-
Notifications
You must be signed in to change notification settings - Fork 27
Билет 28
Билет №28. Понятия аутентификации и авторизации. Современные способы и алгоритмы реализации. Понятия издержек и совокупной стоимости владения. Использование методов ABC, ABC/XYZ, SWOT, FMEA, диаграмма Исикавы для оценки информационных систем
Любое взаимодействие точки доступа (сети) и беспроводного клиента начинается с аутентификации. Аутентификация – это процедура проверки подлинности. Она позволяет определить, как клиент и точка доступа представляются друг другу и подтверждает, что у них есть право общаться между собой.
Методы аутентификации
- Открытая аутентификация (англ. Open Authentication). Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, то есть по сути это защита беспроводной сети Wi-Fi на основе ограничения доступа, что не безопасно. Используемые шифры: без шифрования, статический WEP, CKIP.
- Аутентификация с общим ключом (англ. Shared Key Authentication). Необходимо настроить статический ключ шифрования алгоритма WEP (англ. Wired Equivalent Privacy). Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети. Алгоритм шифрования WEP – это простой XOR ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа. Используемые шифры: без шифрования, динамический WEP, CKIP.
- Аутентификация по MAC-адресу. Данный метод не предусмотрен в IEEE 802.11, но поддерживается большинством производителей оборудования, например, D-Link и Cisco. Происходит сравнение МАС-адреса клиента с таблицей разрешенных MAC-адресов, хранящейся на точке доступа, либо используется внешний сервер аутентификации. Используется как дополнительная мера защиты.
- Wi-Fi Protected Access (WPA). После первых успешных атак на WEP было принято разработать новый стандарт 801.11i. Но до него был выпущен «промежуточный» стандарт WPA, который включал в себя новую систему аутентификации на базе 801.1x и новый метод шифрования TKIP. Существуют два варианта аутентификации: с помощью RADIUS сервера (WPA-Enterprise) и с помощью предустановленного ключа (WPA-PSK). Используемые шифры: TKIP (стандарт), AES-CCMP (расширение), WEP (в качестве обратной совместимости).
- WPA2 или стандарт 801.11i – это финальный вариант стандарта безопасности беспроводных сетей. В качестве основного шифра был выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также, как и в WPA, в WPA2 есть два варианта аутентификации: WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом. Используемые шифры: AES-CCMP (стандарт), TKIP (в качестве обратной совместимости).
- Cisco Centralized Key Management (CCKM). Вариант аутентификации от фирмы Cisco. Поддерживает роуминг между точками доступа. Клиент один раз проходит аутентификацию на RADIUS-сервере, после чего может переключаться между точками доступа. Используемые шифры: WEP, CKIP, TKIP, AES-CCMP. В настоящее время наиболее безопасным методом аутентификации среди всех прочих является стандарт 801.11i (WPA2). Скорее всего, аутентификация будет производиться с помощью RADIUS сервера (WPA-Enterprise).
- WPA3 – новейший стандарт. Согласно краткой характеристике на сайте альянса, WPA3 разработан с учетом опыта использования WPA2 (текущей версии защитного протокола), но предлагает более надежную защиту, в то же время упрощая настройки безопасности для пользователей и сервис-провайдеров.
Авторизация – это предоставление определенному лицу или группе лиц прав на выполнение определенных действий; процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.
Авторизацию не следует путать с аутентификацией – процедурой проверки легальности пользователя или данных. Авторизация производит контроль доступа к различным ресурсам системы в процессе работы легальных пользователей непосредственно после успешного прохождения ими аутентификации.
В соответствии с Постановлением Правительства Российской Федерации № 758 от 31 июля 2014 г. юридические лица и индивидуальные предприниматели, которые предоставляют публичный доступ к своей Wi-Fi сети, обязаны однозначно идентифицировать личность пользователей сети с помощью процедуры авторизации и хранить данные о подключавшихся пользователях сети на протяжении 6 месяцев. Постановление Правительства Российской Федерации № 801 от 12 августа 2014 г. разрешает использовать для идентификации пользователя мобильный телефон.
Существует множество порталов авторизации (например, «hotspot», «captive portal»), которые предоставляют свои услуги владельцам публичных сетей. Каждый из сервисов предоставляет определенный набор способов настройки идентификации пользователей Wi-Fi сети и различные дополнительные услуги. Например, установку ограничений на скорость соединения или на доступ с определенных устройств.
Виды авторизации
- Авторизация по SMS. Именно данный вид сервиса, позволяющий надежно идентифицировать пользователя, используется наиболее часто при авторизации в публичных Wi-Fi сетях. Алгоритм действий достаточно прост. Пользователь при подключении к сети вводит свой номер телефона, получает в ответ смс-сообщение с кодом доступа, вводит данный код и получает доступ к интернету. Именно легкость авторизации и делает этот вид достаточно привлекательным и привычным для пользователей, но поскольку цены за смс-сообщения дорожают, то это становится затратным для собственника Wi-Fi сети.
- Авторизация по звонку (Caller-ID). Данный вид авторизации организован несколько сложнее, чем предыдущий способ. Алгоритм идентификации может быть одним из трех: а) При попытке подключения к сети Wi-Fi пользователь вводит свой номер телефона, получает звонок и узнает специальный одноразовый код, необходимый для получения доступа к сети. б). При попытке подключения к сети Wi-Fi пользователь вводит свой номер телефона и получает звонок. Но в данном случае кодом служат последние несколько цифр определившегося номера телефона. в). При попытке подключения к сети Wi-Fi пользователю может быть предложено самому совершить звонок на указанный номер (без соединения и тарификации). Звонок сбрасывается и открывается доступ в интернет.
- Авторизация по ваучерам. Некий аналог авторизации по SMS или звонку, позволяющий давать пользователям доступ к Wi-Fi по уникальному логину и паролю, которые генерируется системой автоматически при создании нового ваучера. В системе также хранятся и некоторые дополнительные данные о пользователе, на которого создается ваучер, например, паспортные данные и номер телефона. Этот способ очень удобен для организаций с большим количеством посетителей: отелей, баз отдыха, больниц, торговых центров, учебных заведений и т.п. Из плюсов также можно выделить экономию средств на отправке смс–сообщений и доступность для иностранных граждан, которые не могут зарегистрироваться с помощью СМС или звонка из-за роуминга.
- Авторизация через социальные сети Facebook, VK, Instagram. При попытке подключения к публичной Wi-Fi сети пользователю может быть предложен данный вид авторизации. Доступ в интернет может быть открыт в ответ на различные действия со стороны пользователя в одной из социальных сетей (войти в свой аккаунт, поделиться записью, подписаться на рассылку сообщений).
- Авторизация посредством ESIA (Единой системой идентификации и авторизации). Данный вид авторизации возможен, если оператор обладает необходимыми лицензиями. Каждый человек, имеющий аккаунт на официальном сайте госуслуги.ру является пользователем ЕСИА. ЕСИА – это система, за функционирование которой отвечает Минкомсвязь России. Регистрируясь в этой системе, человек получает пароль, который по сути является ключом доступа ко всем государственным сайтам и ресурсам, предоставляющим услуги федерального и муниципального масштаба.
ВОПРОС 2. ПОНЯТИЯ ИЗДЕРЖЕК И СОВОКУПНОЙ СТОИМОСТИ ВЛАДЕНИЯ. ИСПОЛЬЗОВАНИЕ МЕТОДОВ ABC, ABC/XYZ, SWOT, FMEA, ДИАГРАММА ИСИКАВЫ ДЛЯ ОЦЕНКИ ИНФОРМАЦИОННЫХ СИСТЕМ.
Совокупная стоимость владения или стоимость жизненного цикла (англ. Total Cost of Ownership, TCO) — это общая величина целевых затрат, которые вынужден нести владелец с момента начала реализации вступления в состояние владения до момента выхода из состояния владения и исполнения владельцем полного объёма обязательств, связанных с владением.
