Автоматизированные системы управления в гостинице

      - зачеты складских операций;

      - межбалансовые зачеты.

      В области управления точками продаж и оказания услуг (медицинские, развлекательные, в т.ч. бильярд, боулинг, сауна, фитнес и т.д.):

      -  резервирование и контроль использования ресурсов (бильярд, боулинг, сауна);

      - учет услуг, оказанных гостям;

      - формирование счетов;

      - настройка механизмов ценообразования,  правил продаж, шаблонов скидок;

      -  расчеты (наличные, безналичные), использование единого расчетно-платежного пространства;

      -  использование современных специализированных рабочих мест «Обслуживание посетителей»;

      - использование оригинальных систем  управления электропитанием ресурсов и т.д.

      При отладке программных продуктов часто бывает необходимо детально проследить поведение программы и ее переменных в сомнительных местах, т.е. выполнить

      трассировку. Соответственно в СУБД включается традиционный набор средств отладки.

      Функционально банк данных включает в себя

      • базу данных (БД), » СУБД,

      • словарь данных,

      • администрацию базы данных,

      • вычислительную систему,

      • обслуживающий персонал.

      База  данных представляет собой совокупность специальным образом организованных именованных наборов данных, хранимых в памяти вычислительной системы. Эти наборы должны быть

      • интегрированными (с минимальным дублированием информации);

      • взаимосвязанными (точнее, взаимно дополняющими - до требуемой полноты сведений),

      • целенаправленными (содержащими только необходимые сведения),

        • независимыми от процессов обработки.

      Базы  данных подразделяются на централизованные и распределенные. Централизованная БД хранится в памяти одной вычислительной системы. Если эта система является компонентой локальной сети ЭВМ, возможен распределенный доступ к такой базе. При структуре «файл-сервер» обработка запрашиваемых у сервера файлов производится на периферийных ЭВМ, где могут создаваться монопольно используемые локальные БД. Здесь существенно увеличивается загрузка линий связи и возрастает риск перехвата информации. При структуре «клиент-сервер» основная часть обработки данных выполняется сервером по запросам клиентов. Соответственно возрастают требования к программно-аппаратным средствам сервера и снижаются - к клиентским. Клиентам передаются результаты запроса.

      Таким образом, Эдельвейс - современный программный продукт, основанный на технологии «клиент-сервер». Вся информация, вводимая пользователями в систему, хранится в централизованной базе данных под управлением СУБД Sybase Adaptive Server Anywhere. В современных СУБД (в частности, в FoxPro) имеется ряд дополнительных возможностей. Генераторы приложений помогают быстро создавать заготовки отчетов, экранов и меню, почти не прибегая к непосредственному программированию. Проектирование практически сводится к физическому размещению и масштабированию нужных элементов из предлагаемого перечня в специальном окне проектирования - планшете, облик которого формируется в соответствии с будущим видом экрана/отчета.

      Именно  сервер баз данных Sybase обеспечивает хранение, обработку и защиту данных, с которыми работают пользователи Эдельвейс.

      Новые версии системы поставляются клиентам по мере их выпуска производителем в соответствии с лицензионными соглашениями.

      Программы имеют несколько степеней защиты. Безопасность информационной системы - свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации .

      Угрозы  информационным системам можно объединить в следующие группы :

      -  угроза раскрытия информации;

      -  угроза нарушения целостности - умышленное несанкционированное или неумышленное изменение (удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую;

      -  угроза отказа в обслуживании - блокировка доступа к некоторому ресурсу вычислительной системы.

      По  природе возникновения угрозы можно  разделить на:

      -  естественные;

      -  искусственные.

      Естественные  угрозы - это угрозы, связанные с  воздействиями на И С объективных  физических процессов или природных  явлений. Искусственные угрозы - это угрозы информационной системе, связанные с деятельностью человека.

      Пользователем И С могут быть осуществлены следующие  непреднамеренные действия, представляющие угрозу безопасности информационной системы :

      -  доведение до состояния частичного  или полного отказа системы, разрушение аппаратных, программных, информационных ресурсов системы (порча оборудования, носителей информации, удаление, искажение файлов с важной информацией или программ, в том числе системных, и т. п.);

      -   неправомерное включение оборудования или изменение режимов работы устройств и программ;

      -  запуск сервисных программ, способных  при некомпетентном использовании вызывать потерю работоспособности системы или необратимые изменения в системе;

      -  нелегальное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения служебных обязанностей, с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти внешних носителей);

      -  заражение компьютера вирусами;

      -  разглашение конфиденциальной информации;

      -  разглашение, передача или утрата  атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т. п.);

      -  игнорирование организационных  ограничений;

      -  некомпетентное использование, настройка или неправомерное отключение средств защиты информации;

      -  пересылка данных по ошибочному  адресу абонента (устройства);

      -  ввод ошибочных данных;

      -  повреждение каналов связи.

      Пользователем ИС могут быть осуществлены следующие  преднамеренные действия, представляющие угрозу безопасности информационной системы:

      -  физическое разрушение системы  или вывод из строя наиболее  важных ее компонентов;

      -  отключение или вывод из строя  подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.);

      -  дезорганизация функционирования  системы (изменение режимов работы устройств или программ, создание мощных активных радиопомех и т. п.);

      -  внедрение агентов в число  персонала (в том числе и в службу безопасности), вербовка персонала или отдельных пользователей, имеющих определенные полномочия;

      -  применение подслушивающих устройств,  дистанционная фото-и видеосъемка  и т. п.;

      -   перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводка активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т. п.);

      -  перехват данных, передаваемых по  каналам связи, и их анализ с целью осуществления попыток проникновения в систему;

      -  хищение носителей информации;

      -  несанкционированное копирование  носителей информации;

      -  хищение производственных отходов  (распечаток, записей, списанных носителей информации и т. п.);

      -  чтение остатков информации из  оперативной памяти и с внешних запоминающих устройств, чтение информации из областей оперативной памяти, используемых операционной системой;

      -  незаконное получение паролей  и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, имитации интерфейса системы и т. п.) с последующей маскировкой под зарегистрированного пользователя;

      -  несанкционированное использование  терминалов пользователей, имеющих уникальные физические характеристики;

      -  вскрытие шифров криптозащиты  информации;

      -  внедрение аппаратных спецвложений, программ «закладок» и «троянских коней».

      Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один способ, а их некоторую совокупность.

      Формализованное описание или представления комплекса  возможностей нарушителя по реализации тех или иных угроз безопасности информации называют моделью нарушителя.

      При разработке модели нарушителя делаются предположения :

      -  о категориях лиц, к которым  может принадлежать нарушитель;

      -  о мотивах действий нарушителя;

      -  о квалификации нарушителя и  его технической оснащенности;

      -  о характере возможных действий  нарушителя.

      По  отношению к ИС нарушители могут  быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала:

      -  пользователи системы;

      -  персонал, обслуживающий технические  средства (инженеры, техники);

      - сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);

      -  технический персонал, обслуживающий  здание (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты ИС);

      -  сотрудники службы безопасности  ИС;

      -  руководители различных уровней  должностной иерархии. Посторонние лица, которые могут быть внешними нарушителями:

      -  клиенты;

      -  посетители;

      -  представители организаций, взаимодействующих  по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т. п.);

      -  представители конкурирующих организаций  или лица, действующие по их заданию;

      -  лица, случайно или умышленно  нарушившие пропускной режим  (без цели нарушения безопасности  ИС).

      Можно выделить три основных мотива нарушений:

      -  безответственность;

      -  самоутверждение;

      -  корыстный интерес.

      Нарушителей можно классифицировать по следующим  признакам .

      1. По уровню знаний об ИС.

      2. По уровню возможностей, различают  нарушителей:

      •  применяющих чисто агентурные методы получения сведений;

      •   применяющих пассивные средства (технические средства перехвата без модификации компонентов системы);

      • использующих только штатные средства и недостатки систем защиты для ее преодоления, а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

      • применяющих методы и средства активного  воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).

      3. По месту действия нарушители  могут быть: