-СКЗИ должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;

-СКЗИ должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам Российской Федерации и (или) условиям договоров с контрагентами;

-СКЗИ должны иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя).

Сертификация средств криптографической защиты информации (СКЗИ), фактически, является единственным возможным способом гарантии качества реализации криптостандартов и отсутствия в средствах защиты намеренно внесенных закладок.

Отсутствие сертификата ФСБ на СКЗИ не позволяет его использовать в Государственных органах и организациях РФ, и организациях или частных лицах, обменивающихся конфиденциальной информацией с Государственными органами и организациями РФ. А Положение ФАПСИ о системе сертификации СКЗИ устанавливает следующее требование к используемым в сертифицируемых СКЗИ криптоалгоритмам: "Заявки на проведение сертификации шифровальных средств принимаются при условии, что в указанных средствах реализованы криптографические алгоритмы, объявленные государственными или отраслевыми стандартами Российской Федерации, иными нормативными документами, утвержденными Советом Министров - Правительством Российской Федерации или ФАПСИ". Т.е. сертифицированное средство шифрования данных должно реализовывать именно отечественный криптостандарт ГОСТ 28147-89.

Для обеспечения защиты информации в информационной системе учета заявок предприятия поддерживается избирательный подход к вопросу обеспечения безопасности данных. При этом каждому пользователю в информационной системе присваивается уникальный идентификатор. Для дополнительной защиты каждый пользователь, кроме уникального идентификатора, снабжается паролем. При этом таблица с данными пользователей системы хранится на сервере в зашифрованном виде, с помощью применения алгоритма шифрования ГОСТ 28147-89. Дешифрование этой таблицы и последующее предоставление доступа пользователя к системе, возможно только при предъявлении им соответствующего USB-ключа, содержащего ключевой материал, хранящийся в защищенном виде. Модель защиты информационной системы учета заявок предприятия представлена на рисунке 3.7

Рисунок 3.7 - Модель защиты информационной системы учета заявок предприятия

При работе выполняется ряд шагов, прозрачных для пользователя:

1.Пользователь запускает на выполнение программу, вставляет USB-носитель с ключевой информацией в разъем своего АРМ.

2.Если носитель зарегистрирован в системе, то с него считывается ключевая информация, с помощью которой происходит потоковое дешифрование таблицы пользователей, и программа переходит к следующему шагу аутентификации.

.Пользователь системы указывает логин и пароль, в соответствии с которым получает уровень доступа к системе.

.При выполнении каких либо действий с программой защищенная база данных открывается криптомодулем с помощью переданной ключевой информации.

.С открытой базой данных производятся необходимые действия (чтение, запись, удаление).

.После того, как необходимые действия завершены, база снова закрывается криптомодулем.

.Информационная система учета заявок получает результат работы с открытой базой.

.Пользователь видит результат своих действий на экране АРМ в окне программы.

Для моделирования процесса выполнения операций в языке UML используются диаграммы деятельности. На этих диаграммах присутствуют обозначения состояний и переходов. Каждое состояние на диаграмме деятельности соответствует выполнению некоторой элементарной операции, а переход в следующее состояние выполняется только при завершении этой операции. Для детализации особенностей алгоритмической и логической реализации выполняемых защищенной информационной системой операций, изобразим алгоритм функционирования системы в виде диаграммы деятельности, представленной на рисунке 3.8. Временной аспект поведения может иметь существенное значение при моделировании синхронных процессов, описывающих взаимодействия объектов. Для моделирования взаимодействия объектов во времени в языке UML используются диаграммы последовательности. На диаграмме последовательности изображаются только те объекты, которые непосредственно участвуют во взаимодействии. Ключевым моментом для диаграмм последовательности является динамика взаимодействия объектов во времени. Диаграмма последовательности информационной системы учета заявок предприятия со встроенными модулями администрирования и шифрования дынных представим в виде UML-диаграммы последовательности, изображенной на рисунке 3.9.

Рисунок 3.8 - Диаграмма деятельности защищенной информационной системы УФНС по СК

Рисунок 3.9 - Диаграмма последовательности информационной системы учета заявок УФНС по СК со встроенными модулями администрирования и шифрования данных

В информационной системе учета заявок самыми высокими правами и полномочиями обладает администратор СУБД, который может создавать пользователей, редактировать их права и полномочия, удалять пользователей, формировать и раздавать соответствующий ключевой материал и периодически проводить смену ключа для шифрования и дешифрования таблиц базы данных. Спецификация таблиц информационной системы учета заявок предприятия приведена в приложении А.

.4 Алгоритм шифрования данных ГОСТ 28147-89

ГОСТ 28147-89 - блочный шифр с 256-битным ключом и 32 циклами преобразования, оперирующий 64-битными блоками. Основа алгоритма шифра - Сеть Фейстеля. Базовым режимом шифрования по ГОСТ 28147-89 является режим простой замены (определены также более сложные режимы гаммирование, гаммирование с обратной связью и режим имитовставки). Для шифрования в этом режиме открытый текст сначала разбивается на две половины (младшие биты - , старшие биты - ). На -ом цикле используется подключ :

( - двоичное "исключающее или")(3.1)

Для генерации подключей исходный 256-битный ключ разбивается на восемь 32-битных блоков: .

Ключи являются циклическим повторением ключей (нумеруются от младших битов к старшим). Ключи являются ключами , идущими в обратном порядке.

После выполнения всех 32 раундов алгоритма, блоки и склеиваются (старшим битом становится , а младшим - ) - результат есть результат работы алгоритма.

Структура алгоритма представлена на рисунке 3.10

Рисунок 3.10 - Структура алгоритма шифрования ГОСТ 28-147-89

Дешифрование выполняется так же, как и шифрование, но инвертируется порядок подключей .

Функция вычисляется следующим образом:

. и складываются по модулю .

.Результат разбивается на восемь 4-битовых подпоследовательностей, каждая из которых поступает на вход своего узла таблицы замен (в порядке возрастания старшинства битов), называемого ниже S-блоком. Общее количество S-блоков ГОСТа - восемь, т. е. столько же, сколько и подпоследовательностей. Каждый S-блок представляет собой перестановку чисел от 0 до 15. Первая 4-битная подпоследовательность попадает на вход первого S-блока, вторая - на вход второго и т. д.

Если S-блок выглядит так:

, 15, 13, 0, 5, 7, 10, 4, 9, 2, 3, 14, 6, 11, 8, 12

и на входе S-блока 0, то на выходе будет 1, если 4, то на выходе будет 5, если на входе 12, то на выходе 6 и т. д.

Выходы всех восьми S-блоков объединяются в 32-битное слово, затем всё слово циклически сдвигается влево (к старшим разрядам) на 11 битов.

Все восемь S-блоков могут быть различными. Фактически, они могут являться дополнительным ключевым материалом, но чаще являются параметром схемы, общим для определенной группы пользователей. В таблице 3.1 приведены S-блоки ГОСТ Р 34.11-94.

Таблица 3.1 - S-блоки ГОСТ Р 34.11-94

Номер S-блокаЗначение1410921380146111127155321411412613151023810759358113103421415127609114713101089151446121125356127151513841091403112641110072113368591215147131141315590101476821281151305710492314611812

Представленный набор S-блоков используется в криптографических приложениях ЦБ РФ. В тексте стандарта указывается, что поставка заполнения узлов замены (S-блоков) производится в установленном порядке, т.е. разработчиком алгоритма. Листинг модуля шифрования представлен в приложении Б. Достоинства ГОСТа:

-бесперспективность силовой атаки (XSL-атаки в учёт не берутся, т.к. их эффективность на данный момент полностью не доказана);

-эффективность реализации и соответственно высокое быстродействие на современных компьютерах;

-наличие защиты от навязывания ложных данных (выработка имитовставки) и одинаковый цикл шифрования во всех четырех алгоритмах ГОСТа.

Криптоанализ алгоритма. Существуют атаки и на полнораундовый ГОСТ 28147-89 без каких-либо модификаций. Одна из первых открытых работ, в которых был проведен анализ алгоритма, использует слабости процедуры расширения ключа ряда известных алгоритмов шифрования. В частности, полнораундовый алгоритм ГОСТ 28147-89 может быть вскрыт с помощью дифференциального криптоанализа на связанных ключах, но только в случае использования слабых таблиц замен. 24-раундовый вариант алгоритма (в котором отсутствуют первые 8 раундов) вскрывается аналогичным образом при любых таблицах замен, однако, сильные таблицы замен делают такую атаку абсолютно непрактичной.

Отечественные ученые А. Г. Ростовцев и Е. Б. Маховенко в 2001 г. предложили принципиально новый метод криптоанализа (по мнению авторов, существенно более эффективный, чем линейный и дифференциальный криптоанализ) путем формирования целевой функции от известного открытого текста, соответствующего ему шифртекста и искомого значения ключа и нахождения ее экстремума, соответствующего истинному значению ключа. Они же нашли большой класс слабых ключей алгоритма ГОСТ 28147-89, которые позволяют вскрыть алгоритм с помощью всего 4-х выбранных открытых текстов и соответствующих им шифротекстов с достаточно низкой сложностью. Криптоанализ алгоритма продолжен в работе. В 2004 г. группа специалистов из Кореи предложила атаку, с помощью которой, используя дифференциальный криптоанализ на связанных ключах, можно получить с вероятностью 91,7 % 12 бит секретного ключа. Для атаки требуется 235 выбранных открытых текстов и 236 операций шифрования. Как видно, атака практически бесполезна для реального вскрытия алгоритма.

Недостатки алгоритма. Основные проблемы ГОСТа связаны с неполнотой стандарта в части генерации ключей и таблиц замен. У ГОСТа существуют "слабые" ключи и таблицы замен, но в стандарте не описываются критерии выбора и отсева "слабых". Также стандарт не специфицирует алгоритм генерации таблицы замен (S-блоков). С одной стороны, это может являться дополнительной секретной информацией, а с другой, поднимает ряд проблем:

-нельзя определить криптостойкость алгоритма, не зная заранее таблицы замен;

-реализации алгоритма от различных производителей могут использовать разные таблицы замен и могут быть несовместимы между собой;

-возможность преднамеренного предоставления слабых таблиц замен лицензирующими органами РФ;

-потенциальная возможность (отсутствие запрета в стандарте) использования таблиц замены, в которых узлы не являются перестановками, что может привести к чрезвычайному снижению стойкости шифра.

3.5 Выводы

Анализ модели защищенной информационной системы учета заявок предприятия позволяет утверждать, что:

1.Задача распределенного хранения данных, прежде всего, заключается в обеспечении их целостности и доступности.

2.Для обеспечения строгой аутентификации пользователей, контроля доступа в соответствии с избирательным управлением и аудит критических действий пользователей необходимо внедрить в информационную систему модуль администрирования данных.

.Для шифрования трафика между клиентской рабочей станцией и сервером БД, криптографического преобразование тех данных, которые необходимо защитить и хранения ключей шифрования на персонализированном съемном носителе необходимо внедрить информационную систему модуль шифрования данных.