Универсального метода расчета величины совокупной стоимости не существует, потому как структура затрат определяется видом самого объекта. Создаются индивидуальные методики, ориентированные на конкретный объект владения и применяемые отдельно для каждой стадии жизненного цикла. Тем не менее существуют основные принципы расчета и подходы к определению совокупной стоимости владения. Основным подходом является системный – этому исследованию свойственны такие признаки, как иерархичность и структуризация.
Для приблизительной оценки совокупной стоимости владения применяются упрощенные методики расчета ТСО, дающие представление о вероятных потерях по ходу владения. Несмотря на то что эти модели считаются довольно точными, отклонение реальных расходов от прогнозных может оказаться внушительным.
Методика определения ТСО предполагает, что есть два вида издержек: прямые (бюджетные) и косвенные. К прямым расходам относятся все траты, связанные с приобретением активов и отражаемые в бухгалтерской книге (их посчитать не составляет труда), а к косвенным – потери, связанные с обладанием активами. Например, если речь идет об IT-инфраструктуре, оплата услуг хостинга будет именно косвенными издержками. Авторы концепции ТСО утверждают, что косвенные издержки обычно превышают прямые в 3-4 раза. Уместно рассмотреть, в качестве ключевой, формулу: ТСО = ТСОр + ТСА, где ТСО – общая стоимость владения, ТСОр – стоимость использования, ТСА – прямые траты.
Для фактического расчета издержки типа ТСОр в компании классифицируются на несколько категорий:
- Расходы на человеческие ресурсы (people costs) – издержки на заработную плату как исполнителям низшего звена, так и руководству топ-уровня.
- Стоимость окружения – расходы на отопление, свет, другие коммунальные услуги, интернет.
- Стоимость сопровождения – например, компании IT-специализации приходится закупать новые компьютеры и регулярно обновлять ПО.
- Затраты иного плана – сюда можно отнести, например, траты на интеграцию системы безопасности или организацию тренингов для повышения квалификации персонала.
Львиная доля расходов типа ТСОр приходится на оплату труда персонала – особенно это актуально для фирм, которые занимаются оказанием услуг.
ABC (Activity Based Costing)-метод – функционально-стоимостной анализ – один из инструментов для анализа затрат.
Функционально-стоимостной анализ (ФСА, Activity Based Costing, АВС) – метод определения стоимости и других характеристик изделий, услуг и потребителей, в основе которого лежит использование функций и ресурсов, задействованных в производстве, маркетинге, продаже, доставке, технической поддержке, оказании услуг, обслуживании клиентов, а также в обеспечении качества.
Метод ФСА разработан как "операционно-ориентированная" альтернатива традиционным финансовым подходам. В частности, в отличии от традиционных финансовых подходов метод ФСА:
- предоставляет информацию в форме, понятной для персонала предприятия, непосредственно участвующего в бизнес-процессе;
- распределяет накладные расходы в соответствии с детальным просчетом использования ресурсов, подробным представлением о процессах и функциях их составляющих, а также их влиянием на себестоимость.
В основе применения метода ФСА лежит разработка и применение на практике ФСА-моделей. Цель создания ФСA-модели для совершенствования деятельности предприятий - достичь улучшений в работе предприятий по показателям стоимости, трудоемкости и производительности. Проведение расчетов по ФСА-модели позволяет получить большой объем ФСА-информации для принятия решения. При этом данная информация, особенно взаимосвязи отдельных ее элементов для лиц, принимающих решения являются, как правило, неожиданными. Полученная информация позволяет обосновывать и принимать решения в процессе применения таких методов совершенствования финансово-хозяйственной деятельности предприятия, как:
- «точно в срок» (Just-in-time, JIT) и KANBAN;
- глобальное управление качеством (Total Quality Management, TQM);
- непрерывное улучшение (Kaizen);
- реинжиниринга бизнес-процессов (Business Process Reengineering, BPR).
Как правило, ФСА-информация представляется в виде системы стоимостных и временных показателей, показателей трудоемкости и трудозатрат, а также относительных показателей, характеризующих эффективность деятельности центров ответственности на предприятии.
Пример: на рис. 1 приведена сравнительная оценка трудозатрат технологий работы структурных подразделений компании, из которой можно сделать вывод, что наиболее загруженными являются: коммерческий отдел, отдел логистики и бухгалтерия.
Рис. 1. Сравнительная оценка трудозатрат технологий работы
АВС–анализ — это инструмент, который позволяет изучить товарный ассортимент, определить рейтинг товаров по указанным критериям и выявить ту часть ассортимента, которая обеспечивает максимальный эффект.
Ассортимент обычно анализируется по двум параметрам: объем продаж (реализованное количество) и получаемая прибыль (реализованная торговая наценка). АВС- анализ основан на правиле Парето, согласно которому 20% ассортиментных позиций обеспечивает 80% прибыли. Практика показывает, что 10% позиций ассортимента (группа А) дают 80% товарооборота; 15% позиций ассортимента (группа В) дают 15% товарооборота; 75% позиций ассортимента (группа С) дают 5% товарооборота.
Учитывая это, весь ассортимент торгового предприятия можно разделить на группы по степени важности.
- Группа А – очень важные товары, которые всегда должны присутствовать в ассортименте. Если в качестве параметра в анализе использовался объем продаж, то в данную группу входят лидеры продаж по количеству. Если в качестве параметра в анализе использовалась торговая наценка, то в данную группу входят наиболее прибыльные товары.
- Группа В – товары средней степени важности.
- Группа С – наименее важные товары, это претенденты на исключение из ассортимента и товары-новинки.
Первым этапом проведения АВС-анализа является определение целей. Если целью является сокращение ассортимента, то в качестве основных параметров выбирается объем продаж, прибыль. Если целью является выявление и сокращение затрат на поддержание запасов, то в качестве основных параметров выбирается коэффициент оборачиваемости, объем неликвидов и занимаемая складская мощность. Если требуется исследовать рентабельность, то в качестве основного параметра выбирается коэффициент оборачиваемости, уровень рентабельности. Данные АВС-анализа помогают оптимизировать товарный ассортимент.
При всех многочисленных плюсах этого вида анализа существует один значительный минус: данный метод не позволяет оценить сезонные колебания спроса на товары.
XYZ–анализ – это инструмент, позволяющий разделить продукцию по степени стабильности продаж и уровня колебаний потребления. Метод данного анализа заключается в расчете каждой товарной позиции коэффициента вариации или колебания расхода. Этот коэффициент показывает отклонение расхода от среднего значения и выражается в процентах.
В качестве параметра могут быть: объем продаж (количество), сумма продаж, сумма реализованной торговой наценки. Результатом XYZ –анализа является группировка товаров по трем категориям, исходя из стабильности их поведения:
- Категория Х, в которую попадают товары с колебанием продаж от 5% до 15%. Это товары, характеризующиеся стабильной величиной потребления и высокой степенью прогнозирования.
- Категория Y, в которую попадают товары с колебанием продаж от 15% до 50%. Это товары, характеризующиеся сезонными колебаниями и средними возможностями их прогнозирования.
- Категория Z, в которую попадают товары с колебанием продаж от 50% и выше. Это товары с нерегулярным потреблением и непредсказуемыми колебаниями, поэтому, спрогнозировать их спрос невозможно.
Совмещенный АВС/XYZ анализ. Сочетание АВС и XYZ анализов выявляет безусловных лидеров (группа АХ) и аутсайдеров (СZ). Оба метода хорошо дополняют друг друга. Если АВС-анализ позволяет оценить вклад каждого продукта в структуру сбыта, то XYZ–анализ позволяет оценить скачки сбыта и его нестабильность. Рекомендуется делать совмещенный анализ, где в АВС-анализе используются два параметра - объем продаж и прибыль. Всего при проведении такого многомерного совмещенного анализа получается 27 групп товаров. Результаты такого анализа можно использовать для оптимизации ассортимента, оценки рентабельности товарных групп, оценки логистики, оценки клиентов оптовой компании. Использование совмещенного АВС и XYZ-анализов имеет ряд значительных преимуществ, к которым можно отнести следующие:
- повышение эффективности системы управления товарными ресурсами;
- повышение доли высокоприбыльных товаров без нарушения принципов ассортиментной политики;
- выявление ключевых товаров и причин, влияющих на количество товаров, хранящихся на складе;
- перераспределение усилий персонала в зависимости от квалификации и имеющегося опыта.
