СибАДИbek.sibadi.org/fulltext/esd926.pdfанализа электрической активности мозга»). Живой интерес участники конференции

Министерство науки и высшего образования Российской Федерации Федеральное государственное бюджетное образовательное учреждение

высшего образования «Сибирский государственный автомобильно-дорожный университет

(СибАДИ)»

Кафедра «Информационная безопасность»

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: СОВРЕМЕННАЯ ТЕОРИЯ И ПРАКТИКА

Сборник научных трудов студентов, аспирантов и преподавателей по материалам

межвузовской научно-практической конференции

Омск • 2018

СибАДИ

УДК 004 И74

И74 Информационная безопасность: современная теория и практика [Электронный ресурс] : сборник научных трудов студентов, аспирантов и преподавателей по материалам межвузовской научно-практической конференции / отв. ред. З.В. Семенова. – Электрон. дан. – Омск, СибАДИ 2018. – Режим доступа: http://bek.sibadi.org/fulltext/esd926.pdf, свободный после авторизации. ‒ Загл. с экрана.

ISBN 978-5-00113-107-6.

Подготовлен на основе докладов межвузовской научно-практической конференции «Информационная безопасность: современная теория и практика», состоявшейся 15 сентября 2018 на кафедре «Информационная безопасность» факультета «Информационные системы в управлении» СибАДИ, г. Омск. Программа конференции включает доклады студентов и аспирантов, подготовленных при участии преподавателей трех вузов г. Омска: Федеральное государственное бюджетное образовательное учреждение высшего образования «Сибирский государственный автомобильно-дорожный университет (СибАДИ)», Федеральное государственное бюджетное образовательное учреждение высшего образования «Омский государственный технический университет (ОмГТУ)» и Федеральное государственное бюджетное образовательное учреждение высшего образования «Омский государственный университет путей сообщения (ОмГУПС)».

Представлены результаты теоретических и практико-ориентированных исследований по различным аспектам информационной безопасности.

Имеет интерактивное оглавление в виде закладок. Издание может быть полезно научным сотрудникам, преподавателям,

студентам и аспирантам и всем, кто интересуется проблемами и перспективами развития информационной безопасности.

Подготовлен на кафедре «Информационная безопасность».

Организационный комитет конференции: зав. каф. З.В. Семенова. (председатель),

А.Г. Анацкая, Е.М. Михайлов,

С.А. Любич, Н.А. Сапрыкина, Е.В. Толкачева

Текстовое (символьное) издание (9 МБ) Системные требования: Intel, 3,4 GHz; 150 Мб; Windows XP/Vista/7;

DVD-ROM; 1 Гб свободного места на жестком диске; программа для чтения pdf-файлов: Adobe Acrobat Reader: Foxit Reader

Техническая подготовка Н.В. Кенжалинова Издание первое. Дата подписания к использованию 26.12.2018

Издательско-полиграфический комплекс СибАДИ. 644080, г. Омск, пр. Мира, 5 РИО ИПК СибАДИ. 644080, г. Омск, ул. 2-я Поселковая, 1

ФГБОУ ВО «СибАДИ», 2018

СибАДИ

СОДЕРЖАНИЕВступительное слово 4 Балау Э.И., Анацкая А.Г. Культура распространения личной информации пользователями социальных сетей 6 Бутов О.С., Мызникова Т.А. Тенденции развития программных продуктов в области информационной безопасности 11 Гугняк Р.Б., Мызникова Т.А. Применение методов искусственного интеллекта для прогнозирования угроз WEB-приложениям 16 Жуков Д.Э., Толкачева Е.В. Выполнение требований законодательства РФ в области категорирования объектов критической информационной инфраструктуры 20 Кальницкая А.В., Семенова З.В. Анализ публикационной активности по проблеме защиты информации в автоматизированных системах водного транспорта 25 Кирилов А.Д., Толкачева Е.В. Сравнительный анализ средств криптографической защиты информации на мобильных устройствах 33 Ковшарь И.Р. Семенова З.В. Разработка прототипов решений для защиты обмена важной информацией через демилитаризованную зону в корпоративной сети 38 Лапшин С.С., Сапрыкина Н.А. Модель информационного общества – отражение новых онтологических закономерностей, обусловленных внедрением информационных технологий 45 Курочка Р.А., Толкачева Е.В. Использование средств криптографической защиты информации в государственных учреждениях 50 Ложников П.С., Сулавко А.Е., Лукин Д.В., Белгородцев А.А. Способ генерации ключевых последовательностей на основе мультимодальной биометрии 55 Мазуров А.А., Семенова З.В. Обеспечение защиты приложения «СУШИ МАРКЕТ» средствами платформы .NET FRAMEWORK и MS SQL SERVER 62 Михальцов В.Е., Михайлов Е.М. Анализ возможностей реализации идентификации и аутентификации пользователей в АС на базе системы электронного документооборота ELMA 70 Нигрей А.А., Хайдин Б.И., Сулавко А.Е., Пономарев Д.Б. Об оценке ресурсного состояния человека на основе анализа электрической активности мозга 76 Погарский П.Ю., Анацкая А.Г. Категорирование объектов критической информационной инфраструктуры медицинского учреждения 82 Родина Е.В., Епифанцева М.Я. Синтез случайного процесса по корреляционной функции: создание базы процессов 89 Рой Д.А., Анацкая А.Г Комплексная защита информации в информационной системе страховой компании 97 Севостьянов Н.А., Любич С.А. Анализ возможностей фреймворка FLASK по обеспечению различных аспектов защиты данных 103 Стадников Д.Г., Чобан А.Г., Сулавко А.Е., Шалина Е.В Распознавание биометрических образов с использованием алгоритмов искусственных иммунных систем 107 Ткаченко М.В., Любич С.А Обеспечение безопасности данных в автоматизированной системе «Электронная очередь приемной компании СибАДИ» 114 Шмаков А.К., Комаров В.А. Оценка возможности использования моментов распределения в качестве показателя формы определяемого сигнала 118

СибАДИ3

Вступительное слово

Интенсивное внедрение информационных технологий в нашу жизнь обостряет проблему обеспечения безопасности данных. По данным группы компаний InfoWatch, являющейся признанным лидером в области разработки инновационных программных продуктов и комплексных решений для информационной безопасности организаций, только в 2017 году было зафиксировано 2131 случаев утечки данных. Данный инцидент информационной безопасности влечет за собой не только репутационные, но и, как правило, существенные финансовые потери. Минимизация потерь от утечки информации на различных уровнях возможна при решении технических, технологических и кадровых проблем в области информационной безопасности. На сегодняшний день наиболее актуальной является потребность в подготовке высококвалифицированных кадров в области информационной безопасности.

В Омске на базе ведущих вузов подготовка таких специалистов осуществляется более 15 лет. Учитывая современный тренд на реализацию идеи сетевого взаимодействия, в сентябре 2018 года на базе СибАДИ впервые прошла межвузовская научно-практическая конференция «Информационная безопасность: современная теория и практика». В ней приняли участие студенты, аспиранты и преподаватели СибАДИ, ОмГТУ и ОмГУПС. Указанные вузы реализуют образовательные программы по УГСН 10.00.00 – «Информационная безопасность». Доклады, вызвавшие у участников конференции наибольший интерес, представлены в данном сборнике.

Многие из докладчиков представили результаты своих научно-практических работ, апробация которых прошла в рамках производственной практики. Среди них проекты или прототипы информационных систем, для которых теоретически и практически проработаны разнообразные аспекты защиты информации («Разработка прототипов решений для защиты обмена важной информацией через демилитаризованную зону в корпоративной сети», «Анализ возможностей реализации идентификации и аутентификации пользователей в АС на базе системы электронного документооборота ELMA», «Анализ возможностей фреймворка FLASK по обеспечению различных аспектов защиты данных», «Обеспечение безопасности данных в автоматизированной системе «Электронная очередь приемной компании СибАДИ» и другие.)

На конференции были также представлены результаты исследований, реализуемых в рамках грантовой поддержки («Способ генерации ключевых последовательностей на основе мультимодальной биометрии»; «Распознавание биометрических образов с использованием алгоритмов искусственных иммунных систем»; «Об оценке ресурсного состояния человека на основе анализа электрической активности мозга»).

Живой интерес участники конференции проявили и в отношении аналитических исследований («Тенденции развития программных продуктов в

СибАДИ4

области информационной безопасности», «Применение методов искусственного интеллекта для прогнозирования угроз web-приложениям», «Анализ публикационной активности по проблеме защиты информации в автоматизированных системах водного транспорта», «Сравнительный анализ средств криптографической защиты информации на мобильных устройствах», «Оценка возможности использования моментов распределения в качестве показателя формы определяемого сигнала»).

Активная дискуссия развернулась вокруг докладов, имеющих выраженную практико-ориентированную направленность («Синтез случайного процесса по корреляционной функции: создание базы процессов», «Обеспечение защиты приложения «Суши маркет» средствами платформы .NET FRAMEWORK и MS SQL SERVER», «Категорирование объектов критической информационной инфраструктуры медицинского учреждения», «Комплексная защита информации в информационной системе страховой компании»).

Организаторы и участники конференции высоко оценили предоставленную возможность обмена опытом, полезной научной и практической информацией, а также выразили надежду на продолжение взаимодействия выпускающих кафедр в таком формате.

Оргкомитет конференции выражает надежду на то, что данный сборник научных статей станет объектом дискуссий и импульсом для новых научно-практических исследований.

Зав. кафедрой «Информационная безопасность» СибАДИ,

д-р.пед.наук, профессор З.В. Семенова

СибАДИ5

КУЛЬТУРА РАСПРОСТРАНЕНИЯ ЛИЧНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯМИ СОЦИАЛЬНЫХ СЕТЕЙ

Балау Эльвира Игоревна студент группы БИб16-И1 Сибирского государственного автомобильно-

дорожного университета (СибАДИ)», г. Омск E-mail: [email protected] Анацкая Алла Георгиевна

канд. пед. наук, доцент кафедры информационная безопасность, Сибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск

E-mail: [email protected]

АННОТАЦИЯ В данной статье рассматриваются возможности сбора информации,

которую можно получить на основе содержания страниц пользователей в социальных сетях. Актуальность темы связана с участившимися случаями утечки персональных данных из социальных сетей и сети Интернет. Проводится сравнительный анализ онлайн-сервисов, позволяющих получить информацию о пользователях сети. Соблюдение правил поведения в социальных сетях позволит уберечь свои личные данные от противоправных воздействий.

Ключевые слова: социальная сеть, киберпреступность, персональные

данные, грабеж, мошенничество.

Кража персональных данных, в настоящее время, является большой проблемой во всем мире. Полученные незаконным образом сведения могут быть использованы злоумышленниками для получения кредита в банковской организации, регистрации фирмы-однодневки, управления банковскими карточками, переоформления недвижимости и других мошеннических действий.

В связи с этим субъектам персональных данных (ПДн) очень важно знать, что такое кража персональных данных, и понимать, насколько они подвержены риску. Даже если отдельный субъект персональных данных лично пока не стал жертвой, то статистика киберпреступлений показывает, что это может случиться в любой момент.

Так, в марте 2018 года стало известно, что британская компания CambridgeAnalytica, проводившая аналитику избирательских предпочтений во время выборов президента США, незаконно использовала данные 50 миллионов пользователей социальной сети. В компанию попали данные о тех пользователях, которые авторизовывались для прохождения онлайн-теста через Facebook [1].

Активным сбором информации занимаются не только аналитические компании, но и киберпреступники. Среди способов получения ПДн различают анализ цифрового следа, который пользователь оставляет в сети и методы

СибАДИ6

социальной инженерии [2]. Например, злоумышленники легко могут взломать аккаунт, предложив пользователю ввести на веб-странице учетные данные, заинтересовав его возможностью получения доступа к какой-либо информации, приза, выигрыша и т.п. [1].

По данным исследований [2] активные пользователи соцсетей имеют уровень риска стать жертвами на 30% выше, в связи с тем, что их информация может быть раскрыта чаще других. Например, по данным исследований пользователи Facebook, Instagram и Snapchat имеют на 46% выше уровень риска «захвата» аккаункта, чем те, у кого нет аккаунтов в этих соцсетях [3].

Рассмотрим, какую информацию можно получить о человеке из социальных сетей и сети Интернет.

Если ввести имя и фамилию человека в поисковую строку. То можно получить список всех сайтов, где упоминался данный человек – от детских конкурсов, школьных и студенческих олимпиад и конференций, до диссертаций.

Существуют различные сервисы, которые позволяют найти информацию о человеке.

Так, сервис SocialSearcher [4] позволяет найти последние посты пользователя на Facebook, Flickr, Tumblr, Vimeo, Reddit и других сайтах (рис. 1).

Рисунок 1 – результат поиска в сервисе SocialSearcher

С помощью сервиса SocialMention [5] можно узнать, что говорят о человеке другие пользователи. Помимо последних постов с упоминаниями искомой личности, здесь можно получить ТОП хештегов, которые эти посты обычно сопровождают и ТОП пользователей, которые упоминают рассматриваемую персону чаще всего (рис. 2).

СибАДИ7

Рисунок 2 - результат поиска в сервисе SocialMention

Упомянутые выше сервисы подходят для поиска либо знаменитых

личностей, либо пользователей англоязычной аудитории. На сайте SocialMention обычные российские пользователи не обнаруживаются, так как они практически не зарегистрированы в социальных сетях по которым осуществляется поиск.

Ресурсом, который в наибольшей степени позволяет выполнить сбор информации о российских пользователях является сервис «Яндекс.Люди» [6], с помощью которого можно найти все страницы пользователя по его имени и фамилии или никнейму (рис. 3).

Рисунок 3 - результат поиска в сервисе Яндекс Люди

СибАДИ8

На рисунке 3 показано, что по имени и фамилии можно найти социальные сети, где зарегистрирован пользователь, а так же такую первичную информацию как город, дату рождения и id пользователя. При дальнейшем изучении страниц социальных сетей, можно собрать достаточно много подробной информации о человеке.

В разделе социальных сетей «О себе», пользователи часто указывают свои увлечения, и если это посещение каких-либо занятий, например, танцы, то на странице зачастую присутствует ссылка на сайт или группу танцевальной студии, в которой имеется вся информация о ней. В основном в таких группах есть расписание и не всегда эти группы закрыты от посторонних пользователей. Таким образом, можно узнать информацию о том, где может находиться человек в определенный момент времени.

Не пренебрегают пользователи и определением местоположения. Так, пронаблюдав за фотографиями пользователя, можно выяснить, где он бывает, какие места он посещает чаще всего.

Некоторые пользователи указывают адрес места жительства, вплоть до указания номера подъезда и квартиры, что делать совсем не рекомендуется.

Номер телефона тоже не стоит указывать, если это обычный пользователь, а не оказывающий какие-либо услуги и телефон необходим для связи с ним. Но даже в этом случае есть опасность оказаться жертвой мошенника. Так как зачастую к номеру телефона привязана банковская карта. Мошенники могут отправлять смс с просьбой оплатить несуществующий кредит.

Указание полной даты рождения тоже может представлять опасность. На основе этой информации злоумышленник может попытаться найти паспортные данные, а также данные страхового и медицинского свидетельства и других документов.

Зачастую пользователи не задумываются о том, какие фотографии и видео следует выставлять в открытый доступ. В настоящее время обычной практикой у работодателей является проверка социальных сетей, желающих трудоустроиться. Иногда полученные таким образом сведения могут повлиять на мнение о данном человеке не в лучшую сторону. Также пользователям социальных сетей не стоит публиковать место работы и фотографии с него, так как существует вероятность, что на фото может быть запечатлена конфиденциальная информация, составляющая коммерческую тайну компании.

Цели овладения личной информацией нарушителями информационной безопасности могут быть следующими:

Мошенничество. Злоумышленник может воспользоваться такими данными как: дата рождения, номер телефона, домашний адрес.

Грабеж. Необходимыми сведениями для осуществления хищения имущества будут являться: адрес места жительства, время пребывания на работе, информация о периоде отпуска вне дома и т.п.

Шантаж или подрыв репутации. Для реализации такого злодеяния необходимо знать сведения о родных и близких, которых зачастую

СибАДИ9

указывают в разделе «Семейное положение». Доверчивые пользователи могут рассказать такую личную информацию мошенникам, которая в дальнейшем может негативно сказаться на их репутации.

Для того чтобы избежать ситуации, когда информация, размещенная на странице пользователя в соцсети будет использована против него, рекомендуется придерживаться следующих правил:

1. Не публиковать полную дату рождения, адрес места жительства,номер телефона.

2. Не выставлять в открытый доступ фотографии и видео, где выпредставлены в неподобающем виде.

3. Не выставлять фотографии с места работы и не указывать его.4. Не оставлять информацию о предстоящем отпуске.

Следует всегда помнить, что социальные сети могут быть использованы для организации утечек важной информации, для подрыва репутации, для намеренных оскорблений и угроз. Поэтому не следует пренебрегать основными правилами безопасности личных данных и соблюдать культуру поведения в сети.

Список литературы: 1. Как не допустить утечку своих данных из соцсетей? [Электронный

ресурс] - Режим доступа: http://www.aif.ru/society/web/kak_ne _dopustit_utechku_svoih_dannyh_iz_socsetey

2. Чем опасна кража личных данных в сети и как от нее защититься.[Электронный ресурс] - Режим доступа: https://hi-tech.mail.ru/review/chem-opasna-krazha-lichnyh-dannyh-v-seti-i-kak-ot-nee-zashchititsya/#a01

3. SecurityLab.ru [Электронный ресурс] - Режим доступа: https://www.securitylab.ru/blog/company/PandaSecurityRus/344032.php

4. Social Searcher. [Электронный ресурс] - Режим доступа:https://www.social-searcher.com

5. Socialmention. [Электронный ресурс] - Режим доступа:http://www.socialmention.com

6. Яндекс Люди. [Электронный ресурс] - Режим доступа: yandex.ru/people

СибАДИ10

ТЕНДЕНЦИИ РАЗВИТИЯ ПРОГРАММНЫХ ПРОДУКТОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Бутов Олег Сергеевич студент группы 25с Омского государственного университета путей

сообщения, г. Омск E-mail: [email protected]

Мызникова Татьяна Александровна канд. техн. наук, доцент Омского государственного университета путей


АННОТАЦИЯ

Целью данной статьи является рассмотрение существующих программных средств обеспечения информационной безопасности, а также прогноз направлений их развития на ближайшее будущее. Сравнительный анализ выполнялся на основе открытых источников с учетом мнения экспертов на основе предложенных критериев сравнения. В результате выявлены наиболее востребованные программные продукты в своем классе, показаны тенденции их дальнейшего развития.

Ключевые слова: программные продукты, тенденции развития, информационная безопасность

В современном обществе информация представляет собой очень ценный ресурс в любой деятельности человека. Одним из средств, используемых для её защиты, являются программные продукты, которые применяются для выполнения логических и интеллектуальных функций защиты.

В рамках данной статьи представлен проведенный анализ функциональности программных продуктов (ПП) и отражены возможные направления развития для следующих классов ПП:

DLP-систем, защищающих организации от утечек конфиденциальной информации;

IDS/IPS-систем, средств для обнаружения/предотвращения вторжений;

SIEM-систем, предназначенных для мониторинга информационных систем, анализа событий безопасности в реальном времени и реагирования на инциденты информационной безопасности (ИБ).

Выбор наилучших программных продуктов каждой категории выполнялся на основе сведений аналитической компании Gartner Group [1]. Для анализа систем использовались документация и открытые обзоры продуктов [2 − 5], доступные на момент написания данной статьи. Информация была систематизирована и сведена в обобщающие таблицы.

Анализ DLP-систем осуществлялся по следующим критериям: режимы работы; технология; контролируемые каналы; удобство управления;

СибАДИ11

журналирование и отчеты. Лидерами рынка за последние пять лет являются DLP-системы компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «Инфосистемы Джет».

Для примера приведен анализ технологии детектирования, представленный в таблице 1.

Таблица 1 Технологии распознавания информации, используемые в DLP-системах

Технология

Фирмы разработчики InfoWatch McAfee Symantec Websense Zecurion Инфо-

системы Джет

Формальные признаки

+ + + + + +

Морфология + - - - + + Цифровые отпечатки

+ + + + + +

Метод Байеса - - + + + - Сигнатуры + + + + + + Регулярные выражения

+ + + + + +

Анализ транслита и замаскирован-ного текста

- - - - + -

Распознание графических файлов

+ - - + + +

Технологии позволяют классифицировать информацию, которая передается по электронным каналам и выявлять конфиденциальные сведения. На сегодня существует несколько базовых технологий и их разновидностей, сходных по сути, но различных по реализации. Каждая из технологий имеет как преимущества, так и недостатки. Кроме того, разные типы технологий подходят для анализа информации различных классов. Поэтому производители DLP-решений стараются интегрировать в свои продукты максимальное количество технологий. В целом, продукты предоставляют большое количество технологий, позволяющих при должной настройке обеспечить высокий процент распознавания конфиденциальной информации. DLP McAfee, Symantec и Websense довольно слабо адаптированы для российского рынка и не могут предложить пользователям поддержку «языковых» технологий – морфологии, анализа транслита и замаскированного текста.

СибАДИ12

Среди IDS/IPS-систем анализировались следующие продукты. Системы Cisco Systems имеют надежные решения, отличную поддержку,

но тяжелы в настройке, сигнатурный анализ дает много ложных срабатываний, интерфейс управления при большом количестве событий не позволяет адекватно разбирать зафиксированные события.

Системы производителя TippingPoint удобны в настройке и установке. Имеют неплохой интерфейс управления, но могут подключаться только в разрыв, то есть без пассивного обнаружения. Не позволяют расширить функционал и представляют собой просто IDS/IPS-систему.

Система Juniper Networks сложна в настройке, консоль управления NSM очень сильно ограничена, отображаемые результаты сложно воспринимать.

Система Sourcefire является лучшей с точки зрения удобства и функционала. К тому же эта система уже имеет встроенные возможности детального сбора данных об атакующих и атакуемых узлах, а не только IP и MAC-адреса, что сильно снижает время анализа и разбора событий.

Среди SIEM-систем анализировались следующие программные продукты. В системе PT MaxPatrol SIEM0 присутствуют механизмы нормализации,

агрегации и фильтрации событий. Нормализация производится только для определённых типов событий. Поддерживается возможность сбора, хранения и работы по raw-событиям. Отсутствует маскирование данных при сборе/отображении в консоли. Платформой поддерживается мониторинг сетевого трафика вплоть до 7-го уровня модели OSI при помощи дополнительного модуля MaxPatrol X Network Traffic.

В системе BM QRadar схема нормализации имеет 19 полей, встречается много событий, которые плохо нормализуются. Агрегация присутствует, но она не настраиваемая. Также поддерживается фильтрация, но отфильтрованные события учитываются в лицензионном ограничении. Обеспечиваются маскирование данных и мониторинг сетевого трафика вплоть до 7-го уровня модели OSI.

В системе HP ArcSight схема нормализации имеет более 200 полей, события хорошо нормализуются. Присутствует возможность гибкой настройки параметров агрегации, поддерживается маскирование данных. Мониторинг NetFlow до 7-го уровня модели OSI осуществляется путем интеграции HP ArcSight и HP Tipping Point. Включение передачи событий из Tipping Point в ArcSight поддерживается решением по умолчанию и осуществляется одним действием в интерфейсе управления.

В системе McAfee ESM процесс нормализации приводит все события в формат MEF (McAfee Event Format). Осуществляется категоризация событий. Агрегация присутствует, есть ограничения по агрегации – максимум 3 значения, по которым можно ее выполнить, параметры агрегации можно переопределить. Разбор сетевого трафика на уровне приложений осуществляется путем интеграции с решением IPS от McAfee.

В системе RSA Security Analytics поддерживаются нормализация, агрегация и фильтрация событий. Для контроля целостности данных требуется

СибАДИ13

использование дополнительного модуля Archiver. Работа по raw-событиям гораздо медленнее по сравнению с конкурентами. Возможность хранения данных в течение разного периода времени, их разделения на физическом и логическом уровне также требует использования дополнительного модуля Archiver. Отсутствует маскирование данных. Мониторинг сетевого трафика вплоть до 7-го уровня модели OSI осуществляется с помощью модуля Packet Decoder.

На основе проведенного анализа и мнений экспертов [6 − 8] можно выделить направления развития данных систем.

DLP-системы продолжат развиваться и видоизменяться. Конечно, в первую очередь поставщики DLP-систем постараются решить наиболее болезненные для заказчиков проблемы: например, для западных DLP-систем таковой является качественная поддержка распознавания конфиденциальных данных в русскоязычных документах, а для подавляющего большинства DLP-решений – работа с большими объемами данных и внедрение без существенного изменения корпоративной сетевой инфраструктуры у заказчика. Стоит отметить, что в полном соответствии с законами рынка главным направлением развития DLP-систем сегодня все-таки является обеспечение максимально высокой защищенности клиентских организаций. Достигается это в первую очередь переходом производителей от предложения "заплаточных" систем, закрывающих отдельные бреши в информационной безопасности организации, к комплексным интегрированным продуктам, обеспечивающим не только обнаружение передачи конфиденциальной информации или ее блокировку, но также и защищенное хранение ценных для организации данных. Пока что такие комплексные решения есть далеко не у всех поставщиков программного обеспечения, но тот факт, что они очень востребованы рынком, заставляет производителей решений для защиты от утечек информации пересматривать свои планы по развитию продуктов.

Дальнейшие направления совершенствования IPS/IDS-систем связаны с внедрением в теорию и практику IPS/IDS-систем общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для данной области. До настоящего времени IPS/IDS-системы не описаны как подсистемы информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества IPS/IDS-систем, элементный состав IPS/IDS-систем, их структуру и взаимосвязи с информационной системой. В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и IPS/IDS-систем имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы.

СибАДИ14

От SIEM-решений сейчас требуются новые функции и механизмы, способные более быстро, точно и качественно выявлять и предотвращать инциденты ИБ, при этом не ограничиваясь анализом данных только из журналов событий. По сути, SIEM решения нового поколения становятся "интеллектуальной платформой обеспечения информационной безопасности" (Security Intelligence Platform). SIEM-решение нового поколения тяготеет к тому, чтобы сочетать в себе "традиционный" SIEM, а также функции анализа сетевого трафика и управления рисками. Не исключено, что в обозримом будущем SIEM-решения обретут элементы и механизмы DLP и IPS-систем, тенденция к появлению модуля, функционально похожего на DLP и IPS, замечена у многих лидеров рынка.

Список литературы:

1. Gartner [Электронный ресурс] – Режим доступа: https://www.gartner.com/en

2. Сравнение DLP-систем [Электронный ресурс] – Режим доступа: https://www.osp.ru/winitpro/2014/01/13039197/

3. Обзор корпоративных IPS-решений [Электронный ресурс] – Режим доступа: https://www.anti-malware.ru/IPS_russian_market_review_2013

4. Обзор систем IPS [Электронный ресурс] – Режим доступа: http://itsec.ru/articles2/techobzor/obzor-sistem-ips-v-chem-raznica

5. Обзор систем IPS [Электронный ресурс] – Режим доступа: http://itsec.ru/articles2/techobzor/obzor-sistem-ips-v-chem-raznica

6. DLP-системы в России: тенденции и перспективы [Электронный ресурс] – Режим доступа: http://itsec.ru/articles2/research/dlpsistemi-v-rossii-tendencii-i-perspektivi/

7. Состояние и перспективы развития систем обнаружения компьютерных вторжений [Электронный ресурс] – Режим доступа: https://cyberleninka.ru/article/n/sostoyanie-i-perspektivy-razvitiya-sistem-obnaruzheniya-kompyuternyh-vtorzheniy

8. Современные тенденции развития SIEM-решений [Электронный ресурс] – Режим доступа: https://ntc-vulkan.ru/upload/iblock/962/962dc387a 02e4c0b7c479068f6e8f784.pdf

СибАДИ15

ПРИМЕНЕНИЕ МЕТОДОВ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА ДЛЯ ПРОГНОЗИРОВАНИЯ УГРОЗ WEB-ПРИЛОЖЕНИЯМ

Гугняк Роман Борисович студент группы 24П Омского государственного университета путей


Мызникова Татьяна Александровна канд. техн. наук, доцент кафедры «Информационная безопасность» Омского

государственного университета путей сообщения, г. Омск E-mail: [email protected]

АННОТАЦИЯ

В статье рассматриваются возможности применения методов искусственного интеллекта для прогнозирования угроз Интернет-приложениям. В работе выбран метод машинного обучения, отобраны признаки поведения пользователей на сайте и построена система для классификации пользователей. Продемонстрирована работа реализованной программы и предложены способы улучшения предложенной классификации.

Ключевые слова: Интернет-приложение, машинное обучение, информационная безопасность, угроза, Python.

Сегодня Web-приложения являются одними из наиболее небезопасных

систем. Учитывая тенденцию к переносу стандартных клиент-серверных приложений в Web-среду, можно констатировать, что защита информации в Интернет-приложениях является актуальной.

Выявление возможных уязвимостей Интернет-решений, предотвращение компьютерных атак со стороны злоумышленников – первоочередная задача для специалистов, работающих в сфере Web-безопасности. Для успешного предотвращения таких атак и обоснования выбора контрмер необходимо прогнозировать возможные атаки. Благодаря наличию статистических данных о посещении сайтов, исследование возможно как методами математической статистики, так и методами искусственного интеллекта. Первый способ дает наиболее точные результаты, но иногда очень сложно по имеющимся данным описать поведение атакующего. В этом случае на помощь приходит искусственный интеллект.

Рассмотрим статистику о посещениях пользователей Интернет-ресурса. Необходимо на основе имеющихся данных отнести каждого пользователя к «хорошему» (человеку) или к «плохому» (роботу). Тем самым сведем задачу прогнозирования к задаче классификации.

В качестве исходной статистики использован стандартный лог-файл веб-сервера Apache, записи которого имеют следующий вид:

Agent}-%{User %{Referer} %b s>% "%r"%t %u %l%h , (1)

СибАДИ16

где %h — IP-адрес клиента; %l — идентификация клиента по RFC 1413; %u — имя пользователя в HTTP-авторизации; %t — время поступления запроса; %r — строка запроса клиента, например "GET /xxx.gif HTTP/1.1";

s% — код ответа сервера клиенту; %b — размер ответа клиенту в байтах;

%{Referer}— адрес страницы, откуда пришел посетитель; Agent}-%{User — тип браузера посетителя.

Модели машинного обучения принимают на вход некоторый вектор, состоящий из целых и вещественных чисел и описывающий пользователя. В связи с этим возникает задача преобразования каждой строки лог-файла в такой вектор. Значит необходимо подобрать соответствующие признаки, которые будут наиболее подробно описывать поведение пользователя на сайте.

Посещение сайта пользователем можно рассматривать как случайную величину. Полную информацию о случайной величине содержит закон распределения, который рассматриваем в качестве первого признака. Закон распределения можно определять как за сутки, так и на интервале между первым и последним запросом к серверу. Поэтому в работе используется качестве первого признака, описывающего каждый IP-адрес, закон распределения за сутки и на соответствующем интервале. Однако необходимо определить список законов и численный эквивалент каждого. При этом следует учитывать, что равномерное распределение характерно для роботов, а распределение Пуассона для людей.

Вторым признаком предлагается частота встречаемости IP-адреса ν. В данном случае ее можно определить по формуле:

NMv , (2)

где M — число записей для данного IP-адреса; N — общее число записей. Высокая частота ν говорит об аномальном поведении пользователя. В качестве третьего рассматриваемого признака выберем среднее время

между запросами. Однако оно не удовлетворяет условию масштабирования, поэтому введем величину, отражающую количество запросов, которое лежит в интервале [0,9∙tср;1,1∙tср]. Высокое значение данной метрики будет говорить о том, что время между запросами одно и то же, что является характерным признаком бота.

Четвертым рассматриваемым признаком является частота отсутствия реферера (в протоколе HTTP один из заголовков запроса клиента, от англ. referrer — отсылающий, направляющий). Реферер содержит URL источника запроса. Если перейти с одной страницы на другую, то реферер будет содержать адрес первой страницы. Если данное поле отсутствует, то это значит, что пользователь набрал адрес вручную, либо данный пользователь является роботом.

СибАДИ17

Далее добавим в набор признаков частоту ошибок 404 (пятый признак). Данный код ошибки возвращается в том случае, если страницы не существует. Высокая частота может сигнализировать о том, что данный IP-адрес − робот, так как перебирает заранее определенные адреса страниц.

При посещении Интернет-сайта сервер получает от клиента версию user agent и заносит его в лог-файл. User agent – это строка, передающая информацию об используемом программном обеспечении. Обычно это приложения, осуществляющие доступ к веб-сайтам, таким как браузеры, поисковые роботы, мобильные телефоны и другие устройства. У непоисковых роботов это поле может отсутствовать, что станет полезным при определении атаки. Для того, чтобы признак был масштабированным, возьмем частоту запросов с отсутствием данного поля (шестой признак).

В качестве последнего признака выберем так называемую репутацию IP-адреса, получить ее можно на Интернет-странице [1]. Для этого необходимо отправить значение IP-адреса.

Для выбора метода машинного обучения рассматривались несколько алгоритмов: метод ближайших соседей, деревья решений и метод опорных векторов. При этом использовались различные наборы параметров. В результате сравнения работы этих алгоритмов деревья решений и метод ближайших соседей показывают наилучшие и примерно одинаковые результаты. Поэтому выбираем метод ближайших соседей, так как он более простой и менее склонен к переобучению. На основе выбранного метода реализована программа (файл-сценарий) классификации пользователей.

Для демонстрации работы программы проанализированы пользователи сайта кинотеатра. В качестве источника статистики возьмем лог-файл запросов пользователей к сайту http://at-kino.ru за сутки. Результатом выполнения файла-сценария является добавление подозрительных IP-адресов в файл .htaccess (рисунок 1).

Рисунок 1. Результаты классификации

Несколько адресов были добавлены ошибочно в список заблокированных пользователей, что свидетельствует о наличии ошибок в модели. Поэтому было оценено качество модели с помощью математических методов [2]. В библиотеке sklearn содержится функция metrics.classificationreport, возвращающая полноту, точность и F-меру для каждого из классов, а также количество экземпляров каждого класса. Результаты ее выполнения для обученной модели представлены на рисунке 2, из них видно, что модель способна лучше обнаруживать и отличать класс «Human», чем класс «Robot».

СибАДИ18

Рисунок 2. Результаты функции metrics.classificationreport

Улучшение результата классификации пользователей можно добиться несколькими способами: увеличить обучающую выборку, изменить набор собираемых метрик, выбрать другой метод машинного обучения, либо построить алгоритм на основе нескольких методов.

Применение методов искусственного интеллекта уже на данном этапе развития возможно при разработке средств защиты информации (СЗИ). Но эффективность таких средств зависит от репрезентативности обучающей выборки, что создает сложность предсказания результатов работы и новые способы обхода СЗИ.


1. Free GeoIP DB by Pentestit [Электронный ресурс] – Режим доступа: http://ip.pentestit.ru).

2. Метрики в задачах машинного обучения [Электронный ресурс] – Режим доступа: https://habr.com/company/ods/blog/328372/

СибАДИ19

ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РФ В ОБЛАСТИ КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ

ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ Жуков Даниил Эдуардович

студент группы БИб15-И1 Сибирского автомобильно-дорожного университета, г. Омск

E-mail: [email protected] Толкачева Елена Викторовна

канд. техн. наук, доцент кафедры информационной безопасности Сибирского государственного автомобильно-дорожного университета, г. Омск


АННОТАЦИЯ Целью работы является выявление объектов критической информационной

инфраструктуры в медицинском учреждении. В работе проанализированы требования законодательства к информационной безопасности объектов критической информационной инфраструктуры, а также сформирована сводная таблица выявленных информационных систем, программного обеспечения и критических процессов.

Ключевые слова: критическая информационная структура (КИИ), защита

информации, критические процессы.

Согласно законодательству Российской Федерации [1] объекты информационной инфраструктуры, функционирование которых критически важно для экономики государства называются объектами критической информационной инфраструктуры (КИИ). Функционирование информационной инфраструктуры медицинских учреждений безусловно относится к критически важным.

Требования законодательства по обеспечению информации должны быть выполнены субъектами КИИ – теми организациями, которым принадлежат объекты КИИ или которые обеспечивают их взаимодействие [2]. Таким образом, руководители медицинских учреждений должны обеспечить организацию и проведение мероприятий по выполнению требований законодательства в области КИИ.

Для выполнения требований законодательства в части обеспечения информационной безопасности КИИ первостепенной задачей является категорирование – выявление объектов критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов критической информационной инфраструктуры [3-4].

В основу категорирования положено выявление критических процессов медицинского учреждения как субъекта КИИ – процессов, для которых

СибАДИ20

нарушение функционирования информационной инфраструктуры приводят к критическим последствиям, относящимся к одной из категорий [5-6]:

- социальные последствия – последствия, приводящие к опасности для здоровья и жизни людей;

- экономические последствия – последствия, приводящие к экономическому ущербу для медицинского учреждения.

Анализ информационной среды медицинского учреждения показал, что к социальным последствиям приводят нарушения таких процессов, как:

- процесс амбулаторной медицинской консультации и лечебной помощи ; - процесс записи пациента к врачу; - процесс приема врача-специалиста в поликлинике; - процесс оказания скорой медицинской помощи; - процесс реанимации и анестезиологии; - процесс параклинической деятельности (диагностика) ; - процесс медицинского газоснабжения - процесс фармацевтической деятельности; - процесс организации общественного питания; - процесс ведения бухгалтерского учёта; - процесс обслуживания IT инфраструктуры; - процесс обеспечения охраны учреждения; - процесс обеспечения пожарной безопасности; К экономическим последствиям приводят нарушения таких процессов, как: - процесс фармацевтической деятельности; - процесс обслуживания IT инфраструктуры; - процесс ведения бухгалтерского учёта; - процесс обеспечения охраны учреждения; - процесс обеспечения пожарной безопасности; - процесс обеспечения пожарной безопасности; - процесс осуществления деятельности контрактной службы. Таким образом, в результате оценки последствий нарушений

информационной безопасности информационных систем медицинского учреждения были выявлены Информационные системы медицинского учреждения выявляются специальной комиссией по категорированию КИИ. Комиссией по категорированию критической информационной инфраструктуры были выявлены в следующие системы:

- ИС «Организационная деятельность медицинского учреждения»: - подсистема «Кадры»; - подсистема «Бухгалтерия»; - подсистема «Планово-экономическая»; - подсистема «Организационно-методическая»;

- ИС «Медицинская деятельность»: - подсистема «Амбулаторно-поликлиническая»; - подсистема «Приемное отделение»; - подсистема «Лабораторно-диагностическая»;

СибАДИ21

- подсистема «Реанимация»; - подсистема «Скорая медицинская»; - подсистема «Стационар»; - подсистема «Фармацевтическая».

В таблице 1 представлены информационные системы медицинского учреждения, выявленные в ходе категорирования КИИ.

Таблица 1. Сводная таблица выявленных информационных систем, программного

обеспечения и критических процессов Код Название

подсистемы Процессы,

происходящие в подсистеме

Используемые электронные ресурсы и

ПО ИС «Организационная деятельность медицинского учреждения»

ОД-1 Подсистема «Кадры» Кадровый учет ЕГИСЗ, 1С Зарплата и кадры

ОД-2 Подсистема «Бухгалтерия»

Ведение бухгалтерского учета

ЕГИСЗ, 1С Бухгалтерия, 1С Бухгалтерский учет, БАРС, Сбис++, Сбербанк Онлайн, УРМ «АС-Бюджет», 1С Аптека, Меркурий, Формы статистической отчетности

ОД-3 Подсистема «Планово-

экономический отдел»

Взаимодействие со страховыми компаниями Организация общественного питания Осуществление деятельности контрактной службы

Единая информационная система в сфере закупок (zakupki.gov.ru).ГИС Омской области в сфере закупок (zakupki.omskportal.ru). Торговые площадки (РТС-Тендер, Сбербанк). Парус 8 Онлайн (управление гос. закупками)

ОД-4 Подсистема «Организационно-

методический отдел»

Проведение организационно-методической работы

МедИнфо, СТАРТ

ИС «Медицинская деятельность» МД-1 Подсистема

«Амбулаторно-поликлиническая

служба»

Амбулаторная медицинская консультация и лечебная помощь Запись пациента на прием к врачу

МедИнфо, МедИнфо родовые сертификаты, портал omskzdrav.ru, МедДент, PMain, ТМ МИС.

СибАДИ22

Код Название подсистемы

Процессы, происходящие в

подсистеме

Используемые электронные ресурсы и

ПО Прием врача-специалиста поликлиники Процесс выдачи больничных листов Процесс выдачи справок Выдача родовых сертификатов

МД-2 Подсистема «Приемное отделение»

Прием пациентов поступивших по скорой медицинской помощи

МедИнфо

МД-3 Подсистема «Лабораторно-

диагностическая служба»

Параклиническая деятельность (диагностика)

МедИнфо

МД-4 Подсистема «Реанимация»

Реанимация и анестезиология

МД-5 Подсистема «Стационар»

Оказание медицинской помощи в дневном стационаре Оказание медпомощи в круглосуточном стационаре Консервативное лечение Оперативное лечение Акушерство и гинекология Процесс выдачи справок

ТМ МИС

МД-6 Подсистема «Скорая медицинская

помощь»

Оказание скорой медицинской помощи

МедИнфо

МД-7 Подсистема «Фармацевтическая

служба»

Фармацевтическая деятельность

1С Аптека

СибАДИ23

Сформированный перечень информационных систем, программного обеспечения в дальнейшем будет использован для обеспечения информационной безопасности объектов критической информационной инфраструктуры в медицинских учреждениях в соответствии с требованиями законодательства Российской Федерации и иными нормативно-правовыми актами.


1. Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

2. Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”.

3. Приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования”.

4. Приказ ФСТЭК России от 22.12.2017 № 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" (Зарегистрировано в Минюсте России 13.04.2018 N 50753)

5. Приказ ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (Зарегистрировано в Минюсте России 26.03.2018 N 50524).

6. Постановление Правительства РФ от 17.02.2018 № 162 "Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

СибАДИ24

АНАЛИЗ ПУБЛИКАЦИОННОЙ АКТИВНОСТИ ПО ПРОБЛЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

ВОДНОГО ТРАНСПОРТА Кальницкая Анна Владимировна

студентка группы БИ-15И1 Сибирского государственного автомобильно-дорожного университета (СибАДИ), г. Омск

E-mail: [email protected] Семёнова Зинаида Васильевна

док. пед. наук, зав. кафедрой информационной безопасности, профессор Сибирского государственного автомобильно-дорожного университета

(СибАДИ), г. Омск E-mail: [email protected]

АННОТАЦИЯ

В статье проводится аналитическое исследование по проблеме защиты информации в автоматизированных системах водного транспорта. В исследовании используется метод ретроспективного анализа публикаций для выявления основных направлений развития и определения актуальных направлений в сфере информационной безопасности на водном транспорте.

Ключевые слова: информационная безопасность; автоматизированные информационные системы; информационные технологии; водный транспорт; морской транспорт; речной транспорт; интеллектуальные технологии.

Информационная безопасность (ИБ) стремительно развивающаяся область

знаний, и проблема защиты информации от постороннего доступа становится с каждый годом все актуальнее. Современные темпы и направления развития информационных технологий во многих сферах деятельности человека привносят новые возможности нарушения ИБ.

Среди вопросов в области автоматизации процессов защиты информации объектов водного транспорта сегодня одно из главных мест занимает комплекс вопросов оценки, контроля и мониторинга состояния защищенности информационных ресурсов (ИР). А увеличение интенсивности судоходства на водных путях, как в Европе, так и в Российской Федерации, настоятельно требует постоянного развития и внедрения современных технических средств и систем на всех этапах данного процесса, начиная от тех, кто занимается обслуживанием водных путей до систем мониторинга.

В ходе проведенного исследования публикационной активности на тему «Защита информации в автоматизированных системах на водном транспорте» было выявлено 35 русскоязычных и 10 зарубежных публикаций.

Первое упоминание на заданную тему встречается в публикации 2001 года [1]. Эта публикация немецкого автора и в ней предлагается описание электронной системы информации о состоянии фарватера ARGO (проект телематических служб федерального Министерства водного транспорта

СибАДИ25

Германии), которая в тот момент времени проходила этап опытной эксплуатации на Рейне. Следует заметить, что первое упоминание на эту тему в русскоязычных публикациях встречается в публикации [2] от 2003 года. К сожалению, найти полный текст статьи не удалось, но в публикации [3] от 2009 года приводится ее анализ и отмечается, что авторы, рассматривая концепцию построения и принципы функционирования интегрированных систем управления судном (ИСУ), включают в их состав системы управления: судовождения и навигации; средств радиосвязи; энергетических процессов; целевого назначения судна, административной и диспетчерской деятельностью, но не задаются вопросами обеспечения информационной безопасности (ИБ). При этом, по словам авторов, более глобальная проблема обеспечения транспортной безопасности напрямую зависит от обеспечения информационной безопасности ИСУ.

Последние статьи [43,44,45], датирующиеся 2018 годом, рассматривают информационные технологии как уже использующиеся на водном транспорте, так и предлагаемые авторами. Также дается оценка текущего состояния информационной безопасности морского и речного транспорта, рассматриваются ее международные и российские правовые основы. На основании анализа прогнозируется возникновение проблемы избыточного административно-правового регулирования деятельности водного транспорта, рассматриваются методы ее преодоления.

Направления и глубина исследуемых проблем также затрагивались и в других статьях [4]-[42].

Ретроспективный анализ публикационной активности по указанной проблеме позволяет говорить о тенденциях роста их количества (рисунок 1).

Рисунок 1. Ретроспективный анализ публикационной активности

СибАДИ26

Проанализировав данную диаграмму, можно заметить значительный рост интереса к рассматриваемой тематике. С 2001 по 2006 годы публикационная активность была одинаково низкой (1 публикация в год). А с 2008 по 2012 год появляется тенденция роста числа публикаций. Но в 2013 году снова идет спад до уровня промежутка времени с 2001 до 2006 года. Этот спад можно объяснить тем, что в 2013 году было большое количество диссертаций по данной тематике. Следует заметить, что жанр научной статьи существенно отличается от жанра диссертационного исследования, в связи с этим они не были учтены в данной работе.

С 2014 по 2016 годы актуальность темы была выше, чем в предыдущие годы, но была одинаково постоянной. На 2017 год приходится наибольшая активность публикационной деятельности, а в 2018 году она снижается до уровня 2009-2010 годов. Можно предположить, что это связано с тем, что на данный момент доступные технологии в рассматриваемую отрасль уже внедрены или будут внедрены в ближайшем будущем.

Исходя из проведенного анализа публикаций, ниже приводятся полученные статистические данные, касающиеся публикационной активности вузов (организаций) издателей и направлений развития тематики.

Если рассматривать вузы (организации), в которых публикуются статьи, то статистика показывает следующее (рисунок 2):

Рисунок 2. Публикационная активность по организациям

Из диаграммы можно увидеть, что большое количество публикаций приходится на вузы Санкт-Петербурга (Санкт-Петербургский институт информатики и автоматизации Российской академии наук, Санкт-Петербургский государственный морской технический университет, Институт

СибАДИ27

проблем транспорта им. Н.С. Соломенко Российской академии наук). Это обусловлено выгодным географическим положением города, так как Санкт-Петербург является одним из крупнейших морских и речных портов. И меньше половины приходится на другие вузы (ДВГУПС в том числе иностранные) и организации (ЗАО «ФЛОТ ИНФО», ООО «Лаборатория ВС», ОАО «РИРВ» Российского агентства по системам управления, ФБУ «Служба морской безопасности»). Как видно, больше всего публикаций приходится на Государственный университет морского и речного флота имени адмирала С.О. Макарова. В большей степени это вызвано тем, что этот вуз является профильным по тематике работы, поэтому там проводится большое количество исследований на эту тему.

В ходе анализа выделились основные направления развития тематик публикаций, которые представлены ниже на рисунке 3.

Рисунок 3. Основные направления публикаций

Как видно из диаграммы, среди публикаций выделяется всего 3 направления развития тематик: ИТ по управлению водным транспортом, ИБ автоматизированных систем водного транспорта, ИТ по управлению предприятиями водного транспорта. Наименее актуальным из всех направлений (2 статьи) на диаграмме является ИТ по управлению предприятиями водного транспорта. Возможно, вопросы автоматизации предприятий водного транспорта не являются насущными во взятом промежутке времени исследования. Вопросы ИБ, как видно на диаграмме, являются более актуальными, но занимают всего 27% (12 публикаций). Можно предположить, что проблема ИБ не поднималась в большом количестве статей потому, что

СибАДИ28

основное количество статей интересующего направления рассматривается военно-морским флотом РФ и подлежит защите в соответствии с законодательством РФ о государственной военной тайне. Но, несмотря на это, безопасность информационных ресурсов всегда остается важной проблемой в свете развивающихся с каждым годом технологий. Именно поэтому самым часто обсуждаемым направлением в публикациях являются ИТ по управлению водным транспортом.

Развитие ИТ на водном транспорте происходит так же быстро, как и в любой другой области. В публикациях 2017 – 2018 годов прослеживается единая тенденция разработки и внедрения беспилотных (роботизированных) технологий и технологий искусственного интеллекта. Однако вопросы безопасности для таких систем в публикациях не обсуждаются. Можно предположить, что это вопросы ближайшего будущего.


1. Краевски К. АРГО – электронная система информации о состоянии фарватера/К. Краевски// ИНФОРМОСТ «Радиоэлектроника и Телекоммуникации».–2001. – №19 – С. 62-64

2. Андрюшечкин Ю. Н. Интегрированная система управления судном/ Ю. Н. Андрюшечкин, В. И Дмитриев //Безопасность водного транспорта: тр. Международной научно-практической конференции. — СПб.: СПГУВК, 2003. — Т. 4. — С. 79–84.

3. Нырков, А.П. Безопасность информационных каналов автоматизированных систем на водном транспорте/ А.П. Нырков, И.А. Сикарев//Журнал Университета водных коммуникаций. №2. -СПб.: СПГУВК, 2009. – С. 165-170.

4. Гудков, С.Н. Информационная система управления водным транспортом/С.Н. Гудков, В.И. Кузин, В.В. Яцишин//ИНФОРМОСТ «Радиоэлектроника и Телекоммуникации».-2004. — № 1(31). — С. 34–36.

5. Нырков, А.П. О некоторых аспектах комплексного обеспечения информационной безопасности автоматизированных систем на водном транспорте/А.П. Нырков, И.А. Сикарев//Транспортная безопасность и технологии.-2006. — № 2(7). – 154-156.

6. Казьмина, О.А. Обзор управленческих информационных систем на морском транспорте. Материалы конференции «ХI Санкт-Петербургская международная конференция «Региональная информатика -2008» (РИ-2008).

7. Казьмина, О.А. Современное состояние информационного обеспечения управленческой деятельности на морском транспорте. Материалы конференции «ХI Санкт-Петербургская международная конференция «Региональная информатика -2008» (РИ-2008).

8. Нырков, А.П. О проблемах безопасности телекоммуникационных систем на внутренних водных путях/ А.П. Нырков, И.А. Сикарев //Труды конференции «ХI Санкт-Петербургская международная конференция «Региональная информатика -2008» (РИ-2008). -СПб.: СПОИСУ, 2009. -С. 230 -233.

СибАДИ29

9. Сикарев, А.А. Современные инфокоммуникационные технологии внутреннего водного транспорта России/ А.А. Сикарев, В.В. Каретников//Речной транспорт (XXI век). -2009. —№7(43). —С. 65-68.

10. Каретников, В.В. Развитие и перспективы современных инфокоммуникационных систем для обеспечения судоходства на внутренних водных путях России/В. В. Каретников, А. А. Сикарев//Журнал университета водных коммуникаций. -2010. -№ 4. -С. 74-77.

11. Каретников, В.В. Совершенствование систем управления судами с использованием автоматизированных идентификационных систем на внутренних водных путях/В.В. Каретников, И.А. Сикарев//Журнал университета водных коммуникаций. -2010. -№ 3. -С. 93-96

12. Юрин, И.В. Применение современных интернет – технологий на водном транспорте/И.В. Юрин, Е.А. Глущенко//Журнал университета водных коммуникаций. -2010. -№ 1.-С. 65-70.

13. Ковальногова, Н.М. Структура баз данных в автоматизированных системах на водном транспорте /Н.М. Ковальногова// Материалы юбилейной конференции «XIII Санкт-Петербургская Международная конференции «Региональная информатика -2012» (РИ-2012).-С. 186-187.

14. Вихров, Н.М. Защита корпоративных данных предприятий водного транспорта в открытых информационных системах/Н.М. Вихров, В.Д. Гаскаров, А.А. Шнуренко//Журнал университета водных коммуникаций. -2012.-№ 2.-С. 133-140.

15. Соляков О.В. Информационно-навигационное обеспечение системы автоматического управления траекторией судна на внутренних водных путях/О.В. Соляков//Материалы юбилейной конференции «XIII Санкт-Петербургская Международная конференции «Региональная информатика – 2012» (РИ-2012).- С.204-205.

16. Schilk, G., Seemann, L. (2012). Use of ITS technologies for multimodal transport operations – River Information Services (RIS) transport logistics services. Procedia Social and Behavioral Sciences, №48, 622-631.

17. Рудакова, С.А. Концепция выбора метрик информационной безопасности/С.А. Рудакова//Вестник государственного университета морского и речного флота им. адмирала С. О. Макарова.-2013.-№ 3 (22).-С. 162-166.

18. Нырков, А. П. Информационные технологии в обеспечении безопасности судоходства на внутренних водных путях/А.П. Нырков, А.А. Нырков//Материалы конференции «ХIV Санкт-Петербургская международная конференция «Региональная информатика - 2014» (РИ-2014)». -СПб.: СПОИСУ. -2014. -С. 279-280.

19. Дмитриев, В.И. Автоматизированное рабочее место судоводителя – настоящее и будущее/ В.И. Дмитриев, О.В. Соляков, Н.В. Турецкий //Вестник государственного университета морского и речного флота им. адмирала С.О. Макарова. -2014. -№ 4. -С. 42-47.

20. Нырков, А.П. О некоторых проблемах обеспечения информационной безопасности на внутренних водных путях Российской Федерации/А.П.

СибАДИ30

Нырков, А.А. Нырков//Материалы конференции «ХIV Санкт-Петербургская международная конференция «Региональная информатика - 2014» (РИ-2014)». -СПб.: СПОИСУ. -2014. -С. 280-281.

21. Алексеев, А.В. Математическая модель системы партнерской ранговойсертификации средств и систем обеспечения информационной безопасности ОМТИ/ А.В. Алексеев, С.А. Согонов, И.С. Тюрин// Материалы конференции «ХIV Санкт-Петербургская международная конференция «Региональная информатика - 2014» (РИ-2014)». -СПб.: СПОИСУ. -2014.-С. 282-283.

22. Алексеев А.В. Анализ технологий мониторинга защищенностиинформационных ресурсов объектов морской техники и инфраструктуры/А.В. Алексеев, И.С. Тюрин// Материалы конференции «ХIV Санкт-Петербургская международная конференция «Региональная информатика - 2014» (РИ-2014)». -СПб.: СПОИСУ. -2014.-С. 283-284.

23. Андрюшечкин, Ю. Н. К вопросу использования современныхинформационных технологий для обеспечения безопасности судоходства на внутренних водных путях/Ю. Н. Андрюшечкин, Ю.В. Каретников, А. П. Яснов//Вестник государственного университета морского и речного флота им. адмирала С.О. Макарова. -2015.-№ 2(30). -С. 208-213.

24. Ковалева, Е.Н. Информационное обеспечение системы оценочныхпоказателей качества транспортных услуг на внутреннем водном транспорте/ Е.Н. Ковалева//Материалы всероссийской научно-практической конференции «Проблемы развития транспортной инфраструктуры северных территорий.-2015.-С. 135-144.

25. Каретников, В. В. Использование речной дифференциальнойподсистемы ГЛОНАСС/GPS на внутренних водных путях Российской Федерации при проведении путевых работ/В. В. Каретников, Р. В. Волков, Г. В. Киселевич//Вестник Государственного университета морского и речного транспорта имени адмирала С. О. Макарова. -2015. -№ 3 (31). -С. 63-68.

26. Zhang, X., Zhao, L., Wang, H. (2015) Classification Method of NavigationalAids in Inland waters Based on Big Data, 203-208.

27. Соляков, О.В. Обеспечение безопасного судоходства на внутреннихводных путях с использованием навигационной аппаратуры потребителя/О.В. Соляков //Вестник Государственного университета морского и речного флота имени адмирала С. О. Макарова.-2015. -Вып.1 (29). -С. 112-116.

28. Шубников, М.М. Использование автоматизированных информационныхсистем с целью повышения безопасности судовождения/ М.М. Шубников, Е.Н. Золотарева, К.Н. Золотарева// Сборник научных трудов профессорско-преподавательского состава Государственного университета морского и речного флота имени адмирала С.О. Макарова. -2016. -С. 379-384.

29. Duviella, E., Nouasse, H., Doniec, Arnaud., (2016) Dynamic OptimizationApproaches for Resource Allocation Planning in Inland Navigation Networks.

30. Liu, W., Sun, L., Chen, F. (2016) Risk Assessment and Control of InlandShips Navigation Safety -A case study of Shanghai inland waters.

31. Mohaimenuzzaman, M., Rahman, S.M., Alhussein, M., Enhancing Safety inWater Transport System Based on Internet of Things for Developing Countries (2016).

СибАДИ31

32. Каретников, В.В. Основные аспекты использования современныхинфокоммуникационных технологий для обеспечения беспилотного судовождения на водном транспорте/В. В. Каретников, И. В. Пащенко, А. И. Зайцев//Вестник Государственного университета морского и речного флота имени адмирала С. О. Макарова. -2016. -№ 1 (35). -C. 170-179.

33. Bukharmetov, M., Nyrkov, A., Sokolov, S. (2017) Robust Method forProtecting Electronic Document on Waterway Transport with Steganographic Means by Embedding Digital Watermarks into Images, №178, 507-514

34. Karetnikov, V., Ratner, E., Ageeva, A. (2017) Introduction of the automatedhydrographic survey systems for creation of electronic nautical charts of internal waterways in Southern Africa, 1479-1484.

35. Каретников, В.В. Перспективы внедрения безэкипажного судоходства навнутренних водных путях российской федерации/Каретников В.В., Пащенко И.В., Соколов А.И.//Вестник государственного университета морского и речного флота им. адмирала С.О. Макарова.-2017. -Т. 9.-№ 3. - С. 619-627.

36. Каретников, В.В. Роботизированные объекты водного транспорта навнутренних водных путях Российской Федерации/Каретников В.В., Соколов А.И.//Вестник государственного университета морского и речного флота им. адмирала С.О. Макарова.-2017. -Т. 9.-№ 3. - С.

37. Методы обеспечения безопасности мореплавания при внедрениибеспилотных технологий/Дмитриев В.И., Каретников В.В.//Вестник ГУМРФ имени адмирала С.О. Макарова, 2017. -т. № 9, вып. 6 -С. 1149-1159.

38. Малыгин, И.Г. Интеллектуальные технологии на водном транспорте/И.Г. Малыгин, В.И. Комашинский, М.А. Асаул// Морские интеллектуальные технологии.-2017.-Т. 2.-№ 2 (36).- С. 55-65.

39. Perzynski, T., Lewinski, A. (2017) New Telematic Solutions for ImprovingSafety in Inland Navigation, №15, 70-81.

40. He, W., Zhong, C., Sotelo, M.A., Chu, X., Liu, X., Li, Z. (2017) Short-termvessel traffic flow forecasting by using an improved Kalman model.

41. Пивоваров, А.Н. Критерий и показатели эффективности системыбезопасности объектов водного транспорта, физическая защита, модель нарушителя и алгоритм построения системы безопасности/ А.Н. Пивоваров, А.А. Сикарев, А.В. Балов// Транспортное дело России.-2017.-№ 5.-С. 197-201.

42. Бухарметов, М.Р. Информационное обеспечение безопасности движениясудов/ М.Р. Бухарметров, А.П. Нырков//Региональная информатика и информационная безопасность 2017.- С. 327-329.

43. Ивакин, Я.А. Информацинная технология геохронологического трекингадля проверки гипотез ретроспективных исследований использований использования водного транспорта/ Я.А. Ивакин, С.Н. Потапычев// Вестник государственного университета морского и речного флота им. адмирала С.О. Макарова.-2018. -Т. 10.-№ 2.-С. 452-461.

44. Губина О.В. Информационные технологии на водном транспорте/О.В.Губина// сборник статей Международной научно-практической конференции «Актуальные вопросы взаимодействия образования, науки бизнеса».-2018.- С. 405-414.

45. Семенов, С.А. Кибербезопасность морского и речного транспорта/ С.А.Семенов//Транспорт РФ.-2018.-№ 1 (74).-С. 43-46.

СибАДИ32

СРАВНИТЕЛЬНЫЙ АНАЛИЗ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ НА МОБИЛЬНЫХ УСТРОЙСТВАХ

Кирилов Андрей Дмитриевич студент группы БИ15-И1 Сибирского государственного автомобильно-

дорожного университета, г. Омск E-mail: [email protected] Толкачева Елена Викторовна

канд. техн. наук, доцент кафедры информационной безопасности Сибирского государственного автомобильно-дорожного университета, г. Омск


АННОТАЦИЯ

Целью работы является выработка рекомендаций по защите личной информации на мобильных устройствах средствами криптографической защиты. В работе выполнен анализ возможностей мобильных операционных систем и и мобильных приложений по криптографической защите информации. Предложены рекомендации по выбору наиболее эффективных средств криптографической защиты информации для мобильных устройств.

Ключевые слова: криптографическая защита информации (КЗИ); средства криптографической защиты информации (СКЗИ), шифрование, мобильные устройства, мобильные операционные системы (ОС), мобильные приложения.

Мобильные устройства являются неотъемлемой частью жизни каждого современного человека и не только выполняют функции средств связи, но и представляют собой носители информации, зачастую конфиденциального характера. Эффективным способом защиты информации на мобильных устройствах является шифрование, которое реализуется средствами мобильных ОС и приложений с функциями КЗИ.

Для анализа возможностей мобильных ОС по КЗИ были выбраны ОС Android и iOS. Выбор этих ОС для мобильных устройств обусловлен их подавляющей долей рынка. На рисунке 1 приведена диаграмма, отображающая доли ОС на устройствах, используемых для обращения к ресурсам сети Интернет по данным портала StatCounter за 2018 год.

СибАДИ33

Рисунок 1. Результаты классификации

В таблице 1 представлены результаты анализа функций КЗИ мобильных ОС Android и iOS [1-6].

Таблица 1.

Сравнение функций КЗИ мобильных ОС

Характеристики Android iOS Стойкое шифрование + + Автоматическое шифрование - + Возможность восстановления данных в случае утраты пароля

- +

Подсистема управления паролями - + Подсистема управления ключами - + Дистанционное управление ключами

- +

Проведенный анализ показал, что рассмотренные мобильные ОС используют сопоставимые по надежности алгоритмы шифрования и функции КЗИ, однако использование КЗИ в iOS является более удобным, так как шифрование данных происходит автоматически и «прозрачно» для пользователя. Также в iOS в отличие от Android имеется функция дистанционного удаления ключей к зашифрованным данным, что также является существенным преимуществом.

Таким образом, можно сделать выводы, что встроенные функции КЗИ наиболее распространенной мобильной ОС Android не удовлетворяют все возможные потребности пользователей мобильных устройств. Поэтому необходимо проанализировать возможности мобильных приложений, выполняющих функции СКЗИ.

СибАДИ34

В таблице 2 приведены результаты сравнительного анализа наиболее популярных по данным Google Play систем для защищенной VoIP-связи [7-12].

Таблица 2.

Сравнение возможностей систем для защищенной VoIP-связи мобильных устройствах, работающих под управлением ОС Android

Характеристики Системы Redphone PrivateGSM Silent

Circle Наличие абонентской платы - + + Требование регистрации - + + Защита от всех известных уязвимостей для взлома шифрования голосовых данных

+ + +

Открытый исходный код + - + Отсутствие регистрации + - - Защита от атак типа «человек посередине»

- - -

Наличие собственной изолированной сети передачи данных

- - +

Поддержка IPv6 + - -

Таким образом, проведенный анализ позволяет сделать вывод, что наиболее удобным и обеспечивающим достаточный уровень защиты является система Redphone.

Помимо мобильной связи широкое распространение получил обмен сообщениями (в том числе и голосовыми) посредством приложений-мессенджеров, подключенных к сети Интернет. Поскольку для подключения к Интернет пользователи зачастую используют сети общего доступа, возможности мессенджеров по КЗИ имеют важное значение. В таблице 3 приведены результаты сравнительного анализа возможностей КЗИ наиболее популярных по данным Google Play мессенджеров [13-18].

Таблица 3.

Сравнение функций КЗИ мобильных приложений-мессенджеров

Характеристики WhatsApp Telegram Стойкое шифрование + + Стойкие криптографические протоколы

+ -

Обеспечение защиты ключей управление ключами

+ +

Безопасность метаданных - - Дистанционное управление ключами

СибАДИ35

Таким образом, можно сделать вывод, что по своим возможностям КЗИ мессенджеры сопоставимы, однако ввиду использования проверенных криптографических протоколов, а также принимая во внимание запрет на использование Telegram в Российской Федерации, рекомендуется использовать Whatsap.

Подводя итоги, следует отметить, что пользователям мобильных устройств стоит задуматься о шифровании своих данных, находящихся непосредственно в памяти устройства, поскольку мобильные устройства уязвимы к кражам. А для обмена сообщениями или голосовых звонков владельцу мобильного устройства стоит пользоваться проверенными приложениями, предоставляющими функции криптографической защиты передаваемых данных. Среди мобильных ОС лидирующие позиции по возможностям КЗИ занимает iOS. Выбор между рассмотренными VoIP-системами является как вопросом удобства, так и безопасности, что позволяет отдать предпочтение системе Redphone. Что же касается мессенджеров, то в результате анализа достоинств и недостатков двух наиболее популярных из них – WhatsApp и Telegram, можно утверждать, что мессенджер WhatsApp имеет наиболее высокий уровень защиты передаваемых данных.


1. What is Android? [Электронный ресурс] / Google inc; Электрон. текстовые дан. – Режим доступа: https://developer.android.com/about/.html, свободный.

2. Open Hand set Alliance Releases Android SDK [Электронный ресурс] / OpenHandsetAlliance; Электрон.текстовые дан. – 2007. – Режим доступа: http://www.openhandsetalliance.com/press_111207.html, свободный.

3. Operating System Market Share Worldwide [Электронный ресурс] / StatCounter; Электрон. статистические дан. – 2018. – Режим доступа: http://gs.statcounter.com/os-market-share.html, свободный.

4. iOS [Электронный ресурс] / Appleinc; Электрон. текстовые дан. – Режим доступа: https://developer.apple.com/ios/.html, свободный.

5. Andrey Belenko. Evolution of iOS Data Protection and iPhone Forensics: from iPhone OS to iOS 5 [Электронный ресурс] / Blackhat Abu Dhabi Conference. - 2011. – Режим доступа: https://media.blackhat.com/bh-ad11/Belenko/bh-ad-11-Belenko-iOS_Data_Protection.pdf

6. Захарчук И. И. Проблемы защиты мобильных персональных устройств от информационно-технического воздействия / Захарчук И. И., Веселов Ю. Г., Еремеев М. А. // Наука и Образование. – 2012. – Выпуск №5. – 306 с.

7. Основы передачи голосовых данных по сетям IP / Издательский дом Вильямс. – 2007. — 396 с.

8. RedPhone документация [Электронный ресурс] / Open Whisper Systems. – 2015. — Режим доступа: https://web.archive.org/web/20150905191050/https: //github.com/WhisperSystems/RedPhone.html

СибАДИ36

9. ZRTP: Media Path Key Agreement for Secure RTP [Электронный ресурс] / P. Zimmermann; Электрон. текстовые дан. – 2009. – Режим доступа:https://tools.ietf.org/html/draft-zimmermann-avt-zrtp-11.html, свободный.

10. PrivateGSM документация [Электронный ресурс] — Режим доступа: http://support.privatewave.com/display/WS/PrivateGSM.html

11. Silent Circle документация [Электронный ресурс] — Режим доступа: https://github.com/SilentCircle.html

12. Официальная страница Silent Circle [Электронный ресурс] — Режим доступа: https://silentcircle.com.html

13. Krawczyk, H. Cryptographic Extraction and Key Derivation: The HKDF Scheme [Электронный ресурс] / H. Krawczyk; Электрон. текстовые дан. - 2010. – Режим доступа: https://eprint.iacr.org/2010/264.pdf

14. Telegram [Электронный ресурс] – Режим доступа: https://planfix.ru/docs/Telegram.html

15. Число пользователей Telegram превысило 100 миллионов [Электронный ресурс] – Режим доступа: https://lenta.ru/news/2016/02/23/telegram.html

16. Secretchats, end-to-endencryption [Электронный ресурс] – Режимдоступа: https://core.telegram.org/api/end-to-end.html

17. Jacobsen, J. B. A practical cryptanalysis of the Telegram messaging protocol. Ph.D. Theses [Электронный ресурс] / J. B. Jacobsen; Aarhus University: Department of Computer Science. - 2015. - 79 с. – Режим доступа: https://cs.au.dk/~jakjak/master-thesis.pdf

18. Директор ФБР: шифрование данных на смартфонах создает большую проблему для ведомства [Электронныйресурс] – Режимдоступа: https://tass.ru/mezhdunarodnaya-panorama/4863084.html

19. Роскомнадзор внес Telegram в список запрещенных сайтов [Электронный ресурс] – Режимдоступа: https://www.bbc.com/russian/news-43652389.html

СибАДИ37

РАЗРАБОТКА ПРОТОТИПОВ РЕШЕНИЙ ДЛЯ ЗАЩИТЫ ОБМЕНА ВАЖНОЙ ИНФОРМАЦИЕЙ ЧЕРЕЗ ДЕМИЛИТАРИЗОВАННУЮ ЗОНУ

В КОРПОРАТИВНОЙ СЕТИ Ковшарь Игорь Романович

студент группы БИб15-И1 Сибирского государственного автомобильно-дорожного университета, г. Омск

E-mail: [email protected] Семенова Зинаида Васильевна

Доктор пед. наук, зав. кафедрой информационной безопасности, профессор Сибирского государственного автомобильно-дорожного университета,

г. Омск E-mail: [email protected]

АННОТАЦИЯ

Целью данной статьи является разработка прототипов решений для защиты обмена важной информацией через демилитаризованную зону в корпоративной сети организации. В качестве инструментов для выполнения данной цели, использовались возможности языка программирования PHP, веб-сервер Apache и база данных MySQL. Указанная сборка программных средств является кроссплатформенной, то есть дает возможность программисту разрабатывать необходимые прототипы решения в различных операционных системах. Результатом данной статьи является комплексная защита существующего веб-приложения, которая способствует снижению риска несанкционированного доступа к рабочей информации. На основе проведенной работы, можно сделать вывод, о достаточности предоставляемых средств в разработке защиты обмена информацией в демилитаризованной зоне корпоративной сети организации.

Ключевые слова: безопасность; базы данных; веб-приложение; DMZ; корпоративная сеть.

Введение Сегодня трудно себе представить любой аспект нашей жизни без

использования информационных технологий. Они используются в образовании, медицине, на транспорте, в искусстве и в науке. Современный бизнес тем более не мыслим без использования ИТ. Именно информационные технологии, применяемые эффективно, могут дать бизнесу конкурентные преимущества.

Эффективное использование ИТ также предполагает грамотное объединение информационных ресурсов организации или предприятия в единую распределенную корпоративную сеть.

Однако в этом случае возникает еще более серьезная проблема – защита информационных ресурсов как от внешних, так и внутренних нарушителей. Представленная российской компанией InfoWatch [1], специализирующаяся на информационной безопасности в корпоративном секторе, аналитика по утечкам конфедициальной информации, заставляет серьезно задуматься. Так за

СибАДИ38

последние несколько лет (2011-2017) не наблюдается тенденции к снижению количества утечек (рисунок 1).

Более того, как следует из аналитического отчета [1], больший урон наносят компаниям внутренние нарушители: более, чем в 60% случаев виновниками утечек конфиденциальной информации становятся действующие или бывшие сотрудники компании, включая руководителей и системных администраторов. Это свидетельствует о необходимости уделять особое внимание демилитаризованной зоне.

Рисунок 1. Динамика роста числа утечек по данным компании InfoWatch

Прототипы решений Демилитаризованная зона (DMZ) – это зона ограниченного доступа,

содержащая внутренние и общедоступные сервисы [2]. Таким образом, как правило, DMZ рассматривают как

специализированный локальный сегмент корпоративной сети. Что касается общедоступных сервисов, то как правило, это почтовые или web-сервисы.

Здесь особо важным является то, что доступ в DMZ регламентирован: все зависит от того, какие именно правила были заданы межсетевым экраном. Кроме того, в DMZ нет пользователей — там располагаются только серверы

Как отмечают специалисты компании Kerio Technologies, специализирующейся на обеспечении безопасности бизнес - предприятий, назначение DMZ заключается в том, чтобы общедоступные сервера не могли связаться с другими сегментами внутренней сети, в том случае, если эти сервера оказываются взломанными хакерами или пораженными вирусами, т.е. представляют реальную угрозу для остальной части сети [3].

Таким образом, демилитаризованная зона является частью сети (отдельной подсетью), которая отделена межсетевыми экранами, как от публичной сети, так и от корпоративной сети. Кроме того, именно туда (в DMZ) вынесены из локальной сети все общедоступные сервисы, доступ к которым необходим извне.

При создании такой зоны перед администраторами корпоративной сети возникают дополнительные задачи. Необходимо обеспечить разграничение

СибАДИ39

доступа к ресурсам и серверам, расположенным в DMZ, обеспечить конфиденциальность информации, передаваемой при работе пользователей с этими ресурсами, вести контроль за действиями пользователей, а также обеспечить защиту веб-приложения, которое служит интерфейсом для передачи информации между сотрудниками.

В первую очередь для повышения безопасности веб-приложения и поддержки шифрования производится установка и настройка https протокола. Для этого необходимо открыть командную стройку от имени администратора и ввести команды для настройки сертификата https (рисунок 2).

Рисунок 2 – Команды настройки сертификата https

При правильном вводе команд командная строка выдаст следующий результат (Рисунок 3).

Рисунок 3 – Генерирование сертификатов

Можно считать, что сертификаты сгенерированы, но существует необходимость прописать в настройках Apache путь к данным сертификатам.

СибАДИ40

Для этого необходимо перейти в директорию с установленным приложением, например: «С:/Apache24/conf/» и открыть файл «httpd.conf».

В нём необходимо заменить ряд строк, в соответствии с тем перечнем замен, который указан в таблице 1.

Таблица 1 – Необходимые исправления

Строки по умолчанию Необходимые исправления #Listen 12.34.56.78:80 Listen 80

#Listen 12.34.56.78:443 Listen 443

#LoadModule ssl_module modules/mod_ssl.so LoadModule ssl_module modules/mod_ssl.so <IfModule ssl_module> SSLRandomSeed startup builtin SSLRandomSeed connect builtin </IfModule>

<IfModule ssl_module> SSLRandomSeed startup builtin SSLRandomSeed connect builtin SSLMutex default SSLSessionCache none </IfModule> SSLEngine On SSLCerificateFile conf/ssl/server.cert SSLCertificateKeyFile conf/ssl/server.key

После произведенных действий https протокол успешно установлен на веб-приложение предприятия.

Следующим шагом защиты веб-приложения будет реализация хеширования паролей всех зарегистрированных пользователей. Следовательно, исключается кража паролей пользователей и администраторов при различных атаках на базу данных злоумышленниками. Реализация хеширования внедряется в код данного веб-приложения (Рисунок 4).

СибАДИ41

Рисунок 4 – Разработка хеширования паролей

После внедрения данного аспекта безопасности, пароли пользователей в базе данных выглядят примерно так, как показано на рисунке 5.

Рисунок 5 – Демонстрация работы хеширования

И наконец, самым важным разработанным аспектом безопасности является перенаправление файлов с самого DMZ в корпоративную сеть. То есть файлы должны храниться не в папках с веб-приложением, а на удаленном сервере, к которому приложение уже обращается для загрузки, выгрузки и удаления файлов с сервера. Для этого необходимо иметь подключение по локальной сети с самим сервером и внедрить в код команды, что представлено на рисунках 6 и 7.

СибАДИ42

Рисунок 6 – Перенаправление файлов на сервер

Рисунок 7 - Перенаправление файлов на сервер (2)

Причем, в строчках «setUrl(‘http://192.168.176.129/delete.php’) и «$url = ‘http://192.168.176.129’ .file -> path» необходимо прописать ip-адрес необходимого сервера.

Решение реализовано с помощью виртуальной машины «VMWare» и представлено на рисунке 8.

СибАДИ43

Рисунок 8 – Демонстрация работы перенаправления

Заключение. В процессе анализа была выявлена проблема информационной

безопасности в корпоративных сетях и рассмотрена возможность защиты с помощью демилитаризованной зоны.

Кроме того, была обеспечена информационная безопасность веб-приложения, которая способствует снижению риска несанкционированного доступа к рабочей информации. Список литературы:

1. Глобальное исследование утечек конфиденциальной информации в 2017 году. [Электронный ресурс] — Режим доступа: https://www.infowatch.ru/report2017

2. Руководство по проектированию интернет-периметра: эталонная архитектура CISCO. [Электронный ресурс] — Режим доступа: https://www.cisco.com/c/dam/global/ru_ru/about/brochures/assets/pdfs/crd-internet-edge_ design-final _jul2015.pdf

3. Что такое DMZ и нужен ли он мне? [Электронный ресурс] — Режим доступа: https://www.kerio-by.org/cho_takoe_DMZ_i_nujen_li_on_mne.php

4. Кармановский Н.С., Михайличенко О.В., Савков С.В. Организационноправовое и методическое обеспечение информационной безопасности / Учебное пособие. – СПб: НИУ ИТМО, 2013. – 148 с.

5. Капоровский В.Е. Сетевое взаимодействие в малых сетях: наук: 09.02.02 Компьютерные сети. СПб, 2017. 59 с.

6. Демилитаризация локальной сети. [Электронный ресурс] //RusAdvice.org — Режим доступа: http://rusadvice.org/internet/game/demilitarizaciya_lokalnoy_ seti.html

СибАДИ44

МОДЕЛЬ ИНФОРМАЦИОННОГО ОБЩЕСТВА – ОТРАЖЕНИЕ НОВЫХ ОНТОЛОГИЧЕСКИХ ЗАКОНОМЕРНОСТЕЙ, ОБУСЛОВЛЕННЫХ

ВНЕДРЕНИЕМ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Лапшин Семён Сергеевич

студент группы БИб15-И1 Сибирского автомобильно-дорожного университета, г. Омск

E-mail: [email protected] Сапрыкина Надежда Александровна

канд. пед. наук, доцент кафедры информационной безопасности Сибирского государственного автомобильно-дорожного университета, г. Омск


АННОТАЦИЯ Целью работы является выявление и анализ онтологических

закономерностей в поведении человека, которые сформировались в обществе с началом периода информатизации. В работе выполнено сравнение постиндустриального и информационного обществ, представлен анализ результатов социального Интернет-опроса «Информационные технологии в Вашем быту» и построенная модель современного информационного общества.

Ключевые слова: информационные технологии, информационное общество, модель информационного общества.

По сравнению с индустриальным обществом, где все направлено на производство и потребление товаров, в информационном обществе информация – это средство и продукт производства [1-5]. Такое положение вещей привело к специфике правового регулирования вопросов обращения с информацией [6-9]. Но, прежде всего, для информационного общества характерной особенностью является ценность интеллекта и знаний, что в свою очередь, приводит к увеличению доли умственного труда: от человека требуется способность к творчеству, возрастает спрос на знания [10-15].

Для выявления влияния информационных технологий была разработана на индивидуума анкета из 19 вопросов [16] и проведен опрос для выявления и подтверждения новых закономерностей и модели поведения человека в таких сферах деятельности, как:

1. Общение (3 вопроса).2. Обращение в государственные органы (3 вопроса).3. Работа и повседневная жизнь человека (10 вопросов).4. Образование (3 вопроса).Опрос призван выявить следующие последствия (как положительные, так

и отрицательные) информационно-компьютерной революции (по К. Хессигу [13]):

1. Свободное развитие индивида.2. Информационное общество.

СибАДИ45

3. Социализация информации.4. Коммуникативное общество.5. "Автоматизация" человека.6. Лавина информации.7. Изоляция индивида.8. Расширение свобод.9. Выравнивание иерархии власти.10. Расширенное участие в общественной жизни.11. Повышение продуктивности, рационализация.12. Повышение компетенции.13. Экономия ресурсов.14. Улучшение качества.15. Новые профессии и квалификации.Также опрос предназначен, чтобы выявить, насколько информационные

технологии внедрены в образовательный процесс. В опросе приняли участие 90 человек в возрасте от 17 до 37 лет, среди

которых студенты высших учебных заведений в возрасте 18-22 лет и представители различных профессий разных возрастов.

Результаты опроса [16] показали, что информационные технологии прочно интегрировались во все сферы жизни человека. Ниже приведены результаты анализа ответов опрошенных.

По результатам ответов на вопросы, связанные с поведением людей при обращении в государственные органы, 45,6% участников опроса показали, что пользуются услугами государственного портала gosuslugi.ru, а значит используют новые информационные технологии для обращения в государственные органы. При этом только 7,8% показали, что им не хватает функционала данного портала, и лишь 5,6% делают обращения в государственные органы традиционным путём (затрачивая время на поездку до административного здания, в котором оказывается необходимая услуга, ожидание очереди, заполнение документов и т.д.). Также было обнаружено, что 56,7% используют Интернет для оплаты коммунальных услуг и 46,7% – для государственных услуг и платежей.

Данный факт подтверждает активность и осведомлённость участников в упрощённых путях оплаты основных услуг и налогов, а также внедрение информационных систем в жизнь человека как гражданина страны.

Результаты ответов на вопросы об общении в социуме показали, что для 30% участников онлайн-общение практически заменило живое, что означает присутствие в обществе такого признака, как «изоляция индивида». При этом 93,3% участников отметили «Социальные сети и мессенджеры» в качестве одной из целей использования смартфора. Также 84,4% и 47,8% участников отметили «Связь с близкими» и «Участие в группах / общение с множеством людей» соответственно в качестве основных причин необходимости пользования Интернетом.

СибАДИ46

Таким образом, можно сделать выводы о том, что информационные технологии применяются для общения, но степень изоляции человека от реального общения нельзя считать критически высокой.

При ответах на вопросы об использовании информационных технологий в работе и повседневной жизни пользователи отмечают высокую степень использования информационных технологий и программных продуктов. Таковыми пользователи отмечают:

- различные карты, службы геолокации, планирование маршрутов; - социальные сети, мессенджеры, форумы; - приложение, являющиеся прикладными для сфер управления семейным и

собственным бюджетом, менеджеров задач; - мобильный доступ к банкам; - Интернет-магазины; - доступ к научным и образовательным порталам; - доступ к системам поиска различной информации; - автоматизированная статистическая обработка информации, ведение

расчётов. - облачные сервисы хранения информации. - электронные платежи. Участники опроса также:

- отмечают пользование нормативно-правовыми базами (36,7%). - выражают скептическое отношение к передаче персональных данных по

сети (35,6% ответов с отметкой 3 балла из 5 на 10 вопрос). - отмечают, что в данную эпоху проявляют к потреблению полезной

информации высокий интерес (78,9% на 8 вопрос) и возрастание количества знаний в разных областях науки (64,4%).

Стоит отметить, что среди пользователей наблюдается предрасположенность к скептическому отношению к информации, находящейся в Интернете (ответ «С появлением Интернета стало больше недостоверных источников» – 58,9%). Также 13,3% всех опрошенных указали, что используют Интернет для удалённой работы, что можно считать достаточно высоким показателем, учитывая то, что около половины опрошенных ещё не начали свою трудовую деятельность.

Таким образом, было подтверждено изменение повседневной деятельности человека с внедрением информационных технологий.

Анализ ответов на вопросы об образовании подтвердил, что информационные технологии повсеместно внедрены в процесс обучения: 68,9% участников отметили использование Интернета в целях самообразования, а 21,1% – в целях удалённого обучения. Опрошенные также отметили высокий уровень программно-технического оснащения образовательных учреждений, в которых они обучались или обучаются.

Результаты анализа ответов опрошенных на вопросы анкеты подтверждают изменение повседневной деятельности человека с внедрением информационных технологий. Доступность информационных технологий

СибАДИ47

каждому человеку открывает широкие возможности свободного международного информационного обмена. Человечество активно использует изученные технологии в совокупности с информационными технологиями и продуктами развития электроники. На рисунке 1 изображена схема переработки изобретений науки в информационные технологии, которые применяются в обучении и образовании, что является примером переработки деятельности науки.

Рисунок 1. Аспекты развития информационных технологий в сфере средств обучения

Схемы на рисунке 2 демонстрируют связи коммуникации на примере обмена знаниями между участниками из разных абстрактных стран с названиями «A-E» в постиндустриальном (а) и информационном (б) обществе.

а) постиндустриальное общество б) информационное общество Рисунок 2. Обмен знаниями в обществе

Представленная модель информационного обмена позволяет сделать вывод, что дальнейшее развитие информационного общества будет направлено на развитие международного права в сфере регулирования вопросов обращения с информацией, а также на интеграцию интеллектуальных достижений и полезных знаний, созданных людьми в различных странах мира.

СибАДИ48

Список литературы: 1. Меритократия // dic.academic.ru URL:

https://dic.academic.ru/dic.nsf/ruwiki/81354.2. DANIEL BELL'S CONCEPT OF POST-INDUSTRIAL SOCIETY:

THEORY, MYTH, AND IDEOLOGY // forschungsnetzwerk.at URL:http://www.forschungsnetzwerk.at/downloadpub/ferkiss.pdf.

3. Теория постиндустриального общества Элвина Тоффлера //studbooks.net URL:https://studbooks.net/2057525/sotsiologiya/teoriya_postindustrialnogo_obschestva_elvinatofflera.

4. Гэлбрейт, Дж. Новое индустриальное общество. – М.: ООО"Издательство АСТ", 2004.

5. Буряк В. Глобальное гражданское общество и сетевые революции. –Симферополь: ДИАЙПИ, 2011.

6. Building the European Information Society for Us All. First Reflections ofthe High Level Group of Experts. Interim Report, January 1996 //aei.pitt.edu URL: http://aei.pitt.edu/37619/.

7. Федеральный закон "Об информации, информационных технологиях ио защите информации" от 27.07.2006 N 149-ФЗ // consultant.ru URL:http://www.consultant.ru/document/cons_doc_LAW_61798/.

8. ГК РФ Статья 1252. Защита исключительных прав // consultant.ru URL:http://www.consultant.ru/document/cons_doc_LAW_64629/a68c2e03d7967da86ff598906972cd025196845e/.

9. ГК РФ Статья 1301. Ответственность за нарушение исключительногоправа на произведение // consultant.ru URL:http://www.consultant.ru/document/cons_doc_LAW_64629/c2f79b53ce582e92680379e2ebd23eeb9fb7855a.

10. Труды 3 международного конгресса международной федерации поавтоматическому управлению: оптимальные системы. статистическиеметоды / Отв. ред. М. А. Айзерман; Гл. ред. В. А. Трапезников; Ред. Д.М. Беркович, А. А. Воронов. – М.: Наука, 1971. – 308 с.

11. Указ Президента РФ от 3 апреля 1995 г. N 334 "О мерах пособлюдению законности в области разработки производства,реализации и эксплуатации шифровальных средств, а такжепредоставления услуг в области шифрования информации" : // СистемаГАРАНТ URL: http://base.garant.ru/10104146/#ixzz5Z3phq7Ls.

12. Ракитов, А.И. Философия компьютерной революции. – М.: Политиздат,1991.

13. Хессиг К. Страх перед компьютером. – М.: 1990.14. Степанова Т.Е., Манюхина Н.В. Экономика, основанная на знаниях.

(теория и практика). Учебное пособие/ Т.Е. Степанова, Н.В. Манюхина.– М.: Гардарики, 2008. – 238с.

15. Нисневич Ю.А. Информация и власть. – М.: Мысль, 2000. – 175 с. –ISBN 5-244-00973-7.

16. Результаты опроса "Информационные технологии в Вашем быту№ //docs.google.com URL:https://docs.google.com/forms/d/1qtmOUZPIyjMmBLd_oAC0b9YT9DtwN7bALIvVjw8LfVw/.

СибАДИ49

ИСПОЛЬЗОВАНИЕ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ УЧРЕЖДЕНИЯХ

Курочка Раиса Александровна студент группы БИб15-И1 Сибирского государственного автомобильно-

дорожного университета, г. Омск E-mail: [email protected]

Толкачева Елена Викторовна канд. техн. наук, доцент кафедры информационной безопасности Сибирского

государственного автомобильно-дорожного университета, г. Омск E-mail: [email protected]

АННОТАЦИЯ

Целью работы является выработки рекомендации по использованию средств криптографической защиты информации в автоматизированной системе государственного учреждения на основе использования средств криптографической защиты информации (СКЗИ). В работе проанализированы СКЗИ, отвечающие требованиям нормативно-правовых документов к обеспечению криптографической защиты информации в государственных учреждениях. Представлена сравнительная характеристика СКЗИ и технико-экономическое обоснование их использования для защиты информации в государственных информационных системах.

Ключевые слова: государственные информационные системы, криптографическая защита информации; средства криптографической защиты информации, СКЗИ VipNet; АПКШ «Континент».

Согласно законодательству Российской Федерации в государственных учреждениях применение СКЗИ для защиты информации конфиденциального характера является обязательным [1-4]. СКЗИ, применяемые в государственных учреждениях, должны использовать утвержденные государственным стандартом Российской Федерации криптографические алгоритмы и иметь сертификаты соответствия [5].

В полной мере отвечающими требованиям нормативно-правовых документов и потребностям государственных учреждений являются СКЗИ АПКШ «Континент» [6] и СКЗИ ViPNet [7]. Для повышения информационной безопасности государственных информационных систем необходимо проанализировать технические характеристики данных СКЗИ.

Аппаратно-программный комплекс шифрования «Континент» обеспечивает криптографическую защиту информации при передаче по открытым каналам связи между составными частями защищенной сети, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры. Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту

СибАДИ50

от возможности дешифрации перехваченных данных. Кроме того АПКШ «Континент» осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети [6].

СКЗИ программно-аппаратный комплекс (ПАК) ViPNet является универсальным шлюзом безопасности и предоставляет возможность создать в любой телекоммуникационной инфраструктуре, включая сеть связи общего пользования, распределенную виртуальную сеть, защищенную от сетевых атак и несанкционированного доступа к информации. ПАК ViPNet легко инсталлируется в существующую инфраструктуру и соответствует самым жестким требованиям по функциональности, удобству эксплуатации, надежности и отказоустойчивости [7].

В таблице 1 приведены результаты сравнения технических характеристик АПКШ «Континент» и СКЗИ VipNet. В качестве критериев для сравнения были выбраны группы ключевых характеристик СКЗИ, отвечающих потребностям по криптографической защите информации в государственных информационных системах.

Таблица 1 Сравнение АПКШ «Континент» и СКЗИ ViPNet

Характеристика АПКШ «Континент»

СКЗИ ViPNet

Поддержка технологий NAT/PAT + + Шифрование Криптоалгоритм

ГОСТ 28147-89 Криптоалгоритм ГОСТ 28147-89

Межсетевое экранирование + + Поддержка VLAN + + Обеспечение работы в сетях IPv6 + - Приоритизация трафика механизмами QoS

+ +

Протоколы туннелирования UDP UDP, IP/241 Среднее время наработки на отказ 40000 часов 50000 часов CLI-интерфейс - + Сервисные функции DNS-сервер, NTP-сервер, DHCP-сервер, DHCP-Relay

+ +

Электронная подпись - +

Таким образом, по своему функционалу в части шифрования информации для обеспечения защиты при передаче по каналам связи рассматриваемые СКЗИ являются практически равнозначными. Однако время наработки на отказ СКЗИ ViPNet на 10000 часов больше, чем у АПКШ «Континент». Так же в АПКШ «Континент» отсутствует интерфейс командой строки, из-за чего управление криптошлюзами производится удаленно, при помощи

СибАДИ51

специализированного ПО. В СКЗИ ViPNet поддерживается более экономичный с точки зрения добавляемой информации протокол IP/241, в то время как АПКШ «Континент» поддерживает IPv6. Принципиальным отличием данных СКЗИ является возможность использования электронной подписи в СКЗИ ViPNet, в то время как в АПКШ «Континент» такая возможность не предусмотрена. На основании изложенного можно сделать следующий вывод: в случаях, не предусматривающих применение электронных подписей, СКЗИ АПКШ «Континент» и СКЗИ ViPNet являются взаимозаменяемыми.

В случае использования для защиты информации в государственных системах электронной подписи необходимо предусмотреть поддержание инфраструктуры криптографических ключей и сертификатов. Эти функции выполняет программный комплекс ViPNet Удостоверяющий центр.

Удостоверяющий центр (УЦ) представляет сложную техническую систему. При организации УЦ необходимо тщательно подойти к автоматизированному рабочему месту сотрудников данной компании. Для этого требуется разработать техническо-экономическое обоснование.

Для определения технических параметров персональных компьютеров для АРМ, необходимо определить с какими приложениями оно будет работать:

1. Программное обеспечение, позволяющее просматривать, создавать, редактировать документы с расширениями doc, docx, xls, xlsx.

2. Аппаратное обеспечение, предназначенное для вывода текстовой или графической информации.

3. Программное обеспечение, предназначенное для хранения сертификатов.

4. Программные продукты, позволяющие обеспечить работу с электронной подписью.

Рассмотрим минимальные требования к АРМ сотрудника удостоверяющего центра:

1. Процессор - Intel Pentium, выше или аналог. 2. Монитор - разрешение экрана не менее 1024х768. 3. Операционная система – Windows XP, Windows 7, Windows 8/8.1,

Windows 10. 4. Оперативное запоминающее устройство (далее – ОЗУ) – 4 GB RAM. 5. Сетевая карта - 100Mbps. 6. Манипулятор «Мышь». 7. Клавиатура. 8. Принтер. Для корректной работы АРМ в удостоверяющем центре необходимо

обеспечить установку программных средств: 1. Браузер – например, Google Chrome версии 37-41.

СибАДИ52

2. Программное обеспечение, позволяющее просматривать, создавать, редактировать документы – Microsoft Office 2003 и выше.

3. Программное обеспечение, предназначенное для хранения сертификатов – MS SQL Server, база данных службы сертификации Windows [9].

4. Электронная подпись – программное обеспечение VipNet CSP версии 4.2 и выше.

Далее, после определения главных компонентов для АРМ сотрудника удостоверяющего центра можно составить ориентировочную стоимость программного и аппаратного обеспечения. В таблицах 2, 3 представлено техническое и программное обеспечение, необходимое для оснащения АРМ сотрудника УЦ.

Таблица 2 Техническое обеспечение АРМ сотрудника УЦ

Наименование Стоимость (руб.) Процессор (Intel Core i3) 9 240 Монитор (BenQ GW2270H 22) 6 500 ОЗУ 2 900 Сетевая карта 1 100 Манипулятор «Мышь» (Logitech G102 Prodigy)

1 420

Клавиатура (HAMA Anzano) 720 Принтер (Canon i-SENSYS LBP212DW) 13 690

Таблица 3 Программное обеспечение АРМ сотрудника УЦ

Наименование Стоимость (руб.) Лицензия Microsoft Office 2016 6 000 Лицензия на ПК ViPNet УЦ 4 в составе:

- СКЗИ ViPNet CSP 4 (КС2) - Лицензия на использование ПО ViPNet

CA Informing 4.x; - Лицензия на использование ПО ViPNet

Registration Point 4.х; - Лицензия на 10 ЭП; - Сервис технической поддержки уровня

Базовый на срок 1 год

27 400

Таким образом, на аппаратное обеспечение АРМ сотрудника УЦ

потребуется примерно 35 570 рублей, а на программное обеспечение примерно 33 400 рублей (по ценам на официальных сайтах производителей). Выполненное технико-экономическое обоснование позволит организовать работу УЦ на высоком техническом уровне и обеспечить надёжную защиту информации в государственных информационных системах.

СибАДИ53

Список литературы: 17. Об утверждении перечня сведений конфиденциального характера: Указ

Президента РФ от 6 марта 1997 г. № 188 [Электронный ресурс]. – URL: http://base.garant.ru/10200083/#ixzz5OGPzHs6K.

18. О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ [Электронный ресурс]. – URL: http://www.consultant.ru/document/cons_doc_LAW_61801.

19. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. № 149-ФЗ (с

изменениями и дополнениями) [Электронный ресурс]. – URL: http://base.garant.ru/12148555/#ixzz5OGYA43bX.

20. О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации: Указ Президента РФ от 3 апреля 1995 г. № 334 [Электронный ресурс].-URL: http://base.garant.ru/10104146/#ixzz5OGcX8k1S.

21. Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005): Приказ ФСБ РФ от 9 февраля 2005 г. № 66 [Электронный ресурс]. – URL: http://base.garant.ru/187947/#ixzz5OGeIok00.

22. АКПШ «Континент» [Электронный ресурс]. – URL: https://www.securitycode.ru/products/apksh_kontinent/abilities.

23. ViPNet [Электронный ресурс]. – URL: https://infotecs.ru/product/vipnet-coordinator-hw100-versii-3.html.

СибАДИ54

СПОСОБ ГЕНЕРАЦИИ КЛЮЧЕВЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ НА ОСНОВЕ МУЛЬТИМОДАЛЬНОЙ БИОМЕТРИИ1

Ложников Павел Сергеевич канд. техн. наук, доцент, зав. кафедрой «Комплексная защита информации»

Омского государственного технического университета, г. Омск E-mail: [email protected]

Сулавко Алексей Евгеньевич канд. техн. наук, доцент кафедры «Комплексная защита информации»

Омского государственного технического университета, г. Омск E-mail: [email protected]

Лукин Денис Вадимович студент кафедры «Комплексная защита информации» Омского

государственного технического университета, г. Омск E-mail: [email protected]

Белгородцев Артем Андреевич студент кафедры «Комплексная защита информации» Омского

государственного технического университета, г. Омск [email protected]

АННОТАЦИЯ

Биометрические данные могут быть использованы в качестве входных данных для генерации (выработки) ключевых последовательностей (паролей, закрытых ключей). Такой способ получения ключа из биометрических признаков позволит сделать ключ непредсказуемым для злоумышленника, так как он не будет владеть знаниями о биометрии пользователя. Мультимодальная биометрия позволяет реализовать более эффективную криптографическую защиту. В данной статье мы предлагаем метод, основанный на мультимодальной биометрии (параметры лица и динамические характеристики подписи) для безопасной выработки ключа. Безопасность биометрических эталонов обеспечивается их хранением в нейросетевых контейнерах, что не позволяет восстановить исходную информацию без предъявления пользователем верной биометрической реализации. Приведены результаты по ошибкам 1-го и 2-го рода по выработке ключей на основе мультимодальной биометрии.

Ключевые слова: мультимодальная биометрия, нейросетевой преобразователь «биометрия-код», нейросетевой контейнер, параметры лица, динамические характеристики подписи.

Введение Сегодня имеется возможность хранить ключи и пароли на различных

вычислительных устройствах, однако защиту даже стойкого к взлому хранилища можно обойти, а повсеместный характер информационных 1 Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 16-07-01204.

СибАДИ55

технологий также облегчает злоумышленникам доступ к секретным данным. Исходя из этого, разрабатываются способы генерации и установки ключей для систем безопасности на основе биометрических характеристик пользователя. Получение биометрического криптографического ключа является очень перспективной областью, популярность которого связанна в том числе с переходом общества на электронный/смешанный документооборот.

Атаки на сохраненные биометрические данные подвергают систему аутентификации пользователей многочисленным угрозам безопасности. Диаграмма на рисунке 1 иллюстрирует классификацию, назначение, основные требования и применение биометрических криптосистем на основе ключей.

Криптосистемы на основе биометрии подразделяются на два типа: выпуск (выработка, привязка) ключей и генерация ключей. В первом подходе случайно созданный криптографический ключ защищен от несанкционированного доступа биометрическими данными пользователей. «Нечеткие экстракторы» (fuzzy extractors) входят в эту категорию. При использовании таких схем секретный ключ освобождается только тогда, когда поступающая на вход биометрическая реализация близка к набору хранимых биометрических признаков (эталону). «Нечеткие экстракторы» базируются на использовании помехоустойчивого кодирования по отношению к биометрическим данным для компенсации ошибок, возникающих вследствие невозможности точного повторного воспроизведения биометрического образа [2]. Однако, подход обладает множеством существенных недостатков [3], даже при реализации различных его модификаций.

Рисунок 1. Таксономия ключевой биометрической криптосистемы [1]

Еще одним способом привязки ключей к биометрическим данным субъекта являются искусственные нейронные сети (ИНС) и основанные на них нейросетевые преобразователи «биометрия-код» (НПБК). Изначально

СибАДИ56

сложилось два типа построения НПБК: на основе «глубоких» и «широких» нейронных сетей. Первые обладают рядом недостатков, связанных с затратами огромных вычислительных ресурсов на обучение и необходимостью привлечения большого объема обучающей выборки, который не всегда удается собрать (например, нельзя требовать от пользователя сотни раз расписываться или повторять голосовой пароля при создании биометрического эталона). Также НПБК на базе «глубоких» сетей могут представлять опасность для пользователей, направляющих свои биометрические данные на удаленный сервер (при невозможности выполнить обучение на слабом процессоре). «Широкие» ИНС обладают рядом преимуществ:

1. Высокая скорость работы, позволяющая реализовать данные алгоритмы на низкопроизводительном вычислительном устройстве.

2. Возможность применения абсолютно устойчивых процедур обучения на малом числе примеров независимо от сложности ИНС.

Последнее время сложился новый подход к построению НПБК на базе гибридных нейронных сетей [4].

На сегодняшний день, для выработки криптографического ключа применяются данные отпечатков пальцев, лица, динамических характеристик подписи, радужной оболочки глаз, голоса и т.д. [5]. Такой способ выработки ключа и аутентификации субъекта является одномодальной, т.к. используются данные только одной биометрической характеристики. Мультимодальная биометрия – это термин, описывающий биометрические системы, в которых для целей идентификации/аутентификации пользователей используют две или более биометрические характеристики, например, лицо и радужная оболочка глаз, лицо и геометрия ладони, отпечатки пальцев и голос, рукописная подпись и голос и др. Как известно, в системах электронного и смешанного документооборота для подтверждения аутентичности и целостности документа используется электронная подпись (ЭП), в основе которой лежат алгоритмы ассиметричного шифрования. Закрытый ключ, необходимый для формирования ЭП, хранится на токене – внешнем носителе. Привязка ключа к биометрическим характеристикам субъекта позволить решить проблему отчуждаемости ключа.

