Книга - Проектирование и защита информационных систем

Проектирование и защита информационных систем
Иван Андреевич Трещев

Ян Юрьевич Григорьев


В ходе проектирования информационных систем возникает большое количество вопросов – от выбора метода и средств проектирования до обеспечения информационной безопасности в финальном продукте. Данная книга призвана помочь в выборе средств для проектирования и защиты в созданных системах





Проектирование и защита информационных систем



Иван Андреевич Трещев

Ян Юрьевич Григорьев



Общий анализ Анастасия Сергеевна Ватолина



© Иван Андреевич Трещев, 2020

© Ян Юрьевич Григорьев, 2020



ISBN 978-5-4498-9392-5

Создано в интеллектуальной издательской системе Ridero




ОПРЕДЕЛЕНИЯ


Информационная система – система обработки информации, работающая совместно с организационными ресурсами, такими как люди, технические средства и финансовые ресурсы, которые обеспечивают и распределяют информацию. Представляет совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств.

Корпоративная информационная система – ИС, удовлетворяющая все существующие информационные потребности всех сотрудников, служб и подразделений организации

Операционная система – комплекс программ, которые, с одной стороны, выступают как интерфейс между устройствами вычислительной системы и прикладными программами, а с другой стороны – предназначены для управления устройствами и вычислительными процессами, а также эффективного распределения вычислительных ресурсов между вычислительными процессами и организации надёжных вычислений.




ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ


ИС – информационная система.

КИС – корпоративная информационная система.

ОС – операционная система.

ПО – программное обеспечение

БД – база данных

СУБД – система управления базами данных

СЗИ – средства защиты информации




ВВЕДЕНИЕ


В виду постоянно изменяющейся системы оценки деятельности предприятий, но при этом конечной ориентации на некоторые статичные показатели, например прибыль, существует необходимость автоматизированного сбора данных и оценки динамики по изменению и выполнению основных показателей.

Для реализации этой задачи необходимо создать проект информационной системы деятельности подразделений организации с учетом их взаимодействия, для этого требуется создание процессной модели деятельности соответствующих структур.

При проектировании необходимо заранее продумать единую модульную систему «электронный кабинет», обеспечивающей автоматизацию процессов деятельности подразделений организации.

Эта система должна включить в себя существующие на предприятии, а также принципиально новые, например «Отчет по показателям деятельности подразделений и индивидуальных показателей», «Документооборот».Существующие модули должны быть оптимизированы согласно потребностям конкретных структур.

Разработка информационного модуля «Мониторинг деятельности подразделений», включающий в себя раздел «Личный кабинет»

Раздел «Личный кабинет», будет содержать:

– Результаты деятельности

– Расписание работы.

Отчёт работника по индивидуальным показателя по стандартной электронной форме позволит снизить трудоёмкость процесса сбора и обработки информации. Отчёт формируется работником постепенно, по мере появления того или иного показателя. Чтобы принять отчёт или отправить на доработку, обеспечить доступ к нему руководителям.

Одним из обязательных разделов информационной системы предприятия является социальная сеть.

В качестве примера предприятия в работе рассмотрено высшее учебное заведение, где автоматизированная система сбора данных и оценки деятельности по выполнению основных показателей необходима в условиях созданной рейтинговой системы. Система оценки деятельности ВУЗов постоянно меняется, при этом она ориентирована на аккредитационные показатели. Существующие коммерческие информационные модули имеют слишком общий характер и не могут учесть всю специфику деятельности. Для реализации этой задачи необходимо создать проект информационной системы, основанный на ключевых аспектах деятельности кафедр и деканатов с учетом их взаимодействия с подразделениями ВУЗа. Описав процессную модель деятельности соответствующих структур можно получить оптимальную конфигурацию информационной разработки. Результатом такой работы будет возможность автоматизации всего процесса по сбору, статистической обработке и подготовке отчетности, как на уровне предприятия, так и на уровне учредителя.

Разрабатываемая информационная система должна иметь многоуровневое меню с интуитивно понятным и удобным разделением по разделам, категориям и действиям. Система разграничения прав доступа позволяет добиться гибкости в предоставлении доступа к тем или иным разделам информационной системы, что позволяет унифицировать систему личных кабинетов.

В зависимости от прав доступа авторизованный пользователь получает доступ к объектам системы предназначенных только для той роли, к которой принадлежит данный пользователь.

В каждом личном кабинете присутствует стартовая страница «Dashboard», на которой воедино собраны все основные события и информация, полученная за период отсутствия пользователя в сети (например, уведомления о событиях в календаре пользователя).