SWOT-анализ – один из самых распространенных методов, оценивающих в комплексе внутренние и внешние факторы, влияющие на развитие компании. Это анализ сильных и слабых сторон организации, а также возможностей и угроз со стороны внешней окружающей среды. «S» и «W» относятся к состоянию компании, а «O» и «T» к внешнему окружению организации, а расшифровывается термин следующим образом:
- Strengths – сильные стороны.
- Weakness – слабые стороны.
- Opportunities – возможности.
- Threats – угрозы.
SWOT-анализ является предварительным исследовательским этапом при составлении стратегических планов, разработке стратегических целей и задач компании.
По результатам ситуационного анализа можно оценить, обладает ли компания внутренними силами и ресурсами, чтобы реализовать имеющиеся возможности и противостоять внешним угрозам. Соответственно, необходим анализ внутренней и внешней ситуации.
При оценке внешней ситуации стоит учитывать:
- законодательство и политический климат,
- ожидаемые или возможные его изменения, которые могут повлиять на работу компании (изменения в таможенном законодательстве, например);
- экономическое положение страны, региона (изменение показателей ВНП, возможные крупные изменения в экономике, потенциально влияющие на компанию, ожидаемая инфляция);
- социально-демографические факторы;
- изменение технологий (ожидание технических новинок);
- экологическую среду.
В процессе проведения анализа внутренней ситуации компании оцениваются ресурсы фирмы, ее бизнес процессы, анализируется конкурентоспособность.
В процессе проведения анализа подтверждается или изменяется формулировка устойчивых конкурентных преимуществ компании. Ключевые факторы анализа:
- менеджмент (оценивается потенциал сотрудников компании высшего и среднего уровня, их квалификация, мотивация, лояльность);
- маркетинг (включая анализ коммуникационной программы (реклама, личные продажи, PR), сравнение рекламной активности с конкурентами, эффективность собственных маркетинговых усилий);
- персонал (особенно работа торгового персонала, уровень квалификации и заинтересованности, соответствие мотивационных программ целям и задачам организации, а также анализ контактов, новых потребителей, стоимости содержания торгового персонала);
- анализ системы сбыта компании, потребностей и запросов торговых партнеров (распределения объемов продаж по членам сети дистрибюьюции, типам посредников, аудит дистрибьюторов, выделение приоритетных дилеров);
- анализ продуктового портфеля (оцениваются текущие и ожидаемые объемы продаж, доля рынка, прибыльность по каждому из продуктов или продуктовой группе, качество, имидж марки);
- анализируются приоритетные конкуренты, их доля рынка, возможные преимущества по издержкам, цене, имидж их товаров, их конкурентное поведение текущее и возможное, их основные слабости;
- наличие устойчивого конкурентного преимущества (например, ресурсной базы, недоступной ближайшим конкурентам или патентованных технологий);
- анализ ценовой политики (ценовая эластичность спроса, возможные максимально приемлемые цены для товаров компании, сравнение с ценами конкурентов, политика скидок и других программ стимулирования сбыта).
Анализ последствий и причин отказов (Failure Mode & Effect Analysis – FMEA-анализ) представляет собой технологию анализа возможности возникновения дефектов и их влияния на потребителя. FMEA-анализ проводится для разрабатываемых продуктов и процессов с целью снижения риска потребителя от потенциальных дефектов.