.Модуль шифрования данных должен быть реализован именно на основе отечественного криптоалгоритма ГОСТ 28147-89.

Реализация модулей шифрования и администрирования данных позволяет существенно снизить риски от угроз безопасности информационным ресурсам предприятия.

4. РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ УЧЕТА ЗАЯВОК ПРЕДПРИЯТИЯ

4.1 Проектирование интерфейса информационной системы учета заявок предприятия со встроенными модулями защиты

Проектирование пользовательского интерфейса информационной системы состоит из нескольких этапов:

-анализа задач, предназначен для выделения операций, которые пользователь предпринимает, взаимодействуя с системой. Этот метод позволяет определить, какие операции непосредственно необходимы для решения задач, а какие избыточны и являются следствием несовершенства системы;

-анализа требований, осуществляемых с целью описания функций и возможностей, которыми должна обладать разрабатываемая система;

-разработка высокоуровневой архитектуры интерфейса. Это основополагающая часть интерфейса, включающая навигационную систему, структуру экранов и окон, терминологическую базу;

-разработка пользовательского интерфейса, включает все аспекты системы, с которыми пользователь взаимодействует, включая способы передачи информации от системы к пользователю, способы передачи информации от пользователя к системе, шаги, которые необходимо предпринять для выполнения задач и элементы управления;

-детальный дизайн интерфейса - интерфейс низкого уровня (и процесс разработки этого интерфейса), включающий использование и расположение конкретных элементов управления. Основывается на высокоуровневой архитектуре интерфейса;

-дизайн взаимодействия - систематический итеративный процесс разработки высоко интерактивных пользовательских интерфейсов. Методология включает исследовательские техники, такие как анализ требований, анализ задач, анализ потенциальных пользователей, а также различные методы прототипирования, экспертизы и оценки;

-дизайн пользовательского интерфейса, полный процесс планирования и проектирования того, как пользователи будет взаимодействовать с системой. Дизайн пользовательского интерфейса связан с многими этапами разработки продукта, включая анализ требований, информационную архитектуру, дизайн взаимодействия, пользовательское тестирование, создание документации и справочной системы;

-разработка информационной архитектуры, необходимой для организации информации с целью облегчения выполнения людьми их информационных нужд (например, поиск и использование информации);

-метод итеративного проектирования интерфейса, суть которого состоит в том, что процесс разработки системы должен представлять собой повторяющийся цикл. На каждом этапе дизайн системы оценивается, улучшается и тестируется. Результаты тестирования на каждом этапе являются источником для внесения улучшений в систему в следующем цикле;

-разработка контрольного списка документов: инструкция по настройке системы, инструкция пользователя, инструкция по установке.

При проектировании интерфейса информационной системы учета заявок предприятия со встроенными модулями защиты можно выделить 4 основных требования.

1.Интерфейс должен быть адекватен особенностям пользователей. Решением этой задачи является формализация пользовательских требований к системе до начала проектирования самой системы. При этом должен получиться список свойств пользователей, включающий: навыки использования компьютера, знание предметной области, ожидания от системы, физические параметры пользователей. Получившийся список необходимо использовать для оценки всех решений, принятых при разработке системы.

2.Интерфейс должен быть адекватен среде использования системы. Помимо адекватности особенностям пользователей, интерфейс должен быть адекватным среде, в которой используется система. Основные составляющие среды использования таковы: временные ограничения на выполнение действия, наличие прерываний в деятельности пользователей, разрешение мониторов, скорость работы самой системы.

.Интерфейс должен быть адекватен содержательной деятельности пользователей. Суть задачи заключается в необходимости приведения структура пользовательского интерфейса в соответствие с информационными потоками (структурой объектов) внутри самой системы, а также в соответствие со структурой реальной деятельности пользователей.

.Интерфейс должен адекватно отображать объекты системы и связи между ними. Помимо содержательной деятельности пользователей, интерфейс должен быть адекватен собственно объектам системы. Без этого интерфейс системы не будет однозначен, а неоднозначность приводит к появлению человеческих ошибок у пользователей. Для соответствия программы этому требованию необходимо решить следующих задачи: взаимное размещение объектов на экране должно совпадать с их логической связью и/или с их важностью, в интерфейсе не должно быть много избыточности [32, 37].

Системный подход к проектированию интерфейса вполне успешно способны решить проблемы такого плана, тем более, что эти меры не требуют специальных навыков.

4.2 Описание системы учета заявок. Основные понятия и определения

Система учета заявок - это эффективное средство автоматизации процесса обработки заявок, что позволит снизить нагрузку сотрудников предприятия и автоматизировать их труд, а также вести контроль за выполнением процесса от момента подачи заявления, до получения заявителем документов. В информационную систему встроены модули администрирования и шифрования данных.

Модуль администрирования данных обеспечивает строгую аутентификации пользователей, контроль доступа в соответствии с избирательным управлением и аудит критических действий пользователей информационной системы учета заявок предприятия.

Модуль шифрования данных обеспечивает шифрование трафика между клиентской рабочей станцией и сервером БД, криптографическое преобразование тех данных, которые необходимо защитить, и хранения аутентификационной информации и ключей шифрования на персонализированном съемном USB-носителе.

При работе с программой выполняется ряд шагов, прозрачных для пользователя. Полномочия пользователей при работе с информационной системой учета заявок предприятия предоставляются в соответствии с персональным уровнем доступа.

Основные определения:

-Заявка - основная сущность системы.

-Пользователь системы - любой сотрудник предприятия, имеющий в системе логин/пароль для входа. Каждому пользователю может быть назначен персональный уровень доступа, позволяющий или запрещающий пользователю произвести те или иные действия в системе. Список прав и полномочия определяются администратором системы.

-Участник заявки - человек или организация, который имеет прямое отношение к заявке. Участники заявки: заявитель, сотрудники организации, отвечающие за обработку заявки и получатель документов. Заявитель (инициатор) - по умолчанию - это тот человек (организация), который подает заявку на предприятие. Сотрудник предприятия - пользователь информационной системы, ответственный за обработку конкретной заявки. Получатель - это физическое лицо (организация), получившее указанные в заявке документы.

-Статус заявки - атрибут, определяющий состояние заявки. Состав статусов заявок настраивается в системе. Примеры статусов: "Получена заявка", "Заявка поставлена на учет", "Заявка выполнена".

4.3 Инсталляция программы

Для работы в информационной системе учета заявок предприятия с встроенными модулями защиты необходимо произвести инсталляцию программы.

Для этого необходимо:

1.Запустить на исполнение установочный файл setup.exe.

2.Выбрать язык: English/Russian (Русский).

.Прочитать лицензионное соглашение и подтвердить свое согласие на установку информационной системы со встроенными модулями защиты.

.Прочитать краткую справку о программе.

.Выбрать путь к каталогу, в который будет установлена программа.

.Выбрать дополнительные ярлыки программы.

.Проверить правильность выбранного каталога и ярлыка и приступить к установке программы.

Дождаться завершения процесса установки и приступить к настройке информационной системы учета заявок предприятия со встроенными модулями защиты.

.4 Спецификация системы по разделам

Для входа в систему необходимо запустить файл Basa.exe. после этого вставить USB-носитель с ключевой информацией в разъем своего АРМ. Если носитель зарегистрирован в системе, то программа переходит к следующему шагу аутентификации.

Пользователи информационной системы учета заявок входят в систему посредством формы авторизации, представленной на рисунке 4.1. Пользователь системы указывает логин и пароль, в соответствии с которым получает уровень доступа к системе.

Рисунок 4.1 - Форма авторизации

В момент авторизации определяются полномочия пользователя. Они задают, какие разделы системы (пункты меню) ему доступны и какие действия он может выполнять.

После авторизации пользователя откроется стартовая страница системы - раздел "Заявки". На рисунке 4.2 отображены все возможные пункты меню информационной системы учета заявок предприятия. Это основной раздел информационной системы, в котором можно увидеть весь перечень заявок, посмотреть полную информацию о них, узнать их статус, отфильтровать нужные заявки, экспортировать данный в Excel, упаковать данные в таблицах и узнать краткую информацию о программе.

Если необходимо зайти в информационную систему учета заявок под учетной записью другого пользователя, нажмите кнопку "Сменить пользователя", в результате появится диалоговое окно с подтверждением вашего решения. Нажмите кнопку "Да". Снова появится форма авторизации пользователей (рисунок 4.1).

Рисунок 4.2 - Раздел "Заявки"

Раздел "Пользователи" представлен на рисунке 4.3. Раздел доступен администратору и пользователям с соответствующими полномочиями. В разделе возможно создание, удаление и редактирование пользователей системы, назначение пользователям прав доступа. Раздел "Предприятие" представлен на рисунке 4.4. Раздел доступен администратору и пользователям с соответствующими полномочиями. В этом разделе представлены список отделов и должностей сотрудников предприятия, участвующих в обработке заявок. В разделе возможно создание, удаление и редактирование структурных подразделений и должностей предприятия.

Рисунок 4.3 - Раздел "Пользователи"

Рисунок 4.4 - Раздел "Предприятие"

Раздел "Сотрудники" представлен на рисунке 4.5. Раздел доступен администратору и пользователям с соответствующими полномочиями. В этом разделе представлен весь список сотрудников предприятия.

Рисунок 4.5 - Раздел "Сотрудники"

Раздел "Редактирование заявок" представлен на рисунке 4.6. Это основной раздел системы, где ведется работа с заявками: добавление и обработка, в соответствии с предоставленными пользователю полномочиями.

Рисунок 4.6 - Раздел "Редактирование заявок"

4.5 Работа с заявками

Создание заявки. После успешной авторизации на вкладке "Редактирование заявок", откроется список заявок предприятия (рисунке 4.6), для создания новой заявки активируйте панель "Создать новую заявку", представленную на рисунке 4.7, и заполните необходимые поля. Нажмите кнопку "Добавить". В списке заявок отобразится добавленная.

Рисунок 4.7 - Создание новой заявки

Изменение заявки. Система позволяет изменять все поля заявки, в соответствии с полномочиями пользователя, кроме ее статуса, который присваивается информационной системой автоматически. Для изменения заявки на закладке "Редактирование заявок" (рисунок 4.6) выберите интересующую вас запись. На панелях редактирования появится информация, соответсвующая выбранной заявке, представленная на рисунке 4.8. Внесите необходимые изменения и нажмите кнопку "Изменить".

Рисунок 4.8 - Изменение заявки

Удаление заявки. Удалять заявку может только пользователь, обладающий полномочием удалять заявки. Для удаления заявки на закладке "Редактирование заявок" (рисунке 4.6) выберите интересующую вас запись. На панелях редактирования появится информация, соответсвующая выбранной заявке. Нажмите кнопку "Удалить заявку".

4.6 Интерфейс информационной системы учета заявок

Для навигации в системе, переходов между ее разделами, используется верхнее меню, представленное на рисунке 4.9.