Рабочее место, как правило, оборудовано недорогой веб-камерой, а также при необходимости сравнимым по стоимости графическим планшетом. Использование данных с этих датчиков (параметры лица и динамические характеристики подписи) удобно, не нарушит привычный процесс работы с документом и позволит повысить точность выработки/генерации криптографического ключа. На данный момент этот показатель установлен на уровне 97,5% [6]. Данной точности недостаточно, что приводит исследователей к решению использовать НПБК для этих целей.

Описание метода Сформирована база биометрических данных автографов и лиц

(двумерных фотографий) 65 испытуемых. Сформировались пары образов «лицо-подпись», которые в дальнейшем воспринимались как единый образ

СибАДИ57

субъекта. Каждый образ «лицо-подпись» был преобразован в вектор из 381 признаков, среди которых можно выделить следующие группы величин:

- расстояния между глазами, правым (левым) глазом и центром лица, правым (левым) глазом и кончиком носа, правым (левым) глазом и центром рта, центром рта и центром лица, кончиком носа и центром рта, центром рта и кончиком носа (в пикселях, значения нормировались по диагонали лица в кадре) [7];

- площади глаз, носа, рта (значения нормировались по площади лица) [7]; - коэффициенты корреляции яркости и цветовых составляющих пикселей

(в соответствии с моделью RGB) между всеми парами следующих областей лица: правый глаз, левый глаз, нос, рот. Данные признаки характеризуют мимику, асимметрию и непроизвольные движения лица субъектов [7];

- средние показатели интенсивности яркости, а также красной (R), зеленой (G) и синей (B) составляющих пикселей, характеризующих цвет глаз и кожи. Данные признаки относятся к наиболее информативным из рассматриваемых в настоящей работе, так как обладают наименьшими площадями пересечения функций плотности вероятности собственных значений [7];

- расстояния между точками подписи, нормированные по длине подписи, в трехмерном пространстве (третье измерение – это давление p(t)). Точки выбираются равномерно с некоторым шагом, далее находятся расстояния между всеми парами этих точек [2].

- нормированные по энергии амплитуды первых 16 (наиболее низкочастотных) гармоник функции скорости перемещения пера на планшете vxy(t) и функции давления пера на планшет p(t). Первые 16 гармоник содержат более 95% энергии сигналов vxy(t) и p(t), что характерно для всех испытуемых [2].

- характеристики статического изображения подписи: отношение длины подписи к ее ширине, центр подписи, угол наклона подписи, угол наклона между центрами половин подписи [2].

- коэффициенты корреляции между всеми парами функций подписи x(t), y(t), p(t) и их производными x’(t), y’(t), p’(t) [2].

- значения функций x(t), y(t) и p(t), а также функции скорости перемещения пера на планшете vxy(t). Точки выбираются равномерно с некоторым шагом [2].

- детализирующие коэффициенты вейвлет-преобразований Добеши по базису D6 функций vxy(t) и p(t) [2].

Далее методом из работы [4] формировалась гибридная сеть (рис. 1), состоящая из 200 классических нейронов (по 12 входов), 500 квадратичных нейронов (по 2 и 3 входа), порядка 2300 нейронов, базирующихся на многомерных разностных и гиперболических функционалах Байеса и корректирующих кодах [8]. Такая конфигурация была признана среди прочих наиболее оптимальной по минимуму вероятностей ошибочных решений (рис.

СибАДИ58

2) в серии проведенных опытов. Объем обучающей выборки составлял по 20 образов «Свой» и по 1 образу «Чужой» от каждого субъекта.

Рисунок 1. Схема работы процедуры генерации ключа ЭП (пароля)

Тестирование системы проводилось через два месяца после обучения, т.е.

биометрические эталоны частично устарели (подпись меняется со временем). Наилучший полученный показатель по ошибкам генерации ключа (пароля) составил (рис. 2): EER=1,9%, FRR=5,5%, FAR<0,01%.

Рисунок 2. Вероятности ошибочных решений в зависимости от числа

корректируемых бит ключа (пароля)

СибАДИ59

Заключение

Достигнутый результат превосходит известные аналоги, что говорит об эффективности гибридных нейросетевых преобразователей «биометрия-код». Разработанный метод можно использовать в реальных практических задачах, как составную часть средств электронной подписи с биометрической активацией. При этом вопрос безопасного хранения ключа и биометрического эталона в совокупности решается за счет использования принципа защищенного нейросетевого контейнера [9], функционалов-аналогов квадратичным и многомерных Байесовским, предложенным в [10] и специальными корректирующими кодами из работы [8].

Распространенный сегодня формат смешанного документооборота постепенно эволюционирует в систему гибридного документооборота [11], основная идея которого – использование равных методов защиты документа как в цифровой, так и в аналоговой форме. Вырабатываемый описанным способом криптографический ключ на базе двух биометрических характеристик, также может использоваться в системах гибридного документооборота, что повышает уровень защиты документа в любом его представлении.


1. Abayomi Jegede, Nur Izura Udzir, Azizol Abdullah, Ramlan Mahmod: 2. State of the Art in Biometric Key Binding and Key Generation Schemes.

international journal of communication networks and information security. Vol. 9(3), pp. 333-344.

3. Lozhnikov P. S., Sulavko A. E., Eremenko A. V., Volkov D. A. Methods of Generating Key Sequences based on Parameters of Handwritten Passwords and Signatures // Information. 2016. № 7 (4). 59. DOI: 10.3390/info7040059.

4. Ivanov A. I., Lozhnikov P. S., Sulavko A. E. Evaluation of signature verification reliability based on artificial neural networks, Bayesian multivariate functional and quadratic forms // Computer Optics. 2017. № 5. P. 765–774. DOI: 10.18287/2412-6179-2017-41-5-765-774.

5. Lozhnikov P.S., Sulavko А.Е. Generation of a biometrically activated digital signature based on hybrid neural network algorithms // Journal of Physics: Conf. Series, № 1050 (2018), 012047; doi: 10.1088/1742-6596/1050/1/012047.

6. D Maltoni, D Maio, AK Jain, S Prabhakar, Handbook of Fingerprint Recognition (Springer- Verlag, New York, 2003).

7. Awang, S, Yusof, R, Zamzuri, MF &Arfa, R 2013, ‘Feature Level Fusion of Face and Signature Using a Modified Feature Selection Technique’. In Signal-Image Technology & Internet-Based Systems (SITIS), International Conference on IEEE, pp. 706-713.

СибАДИ60

8. Ложников П.С., Сулавко А.Е., Бурая Е.В., Писаренко В.Ю. Аутентификация пользователей компьютера на основе клавиатурного почерка и особенностей лица // Вопросы кибербезопасности. – 2017. №3 (21). – С.24-34.

9. Безяев А. В., Иванов А. И., Фунтикова Ю. В. Оптимизация структуры самокорректирующегося биокода, хранящего синдромы ошибок в виде фрагментов хэш-функций // Вестник УрФО. Безопасность в информационной сфере. 2014. № 3(13). С. 4—13.

10. Ложников П.С., Сулавко А.Е., Еременко А.В., Волков Д.А. Экспериментальная оценка надежности верификации подписи сетями квадратичных форм, нечеткими экстракторами и персептронами // Информационно-управляющие системы. - 2016. - №5. - С. 73-85.

11. Vasilyev V.I., Lozhnikov P.S., Sulavko A.E., Fofanov G.А., Zhumazhanova S.S.. Flexible fast learning neural networks and their application for building highly reliable biometric cryptosystems based on dynamic features // IFAC-PapersOnLine. - Vol. 51, Issue 30, 2018, P. 527-532.

12. Ложников П. С. Биометрическая защита гибридного документооборота: монография. Изд-во СО РАН, 2017. - 130 с.

СибАДИ61

ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПРИЛОЖЕНИЯ «СУШИ МАРКЕТ» СРЕДСТВАМИ ПЛАТФОРМЫ .NET FRAMEWORK И MS SQL SERVER

Мазуров Александр Александрович студент группы БИб15-И1 Сибирского государственного автомобильно-

дорожного университета (СибАДИ), г.Омск E-mail: [email protected]

Семенова Зинаида Васильевна Доктор пед. наук, зав. кафедрой информационной безопасности, профессор

Сибирского государственного автомобильно-дорожного университета, г.Омск E-mail: [email protected]

АННОТАЦИЯ

В статье рассматриваются ряд аспектов обеспечения информационной безопасности автоматизированной системы «Суши Маркет», предназначеной для автоматизации бизнес-процессов ресторана «Суши Маркет», а также база данных, в которой хранятся все данные и действия, выполняемые в приложении. При проектировании программы были реализованы различные методы защиты информации, а именно: авторизация, распределение ролей, валидация данных, шифрование паролей, использованы некоторые технологии, предназначенные для обеспечения безопасности приложений. При этом в некоторых случаях использованы подходы, отличающиеся от стандартных, ориентированных на встроенные возможности средств разработки.

Ключевые слова: информационная безопасность; средства защиты

информации; .NET Framework; MS SQL Server.

Введение В последние годы наблюдается постоянный рост количества веб-ресурсов

в рамках глобальной сети Интернет, что, с одной стороны, способствует доступности информации, а с другой - усиливает угрозы несанкционированного доступа к конфиденциальным данным.

По статистике, предоставленной аналитиками Progressive Technologies около тридцати трех процентов атак направлены на веб-ресурсы [1]. Большинство из них направлены на получение финансовой выгоды или кражу персональных данных.

Самыми распространенными атаками являются межсайтовое выполнение сценариев и внедрение SQL-кода (рисунок 1). Последняя имеет больший интерес, так как с их помощью можно получить доступ к данным или выполнить команды на сервере.

СибАДИ62

Рисунок 1. Статистика видов атак на веб-приложения

Как известно, разработчики веб-приложений применяют разнообразные технологии, которые могут существенно отличаться используемым инструментарием. Большинство исследуемых веб-приложений, разработаны на базе PHP и ASP.NET (часть .NET Framework).

Возможности платформы .NET FRAMEWORK и MS SQL SERVER по защите данных

Разные технологии создания приложений, веб-ресурсов и автоматизированных систем предлагают свои методы защиты информации.

Так, MS SQL Server и платформа .NET Framework предлагает множество реализаций средств защиты информации для разных аспектов информационной безопасности [4], [6], [9].

Аутентификация Прежде чем произойдет подключения к серверу БД, осуществляется

проверка используемого конкретным пользователем метода аутентификации. При соединении с сервером MS SQL используются два типа

аутентификации: интегрированный режим аутентификации и аутентификация средствами СУБД (MS SQL).

Интегрированный режим, который в частности может быть использован в рамках технологии единого входа, ориентирован на создание для конкретного пользователя одной учетной записи в операционной системе. Именно на эту учетную запись и ориентируется SQL Server, анализируя соответствующие учетные данные. В данном варианте предусмотрено создание пользователя домена и на сервере должны быть добавлены пользователи операционной системы. Далее будет определятся правомочность доступа к ресурсу SQL Server. Здесь очевиден исход: подключение к SQL Server будет реализовано в

СибАДИ63

том случае, если соответствующими полномочиями пользователь обладает. В противном случае будет выдано предупредительное сообщение об отказе в обслуживании.

Аутентификация средствами СУБД (MS SQL) На MS SQL Server этот режим определяется как смешанный режим Mixed

Mode. Если применяется данный режим аутентификации, то процедура проверки правомочности доступа стандартна: сначала идет проверка логического имени пользователя, а затем (если пользователь с таким именем зарегистрирован) идет проверка подлинности пароля.

При не совпадении пары login – password SQL Server выдает сообщение о невозможности подключения к ресурсу. Для любого из режимов существуют инструкции определяющие права разных пользователей.

В языке Transact-SQL, который используется в СУБД MS SQL Serser для определения прав доступа имеются соответствующие языковые инструкции, которых всего три. К ним относятся инструкции GRANT, DENY и REVOKE.

Они позволяют предоставить или запретить доступ на операции с объектами БД (GRANT, DENY) или же удалить ранее определенное разрешение или запрет (REVOKE).

Кроме того, не исключена авторизация средствами .NET Framework. Для этого существует множество библиотек, но и собственная реализация может иметь все необходимые функции.

Распределение ролей Благодаря компоненту Database Engine существует возможность быстро

решить проблему с созданием той или иной роли (системной или пользовательской). В Transact-SQL есть необходимые языковые инструкции (Create Server Role, Alter Server Role).

Как и в случае с аутентификацией, распределение ролей может быть реализовано в приложении.

Семантические ограничения полей ввода и валидация типов данных При работе с данными важную роль играет валидация данных [6]. Прежде

чем использовать полученные от пользователя данные, нам надо убедиться, что они введены правильно и представляют корректные значения. Один из встроенных способов проверки введенных данных в WPF представлен классом ExceptionValidationRule. Этот класс обозначает введенные данные как некорректные, если в процессе ввода возникает какое-либо исключение, например, исключение преобразования типов.

Можно обрабатывать ввод с клавиатуры, а можно воспользоваться классом ExceptionValidationRule, который в случае неудачи преобразования строки в число установит красную границу вокруг текстового поля.

Шифрование или хеширование данных идентификации Для платформы .NET Framework существует множество

криптопровайдеров. Наиболее популярные из них: стандартный криптопровайдер [2] и BCrypt [3].

СибАДИ64

Стандартный криптопровайдер RNGCryptoServiceProvider Class в пространстве имен

System.Security.Cryptography. Реализует криптографический генератор случайных чисел, используя

реализацию, предоставляемую поставщиком служб шифрования (CSP). Этот класс не наследуется.

BCrypt Разработчиками BCrypt является известный специалист в области

криптографии Нильс Провос и его коллега профессор Давид Мазьер. BCrypt — адаптивная криптографическая функция формирования ключа. Данная функция используется для хранения паролей в защищенном виде. Основана она на широко известном криптографическом алгоритме Blowfish. Для защиты от атак с помощью радужных таблиц BCrypt использует соль (salt). Кроме того, время работы данной функции легко настраивается и её можно замедлить, что позволяет существенно усложнить атаку, если она реализуется с помощью перебора.

Для платформы .NET Framework она реализована в библеотеке NuGet BCrypt.Next.

Отдельно стоит отметить Entity Framework [4]. Entity Framework является продолжением технологии Microsoft ActiveX

Data и предоставляет возможность работы с базами данных через объектно-ориентированный код C#. Этот подход предоставляет ряд существенных преимуществ: разработчику не нужно беспокоиться о коде доступа к данным, не нужно знать деталей работы СУБД SQL Server и синтаксиса языка запросов T-SQL, вместо этого работа производиться с таблицами базы данных как с классами C#, с полями этих таблиц - как со свойствами классов, а синтаксис SQL-запросов, заменен на более удобный подход с LINQ. Entity Framework берет на себя обязанности по преобразованию кода C# в SQL-инструкции.

Это полнофункциональный фреймворк имеет очень обширный функционал, но в рамках представленного в данной статье продукта, важно отметить что главная философия фреймворка, а именно работа с базами данных, не прибегая к коду sql, обеспечивает необходимый уровень безопасности доступа к данным и делает такие атаки как sql-инъекции не актуальными.

Таким образом, MS SQL Server и .NET Framework имеют обширные возможности по обеспечению защиты приложений.

Пример защиты реализован в программе «Суши маркет». Приложение содержит четыре окна, каждое из которых отвечает за определенные задачи (рисунок 2).

СибАДИ65

Рисунок 2. Главное окно приложения «Суши Маркет» (вкладка отзыв)

Здесь поля для ввода принимают от пользователя информацию, которая проходит валидацию на размер введенного текста во избежание перезаполнения ячейки в базе данных.

Валидация реализована встроенными функциями wpf на языке xaml: <TextBox x:Name="CommentName" MaxLength="100" Height="23" Canvas.Left="23" TextWrapping="Wrap" Text="Имя" Canvas.Top="78" Width="120" UndoLimit="99"/>

Из главного окна получить доступ к функциям привилегированного пользователя не получиться, для этого требуется перейти к окну авторизации (кнопка менеджмент и администрирование), которое потребует от пользователя логин и пароль (рисунок 3):

Рисунок 3. Окно авторизации

Для полей «логин» и «пароль» также реализованы ограничения на длину ввода, а символы, вводимые в поле «пароль» скрыты.

Текст пароля, перед отправкой в запрос к базе данных, проходит процесс хеширования и верификации средствами библиотеки BCrypt, описанной выше:

СибАДИ66

foreach (User item in dbUtil.UserList) { if (LoginWindow1.UserLogin.Equals(item.Login) && BCrypt.Net.BCrypt.Verify(LoginWindow1.UserPassword, item.Password)) { ActiveUser = item; IsAuthorized = true; В зависимости от логина, система автоматически определяет роль

пользователя в системе и в соответствии с ролью отображает панель администратора или менеджера соответственно для каждой из ролей:

if (ActiveUser.Role == "Admin") { AdminWindow AdminWindow1 = new AdminWindow(); if (AdminWindow1.ShowDialog() == true) { Update(); } } else if (ActiveUser.Role == "Manager") { ManagerWindow ManagerWindow1 = new ManagerWindow(); if (ManagerWindow1.ShowDialog() == true) { Update(); } } Управлять учетными записями может только администратор, никакой

другой пользователь таких прав не имеет, но администратор не может удалить учетную запись администратора.

Пользователь с ролью «Менеджер» имеет право просматривать и изменять список товаров, а также просматривать историю заказов

Все поля приложения имеют встроенную валидацию, а символы полей ввода пароля скрыты.

Авторизация производиться средствами .NET. Для определения роли пользователя, таблица Users имеет атрибут Role.

Доступ к базе данных описан в классе DBUtility. В соответствии с ролью, каждому пользователю определен перечень процедур. Процедуры также хранятся в коде приложения, а не на сервере баз данных, для более безопасного их хранения.

Процедуры приложения предоставлены в таблице Таблица 1

Процедуры доступа к базе данных

Название процедуры Описание процедуры Пользователи, имеющие доступ к процедуре

UpdateComments Запрос списка коментариев Незарегистрированный пользователь

AddComment Запрос на добавление очередного комментария в БД

Незарегистрированный пользователь

UpdateUsers Запрос списка пользователей Администратор

СибАДИ67

Название процедуры Описание процедуры Пользователи, имеющие доступ к процедуре

AddUser Запрос на добавление пользователя в БД

Администратор

DeleteUser Запрос на удаление пользователя из БД


GetAdminPassword Запрос на получение Хеш-кода пароля администратора


ChangeAdminPassword Запрос на изменение пароля администратора


AddProduct Запрос на добавление очередного продукта в БД

Менеджер

UpdateProducts Запрос списка продуктов Незарегистрированный пользователь, менеджер

DeleteProduct Запрос на удаление продукта из БД

Менеджер

AddOrder Запрос на добавление очередного заказа

Незарегистрированный пользователь

UpdateOrders Запрос списка заказов Менеджер

Процедуры представляют собой запрос на языке SQL который принимает определенные параметры. Например, реализация процедуры UpdateComments() приведена ниже.

CommentList.Clear(); using (SqlCommand CmdCommentUpdate = Connection.CreateCommand()) { CmdCommentUpdate.CommandText = "SELECT Id, Name, Text FROM

Comments"; using (DbDataReader ServiceReader = CmdCommentUpdate.ExecuteReader()) { if (ServiceReader.HasRows) { while (ServiceReader.Read()) { CommentList.Add(new Comment { Id = ServiceReader.GetInt32(ServiceReader.GetOrdinal("Id")), Name = ServiceReader.GetString(ServiceReader.GetOrdinal("Name")), Text = ServiceReader.GetString(ServiceReader.GetOrdinal("Text")) }); } } } }

Так как данные из форм не направляются непосредственно в SQL запрос, а

добавляются в список из сущностей, определенных в классе, а только затем направляются в запрос в качестве параметров, никакая из видов инъекций не пройдет.

СибАДИ68

Как видно из примера, при обновлении любого типа данных, так же ведется запись в качестве экземпляров класса и уже в таком виде обрабатывается в системе (идея позаимствована у Entity Framework, описанного выше, но использование его было бы излишним, так как при его применении происходит обособление от БД, что не всегда удобно).

Заключение. Современный инструментарий для разработки Web-приложений имеет

обширные возможности по защите данных. Однако в некоторых случаях целесообразно самостоятельно (в приложении) реализовывать отдельные аспекты защиты. Это касается разработки небольших по объему ресурсов. Представленная программа написана при помощи современных средств разработки. При ее проектировании были учтены основные аспекты обеспечения безопасности приложений.


1. Статистика уязвимостей веб-приложений за 2017. [Электронный ресурс] — Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/web-application-attacks-2018/

2. Документация Майкрософт по .NET Framework. [Электронный ресурс] — Режим доступа: https://docs.microsoft.com/ru/dotnet/api/system.security. cryptography. rngcryptoserviceprovider?view=netcore-2.0

3. BCrypt. [Электронный ресурс] — Режим доступа: https://ru.wikipedia.org/wiki/Bcrypt

4. Entity Framework Code First на практике. [Электронный ресурс] — Режим доступа: https://habr.com/post/236037/

5. Казарин О.В. Безопасность программного обеспечения компьютерных систем. Монография. – М.: МГУЛ, 2003. – 212 с.

6. ProfessorWeb.Работа с Entity Framework 6. [Электронный ресурс] — Режим доступа: https://professorweb.ru/my/entity-framework/6/level1

7. Исаев П. Безопасность приложений в Microsoft .NET. [Электронный ресурс] — Режим доступа:https://compress.ru/article.aspx?id=11132

8. Краткое введение в безопасность приложений. [Электронный ресурс] — Режим доступа: https://habr.com/post/328810/

9. Microsoft.com. Модель криптографии .NET Framework. [Электронный ресурс] — Режим доступа: https://docs.microsoft.com/ru-ru/dotnet/standard/security/cryptography-model

СибАДИ69

АНАЛИЗ ВОЗМОЖНОСТЕЙ РЕАЛИЗАЦИИ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В АС НА БАЗЕ СИСТЕМЫ

ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ELMA Михальцов Владислав Евгеньевич

студент группы БИ15-И1Сибирского государственного автомобильно-дорожного университета, г.Омск


Михайлов Евгений Михайлович канд. техн. наук, доцент кафедры информационной безопасности Сибирского

государственного автомобильно-дорожного университета, г. Омск E-mail: [email protected]

АННОТАЦИЯ

Целью работы является повышение информационной безопасности аутентификации пользователей в системе электронного документооборота «ELMA». Выполнен сравнительный анализ систем электронного документооборота с аналогами в аспекте возможностей аутентификации. Разработан прототип модуля аутентификации для системы «ELMA».

Ключевые слова: аутентификация; электронный документооборот; ELMA; сравнительный анализ.

Любая система информационной безопасности не может существовать без

надежной и адекватной системы аутентификации пользователей [1]. Системы электронного документооборота не являются исключением. Из 213 угроз, зарегистрированных в банке данных угроз безопасности информации на сайте ФСТЭК России, одиннадцать угроз связанны с подсистемой аутентификации [2]. Причем последняя зарегистрированная угроза (УБИ.213, последние изменения - 19.11.2018), также относится к аутентификации.

ELMA (ELegant MAnagement)– это разработка российской компании ООО «Элма». ELMA BPM - система управления бизнес-процессами, позволяющая построить эффективное взаимодействие сотрудников компании и контролировать их деятельность [3]. Система обладает 34 дополнительными встроенными модулями, расширяющими функционал программы по автоматизации процессов и интеграции. Система управление бизнес-процессами включает в себя четыре приложения [4]: ECM+ – включает в себя одновременно функции BPM и классической

системы электронного документооборота. ECM-система позволяет управлять цифровыми документами и файлами различных форматов, а также их хранением, обработкой и доставкой внутри организации.

Проекты – отвечает за управление проектами. Система для планирования, взаимодействия и контроля выполнения в рамках проекта.

СибАДИ70

CRM+ – предназначена для автоматизации стратегии взаимодействия с клиентами, оптимизации маркетинга и улучшения обслуживания клиентов путем сохранения информации о клиентах и истории взаимоотношений с ними. С помощью ELMA-CRM стало возможным осуществлять контроль над деятельностью пользователей, что ведет к повышению качества работы компании.

KPI – управление эффективностью. Формирует карты операционных и стратегических целей организации.

Немаловажной особенностью ELMA является возможность разработки сценариев на языке .NET C# для описания более сложных бизнес-процессов. Это позволяет значительно расширить функционал системы, создать удобный интерфейс в веб приложении, а также помочь в администрировании. Кроме того, есть возможность использовать визуальный редактор сценариев (Конструктор сценариев) [5].

В таблице 1 представлены самые популярные системы электронного документооборота, по данным базы TAdviser за период наблюдений с 2005 по декабрь 2017 года [6].

Таблица 1. Топ-10 СЭД/ECM по количеству реализованных проектов,

TAdviser, декабрь 2017 г. № Название продукта Количество проектов 1 Directum 693 2 DocsVision 511 3 ELMA 510 4 Дело (ЭОС) 441 5 1С:Документооборот 8 187 6 ТЭЗИС (Haulmont) 175 7 Microsoft SharePoint 130 8 NauDoc (Naumen) 111 9 E1 Евфрат (Cognitive Technologies) 84 10 Documentum (OpenText) 75

На основе данных из таблицы 1, для сравнительного анализа систем

электронного документооборота, кроме ELMA, были выбраны продукты Directum и DocsVision.

На основе проведенного анализа, составлена сравнительная таблица аспектов информационной безопасности, реализованных в указанных системах электронного документооборота (СЭД) (таблица 2).