FMEA-анализ не предусматривает изучение экономических показателей, в том числе затрат, связанных с низким качеством; его задача – выявить именно те дефекты, которые обуславливают наибольший риск для потребителя, определить их потенциальные причины и выработать корректирующие воздействия до того, как эти дефекты проявятся и, таким образом, предупредить затраты на их исправление.
Объектами FMEA-анализа процессов могут быть:
- конструкция изделия (FMEA-анализ конструкции);
- процесс производства продукции (FMEA-анализ процесса производства);
- бизнес-процессы (документооборот, финансовые процессы и т. д.) (FMEA-анализ бизнес-процессов);
- процесс эксплуатации изделия (FMEA-анализ процесса эксплуатации).
FMEA-анализ конструкции может проводиться как для разрабатываемой конструкции, так и для существующей. В рабочую группу по проведению анализа обычно входят представители отделов разработки, планирования производства, сбыта, обеспечения качества, представители опытного производства. Целью анализа является выявление потенциальных дефектов изделия, вызывающих наибольший риск потребителя и внесение изменений в конструкцию изделия, которые бы позволили снизить такой риск.
FMEA-анализ процесса производства обычно осуществляется ответственными службами планирования производства, обеспечения качества или производства с участием соответствующих специализированных отделов изготовителя и, при необходимости, потребителя. FMEA-анализ процесса производства начинается на стадии технической подготовки производства и заканчивается до начала основных – монтажно-сборочных и т. п. работ. Целью FMEA-анализа процесса производства является обеспечение выполнения всех требований по качеству процесса производства и сборки путем внесения изменений в план процесса для технологических процессов с повышенным риском.
FMEA-анализ бизнес-процессов обычно производится в подразделениях, выполняющих данный бизнес-процесс. В проведении анализа, кроме представителей этих подразделений, обычно принимают участие представители службы обеспечения качества, представители подразделений, являющихся внутренними потребителями результатов бизнес-процесса и подразделений, участвующих в выполнении этапов бизнес-процесса. Целью этого вида анализа является обеспечение качества выполнения запланированного бизнес-процесса. Выявленные в ходе анализа потенциальные причины дефектов и несоответствий позволят определить причину неустойчивости системы. Выработанные корректирующие мероприятия должны обязательно предусматривать внедрение статистических методов, в первую очередь для тех операций, где выявлен повышенный риск.
FMEA-анализ процесса эксплуатации обычно проводится в том же составе, что и FMEA–анализ конструкции. Целью проведения этого анализа служит формирование требований к конструкции изделия, обеспечивающих безопасность и удовлетворенность потребителя, т.е. подготовка исходных данных как для процесса разработки конструкции, так и для последующего FMEA–анализа конструкции.
По результатам анализа для разработанных корректирующих мероприятий составляется план их внедрения. Для этого определяется:
- в какой временной последовательности следует внедрять эти мероприятия и сколько времени потребуется на проведение каждого мероприятия, через сколько времени после начала его проведения проявится запланированный эффект;
- кто будет отвечать за проведение каждого из этих мероприятий и кто будет конкретным его исполнителем;
- где (в каком структурном подразделении) мероприятия должны быть проведены;
- из какого источника будет производиться финансирование проведения мероприятия.
Диаграмма причин и результатов (причинно-следственная диаграмма, диаграмма Исикавы) — графический способ исследования и определения наиболее существенных причинно-следственных взаимосвязей между факторами и последствиями в исследуемой ситуации или проблеме.
Последовательность построения диаграммы (рис. 2):
- Определить показатель качества, который будет исследоваться.
- Найти главные причины, которые оказывают воздействие на данный показатель.
- Выявить вторичные причины, влияющие на главные, затем определить причины третьего порядка, которые влияют на вторичные, и так далее до их полного исчерпания.
- Проанализировать все обнаруженные причины и выделить те из них, которые предположительно оказывают наибольшее влияние на исследуемый показатель качества.
Рис. 2. Построение диаграммы Исикавы
На рис. 3 представлен пример диаграммы.
Рис. 3. Пример диаграммы Исикавы
Билет подготовил Королецкий П.В..