Рисунок 4.9 - Верхнее меню информационной системы

Набор разделов в меню зависит от прав доступа пользователя. Раздел "Заявки" доступен пользователям с минимальным набором прав доступа.

Чтобы установить фильтр, активизируйте панель "Фильтры", представленную на рисунке 4.10. Откроется форма настроек фильтра. Условия фильтрации зависят от типа поля. Отметьте названия полей, по которым необходимо отфильтровать данные. Таблица автоматически обновится, и в списке отобразятся записи, удовлетворяющие указанной схеме фильтра. Для сброса настроек фильтра необходимо очистить все поля.

Рисунок 4.10 - Фильтры

Для быстрой сортировки следует кликнуть мышью по названию колонки в списке. Это приведет к сортировке записей по возрастанию значений в колонке. Нажав на заголовок другой колонки, вы снимите предыдущую настройку сортировку и включите другую.

4.7 Дополнительные возможности системы

Для передачи данных в Microsoft Office Excel нажмите кнопку "Экспорт в Excel". Это приведет к появлению нового окна, представленного на рисунке 4.11.

Выберите соответствующие поля для экспорта и нажмите кнопку "Экспорт в Excel". Можно задать временные интервалы, по обработке заявок. В результате данные будут экспортированы в Microsoft Office Excel. Пример экспорта данных в Microsoft Office Excel представлен на рисунке 4.12.

Рисунок 4.11 - Экспорт данных в Microsoft Office Excel

Рисунок 4.12 - Экспортированные данные

Для упаковки данных в таблицах нажмите кнопку "Упаковка таблиц". Это приведет к появлению нового окна, представленного на рисунке 4.13.

Рисунок 4.13 - Упаковка таблиц

Выберите соответствующие таблицу из базы данных для упаковки и нажмите кнопку "Экспорт в Excel". Программа покажет размер одной записи в таблице в байтах и количество записей в таблице. В результате данные в соответствующей таблице будут упакованы.

Для получения краткой информации об информационной системе учета заявок нажмите кнопку "О программе", в результате появится окно, представленное на рисунке 4.14

Рисунок 4.14 - О программе

.8 Выводы

В главе были рассмотрены требования, предъявляемые к интерфейсу информационной системы учета заявок предприятия со встроенными модулями защиты, согласно обозначенным этапам проектирования, построен интерфейс пользователя:

1.При работе с программой выполняется ряд шагов, прозрачных для пользователя.

2.В информационной системе учета заявок самыми высокими правами и полномочиями обладает администратор, который может:

-создавать пользователей, присваивать им идентификаторы, редактировать их права и полномочия, удалять пользователей;

-формировать и раздавать соответствующий ключевой материал, хранящийся на USB-носителе;

-периодически проводить смену ключа для шифрования и дешифрования таблиц базы данных.

3.Полномочия пользователей при работе с информационной системой учета заявок предприятия осуществляется в соответствии с персональным уровнем доступа.

Разработанные модули администрирования и шифрования данных информационной системы учета заявок предприятия удовлетворяют всем требованиям, определенным на этапе проектирования системы.

5. БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ ПРОЕКТА

5.1 Анализ основных опасных и вредных факторов на рабочем месте

Работа оператора ПЭВМ относится к категории работ, связанных с опасными и вредными условиями труда. В процессе труда на оператора ПЭВМ оказывают действие следующие опасные и вредные производственные факторы [20]:

) физические:

-повышенные уровни электромагнитного излучения;

-повышенный уровень статического электричества;

-повышенные уровни запыленности воздуха рабочей зоны;

-повышенный уровень шума;

-повышенный уровень прямой блесткости;

-повышенный уровень отраженной блесткости;

-повышенная яркость светового изображения;

-повышенный уровень пульсации светового потока;

) химические:

-повышенное содержание в воздухе рабочей зоны двуокиси углерода, озона, аммиака, фенола, формальдегида и полихлорированных бифенилов;

3) психофизиологические:

-напряжение зрения;

-напряжение внимания;

-интеллектуальные нагрузки;

-эмоциональные нагрузки;

-длительные статические нагрузки;

-монотонность труда;

-большой объем информации обрабатываемой в единицу времени;

-нерациональная организация рабочего места;

) биологические:

-повышенное содержание в воздухе рабочей зоны микроорганизмов.

5.2 Обеспечение безопасности на рабочем месте

Рабочее место находится в здание предприятия, которое имеет 9 уровней и находится в центральном районе города, кабинет расположен на восьмом этаже. Рабочее помещение не граничит с помещениями, в которых уровни шума и вибрации превышают нормируемые значения. Длина рабочего помещения - 5 , ширина - 3 , высота - 2,5 . Площадь и объем рабочего помещения для пользователей удовлетворяют требованиям СанПиН. В помещении, в котором работа на ВДТ и ПЭВМ является основной, обеспечиваются оптимальные параметры микроклимата. Работа оператора ЭВМ относится к легкой-1б категории тяжести работ [15], параметры микроклимата которой приведены (таблица 5.1).

Таблица 5.1 - Оптимальные нормы микроклимата для помещений с ВДТ и ПЭВМ

Период годаКатегория работТемпература воздуха, 0 не болееОтносительная влажность воздуха, %Скорость движения воздуха, ХолодныйЛегкая - 1а22-2440-600,1Легкая - 1б21-2340-600,1ТеплыйЛегкая - 1а23-2540-600,1Легкая - 1б22-2440-600,2

Помещение оборудовано кондиционером типа Riolsen RAS 12GW, рабочий диапазон температур от до , предусмотрена очистка от пыли. В помещении имеется одно окно, общей площадью 3, выходящее на север. Окраска стен имеет зеленый цвет, пол паркетный, потолок - белый. Коэффициент отражения для потолка заключен в пределах: 60 - 70%, стен - 40 - 50%, пола - 30%, для других поверхностей и рабочей мебели 30 - 40%. Батареи центрального отопления плотно закрыты деревянной решеткой. Для обеспечения санитарно-гигиенических требований в здании предусмотрена туалетная комната, комната отдыха. Рабочее место оборудовано системным блоком, монитором, принтером, звуковыми колонками и средствами ввода информации (мониторы Sony Trinitron 17", системным блоком ПЭВМ на базе процессора Pentium IV, лазерный принтер HP LaserJet 1100). Расположено рабочее место боком к окну, как показано на рисунке 5.1. Задняя крышка монитора развернута в сторону стены, что позволяет существенно снизить эффект блика на мониторах, установлен светильник местного освещения для подсветки документов. Монитор, принтер, системный блок, клавиатура и манипулятор пользователя расположены на столе, высотой 750 , размеры поверхности крышки стола 0,8 в ширину и 0,8 в длину, что соответствует СанПиН. Расстояние между глазами оператора и экраном видеодисплея - 70 . Свободное место под столом для ног в глубину 650 оборудовано подставкой для ног, имеющей ширину 300 , глубину - 400 , регулировку по высоте в пределах до 150 и по углу наклона опорной поверхности подставки до 20 градусов. Поверхность подставки рифленая и имеет по переднему краю бортик высотой 10 .

Рисунок 5.1 - Планировка рабочего места

Используется стул для работников, снабженный подъемно-поворотным механизмом с высотой сиденья в пределах 400 - 500 , глубиной - 400 , шириной - 450 , высотой опорной поверхности спинки 350 , шириной - 400 , регулируемыми подлокотниками по высоте над сиденьем в пределах 230 ± 30 и внутренним расстоянием между подлокотниками в пределах 350 - 500 .

Этот тип стула позволяет изменять угол наклона спинки стула к плоскости сиденья, что позволяет работнику чувствовать себя комфортно и долгое время не утомляться во время пользования рабочим местом.

Трудовая деятельность оператора имеет 3 категории тяжести и напряженности работы, которые определяются: для группы А - по суммарному числу считываемых знаков за рабочую смену, но не более 60 000 знаков за смену; для группы Б - по суммарному числу считываемых или вводимых знаков за рабочую смену, но не более 40 000 знаков за смену; для группы В - по суммарному времени непосредственной работы за рабочую смену, но не более 6 часов за смену.

На автоматизированном рабочем месте осуществляется ввод информации в систему, ее дальнейшее использование для запросов и отчетов. Автоматизированное рабочее места относится к группе А, поэтому необходимо предусмотреть перерывы через 2 часа от начала рабочей смены и через 2 часа после обеденного перерыва продолжительностью 15 минут каждый. В случаях, когда характер работы требует постоянного взаимодействия с компьютером (набор текстов или ввод данных и т. п.) с напряжением внимания и сосредоточенности, при исключении возможности периодического переключения на другие виды трудовой деятельности рекомендуется организация перерывов на 10 - 15 через каждые 45 - 60 работы.

Одним из важных показателей является освещенность. Рекомендуемая освещенность составляет при комбинированной системе освещения 750 , при общей 300 , согласно СанПиН [19]. Источник освещения выбран, в соответствии с видом работ, производимых в помещении, лампы типа ЛБ-40, которые попарно соединяются в светильники, и располагаются рядами, параллельными оконным проемам.

Для защиты человека от поражения электрическим током предусмотрено: зануление, изоляция электрической проводки (двойная рабочая изоляция сопротивлением 5 ), использование знаков безопасности (указание напряжения в сети около источников напряжения).

5.3 Обеспечение пожарной безопасности предприятия

Основными причинами возникновения пожара в кабинетах могут явиться:

пробой изоляции;

короткое замыкание;

несоблюдение мер противопожарной безопасности.

В целях уменьшения вероятности возникновения пожара вследствие короткого замыкания необходимо, чтобы электропроводка была скрытой. Целесообразно регулярно проводить среди работников инструктаж по пожарной безопасности. Пожарная безопасность кабинетов обеспечивается применением первичных средств пожаротушения: огнетушителей ОУ-2, автоматических установок пожарной сигнализации и пожаротушения (дымовых датчиков КН-1). На каждом этаже расположен план эвакуации. Организована громкоговорящая связь для своевременного оповещения и эвакуации людей.

Здание выполнено с несущими и ограждающими конструкциями из бетона и железобетона, с применением плитных негорючих материалов. В соответствии со СНиП здание принадлежит I классу огнестойкости основных строительных конструкций. Несущие и осаждающие конструкции из естественных или искусственных каменных материалов, бетона или железобетона с применением листовых и плитных негорючих материалов. Строительные материалы относятся к негорючим (НГ). Здание относится к категории Д [18].

Во избежание возгорания вся проводка расположена под слоем штукатурки, на потолке имеются 2 датчика теплового извещателя типа ИТМ (температура срабатывания - 70 + 70 , продолжительность срабатывания не более 120 секунд, защищаемая площадь 15 ) и огнетушитель порошковый марки ОП-2(б)-1А (Пригоден для тушения пожаров электрооборудования под напряжением до 1000 . для пожаров класса В и С), на этаже, где расположено помещение и в нем самом находится план эвакуации из здания в случае чрезвычайной ситуации [16, 17].