В информационной системе должна быть предусмотрена возможность организации обмена сообщениями между пользователями данной системы. Информация о последних сообщениях, а так же доступ к самим сообщениям доступны из меню или со страницы «Dashboard».

Верхний уровень меню организован по видам деятельности. Каждый пункт меню содержит в себе список категорий присущих конкретному виду деятельности, которые в свою очередь должны содержать списки действий для выбранных категорий.




1. ОБОСНОВАНИЕ ВЫБОРА МЕТОДОЛОГИИ. АНАЛИЗ СУЩЕСВУЮЩИХ ИНСТРУМЕНТОВ БИЗНЕС-ПРОЕКТИРОВАНИЯ





1.1. Походы к проектированию информационных систем


В настоящее время используется большое количество подходов, которые позволяют, так или иначе, создавать модели бизнес-процессов предприятий. Их использование гарантирует стандартизированный подход к описанию, позволяет накапливать опыт и практические навыки и на протяжении длительного времени обеспечивать понимание созданных моделей другими сотрудниками. [1,2]

Важнейшими из подходов являются структурный (функциональный), объектно-ориентированный, отдельно выделяется методология ARIS. [3]

На рисунке 4 показано сравнение Business Studio, Aris Toolset и Rational Rose.






Рисунок 1 – Сравнение Business Studio, Aris Toolset и Rational Rose



Таким образом, группой экспертов, было принято решение проектировать информационную систему университета с помощью Business Studio. Основная задача, которую решает Business Studio – это создание комплексной модели, содержащей следующие элементы:

– Стратегия (Система целей и показателей их достижения);

– Модель бизнес-процессов и их KPI;

– Организационная структура;

– Ресурсы и документы;

– Информационные системы. [52,53]




2. ТЕХНИЧЕСКИЕ СРЕДСТВА РЕАЛИЗАЦИИ ПРОЕКТА





2.1. Система проектирования и оптимизации корпоративной структуры – Business Studio


Система бизнес-моделирования Business Studio разработана специально для поддержки полного цикла создания эффективной системы управления компанией: «Проектирование – Внедрение – Контроль – Анализ», позволяя решать следующие задачи:

формализация стратегии;

проектирование бизнес-процессов;

проектирование организационной структуры;

имитационное моделирование и функционально-стоимостной анализ;

разработка ТЗ на внедрение информационных систем;

формирование регламентирующей документации;

доведение документации до сотрудников;

контроль показателей;

анализ показателей;

возможности по внедрению стандартов ISO;

анализ несоответствий, их последствий и причин возникновения.

Возможности системы бизнес-моделирования Business Studio позволили использовать ее как инструмент для моделирования системы управления университетом в рамках данного проекта. Ниже коротко описано содержание задач, решение которых реализовано в Business Studio. [54,55]

В качестве объекта выберем информационную систему Федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Комсомольский-на-Амуре государственный технический университет» (ФГБОУ ВПО КнАГТУ).

Описание организационноой структуры университета

В Business Studio описана организационная структура университета (рисунок 2), а также выделены плоскости BSC-карты: клиенты, обучение и развитие, финансы, внутренние бизнес-процессы. Было проведено распределение целей по плоскостям стратегической карты, что отображено на рисунке 3.






Рисунок 2 – Организационная структура вуза






Рисунок 3 – Распределение целей по плоскостям стратегической карты



В результате распределения целей по плоскостям и формирования связей взаимовлияния целей друг на друга получена стратегическая карта КнАГТУ (рисунок 4)






Рисунок 4 – Стратегическая карта КнАГТУ



Business Studio позволяет определить степень влияния одних целей на другие, показать взамимосвязи целей (рисунок 5—6), в дальнейшем в рамках данного проекта будет определена сила влияния для оценивания результатов.






Рисунок 5 – Редактирование силы влияния одних целей на другие






Рисунок 6 – Редактирование силы влияния одних целей на другие



В модели деятельности КнАГТУ определены и введены процессы верхнего уровня и их подпроцессы в соответствии с существующей моделью деятельности вуза (рисунок 7).






Рисунок 7 —Процессы верхнего уровня



Диаграмма процесса «Деятельность КнАГТУ» представлена на рисунке 8. Диаграмма подпроцесса «Выработка согласованных условий деятельности» представлена на рисунке 9.






Рисунок 8 – Диаграмма процесса «Деятельность КнАГТУ»






Рисунок 9 – Диаграмма процесса «Выработка согласованных

условий деятельности»



Формирование должностных инструкций

В рамках данного проекта в Business Studio были внесены требования к должностям сотрудников: ассистента, старшего преподавателя, ведущего инженера, заведующего кафедрой, доцента, професора. Требования к должностям заполняются в специальных окнах редактирования параметров. На рисунке 10 – 11 отображены диалоговые окна для ввода и редактирования параметров должностей ассистента. Аналогично заполнены параметры других должностей сотрудников подразделений.






Рисунок 10 – Редактирование параметров должности ассистента






Рисунок 11 – Установка параметров объектов



На основании внесенных данных сформированы должностные инструкции сотрудников, включающие общие положения, требования к квалификации, требования к должностным обязанностям, права, ответственность сотрудников.

При необходимости изменения отдельных пунктов должностных инструкций корректируются необходимые параметры объектов в окнах редактирования, при этом автоматически изменяется содержимое должностных инструкций.

Показатели деятельности подразделений и сотрудников

Для осуществления достижения поставленных целей процессов в систему занесены ключевые показатели эффективности (KPI). В тестовом режиме пока на примере одного факультета (рисунок 12)).






Рисунок 12 – Показатели деятельности вуза



Для оценки деятельности подразделений и отдельных сотрудников внесены индивидуальные показатели (рисунок 13).






Рисунок 13— Индивидуальные показатели преподавателя



На рисунке 14 показано диалоговое окно для ввода плановых значений индивидуального показателя.






Рисунок 14 – Заполнение свойств индивидуального показателя

Преподавателя



При соответствующих правах доступа, ответственный за ввод значений может заполнить фактическое выполнение, и, с помощью индикатора, отслеживать выполнение или невыполнение плановых значений. Для расчета рейтинга преподавателя введены формулы для расчета итоговых значений (рисунок 15).






Рисунок 15 – Заполнение свойств для расчета итоговых значений



Сбор и контроль значений показателей на данном этапе (тестовой версии проекта) реализован с использованием файлов Microsoft Excel. Для сбора установленных показателей определены ответственные за ввод значений. При этом ответственным лицам автоматически формируется рассылка информационного письма с перечнем показателей для заполнения и файл Microsoft Excel для ввода фактических значений (рисунок 16).






Рисунок 16 – Таблица для ввода фактических значений



Должностному лицу (например, заведующему кафедрой), контролирующему показатели за определенный период, отправляется файл с информацией о целевых и плановых значениях показателей, дате подведения итогов по целевым значениям.

Кроме индикаторов выполнения показателей контроль значений показателей может осуществляться с помощью диаграмм (рисунок 17).






Рисунок 17 – Динамика показателя за период



Коммерциализация проекта

Проект, созданный в среде Business Studio, может быть коммерциализован посредством выставления его в магазине готовых проектов, поддерживаемом разработчиком. Т.е. использование в качестве инструментария среды buisness studio позволяет распространять выработанное решение через онлайн магазин.




2.2. Выбор языка программирования и СУБД


Создание проекта в среде не дает возможности полной автоматизации, но помогает сформировать техническое задание. Первоначально в качестве средств автоматизации использовалось программное обеспечение на языке PHP, а в качестве системы управления базами данных была выбранаMySQL. Выбор этот подтверждался следующим:

– Необходимость использования современных инструментальных средств, с помощью которых можно создавать функционально насыщенные Internet-приложения.

– В области программирования для сети Интернет PHP – один из популярных скриптовых языков (наряду с JSP, Perl и языками, используемыми в ASP.NET) благодаря своей простоте, скорости выполнения, богатой функциональности, кроссплатформенности и распространению исходных кодов на основе лицензии PHP.

– В настоящее время PHP поддерживается подавляющим большинством хостинг-провайдеров и является одним из лидеров среди языков программирования, применяющихся для создания динамических веб-сайтов. [86]

– Гибкость СУБД MySQL обеспечивается поддержкой большого количества типов таблиц: пользователи могут выбрать как таблицы типа MyISAM, поддерживающие полнотекстовый поиск, так и таблицы InnoDB, поддерживающие транзакции на уровне отдельных записей. Более того, СУБД MySQL поставляется со специальным типом таблиц EXAMPLE, демонстрирующим принципы создания новых типов таблиц. Благодаря открытой архитектуре и GPL-лицензированию, в СУБД MySQL постоянно появляются новые типы таблиц. [87]

MySQL— свободная система управления базами данных. Разработку и поддержку MySQL осуществляет корпорация Oracle, получившая права на торговую марку вместе с поглощённой SunMicrosystems, которая ранее приобрела шведскую компанию MySQL AB. Продукт распространяется как под GNU General Public License, так и под собственной коммерческой лицензией. Помимо этого разработчики создают функциональность по заказу лицензионных пользователей, именно благодаря такому заказу почти в самых ранних версиях появился механизм репликации.






Рисунок 18



Обычно MySQL используется в качестве сервера, к которому обращаются локальные или удалённые клиенты, однако в дистрибутив входит библиотека внутреннего сервера, позволяющая включать MySQL в автономные программы. [88,89]

Используя PHPи MySQL, был написан полностью модуль по проведению Интернет-олимпиад, начата разработка модулей по сбору показателей и успеваемости студентов. При этом были выявлены некоторые трудности, которые заставили перейти на другие средства разработки и управления базами данных. Среди проблем можно назвать следующие:

Несогласованный синтаксис функций и неортогональность

PHP предоставляет разработчикам большое количество самых разнообразных функций, которые попали в язык из расширений, создаваемых разными группами программистов. В результате синтаксис языка не согласован, например, часть функций для работы с массивами начинается с префикса array_, другая часть этим префиксом не обладает. Названия части строковых функций начинается с префикса str, другие функции таким префиксом не обладают. В тех же строковых функциях обрабатываемая строка может передаваться как в качестве первого, так и в качестве последнего аргумента, что вызывает путаницу у программистов, и, следовательно, требует постоянного обращения к документации. Некоторые задачи, например, разбиение строки на массив или подстроки, решаются несколькими функциями. [90,91]

Другая причина отсутствия ортогональности в PHP заключается в особенностях появления этого языка на свет.

Отсутствие обратной совместимости между версиями языка

Нижесказанное относится в большей степени к php> =5.3.0. Версии PHP <5.3.0 сохраняет весьма хорошую обратную совместимость.

Отсутствие поддержки многобайтовых кодировок в ядре языка

Поддержка строк с многобайтовыми кодировками, такими как UTF-8 реализуется через отдельные расширения mbstring и iconv, на уровне ядра поддержка отсутствует, однако с версии PHP 4.2.0 есть возможность переопределять стандартные функции работы со строками, подменяя их на аналоги из mbstring.

Отсутствие поддержки многопоточности

В языке не предусмотрена возможность создания многопоточных приложений и отсутствует поддержка синхронизированного доступа к ресурсам, однако реализуема при помощи расширения PCNTL.

Критика MySQL

MySQL является решением для малых и средних приложений, что затрудняет разработку баз данных для электронной системы предприятия. Учитывая, что большинство существующих информационных систем предприятий или частей данных информационных систем разработаны с использованием MSSQL, а для него характерна плохая совместимость с MySQL, а также необходимость работать с современными технологиями, привели к платформе. NET.

.NET Framework— программная платформа, выпущенная компанией Microsoft в 2002 году. Основой платформы является исполняющая среда Common Language Runtime (CLR), способная выполнять как обычные программы, так и серверные веб-приложения..NET Framework поддерживает создание программ, написанных на разных языках программирования. Краеугольным камнем современного программирования является использование модели Model-view-controller (MVC, «Модель-представление-поведение», «Модель-представление-контроллер») – схема использования нескольких шаблонов проектирования, с помощью которых модель данных приложения, пользовательский интерфейс и взаимодействие с пользователем разделены на три отдельных компонента так, что модификация одного из компонентов оказывает минимальное воздействие на остальные. Данная схема проектирования часто используется для построения архитектурного каркаса, когда переходят от теории к реализации в конкретной предметной области. [92]






Рисунок 19






Рисунок 20. Концепция Model-View-Controller



Назначение

Основная цель применения этой концепции состоит в разделении бизнес-логики (модели) от её визуализации (представления, вида). За счет такого разделения повышается возможность повторного использования. Наиболее полезно применение данной концепции в тех случаях, когда пользователь должен видеть те же самые данные одновременно в различных контекстах и/или с различных точек зрения.

Microsoft SQL Server

Microsoft SQL Server— система управления реляционными базами данных (СУБД), разработанная корпорацией Microsoft. Основной используемый язык запросов —Transact-SQL, создан совместно Microsoft и Sybase. Transact-SQL является реализацией стандарта ANSI/ISO по структурированному языку запросов (SQL) с расширениями. [93,94]






Рисунок 21



Разрабатываемое программное обеспечение в полном объеме базируется на стеке технологий Microsoft, который является частью современной Платформы Microsoft.





Конец ознакомительного фрагмента. Получить полную версию книги.


Текст предоставлен ООО «ЛитРес».

Прочитайте эту книгу целиком, купив полную легальную версию (https://www.litres.ru/pages/biblio_book/?art=55731564) на ЛитРес.

Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.