Контрольная работа по "Ценообразованию"

 
Рис. 7.2.  Пример отношения "один-ко-многим" при связывании сущностей "Студент" и "Преподаватель"

В разных нотациях мощность связи изображается по-разному. В нашем примере мы используем нотацию CASE системы POWER DESIGNER, здесь множественность  изображается путем разделения линии  связи на 3. Связь имеет общее  имя "Дипломное проектирование" и имеет имена ролей со стороны  обеих сущностей. Со стороны студента эта роль называется "Пишет диплом под руководством", со стороны  преподавателя эта связь называется "Руководит". Графическая интерпретация связи позволяет сразу прочитать смысл взаимосвязи между сущностями, она наглядна и легко интерпретируема. Связи делятся на три типа по множественности: один-к-одному (1:1), один-ко-многим (1:M), многие-ко-многим (M:M). Связь один-к-одному означает, что экземпляр одной сущности связан только с одним экземпляром другой сущности. Связь 1: M означает, что один экземпляр сущности, расположенный слева по связи, может быть связан с несколькими экземплярами сущности, расположенными справа по связи. Связь "один-к-одному" (1:1) означает, что один экземпляр одной сущности связан только с одним экземпляром другой сущности, а связь "многие-ко-многим" (M:M) означает, что один экземпляр первой сущности может быть связан с несколькими экземплярами второй сущности, и наоборот, один экземпляр второй сущности может быть связан с несколькими экземплярами первой сущности. Например, если мы рассмотрим связь типа "Изучает" между сущностями "Студент" и "Дисциплина", то это связь типа "многие-ко-многим" (M:M), потому что каждый студент может изучать несколько дисциплин, но и каждая дисциплина изучается множеством студентов. Такая связь изображена на рис. 7.3.

• Между двумя сущностями может быть задано сколько угодно связей с разными смысловыми нагрузками. Например, между двумя сущностями "Студент" и "Преподаватель" можно установить две смысловые связи, одна — рассмотренная уже ранее "Дипломное проектирование", а вторая может быть условно названа "Лекции", и она определяет, лекции каких преподавателей слушает данный студент и каким студентам данный преподаватель читает лекции. Ясно, что это связь типа многие-ко-многим. Пример этих связей приведен на рис. 7.3.

 
Рис. 7.3.  Пример моделирования связи "многие-ко-многим"

• Связь любого из этих типов может быть обязательной, если в данной связи должен участвовать каждый экземпляр сущности, необязательной — если не каждый экземпляр сущности должен участвовать в данной связи. При этом связь может быть обязательной с одной стороны и необязательной с другой стороны. Обязательность связи тоже по-разному обозначается в разных нотациях. Мы снова используем нотацию POWER DESIGNER. Здесь необязательность связи обозначается пустым кружочком на конце связи, а обязательность перпендикулярной линией, перечеркивающей связь. И эта нотация имеет простую интерпретацию. Кружочек означает, что ни один экземпляр не может участвовать в этой связи. А перпендикуляр интерпретируется как то, что по крайней мере один экземпляр сущности участвует в этой связи. Рассмотрим для этого ранее приведенный пример связи "Дипломное проектирование". На нашем рисунке эта связь интерпретируется как необязательная с двух сторон. Но ведь на самом деле каждый студент, который пишет диплом, должен иметь своего руководителя дипломного проектирования, но, с другой стороны, не каждый преподаватель должен вести дипломное проектирование. Поэтому в данной смысловой постановке изображение этой связи изменится и будет выглядеть таким, как представлено на рис. 7.4.

 
Рис. 7.4.  Пример обязательной и необязательной связи между сущностями

Кроме того, в ER-модели допускается принцип категоризации  сущностей. Это значит, что, как и  в объектно-ориентированных языках программирования, вводится понятие  подтипа сущности, то есть сущность может быть представлена в виде двух или более своих подтипов —  сущностей, каждая из которых может иметь общие атрибуты и отношения и/или атрибуты и отношения, которые определяются однажды на верхнем уровне и наследуются на нижнем уровне. Все подтипы одной сущности рассматриваются как взаимоисключающие, и при разделении сущности на подтипы она должна быть представлена в виде полного набора взаимоисключающих подтипов. Если на уровне анализа не удается выявить полный перечень подтипов, то вводится специальный подтип, называемый условно ПРОЧИЕ, который в дальнейшем может быть уточнен. В реальных системах бывает достаточно ввести подтипизацию на двух-трех уровнях. 
 
 
 
 
 

Вопрос 3.

Под угрозой (вообще) обычно понимают потенциально возможное событие, процесс или явление, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам.

Угрозой интересам субъектов информационных отношений будем называть потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию, ее носители и процессы обработки может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

Нарушением безопасности (просто нарушением или атакой) будем называть реализацию угрозы безопасности.

В силу особенностей современных АС, перечисленных выше, существует значительное число различных  видов угроз безопасности субъектов  информационных отношений.

Следует иметь  ввиду, что научно-технический прогресс может привести к появлению принципиально  новых видов угроз и что  изощренный ум злоумышленника способен придумать новые пути и способы  преодоления систем безопасности, НСД  к данным и дезорганизации работы АС.

Источники угроз безопасности

Основными источниками  угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:

• стихийные  бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

• сбои и отказы оборудования (технических средств) АС;

• ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

• ошибки эксплуатации (пользователей, операторов и другого  персонала);

• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов  и т.п.).

Классификация угроз безопасности

Все множество  потенциальных угроз по природе  их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).

Рис. 1.5.1. Классификация  угроз по источникам и мотивации    

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

• непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

• преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз  по отношению к АС могут быть внешними или внутренними (компоненты самой  АС - ее аппаратура, программы, персонал, конечные пользователи).

Основные  непреднамеренные искусственные  угрозы

Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1) неумышленные  действия, приводящие к частичному  или полному отказу системы  или разрушению аппаратных, программных,  информационных ресурсов системы  (неумышленная порча оборудования, удаление, искажение файлов с  важной информацией или программ, в том числе системных и  т.п.);

2) неправомерное  отключение оборудования или  изменение режимов работы устройств  и программ;

3) неумышленная  порча носителей информации;

4) запуск технологических  программ, способных при некомпетентном  использовании вызывать потерю  работоспособности системы (зависания  или зацикливания) или осуществляющих  необратимые изменения в системе  (форматирование или реструктуризацию  носителей информации, удаление  данных и т.п.);

5) нелегальное  внедрение и использование неучтенных  программ (игровых, обучающих, технологических  и др., не являющихся необходимыми  для выполнения нарушителем своих  служебных обязанностей) с последующим  необоснованным расходованием ресурсов (загрузка процессора, захват оперативной  памяти и памяти на внешних  носителях);

6) заражение  компьютера вирусами;

7) неосторожные  действия, приводящие к разглашению  конфиденциальной информации, или  делающие ее общедоступной; 

8) разглашение,  передача или утрата атрибутов  разграничения доступа (паролей,  ключей шифрования, идентификационных  карточек, пропусков и т.п.);

9) проектирование  архитектуры системы, технологии  обработки данных, разработка прикладных  программ, с возможностями, представляющими  опасность для работоспособности  системы и безопасности информации;

10) игнорирование  организационных ограничений (установленных  правил) при работе в системе; 

11) вход в систему  в обход средств защиты (загрузка  посторонней операционной системы  со сменных магнитных носителей  и т.п.);

12) некомпетентное  использование, настройка или  неправомерное отключение средств  защиты персоналом службы безопасности;

13) пересылка  данных по ошибочному адресу  абонента (устройства);

14) ввод ошибочных  данных;

15) неумышленное  повреждение каналов связи. 

Основные  преднамеренные искусственные  угрозы

Основные возможные  пути умышленной дезорганизации работы, вывода системы из строя, проникновения  в систему и несанкционированного доступа к информации:

1) физическое  разрушение системы (путем взрыва, поджога и т.п.) или вывод из  строя всех или отдельных наиболее  важных компонентов компьютерной  системы (устройств, носителей  важной системной информации, лиц  из числа персонала и т.п.);

2) отключение  или вывод из строя подсистем  обеспечения функционирования вычислительных  систем (электропитания, охлаждения  и вентиляции, линий связи и  т.п.);

3) действия по  дезорганизации функционирования  системы (изменение режимов работы  устройств или программ, забастовка, саботаж персонала, постановка  мощных активных радиопомех на  частотах работы устройств системы  и т.п.);

4) внедрение  агентов в число персонала  системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

5) вербовка (путем  подкупа, шантажа и т.п.) персонала  или отдельных пользователей,  имеющих определенные полномочия;

6) применение  подслушивающих устройств, дистанционная  фото- и видео-съемка и т.п.;

7) перехват побочных  электромагнитных, акустических и  других излучений устройств и  линий связи, а также наводок  активных излучений на вспомогательные  технические средства, непосредственно  не участвующие в обработке  информации (телефонные линии, сели  питания, отопления и т.п.);

8) перехват данных, передаваемых по каналам связи,  и их анализ с целью выяснения  протоколов обмена, правил вхождения  в связь и авторизации пользователя  и последующих попыток их имитации  для проникновения в систему;