Для предотвращения возгорания в зоне расположения ПЭВМ обычных горючих материалов (бумага) и электрооборудования, приняты следующие меры: в помещении размещен углекислотный огнетушитель типа ОУ-8, имеется в наличие телефонная связь и пожарная сигнализация.

Пользователи допускаются к работе на персональных ЭВМ только после прохождения инструктажа по безопасности труда и пожарной безопасности.

При возникновении пожара или при чрезвычайной ситуации весь персонал должен принять меры к отключению персональных компьютеров от сети, а так же всех электроприборов, находящихся в кабинетах. После того как все первичные меры приняты персоналом на месте, персонал обязан эвакуироваться из здания.

Необходимо определить время эвакуации из кабинета сотрудников предприятия при возникновении пожара в здании. Здание девятиэтажное, имеет размеры в плане , в его коридорах шириной 3 имеются схемы эвакуации людей при пожаре. Кабинет объемом 37,5 расположен на восьмом этаже. Лестничные клетки имеют ширину 1,5 и длину 10 . В кабинете работает 1 человек. На каждом этаже работают по 50 человек. Схема эвакуации из здания представлена на рисунке 5.2.

Расчет времени эвакуации на предприятии проводится в соответствии с ГОСТ 12.1.004-91 ССБТ "Пожарная безопасность. Общие требования" [14].

1.По категории помещение относится к группе Д и I степени огнестойкости.

2.Критическая продолжительность пожара по температуре рассчитывается по формуле с учетом мебели в помещении:

(5.1)

где - объем воздуха в рассматриваемом здании или помещении, ;

Рисунок 5.2 - Схема эвакуации сотрудников предприятия

- удельная изобарная теплоемкость газа, (Удельная теплоемкость сухого воздуха при атмосферном давлении 760 , при температуре от 60 до 120 составляет 1009 );

- критическая для человека температура, равная 70 ;

- начальная температура воздуха равна 20 ;

- коэффициент, характеризующий потери тепла на нагрев конструкций и окружающих предметов принимается в среднем равным 0,5;

- теплота сгорания веществ, (теплота сгорания древесины (мебели в жилых и административных зданиях 8 - 10%) равна );

- весовая скорость горения, (весовая скорость горения древесины (мебели в жилых и административных зданиях 8 - 10%) равна );

v - линейная скорость распространения огня по поверхности горючих веществ, (для древесины (мебели в жилых и административных зданиях 8 - 10%) равна ).

Подставив значения в формулу (5.1), имеем:

3.Критическая продолжительность пожара по концентрации кислорода рассчитывается по формуле:

(5.2)

где- расход кислорода на сгорание 1 горючих веществ, , (составляет 4,76).

Подставив значения в формулу (5.2), имеем:

.Минимальная продолжительность пожара по температуресоставляет 3,6 . Допустимая продолжительность эвакуации для данногопомещения:

(5.3)

где - коэффициент безопасности, зависящий от степени противопожарной защиты здания (в производственных зданиях при наличии средств автоматического тушения и оповещения о пожаре ).

Подставив значения в формулу (5.3), имеем:

.Время задержки начала эвакуации принимается 4,1 с учетом того, что здание имеет автоматическую систему сигнализации и оповещения о пожаре.

.Для определения времени движения людей по первому участку, с учетом габаритных размеров кабинета , определяется плотность движения людского потока на первом участке по формуле:

.(5.4)

где - число людей на -ом участке, ;

- средняя площадь горизонтальной проекции человека, .;

и - длина и ширина -го участка пути, .

Подставив значения в формулу (5.4), имеем:

Время движения по первому участку рассчитывается по формуле:

,(5.5)

Где - скорость движения на -ом участке.

Скорость движения составляет 100 , интенсивность движения 1 , т.о., подставив значения в формулу (5.5), время движения по первому участку:

.Интенсивность движения в проеме шириной рассчитывается по формуле:

.(5.6)

Подставив значение в формулу (5.6), имеем:

Время движения в проеме определяется по формуле:

.(5.7)

Подставив значения в формулу (5.7), имеем:

8.Так как на восьмом этаже работает 50 человек, подставив значения в формулу (5.4), получим плотность людского потока восьмого этажа:

Скорость движения составляет 80 , интенсивность движения 8 , т.о., подставив значения в формулу (5.5), время движения по второму участку (из коридора на лестницу):

9.Для определения скорости движения по лестнице рассчитывается интенсивность движения на третьем участке по формуле:

, (5.8)

Где , - ширина рассматриваемого -гo и предшествующего ему участка пути, ;

, - значения интенсивности движения людского потока по рассматриваемому -му и предшествующему участкам пути, .

Подставив значения в формулу (5.8), имеем:

Это показывает, что на лестнице скорость людского потока снижается до 40 . Подставив значения в формулу (5.5), время движения по лестнице вниз (3-й участок) равняется:

10.При переходе на первый этаж происходит смешивание с потоком людей, двигающихся по первому этажу, подставив значения в формулу (5.4), получим плотность людского потока первого этажа:

При этом интенсивность движения составит около 8 .

11.При переходе на 4-й участок происходит слияние людских потоков, поэтому интенсивность движения определяется по формуле:

(5.9)

где - интенсивность движения людских потоков, сливающихся в начале участка, ;

- ширина участков пути слияния, ;

- ширина рассматриваемого участка пути, .

Подставив значения в формулу (5.9), имеем:

Скорость движения равняется 40 , поэтому, подставив значения в формулу (5.5), время движения по коридору первого этажа (4-й участок) равняется:

.Тамбур при выходе на улицу имеет длину 5 , на этом участке образуется максимальная плотность людского потока, поэтому скорость падает до 15 , а время движения по тамбуру, согласно формуле (5.5) составит:

.При максимальной плотности людского потока интенсивность движения через дверной проем на улицу шириной более 1,6 - 8,5 , подставив значения в формулу (5.7), получим время движения через него:

Расчетное время эвакуации рассчитывается по формуле:

(5.10)

Подставив полученные значения в формулу (5.10), имеем:

14.Таким образом, расчетное время эвакуации из кабинета предприятия составляет 9,67 . Фактическое время эвакуации превышает критическую продолжительность пожара по концентрации кислорода, следовательно, необходимо предусмотреть мероприятия по снабжению эвакуируемых средствами индивидуальной защиты их органов зрения и дыхания. При этом средства индивидуальной защиты людей должны обеспечивать их безопасность в течение времени, необходимого для эвакуации людей в безопасную зону, или в течение времени, необходимого для проведения специальных работ по тушению пожара; средства индивидуальной защиты людей должны применяться как для защиты эвакуируемых и спасаемых людей, так и для защиты пожарных, участвующих в тушении пожара. Конструкция средств индивидуальной защиты и спасения граждан при пожаре должна быть надежна и проста в эксплуатации и позволять их использование любым человеком без предварительной подготовки.

5.4 Выводы

Анализ безопасности и экологичности проекта позволяет утверждать, что:

1.Здание выполнено с несущими и ограждающими конструкциями из бетона и железобетона, с применением плитных негорючих материалов. В соответствии со СНиП здание принадлежит I классу огнестойкости основных строительных конструкций. Строительные материалы относятся к негорючим (НГ). Здание относится к категории Д.

2.Основными причинами возникновения пожара в кабинетах могут явиться: пробой изоляции; короткое замыкание; несоблюдение мер противопожарной безопасности.

.В целях уменьшения вероятности возникновения пожара вследствие короткого замыкания необходимо, чтобы электропроводка была скрытой. Целесообразно регулярно проводить среди работников инструктаж по пожарной безопасности.

.При возникновении пожара или при чрезвычайной ситуации весь персонал должен принять меры к отключению персональных компьютеров от сети, а так же всех электроприборов, находящихся в кабинетах. После того как все первичные меры приняты персоналом на месте, персонал обязан эвакуироваться из здания.

В ходе выполнения проекта была определена схема эвакуации сотрудников предприятия и произведен расчет времени эвакуации при возникновении пожара. Фактическое время эвакуации превышает критическую продолжительность пожара по концентрации кислорода, поэтому, дополнительно были предусмотрены мероприятия по снабжению эвакуируемых средствами индивидуальной защиты органов дыхания.

6. РАСЧЕТ ТЕХНИКО-ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА

6.1 Описание проекта

Информационная система учета заявок предприятия автоматизирует процесс постановки на учет налогоплательщиков в налоговом органе. Система является эффективным средством автоматизации процесса обработки заявок, что позволяет снизить нагрузку сотрудников предприятия и автоматизировать их труд, а также позволяет вести контроль за выполнением процесса от момента подачи заявления, до получения заявителем документов. Разработка модулей администрирования и шифрования данных для информационной системы учета заявок предприятия, обеспечивает целостность и конфиденциальность данных, доступ к которым ограничен, предоставление надежного и защищенного доступа к конфиденциальной информации для пользователей информационных ресурсов организации на территории любого предприятия, входящего в его состав, в соответствии с предоставленными пользователю полномочиями.

Программный продукт применяется в помещениях, оснащенных персональными электронно-вычислительными машинами (ПЭВМ), подключенными к локальной сети. Базы данных хранятся на сервере, к которому подключаются все клиенты-пользователи. Для нормального функционирования системы на каждой ПЭВМ должны быть установлены MS OFFICE и BDE.

Информационная система при работе обслуживается администратором, который дает разрешение на доступ к тем или иным папкам и файлам. Защита данных от несанкционированного доступа и прямого доступа к базе данных осуществляется с помощью модулей шифрования и администрирования данных.

Для разработки программного обеспечения, реализующего необходимый функционал, выбрана среда разработки Borland Delphi 7.

Приложение разработано под платформу Win 32 (Microsoft Windows 98/Ме, Microsoft Windows 2000, Microsoft Windows XP)

Для нормального функционирования системы рекомендуется следующая аппаратная платформа для рабочей станции:

процессор с тактовой частотой 2.13 ГГц и выше;

память 512 Мб и выше;

видеосистема, поддерживающая разрешения не ниже 1024x768;

жесткий диск 10 Гб;

при работе в сети наличие сетевого адаптера, желательно на 100 Мбит.

6.2 Расчет трудоемкости разработки программного продукта

При выполнении расчета времени разработки программного продукта следует учитывать следующие работы на следующих стадиях:

техническое задание;

эскизный проект;

технический проект;

рабочий проект;

внедрение программы.

В проекте каждая из стадий имеет следующие трудоёмкости:

техническое задание 10 дней;

эскизный проект 20 дней;

технический проект 30 дней;

рабочий проект 40 дней;

внедрение проекта 15.

При расчете фактических затрат времени на программирование необходимо учесть влияние таких факторов, как:

-количество разновидностей форм входной информации;

-количество форм выходной информации;

-степень новизны комплекса задач;

сложность алгоритма;

виды используемой информации;

сложность контроля входной и выходной информации;

объем входной информации;

использование типовых проектных решений.

Предусматриваются четыре степени новизны разрабатываемых задач:

А - разработка комплекса задач, предусматривающая применение принципиально новых методов разработки, проведение научно-исследовательских работ;

Б - разработка типовых проектных решений, оригинальных задач и систем, не имеющих аналогов;

В - разработка проекта с использованием типовых проектных решений, при условии их изменения; разработка проектов, имеющих аналогичные решения;

Г - привязка типовых проектных решений.

По степени новизны комплекса задач разработка информационной системы учета заявок предприятия относится к группе Б - "разработка типовых проектных решений, оригинальных задач и систем, не имеющих аналогов", так как в настоящий момент такого вида программ на рынке не существует.

Рассмотрим сложность и трудоемкость алгоритма. Сложность и трудоемкость алгоритма представляется тремя группами:

алгоритмы оптимизации и моделирования систем и объектов;

алгоритмы учета и отчетности, статистики и поиска;

алгоритмы, реализующие стандартные методы решения, а также не предусматривающие применения сложных численных и логических методов.

Сложность программы при разработке была определена как: алгоритмы учета и отчетности, статистики и поиска.

Трудоемкость разработки проекта зависит также от:

-вида используемой информации: ПИ - переменной информации (8 формы); НСИ - нормативно-справочной информации (12 форм); БД - баз данных (25 формы);

разработки и режима работы: РВ - режим работы в реальном времени; ТОУ - телекоммуникационная обработка данных и управление удаленными объектами;

от объема входной информации.

Система относится к системе ТОУ.

Сложность организации контроля входной и выходной информации представлена следующим группами:

11- входные данные и документы разнообразного формата и структуры. Контроль осуществляется перекрестно, т.е. учитывается связь между показателями различных документов;

12- входные данные и документы однообразной формы и содержания, осуществляется формальный контроль;

21- печать документов сложной структуры разнообразной формы и содержания;

22- вывод массивов данных на магнитные носители [36].

Система предполагает следующий уровень сложности:

входная информация - 11;

выходная информация - 21.

При расчете трудоемкости необходимы поправочные коэффициенты. Поправочные коэффициенты работ на стадиях "Технический проект" (, ,) и "Рабочий проект" (, ,) приведены в таблицах 6.1 и 6.2.

Таблица 6.1 - Поправочные коэффициенты для определения трудоемкости работ стадии "технический проект" (, , )

Вид используемой информацииСтепень новизныАБВГПИ1,701,201,000,50НСИ1,451,080,720,43БД4,373,122,081,25

Таблица 6.2 - Поправочные коэффициенты для определения трудоемкости работ стадии "Рабочий проект" (, , )

Вид используемой информацииГруппа сложности алгоритмаСтепень новизныАБВГПИ12,271,621,200,6522,021,441,100,5831,681,201,000,48НСИ11,360,970,650,4021,210,860,580,3431,010,720,480,29БД11,440,810,540,3221,050,720,480,2930,850,600,400,24

При использовании информации различных видов поправочный коэффициент на стадиях "Технический проект" и "Рабочий проект" рассчитывается по формуле:

, (6.1)

где - поправочный коэффициент;

, , - поправочные коэффициенты согласно таблице 6.1 и таблице 6.2.

- количество наборов данных переменной информации (ПИ), нормативно-справочной информации (НСИ), информации при использовании банка данных (БД) соответственно.

Технический проект:

Рабочий проект:

Поправочные коэффициенты, учитывающие сложность контроля входной и выходной информации на стадиях "Рабочий проект" и "Внедрение" приведены в таблице 6.3.

Таблица 6.3 - Поправочные коэффициенты, учитывающие сложность контроля входной и выходной информации на стадиях "рабочий проект" и "внедрение"

Сложность контроля входной информацииСложность контроля выходной информации2122111,161,07121,081,00

Поправочные коэффициенты, учитывающие вид информации на стадиях "Рабочий проект", "Внедрение" и "Технический проект" приведены в таблице 6.4. Поскольку, в разрабатываемой программе используется система управления базами данных (СУБД), к норме времени работы ЭВМ следует применять коэффициент 1,1.

Таблица 6.4 - Поправочные коэффициенты, учитывающие вид информации на стадиях "рабочий проект", "внедрение" и "технический проект"

Стадия разработки проектаВид обработкиСтепень новизныАБВГТехнический проектРВ1,671,451,261,10ТОУ1,751,521,361,15Рабочий проектРВ1,751,521,361,15ТОУ1,921,671,441,25ВнедрениеРВ1,601,391,211,05ТОУ1,671,451,261,10

Расчет общей трудоемкости определяется как произведение всех применяемых коэффициентов по следующей формуле:

, (6.2)

Где - общий поправочный коэффициент; - поправочные коэффициенты, учитывающие влияние факторов на изменение затрат времени при выполнении конкретной стадии проектирования.

Стадии разработки:

техническое задание 10 дней;

эскизный проект 10 дней;

технический проект 10 дней;

рабочий проект 20 дней;

внедрение 10 дней.

Посчитаем коэффициенты на каждом из этапов разработки:

- Эскизный проект.

- Технический проект.

- Рабочий проект.

- Внедрение.

Трудоемкость по этапам с учетом коэффициентов:

техническое задание 10 дней;

эскизный проект () 5 дней;

технический проект () 44 дня;

рабочий проект (38) 38 дней;

внедрение () 15 дней.

Расчет общей трудоемкости разработки проекта производится:

, (6.3)

где - трудоемкость работ по стадиям проектирования (от 1 до ).

дней.

Численность исполнителей, необходимая для выполнения работ по стадиям проектирования и по комплексам задач в целом [36]:

, (6.4)

Где - численность специалистов; - общая трудоемкость разработки проекта; - плановый фонд рабочего времени одного специалиста.

.

Для выполнения задания проекта в срок необходимо привлечение к работе одного специалиста. На всех стадиях проекта требовался постоянный контроль его экономической эффективности. Для расчета экономического обоснования проекта потребовалось привлечение экономиста.

6.3 Расчет коэффициента повышения оперативности принятия решения

Для оценки эффективности используется ряд показателей. Одним из них является коэффициент повышения оперативности принятия решений.

Коэффициент повышения оперативности принятия решений рассчитывается по следующей формуле:

, (6.5)

где - время принятия решения при "ручной" технологии работы;

- время принятия решения при "машинной" технологии работы.

Время выполнения работ при "ручной" и "машинной" обработке данных приведены в таблице 6.5.

Таблица 6.5 - Коэффициенты ручной и машинной обработки

Наименование работыВремя (в часах, минутах, человеко-днях и т.д.)Ручная обработкаМашинная обработкаСбор информации3 0,05 Обработка информации5 0,07 Анализ информации9 0,10 Составление отчетов2,5 0,04 Итого19,50,26

Используя итоговые значения времени выполнения работ при "ручной" и "машинной" технологии работ рассчитаем коэффициент принятия решений:

Коэффициент принятия решений увеличивается в 75 раз, при применении программного продукта.

6.4 Оценка эффективности по комплексному коэффициенту эффективности управления до и после автоматизации

Коэффициент эффективности управления рассчитывается по следующим формулам:

) при увеличении реального значения показателя при улучшении качества управления:

(6.6)

) при уменьшении реального значения показателя при улучшении качества управления:

(6.7)

где - реальное значение -го показателя;

- плановое значение -го показателя [36].

Данные заносятся в таблицу 6.6, а затем производится расчет по формулам (6.6) и (6.7).

Таблица 6.6 - Расчет коэффициента эффективности

ПоказателиЕдиницы измерения№ формулыЗначение показателяЗначение коэффициента эффективностиПланДо автоматизацииПосле автоматизацииДо автоматизацииПосле автоматизацииСбор информациич(6.6)32321310,41Оформлениеч(6.6)16161,510,09Систематизацияч(6.6)88110,125Составление отчетовч(6.6)16200,510,025Доля ошибок%(6.7)10110,051220Контроль достоверностич(6.6)109110,11

Для расчета комплексного коэффициента воспользуемся формулой:

(6.8)

Подставив значения, получим:

Комплексный коэффициент эффективности составляет .

Эффективность автоматизации проекта составляет от реального (запланированного) качества и скорости выполнения работ. То есть качество, и сроки выполнения работ при применении разработанного программного продукта улучшились на ().

6.5 Анализ затрат на разработку программного продукта сотрудниками предприятия

В смету затрат на разработку модулей администрирования и шифрования данных для информационной системы учета заявок предприятия включаются:

) материальные затраты:

лазерные диски CD-R: 20 рублей;

бумага формат А4: 150 рублей;

литература 600 рублей;

картридж 1500 рублей;

2)основная и дополнительная заработная плата разработчика:

основная зарплата: 40768 рублей;

дополнительная зарплата: 4076,8 рублей;

отчисления на социальные нужды: 34% от общейзаработной платы;

3)стоимость машинного времени на подготовку и отладку программ: рубля.

)стоимость инструментальных средств:

операционная система Windows XP: 7000 рублей;

Microsoft Office: 2500 рублей;

средства разработки: 1000 рублей.

) накладные расходы: 20% от основной заработной платы разработчика.

К материальным затратам относится стоимость лазерных дисков CD-R, бумаги, картриджа, литературы. Общая стоимость материальных затрат 2270 рублей ().

Основная заработная плата разработчика рассчитывается по следующей формуле:

, (6.9)

где - среднедневная заработная плата персонала, денежные единицы, рубли; - общая трудоёмкость проекта, дни. Заработная плата в день составит:

, (6.10)

Где - заработная плата разработчика в месяц;

- количество рабочих дней в месяц (22 дня);

рубля.

Тогда основная заработная плата равна:

рублей.

Дополнительная зарплата рассчитывается, как 10% от основной:

рублей.

Общая заработная плата равна рубля.

Отчисления на социальные нужды составляют 34% от общей заработной платы и равняются 15247,232 рублей (). Из них:

Пенсионный фонд - 28%. Отчисления составляют 11659,648 рублей ().

Социальное страхование - 2,9%. Отчисления составляют 1300,4992 рублей ().

ФФОМС - 2,1%. Отчисления составляют 941,7408 рубль ().

ТФОМС - 3%. Отчисления составляют 1345,344 рублей ().

Стоимость машинного времени зависит от себестоимости машино-часа работы ЭВМ и времени работы ЭВМ и включает амортизацию ЭВМ и оборудования и затраты на электроэнергию:

, (6.11)

Где - амортизационные отчисления, денежные единицы;

- стоимость ЭВМ и оборудования: стоимость компьютера 15000 рублей, стоимость принтера 5000 рублей. Итого: рублей.

- норма амортизации, принята равной ;

- время использования оборудования (дни) - равное:

(6.12)

где - затраты времени на разработку технического проекта, рабочего проекта и внедрения соответственно, дни.

дня.

рубля.

Затраты на электроэнергию рассчитываются по формуле:

(6.13)

где - стоимость 1 кВт/ч электроэнергии, денежные единицы (6,983 рублей);

- мощность ЭВМ, кВт (0,7);

- суточное время работы ЭВМ, ч (8 ч);

рублей.

Стоимость инструментальных средств составляет 10500 рублей. Накладные расходы определяются, как 20% от основной заработной платы. Составляют 8153,6 рубль в месяц. Сведем все данные по затратам в таблицу.

