Разработка системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях

Разработка системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях

Аннотация

Дипломный проект на тему: «Разработка системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях» содержит 85 страниц пояснительной записки, рисунков - 18, таблиц - 12, формул - 6, использованных источников - 25.

Объектом исследования является предприятие Филиал «Заинская ГРЭС» ОАО «Генерирующая компания» крупнейшая тепловая конденсационная электростанция Татарстана.

Целью дипломного проекта является разработка системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях

В результате исследования была обоснована актуальность рассматриваемой тематики, разработана системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях, проанализирована информационная безопасность программы и экономическая эффективность.

Интерпретация экономических расчётов позволяет судить об эффективности капиталовложений, так как показатели экономической эффективности проекта равны: чистый поток денежных средств - 262 тыс. руб.; срок окупаемости (простой) - 2 года, срок окупаемости (дисконтированный) - 2,8 года.

Оглавление

Введение

1.АНАЛИТИЧЕСКАЯ ЧАСТЬ

1.1 Анализ филиала «Заинская ГРЭС» ОАО «Генерирующая компания», основные характеристики и комплекс решаемых задач

1.2 Аналитический обзор существующих решений

1.3 Окружение и функциональные требования, предъявляемые к электротехнической лаборатории

1.4 Обоснование необходимости разработки системы поддержки принятия решений

1.5 Выводы по разделу

2.ПРОЕКТИРОВАНИЕ СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ

2.1 Функциональное моделирование с использованием методологии IDEF

2.2 Выбор и обоснование средств разработки прикладного программного обеспечения

2.3. Выбор системы управления базой данных

2.4 Создание логической модели базы данных

2.5 Создание физической модели базы данных

2.7 Выводы по главе

3.РАЗРАБОТКА СИСТЕМЫ ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ

3.1 Структура системы

3.2 Описание программных модулей

3.3 Вывод по главе

4.ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

4.1 Виды рисков и методы защиты от них

4.2 Информационная безопасность

4.3 Перечень контрмер и расчет их эффективности

4.4 Выводы по главе

5.ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ РАЗРАБОТКИ СИСТЕМЫ

5.1 Расчёт расходов на разработку проекта

5.2 Расчёт прибыли в результате внедрения проекта

5.3 Оценка эффективности капиталовложений

5.4 Выводы по главе

Заключение

Список использованных источников

Введение

команда сигнал автоматика аварийность

Система поддержки принятия решений или СППР (Decision Support Systems, DSS) - это компьютерная система, которая путем сбора и анализа большого количества информации может влиять на процесс принятия решений организационного плана в бизнесе и предпринимательстве. Интерактивные системы позволяют руководителям получить полезную информацию из первоисточников, проанализировать ее, а также выявить существующие бизнес-модели для решения определенных задач. С помощью СППР можно проследить за всеми доступными информационными активами, получить сравнительные значения объемов продаж, спрогнозировать доход организации при гипотетическом внедрении новой технологии, а также рассмотреть все возможные альтернативные решения.[]

СППР позволяет облегчить работу руководителям предприятий и повысить ее эффективность. Они значительно ускоряют решение проблем в бизнесе. СППР способствуют налаживанию межличностного контакта. На их основе можно проводить обучение и подготовку кадров. Данные информационные системы позволяют повысить контроль над деятельностью организации. Наличие четко функционирующей СППР дает большие преимущества по сравнению с конкурирующими структурами. Благодаря предложениям, выдвигаемым СППР, открываются новые подходы к решению повседневных и нестандартных задач.[]

1.Аналитическая часть

1.1 Анализ филиала «Заинская ГРЭС» ОАО «Генерирующая компания», основные характеристики и комплекс решаемых задач

Филиал «Заинская ГРЭС» ОАО «Генерирующая компания» относится к Объединённой энергосистеме Средней Волги (ОЭС). Электростанция находится на территории Республики Татарстан в 1,5 км от границы жилого массива г. Заинска и в 50 км к югу от г. Набережные Челны.

Филиал «Заинская ГРЭС» ОАО «Генерирующая компания» является 100%-м дочерним предприятием ОАО «ТАТЭНЕРГО».

Директором Заинской ГРЭС является Гиззатуллин Руслан Загитович.[]

Филиал «Заинская ГРЭС» ОАО «Генерирующая компания» представляет собой крупное предприятие, построенное в 60-70-е годы.

Установленная мощность на данный период составляет 2400 МВт. Ввод в эксплуатацию действующих энергоблоков осуществлялся в 1963-72 годах.

Проектным топливом для энергоблоков был предусмотрен мазут марки М-40 и М-100.

В дальнейшем было произведено перепроектирование на использование в качестве основного топлива газа Оренбургского месторождения, поступающего на станцию по газопроводу, специально спроектированному для Заинской ГРЭС. Также на Заинской ГРЭС используется попутный газ Миннибаевского нефтяного месторождения.

Выдача мощности в ОЭС Средней Волги осуществляется по ЛЭП напряжением 110,220,500 кВ.[]

1.2 Аналитический обзор существующих решений

В настоящее время на Заинской ГРЭС организованы и действуют следующие системы коммерческого учета:

.Автоматизированная система коммерческого учета газа (АСКУГ).

.Автоматизированная система коммерческого учета электроэнергии (АСКУЭ).

.Автоматизированная система коммерческого учета тепловой энергии (АСКУТ).

Перечисленные выше автоматизированные системы обеспечивают круглосуточный сбор данных по энергоносителям, их обработку, хранение и предоставление этих данных пользователям в удобном виде, что обеспечивает оперативный контроль за входящими и выходящими потоками энергоресурсов, а также дает возможность оценить эффективность работы ГРЭС.

Характеристика АСКУГ. Основным видом топлива на Заинской ГРЭС является природный газ. В связи с его удорожанием поставлена задача по повышению точности и достоверности учета потребления газа, которая решается при внедрении корпоративной автоматизированной системы коммерческого учета.

Узлы коммерческого учета состоят из трех технологических трубопроводов, на которых установлены диафрагмы с угловым отбором давления.

Измеряемая среда - природный газ, имеющий статически постоянный состав в молярных процентах.

Основными параметрами при расчете расхода газа является давление газа в газопроводе, перепад давления на диафрагме, температура, плотность и компонентный состав газа.

Нижний уровень АСКУГ коммерчески аттестован и обеспечивает круглогодичное вычисление расхода и объема потребляемого природного газа без постоянного присутствия обслуживающего персонала на узлах.

Техническими решениями в данном проекте предусматривается:

круглогодичное непрерывное измерение параметров потребляемого газа;

управление работой первичных средств измерений и сбор данных;

расчет расхода газа на основании полученных данных;

автоматическое фиксирование во времени и запоминание нештатных ситуаций;

защита информации;

передача коммерческих данных на верхний уровень АСКУГ с указанием даты и текущего времени;

расход газа, приведенного к нормальным условиям, за интервал, соответствующий виду отчета по каждому трубопроводу;

объем газа, приведенного к нормальным условиям по каждому трубопроводу;

параметры расхода газа: перепада давления, температуры;

коммерческим, отчетным показателем является расход газа за час, сутки;

технологическим показателем расхода газа является интегральный расход за время не более 3 мин.;

АСКУГ на Заинской ГРЭС реализуется на существующих диафрагмах с применением современных микропроцессорных датчиков и контрольно- измерительных приборов, что обуславливается требованиями по обеспечению необходимого уровня точности измерений и объемом автоматизации технологического объекта.

В качестве вычислителя используется микропроцессорный контроллер ROK-407 фирмы «Fisher-Rozemount». В контроллере производятся вычисления физических свойств газа, его расхода и количества согласно ГОСТам. Программа работает как автономно, так и с передачей на верхний уровень посредством интерфейса RS-485.

В качестве измерительных преобразователей используются многопараметрические сенсоры (МПС) фирмы «Fisher-Rozemount», которые позволяют измерять одновременно перепад давления на сужающем устройстве и абсолютное давление в плюсовой камере, класс точности по обоим параметрам 0,075%. Термометр сопротивления подключается непосредственно к сенсору. Все три параметра преобразуются в сенсоре в цифровые сигналы, которые передаются в вычислитель по одному кабелю. Ввиду большого разброса расходов газа предложены по два сенсора с разными перепадами на каждый трубопровод.

В качестве датчиков температуры используются платиновые термометры сопротивления фирмы «Fisher-Rozemount».

Для непосредственной работы, конфигурирования и калибровки применяется специализированное программное обеспечение «ROCLINK» фирмы «Fisher-Rozemount».

Характеристика АСКУЭ. Система обеспечивает коммерческий учет выработки, распределения и потребления электрической энергии на ЗГРЭС.

Основные задачи, решаемые АСКУЭ:

дистанционный съем параметров учета;

автоматизированный и оперативный контроль параметров учета;

формирование и анализ отчетных энергобалансов предприятия;

выдача информации в ЗАО РДУ «Татэнерго», в Энергосбыт, подразделениям ГРЭС.

Начало внедрения системы коммерческого учета электроэнергии (АСКУЭ) приходится на 2001 год.

В ходе реализации проекта разработаны: Техническое задание, Технический и Рабочий проекты. По окончанию производства монтажных и пуско-наладочных работ, завершения этапа опытной эксплуатации АСКУЭ межсистемных перетоков и генерации «Татэнерго» введена в промышленную эксплуатацию.

В последующие годы был введен в промышленную эксплуатацию программно-аппаратный комплекс верхнего уровня АСКУЭ.

Система телеизмерений ЗГРЭС состоит из устройства телеизмерений (ТИ) суммарной активной мощности генераторов ТГ №№ 1-12 и передающего устройства телемеханики типа Компас-2М.

Устройства ТИ суммарной активной мощности генераторов предназначено для измерения и передачи текущих значений суммарной активной мощности генераторов в ОДУ Средней Волги и ЗАО РДУ «Татэнерго», а также текущих значений измеряемых величин на показывающие приборы установленные на ЦЩУ.

Объекты ТИ контролируются при помощи измерительных преобразователей (типа Е 851/1), включенных в измерительные цепи трансформаторов тока и напряжения контролируемых присоединений. Устройство ТИ активной мощности ТГ преобразует входящие величины в постоянный ток, линейно изменяющийся пропорционально измеряемой величине в диапазоне 0 ±5мА.

В состав системы входят следующие устройства:

трансформаторы тока и напряжения на 107 присоединениях;

счетчики активной электрической энергии в количестве 107 шт.;

линии связи от счетчиков до устройства сбора и передачи данных (УСПД);

один контроллер типа «СИКОН-С1» в качестве УСПД;

одна персональная электронно-вычислительная машина (ПЭВМ), подключенная, к контроллеру в качестве центрального вычислительного устройства (ЦВУ);

схема аварийного включения резервного питания (АВР).

Счетчики электрической энергии предназначены для учета электроэнергии во вторичных цепях присоединений. Количество электроэнергии в первичной цепи определяется перемножением величины показания счетчика на соответствующий коэффициент трансформации присоединения.

В системе используются типы счетчиков:

для измерения активной энергии: СЭТ-4ТМ.02.2, ЦЭ 6805В;ЦЭ 6805; ЦЭ 6808ВС,ЕА02RALX-RS

для измерения реактивной энергии: СЭТ-4ТМ.02.2.

Характеристика АСКУТ. АСКУТ выполняет следующие функции:

обеспечение эффективного контроля и учета производства, поступления, распределения и потребления теплоносителя и тепловой энергии на базе автоматизации расчетного и технического учета;

выполнения на этой базе коммерческих расчетов по реализации теплоносителя и тепловой энергии потребителям;

формирование и представление информации в удобном для восприятия виде.

На Заинской ГРЭС производится учет:

вода теплофикационная прямая и обратная теплосети «Старый город»;

вода теплофикационная прямая и обратная теплосети «Новый город»;

вода подпитки теплосети «Старый город» и теплосети «Новый город»;

камская вода на ГРЭС;

вода теплофикационная - прямая и обратная отопления "северной "и "южной" промплощадки.

Сбор и обработка информации системой АСКУТ включает следующие этапы:

сбор, предварительная обработка, хранение исходной информации и передача ее на верхние уровни;

прием, переработка и анализ информации на центральном диспетчерском пункте управления энергосистемы (ЦДПЭ) локальной системы;

принятие решения по регулированию процесса производства, распределения и потребления тепло энергии;

формирование и выдача отпечатанных документов руководству ОАО «Генерирующая компания».

Средства комплекса аппаратно, программно и информационно совместимы, что обеспечивает возможность получения метрологической и аттестованной информации в центре при любой структуре АСКУТ.

.3 Окружение и функциональные требования, предъявляемые к электротехнической лаборатории

Главная задача объекта исследования состоит в ремонте, эксплуатации и усовершенствовании имеющихся, а также внедрении новых устройств релейной защиты, электроавтоматики, измерительных приборов и вторичных цепей электрооборудования, а также профилактические испытания высоковольтного оборудования.

Состав электротехнической лаборатории определяется штатным расписанием, составленным на основании расчетов трудозатрат, необходимых на профилактическое обслуживание и реконструкцию устройств РЗАИ и профилактическое испытание электрооборудования. Необходимые трудозатраты определятся по нормам времени на техническое обслуживание устройств РЗАИ и утвержденным циклом ремонтного обслуживания. В штат электротехнической лаборатории входит 35 штатных единиц, в том числе:

рабочих - 21 штатных единицы;

руководителей - 7 штатных единиц;

инженеров - 7 штатных единиц.[]

В состав электротехнической лаборатории входят:

группа главной схемы, обеспечивающая техническое обслуживание, ремонт и наладку всех устройств РЗА линий передач, трансформаторов, автотрансформаторов связи, распределительных устройств 110-500кВ, противоаварийной автоматики и средств системы сбора аварийной информации присоединений главной схемы;

группа собственных нужд, обеспечивающая техническое обслуживание, ремонт и наладку устройств РЗА присоединений собственных нужд электростанции;

группа измерений, обеспечивающая техническое обслуживание и ремонт средств электрических измерений, государственную и ведомственную поверку электроизмерительных приборов и устройств электроизмерений;

группа блоков и возбуждения, обеспечивающая техническое обслуживание, ремонт и наладку систем возбуждения и РЗА блоков и средств системы сбора аварийной информации блоков (автоматические осциллографы);

группа по испытаниям и измерениям, осуществляющая высоковольтные испытания и электрические измерения изоляционных характеристик и других параметров силового электрооборудования согласно "Норм испытания электрооборудования", проверку электрической прочности электроизоляционных материалов, электрические испытания защитных средств, приспособлений, применяемых при работах в электроустановках, а так же электроинструмента.

Задачи у исследуемого объекта следующие:

оснащение находящихся или передаваемых в оперативное управление или оперативное ведение диспетчера и начальника смены электростанции линий электропередачи, шин, трансформаторов, автотрансформаторов, генераторов и другого оборудования устройствами РЗА и средствами электрических измерений в целях обеспечения устойчивой и экономичной работы электростанции, локализации нарушений нормального режима, бесперебойного электроснабжения потребителей.

Обеспечение высокого технического уровня и культуры эксплуатации всех устройств РЗА.

Обеспечение профилактических испытаний высоковольтного оборудования.

Создание и поддержание условий, необходимых для эффективного функционирования системы качества. В основу политики в области качества положена реализация принципов, норм, правил, требований Системы обеспечения единства измерения путем внедрения метрологического обеспечения аналитических работ с целью получения достоверных результатов измерений и эффективности их использования.

Повышение производительности труда за счет совершенствования организации труда, внедрения автоматизации, передовых методов обслуживания и ремонта, снижения стоимости эксплуатационных расходов, организации работы по рационализации и изобретательности.

Соблюдение экологических и санитарно-эпидемиологических требований.

Функциональные требования к объекту исследования следующие:

Участие в комиссиях по расследованию технологических нарушений в электрической части, проведение внеочередных проверок устройств РЗА по программам.

Подготовка и ведение установленной технической документации по устройствам РЗА;

Участие в экспертизе проектов по устройствам РЗА.[]

.4 Обоснование необходимости разработки системы поддержки принятия решений

Анализ исследований в электротехнической лаборатории позволяет сделать вывод, что качество обработки сигналов не является достаточно эффективным, так как временами происходят сбои.

Таким образом, существование проблем в данной области свидетельствует о том, что используемые в настоящее время методы работы не всегда выполняются, существующая система отслеживания не в полном объеме отвечает современным требованиям: эффективности, надежности, быстродействия, отказоустойчивости.

Для обеспечения повышения качества работы требуется наличие системы, основанной на современных принципах, которая должна удовлетворять более высоким требованиям к эффективности, надежности, быстродействия, отказоустойчивости. Такая система должна поддерживаться информационной платформой. В связи с вышеизложенным для предприятия является актуальным разработка отдельного модуля отслеживания, регистрации, сохранения в базу данных сигналов.

.5 Выводы по разделу

Таким образом, целью дипломного проектирования является разработка системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях.

Задачи для достижения поставленной цели по дипломному проектированию:

.Выполнить анализ существующих систем поддержки принятия решений.

.Разработать структуру и определить состав системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях.

.Разработать базу данных и интерфейсные формы системы с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях.

.Провести анализ информационной безопасности и оценить экономическую эффективность от внедрения системы.

. Проектирование системы поддержки принятия решений

.1 Функциональное моделирование с использованием методологии IDEF

Из всех подсистем первого уровня рассмотрим подсистему отдела электротехнической лаборатории, как элемент системы, выполняющий поставленную задачу.

Для построения связей и определения входных и выходных потоков подсистем, в системе отдела электротехнической лаборатории применим методологии IDEF0 в программной среде AllFusion Process Modeler.

Описание системы с помощью IDEF0 называется функциональной моделью. Функциональная модель предназначена для описания существующих бизнес-процессов, в котором используются как естественный, так и графический языки. Для передачи информации о конкретной системе источником графического языка является сама методология IDEF0.[]

Методология IDEF0 предписывает построение иерархической системы диаграмм - единичных описаний фрагментов системы. Сначала проводится описание системы в целом и ее взаимодействия с окружающим миром (контекстная диаграмма), после чего проводится функциональная декомпозиция - система разбивается на подсистемы и каждая подсистема описывается отдельно (диаграммы декомпозиции). Затем каждая подсистема разбивается на более мелкие и так далее до достижения нужной степени подробности.

Обследование предприятия является обязательной частью любого проекта создания или развития корпоративной информационной системы. Построение функциональной модели КАК ЕСТЬ позволяет четко зафиксировать, какие деловые процессы осуществляются на предприятии, какие информационные объекты используются при выполнении деловых процессов и отдельных операций. Функциональная модель КАК ЕСТЬ является отправной точкой для анализа потребностей предприятия, выявления проблем и "узких" мест и разработки проекта совершенствования деловых процессов.

Система отдела электротехнической лаборатории отображена на рисунке 2.1.

Рисунок 2.1 - Функциональная схема системы электротехнической лаборатории 1-го уровня.

Далее система разбита на 6 основных процессов: 1 - Выборка принципов выполнения устройств РЗА, алгоритмов функционирования, размещения, 2 - Подготовка оперативных заявок и программ на работы с устройствами РЗА, 3 - Прием вновь включаемых устройств РЗА от монтажных и наладочных организаций, 4 - Составление ежемесячного и ежегодного плана-графика технического обслуживания устройств РЗА, 5 - Составление рабочих программ испытаний устройств РЗА при вводе новых линий электропередачи и электрооборудования, после их капитальных ремонтов и при специальных испытаниях, 6 - Выполнение восстановительных работ и реконструкций аппаратуры и цепей устройств РЗА. (Рисунок 2.2).

Рисунок 2.2 - Функциональная схема системы электротехнической лаборатории 2-го уровня.

С помощью построения функциональной модели была проведена формализация работы электротехнической лаборатории и описан алгоритм рабочих программ устройств РЗА.[]

Методология IDEF3. DEF3 является стандартом документирования технологических процессов, происходящих на предприятии, и предоставляет инструментарий для наглядного исследования и моделирования их сценариев. Сценарием (Scenario) мы называем описание последовательности изменений свойств объекта, в рамках рассматриваемого процесса (например, описание последовательности этапов обработки детали в цеху и изменение её свойств после прохождения каждого этапа). Исполнение каждого сценария сопровождается соответствующим документооборотом, который состоит из двух основных потоков: документов, определяющих структуру и последовательность процесса (технологических указаний, описаний стандартов и т.д.), и документов, отображающих ход его выполнения (результатов тестов и экспертиз, отчетов о браке, и т.д.). Для эффективного управления любым процессом, необходимо иметь детальное представление об его сценарии и структуре сопутствующего документооборота. Средства документирования и моделирования IDEF3 позволяют выполнять следующие задачи:

Документировать имеющиеся данные о технологии процесса, выявленные, скажем, в процессе опроса компетентных сотрудников, ответственных за организацию рассматриваемого процесса.

Определять и анализировать точки влияния потоков сопутствующего документооборота на сценарий технологических процессов.

Определять ситуации, в которых требуется принятие решения, влияющего на жизненный цикл процесса, например изменение конструктивных, технологических или эксплуатационных свойств конечного продукта.

Содействовать принятию оптимальных решений при реорганизации технологических процессов.

Разрабатывать имитационные модели технологических процессов, по принципу "КАК БУДЕТ, ЕСЛИ..." [].

.2 Выбор и обоснование средств разработки прикладного программного обеспечения

В связи с невысокой стоимостью программного продукта Delphi и достаточно хорошим знанием этого языка для разработки программы был выбран данный продукт.Delphi, ранее Borland Delphi и CodeGear Delphi, - интегрированная среда разработки ПО для Microsoft Windows, Mac OS, iOS и Android на языке Delphi (ранее носившем название Object Pascal), созданная первоначально фирмой Borland и на данный момент принадлежащая и разрабатываемая Embarcadero Technologies. Embarcadero Delphi является частью пакета Embarcadero RAD Studio и поставляется в пяти редакциях: Starter, Professional, Enterprise, Ultimate и Architect. Координирующий офис Embarcadero, ответственный за разработку Delphi, находится в Торонто, тогда как сама разработка сконцентрирована главным образом в Румынии и России. В России Embarcadero представлена двумя офисами - в Санкт-Петербурге (разработка) и в Москве (маркетинг). []

Среда предназначена для быстрой (RAD) разработки прикладного ПО для операционных систем Windows, Mac OS X, а также IOS и Android. Благодаря уникальной совокупности простоты языка и генерации машинного кода, позволяет непосредственно, и, при желании, достаточно низкоуровнево взаимодействовать с операционной системой, а также с библиотеками, написанными на C/C++. Созданные программы не зависимы от стороннего ПО, как-то Microsoft .NET Framework, или Java Virtual Machine. Выделение и освобождение памяти контролируется в основном пользовательским кодом, что, с одной стороны, ужесточает требования к качеству кода, а с другой - делает возможным создание сложных приложений, с высокими требованиями к отзывчивости (работа в реальном времени). В кросс-компиляторах для мобильных платформ предусмотрен автоматический подсчет ссылок на объекты, облегчающий задачу управления их временем жизни.

Среда программирования Delphi в настоящее время является одной из самых развитых систем визуального объектно-ориентированного программирования. Её возможности отвечают высоким требованиям и подходят для создания приложений любой сложности. Структурированность и простота Delphi делает его одним из совершенных языков программирования. На нем можно создать все, что делают на С++ избежав всех имеющихся в нем трудностей. Он позволяет с наименьшими усилиями создавать от простых приложений работающих на одном компьютере до корпоративных приложений, использующие серверные базы данных расположенные на разных платформах. Интернет приложения, коммерческие игры и много других видов программ, возможно создать на Delphi. Даже неопытный программист сможет сделать приложение для Windows профессионального вида.[]

.3 Выбор системы управления базой данных

В качестве системы управления базами данных (СУБД) для реализации поставленной задачи была выбрана Microsoft Access.Access относится к СУБД, ориентированным на рядовых потребителей. Она позволяет, не прибегая к программированию, с легкостью выполнять основные операции с БД: создание, редактирование и обработка данных.

Этот пакет работает в ОС Windows на автономных ПК или в локальной сети. Посредством MS Access создаются и в дальнейшем эксплуатируются личные БД (настольные), а также базы организаций, имеющих относительно небольшой объем данных.Access является частью пакета Microsoft Office и входит в комплект его поставки.

Среда Access располагает характерным для приложений Windows интерфейсом, состоящим из следующих компонентов: титульной строки, главного меню, панели инструментов, поля для работы и строки состояния. []

СУБД работает с данными, которые можно выстроить в иерархическую последовательность. Верхний уровень иерархии содержит основные объекты Access:

таблицы - главный тип объекта, поскольку все остальные вариации объектов - это производные от таблицы. Основные составляющие таблицы - поля и записи, они определяют свойства элементов таблицы;

формы - вспомогательные объекты, от использования которых можно отказаться. Они формируются, чтобы создать дополнительные удобства пользователю в плане просмотра, ввода и редактирования данных;

запросы - результаты обращения пользователя к БД с целью поиска данных, удаления, добавления и обновления записей. Результаты поиска (выборки) подаются в табличном виде;

отчеты - документы, предназначенные для вывода на печать, сформированные на информации, которая содержится в таблицах и запросах;

схема - описание архитектуры связей многотабличной базы данных;

макросы и модули - объекты повышенной сложности, при обыденной работе могут не использоваться.

Среди особенностей Access стоит отметить наличие VBA - встроенного языка программирования, посредством которого приложение может дополняться подпрограммами пользователей. Тем самым существенно расширяются возможности исходного варианта утилиты, обеспечивается удобство работы. []

.4 Создание логической модели базы данных

Исходя из поставленной задачи были выделены следующие сущности базы данных:

Типы событий - таблица, содержащая информацию о существующих событиях.

Режимы - таблица, содержащая информацию о режимах.

Устройство - таблица, содержащая информацию об устройствах.

События - таблица, содержащая информацию о совершенных событиях.

Рисунок 2.3 - Схема взаимодействия сущностей

Таблица 2.1 - Атрибуты и первичные ключи сущностей информационной модели

2.5 Создание физической модели базы данных

Информационно-логическая модель, представленная на рисунке 2.4 содержит 4 таблицы. Далее приставлен физический вид всех таблиц информационно-логической модели.

Рисунок 2.4 - Физическая реализация таблицы «Режимы» в Microsoft Access

Рисунок 2.5 - Физическая реализация таблицы «Типы событий» в Microsoft Access

Рисунок 2.6 - Физическая реализация таблицы «Устройство» в

Microsoft Access

Рисунок 2.7 - Физическая реализация таблицы «События» в

Microsoft Access

В результате взаимосвязи таблиц базы данных была построена схема данных (рисунок 2.8).[]

Рисунок 2.8 - Схема данных БД в Microsoft Access

.7 Выводы по главе

Анализ функциональной модели предметной области выявил проблемы обработки информации с устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях. Вследствие этого была выявлена возможность создания системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях. В рамках данной главы была построена функциональная схема электротехнической лаборатории, а также логическая и физическая модели базы данных.

. Разработка системы поддержки принятия решений

.1 Структура системы

В рамках данного дипломного проекта предлагается разработать систему поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях. На рисунке 3.1 представлена структура информационной системы.[]

Рисунок 3.1 - Структура системы

.2 Описание программных модулей

Внешней оболочкой ПО является программа, с помощью которой происходит установка параметров, режима работы, пароля

Просмотр содержимого архива данных, просмотр текущего состояния, просмотр и изменение параметров, изменение режима работы приемопередатчика осуществляется с помощью персонального компьютера (ПК) с установленной специализированной программой.

Конфигуратор состоит из нескольких страниц, между которыми можно свободно переключаться в ходе работы с программой. Доступны следующие страницы:

Настройки подключения;

Текущее состояние;

Параметры Защиты, Приемника, Передатчика, Общие;

Архивы;

Осциллограммы.

После запуска программы при подключенном ПК к РЗСК, конфигуратор автоматически устанавливает связь с устройством и определяет вариант его исполнения: наличие приемопередатчика сигналов РЗ, приемопередатчика сигналов команд, тип линии (двух- либо трехконцевая, ВЛ либо ВОЛС) (рис. 3.1).

Разорвать и вновь установить связь с РЗСК в ручную с помощью кнопок «Закрыть порт» и «Подключиться» на панели «Связь» - 3, предварительно выбрав COM-порт, к которому подключен приемопередатчик.

Вариант исполнения РЗСК представлен на панели «Исполнение» - 2. Наличие приемопередатчика сигналов РЗ, передатчика и приемника сигналов команд представлено в виде кода из трех цифр - 1.

Рисунок 3.1 - Настройки подключения

где:1 - код приемопередатчика;

- панель «Исполнение»;

- панель «Связь».

На странице «Текущее состояние» (рис. 3.2) в режиме реального времени отображаются режим работы, текущее состояние, информация о наличии неисправностей (пост защиты - 1, передатчик - 2 и приемник - 3 сигналов команд, общие неисправности приемопередатчика - 5 ). Также на странице представлена информация об измеряемых параметрах - 4:

выходной ток усилителя мощности(I1), мА;

напряжение на выходе усилителя мощности(U), В;

запас по затуханию для сигналов РЗ, дБ;

запас по затуханию для КС и команд, дБ;

суммарный уровень сигнала, измеряемый на приемнике в полосе приема(Uш), дБ;

сопротивление линии(R), рассчитанное с помощью измеряемых параметров U и I1, Ом.

Рисунок 3.2 - Текущее состояние

где:1 - пост защиты;

- передатчик сигналов команд;

- приемник сигналов команд;

- информация об измеряемых параметрах;

- общие неисправности приемопередатчика.

На странице «Общие параметры» (рис. 3.3) в режиме реального времени отображаются режим работы и текущее состояние приемопередатчика - 2. На странице возможно изменение режима, изменение текущей даты и времени приемопередатчика, чтение, изменение и запись в РЗСК общих параметров работы приемопередатчика.