Таблица 2. Сравнительная таблица информационной безопасности СЭД

Аспект ИБ Directum DocsVision ELMA Поддержка различных способов аутентификации

+/- + +

Назначение прав пользователям + + +

СибАДИ71

Аспект ИБ Directum DocsVision ELMA Назначение прав группам пользователей + + + Поддержка пользовательских ролей + + + Разграничение прав доступа к объектам + +/- + Разграничение прав доступа к операциям +/- + + Выдача прав доступа на время исполнения документа

+ +/- +

Шифрование данных системы, шифрование данных при передаче

+ + +

Протоколирование действий пользователей + + + Средства мониторинга событий в системе +/- +/- + Использование ЭЦП + + + Применение сертифицированных средств криптозащиты

+ + +

Динамическая блокировка документа, не подлежащего редактированию

+ + +

Наличие программных средств контроля целостности документов

- +/- -

Организация резервного копирования базы данных

+ + +

В системе «ELMA», любой пользователь может войти в систему везде, где есть доступ в интернет. Вход с использованием логина-пароля настроен по умолчанию для всех пользователей [7]. Кроме этого, существует еще несколько основных способов аутентификации:

• Доверенные устройства; • Сертификат; • Токен авторизации; • Технология SSO. Как уже было сказано ранее, благодаря тесной интеграции ELMA с

платформой .NET, существует возможность написания сценариев, используя язык программирования C#.

Звонки, задачи, сделки, пользователи и т.д. – это объекты системы. Объект – это сущность, обладающая набором параметров и свойств, определяющих ее поведение [8].

В системе выделяют системные, пользовательские объекты и перечисления. Пользовательские объекты и перечисления могут создаваться администратором системы в дизайнере ELMA. Системные объекты и перечисления принадлежат разработчику системы и не могут быть удалены [8].

Сущность (тип сущности) – класс, экземпляры которого могут храниться в базе данных. Каждый тип сущности обладает параметрами, например, имя или имя класса, отображаемое имя на форме, описание, имя таблицы базы данных в которой хранится объект и другие. Дополнительно может существовать фильтр, по которому производится поиск экземпляров сущностей (класс

СибАДИ72

EntityFilterMetadata) и список действий над сущностью (класс EntityActionsMetadata) [8].

Для реализации аутентификации пользователей через сценарий необходимо воспользоваться менеджером сущностей, который работает с данными о пользователях в базе данных ELMA. С помощью EntityManager доступны стандартные операции Создание/Обновление/Удаление/Выборка и так далее. Но есть некоторые детали, не зная которых можно что-то сломать или потерять много времени. Поэтому пользоваться данным инструментом нужно с крайней осторожностью и перед запуском скрипта рекомендуется сделать резервную копию базы данных.

Два интерфейса реализуют универсальный менеджер [9]: • IEntityManager – базовый интерфейс менеджера сущностей; • IEntityManager<T> – шаблонный интерфейс менеджера сущностей, где

вместо «Т» нужно подставить тип сущности. EntityManager содержит следующие функции, рассмотрим самые

интересные из них [10]: • Object Create() - создание новой сущности; • Bool IsNew(object obj) – проверка, является ли сущность новой, не

сохраненной в базе данных; • Bool IsDirty(object obj) – перегруженная функция проверки, есть ли не

сохраненные изменения в сущности. Есть возможность передать оригинальное состояние сущности;

• Object Load(object id) – загружает сущность по идентификатору; • Void Save (object obj) – сохраняет сущность в базу данных; • Void Delete (object obj или string query) – перегруженная функция

удаления сущности в базе данных. Может осуществляться через экземпляр либо через SQL - запрос передаваемый строкой;

• Object LoadOrCreate(object id) – загрузить по идентификатору. Если не найдена – возвращается новая сущность;

• System.Collections.IEnumerable FindAll() – найти все сущности. Не рекомендуется использовать в больших базах данных.

Основная идея реализации через сценарий заключатся в создании бизнес-процесса, в котором перед пользователем ставится задача - выбрать необходимое действие, заполнить форму и дождаться от системы отчета о результате выполнения.

Предполагается, что администратор передает в сценарий список ФИО пользователей и адреса электронной почты. Для этого нужно создать свойство типа «текст» в контексте процесса.

После заполнения формы, передается управление в тело сценария, в котором, используя EntityManager, создается массив пользователей, имеющих тип Security.Models.User. В результате работы парсера получаем данные для заполнения полей ФИО и адреса электронной почты. Логин и пароль будет генерироваться автоматически.

СибАДИ73

В результате работы модуля были созданы 2 пользователя. Используя эти учетные записи, в систему можно войти с пустым паролем (рисунок 1).

Рисунок 1. Таблица Users после выполнения сценария

Однако во время разработки возникли некоторые сложности. При сохранении сгенерированного пароля, было обнаружено, что парольные данные в таблице Users не сохраняются, так как поле «password» отсутствует. По данной проблеме, от разработчиков системы «ELMA» была получена рекомендация не использовать поле «Password» в классе Security.Models.User. Описанную проблему предполагается решить в рамках следующей работы.

Заключение В работе представлены общие характеристики системы ELMA и ее

возможностей. Выполнен сравнительный анализ информационной безопасности среди

программ предоставляющих услуги электронного документооборота и управления бизнес-процессами. В результате исследования выяснилось, что все выбранные системы в целом соответствуют ключевым требованиям информационной безопасности. Однако оценки показали, что в «ELMA» аспект безопасности проработан несколько глубже, чем у «DocsVision» и «Directum».

Разработан прототип модуля аутентификации и идентификации пользователей для системы «ELMA». Планируется дальнейшая разработка представленного модуля и его внедрение в работающую организацию.


1. Орлов С. ЭЦП и аутентификация: сделано в России/ Журнал сетевых решений/LAN, 2014, № 9. [Электронный ресурс] – Режим доступа: https://www.osp.ru/lan/2014/09/13042709

2. Банк данных угроз безопасности информации / ФСТЭК России, ФАУ «ГНИИИ ПТЗИ ФСТЭК России». [Электронный ресурс] – Режим доступа: https://bdu.fstec.ru/threat.

3. ELMA Система управления бизнес-процессами и электронного документооборота [Электронный ресурс] – Режим доступа: http://www.tadviser.ru/index.php/Продукт:ELMA_BPM_Suite

4. Продуктовая линейка решений на платформе ELMA [Электронный ресурс] – Режим доступа: https://www.elma-bpm.ru/product/

5. ELMA 3.6 – уверенный шаг вперед [Электронный ресурс] – Режим доступа: https://www.elma-bpm.ru/journal/index.php?ELEMENT_ID=2880

6. СЭД [Электронный ресурс] – Режим доступа: http://www.tadviser.ru/index.php/СЭД

СибАДИ74

7. Внутренний портал ELMA. Руководство пользователя. [Электронный ресурс] – Режим доступа: https://www.elma-bpm.ru/kb/help/elma_portal_quick_start.pdf

8. Модель данных [Электронный ресурс] – Режим доступа: https://www.elma-bpm.ru/KB/article-5574.html

9. Менеджер сущностей [Электронный ресурс] – Режим доступа: http://yambr.ru/entitymanager/

10. Интерфейс менеджера сущностей [Электронный ресурс] – Режим доступа: https://pastebin.com/dyfsi8Ys СибАДИ

75

ОБ ОЦЕНКЕ РЕСУРСНОГО СОСТОЯНИЯ ЧЕЛОВЕКА НА ОСНОВЕ АНАЛИЗА ЭЛЕКТРИЧЕСКОЙ АКТИВНОСТИ МОЗГА2

Нигрей Алексей Андреевич

аспирант Омского государственного университета путей сообщения, г. Омск E-mail: [email protected]

Хайдин Борис Игоревич студент Омского государственного технического университета, г. Омск

E-mail: [email protected] Сулавко Алексей Евгеньевич

канд. техн. наук, доцент Омского государственного технического университета, г. Омск

E-mail: [email protected] Пономарев Дмитрий Борисович

канд. техн. наук, старший преподаватель Омского государственного технического университета, г. Омск


АННОТАЦИЯ

Цель данного исследования – выявить биометрические параметры (признаки), опираясь на которые можно распознать (с некоторой долей ошибок) функциональное состояние мозга. В рамках существующего исследования проведен эксперимент, в котором анализировались электроэнцефалограммы (ЭЭГ) учащихся старших классов в процессе выполнения интеллектуальных задач. Для проведения эксперимента изготовлен одноканальный электроэнцефалограф (нейрогарнитура). Предложен признак для определения функционального состояния мозга субъекта. Актуальность работы связана с задачами, поставленными в рамках национальной технологической инициативы (НТИ) для формирования конкурентоспособных решений в сфере человеко-машинных коммуникаций и защиты информации.

Ключевые слова: электроэнцефалограмма, нейрогарнитура, медитация, концентрация, интерфейс мозг-компьютер, анализ ритмов ЭЭГ, функциональное состояние мозга.

Введение Электроэнцефалограф — медицинский электроизмерительный прибор,

используемый в клинической практике для электроэнцефалографии, с помощью которого измеряют и регистрируют разность потенциалов между точками на поверхности головы субъекта. Запись показаний называют электроэнцефалограммой (ЭЭГ). Нейрогарнитуры являются упрощенной 2 Работа выполнена при финансовой поддержке РФФИ и Правительством Омской области (грант 18-41-550002), экспериментальная часть исследования проведена на базе НОУ «Политехническая академия ОмГТУ»

СибАДИ76

версией электроэнцефалографа и отличаются главным образом элементной базой и малым количеством каналов для снятия показаний. Эти устройства используются в основном для проведения исследований электрической активности мозга человека в процессе решения различного рода задач. Также на базе нейрогарнитур создаются интерфейсы «мозг-компьютер» для человеко-машинных коммуникаций.

Используемые для анализа электрические колебания, регистрируемые в электроэнцефалограмме (ЭЭГ), отличаются по частоте, продолжительности, амплитуде и форме. Сигнал ЭЭГ обычно описывается понятием ритмической активности, которую принято классифицировать по частотам [1], разделяя на альфа (8-13 Гц), бета (14-40 Гц), гамма (30-100 Гц), тета (4-8 Гц) и дельта (1-4 Гц) ритмы (волны, диапазоны).

Экспериментальное исследование зависимости биоэлектрической активности мозга и его функционального состояния ведет начало от работ Ханса Бергера – создателя электроэнцефалографического метода исследования мозга, первооткрывателя альфа-ритма. Функциональное состояние мозга человека отражает специфику сложившихся в определенный момент времени механизмов регуляции его деятельности и определяет эффективность решения трудовых (интеллектуальных) задач. Данное определение используется в структурно-интегративном подходе в психологии [2]. В данном исследование рассматриваются 2 функциональных состояния мозга [2]:

1. Монотония – состояние сниженного сознательного контроля за исполнением деятельности, возникающее в ситуациях однообразной работы с частым повторением стереотипных действий.

2. Напряженность – состояние повышенной мобилизации психологических и энергетических ресурсов, развивающееся в ответ на повышение сложности или субъективной значимости деятельности.

На оценках этих состояний, сделанных за длительный период наблюдения ЭЭГ, может быть построен метод распознавания ресурсного состояния.

Одноканальный электроэнцефалограф (нейрогарнитура). Для исследований разработан одноканальный электроэнцефалограф в виде

гарнитуры с беспроводной передачей данных. Основой устройства является чип TGAM от компании NeuroSky, представляющий собой нейроинтерфейс с одним сухим электродом (рисунок 1а). Чип TGAM имеет 3 порта. Порт 1 используется для подключения электродов и имеет 5 контактов. Контакт EEG-1 подключен непосредственно к сухому электроду, который регистрирует сигнал ЭЭГ. Диапазон измерения напряжения составляет ± 10 мВ с частотой 512 Гц. В данном исследовании электрод расположен на лбу (положение FP1 см. рисунок 1б). GND-3 – контакт общего провода, REF-5 – контакт для референтного (опорного) электрода, который расположен на мочке уха. Контакты 2 и 4 необходимы для подключения оболочки проводов EEG и REF для снижения электромагнитных помех при измерении.

Порт 2 представляет собой последовательный интерфейс для приема и передачи данных (UART). К порту 2 был подключен модуль Bluetooth для

СибАДИ77

обмена информацией по специализированному протоколу с ПК. Порт 3 используется для электропитания.

По функциональной схеме создан прототип нейроинтерфейса (рисунок 1в). Специализированная микросхема TGAM помимо измерения напряжения в контрольной точке Fp1 производит спектральный анализ сигнала. Также TGAM способна определять дополнительные характеристики сигнала ЭЭГ, называемые уровнями концентрации и медитации. Уровень медитации определяется, исходя из отношения альфа, бета и гамма ритмов. Уровень медитации возрастает, когда повышаются показатели альфа и гамма ритмов при снижении показателей бета-ритма (характерных для сосредоточенного мышления). Высокий уровень медитации свидетельствует о возможном переходе в состояние монотонии [3]. Увеличение концентрации характерно для человека, осуществляющего решение задачи, требующей активного использования кратковременной памяти. При снижении уровня концентрации во время решения сложных задач человек становится рассеянным, и эффективность его деятельности падает. Уровень концентрации возрастает при повышении показателей бета-ритма. Высокий уровень концентрации говорит о функциональном состоянии напряженности [4]. Вычисления уровней концентрации, медитации, а также дельта и тета ритмов выполняются в реальном времени 1 раз в секунду (с частотой 1Гц).

Рисунок 1. Структурная схема подключения модуля TGAM NeuroSky

(а), положение активной точки Fp1 (б) и прототип нейрогарнитуры (в)

СибАДИ78

Определение ФС мозга по ЭЭГ. Проведен эксперимент, состоящий из трех этапов: 1. Испытуемые читали 2 текста – научного и художественного стилей. 2. Испытуемые решали логические задачи. 3. Испытуемые проходили тест Струпа. Данный тест применяется для

ввода испытуемых в функциональное состояние напряженности. Общее количество испытуемых составило 20 человек. В ходе

эксперимента с испытуемых снимались показания ЭЭГ при помощи нейрогарнитуры, далее вычислялись показатели концентрации и медитации. Выявлено, что при прочтении текста научного стиля, решении логических задач и прохождении теста Струпа уровень концентрации в среднем превышает уровень медитации (рисунок 2), что указывает на состояние напряженности испытуемого. В тоже время, при прочтении текста художественного стиля уровень медитации в среднем заметно превышает уровень концентрации, что говорит о наличии состояния монотонии (рисунок 2).

Рисунок 2. Уровни концентрации и медитации испытуемого при

прочтении текста научного (слева) и художественного (справа) стилей

Рисунок 3. Уровни концентрации и медитации испытуемого при

решении логической задачи (слева) и прохождении теста Струпа (справа) В качестве признаков для определения функционального состояния мозга

предлагается использовать отношение уровня медитации к уровню концентрации. Данный признак принимает значения больше единицы, если субъект прибывает в состоянии монотонии. При значении признака менее единицы субъект находится в функциональном состоянии напряжённости. Из рисунка 4 видно, что при переходе значения признака через единицы происходит изменения функционального состояния испытуемого.

СибАДИ79

Рисунок 4. Эмпирические функции плотности вероятности значений

признака для испытуемого в состоянии монотонии и напряженности Вероятность ошибки определения двух состояний субъекта по одному

признаку равна площади пересечения эмпирических функций плотности вероятности (рисунок 4). Средняя вероятность ошибок для всех испытуемых составила менее 0,1 (<10%).

Заключение В рамках данного исследования был создан прототип нейрогарнитуры, с

помощью которой собраны данные активности мозга учащихся в процессе выполнения тестовых задач на компьютере. Полученные в ходе эксперимента данные помогли приблизиться к решению задачи распознавания функционального состояния мозга. Предложен новый признак для определения функционального состояния – отношение уровня медитации к уровню концентрации.

Предложенный подход в определении функционального состояния мозга субъекта даёт ряд преимуществ. Прежде всего, одноканальная нейрогарнитура на базе сухого электрода является простым и мобильным устройством, которое возможно использовать в реальных практических задачах. В частности, она может быть интегрирована в системы дистанционного обучения как компонент, позволяющий получать данные о влиянии образовательного контента на студентов (школьников). Накопление статистических данных об изменении функционального состояния мозга субъектов в процессе дистанционного обучения позволит лучше оценить качество материала, оценить и спрогнозировать успеваемость учащихся.

СибАДИ80


1. Звёздочкина Н.В. Исследование электрической активности головного мозга / Н.В.Звёздочкина. – Казань: Казан. ун-т, 2014.

2. Леонова А.Б., Кузнецова А.С. Функциональные состояния и работоспособность человека в профессиональной деятельности / Психология труда, инженерная психология эргономика / Под ред Е.А. Климова и др., М: Юрайт, 2015. - глава 13.

3. An K. O., Kim J. B., Song W. K., Lee I. H. Development of an emergency call system using a brain computer interface (BCI). In Biomedical Robotics and Biomechatronics (BioRob) / 3rd IEEE RAS and EMBS International Conference, 2010. - 918-923с.

4. Anderson, J. R. Cognitive psychology and its implications / New York: Worth Publishers. 1990.

СибАДИ81

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ МЕДИЦИНСКОГО

УЧРЕЖДЕНИЯ Погарский Павел Юрьевич

студент группы БИб15-И1 Сибирского государственного автомобильно-дорожного университета, г.Омск

E-mail: [email protected] Анацкая Алла Георгиевна

канд. пед. наук, доцент кафедры «Информационная безопасность», Сибирского государственного автомобильно-дорожного университета, г.Омск


АННОТАЦИЯ

В данной статье рассматриваются законодательные требования к обеспечению информационной безопасности в медицинских информационных системах. Целью является категорирование объектов критической информационной инфраструктуры на примере медицинского учреждения на примере БУЗОО N. Определение критических процессов субъекта КИИ позволит организовать более надежную защиту информации.

Ключевые слова: медицинские информационные системы, объекты критической информационной инфраструктуры, защита информации.

В настоящее время приоритетной задачей для систем здравоохранения

является автоматизация деятельности и предоставляемых услуг, создание единой базы данных. Внедрение информационных технологий позволит как пациентам, так и медицинскому персоналу различных категорий быть мобильными и предоставлять более качественные услуги.

Однако, процессы сбора, обработки и хранения информации могут быть подвержены рискам информационной безопасности. В медицинских учреждениях обрабатываются значительные объемы конфиденциальной информации, содержащей персональные данные, врачебную тайну и другие сведения, что, позволяет отнести медицинские информационные системы (МИС) к объектам критической информационной инфраструктуры (КИИ). Организация надежного уровня защиты данных, обрабатываемых в МИС должна удовлетворять требованиям действующего законодательства.

Безопасности объектов КИИ в настоящее время уделяется особое внимание. Так, с 1 января 2018г. вступил в силу ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации», где под объектами критической информационной инфраструктуры понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и другие объекты, функционирование которых критически важно для экономики государства [1].

СибАДИ82

Данный закон не только создает основу правового регулирования, но и определяет принципы обеспечения безопасности КИИ.

Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак [1].

Отнесение объектов информационной инфраструктуры к той или иной категории критичности осуществляется на основе критериев значимости: социальной, политической, экономической, экологической, значимость для обеспечения обороны страны, безопасности государства и правопорядка.

К КИИ могут быть отнесены информационные объекты, функционирующие в сферах [2]:

здравоохранение; наука; транспорт; связь; энергетика; банковский (финансовый) сектор; топливно-энергетический комплекс; атомная энергетика; оборонная промышленность; ракетно-космическая промышленность; горнодобывающая промышленность; металлургическая промышленность; химическая промышленность.

Кроме этого КИИ являются системы, принадлежащие российским юридическим лицам или индивидуальным предпринимателям, обеспечивающие взаимодействие информационных систем или сетей в вышеуказанных сферах деятельности.

На практике ни государственные, ни частные медицинские учреждения не обходятся в своей деятельности без использования информационных систем для обработки персональных данных пациентов и медперсонала. Активная информатизация учреждений здравоохранения имеет своей целью объединение разнородных МИС в единое информационное пространство, в т.ч., внедрение технологий электронной регистратуры и единых электронных медицинских карт пациентов.

Для определения критических процессов субъекта КИИ выполняется их категорирование, и определяются критерии последствий. В таблице 1 представлены критические процессы характерные для медицинского учреждения (на примере БУЗОО N), связанные как с основной деятельностью, так и с обеспечивающими подсистемами.

СибАДИ83

Таблица 1.

Критические процессы медицинского учреждения

№ Наименование процесса Описание процесса

1 Процесс амбулаторной медицинской консультации и лечебной помощи

Прикрепление пациента к медицинской организации на обслуживание.

Заключение договоров на оказание медицинской помощи за счет средств пациента или иных юридических/физических лиц.

Прием и учет вызовов на оказание медицинской помощи на дому.

Диспансерное наблюдение пациента. Проведение профосмотров/ медосмотров/

диспансеризации. Вакцинопрофилактика.

1.1 Процесс записи пациента к врачу

Обслуживание пациента в регистратуре. Запись на приём к врачу через интернет сайт. Запись на приём к врачу через терминал.

1.2 Процесс приема врача-специалиста в поликлинике

Ведение амбулаторной карты пациента. Осмотр пациента. Направление на госпитализацию в стационар

(плановую и экстренную). Назначение лечения. Направление пациента на процедуры. Направление пациента на консультацию к узким

специалистам. Направление пациента на лабораторное/

диагностическое исследование. Контроль лечения путём повторного приёма. Выписка рецепта, в том числе льготного.

2 Процесс приема пациентов поступивших по скорой медицинской помощи

Регистрация пациента. Приём пациента дежурным врачом. Направление пациента на обследование. Направление пациента на госпитализацию. Направление пациента на амбулаторное лечение. Назначение лекарственных препаратов.

3 Процесс оказания медицинской помощи в условиях дневного стационара

Оформление госпитализации (отказа от госпитализации) пациента в дневной стационар.

Пребывание пациента в дневном стационаре. Направление пациента на диагностические

исследования. Направление пациента на консультации.

СибАДИ84


Направление пациента на процедуры. Назначение пациенту медикаментозного лечения. Исполнение лечебных назначений. Оформление выбытия пациента из дневного

стационара. 4 Процесс оказания

медицинской помощи в условиях круглосуточного стационара

Ведение плана госпитализации. Оперативное взаимодействие со Службой скорой

и неотложной медицинской помощи. Оформление госпитализации (отказа от

госпитализации) пациента. Маршрутизация пациента в пределах

медицинского учреждения. Пребывание пациента в лечебном отделении. Пребывание пациента в отделении реанимации и

интенсивной терапии. Направление пациента на диагностические

исследования. Направление пациента на консультации. Оформление выбытия пациента из стационара.

4.1 Процесс консервативного лечения

Проведение лечебных процедур Назначение пациенту медикаментозного лечения.

4.2 Оперативное лечение

Процесс подготовки к операции Хирургическая деятельность (проведение

операции). 5 Процесс оказания

скорой медицинской помощи

Регистрация вызова. Осмотр фельдшером скорой помощи по месту

вызова. Выполнение диагностических и лечебных

процедур (неотложная помощь). Госпитализация (при необходимости).

6 Процесс акушерства и гинекологии

Подготовка к родоразрешению. Родоразрешение. Послеродовой уход

7 Процесс реанимации и анестезиологии

Проведения комплекса лечебных мероприятий, направленный на оживление, т.е. восстановление жизненно важных функций у пациентов, находящихся в состоянии клинической смерти.

Интенсивная терапия 8 Процесс

параклинической Диспетчеризация диагностических направлений. Лабораторная диагностика.

СибАДИ85


деятельности (диагностика)

Проведение консультаций. Радиологическая диагностика. Функциональная диагностика. Восстановительное лечение. Патолого-анатомическая деятельность. Трансфузиология.

9 Процесс медицинского газоснабжения

Применение медицинских газов (кислород, закись азота, воздух, азот и т.д.), вакуумной системы и системы доставки (разводки) медицинских газов в процессе лечения

10 Процесс фармацевтической деятельности

Аптечная деятельность, заказ лекарственных препаратов, продажа лекарственных препаратов

11 Процесс организации общественного питания

Закупка продуктов для организации общественного питания, хранение продуктов, приготовление пищи, обслуживание пациентов стационара в столовой

12 Процесс ведения бухгалтерского учёта

Сбор первичных данных, составление и отправка отчётности и иных сведений, мин здрав, ИФНС, ПФР, ФСС, Статистика. Начисление заработной платы. Работа с поставщиками. Работа с физическими лицами – платные услуги.

13 Процесс обслуживания IT инфраструктуры

Поддержание в работоспособном состоянии сетевой инфраструктуры учреждения, настройка сетевых устройств, поддержание безопасности локально-вычислительной сети. Инсталляция и настройка программных продуктов, обновление конфигураций программного обеспечения. Приобретение нового оборудования, комплектующих, расходных материалов, программного обеспечения. Проведение ремонта и модернизации компьютерного парка и сопутствующего оборудования. Работа с провайдерами услуг хостинга, телефонии, интернета. Антивирусная защита рабочих станций, серверов и сети. Предотвращение внешних угроз и потери информации. Проведение резервного копирования информации по графику.

14 Процесс обеспечения охраны учреждения

Осуществление физической охраны: осуществление контрольно-пропускного режима граждан, осуществление контрольно-пропускного режима транспорта

Осуществление пультовой охраны: постановка под

СибАДИ86


охрану кабинетов, выезд группы быстрого реагирования по тревожному сигналу

15 Процесс обеспечения пожарной безопасности

Здание оснащено автоматическими датчиками дымоуловителей и автоматической системой оповещения людей о пожаре

16 Процесс осуществления деятельности контрактной службы

Планирование закупок. Обоснование закупок. Обоснование начальной максимальной цены

контракта. Общественные обсуждения закупок. Привлечение экспертов, экспертных организаций. Подготовка, размещение в единой

информационной системе в сфере закупок извещения об осуществления закупки, документации о закупках, проектов контрактов и другой документации.

Рассмотрение банковских гарантий и организация осуществления уплаты денежных сумм по банковской гарантии.

Организация заключения контрактов. Организация приёмки поставленного товара,

выполненной работы, оказанной услуги. Критичностью данных процессов могут быть социальные или

экономические последствия. Перечень объектов медицинского учреждения БУЗОО N можно

классифицировать на 3 группы [3]: 1. Информационные системы:

«Электронная очередь»; «СОЦ-Лаборатория»; «Льготные рецепты»; «М-Аптека»; «03»; «Экспресс-здоровье».

2. Автоматизированные системы управления: Автоматизированная система оперативного управления

диспетчерской службой скорой медицинской помощи; АСУ пожаротушением; АСУ рентген аппаратами; АСУ томографом; АСУ лучевой терапия.

СибАДИ87

3. Информационно-телекоммуникационные сети: корпоративная сеть медицинского учреждения.

В ходе реализации мероприятий по обеспечению безопасности значимых объектов должны приниматься организационные меры и внедряться средства защиты информации на таких объектах, направленные на блокирование угроз безопасности информации. В состав мер по защите информации для объектов КИИ входят следующие мероприятия:

аудит безопасности; реагирование на инциденты ИБ; управление конфигурацией; управление обновлениями ПО; планирование мероприятий по обеспечению безопасности; обеспечение действий в нештатных (непредвиденных) ситуациях; информирование и обучение персонала.

Кроме этого необходимо учитывать следующие ограничения [4]: не допускается наличие прямого удаленного доступа к значимому

объекту; не допускается передача информации, в т.ч. технологической,

разработчику/производителю значимого объекта без ведома субъекта КИИ.

При отсутствии возможности реализации отдельных мер защиты информации, в первую очередь рассматриваются меры по обеспечению промышленной и физической безопасности объекта.

Защита конфиденциальной информации должна быть одним из главных приоритетов медицинских учреждений, при автоматизации деятельности. Создание комплексной системы защиты информации значимых объектов КИИ на основе законодательных требований, позволит минимизировать риски информационной безопасности, обеспечит бесперебойное функционирование процесса предоставления медицинских услуг. Список литературы:

1. Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

2. Критическая информационная инфраструктура на пороге 2019 года. [Электронный ресурс] – Режим доступа: https://rtmtech.ru/articles/kriticheskaya-informatsionnaya-infrastruktura-2019/

3. Брюсов С. КИИ. Категорирование объектов, часть 3. [Электронный ресурс] – Режим доступа: https://www.securitylab.ru/blog/personal/sborisov/ 344274.php

4. Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ. [Электронный ресурс] – Режим доступа: https://rvision.pro/blog-posts/kategorirovanie-obektov-kii-trebovaniya-k-sistemam-bezopasnosti-obespecheniyu-bezopasnosti-znachimyh-obektov-kii/

СибАДИ88

СИНТЕЗ СЛУЧАЙНОГО ПРОЦЕССА ПО КОРРЕЛЯЦИОННОЙ ФУНКЦИИ: СОЗДАНИЕ БАЗЫ ПРОЦЕССОВ

Родина Екатерина Витальевна студент группы 25С Омского государственного университета путей


Епифанцева Маргарита Ярополковна кандидат технических наук, доцент кафедры информационной безопасности

Омского государственного университета путей сообщения, г. Омск

АННОТАЦИЯ

В статье описана программа, созданная для моделирования случайных процессов по заданным параметрам функции корреляции и виду случайной величины. В качестве случайных процессов рассмотрено моделирование восьми различных форм корреляционных случайных процессов. Параметры моделирования – функция, нулевые значения процесса, тип коэффициента корреляции, частота сигнала, полоса интегрирования, значение дисперсии. Варьируя параметры можно делать различные прогнозы, создавая базу случайных процессов.

Ключевые слова: моделирование базы случайных процессов, корреляционная функция, коэффициент корреляции, случайный корреляционный процесс, параметры случайного процесса, тип коэффициента корреляции, частота сигнала, полоса интегрирования, значение дисперсии, программирование на языке Python 3.6. Введение

Случайные величины – неотъемлемая часть любой области знаний. В частности, при проведении аналитической деятельности нередко встречаются случайные зависимости, которые в системе могут дать хорошую базу для прогнозирования. Удобным математическим аппаратом для таких случаев является построение случайных процессов и их анализ.

С помощью случайных процессов ученые делают аналитические прогнозы, инженеры сети передачи данных проектируют устойчивые к помехам системы, специалисты в области информационной безопасности решают задачи обработки и защиты информации. Широкое использование случайных величин на практике позволяет говорить об актуальности темы исследования. Программа «Графопостроитель КП на Python»

Определимся с некоторыми важными для исследования понятиями и обозначениями.

СибАДИ89

Случайный процесс ξn (τ) – процесс изменения во времени состояния или характеристик некоторой системы под влиянием различных случайных факторов.

Корреляционная функция (КФ) R(τ) – функция времени и пространственных координат, которая задает корреляцию в системах со случайными процессами.

Корреляционный процесс (КП) – случайный процесс, моделируемый по функции корреляции заданного типа. Под синтезом случайной величины будем понимать построение функции по заданному алгоритму, известному заранее.

В ходе исследования, написана программа для синтеза случайного процесса по корреляционной функции. Рассмотрим 8 различных корреляционных функций [1, с. 431], которые будем реализовывать на языке программирования python 3.6 для получения базы случайных процессов.

1) Корреляционная функция вида:

(1)

имеет моделирующий алгоритм: (2)

параметрами для которого являются: .

2) Корреляционная функция вида: (3)


параметрами для которого являются: ;

.




.

СибАДИ90




.


(9)


параметрами для которого являются:

;

;

.


(11)

имеет моделирующий алгоритм:

(12)


;

;

.

СибАДИ91



(14)


, ia - значения случайной величины, распределённой по нормальному закону с нулевым математическим ожиданием и дисперсией 2

ia

8) Корреляционная функция Бесселя вида: (15)


(16)


, m , m – независимые случайные величины, равномерно распределенные на отрезке [0; 1].

Таким образом, имея алгоритмы получения восьми корреляционных случайных процессов [2, с. 18; 3, c.34] и зная параметры моделирующих алгоритмов [3, c. 23], создана программа для моделирования процесса по конкретной корреляционной функции с использованием языка программирования Python 3.6 [4]. Блок-схема, демонстрирующая логику обработки запроса представлена на рисунке 1. Интерфейс программы – на рисунке 2.

СибАДИ92

Рисунок 1. Блок-схема функции def click_button()

То есть функция, отвечающая за обработку нажатия на кнопку button, обращается к следующим процедурам построения корреляционного процесса: def process1 (N,a), def process2 (N,a), def process3 (N,a), def process4 (N,a,w), def process5 (N,a,w), def process6 (N,a,w), def process7 (N,a,D), def process8 (N,a,M).

СибАДИ93

Рисунок 2. Интерфейс программы «Графопостроитель КП на Python»

Проследим как изменяется параметр корреляции (коэффициент корреляции) при построении различных случайных процессов. Последовательно промоделируем рассмотренные корреляционные процессы, изменяя значение коэффициента корреляции.

На рисунке 3 представлены результаты моделирования случайного процесса вида 1 при варьировании коэффициента корреляции. По оси абсцисс – время (число отсчетов), по оси ординат – моделирующий алгоритм (случайный процесс).

а) б) в)

Рисунок 3. Результат построения случайного процесса вида 1 со значениями параметров: а) N (число отсчетов) = 100, a (коэффициент

корреляции) = 0.15, б) N=100, a=0.5, в) N=100, a=0.98

Заметим, что с увеличением значения коэффициента корреляции сила связи случайных величин возрастает и имеющийся вид графика это демонстрирует. Влияние данных значений параметров применим и к функциям вида 2, 3. Выводы делаем аналогичные: сила связи возрастает с ростом коэффициента корреляции.

Новый параметр ввода требуется для корреляционных процессов, моделируемых по корреляционным функциям вида 4 – 6. Примем значение частоты w=0.09 для всех последующих примеров. На рисунке 4 представлены

СибАДИ94

результаты моделирования случайного процесса вида 4 при варьировании коэффициента корреляции.

а) б) в)

Рисунок 4. Результат построения случайного процесса вида 4 со значениями параметров: а) N=100, a= 0.15, w (значение частоты) = 0.09, б)

N=100, a=0.5, w=0.09, в) N=100, a=0.98, w=0.09

По результатам построения случайных процессов наблюдается аналогичная зависимость: чем больше значение коэффициента корреляции, тем сильнее сила связи, а значит и частота амплитудных скачков выше.

Наиболее интересные случаи – построение случайных процессов, моделируемых по корреляционным функциям вида 7 и 8.

Сначала исследуем случайный процесс вида 7 при варьировании коэффициента корреляции (рисунок 5).

а) б) в)

Рисунок 5. Результат построения случайного процесса вида 7 со значениями параметров: а) N=100, a=0.15, D (значение дискриминанта) = 1,

б) N=100, a=0.5, D=1, в) N=100, a=0.98, D=1

Результаты анализа таковы, что чем больше значение коэффициента корреляции, тем связь выше.

Теперь построим случайный процесс вида 8 при варьировании коэффициента корреляции (рисунок 6).

Результаты исследования следующие: чем больше значение коэффициента корреляции, тем связь сильнее и частота амплитудных скачков графика выше. Анализируя приведенные выше результаты построения

СибАДИ95

случайных процессов, делаем вывод о том, что характерный вид графика меняется под влиянием коэффициента корреляции.

а) б) в)

Рисунок 6. Результат построения случайного процесса вида 8 со значениями параметров: а) N=100, a=0.15, М (граница интегрирования) =

20, б) N=100, a=0.5, M=20, в) N=100, a=0.98, M=20

Коэффициент корреляции оказывает влияние на вид графика случайного процесса. Следовательно, синтез случайного процесса по корреляционной функции позволяет исследователю пользоваться обширной базой, например, при создании анализаторов сигнала [3, c.105].

Заключение. Используя синтез случайного процесса по корреляционной функции,

можно создавать прогнозы, устранять помехи в каналах или кодировать, декодировать информацию. К примеру, исследователь, анализируя результаты, полученные в ходе опыта, может подобрать такой вид случайного процесса, который будет наиболее точно описывать ситуацию. И с помощью чего делать прогнозы на будущее.


1. Гмурман В. Е. Теория вероятностей и математическая статистика / В. Е. Гмурман М.: Юрайт, 2014. 479с.

2. Тихонов, В. И. Выбросы случайных процессов / В. И. Тихонов М.: Наука, 1970. 392 с.

3. Вешкурцев Ю.М. Прикладной анализ характеристической функции случайных процессов / Ю.М. Вишкурцев М.: Радио и связь, 2003. -204с.

4. Самоучитель Python [Электронный ресурс] – Режим доступа: https://pythonworld.ru.

СибАДИ96

КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ СТРАХОВОЙ КОМПАНИИ

Рой Дмитрий Александрович студент группы БИб15-И1 Сибирского государственного автомобильно-

дорожного университета, г.Омск E-mail: [email protected]

Анацкая Алла Георгиевна канд. пед. наук, доцент кафедры «Информационная безопасность»,

Сибирского государственного автомобильно-дорожного университета, г.Омск E-mail: [email protected]

АННОТАЦИЯ

В данной статье рассматриваются подходы к созданию комплексной системы защиты информации в ИСПДн страховой компании. Проведено категорирование ИСПДн по требованиям информационной безопасности, выявлены актуальные угрозы. Сформулированы рекомендации по повышению информационной безопасности рассматриваемой ИСПДн.

Ключевые слова: комплексная система защиты информации (КСЗИ), информационная система обработки персональных данных (ИСПДн), страховая компания, информационная безопасность.

Информационные системы (ИС) широко применяются в деятельности

таких организаций как страховые компании. К обрабатываемой в таких ИС информации относятся подробные сведения о субъекте персональных данных и имуществе граждан, о состоянии их здоровья и, кроме этого, условия страховых договоров. Подобная информация представляет большой интерес для злоумышленников и становится основной целью организаторов кибератак, а также объектом атак вредоносных программ, для получения денежной прибыли и дальнейшего использования в корыстных целях.

В связи с этим создание эффективной комплексной системы защиты информации в информационных системах страховых компаний является актуальной задачей.

Комплексная система защиты информации (КСЗИ) представляет собой совокупность организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа [1]. К мерам КСЗИ относятся:

организационно-правовые; программно-аппаратные; инженерно-технические.

СибАДИ97

Алгоритм построения КСЗИ предусматривает следующие действия: 1. Аудит – анализ текущего состояния информационной безопасности. 2. Разработка технического задания – анализ уязвимостей

информационной системы, определение требований к системе защиты, разработка информационной модели КСЗИ.

3. Определение технического решения – определение детального перечня оборудования, программного обеспечения и содержания работ, описание технического решения, определение стоимости.

4. Реализация КСЗИ – построение полного комплекса средств защиты, тестирование КСЗИ.

5. Экспертиза – получение экспертного заключения (аттестата). 6. Эксплуатация – поддержание актуальности КЗСИ в течение

жизненного цикла. В качестве объекта информатизации (ОИ) рассмотрена информационная

система «Система1» страховой компании г. Омска, которая отнесена к типам информационных систем обрабатывающих персональные данные (ИСПДн).

ИСПДн «Система1» предназначена для создания условий эффективного взаимодействия между настоящим органом страхования и гражданами, желающими быть застрахованными. В данной ИСПДн производится хранение, обработка и передача информации, в отношении которой установлено требование о ее конфиденциальности (персональные данные застрахованных граждан), доступ к которой осуществляется посредством защищенных каналов Интернет.

Объект информатизации ИСПДн «Система1» представляет собой комплекс из 1-й ПЭВМ – автоматизированное рабочее место с подключением к внешним информационным системам, в том числе к сетям общего пользования (информационно-телекоммуникационной сети Интернет).

Конфиденциальными являются сведения, персональные данные граждан и условия страхования.

В ИСПДн ведется обработка информации следующими субъектами, имеющими различные права доступа:

администратор безопасности – настройка системы, разграничение прав доступа пользователей к информации согласно разрешительной системе доступа, настройка СЗИ от НСД, обновление антивирусного ПО;

пользователи – обработка персональных данных граждан. В таблице 1 представлены основные характеристики ИСПДн «Система1»,

которые служат для категорирования по требованиям информационной безопасности [2].

СибАДИ98

Таблица 1.

Характеристики ИСПДн страховой компании

Исходные данные ИСПДн ИСПДн«Система1»

Категория обрабатываемых персональных данных

Специальные

Объем обрабатываемых персональных данных

В информационной системе одновременно обрабатываются данные менее чем 100 000 субъектов персональных данных

Категории субъектов ПДн Персональные данные субъектов персональных данных, не являющихся сотрудниками оператора

Категория ИСПДн Информационная система, обрабатывающая категории персональных данных - Специальные, информационная система, обрабатывающая персональные данные субъектов персональных данных, не являющихся сотрудниками оператора

Тип актуальных угроз Угрозы 3-го типа (угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе)

Опираясь на характеристики, перечисленные выше, ИСПДн присвоен уровень защищенности УЗ2.

Объект информатизации расположен в кабинете принадлежащем организации. Помещения, эксплуатируемые страховой компанией, находятся в собственности.

В здании присутствуют сторонние организации: продуктовый магазин; строительный магазин; книжный магазин; столовая; тренажерный зал.

Границей контролируемой зоны ОИ ИСПДн «Система1» является периметр ограждающих конструкций помещения (стены, пол, потолок). Смежными помещениями для ИСПДн «Система1» являются с правой стороны служебные помещения, с левой стороны кабинет № 35.

СибАДИ99

В здании отсутствует единый пропускной режим, вход свободный. Журнал учета посетителей не ведется.

Охрана административного здания осуществляется ежедневно и круглосуточно не вооруженными сторожами. По окончании рабочего дня дверь в административное здание запирается на замок.

На основании проведенного анализа по методике ФСТЭК России [3] установлен перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн «Система1»:

кража ПЭВМ; модификации, внедрение вредоносных программ, уничтожение

информации; уничтожение, копирование, форматирование, перемещение, кража

носителей информации; кража ключей доступа; вывод из строя узлов ПЭВМ, каналов связи; несанкционированный доступ к информации при техническом

обслуживании (ремонте, уничтожении) узлов ПЭВМ; утрата ключей и атрибутов доступа; непреднамеренная модификация (уничтожение) информации

сотрудниками; передача по сетям за пределами контролируемой территории ПДн и

иной конфиденциальной информации в открытом (или слабо защищённом) виде;

игнорирование организационных ограничений (установленных правил) при работе с ресурсами, включая средства защиты информации;

угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;

угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы, с применением специально созданных для выполнения НСД программ.

В рамках создания КСЗИ для рассматриваемой ИСПДн "Система1"

необходимо дополнить существующие меры соответствующие уровню защищенности УЗ2. Так, на организационно-правовом уровне реализованы следующие меры:

1. Вход сотрудников разрешен с 8:30 до 17:45 с понедельника по пятницу.

2. Охрана административного здания осуществляется не вооруженными сторожами.

СибАДИ100

3. Охрана осуществляется ежедневно и круглосуточно. По окончании рабочего дня дверь в административное здание запирается на замок.

4. Режим работы охраны – 7 дней в неделю круглосуточно. 5. Связь с ближайшим отделением полиции организована по телефону, и

кнопкой экстренного вызова полиции. 6. Доступ сотрудников и иных лиц в кабинет, определяется в

соответствии с отдельными списками, утверждаемыми директором. Рекомендуется: вести журнал учета посетителей; проводить инструктаж сотрудников; привлекать сотрудников к ответственности за правонарушения,

касающиеся информационной безопасности. На программно-аппаратном уровне, в настоящее время реализованы

следующие меры: 1. Установлено СЗИ Secret Net Studio 8. 2. Установлен ПАК Соболь. 3. Установлен Антивирус Касперского. 4. Установлен RedCheck. 5. Установлен VipNet. Рекомендуется: проверка и обновление актуальности используемых версий ПО; продление лицензий в срок. На инженерно-техническом уровне в ИСПДн «Система1» реализованы

следующие меры: 1. Вход в помещение ОИ, который оборудован металлической дверью с

замком, с опечатывающего устройством; 2. Вход в помещение ОИ оборудован деревянной дверью с замком, с

опечатывающего устройством; 3. На окнах в помещениях имеются металлические решетки и шторы. Рекомендуется: установить пожарную сигнализацию; установить охранную систему (датчики давления, с последующим

вызовом группы быстрого реагирования); установить видеонаблюдение на входе в кабинет. Выполнение перечисленных выше рекомендаций позволит оптимально

защитить в ИСПДн «Система1» персональные данные клиентов страховой компании.

СибАДИ101

Список литературы: 1. Комплексные системы защиты информации. [Электронный ресурс] –

Режим доступа: http://www.mirib.ru/index.php/services/kompleksnye-sistemy-zashchity-informatsii

2. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (утв. ФСТЭК РФ 14.02.2008)

СибАДИ102

АНАЛИЗ ВОЗМОЖНОСТЕЙ ФРЕЙМВОРКА FLASK ПО ОБЕСПЕЧЕНИЮ РАЗЛИЧНЫХ АСПЕКТОВ ЗАЩИТЫ ДАННЫХ

Севостьянов Никита Андреевич cтудент группы БИ15-И1 Сибирского государственного автомобильно-

дорожного университета, г. Омск. E-mail: [email protected]

Любич Станислав Александрович

доцент Сибирского государственного автомобильно-дорожного университета, г. Омск

E-mail: [email protected] АННОТАЦИЯ

Целью данной статьи является изучение возможностей фреймворка Flask

по обеспечению информационной безопасности веб-ресурсов. Для этого было разработано небольшое веб-приложение «Микроблог» с использованием данного фреймворка. Результаты проведенного анализа дают возможность понять достоинства и недостатки фреймворка Flask в задачах обеспечения безопасности веб-приложений.

Ключевые слова: фреймворк, Flask, декоратор, информационная безопасность, веб-приложение.

Многие современные информационные системы создаются в виде веб-приложений. Веб-системы нашли свое применение не только в корпоративных сайтах и порталах, но и практически во всех областях современных информационных технологиях: системы оказания электронных услуг в различных сферах, электронный документооборот, социальные сети, СМИ, интернет-магазины и многие другие. Несмотря на разное назначение, и как следствие, разные функциональные особенности данных систем, всех их объединяет то, что они хранят конфиденциальные данные пользователей, а потому нуждаются в обеспечении защиты этих данных. Вариантов атак на веб-ресурсы множество и их число растет. Для правильного обеспечения информационной безопасности веб-ресурсов следуют правильно выбрать инструмент разработки.

Flask – фрейморк, предназначенный для разработки веб-приложений на языке программирования Python. По умолчанию Flask не поддерживает уровень абстракции баз данных, валидации форм или некоторых других функций, для чего уже существуют различные занимающиеся этим библиотеки. Вместо этого, Flask поддерживает расширения для добавления подобной функциональности в приложение, таким образом, как если бы это было реализовано в самом Flask. Многочисленные расширения обеспечивают интеграцию с базами данных, валидацию форм, обработку загрузок на сервер, различные открытые технологии аутентификации и так далее [1], [2], [3].

СибАДИ103

Для проведения анализа фреймворка, было разработано веб-приложение «Микроблог». Оно имеет простую структуру, представленную на рисунке 1.

Рисунок 1. Структура приложения

Все данные хранятся в базе данных SQLite. Интеграцию баз данных с Flask предоставляет расширение SQLalchemy. Доступ к данным должны получать только зарегистрированные пользователи. Для этого Flask предлагает расширение Flask-Login, которое управляет состоянием входа и выхода в систему. Чтобы заполнить данные о пользователе используется веб-форма, обработку которой и других предоставляет расширение Flask-WTF. Одна из его важных особенностей заключается в защите форм от атаки под названием Cross-Site Request Forgery. Кроме того существуют различные валидаторы, позволяющие провести проверку введенных данных. Ещё один важный момент состоит в том, что пароль от пользовательского логина не хранится в базе данных. Вместо этого БД содержит его хэш, что позволяет избежать утечки важной информации.

После того как пользователи вошли под своей учетной записью в систему, они получают доступ к ресурсам сайта. Однако, стоит отметить, что каждый пользователь должен получать доступ к той информации, которая ему разрешена политикой безопасности соответствующего ресурса. Для решения этой задачи в приложении используется политика разграничения прав доступа к объектам на основе ролей. Использование ролей позволяет определить более четкие и понятные для пользователей и администраторов системы правила разграничения доступа. При этом такой подход часто используется в системах,

СибАДИ104

для пользователей которых четко определен круг их должностных полномочий и обязанностей.

Существует расширение Flask-Principal, которое позволяет реализовать функцию привязки к одному пользователю, как высокий уровень привилегий, так и несколько ролей сразу [3]. Например, можно назначить следующие роли пользователям: администратор, редактор, суперпользователь, или их комбинацию. Однако, для того чтобы реализовать политику разграничения доступа по ролям можно использовать не только данное расширение, но и добавить в приложение свою реализацию разграничения информации, например, используя функциональные возможности декораторов.

Для того, чтобы понять, как работают декораторы, в первую очередь следует помнить, что функции в Python являются объектами, соответственно, их можно возвращать из другой функции или передавать в качестве аргумента. Также следует помнить, что функция в Python может быть определена и внутри другой функции. Таким образом, декораторы – это, по сути, "обёртки", которые дают нам возможность изменить поведение функции, не изменяя её код.

В разработанном демонстрационном приложении декораторы используются для защиты страниц от несанкционированного доступа. Первый из них - @login_required, который защищает функцию просмотра от анонимных пользователей, второй - @requires_roles, используется для управления доступом к информации на основе ролей. Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах. На рисунке 2 представлена краткая схема присваивания ролей и полномочий.

Рисунок 2. Схема присваивания

ролей и полномочий

Каждому пользователю присваивается роль – User или Admin. Далее перед вызовом функции просмотра срабатывает декоратор (рис. 3). Его работа заключается в проверке роли пользователя, и если она содержит нужные права доступа, то декоратор позволяет функции выполниться, в противном случае – функция выполнена не будет.

СибАДИ105

Рисунок 3. Код декоратора

Поясним, почему это происходит. Декоратор @requires_roles принимает в качестве аргумента роль пользователя. Внутри происходит проверка авторизации пользователя и его роли. Если пользователь не авторизирован, система вернет его на страницу входа. После проверки авторизации, проверяется роль пользователя, также если роль текущего пользователя не соответствует роли переданной в качестве аргумента, система не пропустит его на страницу и вернет на главную. В случае, когда пользователь прошел все проверки, декоратор вызывает функцию просмотра страницы «Администрация». Схема действия декоратора представлена на рисунке 4. Данная реализация сходна с функциональным паттерном программирования, так как язык Python очень гибкий и позволяет использовать подобные способы написания кода.

Рисунок 4. Проверка прав доступа

Следует отметить, что Flask является прекрасным средством для

разработки веб-приложений. Его главной особенностью является простая структура. Возможность подключения самых различных расширений делает Flask универсальным средством разработки. Помимо всего прочего Flask позаботиться об обеспечении безопасности информации. Список литературы:

1 Flask Security. Role/Identity Based Access. - [Электронный ресурс]. URL: https://ru-flask-security.readthedocs.io/ru/latest/features.html#id11

2 Документация Flask. Добро пожаловать во Flask. - [Электронный ресурс]. - URL: https://flask-russian-docs.readthedocs.io/ru/latest/

3 Мигель Гринберг, Мега-Учебник Flask. - / Мигель Гринберг. - [Электронный ресурс]. - URL: https://habr.com/post/346306/

СибАДИ106

РАСПОЗНАВАНИЕ БИОМЕТРИЧЕСКИХ ОБРАЗОВ С ИСПОЛЬЗОВАНИЕМ АЛГОРИТМОВ ИСКУССТВЕННЫХ

ИММУННЫХ СИСТЕМ3 Стадников Денис Геннадьевич

студент группы КЗИ-161 Омского государственного технического университета, г. Омск

E-mail: [email protected] Чобан Адиль Гаврилович

студент группы КЗИ-161 Омского государственного технического университета, г. Омск

E-mail: [email protected] Сулавко Алексей Евгеньевич

канд. техн. наук, доцент Омского государственного технического университета, г. Омск

E-mail: [email protected] Шалина Екатерина Викторовна

Омский государственный университет путей сообщения, г. Омск E-mail: [email protected]

АННОТАЦИЯ В данной статье рассмотрена быстро развивающаяся отрасль

биоинспирированных систем – искусственные иммунные системы (далее ИИС). В статье проведен анализ существующих алгоритмов ИИС, а также рассмотрены различные реализации данных алгоритмов в биометрических системах. Показано, что применение иммунных алгоритмов существенно повышает надежность биометрической идентификации.

Ключевые слова: распознавание образов; биометрические признаки; иммунные алгоритмы; детекторы; антигены; мера близости.

Введение В настоящее время для исследователей в области интеллектуального

анализа данных всё больший интерес представляют биологические самоорганизующееся системы. К таким относятся нейронная и иммунная сети, каждая из которых обладает способностью интеллектуальной обработки информации, самообучения, принятия решений относительно ранее неизвестных ситуаций. Результаты последних исследований говорят о высоком потенциале искусственных иммунных систем (ИИС) в задачах распознавания образов. ИИС представляют интерес, прежде всего, из-за свойства двойной пластичности [1], позволяющего относительно легко изменять в процессе функционирования не только собственные параметры, но и структуру. Свойство двойной пластичности позволяет успешно применять иммунные подходы в задачах распознавания динамических биометрических образов:

3 Работа выполнена при финансовой поддержке РФФИ (грант № 18-37-00399)

СибАДИ107

клавиатурный почерк, рукописная подпись, голос и других [2]. Эти образы изменчивы (в зависимости от психофизиологического состояния и во времени), поэтому для построения высоконадежных методов биометрической аутентификации требуется, чтобы система распознавания образов адаптировалась к этим изменениям (изменяла свои параметры и структуру).

Данная работа посвящена обзору существующих алгоритмов распознавания образов, построенных по аналогии с естественной иммунной системой человека, а также опыта их применения в задачах биометрической идентификации и аутентификации личности.

Общие сведения об иммунных алгоритмах и системах В зависимости от преследуемых целей создатели искусственных

иммунных систем берут за основу те или иные принципы работы иммунной системы. Отдельно выделяют следующие общие методы (алгоритмы) ИИС:

- алгоритм негативного отбора; - алгоритм клональной селекции; - алгоритм дендритных клеток; - сетевые алгоритмы.

Подход на базе искусственных иммунных систем используется для решения следующих общих задач: распознавание образов, сжатие информации, поиск, обнаружение аномалий и неисправностей, оптимизация, классификация, анализ сигналов и изображений извлечённой информации, а также обеспечения компьютерной безопасности.

Алгоритмы ИИС могут применяться как для верификации, так и для идентификации образов (процессов, объектов). В любой системе распознавания образов присутствует процесс обучения на некотором количестве примеров. В результате обучения формируется так называемый эталон пользователя – идеализированный шаблон, с которым тем или иным образом сравнивается входной поток данных. Однако большинство концепций построения ИИС не подразумевает отдельного алгоритма обучения. Как правило, предлагается единый алгоритм функционирования ИИС, включающий одновременно элементы обучения и принятия решений. Надежность алгоритмов распознавания образов на базе ИИС оценивается через процент или вероятность верно принятых решений.

Алгоритм негативного отбора В 1994 году Форрест предложил вычислительную модель способную

распознавать «своих» и «чужих», которая получила название алгоритм негативного или отрицательного отбора (рис. 1). Алгоритм негативного отбора в ИИС применяют для задач классификации данных. В алгоритме сравниваются наборы эталонов известных объектов, которые описывают нормальное поведение системы, с набором случайно сгенерированных пакетов данных. Если происходит совпадение, то соответствующий пакет данных удаляется. На основе данных, не имеющих совпадения ни с одним из эталонов, формируются детекторы. Сформировав набор детекторов, ИИС обучается

СибАДИ108

распознавать аномальное состояние. Детектор описывает чужеродный для ИИС объект.

Рисунок 1. Механизм негативного отбора

В дальнейшем вновь поступающие в систему данные (векторы значений признаков) будут сравниваться с набором детекторов. Аномалией будет считаться ситуация, когда эти данные совпадут с одним из детекторов.

Главным недостатком алгоритма является вычислительная сложность создания детекторов, так как их количество растет экспоненциально по мере увеличения «своего».

Алгоритм клональной селекции Независимо друг от друга Берне и Толмейдж в 1959 году выдвинули идею

о том, что клетки, распознающие антиген, стремятся к размножению. Клональный отбор (рис. 2) можно рассматривать только к В- и Т-лимфоцитам. Активация первых происходит во время связывания их антител с антигеном, но сначала их клоны проходят соматическую гипермутацию. В результате этого образуются пары антиген – антитело, от результата их соответствия (аффинности) будет зависеть активация B - лимфоцитов. Аффинность – степень близости антигена и антитела. Для расчета аффинности могут быть выбраны различные меры близости, например, мера Пирсона, Евклида, Хемминга.

Работа алгоритма состоит из нескольких шагов. На первом шаге формируется набор антител, которые будут являться детекторами. Затем в ИИС поступают векторы значений признаков (входные данные), которые называются антигенами. Далее происходит сравнение этих двух наборов данных и вычисляются антитела, которые имеют наибольшую степень аффинности с антигенами. Выбранные антитела клонируются и претерпевают мутации в случайных позициях. Это позволяет им иметь более высокую аффинность к распознаваемому антигену: чем выше аффинность, тем в меньшей степени они подвергаются мутации. И после повторного сравнения с антигенами выбирается несколько антител, которые становятся клетками памяти и записываются в первоначальный набор антител.

СибАДИ109

Рисунок 2. Механизм клонального отбора

Одним из недостатков данного алгоритма является то, что иммунная система не может отбирать наиболее аффинных среди нескольких вариантов высокоаффинных антител, в результате чего наблюдается снижение эффективности распознавания. [3]

Алгоритм дендридных клеток. В противопоставление алгоритму отрицательного отбора Метценгером

была разработана теория опасности, согласно которой, иммунный ответ будет инициирован, только если существует опасность. Теория опасности не опровергает алгоритм отрицательного отбора, а лишь определяет существование других факторов, вызывающих иммунный ответ. Клетки врожденной системы обладают способностью обнаруживать и удалять чужеродные организмы через проглатывание (фагоцитоз) или посредством активации Т-лимфоцитов. Дендритные клетки являются компонентом этого механизма. Они представляют собой класс клеток, которые могут существовать в трех разных состояниях: незрелом, полузрелом и зрелом. Обобщая механизм работы этих клеток, можно говорить о двух этапах их жизненного цикла.

На первом этапе все дендритные клетки являются незрелыми, попадая в ткань, они собирают информацию, в том числе собирают антигены. Также они реагируют на PAMP сигналы (pathogen-associated molecular patterns, образец патогенных молекул), сигналы опасности от умирающих клеток и безопасные сигналы.

На втором этапе происходит их созревание до зрелых или полузрелых клеток. Если сигналов опасности или PAMP сигналов было больше, чем безопасных, то дендритная клетка становится зрелой и мигрирует из ткани в лимфатический узел. В зрелом состоянии дендритная клетка больше склонна представлять на своей поверхности антиген, чем собирать информацию. Поэтому зрелые клетки способны активировать Т-лимфоциты (инициировать иммунный ответ). Полузрелые клетки появляются при высокой смертности клеток своего организма и оказывают успокаивающий эффект на иммунную систему. Они также могут представлять антиген на своей поверхности, но не могут активировать Т-лимфоциты, они призваны остановить иммунный ответ на антигены [4].

СибАДИ110

Основываясь на поведении дендритных клеток, был разработан одноименный алгоритм (DCA). Он является частью «Проекта Опасность», разработанного с участием Ноттингемского университета [4], цель которого объединить ИИС и системы обнаружения вторжений. В рамках данного проекта было предположено, что иммунная система не занимается постоянным распределением белков на «свои» и «чужие», а реагирует на вредоносное воздействие антигена на организм хозяина.

В искусственных иммунных системах данный алгоритм используют для корреляции разрозненных потоков данных в виде антигена и сигналов. С помощью DCA (Dendritic Cell Algorithm) можно оценить уровень отклонений некоторого объекта от нормы, определить, насколько аномальным является процесс. Следовательно, DCA возможно использовать как составную часть метода или алгоритма классификации.

Сетевые алгоритмы Согласно теории иммунной сети даже, при отсутствии чужеродных

элементов антитела, которые несут на себе В-клетки, могут взаимодействовать друг с другом. Рецепторы, с помощью которых это происходит, называются идиотопами. Такая сеть из В-клеток называется идиотипической. На появившийся антиген будет реагировать сразу вся сеть, но каждое антитело с разной силой: то антитело, которое лучше других распознает антиген, даст самую сильную реакцию.

Впервые модели искусственных иммунных сетей предложил Рихтер [5], в них постулировалось существование «цепной реакции» антител. Однако такая цепная реакция ограничена тем, что каждое антитело взаимодействует с конкретным антителом, вызвавшим его стимуляцию. В модели иммунной сети на основе дерева Кэйли вводится иерархия антител [1].

Применение ИИС в биометрических системах В статье [6] представлено исследование возможности применения

иммунного алгоритма клонального отбора для построения системы идентификации объектов на примере установления автора русскоязычного рукописного текста по образцу его почерка. Правильное решение было принято в 76% случаях, ошибочное — 11%, невозможность принять верное решение в 13% случаях. Для аналогичной системы с применением нейросетевых технологий были получены показатели: 56% - правильное решение, 16 % ошибочное, 28 % - невозможность принять решение.

В статье [7] предлагается объединить иммунную сеть с генетическим алгоритмом для распознавания человека по лицу. По результатам эксперимента надежность предложенного метода составила 99.7% (девять тестовых изображений на человека по 40 тренировок, то есть 360 тестовых изображений). Каждый случай повторялся 30 раз, при этом выбирались различные комплекты обучения и тестирования.

В статье [8] представлены этапы разработки и программной реализации искусственнай иммунной системы, способной распознавать зрительные образы объектов в режиме реального времени с использованием Web-камеры.

СибАДИ111

Эксперимент показал следующие результаты: группы людей из сорока человек, при обучающей выборке из 15 снимков, количество правильно идентифицированных образов составило 92%.

Результаты собственных исследований В работе [9] представлено два варианта реализации процедуры

биометрической идентификации по параметрам лица. Первый основан на использовании наивного Байесовского классификатора. Второй (модифицированный) предварительно обрабатывает биометрические параметры с помощью иммунных алгоритмов анализа. Оба варианта базируются на идентичных способах захвата изображения лица и вычисления биометрических параметров. В ходе эксперимента была собрана выборка фотографий лиц 50 испытуемых. Обучающая выборка каждого испытуемого состояла из 15 образов его лица, а также включала по одному образу от каждого испытуемого, кроме его собственного. В работе показано, что ИИС может быть комплексирована с другими подходами, в частности на базе наивного классификатора Байеса. По результатам эксперимента обогащение входных биометрических данных с помощью ИИС оказалось более эффективным (вероятность ошибок 0,014), чем обогащение через построение и учет плотностей вероятности признаков (вероятность ошибок 0,034).

В статье [10] был предложен метод биометрической аутентификации субъектов по клавиатурному почерку с использованием искусственной иммунной системы. В ходе эксперимента использовались данные 50 испытуемых, каждый из которых ввел на клавиатуре фразу «система защиты должна постоянно совершенствоваться» не мене 70 раз. Для каждого испытуемого формировалась ИИС, при этом обучающая выборка состояла из 20 его образов клавиатурного почерка, а также по одному образу от каждого испытуемого, кроме его собственного. С учетом подбора коэффициентов ИИС был установлен наименьший показатель ошибок 1-го и 2-го рода (EER) равный 0.041.

Заключение. На сегодняшний день методы ИИС активно применяются только в малом

числе приложений. Однако, в литературе часто встречается точка зрения и подтверждающие ее данные, что в некоторых приложениях ИИС оказываются эффективнее, чем интеллектуальные системы на основе нечеткой логики или искусственных нейронных сетей [6].

Данная статья преследует цель привлечения внимания исследователей к теме развития и применения аппарата ИИС в биометрических приложениях. По мнению авторов настоящей работы ИИС обладают значительным потенциалом. Требуется провести масштабное исследование существующих подходов из области ИИС. Сопоставив результаты этого исследования с хорошо изученными принципами и методами построения и обучения нейронных сетей можно найти положительную корреляцию между этими подходами, а также варианты их эффективного комплексирования для получения синергетического

СибАДИ112

эффекта. Первые результаты по комплексированию гибридных нейронных сетей и иммунного подхода весьма оптимистичны [9, 10]. Список литературы:

1. Дасгупта Д. Искусственные иммунные системы и их применение / Д. Дагступт. М. : Физматлит, 2006.

2. Сулавко А.Е., Жумажанова С.С., Семенова З.В., Ковальчук А.С., Борисов Р.В. Комплексная система распознавания водителей транспортных средств и их психофизиологического состояния по динамическим биометрическим признакам // Автоматизация. Современные технологии. - 2017. - №8. - С. 373-380.

3. Пчелкин А. А., Обзор искусственных иммунных систем // Физико-математические и технические науки как постиндустриальный фундамент эволюции информационного общества: международ. науч. конф. – Уфа: 2017. с. 183-187.

4. Greensmith, Julie; Aickelin, Uwe; Cayzer, Steve. / Detecting danger: The dendritic cell algorithm. Robust Intelligent Systems.Springer, 2008. pp. 89-112.

5. Richter P.H. // Eur. J. Immunol. 1975. V. 5. P. 350. 6. Еременко Ю.И. Интеллектуальная система идентификации объектов с

помощью алгоритмов иммунных систем. / Ю. И. Еременко, И. В. Мельникова, А. А. Шаталов. // Вестник Воронежского государственного технического университета – 2015. – №6. – стр. 38-47.

7. Luh G. Face recognition based on artificial immune networks and principal component analysis with single training image per person. Immune Computation 2014; 2(1): 21-34.

8. Михерский Р.М. Распознавание зрительных образов с использованием искусственной иммунной системы // Сборник трудов III международной конференции и молодежной школы «Информационные технологии и нанотехнологии» (ИТНТ-2017) - Самара: Новая техника, 2017. - С. 518-521.

9. Сулавко А. Е., Шалина Е. В. Идентификация личности по особенностям лица с использованием искусственной иммунной системы и формулы гипотез Байеса // Сборник статей II всероссийской научно-практической конференции с международным участием им. В.В. Губарева. Под редакцией П.В. Мищенко, Новосибирск, 2018. - С 303-307.

10. Сулавко А. Е., Шалина Е. В., Стадников Д. Г. Биометрическая аутентификация по клавиатурному почерку на основе иммунного алгоритма распознавания образов // Сборник статей II всероссийской научно-практической конференции с международным участием им. В.В. Губарева. Под редакцией П.В. Мищенко, Новосибирск, 2018. - С 307-315.

СибАДИ113

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДАННЫХ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ «ЭЛЕКТРОННАЯ ОЧЕРЕДЬ

ПРИЕМНОЙ КОМПАНИИ СИБАДИ» Ткаченко Михаил Вадимович

студент группы БИб15-И1 Сибирского государственного автомобильно-дорожного университета, г. Омск E-mail: [email protected] Любич Станислав Александрович

доцент Сибирского государственного автомобильно-дорожного университета, г. Омск


АННОТАЦИЯ

Целью данной статьи является описание некоторых особенностей процесса создания автоматизированной системы с элементами электронной очереди с возможностью записи состояний оператора в защищенном исполнении. В качестве инструментов были выбраны язык программирования Java и система управления базами данных SQLite.

Ключевые слова: безопасность, базы данных, электронная очередь, оптимизация

Сегодня трудно представить банк, поликлинику или многофункциональный центр без использования системы электронной очереди. В банковской энциклопедии приводится следующее определение: «Электронная очередь – комплекс аппаратного и программного обеспечения, используемый в организациях, чья деятельность связана с предоставлением услуг большому количеству клиентов. Это устройство, которое позволяет управлять очередью в автоматическом режиме» [1].

Несмотря на то, что благодаря развитию программного и аппаратного обеспечения становятся неактуальными проблемы, характерные для систем электронной очереди 7 – 10-летней давности [2], возникают новые задачи в этой сфере, требующие своего разрешения.

Вместе с тем, как и ранее, основным достоинством электронной очереди остается повышение качества обслуживания клиентов, создание условий для управления этим процессом [2], [3].

Ориентируясь на основное назначение системы электронной очереди, можно дать следующее, несколько упрощенное определение: электронная очередь – это система по автоматизации процесса распределения клиентов. С одной стороны, задача не требует автоматизации, если поток клиентов мал. Однако если это, например, приемная комиссия ВУЗа в период приема абитуриентов, то за один день поток людей может достигать 300-350 человек. В

СибАДИ114

этом случае возникает необходимость контролировать среднее и общее время работы операторов с целью оптимизации работы. С учетом этого было составлено техническое задание на разработку автоматизированной системы «Электронная очередь ПК СибАДИ», которое выполнено в полном соответствии с существующей нормативной документацией [4].

Разработанная автоматизированная система позволяет визуально представить готовность операторов к приему абитуриентов, а также позволяет контролировать общее и среднее время работы каждого оператора при помощи автоматически составляемой статистики. Для формирования этой статистики была cпроектирована база данных в СУБД SQLite.

Исходя из заявленных требований к работе клиент - серверного приложения, а также запросов, связанных с временем работы оператора, была установлена оптимальная структура базы данных.

Структура базы данных представляет собой одну таблицу для записи состояний и времени выполнения действий в клиент-серверном приложении оператором (Таблица №1).

Таблица №1.

Структура таблицы Client

Значение поля в таблице БД Тип данных

Номер записи Integer

Номер оператора Integer

Состояние готовности оператора Boolean

Время выполнения (сек в системе UNIX) Integer

Для обеспечения ограничений целостности таблицы [5] организованно автоматическое наращивание первичного ключа при внесении записей в таблицу, а также контроль по типам и пустых значений (не одно поле не может быть пустым). Отдельно стоит упомянуть об особенности организации типов данных для хранения времени – он реализован целочисленным значением и представляет собой запись в секундах с начала эпохи UNIX (1 января 1970 г.) и контролируются на стороне серверного приложения. Данные ограничения позволяют производить запись через клиент - серверное приложение, без опасности искажения типа данных и не полной записи, что в свою очередь гарантирует целостность данных.

Архитектура приложения подразумевает разделение на уровне приложений клиентской и серверной части. При таком подходе шанс несанкционированного получения информации с приложения сводится практически к нулю, т.к. клиентское приложение не несет в себе никакой информации, а для получения доступа к панели администратора и базе данных

СибАДИ115

необходим доступ к пользователю серверной операционной системы с правами администратора. Так же для снижения риска случайного удаления содержания таблицы Client из базы данных администратором, перед нажатием на кнопку очистки таблицы необходимо ввести кодовое слово, определяемое заранее.

Запись в базу данных происходит на серверной стороне после получения соответствующего сигнала от оператора, который, таким образом, не определяет записываемую информацию, а лишь переключает состояния. Информация, записываемая в базу данных, строго определена внутри приложения и структурирована для ведения статистики.

Для работы со статистикой создано приложение «Панель администратора», которое поставляется исключительно администраторам. Оно позволяет производить контроль за временем работы оператора, а также производить очистку базы данных, для очистки базы данных необходимо знать заранее определенное кодовое слово (рисунок 1).

Рисунок 1. Панель администратора

В рамках данной статьи рассмотрены возможности SQLite и Java для обеспечения безопасности информации, на примере информационной системы «Электронная очередь». Данная ИС основана на создании клиентского приложения, предназначенного для отображения готовности оператора и разработки серверной части, которая обеспечивает запись состояний, позволяющих получить некоторые агрегированные данные. Так, например, можно получить сведения о среднем времени обработки запросов абитуриента или общее время работы сотрудника. Основной упор в аспекте обеспечения безопасности был сделан на защите на уровне базы данных (проверка целостности) и защите от несанкционированного доступа к хранимой в БД информации.

В результате была спроектирована и разработана автоматизированная система, которая полностью отвечает необходимым функциональным

СибАДИ116

требованиям и требованиям безопасности. Данная система успешно прошла испытания в ходе текущей приёмной компании, и была внедрена в работу Приёмной комиссии СибАДИ. Список литературы: 1. Банковская энциклопедия. Электронная очередь. [Электронный ресурс]. -

Режим доступа: https://banks.academic.ru/Электронная_очередь/ 2. Электронная очередь или проблемы ее использования и внедрения.

[Электронный ресурс]. - Режим доступа: https://habr.com/post/69690 3. Преимущества внедрения электронной очереди. [Электронный ресурс]. -

Режим доступа: http://expert.ru/2018/06/30/preimuschestva-vnedreniya-elektronnoj-ocheredi/

4. ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы (Взамен ГОСТ 24.201-85) - Введ. 1990-01-01. - М. : Изд-во стандартов, 1989.-1V, 12 с.:ил.

5. Основные аспекты безопасности СУБД [Электронный ресурс]. - Режим доступа: https://tproger.ru/articles/db-security-basics/

СибАДИ117

ОЦЕНКА ВОЗМОЖНОСТИ ИСПОЛЬЗОВАНИЯ МОМЕНТОВ РАСПРЕДЕЛЕНИЯ В КАЧЕСТВЕ ПОКАЗАТЕЛЯ ФОРМЫ

ОПРЕДЕЛЯЕМОГО СИГНАЛА Шмаков Антон Константинович

студент группы 25с Омского государственного университета путей сообщения, г. Омск

E-mail: [email protected] Комаров Владимир Александрович

аспирант кафедры информационной безопасности Омского государственного университета путей сообщения, г. Омск

АННОТАЦИЯ

Теория обработки сигналов включает в себя совокупность математических методов, используемых для преобразования сигналов. В свою очередь, в результате обработки сигналов их форма, а, следовательно, диагностические признаки могут быть искажены. В статье рассматривается использование моментов распределения случайных величин в качестве показателя формы определяемого сигнала. Результаты работы позволяют расширить представления об анализе сигналов.

Ключевые слова: корреляционная функция, сигнал, случайный процесс, математическое ожидание, среднеквадратическое отклонение, эксцесс, асимметрия.

Тенденцией современного развития идентификации сигналов является

решение комплексных проблем, требующих многообразных средств. В последнее время наблюдается большой интерес к применению современных информационных технологий к задачам моделирования сигналов. Связано это, с целым рядом факторов, среди которых можно отметить: разнообразие практических приложений; трудности применения стандартных методов идентификации вследствие нелинейности моделей, большого объема данных, неточности их измерений; высокая вычислительная сложность классических методов моделирования информационных объектов.

Существующие методы решения рассматриваемой проблемы используют наиболее распространенный подход к анализу сигналов, состоящий в выделении в них, так называемых, информативных признаков, используемых впоследствии для идентификации сигналов. В ходе работы производится моделирование сигналов определенной формы с заранее известными признаками. Такими признаками будут являться математическое ожидание, среднеквадратическое отклонение, эксцесс, асимметрия.

В основе работы лежит моделирование сигнала заданной формы и наложение на него шума. После происходит накопление суммы (сигнал + шум) и на каждой итерации считаются моменты распределения. В результате для каждой формы сигнала будет подобран наилучший момент распределения, по

СибАДИ118

которому за наименьшее количество итераций можно будет однозначно идентифицировать сигнал.

Рассмотрим пять случайных процессов, заданных корреляционными функциями:

(1) (3)

(5)

(7) (9)

Для выбранных корреляционных функций имеется база алгоритмов, позволяющих моделировать сигналы с заданными значениями параметров. Для моделируемых по заданным корреляционным функциям случайных процессов необходимо построить сигналы различных форм.

1) Гауссоида (11):

(11) 2) Логнормальный (12):

(12)

3) Прямоугольный (13):

(13) 4) Треугольный (14):

(14) Каждый сигнал имеет свои моменты распределения, по которым в

будущем его можно будет идентифицировать. 1) Математическое ожидание (15):

(15)

2) Среднеквадратическое отклонение (16):

СибАДИ119

(16)

3) Асимметрия (17):

(17)

4) Эксцесс (18):

(18) На основе корреляционных функций и сигналов, разработана программа,

позволяющая моделировать сигнал заданной формы и накладывать на него шум. Интерфейс программы представлен на рисунке 1.

Интерфейс программы разделен на три логических блока: исследование корреляционных функций, исследование сигнала, с которым проводится эксперимент, данные для проведения основного эксперимента. При исследовании корреляционной функции есть возможность задать различные коэффициенты, начального угла, а также границы).

Рисунок 1. Интерфейс программы

Программа моделирует сигнал в реальных условиях. Затем происходит накопление суммы (сигнал + шум) до тех пор, пока значения моментов распределения не будут наиболее близки к эталонным. Задать ОСШ и

СибАДИ120

доверительные интервалы для моментов распределения пользователь может самостоятельно. На рисунке 2 представлен вывод программы, если выбрать корреляционную функцию вида 3 и сигнал 12, и провести исследование для асимметрии.

а) б)

Рисунок 2. Результат вывода программы для корреляционной функции вида 2 и сигнала 7

На рисунке 2a) представлена сходимость для асимметрии. На графике видно, что за 25 итераций значение асимметрии приблизится к эталонному значению с учетом доверительного интервала. На рисунке 2б) представлено сравнение полученного результата с эталоном. В результате исследования было выявлено, что для разных видов сигналов и корреляционных функций могут использоваться различные идентификаторы. Так, в примере наилучшим идентификатором является асимметрия. Для того, чтобы идентифицировать сигнал 12 по его математическому ожиданию необходимо больше вычислительной мощности.

Путем аналогичных исследований можно составить обширную базу данных, которая может служить хорошей основой для анализа случайных процессов.

Список литературы: 1. Тихонов, В. И. Выбросы случайных процессов / В. И. Тихонов М.:

Наука, 1970. 392 с. 2. Гмурман В. Е. Теория вероятностей и математическая статистика / В. Е.

Гмурман М.: Юрайт, 2014. 479с. 3. Быков В. В. Цифровое моделирование в статистической радиотехнике.

Изд-во «Советское радио», 1971, 328 с.

СибАДИ121

Documents

СибАДИbek.sibadi.org/fulltext/esd926.pdfанализа электрической активности мозга»). Живой интерес участники конференции