Таблица 6.7 - Затраты на разработку программного продукта

Элементы затратЗатраты, рублиМатериальные затраты2270Основная и дополнительная зарплата44844,8Отчисления на социальные нужды15247,232Затраты на оплату машинного времени2420,066Накладные расходы (20%)8153,6Всего72935,698

6.6 Анализ затрат на разработку программного продукта сотрудниками сторонних организаций

Стоимость работ зависит от предъявляемых функциональных требований, используемых технологий, объёма работ, сроков разработки, передачи прав на программный продукт.

Ставки специалистов компании "IT Сфера":

-программист - от 550 до 750 руб. в час (для расчета возьмем 650 рублей в час);

-бизнес-аналитик - 825 руб. в час;

-менеджер проектов - 825 руб. в час;

-тестировщик - 400 руб. в час.

Стоимость составления технического задания (ТЗ) составляет 15 - 20% от стоимости разработки программы. Минимальная стоимость составления ТЗ - 15 000 руб. Работу по составлению технического задания ведёт менеджер проекта совместно с программистами.

На разработку технического задания, эскизного проекта, технического проекта, рабочего проекта и внедрения модулей администрирования и шифрования данных информационной системы учета заявок предприятия понадобится квалифицированная помощь программиста, менеджера проектов и тестировщика. Так как работу по разработке будет вести 3 специалиста, соответственно общее время разработки можно уменьшить в три раза.

Тогда трудоемкость по этапам составит:

техническое задание - 3 дня;

эскизный проект - 2 дня;

технический проект - 15 дней;

рабочий проект - 13 дней;

внедрение - 5 дней

получим, что предприятию нужно оплатить следующие работы:

-программиста - 248 часов (день или 248 часов);

-менеджера проектов - 40 часов (дней или 40 часов);

-тестировщика - 40 часов (5 дней или 40 часов).

С учетом этих данных получим основную заработную плату сотрудников сторонней организации:

рублей.

Кроме этого стоимость технического задания составляет:

рублей.

Соответственно стоимость разработки модуля администрирования и шифрования данных информационной системы учета заявок предприятия составляет:

рублей.

.7 Анализ затрат на внедрение подобного программного продукта

- это универсальная Service Desk система с веб-интерфейсом, позволяющая упростить и автоматизировать учет и обработку заявок, разработанная компанией IntraVision. Оценка стоимости внедрения программного продукта IntraService представлена в таблице 6.8.

Таблица 6.8 - Оценка стоимости программного продукта IntraService

FreelanceSmall BusinessProfessionalEnterprisСтоимость (единоразово) 0060000 руб.95000 руб.Абонентская плата900 руб./мес.3000 руб./мес.00Хостинг на сервере компании--500 руб./ месяц500 руб./ месяцКоличество исполнителей130НеограниченоНеограниченоМесто на диске3GB5GB--Количество клиентовНеограниченоНеограниченоНеограниченоНеограниченоУчет заявок++++Учет трудозатрат++++База знаний++++Создание заявок по письму+++Настраиваемые почтовые уведомления++++Настраиваемые типы заявок--+Интеграция с ActiveDirectory, 1C и др.--++Консультации по настройке2 часа5 часов10 часов20 часов2 часа5 часов10 часов20 часовВыезд специалиста для установки системы---+Исходные коды ---+Возможность доработки---+Обновление системы и техподдержкаБесплатноБесплатно 5000 руб./год. Первый год бесплатно 5000 руб./год. Первый год бесплатно

Необходимым требованиям удовлетворяет максимальная версия программного продукта IntraService - Enterpris. Значит, стоимость внедрения программного продукта равна 95000 рублей.

6.8 Экономическое обоснование

Для расчета экономической эффективности определим приведенные затраты по каждому из вариантов внедрения информационной системы учета заявок предприятия. Для этого необходимо вычислить сумму капитальных и текущих затрат. К капитальным затратам относятся затраты на покупку ЭВМ и прочих аппаратных средств (). К текущим затратам относятся затраты на оплату: программного обеспечения (), инструментальных средств () и на обучение персонала ().

(6.14)

Так как затраты на покупку одного принтера и одной ЭВМ носят капитальный характер, то для расчета применяется следующая формула:

(6.15)

где - затраты капитального характера;

- коэффициент приведения, равный 0,15 [36].

Подставив значения в формулу (6.15), получим:

рублей/год.

Необходимо обучить одного операторов ЭВМ для ввода текущей информации рублей.

Для разработки модулей администрирования и шифрования данных информационной системы учета заявок предприятия сотрудниками предприятия понадобится:

рублей.

Для разработки модулей администрирования и шифрования данных информационной системы учета заявок предприятия сотрудниками сторонней организации понадобится:

рублей.

Для внедрения готового программного продукта, разработанного компанией IntraVision понадобится:

рублей.

Приведем в таблицах 6.9, 6.10 и 6.11 анализ расчета затрат на разработку и внедрение модулей администрирования и шифрования данных информационной системы учета заявок предприятия.

Таблица 6.9 - Расчет затрат на разработку модулей администрирования и шифрования данных информационной системы учета заявок предприятия сотрудниками предприятия

Составные компонентыЗатраты, рублиСтруктура затрат в %Материальные затраты22703Основная и дополнительная зарплата44844,848Отчисления на социальные нужды15247,23216Затраты на оплату машинного времени2420,0663Накладные расходы8153,69Итого себестоимость программного продукта составила72935,69879Затраты на инструментальные средства1050011Затраты на аппаратные средства30003Затраты на обучение одного оператора ЭВМ64357Суммарные затраты на разработку модулей администрирования и шифрования данных информационной системы учета заявок предприятия92870,698100

Таблица 6.10 - Расчет затрат на разработку модулей администрирования и шифрования данных информационной системы учета заявок предприятия сотрудниками сторонней организации

Составные компонентыЗатраты, рублиСтруктура затрат в %Итого себестоимость программного продукта составила21321091Затраты на инструментальные средства105005Затраты на аппаратные средства30001Затраты на обучение одного оператора ЭВМ64353Суммарные затраты на разработку модулей администрирования и шифрования данных информационной системы учета заявок предприятия233145100

Таблица 6.11 - Расчет затрат на разработку информационной системы учета заявок предприятия, разработанной компанией IntraVision

Составные компонентыЗатраты, рублиСтруктура затрат в %Итого себестоимость программного продукта составила9500082Затраты на инструментальные средства105009Затраты на аппаратные средства30003Затраты на обучение одного оператора ЭВМ64356Суммарные затраты на разработку модулей администрирования и шифрования данных информационной системы учета заявок предприятия114935100

Таким образом, для разработки и внедрения модулей администрирования и шифрования данных информационной системы учета заявок предприятия сотрудниками сторонней организации необходимо 233145 рублей, для внедрения готовой информационной системы учета заявок предприятия, разработанной компанией IntraVision - 114935 рублей, а для разработки модулей администрирования и шифрования данных информационной системы учета заявок предприятия сотрудниками предприятия необходимо 92870.698 рублей, что в 2,5 раза и в 1,2 раза меньше альтернативных решений соответственно.

Это показывает экономическую целесообразность внедрения модулей администрирования и шифрования данных информационной системы учета заявок предприятия.

.9 Выводы

Анализ технико-экономической эффективности проекта позволяет утверждать, что:

1.Внедрение модулей администрирования и шифрования данных для информационной системы учета заявок предприятия позволяет повысить качество работы специалистов, предотвратить возможную кражу сведений составляющих налоговую тайну, что показывает коэффициент повышения оперативности принятия решений ().

.Эффективность автоматизации проекта составляет 0,27% от реального (запланированного) качества и скорости выполнения работ. То есть качество, и сроки выполнения работ при применении разработанного программного продукта улучшились на .

.Разработка и внедрение информационной системы учета заявок предприятия потребовали работу одного специалиста в течение 112 дней.

.Полученная заработная плата составляет 44844 рубля 8 копеек.

.Затраты на разработку и внедрение программного продукта составили 92870 рублей 70 копеек.

.Затраты на разработку и внедрение модулей администрирования и шифрования данных для информационной системы учета заявок предприятия сотрудниками предприятия в 2,5 раза меньше затрат, необходимых на привлечение сотрудников сторонней организации, и в 1,2 раза меньше затрат, необходимых на внедрение информационной системы учета заявок предприятия, разработанной компанией IntraVision.

Это показывает экономическую целесообразность внедрения модулей администрирования и шифрования данных информационной системы учета заявок предприятия.

ЗАКЛЮЧЕНИЕ

Сведения, составляющие налоговую тайну, представляют огромный интерес для различного рода злоумышленников, действующих на территории России и за рубежом, и могут повлечь большие экономические потери для налогоплательщиков. Для усовершенствования процедуры учета налогоплательщиков в налоговых органах, была разработана защищенная информационная система учета заявок предприятия.

Система является эффективным средством автоматизации процесса обработки заявок, что позволяет снизить нагрузку сотрудников предприятия и автоматизировать их труд, а также вести контроль за выполнением процесса от момента подачи заявления, до получения заявителем документов. Программа дополняет существующую систему безопасности и помогает администратору бороться с различными видами атак, направленными на преодоления внутренней защиты.

Для обеспечения строгой аутентификации пользователей, контроля доступа в соответствии с избирательным управлением и аудита критических действий пользователей был разработан и внедрен в информационную систему модуль администрирования данных.

Для шифрования трафика между клиентской рабочей станцией и сервером БД, криптографического преобразования тех данных, которые необходимо защитить, и хранения аутентификационной информации и ключей шифрования на персонализированном съемном USB-носителе был разработан и внедрен в информационную систему модуль шифрования данных. Модуль шифрования данных реализован на основе отечественного криптостандарт ГОСТ 28147-89.

Реализация модулей шифрования и администрирования данных позволяет существенно снизить риски от угроз безопасности информационной системе учета заявок предприятия.

При работе с программой выполняется ряд шагов, прозрачных для пользователя. В информационной системе учета заявок самыми высокими правами и полномочиями обладает администратор, который может создавать пользователей, присваивать им идентификаторы, редактировать их права и полномочия, удалять пользователей; формировать и раздавать соответствующий ключевой материал, хранящийся на USB-носителе; периодически проводить смену ключа для шифрования и дешифрования таблиц базы данных. Полномочия пользователей при работе с информационной системой учета заявок предприятия предоставляются в соответствии с персональным уровнем доступа.

В ходе анализа безопасности и экологичности проекта была определена схема эвакуации сотрудников предприятия и произведен расчет времени эвакуации при возникновении пожара. Фактическое время эвакуации превышает критическую продолжительность пожара по концентрации кислорода, поэтому были предусмотрены дополнительные мероприятия по снабжению эвакуируемых средствами индивидуальной защиты органов дыхания.

Анализ технико-экономической эффективности проекта показал целесообразность внедрения модулей администрирования и шифрования данных информационной системы учета заявок предприятия.