Запись параметров в РЗСК осуществляется только в режиме «Выведен».

Для изменения режима работы приемопередатчика необходимо нажать на кнопку «Изменить режим» - 3, ввести пароль и выбрать один из предложенных режимов работы (Введен либо Выведен).

Для того чтобы просмотреть установленные в настоящее время параметры работы приемопередатчика необходимо нажать на кнопку «Чтение из РЗСК» - 5. Считанные из РЗСК параметры отобразятся в соответствующих полях панели «Параметры» - 1. Для того чтобы изменить параметры необходимо нажать на кнопку «Коррекция параметров» - 4, после чего поля параметров станут доступны для изменения. Ввести желаемые значения параметров (диапазон возможных значений каждого параметра и дискретность изменения можно увидеть в строке подсказок - 9 при наведении курсора мыши на соответствующий параметр). Записать параметры в РЗСК, нажав на кнопку «Запись в РЗСК» - 6.

Существует возможность сохранить измененные параметры работы приемопередатчика в файл, для этого необходимо нажать на кнопку «Сохранить в файл» - 8, в появившемся окне выбрать место для сохранения, ввести имя файла и нажать «Сохранить». В созданный файл будут сохранены только общие параметры работы приемопередатчика. Параметры передатчика и приемника команд, а также параметры работы приемопередатчика сигналов РЗ можно сохранить в отдельные файлы на соответствующих страницах программы «РЗСКконфигуратор».

Для того чтобы считать ранее сохраненные параметры из файла необходимо нажать на кнопку «Чтение из файла» - 7, в появившемся окне выбрать файл с параметрами и нажать «Открыть». Из выбранного файла будут считаны только общие параметры работы приемопередатчика. Для записи в РЗСК считанных из файла параметров нажать на кнопку «Запись в РЗСК» - 6.

Для изменения значения даты и времени часов приемопередатчика можно воспользоваться кнопкой «Синхронизация с ПК» - 10, при этом дата и время в приемопередатчике установятся равными дате и времени подключенного ПК. При успешной синхронизации появится всплывающее сообщение «Синхронизация завершена». Существует возможность установки часов вручную, для этого необходимо нажать на кнопку «Установить время вручную» - 11, поля текущего времени и даты станут доступными для изменения, название кнопки 11 изменится на «Записать время в РЗСК». Ввести желаемые дату и время, нажать на кнопку «Записать время в РЗСК». Название кнопки 11 вновь изменится на «Установить время вручную». При успешной синхронизации появится всплывающее сообщение «Время установлено».

Рисунок 3.3 - Общие параметры

где:1 - панель «Параметры»;

- режим работы и текущее состояние приемопередатчика;

- кнопка «Изменить режим»;

- кнопка «Коррекция параметров»;

- кнопка «Чтение из РЗСК»;

- кнопка «Запись в РЗСК»;

- кнопка «Чтение из файла»;

- кнопка «Сохранить в файл»;

- строка подсказок;

- кнопка «Синхронизация с ПК»;

- кнопка «Установить время вручную».

На странице «Параметры Защиты» (рис. 3.4) в режиме реального времени отображаются режим работы и текущее состояние приемопередатчика сигналов РЗ - 2. На странице возможны изменение режима, чтение, изменение и запись в РЗСК параметров работы приемопередатчика сигналов РЗ. Запись параметров в РЗСК осуществляется только в режиме «Выведен».

Для изменения режима работы приемопередатчика необходимо нажать на кнопку «Изменить режим» - 3, ввести пароль и выбрать один из предложенных режимов работы (Введен либо Выведен).

Для того чтобы просмотреть установленные в настоящее время параметры работы приемопередатчика сигналов РЗ необходимо нажать на кнопку «Чтение из РЗСК» - 5. Считанные из РЗСК параметры отобразятся в соответствующих полях панели «Параметры» - 1.

Для того чтобы изменить параметры необходимо нажать на кнопку «Коррекция параметров» - 4, после чего поля параметров станут доступны для изменения. Ввести желаемые значения параметров (диапазон возможных значений каждого параметра и дискретность изменения можно увидеть в строке подсказок - 9 при наведении курсора мыши на соответствующий параметр). Записать параметры в РЗСК, нажав на кнопку «Запись в РЗСК» - 6.

Сохранение и чтение параметров из файла осуществляется так же ка и на странице «Общие параметры».

Рисунок 3.4 - Параметры защиты

где:1 - панель «Параметры»;

- состояние приемопередатчика сигналов РЗ;

- кнопка «Изменить режим»;

- кнопка «Коррекция параметров»;

- кнопка «Чтение из РЗСК»;

- кнопка «Запись в РЗСК»;

- кнопка «Чтение из файла»;

- кнопка «Сохранить в файл»;

- строка подсказок.

На странице «Параметры Передатчика» (рис. 3.5) в режиме реального времени отображаются режим работы и текущее состояние передатчика команд - 2. На странице возможны изменение режима, чтение, изменение и запись в РЗСК параметров работы передатчика команд. Запись параметров в РЗСК осуществляется только в режиме «Выведен».

Для изменения режима работы приемопередатчика необходимо нажать на кнопку «Изменить режим» - 3, ввести пароль и выбрать один из предложенных режимов работы (Введен либо Выведен).

Для того чтобы просмотреть установленные в настоящее время параметры работы передатчика команд необходимо нажать на кнопку «Чтение из РЗСК» - 5. Считанные из РЗСК параметры отобразятся в соответствующих полях панели «Параметры» - 1.

Для того чтобы изменить параметры необходимо нажать на кнопку «Коррекция параметров» - 4, после чего поля параметров станут доступны для изменения. Ввести желаемые значения параметров (диапазон возможных значений каждого параметра и дискретность изменения можно увидеть в строке подсказок - 9 при наведении курсора мыши на соответствующий параметр). Для того чтобы блокировать какую-либо команду на передачу, необходимо поставить галочку в пустом квадрате напротив номера соответствующей команды, панель «Блокированные» - 10. Для того чтобы сделать длительность команды равной длительности воздействия управляющего напряжения на вход клеммника, необходимо поставить галочку в пустом квадрате напротив номера соответствующей команды, панель «Длительные» - 11 . Записать параметры в РЗСК, нажав на кнопку «Запись в РЗСК» - 6.

Сохранение и чтение параметров из файла осуществляется так же ка и на странице «Общие параметры».

Рисунок 3.5 - Параметры передатчика

где:1 - панель «Параметры»;

- режим работы и текущее состояние передатчика команд;

- кнопка «Изменить режим»;

- кнопка «Коррекция параметров»;

- кнопка «Чтение из РЗСК»;

- кнопка «Запись в РЗСК»;

- кнопка «Чтение из файла»;

- кнопка «Сохранить в файл»;

- строка подсказок;

- панель «Блокированные»;

- панель «Длительные».

На странице «Параметры Приемника» (рис. 3.6) в режиме реального времени отображаются режим работы и текущее состояние приемника команд - 2. На странице возможны изменение режима, чтение, изменение и запись в РЗСК параметров работы приемника команд. Запись параметров в РЗСК осуществляется только в режиме «Выведен».

Для изменения режима работы приемопередатчика необходимо нажать на кнопку «Изменить режим» - 3, ввести пароль и выбрать один из предложенных режимов работы (Введен либо Выведен).

Для того чтобы просмотреть установленные в настоящее время параметры работы приемника команд необходимо нажать на кнопку «Чтение из РЗСК» - 5. Считанные из РЗСК параметры отобразятся в соответствующих полях панели «Параметры» - 1.

Для того чтобы изменить параметры необходимо нажать на кнопку «Коррекция параметров» - 4, после чего поля параметров станут доступны для изменения. Ввести желаемые значения параметров (диапазон возможных значений каждого параметра и дискретность изменения можно увидеть в строке подсказок - 9 при наведении курсора мыши на соответствующий параметр). Для того чтобы блокировать какую-либо команду на приеме, необходимо поставить галочку в пустом квадрате напротив номера соответствующей команды, панель «Блокированные» - 10. Записать параметры в РЗСК, нажав на кнопку «Запись в РЗСК» - 6.

Сохранение и чтение параметров из файла осуществляется так же ка и на странице «Общие параметры».

Рисунок 3.6 - Параметры приемника

где:1 - панель «Параметры»;

- режим работы и текущее состояние приемника команд;

- кнопка «Изменить режим»;

- кнопка «Коррекция параметров»;

- кнопка «Чтение из РЗСК»;

- кнопка «Запись в РЗСК»;

- кнопка «Чтение из файла»;

- кнопка «Сохранить в файл»;

- строка подсказок;

- панель «Блокированные».

На странице «Модуль «События» (рис. 3.7) в верхнем левом углу расположены четыре закладки - 1, соответствующие четырем различным архивам данных:

События - архив общих событий и неисправностей приемопередатчика;

Защита - архив событий, связанных с приемопередатчиком сигналов РЗ;

Передатчик - архив переданных команд;

Приемник - архив принятых команд.

На каждой из страниц архивов расположены:

кнопки управления - 2: «Читать архив», «Очистить архивы», «Сохранить в файл», «Загрузить из файла»;

строка состояния - 3, в которой отображается название архива и количество записей в нем;

таблица с записями - 4.

Рисунок 3.7 - Модуль «События»

где:1 - закладки;

- кнопки управления;

- строка состояния;

- таблица с записями.

На странице «Осциллограммы» (рис. 3.8) в верхнем левом углу расположены три закладки - 1, соответствующие осциллограммам архивов защиты, передатчика и приемника команд.

На каждой из страниц осциллограмм расположены:

кнопки управления - 2: «Построить осциллограммы», «Очистить осциллограммы», «Растянуть», «Сжать», «Сохранить как рисунок»;

небольшое окно помощи - 3;

окно с осциллограммами.

Для того чтобы построить осциллограммы, необходимо нажать на кнопку «Построить осциллограммы». Важно помнить, что для построения осциллограмм, нужно сначала на странице «Архивы» считать из РЗСК или загрузить из файла соответствующий архив данных. По вертикальной оси окна осциллограмм расположены названия и логические уровни соответствующих сигналов - 4 (сигналы РЗ, переданные и принятые команды). По горизонтальной оси расположены метки времени - 5 (верхняя строка - время, нижняя - дата).

Рисунок 3.8 - Осциллограммы: Защита

где:1 - закладки;

- кнопки управления;

- окно помощи;

- названия и логические уровни соответствующих сигналов;

- метки времени.

.3 Вывод по главе

В данной главе разработана схема информационной системы. Приведено описание форм системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических и показана внешняя оболочка ПО.

. Информационная безопасность

.1 Виды рисков и методы защиты от них

Информационные ресурсы, как и материальные ресурсы, обладают качеством и количеством, имеют себестоимость и цену. С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или моральный эффект. С точки зрения обладателя - сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства, и сбыта товаров и услуг. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки.

Термин информационный риск приобрел широкое применение, однако пока не существует единой принятой учеными и практиками трактовки. Для этого необходимо определение места информационных рисков в общей системе экономических рисков. Одна группа специалистов вкладывают в понятие информационного риска смысл того, что это возможное событие, в результате которого несанкционированно удаляется, искажается информация, нарушается ее конфиденциальность или доступность. То есть, понятие информационного риска используется как синоним понятия угроза безопасности информации. Управление такими информационными рисками сводится к защите информации. Практически отсутствуют подходы к трактовке понятия информационного риска, в которых в качестве возможных нежелательных событий рассматривались бы события, приводящие к снижению достоверности, полноты и актуальности информации на стадии ее получения и ввода в информационную систему. В понятие информационный риск не включают также риски, связанные с возможным наличием ошибок в моделях, алгоритмах обработки информации, программах, которые используются для выработки управляющих решений. Не всегда понятие информационный риск связывают с возможностью снижения качества информации ниже допустимого предела в результате сбоев и отказов программных и технических средств.

Другая группа специалистов рассматривает информационные риски как экономическую категорию. Они трактуют информационные риски как возможность возникновения убытков, неполучение прибыли и другие негативные последствия для предприятия. Тогда информационный риск есть опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. Недостатком подобных определений является нечеткое указание на объекты, с которыми связаны возможные события, приводящие к ущербу, исключение из рассмотрения рисков, связанных с традиционным документооборотом, с воздействием злоумышленников на информационные ресурсы методами шпионажа и диверсий.

Понятие информационный риск можно трактовать в широком смысле, рассматривая негативные явления, которые непосредственно не связаны с информационной системой предприятия. К ним относятся нарушение авторских прав на использование и распространение продукции интеллектуального труда, распространение заведомо ложных сведений о предприятии (дезинформация), незаконное использование торговой или производственной марки. То есть, к информационным рискам относятся также события, связанные с незаконным использованием информации или искажением информации, имеющей отношение к предприятию, но возникающие во внешней среде и оказывающие воздействие на внешнюю среду, непосредственно не воздействуя на информационную систему. В результате изменений внешней среды бизнес-процессам предприятия наносится ущерб. Тогда информационный риск - это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия, а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию.

Информационный риск вызывается внутренними или внешними причинами. Факторы информационных рисков, в меньшей степени связаны с конкретными источниками риска, чем причины рисков. Они в основном отражают состояние информационной системе предприятия в целом, и особенно состояние подсистемы противодействия информационным рискам. Факторы риска близки к понятию уязвимости системы, которые используется специалистами по защите информации. Для наступления рискового события необходимо одновременное наличие причины и фактора риска.

Информационные риски, которые наносят ущерб предприятию, являющийся следствием воздействия рисков на бизнес-процессы предприятия или внешнюю среду называют - косвенными информационными рисками. Так как информационные риски приводят к ущербу предприятия они с полным правом могут быть отнесены к экономическим рискам. При выделении информационных рисков в отдельный вид экономических рисков важно определить соотношение и взаимосвязи информационных и других экономических рисков. Проблема заключаться в том, что не существует единой общепризнанной универсальной классификации, имеющей научное обоснование. Это объясняется, прежде всего, большим количеством видов рисков и возможных признаков их классификации.

Эффективность организации управления риском во многом определяется классификацией риска. Под классификацией риска следует понимать распределение риска на конкретные группы по определенным признакам для достижения поставленных целей. Научно обоснованная классификация риска позволяет четко определить место каждого риска в их общей системе. Она создает возможности для эффективного применения соответствующих методов, приемов управления риском. Каждому риску соответствует своя система приемов управления риском.

Квалификационная система рисков включает группу, категории, виды и разновидности рисков. В зависимости от возможного результата, риски можно поделить на две большие группы: чистые и спекулятивные. Чистые риски означают возможность получения отрицательного или нулевого результата. К этим рискам относятся следующие: природно-естественные, экологические, политические, транспортные и часть коммерческих рисков. Спекулятивные риски выражаются в возможности получения как положительного, так и отрицательного результата. К ним относятся финансовые риски, являющиеся частью коммерческих.

В зависимости от основной причины возникновения риски делятся на следующие категории: природно-естественные риски, экологические, политические, транспортные и коммерческие риски. По структурному признаку коммерческие риски делятся на: имущественные, производственные, торговые и финансовые.

Среди инвестиционных рисков особенно стоит отметить информационные риски. К информационным, относятся риски частичного или полного неполучения запланированного дохода вследствие недостаточной надежности используемой в процессе реализации бизнес-проекта информации. По отношению к бизнес планированию необходимо провести более подробную классификацию рисков с целью нахождению эффективных методов управления ими.

Риски бизнес-планирования, входящие в группу информационных, можно классифицировать по следующим признакам:

функциональные;

структурные;

временные;

риски влияния.

К функциональной разновидности рисков бизнес-планирования относятся риски, определяемые функциональной направленностью информационных комплексов общей информационной системы хозяйствующего субъекта. В результате анализа можно выделить следующие виды таких рисков:

риск сбора информации;

риск обобщения и классификации;

риск обработки информации;

риск представления.

Риски влияния обусловлены человеческим фактором и его воздействием на формирование информации. По этому признаку выделяются: случайные риски и вынужденные.[]

Инструментальные средства анализа рисков позволяют автоматизировать работу специалистов в области защиты информации, осуществляющих оценку или переоценку информационных рисков предприятия.

В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к «know how» компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться. Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.

В 2000 году принят международный стандарт ISO 17799, за основу которого взят британский стандарт BS 7799. В результате большинство инструментальных средств (ПО анализа риска) было в последнее время модифицировано так, чтобы обеспечить соответствие требованиям именно этого стандарта. Рассмотрим специализированное ПО, условно разделив его на две группы: ПО базового уровня и ПО полного анализа рисков.

Прежде всего обсудим инструментарий, соответствующий ISO 17799:

справочные и методические материалы;

ПО анализа рисков и аудита Cobra

Затем изучим ПО обеспечивающее дополнительные возможности по сравнению с базовым уровнем защищенности, но еще не достаточное для выполнения полного анализа рисков.

Некоторые британские фирмы предлагают следующие продукты:

политику информационной безопасности (Information Security Police)

гипертекстовые справочники по вопросам защиты информации (SOS -INTERACTIVE "ONLINE" SECURITY POLICIES AND SUPPORT);

руководства для сотрудников служб безопасности (Security Professionals Guide).

Эти продукты представляют собой справочники, посвященные практическим аспектам реализации политики безопасности в соответствии с ISO 17799. Их достоинством является гипертекстовая структура, удобная навигация.

Еще один продукт подобного рода - руководство по применению стандарта ISO 17799 (THE ISO 17799 TOOLKIT), текст стандарта ISO 17799 с комплектом методических материалов по его применению и презентацией.. Программный продукт для анализа и управления рисками COBRA, производитель - С & A Systems Security Ltd., позволяет формализовать и ускорить процесс проверки на соответствие режима информационной безопасности требованиям Британского стандарта BS 7799 (ISO 17799) и провести простейший анализ рисков. Имеется несколько баз знаний: общие требования BS 7799 (ISO 17799) и специализированные базы, ориентированные на различные области применения. Доступна демонстрационная версия этого ПО.позволяет представить требования стандарта в виде тематических «вопросников» по отдельным аспектам деятельности организации.

Анализ рисков, выполняемый данным методом, отвечает базовому уровню безопасности, то есть уровни рисков не определяются. Достоинство методики - в ее простоте. Необходимо ответить на несколько десятков вопросов, затем автоматически формируется отчет.

Этот программный продукт может применяться при проведении аудита ИБ или для работы специалистов служб, ответственных за обеспечение информационной безопасности.

Простота, соответствие международному стандарту, сравнительно небольшое число вопросов позволяют легко адаптировать этот метод для работы в отечественных условиях.Software Tool. Еще один метод, условно относящийся к базовому уровню, - RA Software Tool - базируется на британском стандарте BS 7799, части 1 и 2, на методических материалах Британского института стандартов (BSI) PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты), а также стандарте ISO 13335, части 3 и 4 (Руководство по управлению режимом информационной безопасности, технологии управления безопасностью и выбор средств защиты).

Этот инструментарий позволяет выполнять оценку рисков в соответствии как с требованиями базового уровня, так и с более детальными спецификациями PD 3002 Британского института стандартов.

Рассмотрим несколько методов, которые можно отнести к инструментарию для нужд организаций четвертого и пятого уровней зрелости.

Как уже отмечалось, четко провести границу между методами базового и полного анализа рисков сложно. Например, упомянутый выше RA Software Tool имеет ряд простейших средств, которые дают возможность формально отнести его к средствам полного анализа рисков. Ниже рассматривается инструментарий с более развитыми средствами анализа рисков и управления ими.

Программные средства, позволяющие провести полный анализ рисков, создаются с использованием структурных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design) и относятся к категории средств автоматизации разработки или CASE-средств (Computer Aided System Engineering).

Такие методы представляют собой инструментарий для:

построения модели ИС с позиции ИБ;

оценки ценности ресурсов;

составления списка угроз и оценки их вероятностей;

выбора контрмер и анализа их эффективности;

анализа вариантов построения защиты;

документирования (генерации отчетов).

Метод CRAMM. В 1985 году Центральное агентство по компьютерам и телекоммуникациям (ССТА) Великобритании начало исследования существующих методов анализа ИБ, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям ССТА Он получил название CRАММ - метод ССТА анализа и контроля рисков. Затем появилось несколько версий метода, ориентированных на требования Министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций, Одна из версий, «коммерческий профиль», представляет собой коммерческий продукт.

Целью разработки метода являлось создание формализованной процедуры, позволяющей:

убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;

избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;

оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем:

обеспечить проведение работ в сжатые сроки;

автоматизировать процесс анализа требований безопасности;

представить обоснование для мер противодействия;

оценивать эффективность контрмер, сравнивать различные их варианты;

генерировать отчеты.

Анализ рисков включает идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Контроль рисков состоит в идентификации и выборе контрмер, благодаря которым удается снизить риски до приемлемого уровня.

Формальный метод, основанный на этой концепции, позволяет убедиться, что защита охватывает всю систему и существует уверенность в том, что:

все возможные риски идентифицированы;

уязвимости ресурсов идентифицированы и их уровни оценены;

угрозы идентифицированы и их уровни оценены;

контрмеры эффективны;

расходы, связанные с ИБ, оправданы.

Исследование ИБ системы с помощью CRAMM проводится в несколько этапов.

На первой стадии Initiation, производится формализованное описание границ информационной системы, ее основных функций, категорий пользователей, а также персонала, принимающего участие в обследовании.

На стадии идентификации и оценки ресурсов, Identification and Valuation of Assets, описывается и анализируется все, что касается идентификации и определения ценности ресурсов системы. В конце этой стадии заказчик исследования будет знать, удовлетворит ли его существующая традиционная практика или он нуждается в проведении полного анализа рисков. В последнем случае будет построена модель информационной системы с позиции информационной безопасности.

Стадия оценивания угроз и уязвимостей, Threat and Vulnerability Assessment, не является обязательной, если заказчика удовлетворит базовый уровень информационной безопасности. Эта стадия выполняется при проведении полного анализа рисков. Принимается во внимание все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни угроз и уязвимостей для своей системы.

Стадия анализа рисков, Risk Analysis, позволяет оценить риски либо на основе сделанных оценок угроз и уязвимостей при проведении полного анализа рисков, либо путем использования упрощенных методик для базового уровня безопасности.

На стадии управления рисками, Risk Management, производится поиск адекватных контрмер. По существу речь идет о нахождении варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. В конце стадии он будет знать, как модифицировать систему в терминах мер уклонения от риска, а также путем выбора специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.

Каждая стадия объявляется законченной после детального обсуждения и согласования результатов с заказчиком.[]

Средства компании MethodWare. Компания MethodWare выпускает ряд продуктов, которые могут быть полезными для аналитиков в области информационной безопасности при проведении анализа рисков, управлении рисками, аудите информационной безопасности. Речь идет о:

ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методология отвечает австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999). Имеется версия, соответствующая ISO 17799;

ПО управления жизненным циклом информационной технологии в соответствии с открытым стандартом в области информационных технологий CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками;

ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder.

Рассмотрим ПО Risk Advisor. Оно позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов.

Основные этапы работы:

описание контекста;

описание рисков;

описание угроз;

оценка потерь;

анализ управляющих воздействий;

предложение контрмер и плана действий.

Описание контекста. На этом этапе рассматривается несколько аспектов модели взаимодействия организации с внешним миром: стратегический, организационный, бизнес-цели, управление рисками, а также критерии оценивания рисков.

В стратегическом аспекте анализируются сильные и слабые стороны организации с внешних позиций, варианты развития, классы угроз и отношения с партнерами. Организационный контекст отражает отношения внутри организации: стратегию, цели на организационном уровне, внутреннюю политику. Контекст управления рисками представляет собой концепцию информационной безопасности. Контекст бизнес-целей - основные бизнес-цели. Критерии оценивания рисков - имеются в виду критерии, принятые при управлении рисками.

Описание рисков. Задается матрица рисков, поэтому риски описываются в соответствии с определенным шаблоном и устанавливаются связи этих рисков с другими элементами модели.

Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые на основе простейшей модели.

Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.

Описание угроз. Прежде всего формируется список угроз. Угрозы определенным образом классифицируются, затем рассматривается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать эти взаимосвязи.

Описание потерь. Перечисляются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.

Анализ результатов. В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графика рисков.

Оценка возможностей метода Risk Advisor. Данный инструмент позволяет документировать всевозможные аспекты, связанные с управлением риском, на верхних уровнях - административном и организационном. А программно-технические аспекты фиксировать в этой модели не очень удобно. Оценки даются в качественных шкалах, подробного анализа факторов рисков не предусмотрено.

Сильной стороной данного метода является возможность представления разноплановых взаимосвязей, адекватного учета многих факторов риска и существенно меньшая трудоемкость по сравнению с CRAMM.

Экспертная система «АванГард». В настоящее время на российском рынке продается отечественное ПО «АванГард», разработка Института системного анализа РАН, подробное описание которого можно найти в «АванГард» позиционируется как экспертная система управления информационной безопасностью.

Типовой пакет программных средств КЭС «АванГард» включает два программных комплекса - «АванГард-Анализ» и «АванГард-Контроль». Каждый из этих комплексов базируется на своей методике оценки рисков.

В первом предполагается оценка рисков на основе расчета рискообразующих потенциалов компонентов оцениваемой системы. При этом под рискообразующим потенциалом понимается та часть совокупного риска, связанного с системой, которая может быть отнесена на счет этого компонента. Расчет рискообразующих потенциалов выполняется следующим образом.

Сначала строятся модели событий рисков, содержащие по возможности подробное неформальное описание этих событий и перечень угроз, которые могут привести к ним. Далее по каждой модели события риска рассчитывается оценка риска -как произведение оценки вероятности события риска и оценки степени опасности события риска. При этом оценки, как вероятностей событий риска, так и степени опасности этих событий, предлагается получать с помощью ранговых шкал. Шкала вероятности имеет фиксированный размер от 0 до 100 (от нулевой до 100-процентной вероятности возникновения события риска в течение года). Нижняя граница шкалы опасности - 0, верхняя граница отсутствует, поэтому шкала строится по следующему принципу. Сначала на нее наносятся те риски, вся опасность которых сводится к материальному ущербу и может быть выражена в денежных единицах. В результате получается базовая шкала опасности событий рисков. Далее пользователям предлагается абстрагироваться от «денежной» метрики и воспринимать шкалу как выражающую лишь относительную степень опасности отдельных событий и указывать на ней события рисков путем сравнения степени их нежелательности или недопустимости. При этом верхняя граница шкалы может по мере надобности подниматься. Предусмотрен мощный механизм верификации даваемых оценок путем попарного сравнения вероятностей и степеней опасности каждого вновь указываемого события риска с теми, которые уже определены. Если для какой-либо пары соотношение в оценках не соответствует взглядам экспертов, то ранее выставленные оценки должны быть пересмотрены. Кроме того, предусматривается возможность распечатки выставленных оценок и их обсуждения и корректировки множеством экспертов (метод Дельфийских групп).

Методика предполагает, что любое событие риска происходит в результате реализации некоторого множества угроз, причем каждая из них может быть определена как угроза безопасности какого-либо компонента оцениваемой системы. Таким образом удается определить рискообразующий потенциал каждой из угроз в зависимости от ее «вклада» в события риска, а также рискообразующие потенциалы тех компонентов, к которым эти угрозы относятся, и рассчитать риски по всём структурным составляющим оцениваемой системы и по системе в целом.

В то же время предлагаемый разработчиками программный комплекс «Аван-Гард-Анализ» призван выполнять вспомогательную роль в решении задач управления ИБ, а именно: обеспечивать полноценный всесторонний анализ, позволяющий аргументированно сформулировать набор целей безопасности, обосновать политику безопасности, гарантировать полноту требований безопасности, контроль выполнения которых нужно осуществлять. Соответственно оценка рисков в нем проводится с целью разрешения указанных проблем.

Методика оценки рисков комплекса «АванГард-Контроль» подчинена задаче контроля уровня защищенности АИС и потому отличается от методики комплекса «АванГард-Анализ». Если методика комплекса «АванГард-Анализ» относится к рискам возможных нарушений безопасности оцениваемой системы, то методика комплекса «АванГард-Контроль» посвящена рискам, являющимся результатом невыполнения требований обеспечения безопасности оцениваемой системы и ее компонентов.

Следовательно, для применения комплекса «АванГард-Контроль» необходимо для каждого компонента оцениваемой системы иметь полный набор требований, выполнение которых означает нулевой риск нарушения безопасности системы. В то же время подразумевается, что при невыполнении всех требований риск нарушения безопасности системы будет 100-процентным.

Значительно облегчить работу по составлению полных наборов требований позволяет использование профилей защиты для отдельных компонентов оцениваемой системы, построенных на основе принятого в конце 2002 г. ГОСТ Р ИСО/МЭК 15408-2002 по критериям оценки безопасности информационных технологий. В связи с тем, что в 2004 г. планируется введение этого ГОСТа в действие, рассмотрим подробнее возможности оценить риски невыполнения его требований с помощью системы «АванГард-Контроль».

Предварительно поясним, что программный комплекс «АванГард-Контроль», в свою очередь, состоит из двух частей - программного комплекса (ПК) «АванГард-Центр» и ПК «АванГард-Регион». Первый предназначен для нескольких целей, таких как разработка профилей защиты (ПЗ); подготовка и рассылка ПЗ посредством электронной почты по подконтрольным частям АИС; автоматизированный сбор отчетности о выполнении требований безопасности в частях АИС; оценка рисков невыполнения требований безопасности в АИС; идентификация узких мест в защите. Второй - для получения профилей защиты в отдельных частях АИС, автоматизации ведения отчетности о выполнении ПЗ и отсылки этой отчетности для ее обработки ПК «АванГард-Центр».

Разработка профилей защиты в ПК «АванГард-Центр» проводится в разделе ведения каталогов программного комплекса. Изначально в КЭС «АванГард» было определено несколько ключевых понятий, таких как метакласс, класс, мера, требование. Метаклассы предназначены для группировки классов объектов АИС по каким-либо конкретным признакам. Классы определяют классы объектов, для которых формируются типовые наборы требований (профили защиты). Меры устанавливают функциональные классы и классы гарантий требований в терминологии ГОСТ Р ИСО/МЭК 15408-2002. Требования включают функциональные семейства, семейства гарантий, функциональные компоненты, компоненты гарантий, функциональные элементы и элементы гарантий в соответствии с ГОСТ Р ИСО/ МЭК 15408-2002.

Для профилей защиты, создаваемых на основе ГОСТ Р ИСО/МЭК 15408-2002, в каталогах ПК «АванГард-Центр» выделен метакласс «Требования и профили защиты по ГОСТ Р ИСО/МЭК 15408-2002». В этом метаклассе создан один «базовый» класс, в который входят все требования, содержащиеся в ГОСТ Р ИСО/МЭК 15408-2002, как функциональные, так и касающиеся гарантий безопасности.

Профили защиты по ГОСТ Р ИСО/МЭК 15408-2002 строятся следующим образом. Средствами ПК «АванГард-Центр» делается копия класса «Требования ГОСТ Р ИСО/МЭК 15408-2002». Далее выполняется операция «Вставить как шаблон профиля защиты» в метакласс «Требования и профили защиты по ГОСТ Р ИСО/МЭК 15408-2002». При этом предлагается поменять название класса. Предположим, что оно было заменено на следующее: «Система с разграничением доступа - Профиль защиты». В результате создается шаблон, который путем последовательного анализа требований корректируется так, что в нем остаются только меры и требования, необходимые для поддержания безопасности объектов того типа, для которого строится этот профиль защиты. Все ненужные в данном профиле меры и требования удаляются, а в оставшихся содержимое приводится в соответствие задачам обеспечения безопасности заданного типа объектов.

Созданные профили защиты могут быть либо распечатаны на бумаге, либо экспортированы в файл формата редактора WinWord.

С помощью разрабатываемых в системе ПК «АванГард-Центр» профилей защиты в структурную модель анализируемой системы заносятся объекты, оцениваемые по заданному ПЗ. Для создания таких объектов оценки (ОО) выполняется операция перетаскивания (drug and drop) нужного профиля защиты на ту составляющую структурной модели, в качестве элемента которой должен быть показан объект, отвечающий требованиям безопасности и соответствующий выбранному ПЗ.

«АванГард-Центр» позволяет по результатам анализа выполнения требований ПЗ по отдельным ОО оценить риски невыполнения требований в информационной системе. Чем больше требований не выполняется, тем больше риски и тем выше столбики гистограммы. В рассмотренном примере значимости отдельных требований приняты одинаковыми, но в принципе можно задавать различные значения, отражающие реальную важность отдельных требований для обеспечения безопасности ОО.

Таким образом, КЭС «АванГард» позволяет не только автоматизировать процесс разработки профилей защиты в соответствии с ГОСТ Р ИСО/МЭК 15408-2002, но и использовать ПЗ для оценки выполнения этих требований в информационных системах организации.

В заключение следует отметить, что экспертная система «АванГард» хорошо подходит для построения ведомственных и корпоративных методик анализа рисков и управления ими. Ее можно рассматривать как полноценный универсальный инструментарий и для анализа и оценки рисков, и для решения задач всеобъемлющего систематического контроля безопасности АИС (в том числе в таких аспектах, как выполнение политик безопасности, ГОСТов и требований Гостехкомиссии, законодательства, внутренних приказов и распоряжений, касающихся безопасности, а также должностных инструкций) во всех подразделениях, использующих АИС.. Компания RiskWatch предлагает два продукта: один относится к информационной, второй - к физической безопасности. ПО предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в области компьютерной и физической безопасности предприятия.

В продукте, предназначенном для управления рисками в информационных системах, учитываются требования стандартов США (можно выбирать требуемый уровень защищенности). Кроме того, выпущена версия продукта RiskWatch RW17799®, соответствующая стандарту ISO 17799. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика состоит из четырех этапов.

Первый этап - определение предмета исследования. На данном этапе описываются параметры организации: ее тип, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно отметить для подробной детализации или пропустить.

Далее каждый из указанных пунктов описывается подробно.

Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно отобрать те, которые реально присутствуют в организации.

Допускается модификация названий и описаний, а также добавление новых категорий, что позволяет достаточно просто русифицировать данный метод.

Второй этап - внесение данных, касающихся конкретных характеристик системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе:

подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов;

с помощью опросника, база которого содержит более 600 вопросов, выявляются возможные уязвимости. Вопросы связаны с категориями ресурсов. Допускается корректировка и исключение вопросов или добавление новых;

задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это служит в дальнейшем для расчета эффективности внедрения средств защиты.

Третий этап - оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах.

Для рисков рассчитываются математические ожидания потерь за год по формуле:

(4.1)

где р - частота возникновения угрозы в течение года;- стоимость ресурса, который подвергается угрозе.

Например, если стоимость сервера составляет 150 000 долл., а вероятность его уничтожения пожаром в течение года - 0,01, то ожидаемые потери будут равны 1500 долл.

Дополнительно рассматриваются сценарии «что если...», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при наличии защитных мер и без них, можно оценить эффект от таких мероприятий.

Четвертый этап - генерация отчетов. Типы отчетов:

краткие итоги;

полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;

отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз;

отчет об угрозах и мерах противодействия;

отчет о результатах аудита безопасности.

Возможности RiskWatch. В RiskWatch упрощенный подход используется как к описанию модели информационной системы, так и оценке рисков.

Трудоемкость работ по анализу рисков этим методом сравнительно невелика. Такой метод удобен, если требуется провести анализ рисков на программно-техническом уровне защиты без учета организационных и административных факторов. Однако следует иметь в виду, что полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций.

Существенным достоинством RiskWatch с точки зрения отечественного потребителя является его сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д. На основе этого метода отечественные разработчики могут создавать свои профили, отражающие отечественные требования в области безопасности, разрабатывать ведомственные методики анализа и управления рисками.[]

.2 Информационная безопасность

Последнее время сообщения об атаках на информацию, о хакерах и компьютерных взломах наполнили все средства массовой информации. Что же такое "атака на информацию"? Дать определение этому действию на самом деле очень сложно, поскольку информация, особенно в электронном виде, представлена сотнями различных видов. Информацией можно считать и отдельный файл, и базу данных, и одну запись в ней, и целиком программный комплекс. И все эти объекты могут подвергнуться и подвергаются атакам со стороны некоторой социальной группы лиц.

При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец, либо уполномоченное им лицо, накладывает явно либо самоочевидно набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

С массовым внедрением компьютеров во все сферы деятельности человека объем информации, хранимой в электронном виде вырос в тысячи раз. И теперь скопировать за полминуты и унести дискету с файлом, содержащим план выпуска продукции, намного проще, чем копировать или переписывать кипу бумаг. А с появлением компьютерных сетей даже отсутствие физического доступа к компьютеру перестало быть гарантией сохранности информации.

Каковы возможные последствия атак на информацию? В первую очередь, конечно, нас будут интересовать экономические потери:

Раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке;

Известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций;

Фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки;

Подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам;

Многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов.

Естественно, компьютерные атаки могут принести и огромный моральный ущерб. Понятие конфиденциального общения давно уже стало "притчей во языцех". Само собой разумеется, что никакому пользователю компьютерной сети не хочется, чтобы его письма кроме адресата получали еще 5-10 человек, или, например, весь текст, набираемый на клавиатуре ЭВМ, копировался в буфер, а затем при подключении к Интернету отправлялся на определенный сервер. А именно так и происходит в тысячах и десятках тысяч случаев.

Несколько интересных цифр об атаках на информацию. Они были получены исследовательским центром DataPro Research в 1998 году. Основные причины повреждений электронной информации распределились следующим образом: неумышленная ошибка человека - 52% случаев, умышленные действия человека - 10% случаев, отказ техники - 10% случаев, повреждения в результате пожара -15% случаев, повреждения водой - 10% случаев. Как видим, каждый десятый случай повреждения электронных данных связан с компьютерными атаками.

Кто был исполнителем этих действий: в 81% случаев - текущий кадровый состав учреждений, только в 13% случаев - совершенно посторонние люди, и в 6% случаев - бывшие работники этих же учреждений. Доля атак, производимых сотрудниками фирм и предприятий, просто ошеломляет и заставляет вспомнить не только о технических, но и о психологических методах профилактики подобных действий.

И, наконец, что же именно предпринимают злоумышленники, добравшись до информации: в 44% случаев взлома были произведены непосредственные кражи денег с электронных счетов, в 16% случаев выводилось из строя программное обеспечение, столь же часто - в 16% случаев - производилась кража информации с различными последствиями, в 12% случаев информация была cфальсифицирована, в 10% случаев злоумышленники с помощью компьютера воспользовались либо заказали услуги, к которым в принципе не должны были иметь доступа.

Информация с точки зрения информационной безопасности обладает следующими категориями:

конфиденциальность - гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации;

целостность - гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения;

аутентичность - гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения;

апеллируемость - довольно сложная категория, но часто применяемая в электронной коммерции - гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости - сам автор пытается "откреститься" от своих слов, подписанных им однажды.

В отношении информационных систем применяются иные категории:

надежность - гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано;

точность - гарантия точного и полного выполнения всех команд;

контроль доступа - гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются;

контролируемость - гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса;

контроль идентификации - гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает;

устойчивость к умышленным сбоям - гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

Одной из первых моделей была опубликованная в 1977 модель Биба (Biba). Согласно ей все субъекты и объекты предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения: 1) субъект не может вызывать на исполнение субъекты с более низким уровнем доступа; 2) субъект не может модифицировать объекты с более высоким уровнем доступа. Как видим, эта модель очень напоминает ограничения, введенные в защищенном режиме микропроцессоров Intel 80386+ относительно уровней привилегий.

Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно ей система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы - домены, и переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой указано какие операции может выполнять субъект, скажем, из домена C над объектом из домена D. В данной модели при переходе системы из одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы.

Сазерлендская (от англ. Sutherland) модель защиты, опубликованная в 1986 году, делает акцент на взаимодействии субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.

Важную роль в теории защиты информации играет модель защиты Кларка-Вильсона (Clark-Wilson), опубликованная в 1987 году и модифицированная в 1989. Основана данная модель на повсеместном использовании транзакций и тщательном оформлении прав доступа субъектов к объектам. Но в данной модели впервые исследована защищенность третьей стороны в данной проблеме - стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор. Кроме того, в модели Кларка-Вильсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта производилась не только перед выполнением команды от него, но и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и собственно командой. Модель Кларка-Вильсона считается одной из самых совершенных в отношении поддержания целостности информационных систем.[]

.3 Перечень контрмер и расчет их эффективности

Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. IT-риски можно разделить на две категории:

риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;

оценивание возможных угроз;

оценивание существующих уязвимостей;

оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:

показателей ценности информационных ресурсов;

вероятности реализации угроз для ресурсов;

эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты.

Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.

Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);

возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);

техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;

степенью легкости, с которой уязвимость может быть использована.

Для анализа защищенности информационных ресурсов предлагаемой системы, расчета затрат на поддержание ее безопасности была использована комплексная система управления рисками «ГРИФ», разработанная компанией «Digital Security», которая позволяет выбрать оптимальную стратегию защиты информации в рамках отдельных бизнес-процессов или всей компании в целом. Система предоставляет возможность проводить анализ рисков при помощи анализа модели информационных потоков или модели угроз и уязвимостей.

При работе с моделью информационных потоков, на первом этапе в систему была внесена полная информация обо всех ресурсах с ценной информацией, о пользователях, имеющих доступ к этим ресурсам, о видах и правах доступа. Были занесены данные обо всех средствах защиты каждого ресурса, сетевые взаимосвязи ресурсов, а также характеристики политики безопасности компании.[]

В первую очередь были определены ресурсы имеющие доступ к системе, предполагаемые угрозы и уровень риска данных угроз (таблица 4.1).

Таблица 4.1 - Риск ресурсов по угрозам и уязвимостям

Далее был определен уровень безопасности данных, хранящихся на сервере (таблица 4.2).

Таблица 4.2 - Уровень безопасности хранящихся данных и потоков информации

В итоге был рассчитан комплексный риск проблемно-ориентированной системы распределенный по классу угроз потери данных.

Таблица 4.3 - Комплексный уровень безопасности данных внедряемой системы

В целом уровень риска разработанной системы составил 69 %. Данный показатель говорит о том, что система имеет высокий коэффициент уязвимости и требует проведения работ по повышению уровня информационной безопасности.

Оценка возможного ущерба, который понесет компания в результате реализации угроз информационной безопасности.

Был рассчитан ущерб от реализации угроз по каждому из ресурсов (таблица 4.4).

Таблица 4.4 - Ущерб от возможной реализации угроз по каждому ресурсу

Общее значение уровня ущерба разработанной системы в случае реализации вышеуказанных угроз составляет 90%. Данный показатель говорит о том, что в случае реализации угроз качество аналитического аппарата системы практически полностью сводится к нулю.

Управление уровнем информационных рисков при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество.

На данном этапе бы определен перечень контрмер для повышения уровня информационной безопасности и снижения вероятности реализации угроз (таблица 4.5).

Таблица 4.5 - Перечень предлагаемых контрмер

Также была рассчитана эффективность от применения каждой контрмеры (таблица 4.6).

Таблица 4.6 - Рассчитанная эффективность контрмер по каждому ресурсу

Учитывая полученные значения контрмер затраты на управление всеми значимыми информационными рисками, связанными с внедрением проблемно-ориентированной системы представим следующим образом:

(4.2)

где N - общее количество значимых рисков, pi - вероятность i- го риска, ui- ожидаемая величина ущерба в денежном исчислении при наступлении i- го риска, J - количество информационных рисков, для которых используются механизмы предотвращения рисковых событий путем финансовых затрат на приобретение требуемых механизмов, νj- затраты на предотвращение j- го информационного риска, K - количество информационных рисков, для минимизации ущерба от которых применяются нефинансовые механизмы,ωk - затраты на нефинансовые механизмы (трудовые затраты, затраты аппаратной и программной частей).

Таким образом, обозначенные контрмеры обеспечивают увеличение показателя защищенности системы до 94%.

4.4 Выводы по главе

Таким образом, можно сделать следующие выводы:

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач.

Как и другими процессами, информационной безопасностью необходимо управлять. Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

. Экономическое обоснование разработки системы

.1 Расчёт расходов на разработку проекта

Рассмотрим расходы на разработку проекта, которые включают в себя:

Расходы на программное обеспечение (таблица 5.1).

Расходы на техническое обеспечение (таблица 5.2).

Расходы на оплату интеллектуального труда (таблица 5.3).

Таблица 5.1 - Расходы на программное обеспечение

Расходы на техническое обеспечение составляют покупка персонального компьютера и МФУ, а также амортизация указанного оборудования. Амортизация оборудования в год составляет 16%, тогда за 3 месяца, которые необходимы для разработки системы управления, она составила 4%.

Сводные данные по выделению средств на техническое обеспечение представлены в таблице 5.2.

Таблица 5.2 - Выделение средств на техническое обеспечение

Расходы на оплату интеллектуального труда составляет выплата программисту и отчисления в бюджет.[]

Таблица 5.3 - Расчёт средств на оплату интеллектуального труда

Таким образом, общие затраты на разработку системы управления составили: I = 87639+ 33280+ 124800= 245719 (руб.).

.2 Расчёт прибыли в результате внедрения проекта

Экономический эффект от внедрения системы управления достигается за счёт уменьшения среднего времени обслуживания. Таким образом, доход от внедрения системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях можно рассчитать следующим образом:[]

(5.1)

где Вобщ - валовая прибыль (Вобщ = 202214руб.);

С - себестоимость (С = 76860 руб.).

Прибыль предприятия можно найти по формуле и она равна:

 руб.

.3 Оценка эффективности капиталовложений

Основными количественными параметрами оценки инвестиций являются:

чистая текущая стоимость (ЧТС);

внутренний коэффициент окупаемости (ВКО);

рентабельность инвестиций (PI);

срок окупаемости инвестиций (СО);

окупаемость по ДДП (ТО - текущая окупаемость);

коэффициент эффективности инвестиций (КЭI).[]

Коэффициент дисконтирования (KDk)

= ,(5.2)

гдеr = 8,25 % - ставка дисконтирования (численно равна ставке рефинансирования центрального Банка РФ);= 11,4 % - годовой темп инфляции (на будущий год);

р - доля премии за риск;порядковый номер года, k = 0, 1, 2 …Тсл;

р = r * i;

р = 0,0825 * 0,114 = 0,009405;

Тогда

Чистая текущая стоимость (ЧТС)

ЧТС определяет величину отдачи от инвестиций. Инвестиции производятся в течение только первого года жизненного цикла объекта и нет затрат, сопутствующих инвестициям[]

ЧТС = å(Рk * KDk ) - I(5.3)

где k - порядковый номер года, k = 0, 1, 2 ,3;- годовой доход k - того года, руб.;- коэффициент дисконтирования;- размер инвестиций, руб.;

Сущность показателя «Чистая текущая стоимость»:

Если ЧТС>0, то капиталовложения являются эффективными;

Если ЧТС<0, капиталовложения являются неэффективными;

Если ЧТС=0, от инвестиций нет ни убытков, ни прибыли.

Результаты расчетов сводятся в таблицу 5.4.

Таблица 5.4 - Прогноз денежных потоков

Рисунок 5.1 - Прогноз денежных потоков

Таблица 5.5 - Показатели оценки экономической эффективности

Внутренний коэффициент окупаемости (ВКО)

Внутренний коэффициент окупаемости (ВКО) - ставка дисконтирования, при которой эффект от инвестиций равен нулю (ЧТС=0). ВКО показывает максимально допустимый уровень расходов.

(5.4)

где r0 - ставка дисконтирования, откорректированная на инфляцию и риск;- значение откорректированной ставки дисконта, при котором ЧТС1>0;- значение откорректированной ставки дисконта, при котором ЧТС2<0;

СК - показатель стоимости капитала;

ВКО> СК - капиталовложения являются эффективными;

ВКО <СК - капиталовложения являются неэффективными;

ВКО = СК - от инвестиций нет ни убытков, ни прибыли.[]= 0,0825 + 0,114 + 0,009405= 0,205905;=0,205905; ЧТС1 = 15914 > 0;=0; ЧТС2 = < 0;

5.4 Выводы по главе

В данном разделе проведена оценка эффективности капиталовложений с учетом дисконтирования денежных потоков. Определены следующие показатели: чистая текущая стоимость, индекс рентабельности, срок окупаемости и текущая окупаемость инвестиций, коэффициенты эффективности и рентабельности инвестиций.

Результаты расчетов показали, что внедрение системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях окупится через 2,8 года.

Заключение

Анализ исследований в электротехнической лаборатории показал, что существующая система отслеживания не в полном объеме отвечает современным требованиям: эффективности, надежности, быстродействия, отказоустойчивости. В связи с этим для предприятия является актуальным разработка системы поддержки принятия решений.

В дипломном проекте был решен ряд задач и разработана система поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях.

В рамках дипломного проекта были решены следующие задачи:

.Выполнен анализ существующих систем поддержки принятия решений.

.Разработана структура и определен состав системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях.

.Разработана база данных и интерфейсные формы системы поддержки принятия решений с использованием информации устройства передачи сигналов и команд в противоаварийной автоматике для снижения аварийности в электрических сетях.

.Проведен анализ информационной безопасности и оценена экономическая эффективность от внедрения системы.

Список использованных источников