Таким образом, разработанные модули администрирования и шифрования данных информационной системы учета заявок для УФНС по СК удовлетворяют всем требованиям, определенным на этапе проектирования системы.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1.Российская Федерация. Законы. Налоговый кодекс Российской Федерации [Текст] : федер. закон : [принят Гос. Думой 16 июля 1998 г. : одобр. Советом Федерации 17 июля 1998 г.]. - М. : Эксмо, 2011. - 1088 с. - 2100 экз. - ISBN 978-5-699-48620-5.

.Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации [Текст] : федер. закон : [принят Гос. Думой 8 июля 2006 г. : одобр. Советом Федерации 14 июля 2006 г.]. - М. : Омега-Л, 2007. - 24 с. - 500 экз. - ISBN 5-370-00202-9, 978-5-370-00202-1.

3.Российская Федерация. Законы. О персональных данных [Текст] : федер. закон : [принят Гос. Думой 8 июля 2006 г. : одобр. Советом Федерации 14 июля 2006 г.]. - М. : Юстицинформ, 2007. - 160 с. - 1000 экз. - ISBN 5-7205-0806-6.

.Постановление Правительства Российской Федерации от 17.05.2002 № 319 "Об уполномоченном федеральном органе исполнительной власти, осуществляющем государственную регистрацию юридических лиц, крестьянских (фермерский) хозяйств, физических лиц в качестве индивидуальных предпринимателей" [Текст].

.Руководящий документ Гостехкомиссии при Президенте России "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" [Текст].

.Положение об Управлении Федеральной налоговой службы по Ставропольскому краю от 21.11.2005 г. [Текст].

.Положение об отделе информатизации и ввода данных предприятия от 31 декабря 2008 г. [Текст].

.Приказ ФНС России от 29.08.2006 № САЭ-3-27/559@ "Об утверждении Концепции информационной безопасности Федеральной налоговой службы" [Текст].

.Приказ ФНС России от 10.06.2008 №ВЕ-4-6/24дсп@ "Об утверждении Концепции построения системы управления информационной безопасностью Федеральной налоговой службы" [Текст].

10.Приказ МНС России от 3.03.2003 № БГ-3-28/96 "Об утверждении Порядка доступа к конфиденциальной информации налоговых органов" [Текст].

11.Приказ ФНС России от 24.11.2006 № САЭ-3-13/804@ "О порядке подключения пользователей к услуге удаленного доступа к федеральным информационным ресурсам, сопровождаемым Межрегиональной инспекцией ФНС России по централизованной обработке данных" [Текст].

12.Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144 [Текст].

.Нормативно-методический документ Гостехкомиссии при Президенте России "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)" [Текст].

.ГОСТ 12.1.004-1999 ССБТ. Пожарная безопасность. Общие требования [Текст] - Взамен ГОСТ 12.1.004-91 ; Введ. 1999-01-01. - М. : Изд-во стандартов, 1999. - 19 с.

15.ГОСТ 12.1.005-2001 ССБТ. Общие санитарно-гигиенические требования к воздуху санитарной зоны [Текст] - Взамен ГОСТ 12.1.005-88 ; Введ. 2001-01-01. - М. : Изд-во стандартов, 2001. - 16 с.

.ГОСТ 12.1.010-1999 ССБТ. Взрывобезопасность. Общие требования [Текст] - Взамен ГОСТ 12.1.010-76 ; Введ. 1999-01-01. - М. : Изд-во стандартов, 1999. - 17 с.

17.ГОСТ 12.1.044-2001 ССБТ. Пожаровзрывоопасность веществ и материалов. Номенклатура показателей и методы их определения [Текст] - Взамен ГОСТ 12.1.044-89 ; Введ. 2001-01-01. - М. : Изд-во стандартов, 2001. - 17 с.

.НПБ 105-95. Определение категорий помещений и зданий по взрывопожарной и пожарной опасности [Текст].

.СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работы [Текст].

20.ТОИ Р 01-00-01-96. Типовая инструкция по охране труда для операторов и пользователей персональных электронно-вычислительных машин (ПЭВМ) и работников, занятых эксплуатацией ПЭВМ и видеодисплейных терминалов (ВДТ) [Текст].

21.Андон, Ф. А. Язык запросов SQL [Текст] : учебный курс / Ф. А. Андон, В. М. Резниченко. - СПб. : Питер, 2006. - 416 с.: ил. - 3000 экз. - ISBN 996-552-192-6.

.Баймакова, И. А. Обеспечение защиты персональных данных [Текст] : методическое пособие / И. А. Баймакова, А. В.Новиков, А. И. Рогачев. - М. : 1С-Паблишинг, 2010. - 214 с.: ил. - 1000 экз. - ISBN 978-5-9677-1417-7.

.Бернет, С. Криптография [Текст] : официальное руководство RSA Security / С. Бернет, С. Пэйн. - М. : БИНОМ, 2002. - 384 с.: ил. - 3000 экз. - ISBN 5-9518-0003-Х.

.Биячуев, Т. А. Безопасность корпоративных сетей [Текст] : учебное пособие / Т. А. Биячуев. - СПб. : СПб ГУ ИТМО, 2004. - 161 с.: ил. - 100 экз. - ISBN 5-469-00394-9

.Шнайер, Брюс. Прикладная криптография [Текст] : протоколы, алгоритмы, исходные тексты на языке Си / Брюс Шнайер. - М. : Триумф, 2002. - 816 с.: ил. - 3000 экз. - ISBN 5-89392-055-40-471-11709-9.

.Венбо, Мао. Современная криптография [Текст] : Теория и практика / Мао Венбо. - М. : Вильямс, 2005. - 786 с.: ил. - 2000 экз. - ISBN 5-8459-0847-7, 0-13-066943-1.

.Гатчин, Ю. А. Основы криптографических алгоритмов [Текст] : учебное пособие / Ю. А. Гатчин, А. Г. Коробейников. - СПб. : ГИТМО(ТУ), 2002. - 29 с.: ил. - 200 экз. - ISBN 5-96178-150-2.

.Громов, В. Н. Delphi 6/7 [Текст] : базы данных и приложения / В. Н. Громов, С. П. Кандзюба. - М. : ДиаСофтЮП, 2002. - 576 с. - 3000 экз. - ISBN 5-93772-061-Х.

.Игнатьев, В. А. Информационная безопасность современного коммерческого предприятия [Текст] / В. А. Игнатьев. - Старый Оскол : ТНТ, 2005. - 448 с.: ил. - 200 экз. - ISBN 5-94178-070-2.

.Коробейников, А. Г. Математические основы криптографии [Текст] : учебное пособие / А. Г. Коробейников. - СПб. : СПбГИТМО(ТУ), 2002. - 41 с. - 150 экз. - ISBN 5-938978-266-2.

.Мельников, В. П. Информационная безопасность и защита информации [Текст] / В. П. Мельников, С. А. Клейменов. - М. : Издательский центр "Академия", 2008. - 336 с.: ил. - 300 экз. - ISBN 5-26718-030-2.

.Понамарев, В. С. Базы данных в Delphi 7 [Текст] / В. С. Понамарев. - СПб. : Питер, 2003. - 224 с.: ил. - 2000 экз. - ISBN 5-3618-030-2.

.Романец, Ю. В. Защита информации в компьютерных системах и сетях [Текст] / Ю. В. Романец, П. А.Тимофеев, В. Ф. Шаньгин. - М. : "Радио и связь", 2006. - 328 с.: ил. - 400 экз. - ISBN 5-1873-030-2.

.Рябко, Б. Я. Основы современной криптографии для специалистов в информационных технологиях [Текст] / Б. Я. Рябко, А. Н. Фионов. - М. : Горячая линия - Телеком, 2005. - 229 с.: ил. - 1000 экз. - ISBN 5-1691-030-2.

35.Садердинов, А. А. Информационная безопасность предприятия [Текст] / А. А. Садердинов. - М. : "Дашков и К", 2005. - 336 с.: ил. - 2000 экз. - ISBN 5-3626-430-2.

36.Скрипкин, К. Г. Экономическая эффективность информационных систем [Текст] / К. Г. Скрипкин. - М. : ДМК Пресс, 2006. - 256 с.: ил. - 3000 экз. - ISBN 5-94074-180-0.

37.Хомоненко, А. Д. Базы данных [Текст] : учебник для вузов / А. Д. Хомоненко, В. М. Цыганков, М. Г. Мальцев.- СПб. : КОРОНА, 2004. - 736 с. - 3000 экз. - ISBN 5-5216-491-2.

38.Чипига, А. Ф. Информационная безопасность автоматизированных систем [Текст] : учеб. пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности / А. Ф. Чипига. - М. : Гелиос АРМ, 2010. - 336 с.: ил. - 500 экз. - ISBN 978-5-85438-183-3.

39.Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей [Текст] : учеб. пособие / В. Ф. Шаньгин. - М. : "ФОРУМ": ИНФРА-М, 2008. - 416 с.: ил. - 300 экз. - ISBN 5-9371-786-2.

40.Ярочкин, В. И. Информационная безопасность [Текст] : учебник для студентов вузов / В. И. Ярочкин. - М. : Академический Проект, 2008. - 544 с.: ил. - 800 экз. - ISBN 5-8473-837-9.

ПРИЛОЖЕНИЕ А

Спецификация таблиц информационной системы учета заявок предприятия

автоматизация криптографический алгоритм программный

База данных информационной системы учета заявок предприятия со встроенными модулями защиты состоит из следующих таблиц:

-Users.DB - таблица, в которой хранятся данные о пользователях информационной системы учета заявок предприятия. Используется для аутентификации и формирования прав и полномочий пользователей.

-Base.DB - основная таблица, в которой хранится вся информация, касающаяся процесса учета заявок.

-Departments.DB - таблица, используемая для справочника "Структурные подразделения предприятия".

-Workers.DB - таблица, используемая для справочника "Сотрудники предприятия".

-Posts.DB - таблица, используемая для справочника "Должности на предприятии".

Спецификация таблиц базы данных информационной системы учета заявок предприятия представлена в таблицах А.1 - А.5.

Таблица А.1 - Спецификация таблицы "Users.DB"

№НаименованиеТипДлинаISNULLUNIQUEКлючПримечание1ID_UserNumber10-+PK Порядковый номер пользователя2NameNumber10--Порядковый номер сотрудника3LoginAlpha50--Идентификатор4ParolAlpha10--Пароль5AccessAlpha10--Уровень доступа

Таблица А.2 - Спецификация таблицы "Base.DB"

№НаименованиеТипДлинаISNULLUNIQUEКлючПримечание1ID_DemandNumber10-+PKПорядковый номер заявки2FormAlpha20--Форма заявки3ApplicantAlpha50--Заявитель4Predostav_DataDate10--Дата подачи заявки5Predostav_NumberNumber10--Номер заявки6Predostav_WorkerNumber10--Порядковый номер сотрудника, принявшего заявку7Postavil_DataDate10--Дата поставки заявки на учет8Postavil_WorkerNumber10--Порядковый номер сотрудника, поставившего заявку на учет9INNAlpha15-+ИНН10Vidacha_DataDate10--Дата выдачи документов11Vidacha_WorkerNumber10--Порядковый номер сотрудника, выдавшего документы12RequisiteAlpha15-+Реквизиты13PoluchilAlpha50--Получатель14StatusAlpha20--Статус заявки

Таблица А.3 - Спецификация таблицы "Departments.DB"

№ п/пНаименованиеТипДлинаISNULLUNIQUEКлючПримечание1ID_DepartmentNumber10-+PKПорядковый номер отдела2DepartmentAlpha70--Название отдела3ChiefAlpha35--Начальник отдела4TelephoneAlpha9--Номер телефон

Таблица А.4 - Спецификация таблицы "Workers.DB"

№ п/пНаименованиеТипДлинаISNULLUNIQUEКлючПримечание1ID_WorkerNumber10-+PKПорядковый номер сотрудника2WorkerAlpha50--ФИО сотрудника3DepartmentNumber10--Порядковый номер отдела4PostNumber10--Порядковый номер должности

Таблица А.5 - Спецификация таблицы "Posts.DB"

НаименованиеТипДлинаISNULLUNIQUEКлючПримечаниеID_PostNumber10-+PK Порядковый номер должностиPostAlpha30--Название должности

ПРИЛОЖЕНИЕ Б

Листинг исходных модулей

GOSTEncryptionGOSTEncryption;=type longint;=type longint;=array[0..31] of byte;=array[0..127] of byte;=array[0..1023] of byte;Table=array[0..127] of byte;=record I1,I2:Item;end;=^TEncKey;=^TExtEncKey;=^TExtTable;Table=^T128Table;=^TImito;=class:TExtEncKey;:DWORD;Gost386;simple(src,dst:pointer;noblocks:DWORD);ExpandKey (src:TPEncKey;dst:TPExtEncKey;:DWORD;:DWORD;:DWORD);:TExtTable;:TEncKey;,I2:Item;Create;destroy;override;EncryptSimple(src,dst:pointer;noblocks:DWORD);DecryptSimple(src,dst:pointer;noblocks:DWORD);GenerateImito(src:pointer;noblocks:DWORD);overload;GenerateImito(src:pointer;noblocks:DWORD;s1,s2:Item);overload;GenerateGamma(dst:pointer;noblocks:DWORD);overload;GenerateGamma(dst:pointer;noblocks:DWORD;var s1,s2:Item);overload;ApplyGamma(src:pointer;gamma:pointer;len:DWORD);SetPassword(pwd:string);Set128Table(p:TP128Table);SetTable(p:TPExtTable);SetKey(p:TPEncKey);;TGOSTEncryption.Create;:integer;Create;:=8;i:=0 to 1023 do[i]:=i mod 255;;TGOSTEncryption.destroy;Destroy;;TGOSTEncryption.Gost386;

@iloop: push EAXEAX,[ESI]ESI,4EAX,8ebx,256EAX,8ebx,256EAX,8ebx,256ebx,3*256EAX,3EAX,EDXEDX@iloop;vesi,vedi,veax,vebx,vecx,vedx:DWORD;PushAll;vesi,esivedi,ediveax,eaxvebx,ebxvecx,ecxvedx,edx;PopAll;esi,vesiedi,vedieax,veaxebx,vebxecx,vecxedx,vedx;TGOSTEncryption.GenerateGamma(dst:pointer;noblocks:DWORD);s1,s2:Item;:=0;s2:=0;(dst,noblocks,s1,s2);;TGOSTEncryption.GenerateGamma(dst:pointer;noblocks:DWORD;var s1,s2:Item);=$01010101;=$01010104;:TPExtEncKey;:TPExtTable;:DWORD;:pointer;:=@ExtKey;:=@ExtChTab;:=noblocks;:=dst;(@Key,k,8,4,KeyMask);PushAlll,0@exEBX,cedi,s2

@circle: mov esi,s1EAX,[esi]EDX,[edi]EAX,C1EDX,C2EDX,0[esi],EAX[edi],EDXESI,kECX,32Gost386esi,cur[ESI],EDX[ESI+4],EAXcur,8l@circle

@ex: call PopAll;;TGOSTEncryption.ApplyGamma(src:pointer;gamma:pointer;len:DWORD);PushAllesi,srcedi,gammaecx,lenecx,0@ex

@l1: mov al,[edi][esi],alesiedi@l1

@ex: call PopAll;TGOSTEncryption.GenerateImito(src:pointer;noblocks:DWORD);(src,noblocks,0,0);;TGOSTEncryption.GenerateImito(src:pointer;noblocks:DWORD;s1,s2:Item);ExtMask:DWORD=$2;:DWORD;:TPExtTable;:TPExtEncKey;,pI2:^DWORD;(@Key,@ExtKey,8,2,ExtMask);:=noblocks;:=@ExtChTab;pk:=@ExtKey;:=@I1;pI2:=@I2;PushAllEAX,s1EDX,s2EBX,ptEDI,srcl,0@ex

@circle: xor EAX,[EDI]EDX,[EDI+4]ECX,16ESI,pkGost386EDI,8l@circle

@ex: mov esi,pI1[esi],eaxesi,pI2[esi],edxPopAll;;TGOSTEncryption.ExpandKey (src:TPEncKey;dst:TPExtEncKey;KeyLength:DWORD;:DWORD;RepeatMask:DWORD);PushAllESI,srcEDI,dstEBX,KeyLengthEBX,2ebx,esiebx,4EAX,EAX

@iloop: cmp EAX,KeyRepeat@exECX,KeyLengthRepeatMask,AX@RevESI,srcmovsd@Incr

@Rev: mov ESI,EBX

@rl: movsdESI,8@rl

@Incr: inc AX@iloop

@ex: call PopAll;TGOSTEncryption.simple(src,dst:pointer;noblocks:DWORD);l:DWORD;:TPExtTable;:TPExtEncKey;:=noblocks;:=@ExtChTab;:=@ExtKey;PushAllebx,ptesi,srcedi,dst

@circle: mov EAX,[esi]EDX,[esi+4]ecx,32esiesi,pkGost386esi[edi+4],EAX[edi],EDXedi,8esi,8l@circlePopAll;;TGOSTEncryption.EncryptSimple(src,dst:pointer;noblocks:DWORD);(@Key,@ExtKey,8,4,KeyMask);(src,dst,noblocks);;TGOSTEncryption.DecryptSimple(src,dst:pointer;noblocks:DWORD);InversedMask:DWORD;:DWORD;:integer;:=0;:=not KeyMask;i:=4 downto 1 do:=InversedMask shl 1;:=InversedMask or NotKeyMask and 1;:=NotKeyMask shr 1;;(@Key,@ExtKey,8,4,InversedMask);(src,dst,noblocks);;TGOSTEncryption.SetPassword(pwd:string);pt:array [0..1023] of byte;,ns2,ns3,ns4:array of byte;:integer;,c1:integer;:integer;,l2:integer;:byte;length(pwd)<1 then exit;(ns1,256);(ns2,256);(ns3,256);(ns4,256);i:=0 to 255 do[i]:=i;[i]:=i;[i]:=i;[i]:=i;;i:=0 to 1023 do[i]:=i mod 256;:=0;l2:=0;:=1;c1:=0;:=0;(l1<3)or(l2<3) doc>Length(pwd) then begin c:=1;inc(l1);end;c1>1023 then begin c1:=0;inc(l2);end;[c1]:=pt[c1] xor b xor ord(pwd[c]);:=b+ord(pwd[c])+c+l1+l2;(c);inc(c1);;i:=0 to 255 do[i]:=ns1[i] xor b;:=pt[b];i:=0 to 255 do[i]:=ns2[i] xor b;:=pt[b];i:=0 to 255 do[i]:=ns3[i] xor b;:=pt[b];i:=0 to 255 do[i]:=ns4[i] xor b;i:=0 to 1023 do ExtChTab[i]:=0;:=0;length(ns1)>0 do:=Length(ns1);:=(pt[c]*1007+ExtChTab[pt[c])mod l1;[256-l1]:=ns1[l];[l]:=ns1[l1-1];(ns1,l1-1);(c);:=(pt[c]*1007+ExtChTab[pt[c]+256])mod l1;[512-l1]:=ns2[l];[l]:=ns2[l1-1];(ns2,l1-1);(c);:=(pt[c]*1007+ExtChTab[pt[c]+512])mod l1;[768-l1]:=ns3[l];[l]:=ns3[l1-1];(ns3,l1-1);(c);:=(pt[c]*1007+ExtChTab[pt[c]+768])mod l1;[1024-l1]:=ns4[l];[l]:=ns4[l1-1];(ns4,l1-1);(c);;i:=0 to 31 do[i]:=0;i:=0 to 1023 do[i]:=pt[i] xor ExtChTab[i];:=0;c:=0;:=0;l1<32 doc1>31 then:=0;i:=0 to 255 do[((i xor b)+(l1+0)*256)mod 1024]:=ExtChTab[(ExtChTab[((i xor b)+(l1+0)*256)mod 1024]+(l1+1)*256)mod 1024];:=ExtChTab[b];i:=0 to 255 do[((i xor b)+(l1+1)*256)mod 1024]:=ExtChTab[(ExtChTab[((i xor b)+(l1+1)*256)mod 1024]+(l1+2)*256)mod 1024];:=ExtChTab[b+256];i:=0 to 255 do[((i xor b)+(l1+2)*256)mod 1024]:=ExtChTab[(ExtChTab[((i xor b)+(l1+2)*256)mod 1024]+(l1+3)*256)mod 1024];:=ExtChTab[b+512];i:=0 to 255 do[((i xor b)+(l1+3)*256)mod 1024]:=ExtChTab[(ExtChTab[((i xor b)+(l1+3)*256)mod 1024]+(l1+4)*256)mod 1024];:=ExtChTab[b+768];(l1);;:=ExtChTab[b] xor ExtChTab[pt[c]+256];[c1]:=ExtChTab[(Key[c1] xor b)+512];:=ExtChTab[(Key[c1] xor b)+768];(c);inc(c1);;;TGOSTEncryption.Set128Table(p:TP128Table);pt:TPExtTable;:=@ExtChTab;PushAllESI,pEDI,ptecx,4

@blocks:mov EBX,ESIEBX,10heCXeCX,16

@lines: push ESIAH,[EBX]eCXCL,4AH,CLECX,16

@bytes: lodsbAL,AH@byteseCXESIEBX@lineseCXESI,20h@blocksPopAll;;TGOSTEncryption.SetTable(p:TPExtTable);pt:TPExtTable;:=@ExtChTab;PushAllesi,pedi,ptecx,1024movsbPopAll;;TGOSTEncryption.SetKey(p:TPEncKey);pk:TPEncKey;:=@Key;PushAllesi,pedi,pkecx,32movsbPopAll;

end;.

ВВЕДЕНИЕ В настоящее время сетевые компьютерные технологии с высокой интенсивностью внедряются во все сферы человеческой жизнедеятельности. Электронная и

Больше работ по теме: