of 486 /486
ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ ТЕХНОЛОГИИ БЕЗОПАСНОСТИ VII Международная научно-практическая конференция студентов, аспирантов и молодых учёных 3 декабря 2014 г.

Сборник Трудов Vii Мнпк Технологии Безопасности

  • Upload
    roman

  • View
    279

  • Download
    0

Embed Size (px)

DESCRIPTION

Различные достижения в сфере информационной безопасности

Citation preview

Page 1: Сборник Трудов Vii Мнпк Технологии Безопасности

ФИНАНСОВЫЙ УНИВЕРСИТЕТ

ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

ТЕХНОЛОГИИ

БЕЗОПАСНОСТИ

VII Международная научно-практическая конференция

студентов, аспирантов и молодых учёных

3 декабря 2014 г.

Москва

2014

Page 2: Сборник Трудов Vii Мнпк Технологии Безопасности

В сборнике представлены статьи участников VII Международной научно-

практической конференции студентов, аспирантов и молодых ученых

«Технологии безопасности».

Сборник включает в себя пленарные доклады ведущих специалистов в

области технологий безопасности и содержит статьи студентов, аспирантов и

молодых ученых, участвующих в конференции.

Статьи сгруппированы по секциям:

Информационная безопасность;

Прикладные информационные технологии в науке, бизнесе и

образовании;

Экономическая безопасность хозяйствующих субъектов.

Под научной редакцией:

Авдийского В.И. – профессора, доктора юридических наук, декана

факультета Анализа рисков и экономической безопасности Финансового

университета при Правительстве Российской Федерации;

Царегородцева А.В. – профессора, доктора технических наук,

заведующего кафедрой «Информационная безопасность» Финансового

университета при Правительстве Российской Федерации;

Издание осуществлено с авторских оригиналов.

Финансовый университет при Правительстве Российской Федерации, 2014

Page 3: Сборник Трудов Vii Мнпк Технологии Безопасности

ПАРТНЕРЫ КОНФЕРЕНЦИИ

Интернет-журнал «Техплат» - это сетевое

издание о науке и технологиях, инновациях

для бизнеса, о том, что именно наше

государство делает сегодня для развития

инновационного процесса в стране. На сайте

издания публикуются уникальные материалы о науке и

инновациях в производстве, о деятельности вузов и научных учреждений

России, оперативная информация о всех вариантах и возможностях

государственной поддержки инноваций.

Мы – издание молодое, но уже получившее популярность среди тех, кто

понимает, какое огромное значение в современном мире играют высокие

технологии и оперативный обмен информацией буквально в любой сфере и

производства, и экономики, и в целом нашей с Вами жизни.

Мы основываемся на опыте работы с большим коммуникативным ресурсом,

АНО «Центр информационно-аналитической и правовой поддержки

органов исполнительной власти и правоохранительных структур»,

который и выделил в отдельное направление своей научно-публицистической

деятельности интернет-журнал «Техплат».

Добро пожаловать на площадку интернет-журнала «Техплат»!

http://texplat.ru

3

Page 4: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

ПЛЕНАРНЫЕ ДОКЛАДЫ

АНАЛИТИЧЕСКИЕ ПОДХОДЫ К ОБЕСПЕЧЕНИЮ

ИНФОРМАЦИОННОЙ И ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ

Филяк Петр Юрьевич

к.т.н.

ФГБОУ ВПО «Сыктывкарский государственный университет»

Россия, г. Сыктывкар

[email protected]

Аннотация: Рассматриваются вопросы аналитики применительно к

обеспечению безопасности и ее функциональным составляющим

(экономической безопасности, информационной безопасности и т.д.).

Ключевые слова: безопасность, аналитика, логика, система, композиция,

декомпозиция, процесс, состояние, механизм, структура, моделирование,

кризис, прогноз, функционирование, развитие, стратегия.

Говоря о безопасности, прежде всего, следует определить, что такое

безопасность в принятом в большинстве случаев понимании. В соответствии с

Федеральным Законом «О безопасности» [1] и Указом Президента Российской

Федерации «О стратегии национальной безопасности Российской Федерации до

2020 года» [2], национальная безопасность это состояние защищенности

личности, общества и государства от внутренних и внешних угроз, которое

позволяет обеспечить конституционные права, свободы, достойные качество и

уровень жизни граждан, суверенитет, территориальную целостность и

устойчивое развитие Российской Федерации, оборону и безопасность

государства.

Очевидно, данное определение исходит из общего определения понятия

безопасность. Безопасность, в соответствии со словарем Ожегова [3], это

состояние, при котором не угрожает опасность, защищенность от опасности.

Page 5: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

Если говорить об истории обеспечения безопасности государства, то

очевидно одно из первых исторических упоминаний об этом приведено в

Библии. Речь шла о такой важнейшей составляющей безопасности государства,

как продовольственная безопасность, - когда пророк Моисей предсказал

фараону семь урожайных лет, а затем семь неплодородных. Это было

толкование пророком сновидений фараона – семь тучных коров, а затем семь

худых. Выражаясь современным языком, это было прогнозом, а источником

информации – сновидения. Говоря языком менеджмента, на основании

прогноза, фараон – лицо, принимающее решение (ЛПР), принял правильное

управленческое решение, обеспечившее безопасность государства. На Древнем

Востоке фараон, олицетворявший высшую государственную власть, принимал

фактически все важные решения, советуясь со жрецами, которые обладали

определенными знаниями, даром предвидения, пророчества или искусно

имитировали такую одаренность и, выражаясь терминами менеджмента, умели

удачно прогнозировать развитие ситуации. Возможно, многие из этих

прогнозов были чисто интуитивными и недостоверными, но большинство

решений, особенно в сложных ситуациях, принимались фараонами на основе

мнений жрецов. Немалая часть фараонов находилась под прямым влиянием

жрецов и их групп, которые таким образом фактически и управляли

государством. По сути, это была целая система принятия управленческих

решений. То есть, говоря по - современному, уже в глубокой древности были

созданы и успешно применялись информационно-подсказывающие системы,

что является первым, древним платформенным прототипом системы

поддержки принятия решений - СППР. В древней Греции большую и важную

роль в принятии решений правителями играли оракулы. Появление демократии

в древней Греции и древнем Риме предполагало участие в принятии решений

уже не единиц, а большого количества лиц, обладающих определенными

знаниями, аргументированными точками зрения, полномочиями. Стало широко

применяться всеобщее обсуждение возможных вариантов решений большими

коллективами, - то, что сегодня мы называем коллективным принятием

Page 6: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

управленческих решений, и называем методом «мозговой атаки», «методом

Дельфи». Но, тем не менее, мнения мудрецов, оракулов, пророков,

предсказателей и провидцев в принятии решений оставались весомыми.

Стоит ли доказывать, что прогнозы, достоверные прогнозы были во все

времена крайне важны и востребованы, поскольку основанные на них

принимаемые решения имели очень высокие ставки – они могли определять

судьбы государств, «времен и народов».

Люди, обладавшие уникальными знаниями и определенным даром,

выражаясь современным языком, были представителями эзотеризма - учения

об уникальных сакральных знаниях, «получаемых свыше» только узким кругом

посвященных и передаваемых и распространяемых также только среди этого

узкого круга посвященных. Эти знания называли ведами, а людей обладавших

такими знаниями, - ведунами и ведуньями (слово ведьма, этимологически,

переводится как - ведающая мать, мать, женщина, обладающая ценными

знаниями).

Востребован ли сегодня эзотеризм? Очевидно, что не в таких тотальных

масштабах, как в древности, но, тем не менее, есть реальный, серьезный спрос.

Достаточно вспомнить массовые обращения к предсказаниям Ванги или

запатентованные в Роспатенте Григорием Грабовым изобретения, в частности,

патент RU(11) 2148845 от 10.05.2000. «Способ предотвращения катастроф и

устройство для его осуществления» и другие примеры.

Стремительное развитие цивилизации, технологий и общества уже в

древние времена потребовало привлечения к принятию ответственных

управленческих решений руководителей все более низкого, чем уровень

верховного правителя, уровней и это стало прочной тенденцией. В военном

деле у древнегреческих полководцев уже широко использовалось такое

понятие, как стратегия (древнегреческое - «искусство полководца»), не на

словах, а на деле. Все это потребовало нового подхода к познанию мира,

основанного на платформе массового получения надежных знаний, доступных

для всех. Основой такого подхода должна была стать наука, одними из

Page 7: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

характерных свойств которой являются: объективность, повторяемость

результатов экспериментов, независимость от субъективизма обладателя

знаний, возможность прогнозирования (от греческого — предвидение,

предсказание).

Этот подход не мог быть осуществлен без рассмотрения основного

вопроса философии – об отношении сознания к материи – и двух его сторон –

Что первично (сознание или материя)? и «Познаваем ли мир?». Этот подход, по

сути, – материальный, был предложен Аристотелем, посредством создания и

понимания материальной картины мира. Подход основывался на познании

материи путем познания материальной природы, познания физики (фиIзика –

от древнегреческого — природа), базирующегося на естествознании,

естественных науках. Оттуда же появился термин метафизика

(древнегреческое - «то, что после физики») – все, что за физикой (природой), то

что за пределами понимания с точки зрения естествознания, естественных наук,

за пределы возможного опыта. Аристотель, не отрицая эзотеризма, вероятно,

это было обусловлено спецификой того времени, предложил методологию,

методы и инструменты познания, к каковым в первую очередь следовало

отнести такие понятия и категории, как: аналитика (др. греч. — искусство

расчленения понятий, начал, элементарных принципов, с помощью которых

рассуждения приобретают доказательный характер), логика ( древнегреческое -

«наука о правильном мышлении», «искусство рассуждения»), анализ (от

др.греч. разложение, расчленение) – операция мысленного или реального

расчленения целого на составные части, выполняемая в процессе познания или

практической деятельности человека, система (от др.греч. - целое,

составленное из частей; множество элементов, находящихся в отношениях и

связях друг с другом, образующее определённую целостность, единство). Из

понятий аналитика, анализ и система органически проистекают такие понятия

как декомпозиция (разложение, расчленение на более простые составляющие)

и композиция (составление, создание) системы, состояние (категория - у

Аристотеля она выступала в качестве одной из важнейших категорий, тесно

Page 8: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

связанной с сущностью и отношением), диалектика (др.греч. – искусство

вести беседу, искусство аргументации, наука логики, теория и метод познания

действительности, на основе наиболее общих закономерных связей,

становления и развитии).

Несколько позже появились такие понятия, как структура ( лат. -

строение, конструкция, внутреннее устройство чего-либо) механизм, процесс,

модель. В современной науке понятие структура обычно соотносится с

понятиями системы и организации и непосредственно связана с ними, в

качестве одного из способов определения понятия формы, Форма как

структура, организация содержания. Механи*зм (греч. - машина) — внутреннее

устройство машины, приводящее ее в действие. Моде*ль (от лат. - мера, аналог,

образец) - система, исследование которой служит средством для получения

информации о другой системе, упрощённое представление чего-либо

реального.

Говоря об аналитике, нельзя не сказать об эвристике (от греч. -

отыскиваю, открываю, нахожу) — совокупность приемов и методов,

облегчающих и упрощающих решение познавательных, конструктивных,

практических задач, возникшее в Древней Греции как метод обучения,

применявшийся Сократом: в ходе беседы ее участники с помощью системы

наводящих вопросов и примеров наталкивались учителем на правильный ответ.

Ну чем ни современный case – метод обучения, экзамены в формате

тестирования, ЕГЭ?!

Этот достаточно небольшой набор инструментов, родоначальниками

формирования которого были Платон, Сократ и Аристотель, положило начало

созданию других наук и теорий, которые на основе аналитики заложили

технологию познания и тем самым обеспечили технический прогресс и

развитие цивилизации в целом. Такой подход и эти инструменты в процессе

развития общества получили дальнейшее развитие и широко и успешно

применяются в наши дни. В настоящее время немыслимо развитие технологий

и общества без системы естественных и точных наук, которая включает, как

Page 9: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

свои подсистемы многие другие разделы - науки, теории и подходы. В

частности, - теория систем, теория сложных систем, системный анализ,

системная инженерия, теория процессов, теория управления, теория

автоматического управления, теория автоматического регулирования,

системный подход, процессный подход, ситуационный подход, менеджмент и

т.д.

Роль философии в аналитике

Философия в развитии аналитики играла важнейшую роль, олицетворяя

системный подход в мышлении и познании, выступая системным

интегратором, являясь наукой, методом и методологией познания. Благодаря

философии удалось: сформировать постоянно развивающиеся и

пополняющиеся - систему достоверных знаний и целостную картину мира и его

составных частей; обеспечить решение частных задач через призму решения

общих задач; избежать изучения «вслепую»; фрагментарности и эклектичности

познания.

Парадоксы реальности

В настоящее время, когда человечество в своем техническом прогрессе на

основе наук и аналитических подходов практически достигла совершенства –

расщепление ядер атомов, масштабное освоение космоса, кибернетика и т.д.,

все чаще в рамках отдельных государств и в глобальном масштабе приходится

сталкиваться с таким понятием, как кризис ( греч. - решение, приговор,

решительный исход, перелом, тяжелое переходное состояние). Почему,

достигнув совершенства и высочайшей эффективности в решении технических

проблем, человечество не может так же эффективно решать экономические и

социальные проблемы? Причин множество, но пожалуй, можно выделить

следующие. Технические проекты не подвержены идеологическим

предрассудкам, догматизму, абстрактной казуистике, либо уязвимы в этом

отношении в гораздо меньшей степени; целесообразность их разработки и

реализации определяет жесткий прагматизм; критерием их эффективности

выступают объективные физические параметры и процессы; технические

Page 10: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

проекты осязаемы как в материально – вещественном, так и во временном

отношениях; наглядность реализации технических проектов;

совершенствование технических объектов происходит методом

последовательных приближений - от более простых к более сложным и

совершенным путем их модернизации; доминирование рациональных

управленческих решений (в силу специфики, - в подавляющем большинстве,

рещения основаны на научных и инженерных расчетах) над субъективными

(интуитивными, основанными на суждениях); исторически сложившаяся

большая персональная ответственность за неуспех, что предусматривает более

качественный подход на всех этапах – от разработки до полной реализации

проекта.

Подходы к обеспечению безопасности

Сегодня при проектировании и создании какого-либо технического,

организационного, экономического или социального объекта кажется

очевидным, что необходимо рассматривать его, как минимум, с трех позиций –

создание системы, механизма и процесса, а также необходимо рассматривать

комплексно такие его категории как состояние, модель, моделирование,

структура и другие прагматические категории. Прежде чем говорить о

безопасности, следует задать ряд вопросов и получить на них ответы. Что такое

безопасность? Есть ли в ней система, механизм, процесс? Обеспечена ли

безопасность в полном понимании этого термина? Разработана ли модель

объекта (организации, региона,..), модель его безопасности, модели угроз,

модели уязвимостей, модели нарушителей, модели защиты? Насколько

адекватны эти модели? Насколько развита наука, техника, общество, институты

и структуры для решения проблем безопасности на новом качественном

уровне? Какие подходы необходимо использовать?

Примечательно, что указанные выше понятия и категории, используемые

в аналитике, применимы к разным системам [4], механизмам и процессам -

физическим, экономическим, социальным, психологическим и иным, по сути

они аналогичны и отличаются лишь определенной спецификой, При их

Page 11: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

исследовании можно использовать метод аналогии и аналоговые модели [5].

Целесообразно, прежде всего, рассмотреть, философский, технократический

подход и подход с позиций менеджмента. Кратко – философский подход

должен обеспечить целостность, многосторонность, гармоничность, единство

формы и содержания создаваемых системы, механизма и процесса. Подход с

позиций менеджмента требует рассмотрения через призму управления

системами организационных структур и людьми, выполнения функций

менеджмента. Технократический подход – с позиций материальных,

физических и технических объектов и их систем.

Технократический подход к обеспечению безопасности

Этот подход можно эффективно применять, например, используя метод

аналогии [5], в частности, с ЛА - летательным аппаратом (самолетом). Такие

подходы известны, в частности, при визуальном моделировании экономических

процессов с помощью языка UML (unified modeling language). Данная модель

(модель ЛА) может реализовать, как минимум, шесть степеней свободы, дает

возможность имитировать поведение, в частности, социальной и

экономической систем, имитируя воздействия внешней и внутренней среды.

Для нее необходимы три типа математических моделей – модель внешней

среды, модель системы (ЛА), как физического тела, взаимодействующего с

внешней средой, модель самой системы, имитирующей поведение системы

«внутри себя», связанная (с конструкцией) структурой системы – для оценки

воздействия факторов внутренней среды. Две последних модели могут быть

совмещены в одной. Модели должна быть адекватными аналогам и отражать

абсолютные и относительные параметры, характеризующие систему.

С позиций динамики - система должна обладать устойчивостью как

статической, так и динамической. Также система должна обладать

определенной маневренностью (мобильностью) – способностью изменять

свое положение и состояние при управленческом воздействии и

управляемостью – способностью эффективно подчиняться управленческим

воздействиям и адекватно реагировать на управленческие воздействия. С

Page 12: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

позиций теории управления, теории автоматического управления система

должна рассматриваться как «черный ящик» со «входом» и «выходом» с

устойчивой прямой и обратной связью и связью с внешней средой. Говоря об

устойчивости, необходимо разработать критерии – как пороговые значения

характерных параметров, так и градиенты функций, посредством которых

реализуются происходящие с системой процессы.

С позиций аналитики система безопасности должна предусматривать

декомпозицию и композицию как по иерархическому – от микро - до макро –

уровней, так и по функциональному принципу – политическая, экономическая,

социальная подсистемы, подсистема безопасности и т.д. Говоря о системе,

также следует использовать такую категорию, как состояние, поскольку

система [6] существует в двух состояниях – состоянии функционирования и

состоянии развития и противоречие между этими двумя состояниями и

является гносеологической причиной кризисов.

С позиций менеджмента, система должна предусматривать

декомпозицию по функциям менеджмента [6]: планирование, организация,

контроль, регулирование, координация, анализ, активация.

Говоря о механизме, следует сказать, что он должен быть эффективным,

надежным, не перегруженным, гибким и адекватным системе и процессу.

Таким образом, с позиций аналитики, технократического подхода и

менеджмента, можно попытаться дать определение безопасности.

Безопасность и ее функциональные составляющие (экономическая

безопасность (ЭБ), информационная безопасность (ИБ) и др. ) это система,

механизм и процесс, характеризующие объект (каковым может является

организация, регион, государство), оцениваемые с позиций отнесения его к

состоянием функционирования и развития, с позиций устойчивости,

управляемости и мобильности, с позиций оценки соответствия параметров,

объективно характеризующих состояние этого объекта, диапазону допустимых

значений и динамики изменения этих параметров, позволяющих своевременно

принять меры, не допускающие выхода данных параметров за пределы

Page 13: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

допустимого диапазона, что позволяет предупреждать, избегать, не допускать и

предотвращать угрозы и кризисные явления.

Система, механизм и процесс обеспечения безопасности, помимо

прочего, должна предусматривать наличие следующих составляющих:

создание стандартов национальной безопасности (НБ), аналогом и

прототипом которых могут стать стандарты, разработанные в области

информационной безопасности и стандарты менеджмента качества;

создание взаимосогласованных стандартов безопасности во всех

функциональных сферах, комплексно составляющих систему безопасности -

информационной безопасности, экономической, продовольственной,

энергетической, промышленной, экологической и т.д.

создание системы критериев, позволяющих объективно оценивать

безопасности как в статическом, так и в динамическом отношениях,

достоверно определить пороговые, предельно допустимые значения

характерных параметров и показателей безопасности;

широкое применение моделирования, использование сертифицированных

имитационных моделей для оценок и прогнозирования в области

безопасности;

масштабное внедрение систем поддержки принятия решений (СППР) на

всех уровнях руководства с целью повышения доли рациональных

управленческих решений (УР) и снижения доли субъективных УР

(интуитивных решений, решений, основанных на суждениях) в

принимаемых УР;

создание системы и механизма эффективной, непрерывной и устойчивой

обратной связи, основанной на системах мониторинга, статистики и работе

с органами власти, организациями, населением;

создание единой организационной структуры обеспечения безопасности

объекта, объединяющей возможности как государственных, так и

негосударственных органов, занимающихся вопросами безопасности;

Page 14: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

создание комплексной системы безопасности, основанной на привлечении к

активному участию в решении задач безопасности всех имеющих к ней

прямое или косвенное отношение организаций и лиц;

координация всех структур и лиц, участвующих в решении вопросов

безопасности, а также их действий;

взаимосвязанность, целостность, непрерывность и цикличность системы,

механизма и процесса обеспечения безопасности.

Список литературы

1. Федеральный закон от 28.12.2010 N 390-ФЗ «О безопасности»

(Источники публикации: «Российская газета», N 295, 29.12.2010

«Собрание законодательства РФ», 03.01.2011, N 1, ст. 2).

2. Указ Президента Российской Федерации от 12.05.2009 537 «О

стратегии национальной безопасности Российской Федерации до

2020 года» (Источники публикации: «Российская газета», N 88,

19.05.2009 «Собрание законодательства РФ», 18.05.2009, N 20, ст.

2444).

3. Большой Российский энциклопедический словарь. — М.: БРЭ. —

2003, с. 1437.

4. Сурмин Ю. П. Теория систем и системный анализ: Учеб. пособие.

— К.:МАУП, 2003. — 368 с.

5. Филяк П.Ю. «Использование методов аналогии при решении

проблем экономической безопасности». В сборнике трудов по

материалам IX Международной научной конференции «Проблемы

менеджмента и рынка»/Под ред. д.э.н. Л.С. Зеленцовой, д.э.н. Н.К.

Борисюка – Оренбург: ИПК ОГУ 2004 – с. 240 – 246.

6. Антикризисное управление/Под ред. Э.М. Короткова. М.: ИНФРА

– М, 1999.

Page 15: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

СООТНОШЕНИЕ МЕЖДУ ИНФОРМАЦИОННОЙ И

ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТЬЮ

Башелханов Игорь Викторович

к.ф.-м.н.

Финансовый университет при Правительстве РФ

Колледж Информатики и Программирования

Россия, г. Москва

greeceer @mail.com

Проблема соотношения между информационной и экономической

безопасностью имеет не только теоретическое, но и фундаментальное

практическое значение. Информация — это базовое физико-технико-

математическое понятие. В нашей систематике технико-математические меры

защиты информации. выделенные из целостных ФТМ-методов, эквивалентны

программно-аппаратным средствам обеспечения информационной

безопасности. В таких условиях понятие «экономическая безопасность»

очевидно является зависимым от понятия «информационная безопасность».

Если разбираться далее, то физика связывается с экономикой через понятие об

информации.

Установление связи между фундаментальными понятиями экономики и

физики неоднократно декларировалось как очевидная «эконофизическая

задача» [1,с.19]. И, наконец, в 2000-х годах к описанию процессов экономики

начали привлекать методы, заимствованные из квантовой механики [1,с.25].

Россия является социо-физико-технической системой (далее - РСФТС).

Социальную часть этой системы образуют социальные отношения и люди.

Физико-техническую ее часть составляют средства производства. Современные

средства производства включают и средства производства информации, ее

хранения и передачи - т.н. информационно-коммуникационная техника

(технологии, далее- ИКТ). Политика, философия обеспечения безопасности

Page 16: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

«ИКТ- средств производства» удовлетворительно, а в некоторых секторах

хорошо разработана и является вершиной инноваций в современной

финансово-банковской сфере российской экономики. Поэтому их лучшие

наработки можно успешно распространить и на всю российскую социо-физико-

техническую систему. Особенно актуальным это становится в эпоху

вялотекущих (десятилетиями и многими сотнями лет) и быстропротекающих

(за наносекунды) математических, кибернетических войн [2,с.11]. В последнем

случае экономика любой страны может рухнуть за доли секунды при

реализации атак по направлениям уязвимостей. Компания IBM в КНР ввела

недавно в строй программно-аппаратные средства по продаже

железнодорожных билетов в дни, предшествующие китайскому Новому году.

Число обращений в предпраздничные дни может достигать сотен миллионов

запросов в сутки и все они корректно и безопасно обслуживаются. Это

невозможно сделать без неукоснительного соблюдения политики безопасности.

Политика описывает безопасность в обобщенных терминах без специфических

деталей. Она обеспечивает планирование всей программы обеспечения

безопасности.

По Платонову В.В. политика информационной безопасности (или

политика безопасности) является планом высокого уровня, в котором

описываются цели и задачи организации, а также мероприятия в сфере

обеспечения безопасности [3,с.16]. Под политикой безопасности организации

Шаньгин В.Ф. понимает совокупность документированных управленческих

решений, направленных на защиту информации и ассоциированных с ней

ресурсов [4, с.61].

Приведем некоторые из традиционных и обязательных правил

обеспечения информационной безопасности в финансово-банковской системе в

промышленно развитых странах [5,c.4] адаптированные нами к российской

социо-физико-технической системе:

Page 17: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

1. Свод правил безопасности и его основные принципы должны быть

предельно формализованы и исключить различное толкование либо

возникновение правовых и иных коллизий

2. Основные принципы безопасности должны неукоснительно соблюдаться

всеми элементами РСФТС , независимо от их местоположения, размеров,

масштабов деятельности, типов используемого оборудования или

материалов и т.д. Любые отклонения (исключения) от этих принципов

должны оформляться специальными утверждаемые системным

интегратором (например, регулятором) документами

3. Изменение любого из социо-производственно-технических отношений и

внедрение инноваций в них должны сопровождаться изучением и

оценкой факторов уязвимости и возможных последствий, угроз для

безопасности РСФТС

4. Приобретение любого оборудования (иностранного и отечественного),

его адаптация или модернизация также должны анализироваться с точки

зрения возможного несанкционированного проникновения через него,

преднамеренного блокирования РСФТС и осуществления др.угроз.

Нынешний кризис и турбулентность в мировой экономике, на наш взгляд,

в большей мере, являются следствием «пандемии» деменции, и в особенности,

цифровой деменции, а также депрессии (как заболевания), СДВГ- синдрома

дефицита внимания и гиперактивности, синдрома эмоционального выгорания.

Все эти неврологические нарушения приводят к нарушению экономической,

политической, социальной и др. активности сотен миллионов наиболее

интеллектуальных людей, а также патологической активности десятков

миллионов с более глубоким поражением мозга. Нарушение когнитивных

функций является одним из наиболее распространенных неврологических

расстройств, оно вызывает большое число различных по этиологии и

патогенезу заболеваний головного мозга. Деменция –это наиболее тяжелое

когнитивное расстройство которое приводит к дезаптации людей в

Page 18: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

профессиональной и социально-бытовой сфере. Депрессия может

продуцировать симптомы, соответствующие критериям деменции: снижение

интеллектуальных показателей при тестировании, сужение круга интересов,

нарушение внимания, периодическая дезориентация [6, c.50]. Последний

случай мы сравниваем с хаотично флуктуирующим триггером. Проблема с

французскими «Мистралями» (проблема нерешительного Франсуа Олланда:

поставлять или не поставлять вертолетоносцы России) ярко демонстрирует

эффект такого триггера и равноценна проблеме гибнущего «Буриданова осла».

Уменьшение скорости производства «истинных знаний» по Иванусу А.И.

приводит к появлению большого объема «малоистинных знаний» [7, с.87].

Экономисты Джордж Акерлоф (нобелевский лауреат 2001 г.) и Роберт Шиллер

(нобелевский лауреат 2013 г.) рекомендовали объединить экономику с наукой о

мозге [7, с.9]. Отметим, что Р.Шиллер работает в области экономической науки

о т.н. «поведенческих финансах». Математические войны , цифровая деменция

и, напрямую связанные с ними, по нашему мнению, киберпреступность,

согласно внутреннему официальному докладу компании Group-IB, привела к

ущербу для мировой экономики в 2013 г. в размере 27 млрд. долларов.

Очевидно, что реальные незаявленные размеры ущерба на порядок больше.

Организационные меры защиты российской социо-физико-технической

системы состоят из трех направлений обеспечения безопасности: философия,

государство, формация [8,c.36]. Философия, в свою очередь, условно,

фрагментируется на нейминг угроз (целеуказание), на культуру, на политики

безопасности. Культура фрагментируется на религию, науку, образование.

Ныне актуализируются атаки на религиозные институты (например-

непристойное поведение в церкви). В большинстве стран западной

цивилизации и симпатизирующих ей государствах неофициально цифровая

религия вытесняет традиционные религиозные институты. По сообщениям

СМИ Марк Цукерберг, в связи с этим, был объявлен «богом», появились и

апологеты этой религии. Специалисты по информационной безопасности

признают формирование цифрового фашизма. Организационное воздействие на

Page 19: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

российскую науку или бездействие институтов безопасности РСФТС привели к

тому, что к середине 2000-х годов количество ученых-исследователей в России

уменьшилось примерно в три раза по сравнению с 1991 годом. Эмигрировали

более 800 тысяч научных сотрудников, в основном, из реального сектора, т.е. из

областей технических и естественных наук. Ежегодно Россию покидает до 15 %

выпускников ВУЗов которые имеют больший потенциал научной активности,

чем остающиеся. По подсчетам экспертов ООН, отъезд за рубеж одного

человека с высшим образованием наносит поражаемой стране ущерб в размере

от 300 тысяч до 800 тысяч USD [9, с.5]. Экономические меры обеспечения

безопасности РСФТС заключаются в защите социально-производственных

отношений, защите средств производства, защите людей. В результате

экономической войны социально-производственные отношения подвергаются

гипертрофированному росту, реформации (перенаправлении) и ликвидации;

люди – естественно убывают, уничтожаются или непропорционально

увеличиваются их количество; средства производства - уничтожаются ,

дробятся, неадекватно увеличиваются или комбинируются. Маркетинговые

меры защиты РСФТС предполагают использование следующих средств

противодействия трем направлениям угроз: созданию виртуальных ценностей,

осознанию будущим потребителем виртуальной ценности, как производной его

же ума (создание иллюзии реализации права выбора), захвату (обретению)

цели, приносящей, впоследствии, ущерб владельцу и собственнику (попадание

на «удочку» или в ловушку). На этих трех китах строятся маркетинговые

войны. Например, из-за быстрого роста в предшествовавшие три десятилетия,

суммарная номинальная стоимость производных ценных бумаг к 2008 г.

достигла 600 трлн. USD, на порядок превысив общемировой ВВП [1, с.25], что

свидетельствовало об иллюзорности финансового бытия того времени

(психофизический феномен).

Заключение. Резюмируя вышесказанное мы отразим следующее:

Экономическая безопасность является зависимым параметром от

обеспечения информационной безопасности. Конвергенция наук приводит к

Page 20: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

очевидному слиянию, пересечению исследуемых объектов (процессов) в

когнитивном пространстве, так и методов исследования объектов (процессов).

В результате этого слияния появилась, например, эконофизика, квантовая

экономика, квантовая теория финансов. Методы классической статистической

механики и квантовой механики органично входят в исследовательский аппарат

экономической науки и многое корректно объясняют. Политика и философия

безопасности развитая в мировой финансово-банковской сфере применительно

к ИКТ, могут с незначительными поправками успешно применяться в

отношении российской социо-физико-технической системы для обнаружения

уязвимостей, предотвращения и нейтрализации угроз экономике современной

России. Концепция защиты информации основанная на фрактальном принципе

может успешно применяться к РСФТС. Одной из основных угроз

экономической безопасности государств и хозяйствующих субъектов является

реализующаяся ежеминутно угроза цифровой деменции (цифрового слабоумия)

биопроцессоров.

Литература:

1. Словохотов Ю.Л. Физика и социофизика. Ч.2. Сети социальных

взаимодействий. Эконофизика// Проблемы управления.- 2012. - 2. -

С.2-31

2. Башелханов И. Кибервойны будущего – к чему готовиться

законодателям и корпорациям//Information Security/Информационная

безопасность. - 2014 г. – 5. - С.11-12

3. Платонов В.В. Программно-аппаратные средства защиты информации.

– М.: Издательский центр «Академия», 2013. – 336 с.

4. Шаньгин В.Ф. Информационная безопасность компьютерных систем

и сетей. – М.: ИД «Форум: ИНФРА-М», 2011. – 416 с.

5. Береговой В.А. Вопросы безопасности информационных сетей в

банковской сфере//Экономико-организационные и программно-

технические вопросы обработки и защиты информации:

Page 21: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

Сб.науч.тр./Редкол.: Е.В.Стельмашонок (отв.ред.) и др.-СПб.: Изд-во

СПбГИЭУ, 2003-124 с.

6. Деменция: клинико-параклиническая характеристика, диагностика,

лечение. Сост. А.Н.Богданов. - Сургут: РИО СурГПУ, 2009. - 105 с.

7. Иванус А.И. Гармоничное управление инновационной экономикой в

условиях неопределенности. - М.: Книжный Дом «Либроком», 2012.-

208 с.

8. Башелханов И.В., Башелханов С.И. Концепция защиты информации.

Новые аспекты обеспечения информационной безопасности //

Информационные технологии в науке, бизнесе и образовании

(Технологии безопасности) : Сборник трудов VI Международной

научно-практической конференции студентов, аспирантов и молодых

ученых. – М.: Изд-во Финансового университета, 2013. – 272 c.

9. Полтерович В.М. Реформа РАН: экспертный анализ. Статья 1.

Реформа РАН: проект Минобрнауки//ОНС (Общественные науки и

современность). - 2014. - 1. – С.5-28

Page 22: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

СПС КОНСУЛЬТАНТПЛЮС КАК ИСТОЧНИК ПРАВОВОЙ

ИНФОРМАЦИИ. ДОСТУП К ИНФОРМАЦИОННЫМ РЕСУРСАМ СПС

КОНСУЛЬТАНТПЛЮС

Ульянова Юлия Евгеньевна

Компания "КонсультантПлюс"

Россия, г. Москва

ulyanovа[email protected]

Кузнецов Лонгин Константинович

к.т.н., доцент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. Рассматривается формирование нормативно-правовой базы

информа-ционной безопасности (НПБ ИБ) с использованием СПС

"КонсультантПлюс".

Ключевые слова: нормативно-правовая база, правовые документы,

справочно-правовая система.

Правовые меры обеспечения информационной безопасности (ИБ) и

защиты информации составляют основу деятельности и поведения сотрудников

предприятия и регулируют их ответственность за нарушение установленных

норм.

В тоже время объем накопленных нормативно-правовых документов в

области информационной безопасности настолько огромен, что подчас ставит в

тупик работника предприятия, ответственного за ИБ. Второй, не менее важной

составляющей, является поддержание нормативно-правовых документов в

актуальном состоянии. Решить указанные проблемы в значительной степени

могут справочно-правовые системы (СПС). Одной из таких СПС,

представленных на российском рынке программного обеспечения, является

Page 23: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

СПС " КонсультантПлюс ". СПС "КонсультантПлюс" может стать надежным и

эффективным помощником сотрудника предприятия, ответственного за ИБ.

"КонсультантПлюс" – система, направленная на легкий, удобный, быстрый

поиск и анализ правовой информации [1].

В данной работе акцент сделан на формирование нормативно-правой

базы информационной безопасности (НПБ ИБ) средствами СПС

"КонсультантПлюс ". Предполагается, что сотрудник, ответственный за ИБ

предприятия, должен иметь набор соответствующих документов по ИБ.

Система «КонсультантПлюс» позволяет достаточно легко сформировать НПБ

ИБ и, что особенно важно, поддерживать ее в дальнейшем в актуализированном

состоянии.

Правовая защита ИБ – это свод специальных законов, нормативных

актов, правил, процедур и мероприятий, обеспечивающих защиту информации

на правовой основе, регламентирующих правила пользования, обработки и

передачи информации ограниченного доступа и устанавливающих меры

ответственности за нарушение этих правил.

Нормативно-правовая база ИБ (НПБ ИБ) – это совокупность

официальных документов, связанных с информационной безопасностью,

которые принимаются в определенной форме правотворческим органом.

Следовательно, правовая защита информации, обеспечиваемая

нормативно-правовыми актами, представляет собой иерархическую систему от

Конституции РФ до функциональных обязанностей и контракта отдельного

конкретного исполнителя, определяющих перечень сведений, подлежащих

охране, и меры ответственности за их разглашение. Нормативно-правовая база

информационной безопасности включает в себя Федеральные законы, «свежие»

нормативно-правовые документы, внутриорганизационные документы, и

огромное количество подзаконных актов (рис. 1).

Page 24: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

НПБ

ИБП

СвежиеЗа текущий год

За последний месяц

За последнюю неделю

На контроле

Федеральные законы

Подзаконные акты

Указы Президента

Постановления и

распоряжения Акты федеральных

организацийМежведомственные

ГОСТЫ

ФСБ

Минкомсвязи

ФСО

ФСТЭК

Международные

Прочие

Архив

Внутриорганизационны

е

Должностные

Действующие в

Рис. 1. Схема нормативно-правовой базы ИБ

Чтобы быстро сформировать НПБ ЗИ предприятия в соответствии со

схемой рис. 1 достаточно воспользоваться технологией "Избранное",

поддерживающей создание, как отдельных папок, так и группы папок. В папках

могут находиться любые документы из системы «КонсультантПлюс». В любой

момент папку можно дополнить другими (новыми) документами или убрать из

нее ненужные. С папками можно проводить операции: "Объединить" – показать

все документы из выбранных папок; "Пересечь" – показать документы,

дублирующиеся в выбранных папках; "Вычесть" – можно вычесть все

Page 25: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

документы одной папки из другой. Все созданные пользователем папки

сохраняются после выхода из системы.

При работе с правовыми документами по ИБ всегда имеются документы,

изменения в которых пользователю важно не пропустить. Для поддержания

избранных документов в актуализированном состоянии приходиться

периодически их находить и просматривать. СПС "КонсультантПлюс"

обеспечивает автоматическую проверку изменений в выбранных пользователем

документах. Актуализация документов осуществляется с помощью функции

"Документы на контроле". О любых изменениях произошедших с документами,

находящимися на контроле, мы узнаем в момент запуска системы

"КонсультантПлюс". При этом указанные документы в папках автоматически

перемещаются на первые позиции, а изменения, произошедшие в документах,

выделяются другим цветом, чтобы пользователь мог сразу их увидеть.

Используя технологию "Закладки" можно установить электронные

закладки на отдельные фрагменты текста документа (полная аналогия обычных

бумажных закладок). Закладки в последствии позволят легко найти и сам

документ, и нужный его фрагмент. Закладки можно поставить к любому

фрагменту любого документа.

Литература

1. Камынин В.А., Ничепорук Н.Б., Зубарев С.Л., Пшеничнов М.П.

КонсультантПлюс: Учимся на примерах. Учебно-методическое

пособие для студентов вузов. – М.: ООО "Консультант: АСУ", 2013.

– 144 с.

2. Кузнецов Л.К. Использование СПС при подготовке специалистов в

области налогообложения. – Современная налоговая система:

состояние и перспективы (национальный и международный опыт)":

сборник статей II международной научно-практической

конференции 30 ноября 2012 г. – М.: Финуниверситет, 2012. С.

341-345.

3. Справочная система КонсультантПлюс (http://www. consultant.ru /).

Page 26: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

НОВЫЕ ВОЗМОЖНОСТИ И СЕРВИСЫ СИСТЕМЫ "ГАРАНТ" В

УЧЕБЕ И ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ

Марданова Галина Александровна

Компания "Гарант"

Россия, г. Москва

[email protected]

Кузнецов Лонгин Константинович

к.т.н., доцент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. Рассматривается вопросы создания нормативно-правовой

базы информационной безопасности с помощью системы "Гарант".

Ключевые слова: правовая информация, нормативно-правовая база,

справочно-правовая система, информационная безопасность.

Важнейшим аспектом решения проблемы информационной безопасности

(ИБ) является правовое обеспечение. За последние годы в области правового

обеспечения информационной безопасности накоплен огромный материал,

способный поставить в тупик любого неискушенного читателя. Помочь с

ориентироваться в правовых документах по ИБ призваны справочно-правовые

системы (СПС). Одним из ярких представителей СПС, представленных на

российском рынке программного обеспечения, является СПС "Гарант". В

настоящее время компания "Гарант" предлагает новый, более мощный и

профессиональный инструментарий для поиска документов и отображения

информации, который делает работу с системой еще более удобной и отвечает

самым взыскательным требованиям профессионалов [1].

В данной работе акцент сделан на формирование нормативно-правой

базы информационной безопасности средствами СПС "Гарант". Каждый

Page 27: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

сотрудник, ответственный за ИБ предприятия должен иметь набор

соответствующих правовых документов по ИБ. Перечень этих документов

позволяет легко сформировать и упорядочить справочно-правовая система

"Гарант".

Нормативно-правовая база ИБ (НПБ ИБ) – это совокупность

официальных письменных (изданных) документов, связанных с

информационной безопасностью, которые приняты в определенной форме

правотворческим органом. Под правовой нормой понимается общеобязательное

государственное предписание постоянного или временного характера.

Нормативно-правовая база информационной безопасности включает в

себя Федеральные законы, «свежие» нормативно-правовые документы,

внутриорганизационные документы, нормативно-методические документы,

стандарты информационной безопасности и огромное количество подзаконных

актов (рис. 1).

С учетом особенностей средств СПС "Гарант" предлагаем сформировать

НПБ ИБ в виде схемы, представленной на рис.1.

Рассмотрим специальные средства СПС "Гарант", которые легко

позволяют сформировать нормативно-правовую базу ИБ.

Создание структуры НПБ ИБ. Реализация НПБ ИБ начинается с

создания в папке "Мои документы" головной папки НПБ ИБ, а далее в

соответствии с рис. 1 создаются дочерние папки «Подзаконные акты»,

«Федеральные законы», «Внутриорганизационные документы», «Свежие

документы», «Документы на контроле».

Система папок в СПС "Гарант" соответствует той, которая

поддерживается на жестком диске вашего компьютера. Иерархическая

структура папок позволяет организовать хранение информации в удобном и

наглядном для вас виде. Вы можете управлять структурой папок, создавая или

удаляя вложенные папки подобно тому, как вы управляете папками на жестком

диске компьютера. Вы можете создавать новые папки, перемещать, удалять и

переименовывать. Папки системы "Гарант" вкладываются друг в друга, образуя

Page 28: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

иерархический список. Это позволяет структурировать сохраненные правовые

документы таким образом, чтобы пользователь НПБ ЗИ впоследствии мог

легко их отыскать. Все созданные пользователем папки сохраняются после

выхода из системы.

НПБ ИБП

Свежи

еНа контроле

Федеральны

е

законы

Подзаконные

актыАрхив

Внутриорга

-

низационны

е

За т

екущ

ий

год

За п

осл

едн

ий

мес

яцУ

каз

ы

Пр

ези

ден

таП

оста

нов

лен

ия

и р

асп

оряж

ени

я

Ак

ты

фед

ерал

ьны

х

Меж

ведо

мст

вен

н

ГО

СТ

Ы

ФС

Б

Ми

нк

омсв

язи

ФС

О

ФС

ТЭ

К

Меж

дуна

родн

ые

Про

чие

Дол

жн

остн

ые

ин

стр

укц

ии

Дей

ству

ющ

ие

в

орга

ни

зац

ии

Рис. 1. Схема нормативно-правовой базы ИБ

Заполнение НПБ ИБ. Используя поисковые средства СПС "Гарант" [1],

осуществляется поиск соответствующей информации с последующим

копированием ссылок на нее в созданные папки.

Просмотр структуры НПБ ИБ. Для просмотра структуры, созданных

Вами папок, имеются специальные команды Развернуть все и Свернуть все.

Используя эти команды, Вы можете регулировать отображение вложенных

папок в удобном для Вас виде.

Сортировка документов. По умолчанию объекты, сохраненные в папки

пользователя, автоматически сортируются по типу, а однотипные объекты -

Page 29: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

дополнительно по алфавиту. В СПС "Гарант" существуют некоторые

особенности сортировки. К примеру, в папке "Свежие документы" можно

настроить сортировку по дате последнего изменения, тогда первыми в списке

документов будут те, которые изменялись последними, т.е. являются самыми

свежими.

Операции над папками. Операции над папками обеспечивают

получение суммы, разности или общей части папок:

Дополнить список. Операция позволяет показать документы из

выбранных папок. В результате новый список содержит те документы,

которые присутствуют хотя бы в одной из исходных папок. Операцию

удобно использовать для составления тематических подборок.

Пересечь со списком. Операция позволяет показать документы,

дублирующиеся в выбранных папках. Новый список будет содержать

документы, общие для папок.

Вычесть список. Операция позволяет вычесть все документы одной

папки из другой.

"Объединить" – показать все документы из выбранных папок; "Пересечь"

– показать документы, дублирующиеся в выбранных папках; "Вычесть" –

можно вычесть все документы одной папки из другой.

Актуализация изменений НПБ ИБ. Важнейшим аспектом работы

сотрудника, ответственного за ИБ предприятия является отслеживание

изменений законодательства в области ИБ. Для актуализации изменений в

правовых документах в системе "Гарант" имеется специальная функция

автоматического слежения за избранными вами документами, которая

реализуется командой Документы на контроле. После постановки

интересующего вас документа на контроль система начнет самостоятельно

отслеживать изменения его текста и статуса действия. На контроль может быть

поставлен любой документ системы "Гарант". В момент запуска система

выдает уведомление (звуковое и графическое), если в документах, находящихся

Page 30: Сборник Трудов Vii Мнпк Технологии Безопасности

Пленарные доклады

на контроле произошли изменения, и предложит просмотреть список

изменившихся подконтрольных документов. Измененные документы в папках

будут стоять на первых местах и будут выделены специальными значками.

Если открыть документ, находящийся на контроле, в котором произошли

изменения, то изменения выделяются контрастным цветом.

Доступ к НПБ ИБ. Информация, хранимая в папках НПБ ИБ, по

умолчанию доступна только данному пользователю и не видна для остальных.

Круг пользователей, для которых открывается доступ к НПБ ИБ, определяется

разработчиком НПБ ИБ самостоятельно.

Литература

1. Авраамов А.А., Марданова Г.А., Ястребова Е.А. Практикум для

студентов юридических и экономических специальностей вузов.

Издательство: ООО «НПП «Гарант-Сервис», Москва, 2014. – 88 с.

2. Кузнецов Л.К. Использование СПС при подготовке специалистов в

области налогообложения. – Современная налоговая система:

состояние и перспективы (национальный и международный опыт):

сборник статей II международной научно-практической

конференции 30 ноября 2012 г. – М.: Финуниверситет, 2012. С.

341-345.

3. Справочная система Гарант (http://www.garant.ru/).

Page 31: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ВЫЯВЛЕНИЕ ДЕЙСТВИЙ ПО НЕСАНКЦИОИРОВАННОМУ ДОСТУПУ

К ЭЛЕМЕНТАМ ДБО

Бурлуцкий Николай Андреевич

Студент

[email protected]

Савельев Иван Андреевич

к.т.н., доцент

Финансовый Университет при Правительстве РФ

Россия, г. Москва

Savelev _ rudn @ mail . ru

Аннотация. Проводится анализ защищенности элементов дистанционного

банковского обслуживания, в частности, периферийного устройства

процессингового центра. Построенные модели угроз и модели нарушителя

имеют хороший потенциал для реализации превентивных мер в области

информационной безопасности.

Ключевые слова: дистанционное банковское обслуживание, процессинговый

центр, экспертные оценки, вычисление приоритетов.

Введение

Развитие экономических процессов в России идет в неразрывной связи с

развитием компьютерно-информационных технологий, в том числе и в сфере

дистанционного банковского обслуживания. Количество преступлений,

связанных с использованием периферийных устройств (ПУ) процессингового

центра, возрастает пропорционально их распространению на предприятиях

торговли, в офисах и банках.

Page 32: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Несмотря на реализацию превентивных мер, например, таких как,

шифрование данных, установка камер наблюдения, сигнализаций не дают

высоких результатов, и статистика кражи информации с ПУ не снижаются.

Современный банкомат вполне надежно защищен и от воздействия

внешней силы, и от хакерских угроз, но разнообразные попытки взлома

устройств для выдачи наличных не прекращаются. Статистика свидетельствует,

что физические ограбления банкоматов значительно опережают преступления в

банковской сфере в условиях дистанционного банковского обслуживания

(ДБО) взаимодействия, при сетевых транзакциях, по сумме наносимого ущерба.

Случаи взлома и хищения банкоматов ежедневно попадают в криминальные

сводки.

В 2013 г. компания Verizon Business опубликовала очередной отчет о

компрометации данных «2010 Data Breach Investigations Report». В основу

исследования, проведенного подразделением Verizon RISK Team совместно с

United States Secret Service, легли данные за последние 6 лет о более чем 900

взломах различных автоматизированных систем и свыше 900 млн

скомпрометированных элементов данных (compromised records).

Целью данной работы является анализ угроз несанкционированного

доступа (НСД) к периферийному устройству процессингового центра для

выявления наиболее опасных. Для этого необходимо решить следующие

задачи:

1. Провести анализ защищенности ДБО;

2. Определить уязвимости программных и аппаратных составляющих

ПУ;

3. Построить модель угроз и модель злоумышленника.

4. Выявить приоритетные уровни угроз ПУ.

Защищенность ДБО

Дистанционное банковское обслуживание (ДБО) — общий термин для

технологий предоставления банковских услуг на основании распоряжений,

передаваемых клиентом удаленным образом (то есть без его визита в банк),

Page 33: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

чаще всего с использованием компьютерных и телефонных сетей. Одним из

элементов ДБО является ATM-banking, на примере которого будут

рассматриваться угрозы НСД. [2]

ПУ или автоматическая кассовая машина (automated teller machine —

ATM), предназначена:

- для выдачи и приема наличных денежных средств;

- для составления документов по операциям с использованием банковских

карт;

- для выдачи информации по счету;

- осуществления безналичных платежей и т.д.

Основная функция ПУ процессингового центра состоит в выдаче наличных

денег. Помимо этого, возможны автоматизированные услуги клиенту:

ведение кассового баланса по банковскому счету;

депозитное обслуживание — прием вкладов;

проведение внешних платежей с печатью платежных документов;

удаленное кредитование карточки с лицевого счета на карточный

субсчет.

Обязательным элементом каждого ПУ процессингового центра являются:

- IBM-совместимый компьютер с многозадачной операционной системой;

- специальное или комбинированное устройство считывания магнитных,

оптических или интеллектуальных карточек; устройство выдачи купюр. [1]

ПУ оснащено процессором, дисплеем, клавиатурой и устройством чтения

карт ( ридером), предназначенным для считывания информации с карточки.

Для идентификации пользователя карточка помещается в ридер, и с клавиатуры

вводится персональный идентификационный номер (ПИН-код), после чего ПУ

проводит сеанс авторизации и при успешном его завершении выдает наличные.

Page 34: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Задачи ПУ

Вследствие большого разнообразия команд, обрабатываемых

компьютером банкомата, различны и задачи, которые решаются в

многозадачном режиме:

распознавание банковских карт разных платежных систем;

постоянный автоматический контроль всех внутренних и внешних

соединений;

обработка сигналов от большого числа датчиков;

анализ процесса выдачи купюр;

реакция на различные механические воздействия;

регистрация факта изъятия денег или «забывчивости» клиента;

авторизация и проверка правильности введенных паролей.

Для оценки угроз и уязвимостей применяются различные методы, в основе

которых лежат:

• экспертные оценки;

• статистические данные;

• учет факторов, влияющих на уровни угроз и уязвимостей. [3]

Объе

кты

Уязвимости

1 2 3 4 5

1 ДБК Потеря БК Сообщен

ие PIN-

кода

третьим

лицам

Потеря БК

вместе с

PIN-кодом

Смена PIN-

кода на

заведомо

слабый

Хранение

PIN-кода

вместе с БК

2 ДБК

+ БК

Передача

БК

третьим

лицам

Использо

вание БК

не по

назначен

ию

Сообщение

номера БК

(PAN но-

мера карты)

третьим

Сообщение

кодов

подтвержден

ия / отмены

транзакций

Сообщение

кодов

CVV2,СVC2

7 третьим

лицам

Page 35: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

лицам по БК

третьим

лицам

3 БК Размагнич

ивание

данных,

хранимых

на

магнитной

полосе БК

Физическ

ое

поврежде

ние

поверхно

сти БК

Ограниченн

ый срок

эксплуатаци

и БК

вследствие

«слабого»

принципа

хранения

данных

Изменение

данных,

хранимых на

магнитной

полосе БК

Отсутствие

подписи ДБК

на БК

4 БК +

ПУ

Скимминг

овое

устройство

считывани

я БК

Накладна

я

клавиату

ра ввода

PIN кода

Видео

наблюдение

процесса

аутентифика

ции – ввода

PIN кода БК

Подслушива

ние нажатий

клавиш PIN

клавиатуры

Подглядыван

ие процесса

аутентифика

ции ввода

PIN кода БК

5 ПУ Подмена

терминала

Перехват

управлен

ия

терминал

ом

Замена

устройства

считывания

БК

Замена

клавиатуры

ввода PIN

кода

Перевод

клавиатуры

ввода PIN

кода в

небезопасны

й режим

работы

6 ПУ +

ПЦ

Атака типа

«Man in

the middle»

Атака

типа

“Replay»

Небезопасна

я/

устаревшая

Использован

ие не

криптостойк

Использован

ие не

сертифициро

Page 36: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

технология

передачи

ключей

шифрования

их ключей

шифрования

ванного

шифрующего

оборудовани

я

7 ПЦ Небезопас

ная

передача

PIN кода и

БК к ДБК

Небезопа

сная

технолог

ия

первично

го ввода

ключей

шифрова

ния

Небезопасна

я/ не

сертифицир

ованная

технология

смены

ключей

шифрования

Не

регламентир

ованные

интервалы

смены

ключей

шифрования

Уязвимости в

физических

моду- лях

безопасности

–HSM

Таблица 1. Соотношения уязвимостей к объектам.

Модель нарушителя

Для обеспечения информационной безопасности в автоматизированных

системах управления, построения эффективной системы защиты информации,

не достаточно выявить каналы утечки информации, проанализировать

возможные угрозы, последствия их реализации и оценить потери. Нужно еще

хорошо представлять облик нарушителя.

Нарушитель - это лицо, предпринявшее попытку выполнения

запрещенных операций по ошибке, незнанию или осознанно использующее для

этого различные возможности, методы и средства.

Как правило, при построении модели нарушителя выделяют внутренних и

внешних нарушителей, а также учитывают:

– наличие у нарушителей доступа к штатным средствам (совокупность

программного, микропрограммного и технического обеспечения);

Page 37: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

– уровень знаний нарушителей об объектах атак;

– уровень профессиональной подготовки нарушителей;

– возможность использования нарушителями различных средств для

проведения атак;

– преследуемые нарушителями цели;

– возможный сговор нарушителей разных категорий.

На основании предложенных классификационных признаков модель

нарушителя будет представлена шестью категориями нарушителей.

1. Субъекты, имеющие санкционированный доступ в контролируемую

зону, но не имеющие доступа к АС. Могут воздействовать на физический

уровень стека протоколов TCP/IP, уровень вредоносного воздействия с целью

хищения информации или самоутверждения. При этом используют технические

средства перехвата без модификации компонентов системы (пассивные

средства атак).

2. Зарегистрированные пользователи АС, осуществляющие ограниченный

доступ к ресурсам АС с рабочего места. Могут воздействовать на физический,

транспортный и прикладной уровни стека протоколов TCP/IP, уровень

вредоносного воздействия с целью хищения информации, самоутверждения

или случайно. При этом используют технические средства перехвата без

модификации компонентов системы (пассивные средства атак), а также

штатные средства и недостатки систем защиты для ее преодоления.

3. Зарегистрированные пользователи АС, осуществляющие удаленный

доступ к АС по локальным и (или) распределенным каналам передачи данных.

Могут воздействовать на физический, сетевой, транспортный и прикладной

уровни стека протоколов TCP/IP, уровень вредоносного воздействия с целью

хищения информации, самоутверждения или случайно. При этом используют

технические средства перехвата без модификации компонентов системы

(пассивные средства атак), а также штатные средства и недостатки систем

защиты для ее преодоления.

Page 38: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

4. Зарегистрированные пользователи с полномочиями системного

администратора АС. Могут воздействовать на все уровни стека протоколов

TCP/IP, уровень вредоносного воздействия с целью хищения информации, а

также с целью вывода из строя АС. При этом используют все средства атак.

Возможен сговор с нарушителями пятой и шестой категорий. Не имеют

доступа к средствам защиты информации и протоколирования и к части

ключевых элементов АС.

5. Внешние нарушители, которыми являются субъекты, осуществляющие

воздействие за пределами контролируемой зоны. Могут воздействовать на все

уровни с целью хищения информации, самоутверждения, а также вывода из

строя АС. При этом используют методы и средства активного воздействия

(модификация и подключение дополнительных технических средств,

подключение к каналам передачи данных, внедрение программных закладок и

использование специальных инструментальных и технологических программ).

6. Разработчики прикладного ПО и технических средств и лица,

обеспечивающие их поставку, сопровождение и ремонт на защищаемом

объекте. Могут воздействовать на все уровни стека протоколов TCP/IP, уровень

вредоносного воздействия, уровень технических каналов, уровень закладных

устройств с целью хищения информации, а также вывода из строя АС. При

этом используют все средства атак. Могут вступать в сговор с нарушителями

четвертой и пятой категорий, а также вносить ошибки, программные закладки,

вредоносные программы в ПО и технические средства АС и имеют

недекларированные возможности.

При построении модели угроз предлагается классифицировать угрозы,

источником которых является нарушитель, в соответствии с уровнями

воздействия нарушителей, что позволит упростить процедуру взаимодействия

моделей угроз и нарушителей, необходимую для построения перечня

актуальных угроз.

Page 39: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

На основании полученных от модели угроз данных (уровни воздействия

нарушителей, на которых существуют угрозы, перечень угроз) осуществляется

соотношение угроз с возможностями нарушителя той или иной категории.

Перечень угроз, классифицированных в соответствии с уровнями

воздействия нарушителей, представляется в следующем виде: Уi, L1, L2, L3,

L4, L5, L6, L7, L8, L9, i=[1; N], где N – количество актуальных угроз; Lj – флаг

для обозначения j-го уровня воздействия нарушителей, для которого актуальна

Уi угроза, j=[1; 9]; L9 – уровень закладных устройств; L8 – уровень системы

защиты информации; L7 – уровень технических каналов; L6 – прикладной

уровень эталонной модели TCP/IP; L5 – транспортный уровень эталонной

модели TCP/IP; L4 – сетевой уровень эталонной модели TCP/IP; L3 –

канальный уровень эталон- ной модели TCP/IP; L2 – физический уровень

эталонной модели TCP/IP; L1 – уровень вредоносного воздействия.

Методика определения категории нарушителя в общем случае сводится к

следующему алгоритму.

1. Выбирается признак классификации из множества L=(L1, L2, L3, L4,

L5, L6, L7, L8, L9).

2. По значению выбранного j-го признака множество угроз Уi

разбивается на подмножества Уij.

3. Формируется вектор l существования актуальных угроз j-му уровню

воздействия нарушителя по следующему правилу: j-й элемент вектора l равен

единице, если |Уij|>0, и нулю в ином случае.

4. С помощью вектора l определяется максимальная

категория нарушителя в соответствии с таблицей, начиная с

нарушителя первой категории (Н1).

Алгоритм определения наиболее уязвимых каналов по

методу Саати

Существует множество процессов и явлений,

количественная информация для характеристики которых

Page 40: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

отсутствует или очень быстро изменяется. В этом случае используются методы

экспертных оценок, сущность которых заключается в том, что в основу

прогноза закладывается мнение специалиста, основанное на

профессиональном, научном и практическом опыте. На основании метода

Саати и метода экспертных оценок по указанному алгоритму (рис. 1) получаем

следующие данные, оформленные в таблице 2. [4,5]

Рис. 1.

Категор

ия

Уровни

L1 L2 L3 L4 L5 L6 L7 L8 L9 Ве

с

Приорит

ет

H1 2,5 2,5 2,5 2,5 2,5 2,5 0 0 0 0.0

6

0.9

H2 0 5 7,5 5 5 7,5 5 5 7,5 0.1

6

7.6

H3 0 5 7,5 5 5 7,5 5 5 7,5 0,2

5

11.9

H4 7,5 5 5 7,5 10 2,5 5 2,5 7,5 0.4 21

H5 0 2,5 2,5 2,5 2,5 2,5 2,5 0 0 0.1 1.5

H6 2,5 0 0 0 0 0 0 0 0 0.0

4

0.04

Вес 0.

018

0.07

2

0.10

9

0.16

3

0.29

4

0.03

6

0.0

5

0.02

4

0.23

Приори

тет

0.27 1.26 2.18 3.26 5.88 0.63 0.7

5

0.24 3.45

Таблица 2. Значения приоритетов угроз безопасности

Таким образом, по методу Саати наименее защищенным, а в следствие

самым уязвимым, оказался транспортный уровень; а среди категории

нарушителей – инсайдер с правами доступа уровня администратора. Именно

они имеют преимущества по сравнению с другими вариантами по всем

Page 41: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

интегральным признакам, а так же имеют самые большие весовые

коэффициенты.

Заключение

В рамках анализа уязвимостей, задача обеспечения безопасности

элементов ДБО является многогранной, а ее комплексное решение требует

тщательной проработки всех деталей от логической организации до

фактической реализации.

Весь комплекс мер, направленных на обеспечение сетевой безопасности,

можно условно разделить на несколько уровней:

• сетевой уровень;

• транспортный уровень;

• уровень приложений.

Каждый из перечисленных уровней может пересекаться с другим в

некоторой области или быть полностью интегрирован в него. Поэтому в данном

контексте разделение довольно условное, поскольку известны системы, где

практически все перечисленные выше уровни являют собой единый неделимый

комплекс.

Литература

1. Лыньков Л.М., Петров А.Ю., Подельщикова Г.В., Прудник А.М.

Основные банковские операции и обеспечение безопасности: Учеб.

пособие. – Минск.: БГУИР, 2002. – 66 с.

2. https://ru.wikipedia.org/wiki/Дистанционное_банковское_обслуживание

3. Петренко С.А. Управление информационными рисками.

Экономически оправданная безопасность. М.: Компания АйТи; ДМК

Пресс, 2005. – 485 с.

4. Саати Т. Принятие решений. Метод анализа иерархий. - М.: Радио и

связь, 1993.

5. Андронов, А.М., Копытов, Е.А., Гринглаз, Л.Я. Теория вероятностей и

математическая статистика: учебник. - СПб.: Питер, 2004. - 461с.

Page 42: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

СОВРЕМЕННЫЕ ТЕНДЕНЦИИ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

БИЗНЕС-ПРОЦЕССОВ КРЕДИТНЫХ ОРГАНИЗАЦИЙ

Макеев Сергей Александрович

аспирант 2 года обучения

ФГОБУ ВПО «Финансовый университет при Правительстве РФ»

Россия, г. Москва

[email protected]

Аннотация: в работе рассматриваются бизнес-процессы кредитных

организаций с позиций объектов реализации угроз информационной

безопасности. Проанализированы подходы к противодействию угрозам

информационной безопасности бизнес-процессов кредитной организации и

повышению их информационной безопасности.

Ключевые слова: бизнес-процесс, информационная безопасность,

информационные операции, информационное противоборство, угрозы

информационной безопасности.

Введение

Анализ достижений информатизации показывает, что информация и

создаваемые на её основе ресурсы, технологии, процессы, системы стали

предметом пристального внимания для субъектов экономической сферы в

конкурентной среде. Кроме того, специфика информации как ресурса дает

потенциальную возможность использования способов и средств специального

воздействия на информацию с целью реализации угроз информационной

безопасности (далее – ИБ) и получения кредитной организацией

информационного превосходства в определенной среде.

В связи с этим, качественно повышается роль обеспечения

информационной безопасности кредитных организаций, в частности её бизнес-

процессов (далее – БП).

Page 43: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Целью настоящей работы – определить подходы к повышению ИБ БП

кредитных организаций на основании проведенного анализа угроз ИБ БП и

практики противодействия им.

1. Бизнес-процесс как объект реализации угрозы ИБ

Функционирование любой организации, в том числе и кредитной, можно

представить как набор взаимосвязанных БП, протекающих внутри организации.

Качество управления организацией напрямую зависит от эффективности

функционирования построенной системы БП.

Стоит отметить, что существует достаточно много подходов к

определению понятия «бизнес-процесс». В общем виде любой процесс можно

представить как некую очередность потоков работы какого-то объекта,

приводящих к достижению определенного результата. Бизнес-процесс

отличается от обычного процесса тем, что БП отражает определенную

деятельность, связанную с хозяйственной деятельностью организации, в

результате которой она получает прибыль. В рамках данной статьи мы будем

понимать под БП системно-замкнутый процесс, имеющий вход и выход и

включающий в себя взаимосвязанную последовательность стадий по созданию

конечного продукта (услуги), целью осуществления которой будет получение

прибыли [4].

Положения Стандарта Банка России СТО БР ИББС-1.0-2014 описывают

структуру типовой кредитной организации в виде иерархии следующих

уровней (перечисление с самого низкого уровня до самого высокого):

физический уровень;

уровень сетевой инфраструктуры;

уровень сетевых сервисов и приложений;

уровень операционных систем;

уровень систем управления базами данных;

уровень банковских технологических процессов и приложений;

уровень бизнес-процессов организации.

Page 44: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная обстановка объекта

Источник

угрозы

Атака(информационна

я операция)

Структура

РесурсПрограмма

Контур управления

Последствия атаки

БП

Информационная безопасность

В Стандарте также отмечается, что главной целью злоумышленника

является получение контроля над информационным ресурсом именно на самом

высшем уровне – уровне бизнес-процессов организации – путем реализации

различных угроз ИБ.

Для дальнейшего анализа предметной области целесообразно перейти к

рассмотрению БП с позиций информационного объекта определенной

топологии, которая характеризуется следующими элементами: структуры,

программы, ресурсы и механизмы управления [1]. Угрозам ИБ подвержен

каждый из вышеперечисленных элементов топологии, однако наиболее

негативными для владельца БП последствиями оборачивается реализация угроз

ИБ на механизмы (контур) управления посредством проведения т.н.

«информационных операций» (рис. 1). Реализация таких угроз ИБ сделает БП

менее соответствующим своему предназначению.

Рис. 1. Концептуальная модель атаки (информационной операции)

Традиционно при моделировании угроз ИБ информационной системы

целью реализации угроз является как нарушение определенных для объекта

реализации угроз характеристик безопасности (доступность,

конфиденциальность, целостность), так и создание таких условий и факторов,

направленных на обострение угроз для информационного объекта (негативная

информационная обстановка). Однако необходимо выделить еще одно

Page 45: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

направление – конфликтное противодействие между субъектами управления в

сфере взаимных интересов путем препятствования адекватному восприятию

или созданию (обработке, хранению, передаче) информации, что есть не что

иное, как информационное противоборство, которое включает в себя выявление

угроз ИБ и проведение информационных операций для достижения

определенных целей.

Под информационной операцией (далее – ИО) понимается метод

реализации угроз ИБ, представляющий собой совокупность взаимосвязанных

действий информационного характера, направленных на решение поставленной

задачи по перепрограммированию, блокированию, генерации информационных

процессов как в технической, так и в гуманитарной сферах [5]. Примерами ИО

могут выступать:

блокирование Интернет-ресурсов кредитной организации;

вывод из строя объектов и инфраструктуры организации с помощью

компьютерных вирусных программ и программных закладок;

формирование положительного/отрицательного общественного мнения;

создание, рекламирование, навязывание конкурентных кредитной

организации Интернет-ресурсов и др.

Анализ технических средств и технологий, применяемых в ИО в

информационном пространстве глобальной сети Интернет в настоящее время,

выявил наличие следующих основных направлений развития и применения [5]:

разведка (конкурентная, (Competitive Intelligence, CI);

проведение ИО;

планирование ИО, управление процессом проведения ИО, оценка

эффективности результатов ИО.

При этом стоит отметить, что объектами информационного воздействия

по каждому направлению могут быть как информационно-технические объекты

кредитной организации (например, сетевые ресурсы, АРМ пользователей), так

и информационно-психологические объекты (лица, принимающие решения),

непосредственно включенные в контур управления БП организации.

Page 46: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Таким образом, информационная безопасность БП рассматривается как

некоторое состояние информационного объекта, которое достигается в ходе

информационного противоборства. Поэтому понятие «информационная

безопасность» необходимо исследовать с позиций обеспечения безопасности

БП и противодействия угрозам ИБ в условиях проведения ИО в рамках

информационного противоборства.

2. Практика противодействия угрозам ИБ

Обзор практики противодействия угрозам ИБ БП проводился в рамках

двух направлений:

анализ отечественной нормативно-методической базы в области

противодействия угрозам ИБ;

анализ международных стандартов серии ISO в области защиты

информации.

Современная отечественная нормативно-методическая база в области

защиты информации пополнилась документами по защите персональных

данных (приказ ФСТЭК России 21 от 18.02.2013), по защите информации в

государственных информационных системах (приказ ФСТЭК России 17 от

11.02.2013), которые устанавливают новых подход к формированию состава и

содержания организационных и технических мер по обеспечению безопасности

информации при её обработке в информационных системах различных типов и

классов. В частности, в составе возможных мер защиты информации

определена группа мер «Выявление инцидентов и реагирование на них (ИНЦ)»,

включающая в себя такие направления деятельности, как обнаружение,

определение и регистрация инцидентов ИБ с последующим анализом, оценкой

последствий, а также планированием и принятием мер по предотвращению

повторного возникновения инцидентов ИБ подобных классов.

Несмотря на открывшиеся возможности по формированию гибкого

набора мер защиты информации в соответствии с приказами ФСТЭК России,

необходимо признать, что данный подход не решает проблемы выявления и

нейтрализации негативных информационных воздействий на объекты и БП.

Page 47: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Международный стандарт ISO/IEC 27032:2012 Information technology –

Security techniques – Guidelines for cybersecurity определяет активы

информационного («киберпространства») пространства и заинтересованных

субъектов, угрозы ИБ, меры и рекомендации по обработке рисков, причем в

качестве особой меры выделены руководящие указания по координации

действий и обмену информацией между субъектами информационного

пространства. Последнее направление представляет для нас повышенный

интерес, так как оно является одной из приоритетных задач обеспечения ИБ.

Создание системы обмена информацией и координации действий

обусловлено необходимостью быстрого реагирования на инциденты ИБ,

которые нередко пересекают границы организаций и даже государств.

Реализация такой системы обмена информацией и координации требует:

разработки политики безопасности;

разработки и внедрения соответствующих процедур и методов;

определения участвующих групп лиц и организаций;

разработки и реализации соответствующих технических решений.

Предлагается следующий алгоритм организации защищенного

информационного взаимодействия между субъектами [3]:

1. Идентификация участников информационного обмена, формальная

или неформальная.

2. Определение ролей всех субъектов информационного обмена.

3. Выбор взаимовыгодных механизмов управления.

4. Классификация и категорирование информации.

5. Разработка политик безопасности.

6. Выбор необходимых методов и процессов для каждой из категорий

информации.

7. Определение критериев эффективности, подписание соглашений о

неразглашении (NDA).

8. Выбор необходимых стандартов и технических решений.

Page 48: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

9. Подготовка к работе, установление контактов, обучение участников

взаимодействия.

10. Периодическое тестирование.

11. Анализ результатов тестирования с целью оптимизации.

В целом, международный стандарт ISO/IEC 27032:2012 представляет

собой набор традиционных мер организационно-технического характера, не

имеющий комплексной структуры, основанной на системном подходе [3].

Вместе с тем, стандарт найдет свое применение, например, у организаций-

провайдеров интернет-услуг.

Резюмируя вышесказанное, отметим, что перспективные исследования

должны быть направлены на решение научной задачи по разработке модели

нейтрализации негативных информационных воздействий на БП кредитных

организаций. Данная модель позволит кредитным организациям повысить

эффективность управления БП посредством создания и поддержания

безопасной и доверенной информационной сферы организации.

Для этого первоначально необходимо провести уточнение понятийного

аппарата в области ИБ и информационного противоборства, развить

существующие классификации угроз ИБ с учетом специфики

функционирования различных видов БП в кредитных организациях, выбрав в

качестве исходного следующий набор угроз информационным объектам:

угрозы программам, угрозы ресурсам, угрозы структурам, угрозы механизмам

управления [1].

Заключение

Для сохранения устойчивого существования, роста и развития кредитной

организации необходимо выстроить гармоничный механизм управления на

основе целостного характера деятельности всех БП кредитной организации.

Целостность всех БП поддерживается, в том числе и путем обеспечения их ИБ.

Таким образом, для достижения поставленной цели по повышению ИБ

БП кредитных организаций необходимо решить ряд следующих задач [2]:

Page 49: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

проанализировать условия и факторы, оказывающие влияние на ИБ БП

кредитных организаций;

разработать модель нейтрализации негативных информационных

воздействий на бизнес-процессы кредитных организаций;

провести оценку эффективности разработанной модели;

на основе разработанной модели получить методику нейтрализации

негативных информационных воздействий для выработки стратегии поведения

в целях обеспечения интересов БП кредитных организаций.

Литература

1. Дербин Е.А. Информационная безопасность союзного

государства как основа его обороноспособности в условиях

непрямых действий противника. Вестник Академии военных

наук 2(27). – М.: АВН, 2009. С. 18-24.

2. Макеев С.А. Вопросы обеспечения информационной

безопасности бизнес-процессов в условиях экономической

конкуренции // «Безопасные информационные технологии».

Сборник трудов Четвертой всероссийской научно-технической

конференции / под. ред. Матвеева В.А., – М.: НИИ

радиоэлектроники и лазерной техники, 2013. – с. 83-85.

3. Марков А.С., Цирлов В.Л. Руководящие указания по

кибербезопасности в контексте ISO 27032 // Вопросы

кибербезопасности. 2014. 1(2). – с. 28-35.

4. Радченко А.В. Особенности бизнес-процессов на предприятии //

Бизнес в законе. 2009. 3. URL:

http://cyberleninka.ru/article/n/osobennosti-biznes-protsessov-na-

predpriyatii (дата обращения: 23.11.2014).

5. Расторгуев С.П., Литвиненко М.В. Информационные операции в

сети Интернет / Под общ. ред. А.Б. Михайловского. – М.: АНО

ЦСОиП, 2014. – 128 с. (– Новая стратегия, 3).

Page 50: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

АГЕНТНОЕ МОДЕЛИРОВАНИЕ ДЛЯ ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ И ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ

Золотарев Всеволод Викторович

студент 4 курса

zolotarev . seva @ mailru

Уразов Олег Михайлович

студент 4 курса

[email protected]

Филяк Петр Юрьевич

к.т.н.

paralax -1@ yandex . ru

Сыктывкарский государственный университет

Россия, г. Сыктывкар

Аннотация: В статье рассматривается подход к обеспечению

безопасности (информационной, экономической) на основе использования

имитационного моделирования и в частности агентного моделирования,

позволяющий получить не только качественные, но и количественные оценки

происходящих в объекте защиты процессах. Данный подход позволяет выявить

и оценить угрозы как уже реально существующие, так и потенциальные,

представить их в наглядном виде.

Ключевые слова: безопасность; модель; моделирование;

имитационное моделирование; агентное моделирование; мета-матрица;

ORA; Brain; AnyLogic.

Процесс моделирования можно описать, как один из множества способов

реализации решения проблем, проявляющихся в реальном мире: в

производстве, обслуживании, финансах, маркетинге, здравоохранении и так

далее. Моделирование используется в том случае, если эксперимент с

Page 51: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

реальными системами или объектами невозможен в силу тех или иных

обстоятельств. [1]

С точки зрения передачи моделям свойств реальных объектов, процесс

моделирования предоставляет возможность оптимизации системы и анализ её

свойств до этапа полноценной реализации.

Моделирование включает в себя несколько подэтапов: трансляция

проблемы из реального мира в мир моделей (процесс абстракции), анализ и

последующая оптимизация модели, поиск решений проблемы и, наконец,

отображение модели обратно в реальный мир.

Агентное моделирование

Для того, чтобы ответить на вопрос, что такое агентное моделирование,

необходимо понимать, что представляет собой имитационное моделирование.

Имитационное моделирование представляет собой определённое

множество правил (дифференциальных уравнений, карт состояний, сетей и

т.п.), которые определяют в какое состояние перейдёт система в будущем из

заданного текущего состояния. Процесс имитации же в данном случае – это

процесс «выполнения» модели, проводящий её через изменения (дискретные

или непрерывные) состояния во времени.

Агентное моделирование – это метод имитационного моделирования,

исследующий поведение децентрализованных агентов и то, как такое

поведение определяет поведение всей системы в целом.

В отличие от системной динамики, аналитик определяет поведение

агентов на индивидуальном уровне, а глобальное поведение возникает как

результат деятельности множества агентов. [2]

Преимущества агентного моделирования

Традиционные подходы имитационного моделирования рассматривают

служащих компании, проекты, продукты, клиентов, партнеров как среднее

арифметическое или как пассивные заявки/ресурсы в процессе.

Page 52: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Например, модели системной динамики полны предположений, таких как

"у нас есть 120 служащих, они могут проектировать приблизительно 20 новых

продуктов в год”, или “у нас есть 1200 грузовиков, они могут перевезти

определенное количество груза в месяц, и 5 % из них списываются каждый год

и заменяются новыми”. В процессном моделировании (также известном как

дискретно-событийное моделирование) организация рассматривается как

различные процессы, такие как: “клиент звонит в телефонный

информационный центр, звонок обрабатывается оператором А, который тратит,

в среднем, 2 минуты на вызов, после чего 20 % запросов должны быть

переадресованы… ”.

Эти методы превосходят “аналитическое моделирование” в возможности

рассматривать динамику предприятия, нелинейности, но они игнорируют тот

факт, что все эти люди, проекты, продукты, оборудование и активы являются

различными – они имеют собственную историю, намерения, желания, свойства,

а также сложные отношения.

Например, люди могут быть с различными карьерами и доходами, они

могут иметь разную производительность труда; проекты взаимодействуют и

конкурируют, могут зависеть один от другого; у самолетов есть

индивидуальные графики технического обслуживания, при несоблюдении

которых машина может выйти их строя; потребители могут консультироваться

с членами своей семьи, прежде чем принять решение о покупке.

Агентное моделирование не обладает такими ограничениями, поскольку

оно предполагает сосредоточение непосредственно на отдельных объектах, их

поведении и коммуникации. Агентная модель – это ряд взаимодействующих

активных объектов, которые отражают объекты и отношения в реальном мире.

Таким образом, агентное моделирование делает шаг вперед в понимании и

управлении совокупностью сложных социальных и бизнес процессов.

Page 53: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Область применения агентного моделирования

Хороший пример использования агентного моделирования –

потребительский рынок. В очень динамичной, конкурентной и сложной

среде рынка выбор покупателя зачастую зависит от индивидуальных

особенностей, врожденной активности потребителя, сети контактов, а также

внешних влияний, которые лучше всего описываются с помощью агентного

моделирования.

Другой стандартный пример – это эпидемиология. Здесь агенты - это

люди, которые могут быть иммунными, носителями инфекции,

переболевшими или восприимчивыми к болезни. Агентное моделирование

поможет спроецировать в мир моделей социальные сети, разнородные

контакты между людьми и в итоге получить объективные прогнозы

распространения инфекции.

Однако, не следует думать, что агентное моделирование применимо

только для решения задач коммуникативного характера. Задачи, связанные с

логистикой, производством, цепями поставок или бизнес-процессами, также

решаются с помощью агентного моделирования.

Например, поведение сложной машины может быть эффективно

смоделировано отдельным объектом (агентом) с картами состояний,

описывающими ее систему таймеров, внутренних состояний, разного рода

реакции в различных ситуациях и т.д. Подобная модель может быть

необходима для воссоздания технологических процессов на производстве.

Участники цепочки поставок (компании-производители, оптовые

торговцы, розничные продавцы) могут быть представлены как агенты со

индивидуальными целями и правилами. Агенты могут также быть проектами

или продуктами в пределах одной компании, при этом обладать собственной

динамикой и внутренними состояниями, конкурировать за ресурсы

компании.

На сегодняшний день коммерческие компании и государственные

организации накопили огромное количество данных в их CRM, ERP и HR

Page 54: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

базах данных, но эти данные все ещё очень слабо используются. Агентное

моделирование – естественный способ использовать эти данные и заставить

их работать.

Поскольку агентные модели являются объектно-ориентированными,

они могут быть населены агентами, свойства которых реальны и

считываются непосредственно с CRM системы (в случае, если мы

моделируем рынок), или из ERP/HR системы (если мы моделируем динамику

трудовых ресурсов в организации). Это дает Вам (a) легкий, (b) очень точный

и (c) всегда актуальный способ смоделировать, предсказать, сравнить

сценарии и оптимизировать стратегию предприятия. [3]

ORA – как один из инструментов агентного моделирования

На рынке продуктов, обеспечивающих анализ данных по методу

агентного моделирования, одним из таких является ORA (Organization Risk

Analysis)

ORA - это инструмент сетевого анализа, который определяет риски или

уязвимости структуры организации.

Структура организации – это взаимоотношение персонала, знания,

ресурсы и задачи. Эти взаимоотношения и задачи представлены Мета-

Матрицей. Параметры, которые введены в Мета-Матрицу, используются для

дальнейшего анализа структурных свойств организации для вычисления

потенциального риска.

ORA включает в себя свыше 100 параметров, подразделённые на

категории каждого типа риска, которые могут быть найдены. Параметры

также упорядочены как по входящим требованиям, так и по исходящим. ORA

генерирует отформатированные отчёты, доступные для просмотра на экране

или в log-файлах, а также считывает или записывает сети в нескольких

форматах данных, совместимых с существующими сетевыми

аналитическими пакетами.

Page 55: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Кроме того, программа имеет инструменты для графического

воспроизведения Мета-Матрицы для оптимизации структуры сети. ORA

использует Ява-интерфейс (Java) для удобства пользования, и

вычислительный интерфейс C++.

Помимо ORA, на рынке представлены и другие инструменты агентного

моделирования – Brain, AnyLogic и другие.

Список дитературы

1. А. Борщев. Практическое агентное моделирование и его место в

арсенале аналитика. Статья. [Электронный ресурс]

http://www.anylogic.ru/articles/prakticheskoe-agentnoe-modelirovanie-i-ego-

mesto-v-arsenale-analitika# (Дата обращения 10.11.2014)

2. Академик. Агентное моделирование, статья. [Электронный ресурс] URL:

http://dic.academic.ru/dic.nsf/ruwiki/590410 (Дата обращения 12.11.2014)

3. AnyLogic. Многоподходное имитационное моделирование. -

Официальный сайт AnyLogic. [Электронный ресурс] URL:

http://www.anylogic.ru/agent-based-modeling (Дата обращения 14.11.2014)

АКТУАЛИЗАЦИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ НА ФОНЕ ПОЯВЛЕНИЯ НОВОЙ УЯЗВИМОСТИ НА

ПРИМЕРЕ BADUSB

Ниткачева Алена Владимировна

студентка 4 курса

Финансовый университет при правительстве РФ

Россия, г.Москва

abarcelona @ inbox . ru

Аннотация: Проблема минимизации рисков в среде кибербезопасности

всегда будет актуальной, т.к. с каждым днем методы по проникновению и

изъятию личной информации становятся все более сложными и изощренными.

Page 56: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Произведен сбор данных из различных источников, их обработка, анализ,

создание гипотезы и выводов.

В статье освещена проблема появления новой уязвимости, показаны

незащищенные места современных систем безопасности и рассмотрены

некоторые пути снижения рисков угрозы потери инсайдерской информации.

Введение:

Проблема кибербезопасности с каждым днем становится все острее, к

сожалению, не так много компаний готовы тратить средства на хорошее

программное обеспечение безопасности и обучение сотрудников. А ведь это

очень важно, с каждым днем методы по проникновению и изъятию личной

информации становятся все более сложными и изощренными. Появляется

более современное, опасное и доступное обеспечение. На примере BadUSB в

статье рассмотрен такой важный вопрос как защита инсайдерской информации

организаций.

Ключевые слова: кибербезопасность, информационные технологии,

съемный носитель, накопитель, устройство, флеш-карта, ПО(программное

обеспечение), ПК (персональный компьютер), USB (Universal Serial Bus), DNS

(Domain Name System)

BadUSB – новый, недавно открытый тип уязвимости,

компрометирующий технологию USB устройств. Самовоспроизводящийся

вирус, невидимый для стандартных средств защиты и для которого, на

сегодняшний день, нет эффективного способа уничтожения. BadUSB

уязвимость не только позволяет заражать компьютеры вредоносным ПО, но так

же может позволяет обычной флэш-карте, со стороны ПК, принимать вид и

вести себя как любой другой флэш-накопитель, который можно подключить к

компьютеру. Например, клавиатура, смартфон или фотоаппарат. Это, очевидно,

Page 57: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

будет проблемой для рядовых пользователей, но для государственных и

финансовых учреждений это может обернуться катастрофой.

По данным исследования «Лаборатория Касперского» совместно с

международной аналитической компанией B2B International:

91% компаний недооценивают количество существующего вредоносного

ПО;

Антивирусное ПО остается наиболее распространенной мерой

обеспечения информационной безопасности в организациях;

87% компаний пострадали от внутренних угроз; почти четверть (24%)

таких инцидентов привели к потере конфиденциальных данных;

Ущерб от одного инцидента информационной безопасности в среднем

составляет около 20 млн. рублей для крупной компании и свыше 780 тыс.

рублей для компании сегмента СМБ (сегмент малого бизнеса); 1

Данная проблема хоть и не является новой, но только недавно

возможность воспользоваться системой BadUsb появилась у практически

любого заинтересованного пользователя.

USB устройства подключены и во многих случаях даже встроены

практически во всех персональных компьютерах. Это является стандартным

интерфейсом популярным во всем мире благодаря своей универсальности: от

хранения данных до использования в качестве входных устройств к

медицинскому оборудованию, множество устройств используют USB в

качестве зарядного устройства. Не удивительно, что на столь

распространенный девайс обратили внимание хакеры. Обычный флеш-

накопитель можно перепрогаммировать таким образом, что персональный

компьютер воспримет его как любой другой девайс, который возможно

подключить через USB например: устройство может эмулировать клавиатуру и

отдавать команды от имени вошедшего в систему пользователя и устанавливать

1 Информационная безопасность бизнеса, Исследование текущих тенденций в области информационной безопасности бизнеса, ЗАО «Лаборатория Касперского», 2014

Page 58: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

вредоносные программы, что несомненно является огромной угрозой для

защиты инсайдерской информации. С помощью такой клавиатуры , при малой

защищенности системы и недостаточной бдительности системного

администратора, может быть заключена любая несанкционированная сделка,

транзакция, заключен договор или раскрыта тайная переписка. Такое

вредоносное ПО, в свою очередь, может заразить и другие устройства USB,

подключенные к компьютеру. Устройство может также подделывать сетевую

карту и изменять настройки для перенаправления трафика DNS компьютера.

Модифицированный флэш-накопитель или внешний жесткий диск может

(когда он обнаруживает, что компьютер запускается) загрузить небольшой

вирус, который заражает операционную систему компьютера до загрузки.

Впервые обнаружили «фундаментальную уязвимость устройств USB» Карстен

Ноль (Karsten Nohl) и Якоб Лелл (Jakob Lell) из Security Research Labs в июле

2014 и публично заговорили о нетривиальных методах ее использования на

Black Hat 2014 (Лас-Вегасе, Невада, США), на конференции Derbycon,

проходившей в сентябре 2014 (Луисвилль, Кентукки, США) исследователи

безопасности Адам Кодилл (Adam Caudill) и Брэндон Уилсон (Brandon Wilson)

продемонстрировали презентацию о перепрошивке USB устройства для

несанкционированного доступа и сбора данных и для обеспечения

безопасности код атаки исследователи разместили на самом крупном вэб-

сервисе для хостинга IT-проектов GitHub. 2

Очень многие флэш-накопители не имеют защиты от такого

перепрогаммирования. Карстеном Ноллем и Якобом Леллем были проверены

все USB контроллеры от 8 самых известных производителей: Phison, Alcor,

Renesas, ASmedia, Genesys Logic, FTDI, Cypress и Microchip. Результаты

проверки неоднозначные т.к. в зависимости от партии буквально каждая

модель флешки, вэб-камеры, концентратора или адаптера для флеш-карт

поставляется с разной начинкой. В одной партии может быть уязвимый

2 https://github.com/adamcaudill/Psychson

Page 59: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

контроллер, а в другой нет. Узнать модель контроллера можно только после

вскрытия прибора. Уязвимости подвержены абсолютно все USB носители

компании Phison, а все чипы ASmedia наоборот защищены от бага. У других

известных производителей уязвимость частичная.3

К октябрю 2014 были Карстен Ноль и Якоб Лелл из SR Labs были

проведены сотни исследований различных USB устройств на предмет наличия

бага. Полный список представлен здесь.

https://opensource.srlabs.de/projects/badusb.

Пути снижения рисков

Есть несколько способов, с помощью которых мы можем ограничить

уязвимость ПК. Например, в качестве средства для передачи и хранения

данных так же можно использовать облачные сервисы, но они тоже

небезопасны. Иногда физические носители информации все же необходимы и

встает вопрос о том как пользоваться флэш-картами минимизируя возможность

проникновения, изъятия и трансформации приватной информации. Для этого

стоит отметить несколько важных пунктов:

1) Создать белый список устройств, которым разрешен доступ.

2) Системный администратор должен ограничить количество устройств

подключаемых к компьютеру(клавиатур, компьютерных мышей, вэб-

камер)

3) Избегать автоматической установки

4) Сотрудникам компании, имеющим доступ к важной информации

выдать личные флэш-карты модели неподверженной

перепрограммированию и ввести административную ответственность

за неисполнение политики безопасности.

5) Бдительность системного администратора, ведь порой время взлома

измеряется минутами и даже, если антивирусная программа

3 Security Research Labs – Karsten Nohl, Jacob Lell, Sascha Kribler “BadUSB – On accessories that turn evil” 2014

Page 60: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

заподозрит что-то неладное, может сыграть человеческий фактор. В

конечном счете антивирус может ничем не помочь – он просто

оповестит администратора информационной безопасности. Системный

администратор должен вовремя среагировать.

6) Рациональное использование IPS, IDS, DLP, SIEM-систем и сканеров

безопасности

Вывод

К сожалению, на сегодняшний день нет панацеи от столь нового способа

проникновения. Облачные системы тоже ограждены от опасности,

пользователь сам может разрешить доступ флэш-карте, сочтя ее безопасной,

передача информации третьим лицам всегда будет нерешенной проблемой т.к.

человеческий фактор нельзя списывать со счетов, бдительность системного

администратора тоже можно оценить как фактор зоны риска. Необходимо

отметить, что снизить риски для безопасности можно только при слаженной

работе системы.

Библиографический список:

1. Информационная безопасность бизнеса, Исследование текущих

тенденций в области информационной безопасности бизнеса, ЗАО

«Лаборатория Касперского», 2014.

2. Karsten Nohl, Jacob Lell, Sascha Kribler, “BadUSB – On accessories that

turn evil”, Security Research Labs, 2014.

3. https://github.com/adamcaudill/Psychson

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ ИНФОРМАЦИОННО-

ПСИХОЛОГИЧЕСКОМУ ВОЗДЕЙСТВИЮ НА ПОВЕДЕНИЕ

СОЦИАЛЬНЫХ ГРУПП

Албаков Ахмет Магаметбаширович

Page 61: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация: В статье рассмотрены алгоритм и методы противодействия

информационно-психологическому воздействию на поведения социальных

групп, приведена их классификация, а так же определены общие правила и

принципы реализации технологии воздействия в социальной среде, исходя из

процессов, реализуемых субъектом, на которого оказывается воздействие.

Ключевые слова: информационная война, информационное воздействие,

информационная безопасность, манипулирование поведением, информация

Техника целенаправленного ведения массовых пропагандистских

мероприятий и методов информационно-психологического воздействия на

социальные группы развивалась на протяжении всей истории человечества.

Информационно-психологическое воздействие, в самом общем виде,

возможно рассматривать как сложный согласованный комплекс мер

политического, экономического, организационно-технического и военного

характера, а также разведывательно-подрывных и информационно-

пропагандистских акций, осуществляемых для оказания воздействия на

отдельных лиц и различные категории населения, личный состав вооруженных

сил, работников структур государственной власти и управления страной или

отдельными регионами, членов политических партий, общественных

организаций и движений с целью изменения их чувств, психических состояний,

мнений, отношений и поведения таким образом, что это способствует

достижению целей, выгодных для отдельных лиц, групп, социальных

организаций, определенных государственных или других структур страны-

субъекта этих операций.

Page 62: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Объектами информационно-психологического воздействия могут быть:

отдельные личности, население, правительства и армии враждебных,

дружественных и нейтральных стран, а в некоторых ситуациях население и

армия своей страны. Информационно-психологическое воздействие проводится

в мирное и военное время, а также в кризисных ситуациях.

В кратком виде информационно-психологическое воздействие можно

обозначить как использование специфических средств и способов для оказания

воздействия с целью манипулирования социальными группами и отдельными

лицами в интересах других личностей и групп людей.

Таким образом, главная цель информационно-психологического

воздействия - использование различных способов, средств и приемов

воздействия на человека для изменения его поведения таким образом, что он

начинает совершать поступки выгодные для субъекта воздействия и, которые

он не совершил бы если бы знал в достаточном объеме данные, относящиеся к

данной ситуации, в том числе какие способы или в каких целях применялись по

отношению к нему.

В качестве общих правил или определенных принципов при реализации

технологии информационно-психологического воздействия можно выделить

следующие рекомендации:

• информирование по всем возможным каналам, которые достигают

объектов воздействия

• использование любых аргументов и доводов для достижения целей

• постоянное составление (формирование) и распространение

сообщений с искаженной, ложной или специальным образом подобранной ин-

формации, в том числе в виде слухов, исходя из того, что "что-нибудь, да

останется"

• дифференцированный подход к объектам пропагандистских акций

по возрастному, национальному, профессиональному и другим признакам

• изменение содержания материалов информационно-

психологического воздействия, способов и средств их подачи в зависимости от

Page 63: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

обстановки: от незаметного и скрытого воздействия, до прямых побудительных

призывов к активным действиям;

• использование лиц, постоянно находящихся в той социальной

группе, на которое оказывается воздействие

Наиболее универсальной технологией информационно-психологического

воздействия является формирование и распространение образов. Суть ее в том,

что в зависимости от целей и конкретных задач формируется и

распространяется заранее "сконструированные" образы или имиджи

конкретных лиц, фирм и организаций, идей, программ, товаров и т.п., которые,

как правило, не адекватно отражают реальные существенные их

характеристики и таким образом, дезориентируют людей, на которых

направлено информационно-психологическое воздействие.

В большинстве технологий информационно-психологического

воздействия используются структурные “технологические” манипулятивные

элементы. Манипулятивное воздействие на психику людей осуществляется в

виде двух относительно самостоятельных этапов, дополняющих или

сменяющих друг друга - подготовительного и основного.

Функции первого подготовительного этапа заключаются в облегчении

восприятия последующих затем пропагандистских материалов.

На втором этапе осуществляется привлечение внимания и возбуждения

интереса к передаваемым сообщениям, на основании некритического

восприятия и усвоения аудиторией (слушателями, читателями, зрителями)

получаемой информации, что позволяет в значительной степени увеличить

внушающий эффект воздействия информации в ущерб ее рациональной оценке.

Таким образом, человек попадает в современный мир, где действует

множество манипуляторов - от недобросовестного продавца и рыночного

мощенника, до целых организаций, специализирующихся на экономических

аферах и политическом интриганстве, вооруженных самыми современными

знаниями и мощнейшим аппаратом информационного воздействия на психику

человека.

Page 64: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Информационно-психологическую безопасность личности возможно

рассматривать как состояние защищенности психики от действия много

образных информационных факторов, препятствующих или затрудняющих

формирование и функционирование адекватной информационно-

ориентировочной основы социального поведения человека и в целом

жизнедеятельности в современном обществе.

В наиболее общем виде как основная функция информационно-

психологической защиты выделяется предотвращение нарушения внутренней

устойчивости личности и социальной общности, нормального течения

психической жизни человека и его поведения под влиянием нежелательных и

социально-вредных последствий.

Информационно-психологическая защита от внешних воздействий может

реализовываться в следующих основных разновидностях, отличающихся

определенной специфичностью функционирования: во-первых,

преднамеренная и непреднамеренная психологические защиты. Первая

осуществляется на осознаваемом уровне в соответствии с целями и

намерениями тех, на кого оказывается воздействие. Вторая включается под

влиянием самого внешнего воздействия; во-вторых, индивидуальная и

групповая психологические защиты. "Носителем" первой из них является

отдельная личность, второй - социальная группа; в-третьих, общая и

специальная психологические защиты (или не специфические и специфические

психологические защиты).

Выделим базовые защитные механизмы противодействия

информационно-психологическому воздействию, выступающие регуляторами

основных эмоций человека и их комбинаций: замещение, проекция, компен-

сация, регрессия, подавление, отрицание, образование реакции и интел-

лектуализация.

Page 65: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Выделим исходные базовые защитные установки на основе форм защиты:

уход, изгнание (вытеснение), блокирование (блокировка, преграда,

ограждение), управление (манипулирование), затаивание (замирание,

маскировка), игнорирование.

Существуют три основных уровня организации информационно-

психологической защиты человека и, соответственно, три основных

направления ее формирования и функционирования: 1) социальный (в

масштабах общества в целом), 2) социально-групповой (в рамках различных

социальных групп и разнообразных форм социальных организаций) и 3)

индивидуально-личностный. Технологию противодействия информационно-

психологическому воздействию в зависимости от уровня психологической

защиты личности и субъекта психологической защиты личности можно

представить следующим образом :

Таблица 1

Уровни

информацион

но-

психологичес

кой защиты

личности

Субъекты

информационно-

психологической

защиты личности

Технологии противодействия

информационно-психологическому

воздействию

Социал

ьный

государство и

общество через

деятельность

определенных соци-

альных институтов

Регулирование и организация

информационных потоков (система

распространения информации в общест-

ве) и распространения способов и

средств, определенных "алгоритмов"

обработки и оценки информации в

процессе социального взаимодействия

Page 66: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Социал

ьно-

групповой

группы и

организации

Распространение и использование

внутригрупповых информационных

потоков и источников, а также

специфических для конкретных

социальных групп и организаций

способов социального взаимодействия,

переработки и оценки информации

Индиви

дуально-

личностный

человек,

личность

формирование специфической

регулятивной системы и комплекса

защитных механизмов и алгоритмов

поведения в процессе обучения и

развития личности

Обеспечение информационно-психологической безопасности

предполагает организацию и осуществление защитных мер, которые в самом

общем виде целесообразно выделить в следующие основные группы,

характеризующиеся определенной организационной самостоятельностью и

используемыми механизмами: регулирование, в частности, ограничение

информационных потоков; организация информационных потоков (в том

числе, инициирование распространения определенной информации);

распространение способов и средств обработки и оценки информации;

формирование коллективной или групповой социально-психологической за

щиты; формирование индивидуальной психологической защиты или

психологической самозащиты личности.

Общая логика построения алгоритма психологической самозащиты

личности для нейтрализации манипулятивного воздействия основывается на

Page 67: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

необходимости решения человеком, как уже отмечалось, трех специфических

задач.

Ключевая задача - выявление самого факта манипулятивного воз

действия и его мощности, так как именно от этого зависят негативные по

следствия для адресата, и в этом заключается основная опасность для личности.

Алгоритм противодействия информационно—психологическому

воздействию

1) общая установка. Одним из общих правил для избегания ситуаций в

которых человек становится жертвой психологических манипуляций

используется осторожность при установлении контактов и в процессе

межличностного взаимодействия. Осторожность и недоверчивость - это первые

житейские правила повседневной информационно-психологической

безопасности.

2) ориентировка в ситуации. Для того, чтобы научиться адекватно

ориентироваться в ситуации целесообразно использовать определенный

инструментарий. Для ориентировки в межличностной ситуации необходимо

ответить на пять основных вопросов: 1. Для чего (почему?), в каких целях? 2. С

кем? 3. По какому по воду? 4. Как? Каким образом? 5. В каких условиях?

3) оценка (определение) потенциала влияния Основной задачей данного

этапа является выявление таких элементов ситуации, характеристик участников

и процесса взаимодействия, которые могут быть использованы для оказания

скрытого психологического воздействия на личность.

4) выявление (диагностика) признаков скрытого информационно-

психологического воздействия. При формировании алгоритмов самозащиты от

манипуляций необходимо решить научно прикладную задачу, суть которой

заключается в том, каким образом трансформировать знания о возможных

средствах обнаружения попыток манипулятивного воздействия, полученные в

Page 68: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

процессе исследований и теоретического анализа, в конкретные признаки и

способы действий адресата воздействия в условиях повседневного

межличностного взаимодействия.

5) выбор тактики и способов защиты (организация защитного

поведения). Организация защитного поведения и выбор его тактики зависит от

того насколько активно и с каким эффектом были задействаваны первые

четыре компонента алгоритма психологической самозащиты.

Методы противодействия информационно-психологическому

воздействию:

1. Метод активного открытого взаимодействия (противодействия);

Актуализация тайных целей и замыслов манипулятора посредством

трансформации ситуации и создания условий ее разрешения с учетом

многообразия интересов участников.

2. Метод скрытого активного (рефлексивного противодействия)

Контрманипуляция с использованием возможностей ситуации, созданной

манипулятором

3. Стратегия скрытого (пассивного) противодействия. Трансформация

провоцируемого манипулятором поведения посредством синтеза приемов

"задержки автоматических реакций " и "непредсказуемости поведения"

(имитации неординарного для манипулятора поведения).

4. Открытая конфронтационная стратегия защиты. Демонстрация

несовместимости позиций, акцентирование и обострение объективно

имеющихся противоречий (в крайних случаях - применение техники

"провоцирование конфликта ")

Вывод: Комплексные широкомасштабные организационные формы

информационно-психологического воздействия на поведение социальных

групп уже давно стали частью нашей жизни. Причем мишенями

Page 69: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

информационно-психологического воздействия(объектами воздействия)

выступает практический каждый из нас. В данной статья приведены основные

методы противодействия информационно-психологическому воздействию,

используя которые можно обезопасить себя.

Обеспечение информационно-психологической безопасности личности

представляет собой процесс создания оптимальных условий формирования

психологической самозащиты личности, являющейся одной из форм духовного

развития человека как самостоятельного субъекта социального поведения.

Литература

1. Политология: Энциклопедический словарь/Общ. Ред. и сост.: Ю.И.

Аверьянов. – М.: Издательство Моск. коммерч. ун-та. 1993. с 263

2. Фразер Л. Пропаганда. Лондон. 1957. с. 11

3. Цветнов А. Управление социально-политическими процессами:

технология избирательных компаний, лоббирования, общественной

деятельности. М. , 1996, с.18

4. Вайткунене Л. Психотехнические средства буржуазной

пропаганды//Коммунист.Вильнюс, 1984. 10. С 63-67;

ПСИХОЛОГИЧЕСКИЙ АСПЕКТ КОМПЛЕКСНОЙ СИСТЕМЫ

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Комиссарова Галина Николаевна

Студентка 5 курса

komissarova . g . n @ yandex . ru

Филяк Петр Юрьевич

к.т.н.

[email protected]

Page 70: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Сыктывкарский государственный университет

Россия, г. Сыктывкар

Аннотация: В данной статье рассмотрен аспект, связанный с подходом к

обеспечению комплексной системы обеспечения информационной

безопасности (СОИБ) с системных позиций, позиций менеджмента и

психологии персонала, что также предполагает в отличие от традиционного

подхода к разработке СОИБ, подразумевающего, как правило, использование

типовых моделей угроз и нарушителей, являющихся словесным описанием,

использование методов математического (агентного) моделирования и

комплексного учета всех существкнных факторов.

Ключевые слова: Информационная безопасность; система; комплексная

система обеспечения информационной безопасности; менеджмент; агентное

моделирование; управленческое решение; системы поддержки принятия

решений (СППР); резонанс.

Информационная безопасность предприятия достигается целым

комплексом организационных и технических мер, направленных на защиту

корпоративной информации. Обеспечение комплексной системы защиты

информации на предприятии подразумевает наличие системы, то есть требует

системного подхода как в иерархическом, так и в функциональном плане. В то

же время, требует рассмотрения процессов, происходящих на предприятии,

имеющих прямое или косвенное отношение к работе с информацией и защитой

информации. В этом смысле необходимо рассматривать концепцию

жизненного цикла обеспечения информационной безопасности (ИБ) на

предприятии.

Системный подход в функциональном отношении подразумевает

регулярное выполнение функций менеджмента в отношении обеспечения

информационной безопасности, а именно: планирование, организация,

Page 71: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

контроль мероприятий, направленных на обеспечение ИБ, их координацию,

регулирование, контроль, а также анализ мероприятий и активацию персонала.

Активация персонала требует рассмотрения двух аспектов: стимулирования и

мотивации, которые чаще всего в настоящее время просто отождествляются,

хотя по сути это совершенно противоположные понятия. В иерархическом

плане системный подход означает декомпозицию всей системы на подсистемы.

Применительно к информационной безопасности, все системы обеспечения ИБ

предприятия - на подсистемы. Важнейшей подсистемой в данном случае

является персонал, деятельность которого с точки зрения системного подхода

также необходимо рассматривать по двум составляющим: первая - персонал -

это носитель информации, и вторая составляющая - это лица, которые

обеспечивают функционирование всей системы безопасности качество ее, лица,

через которых можно осуществлять нарушения свойств защищенной

информации – целостности, доступности, конфиденциальности. При

рассмотрении персонала чаще всего рассматривают конкретные результаты

поведения человека. По принципу бинарного подхода: совершил какое-либо

действие либо не совершил действия, действие было либо правильным, либо

неправильным. Такой «бинарный» подход является упрощенным, не позволяет

чаще всего прогнозировать поведение персонала, предотвращать возможные

зарождающиеся или уже иеющие место тенденции в его поведении, которые в

конечном итоге могут привести к серьезным негативным результатам и даже

кризису, как с точки зрения обеспечения ИБ, так и с точки зрения основной

деятельности самого предприятия.

Поведение человека изучается с древних времен и с точки зрения

психологии поведение человека должно описывается существующими

моделями, которые позволяют с вполне достаточной точностью описывать

поведение человека и делать прогноз. К таким моделям относятся [1,2] модели

организационного поведения Д. Ньюстрома и К. Девиса, модель Д. Мак-

Грегора, комплексная ситуационная модель регулирования поведения, модель

Page 72: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

отношения к нормам и ценностям организации, модель организационного

поведения Ю.Д. Красовского.

Второй аспект с точки зрения психологического подхода это принятие

управленческих решений. К сожалению, в настоящее время большинство

решений являются не рациональными, то есть интуитивными или решениями,

принимаемыми на основе суждений. Это касается как индивидуальных, так и

коллективных управленческих решений. В то же время существует достаточно

большое количество систем поддержки принятия решений (СППР), которые

доказали свою эффективность и возможность применения на практике. Что

мешает массовому их внедрению как в практику управления вообще, так и в

практику управлении системами информационной безопасности? Не

квалифицированность персонала, неудобные интерфейсы ПО, сложность

программных средств, ограниченные диапазоны применения моделей как во

временном, так и пространственном отношениях, не наглядность результатов,

неадекватность и недостоверность моделей или другие причины?

Вторая составляющая типов управленческих решений - коллективные

решений. Несмотря на то, что эффективность коллективных управленческих

решений методом Дельфи и методом номинальной группой техники гораздо

выше, чем в случае мозгового штурма, тем не менее, большинство решений

принимается методом мозгового штурма, хотя во многих коллективах его редко

кто явно называет так. По сути же любая планерка, любое производственное

совещание в своем типичном варианте является ярчайшим проявлением метода

мозговой атаки. К сожалению, в методах мозговой атаки чаще доминируют те

решения, которые являются либо более эмоциональными, либо привязанными к

статусу и авторитету конкретной персоналии.

Третий аспект - наличие центров влияния в любой организации. Хорошо

известно, что в каждом коллективе имеются личности, которые способны

оказывать серьезное влияние на поведение большей части персонала. Так

называемые неформальные лидеры – серьезные потенциальные источники

дестабилизации, которые зачастую могут сформировать массовое нелояльное

Page 73: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

или негативное отношение коллектива к руководству, администрации

организации или к организации в целом и тем самым разрушить или

существенно изменить в сторону ухудшения ее политику безопасности. В

настоящее время существует достаточно много систем моделирования,

позволяющих оценить поведение в таких ситуациях. К таковым программным

продуктам можно отнести системы агентного моделирования поведения: ORA,

Any Logic, Brain [3-5].

Подытоживая выше сказанное, необходимо отметить, что политику

информационной безопасности на предприятия и политику безопасности

предприятия в целом в настоящее время необходимо разрабатывать не просто

путем декларативного описания необходимости качественного выполнения

стратегических направлений, и путем разработки и утверждения моделей угроз

и моделей нарушителей, каковые в настоящее время в массе своей являются

всего лишь словесным описанием и в лучшем случае могут характеризовать

лишь статику системы, а с иных позиций. Реальную политику информационной

безопасности необходимо разрабатывать на основе использования уже

существующих и путем разработки новых, пусть даже весьма упрощенных,

математических моделей угроз уязвимостей и нарушителей, позволяющих

получить не только качественные, но и количественные оценки. Которые

способны описать как поведение отдельного сотрудника или человека, группы

сотрудников и в целом коллектив, так и смоделировать последствия

резонансных событий, к которым могут привести девиантные отклонения не

только в работе техники но и, прежде всего, в работе, действиях и поведении

персонала.

Информационная безопасность является сферой, требующей

значительных управленческих усилий и специальной подготовки. Многие

ситуации, в которых необходимо обеспечить защищенность информационных

ресурсов, являются более или менее уникальными, требуют индивидуального

анализа и подхода к принятию управленческих решений. Это связано, прежде

всего, с тем, что каждая ситуация складывается в определенных условиях

Page 74: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

внешней среды, являющейся для организации надсистемой, в условиях

определенного уровня развития информационных технологий и в условиях

доступности определенного набора ресурсов. Таким образом, внедрение и

эффективное использование средств защиты информации возможно только с

учетом всех организационных и кадровых условий, в которых функционируют

информационные системы и используются информационные ресурсы. С другой

стороны, управление информационной безопасностью становится

неотъемлемой частью и одним из приоритетов общей системы менеджмента.

Список литературы

1. Ньюстром Д., Дэвис К. Организационное поведение: поведение человека

в процессе труда [Электронный ресурс]/ Д. Ньюстром, К. Дэвис. URL:

http://www.burnlib.com/x/psylib/info/2644.html (дата обращения

15.11.2014)

2. Базанова, О. С. Организационное поведение и организационная культура

[Электронный ресурс] / О. С. Базанова. - М.:Лаборатория книги, 2012. -

111 с. - 978-5-504-00642-0. URL: http://www.biblioclub.ru/index.php?

page=book&id=141634 (дата обращения 18.11.2014)

3. А. Борщев. Практическое агентное моделирование и его место в арсенале

аналитика. Статья. [Электронный ресурс]

http://www.anylogic.ru/articles/prakticheskoe-agentnoe-modelirovanie-i-ego-

mesto-v-arsenale-analitika# (Дата обращения 05.11.2014)

4. Академик. Агентное моделирование, статья. [Электронный ресурс] URL:

http://dic.academic.ru/dic.nsf/ruwiki/590410 (Дата обращения 10.11.2014)

5. AnyLogic. Многоподходное имитационное моделирование. -

Официальный сайт AnyLogic. [Электронный ресурс] URL:

http://www.anylogic.ru/agent-based-modeling (Дата обращения 08.11.2014)

Page 75: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

ИСПОЛЬЗОВАНИЕ ОБЛАЧНЫХ ТЕХНОЛОГИЙ В ОРГАНИЗАЦИИ

VPN КАК ЗАЩИЩЕННОГО ТЕЛЕКОММУНИКАЦИОННОГО КАНАЛА

СВЯЗИ В ГОСУДАРСТВЕННОМ УПРАВЛЕНИИ

Иванов Владислав Сергеевич

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. В данной статье были рассмотрены наиболее распространенные

существующие модели организации VPN. Основываясь на анализе преимуществ и

недостатков изученных моделей, была предложена новая модель организации VPN,

которая позволит сократить расходы на содержание VPN в сфере государственного и

муниципального управления.

Ключевые слова: облачные технологии; VPN; видеоконференция; государственно

– муниципальный сектор.

Введение

Сегодня в большинстве государственных учреждений, использующих локальные

сети с целью организации защищенного канала связи, используется один из трех способов

организации VPN.

Первый и наиболее распространенный способ среди государственных учреждений,

которые занимают большую территориальную площадь - проложен свой канал. Среди

преимуществ данного способа можно выделить стабильность и гарантированность

характеристик канала. Главным и, пожалуй, единственным минусом данного метода

организации канала связи является высокая стоимость.

Также распространена практика аренды канал у провайдера. Благодаря

существованию огромного набора аппаратных и технических средств, позволяющих

организовать VPN, данный метод применяется для объединения ЦОД филиалов крупных

государственных структур, которые значительно удалены друг от друга.

Page 76: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Главным преимуществом данного канала является гарантия провайдера на

характеристики канала в формальных пределах, такие как пропускная способность, время

отклика, джиттер, доступность.

Однако, есть и минусы, которые значительно ограничивают применение данного

метода: зачастую завышенная цена для предоставляемой скорости и существование

возможности того, что провайдер не будет предоставлять услуги, во всех заявленными

заказчиком территориях.

Третий способ организации VPN заключается в приобретение государственной

организацией технических средств с целью создать собственный VPN. К плюсам можно

отнести производитель предоставляет оборудование с удобным управлением и

впечатляющим функционалом. Высокая цена, частые проблемы с настройкой и

обслуживанием оборудования (обновления, смена сертификатов, прохождение экспертиз)

формирую недостатки.

Итак, главными минусом организации VPN, который встречается во всех трех

вариантах, можно выделить высокую цену. Конечно же для государственного аппарата

федерального уровня, эти расходы ничтожны малы. Однако, даже для округа или области,

организация VPN может оказаться непосильной ношей для бюджета.

Именно для аппарата субъектов федерации и негосударственного аппарата власти

нами был разработан четвертый тип организации VPN, позволяющий сократить затраты

на содержание данной сети.

Итак, суть моего предложения заключается в том, чтобы подключать все площадки

не к центральному офису, а к облаку, которое обеспечит связность всех площадок. Идея

простая.

Page 77: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Некоторые компании предоставляют услуги L3 VPN, некоторые могут обеспечить

даже L2 VPN (ну, а L3 — тем более). Такие решения также могут служить анонимайзером

для отдельных пользователей или предоставлять им безопасный серфинг в сети, быть

WAN-акселератором (за счет сжатия любого трафика) и предоставлять всякие доп.

функции аля FW/IPS/AV на уровне облака, не загружая этим процессоры устройств в

филиалах.

В филиалы ставятся Plug and Play устройства доступа к облаку: роутеры (l3 vpn) или

мосты (l2 vpn), реже это только программные компоненты (не всегда удобный вариант), а

вся настройка и мониторинг осуществляется из облака. Все обновления, параметры самих

туннелей, распространение сертификатов осуществляются автоматически облаком без

участия пользователя.

Итак, для моего варианта организации VPN можно выделить такие преимущества,

как: простота эксплуатации, низкая стоимость, отсутствие крупных вложений на

первоначальном этапе, дополнительные услуги защиты по требованию без необходимости

замены оборудования в филиалах, увеличение пропускной способности за счет сжатия

Однако существуют и отрицательные стороны. К ним относятся отсутствие

гарантий характеристик канала (зависимость от Интернет-провайдера) и отсутствие

необходимых предложений в России.

L2 VPN облако

Главный офис

Главная консоль

Удаленняй пользова

тель

Удаленные офисы

Page 78: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Таким образом, в данном исследовании был проведен анализ существующих

способов организации VPN. На основе полученных результатов мною был предложен

метод организации, который позволит сформировать защищенный технологией VPN

телекоммуникационный канал связи для использования в государственных структурах с

малым бюджетом.

Список использованной литературы:

1) Виртуальные частные сети,Ч. Скотт, П. Вульф Периодическое издание «O’

Reilly», 1998.

2) Работаем с VPN [Электронный ресурс] – URL

http://www.osp.ru/win2000/13030192/

3) Компьютерные сети. В. Олифер, Н. Олифер Периодическое издание «Питер»,

2010.

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Русанов Александр Владимирович

Студент 5 курса

[email protected]

Филяк Петр Юрьевич

к.т.н.

paralax -1@ yandex . ru

Сыктывкарский государственный университет

Россия, г. Сыктывкар

Аннотация: Для обеспечения безопасности организации необходимо

построение системы безопасности, которая прежде всего должна

предусматривать подсистему работы в условиях рисков. Данная подсистема

предусматривает рассмотрение риска, как контрольного и управляемого

параметра, непосредственно участвующего в принятии и реализации

управленческих решений. Первым этапом в создании такой подсистемы

Page 79: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

является создание системы оценки рисков. Данная статья как раз и посвящена

рассмотрению и анализу данной проблемы.

Ключевые слова: информационные ресурсы; информационные системы;

информационная безопасность; риски; качественный анализ рисков;

количественный анализ рисков.

Нарастающие темпы развития информационного общества в России

затрагивают все, без исключения, сферы общественной жизни, в том числе и

экономическую. Информационные ресурсы становятся одними из важнейших

ресурсов в менеджменте, на ряду с природными, трудовыми и материальными.

В Российском законодательстве в сфере защиты информации приведено

следующее определение термина информационные ресурсы –

отдельные документы и отдельные массивы документов, документы и массивы

документов, содержащиеся в информационных системах (библиотеках,

архивах, фондах, банках данных, информационных системах других видов)[1].

Любая предпринимательская деятельность тесно связана с процессами

сбора, накопления, хранения, обработки и передачи информации, а это значит,

что её утрата или утечка, может привести к значительным последствиям,

которые могут быть выражены как в прямой форме материального ущерба, так

и в косвенной, выражающейся в упущенной выгоде или ухудшении репутации.

На данный момент практическое применение нашли два подхода к

построению системы обеспечения информационной безопасности:

1) обеспечение информационной безопасности на базовом уровне;

2) оценка и управление рисками информационной безопасности.

Первый подход основан на проверке соответствия уровня защищенности

информационной системы всем обязательным требованиям нормативных

правовых документов. В этом случае конечной целью становится выполнение

заранее определенного набора требований, без проведения каких-либо

дополнительных мероприятий. Критерием эффективности будут минимальные

суммарные затраты на выполнение поставленных целей.

Page 80: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Данный подход не позволяет в полной мере закрыть все актуальные

угрозы и соответственно не предоставляет достаточного количества данных

необходимых для оценки реального уровня информационной безопасности в

организации.

Второй подход основан на проведении детального анализа рисков,

который осуществляется в несколько этапов. Например, согласно стандарту

Российской Федерации ГОСТ Р ИСО/МЭК 27005-2010 «Информационная

технология. Методы и средства обеспечения безопасности. Менеджмент риска

информационной безопасности» процесс оценки риска состоит из:

1. Анализа риска, включающего в себя:

идентификацию активов;

определение угроз;

определение существующих мер контроля и средств контроля и

управления;

выявление уязвимостей;

определение последствий.

2. оценки риска состоящей из следующего набора действий:

оценка последствий;

оценка вероятности инцидента;

оценка уровня риска[2].

«Управление рисками информационной безопасности представляет собой

непрерывный процесс, обеспечивающий выявление, оценку и минимизацию

рисков от реализации угроз информационной безопасности, направленных на

активы организации»[3].

Большинство развитых стран имеет собственные стандартизированные

подходы к оценке рисков. В США это NIST (NIST SP 800-30:2002, NIST 800-

53:2013), в Великобритании BS (BS 7799:), в Германии –BSI и т.д.

В Российской Федерации необходимость введения стандартов,

регламентирующих требования и методы к управлению рисками

Page 81: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

информационной безопасности зародилась после введения в действие

международного стандарта ISO/IEC 27001-2005.

На данный момент, в нашей стране все вопросы, касающиеся анализа,

оценки и управления рисками, в том числе и информационными,

регламентируются стандартами серии ГОСТ Р ИСО/МЭК 27000.

Методы анализа риска условно можно разделить на четыре категории:

качественный анализ, количественный, комбинированный и метод

обобщенного стоимостного результата Миоры.

Качественный метод предусматривает использование лингвистических

значений при оценке вероятностей возникновения угроз и последствий,

возникающих при их реализации. В качестве таких значений могут

использоваться следующие величины: очень низкий, низкий, средний, высокий,

очень высокий, критический и т.п. Данный подход имеет ряд преимуществ:

наглядное представление результатов и простота для понимания персоналом

любой квалификации, минимальные финансовые, временные и трудовые

затраты на реализацию данного метода, возможность провести оценку рисков

при недостаточном наборе входных данных.

Качественный подход к анализу рисков используется в методике

«Facilitated Risk Analysis Process (FRAP)» разработанной в компании Peltier and

Associates. Для определения величин вероятности (probability) и влияния

(impact) используются следующие значения: high, medium, low[4].

Количественный метод, в отличие от качественного позволяет получить

более полное представление о возможных информационных рисках, так как

данный подход основан на математических методах: теория вероятности,

математическая статистика, теория нечетких множеств и т.п. При таком

подходе используются цифровые шкалы, определяющие величины потерь, и

вероятности реализации угрозы. Количественный метод анализа

информационных рисков гораздо сложнее чем, качественный, поэтому требует

значительно большей квалификации ответственного работника. Следует

понимать, что неправильно проанализированные риски, могут быть неверно

Page 82: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

оценены и как следствие могут привести к излишним затратам, или

нерациональному распределению ресурсов, имеющихся в собственности

компании. Такой исход может быть вызван целым рядом факторов: ошибочное

субъективное мнение эксперта, проводящего оценивание, недостоверность

входных данных используемых источников, нехватка статистики по

инцидентам информационной безопасности, ошибки при осуществлении

расчетов и т.п.

Методика компании RiskWatch направлена на проведение точной

количественной оценки соотношения финансовых потерь от угроз

информационной безопасности и предполагаемых затрат на создание системы

защиты.

Корпорация Microsoft в своей работе «Руководство по управлению

рисками безопасности» предлагает в качестве анализа рисков использовать

комбинированный подход, сочетающий в себе достоинства и возможности

качественного и количественного методов. Качественный подход

используется для быстрого упорядочивания перечня всех рисков безопасности,

а количественный подход позволяет в дальнейшем выполнить более глубокий

анализ наиболее существенных рисков, выявленных на этом этапе[5].

Наглядным примером среди методик расчета, основанных на

комплексном подходе, является методика, разработанная центральным

агентством по компьютерам и телекоммуникациям Британии – CRAMM.

Первоначальные оценки рисков осуществляются на качественном уровне, а в

дальнейшем производится переход к количественной оценке.

Метод обобщенного стоимостного результата Миоры был разработан

Майклом Миорой в качестве альтернативы количественному методу. Суть

данного подхода заключается в том, что вместо расчета вероятности

возникновения угрозы во внимание принимается ущерб от простоя.

Информационная безопасность предприятия [6] подразумевается, как функция

от времени при наступлении инцидента информационной безопасности. В

Page 83: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

итоге процесс анализа рисков сводится к подсчетам размера возможного

ущерба и сроков его влияния на организацию.

Такой метод предусматривает три вида ущерба:

прямой осязаемый ущерб – связан с угрозами, касающимися

производственных активов;

косвенный осязаемый – нанесение ущерба активам связанным с

внешними источниками;

неосязаемый – падение репутации компании.

Заключение

Для построения надежной и эффективной системы защиты информации

просто необходимо внедрение методов управления информационными

рисками. Выбор того или иного подхода к анализу рисков может зависеть от

целого ряда обстоятельств: бюджет организации, который она может и готова

выделить на проведение необходимых работ, стоимость и привлекательность

обрабатываемой информации, а так же возможные убытки, которые понесет

компания в случае её утечки или утраты и т.п. Например: небольшая

организация достаточно ограниченная в материальных средствах, но имеющая

в своих активах оригинальные сведения, которые помогут ей получить

конкурентные преимущества на потребительском рынке, может принять

решение о проведении качественной оценки рисков, с целью определения

приоритетных направлений информационной безопасности.

Список литературы

1. Защита информации. Объект информатизации. Факторы, воздействующие

на информацию. Общие положения : ГОСТ Р 51275-99. – Введ.199-12-05 ;

переизан 2003-12 // Библиотека гостов и нормативов [электронный

ресурс]. – точка доступа :

http://www.ohranatruda.ru/ot_biblio/normativ/data_normativ/37/37808/index.php

Page 84: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

2. Информационная технология. Методы и средства обеспечения

безопасности. Менеджмент риска информационной безопасности : ГОСТ

Р ИСО/МЭК 27005-2010. – Введ. 2011-12-01 // Электронный фон

правовой нормативно-технической документации [электронный

ресурс] // точка доступа : http://docs.cntd.ru/document/gost-r-iso-mek-

27005-2010

3. Государственный стандарт РФ Информационная технология. Методы и

средства обеспечения безопасности. Критерии оценки безопасности

информационных технологий. Часть 2 : ГОСТ Р ИСО/МЭК 15408-2-

2002 // Электронный фон правовой нормативно-технической

документации [электронный ресурс] // точка доступа :

http://docs.cntd.ru/document/gost-r-iso-mek-27005-2010

4. Security Management Practices. Risk Analysis and Risk Management. – точка

доступа:

http://home.kelley.iupui.edu/notaylor/s555/su08/documents/itmanagement/

riskanalysis14451647.pdf

5. Руководство по управлению рисками безопасности. Группа разработки

решений Майкрософт по безопасности и соответствию регулятивным

нормам и Центр Microsoft Security Center of Excellence // Microsoft

TecheNet : [сайт]. – точка доступа :

http://technet.microsoft.com/ru-ru/library/cc163143.aspx

6. Конев, И.Р., Беляев, А.В. Информационная безопасность предприятия /

И.Р. Конев, А.В. Беляев. - СПб.: БХВ-Петербург, 2003. – 752 с.

РАЗРАБОТКА МЕТОДОВ ЗАЩИТЫ WEB-ПРИЛОЖЕНИЯ «КЛИЕНТ-

БАНК» СЕРВИСОВ ДБО

Власов Ренат Владимирович

Page 85: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

студент

Финансовый Университет при Правительстве РФ

Россия, г. Москва

vlasov . ren @ yandex . ru

Аннотация: В данной статье будут рассмотрены актуальные угрозы

системам дистанционного банковского обслуживания, а так же методы борьбы

с ними.

Ключевые слова: ДБО, транзакции, защита, Клиент-Банк, Электронный

банк.

Дистанционное банковское обслуживание – Это технология

предоставления банковских услуг клиентам, осуществляемая посредствам

передачи поручений от клиентов банку по каналам передачи данных.

Развитие объектов банковской сферы развивалось на протяжении многих

лет. В условиях жесткой конкуренции, банки, с целью привлечения клиентов

для постоянной генерации денежных средств и обеспечения процесса

непрерывности бизнеса улучшали, обязаны были улучшать качество

обслуживания клиентов и предоставляемых им услуг.

Исходя из этого, одним из наиболее перспективных направлений является

дистанционное банковское обслуживание. Этому есть объяснение: данный вид

услуг является удобным решением проблем отправки платежных поручений

как для крупных корпоративных, так и для мелких частных клиентов. Плюс ко

всему, на заре развития коммуникаций, ДБО являлось серьезным

конкурентным преимуществом по сравнению с традиционными методами

обслуживания клиентов.

Поскольку передача платежных поручений от клиента банку

осуществляется посредствам каналов передачи данных, то такие системы

априори не могут быть защищены на 100% и дело здесь не в защите систем

ДБО банка, которые по большей части имеют достаточный уровень

защищенности, как и любая система, контактирующая с объектами из

Page 86: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

недоверенной среды. Защита данных систем подпадает под действие

регламентирующих стандартов, таких как СТО БР и PCI DSS. А вот защита

клиентского места ложится на плечи самого клиента, потому что это внешняя

по отношению к системам банка территория, и она не может контролироваться

службой информационной безопасности банка. Именно поэтому,

организационные меры по защите информации, по большей части, не дают

ощутимых результатов.

Данный фактор способствовал тому, что с каждым годом число атак на

клиентскую часть систем ДБО только возрастает. По статистике МВД за 2012г

только за 1 день совершалось порядка 40-50 атак на системы ДБО.

Рассмотрим наиболее распространенные виды атак:

Фишинг

o Принуждение клиента перейти по сфальсифицированной ссылке

o Программная реализация подмены адреса сайта ДБО

Логгирование

o Перехват всех нажатий клавиш в системе

o Считывание значений полей ввода в браузере

o Перехват HTTP запросов

Вредоносное программное обеспечение

Физическая кража ключей ЭЦП

o Непосредственное копирование файлов ключей

o Экспорт сертификатов из хранилища браузера

o Перехват сертификатов в момент их использования

Атаки типа человек посредине (Man-in-the-middle)

Межсайтовое выполнение сценариев

Методы обеспечения безопасности систем ДБО:

5. Использование протокола SSL. Данный протокол позволяет осуществить

аутентификацию сервера(клиента) и шифрование сессии. Его

преимущество в том, что он не зависим от прикладного протокола.

Page 87: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Протокол SSL согласовывет алгоритм шифрования и ключ сессии,

аутентифицирует сервер до момента, когда приложение примет или

передаст первый байт данных. Все протокольные прикладные данные

шифруются и передаются с гарантией конфиденциальности. Кроме того,

SSL предоставляет безопасный канал, который наделен 3 свойствами:

Канал является частным. Для определения секретного ключа происходит

простой «диалог», после чего все сообщения шифруются.

Канал аутентифицирован. Возможность как серверной, так и клиентской

аутентификации, что снижает риск доступа к сервису из «недоверенных»

источников.

Канал надежен. Все транспортируемые сообщений подвергаются

проверке на целостность.

6. Защита от логгирования. Подразумевает под собой использование

программных «клавиатур» для предотвращения перехвата данных, путем

мониторинга нажатий клавиш. Развитие вредоносного ПО

поспособствовало новым методам перехвата, способным отличить

виртуальные средства ввода информации от реальных. НО преимущество

данного метода в том, что он не является дорогостоящим или неудобным

для клиента. Данная мера не будет лишней в любом случае.

7. Многофакторная аутентификация. Один из самых действенных способов

защиты клиентских денег от похищения. Она предполагает достаточный

уровень защиты при минимальных затратах. Суть данного метода

заключается в дополнительной аутентификации после правильного ввода

логина и пароля. Чаще всего, данный метод находит отражение в sms

сообщениях с одноразовым паролем. Использование sms-паролей является

одним из требований в стандарте Банка России. Помимо одноразовых

паролей, многофакторная аутентификация может включать в себя

биометрическую аутентификацию. Но такие меры несут огромные

денежные затраты и не пользуются особой популярностью.

Page 88: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

8. Использование аппаратных ключей («токенов»). Является мерой для

усиления уровня защиты. Аппаратный ключ eToken PASS представляет

собой брелок, реализующий выдачу одноразового пароля по запросу

пользователя. Полученный пароль может использоваться для

дополнительной защиты авторизации и/или отдельных действий

пользователя. Верификация пароля осуществляется на стороне сервера.

9. Проверка ip-адреса клиента. Суть метода состоит в том, что клиент, имея

полную информацию для входа в личный web-кабинет банка, не сможет

этого сделать с постороннего ip-адреса. В таком случае атакующий не

сможет удалённо подключиться к интернет-банку, даже имея логин, пароль

и ключи легитимного пользователя.

10. Аппаратная аутентификация отдельных транзакций. Дополнительной мерой

защиты может выступать использование многофакторной аутентификации

не для получения доступа к системе web-банкинга, а для авторизации

отдельных транзакций во время работы с ней. Использование аппаратных

средств подтверждения транзакций является действенным способом,

обеспечивающим частичную от вредоносного ПО, работающего в уже

открытой сессии пользователя. Клиентские поручения на проведение

транзакций шифруются и передаются банку по защищенному каналу, что

делает невозможным перехват и расшифровку данных. Для клиентов –

физических лиц (в отличие от юридических) эта защита может считаться

приемлемой ввиду удобства ее реализации: количество финансовых

транзакций в рамках одной сессии в данном случае редко бывает

значительным.

11. SMS and E-mail оповещения о совершенных операциях. Оповещение

клиента о каждой транзакции является средством борьбы с различными

методами перехвата сессий работы с web-банкингом). Благодаря данному

методу защиты, клиент всегда узнает о совершенных банковских операция

и, в случае неправомерного доступа к его информации, может обратиться в

Page 89: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

службу безопасности банка для проведения экспертизы и возврата

потерянных денежных средств.

12. Тонкий или доверенный клиент, разворачиваемый на клиентском

компьютере в виде виртуальной машины, на которой создается доверенная

среда для просмотра и подписи платежных документов. Такое решение не

требует дополнительных устройств, кроме доверенного носителя. Однако

пользователь, работая с системой ДБО в такой среде, сильно ограничен, так

как система “не видит” ресурсов рабочей стации и не может с ними

работать.

13. Clientless NAC решения. В случае ДБО нельзя использовать полноценный

In-Band NAC, поскольку отказ доступа к функционалу ДБО для

пользователя с заражённого компьютера, даже реализованный из лучших

побуждений, – это потенциально потерянный клиент. Однако предоставить

информацию о наличии, к примеру, подозрительной вирусной активности

со стороны клиентского компьютера или отсутствии антивирусного ПО

никогда не бывает лишним. Ряд Clientless NAC-решений для контроля

конечных рабочих мест работает напрямую из браузера и в случае

обнаружения серьёзных уязвимостей позволяет выдавать клиенту

предупреждение и список рекомендаций по дальнейшим действиям со

ссылками на интернет-ресурсы. Другое применение подобных технологий –

внутренний мониторинг клиентской базы с составлением списка

подозрительных рабочих мест для последующей корреляции этой

информации с данными систем финансового мониторинга и антифрода.

Выводы: Количество угроз системам ДБО с каждым годом только растет.

Появляются новые угрозы безопасности. Именно поэтому для защиты своих

денежных средств целесообразно и оправдано использовать спектр

предлагаемых на рынке безопасности средств. Хоть и не многие средства

безопасности принимаются на вооружение из-за их стоимости. А следование

Page 90: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

элементарным требованиям безопасности способно серьезно повысить общую

защищенность клиентского оборудования.

Литература

1. Е.А. Крука: Вопросы передачи и защиты информации. Санкт-Петербург.

2006

2. http://www.klerk.ru/bank/articles/238500/

3. http://antifraudrussia.ru/assets/files/Prez/Potanin_Soyuz.pdf

4. http://www.jetinfo.ru/stati/zaschita-dbo-traditsionnye-podkhody

5. http://nobunkum.ru/ru/banker-attacks

6. http://citforum.ru/nets/semenov/6/ssl_65.shtml

ОДИН ИЗ ПОДХОДОВ ПОВЫШЕНИЯ УСТОЙЧИВОСТИ БЦВК К

ВОЗДЕЙСТВИЮ ДИСТРУКТИВНЫХ ЭМИ

Комарова Ирина Алексеевна

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. Современные бортовые цифровые вычислительные

комплексы (БЦВК), являющиеся ядром систем управления и контроля, все в

большей степени оснащаются электронными элементами, чувствительными к

электромагнитным воздействиям. В докладе предлагаются сценарии работы

системы анализа устойчивости (САУ) БЦВК при воздействии деструктивных

электромагнитных излучений (ЭМИ).

Актуальность. Повышение степени интеграции элементной базы

электроники, и, как следствие, снижение электрической прочности отдельных

компонентов аппаратуры приводит к снижению устойчивости БЦВК к

воздействию электромагнитных факторов различного происхождения.

Page 91: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Наиболее характерными примерами проявлений деструктивных воздействий

электромагнитных излучений на элементы и узлы БЦВК могут быть такие

явления, как сбои в каналах связи, потери информации в бортовых сетях,

отказы всей системы контроля и управления подвижным комплексом и т.п.

Методы, результаты и перспективы исследования. В статье проводится

анализ следующих сценариев работы САУ БЦВК по обнаружению воздействия

на БЦВК деструктивных ЭМИ: на основе анализа параметров искажений

информационного потока в условиях воздействия ЭМИ и на основе анализа

информации датчиков обнаружения электромагнитных воздействий (ЭМВ).

Отличительной чертой воздействия электромагнитных излучений на

современное бортовое оборудование и его телекоммуникационную

инфраструктуру является не физическое разрушение элементной базы и

каналов связи, а нарушение логической целостности информации,

передаваемой по этим линиям связи и обрабатываемой вычислительным

комплексом. Результаты экспериментальных исследований показали, что при

воздействии ЭМИ очень важно зафиксировать начало воздействие

электромагнитного импульса и принять своевременные меры по

предотвращению деструктивного для бортового цифрового вычислительного

комплекса воздействия.

Проведение широкого спектра экспериментальных исследований

позволило определить уровни функционального поражения элементов БЦВК и

составить базу команд управления для принятия мер защиты БЦВК в целом.

Так, например, при своевременном поступлении команды управления о

временном прекращении работы операционной системы БЦВМ, БЦВК

оставался работоспособным и не нарушал функционирование бортовой сети.

Также учитывалась особенность функционирования каждого элемента,

входящего в состав БЦВК, для определения наиболее эффективного способа

приостановки его функционирования.

Основными признаками воздействия источников ЭМИ на

информационный поток являются периодичность и кратность частоты

Page 92: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

появления искаженных пакетов частоте формирования импульсов известными

источниками ЭМИ.

В качестве одного из возможных подходов к защите информации в

бортовых сетях при воздействии деструктивных ЭМИ является разделение

трафика. Основная идея режима мультиплексирования трафика - разнесение

передачи по нескольким физическим каналам отдельных частей передаваемых

данных таким образом, чтобы сложность разрушения данных была

максимальной. Предлагаемое решение подразумевает повышение стойкости

информации при деструктивных электромагнитных воздействиях на среду

передачи на основе имеющихся физических средств. Характерной

особенностью процедуры является то, что она, является полностью

привязанной к свойствам среды передачи и топологии бортовой сети, полагаясь

на наличие структурной избыточности, которая свойственна для бортовых

сетей Ethernet.

Список литературы

1. Михайлов В.А., Мырова Л.О., Царегородцев А.В. Разработка

сценариев обнаружения воздействия деструктивных ЭМИ на бортовые

цифровые вычислительные комплексы // Электросвязь. – М.: Изд-во

"Инфо-Электросвязь", 2013. - 6. – С. 26-31.

2. Акбашев Б.Б., Михеев О.В., Ольшевский А.Н., Степанов П.В.

Основные направления исследований по проблеме ЭМС устройств

телекоммуникаций // Сборник научных трудов МИЭМ / Под ред.

Кечиева Л.Н. 2006.

Page 93: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

БЕЗОПАСНОСТЬ БЕСПРОВОДНЫХ СЕТЕЙ СТАНДАРТА IEEE 802.1X

Антошкин Станислав Владимирович,

аспирант 2 года обучения,

Финансовый университет при Правительстве РФ

Россия, г. Москва,

[email protected]

Аннотация: основные угрозы использования Wi-Fi связаны в первую

очередь с существенными различиями организации проводной и беспроводной

сети. Протокол IEEE 802.1X используется для стандартизации подключения к

информационно-телекоммуникационной сети всех видов пользователи тем

самым существенно снижая риски от беспроводного доступа.

Ключевые слова: Wi-Fi (Wireless Fidelity), Чужак, IEEE 802.1X,

авторизация.

Введение

Взрывной рост популярности беспроводных локальных сетей уже

прошел, и теперь дошел до стадии «привычных всем» технологий.

У каждого дома есть Wi-Fi-точка доступа или недорогой роутер, Wi-Fi

встречается и в кафе, и на работе. Как и множество других инновационных

технологий, использование беспроводных сетей влечет не только новые

выгоды, но и новые риски. Ещё с 2004 года компания Gartner предупреждала,

что безопасность Wi-Fi будет одной из основных проблем – и прогноз

полностью оправдывается.

Основным плюсом использование беспроводной сети является

мобильность, которую она дает. Однако мнения по поводу использования

данной технологии радикально различаются: некоторые уже сейчас переводят

на Wi-Fi свои ключевые бизнес процессы, другие же наоборот запрещают

всяческую активность Wi-Fi-сети.

Page 94: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Особенности построения беспроводных сетей

Традиционные проводные информационно-телекоммуникационные сети

используют медный кабель. Такой кабель считается «контролируемой» средой,

физически защищенной зданиями и помещениями, в которых он проложен, а

логически - фильтруется межсетевым экраном и анализируется системами

IDS/IPS. «Чужой» трафик, который входит в эту сеть может получить доступ

только если злоумышленник сможет преодолеть либо систему физической

безопасности здания, либо межсетевой экран.

Беспроводные же сети используют радиоволны. Эфир – среда с общим

доступом и практически полным отсутствием контроля. Обеспечить эквивалент

физической безопасности проводных сетей здесь просто невозможно. Как

только пользователь подключает к проводной сети точку доступа, её сигнал

может проходить сквозь стены, межэтажные перекрытия, окна здания.

Рисунок 1 - Периметр беспроводной сети не ограничен периметром здания

Таким образом, подключенный сегмент сети становится доступным с

другого этажа или даже из соседнего здания, парковки или другого конца

улицы – радиосигнал может распространяться на сотни метров за пределы

Page 95: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

здания. Единственной физической границей беспроводной сети является

уровень этого самого сигнала (Рисунок 1).

Именно из-за этого, невозможно определить откуда именно было создано

подключение, лишь бы сигнал был достаточной силы. В отличие от проводных

сетей где точка входа определена – это физически связанная розетка, которую

можно полностью проследить.

В своем роде это гигантский «хаб» (концентратор) и любое беспроводное

устройство может «видеть» всех беспроводных соседей в сети, а если приемник

находиться только в режиме прослушивания, и не посылает в сеть сигналов, его

даже невидно.

Поскольку радиосигналы широковещательны, передаться за пределы

оградительных конструкций и всегда доступны всем приемникам,

злоумышленникам чрезвычайно удобно и легко атаковать беспроводные сети -

имея гарантию что их сложно или вообще невозможно зафиксировать.

Поэтому, формально, любой человек с мобильным телефоном находящийся в

радиусе зоны покрытия может заниматься радиоразведкой сети – при этом

практически ничем не рискуя.

Основные риски использования беспроводной сети

Беспроводные сети, которые работают без физических и логических

ограничений своих проводных аналогов, значительно повышающие

мобильность персонала и непрерывность рабочего подвергают сетевую

пользователей и всю инфраструктуру информационно телекоммуникационной

сети значительным рискам. Давайте рассмотрим основные риски

использования Wi-Fi сети.

Чужаки

Чужаками называются устройства, предоставляющие доступ к

информационной сети, зачастую в обход механизмов защиты.

Page 96: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Как правило это самовольно установленные точки доступа. Согласно

мировой статистике около 10% всех атак на сетевую инфраструктуру было

совершено через «инородные» точки доступа. Даже если организация не

использует Wi-Fi и считает себя защищенной от такого рода угроз, внедренный

Wi-Fi моментально приводит к появлению таких угроз. Для этого достаточно

подключить домашний роутер или использовать ноутбук с одновременно

включёнными интерфейсами проводной и беспроводной сети.

В системе защиты ценой несколько миллионов рублей можно угрозу

может создать устройство за 500 рублей.

Рисунок 2 – Внедренный чужак

Нефиксированная природа связи

Как ранее уже упоминалось – устройства с беспроводным интерфейсом

не «привязаны» к стационарным розеткам и могут сами менять точки

подключение к сети непосредственно в процессе работы. «Случайные

ассоциации», происходить во время работы устройства с включёнными Wi-Fi

интерфейсом такой механизм позволяет злоумышленникам выдать себя за

доверенную точку доступ и использовать подключения для фишинговых атак

или атак типа человек по середине (Man-in-The-Middle). Кроме того, если

устройство подключено одновременно к проводной сети и без проводной сети

– он может стать точкой входа в информационно телекоммуникационную сеть

– т.е. классическим чужаком.

Page 97: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Так же большинство популярных операционных систем ставят сети Ad-

Hoc выше приоритетом, нежели проводные сети.

Сети Ad-Hoc –это одноранговые сети непосредственного соединения

между беспроводными устройствами без участия в таком соединения точек

доступа. Данный способ организации сети не поддерживает большинства

современных методов обеспечения безопасности, предоставляя

злоумышленникам легкий путь к взлому компьютеров пользователей сетей

данного типа.[1]

Уязвимости сетей и устройств

Некоторые сетевые устройства, могут быть более уязвимы, чем другие –

могут быть неправильно сконфигурированы, использовать слабые ключи

шифрования или методы аутентификации с известными уязвимостями.

Неудивительно, что в первую очередь злоумышленники атакуют именно их.

Отчеты аналитиков утверждают, что более 70 процентов успешных взломов

беспроводных сетей произошли именно в результате неправильной

конфигурации точек доступа или клиентского программного обеспечения.

Взлом шифрования

Всем желающим уже давно доступны средства для взлома сетей,

основывающихся на стандарте шифрования WEP(Wired Equivalent Privacy). Эти

инструменты широко освещены в Интернете и уже не требуют особых навыков

для применения. Они используют уязвимости алгоритма WEP, пассивно

собирая статистику трафика в беспроводной сети до тех пор, пока собранных

данных не окажется достаточно для восстановления ключа шифрования. С

использованием последнего поколения средств взлома WEP, использующих

специальные методы инъекции трафика, срок «до тех пор» колеблется от 15

мин до 15 сек. Аналогично, есть уязвимости разной степени опасности и

сложности, позволяющие ломать TKIP(Temporal Key Integrity Protocol) и даже

WPA2(Wi-Fi Protected Access). [2]

Page 98: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Использование стандарта IEEE 802.1X

Беспроводные сети порождают новые классы рисков и угроз, от которых

невозможно защититься традиционными проводными средствами. Даже если в

организации формально запрещен Wi-Fi – это еще не значит, что кто-нибудь из

пользователей не установит чужака и сведет этим все вложения в безопасность

сети к нулю. Кроме того, ввиду особенностей беспроводной связи, важно

контролировать не только безопасность инфраструктуры доступа, но и следить

за пользователями, которые могут стать объектом атаки злоумышленника либо

просто могут случайно или умышленно перейти с корпоративной сети на

незащищенное соединение.

Одним из способов защиты может стать стандарт 802.1x -который

используется для авторизации и аутентификации пользователей и рабочих

станций в информационно телекоммуникационных сетях передачи данных.

Благодаря этому стандарту можно предоставить различные права доступа

пользователям к корпоративной сети или ее сервисам в зависимости от

необходимости в их использовании или группы, к которой относиться

пользователя. Так, например, подключившись к Wi-Fi сети или к стандартной

проводной сетевой розетке в любом месте информационно

телекоммуникационной сети, пользователь будет автоматически помещен в ту

частную виртуальную подсеть(VLAN), который предопределен груповыми

политиками, к которой привязана учетная запись пользователя или его рабочая

станция в LDAP (Lightweight Directory Access Protocol).

Для реализации такой модели подключения и организации сети

необходимо наличие коммутатора, который будет выступать в роли

аутентификатора, сервер аутентификации (RADIUS (Remote Authentication in

Dial-In User Service) сервер), DHCP (Dynamic Host Configuration Protocol)

сервер, а также суппликант (клиент) 802.1x на рабочей станции пользователя.

Для расширенного функционала и дополнительной безопасности сети могут

Page 99: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

быть использованы сервер хранения учетных данных пользователей, и сервер

выдачи сертификатов.

Встроенный клиент 802.1x присутствует во всех современных

операционных системах. Принцип работы стандарта IEEE 802.1x, процесса

авторизации в упрощенном виде, показан на рисунке 3, где цифрами указан

номер шага:

Рисунок 3 - Принцип работы стандарта 802.1x

В настоящее время практически все информационно

телекоммуникационные сети управляемы и работаю в среде управления

LDAP(Lightweight Directory Access Protocol) протоколом, например, AD

(Microsoft Active Directory), что существенно облегчает создание и применения

стандартов семейства 802.1x для создания и защиты все сетевой

инфраструктуры в том числе и беспроводной.

Page 100: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Права доступа для объектов конкретной группы устанавливаются на

сервере доступа (ACS Access Control Server). Логика работы сети при этом

имеет следующую структуру:

Приходит запрос на проверку авторизационных данных;

ACS обращается к серверу AD с вопросом кто это такой и в какой группе

AD он находится;

AD сообщает что это такой-то объект и он находится у меня в такой-то

группе;

ACS сопоставляет имя группы AD и локально-созданную группу с

политиками доступа на ACS, которой она соответствует;

Если соответствие найдено, ACS сообщает коммутатору, какие правила

доступа применить на порт согласно заданным критериями безопасности

на ACS для этой группы.[3]

Это приводит к тому что пользователи различных групп имеют

изолированные друг от друга виртуальные подсети, как будто они подключены

к различным точкам доступа, что существенно повышает надежность и

безопасность сети.

Даже если злоумышленник, сможет подобрать ключи или

воспользоваться «Чужаком», он не сможет авторизоваться на едином сервере

аутентификации, а как следствие окажется в гостевой подсети и не получит

доступа к сервисам и службам информационно телекоммуникационной сети.

Литература

1. Бандурян А.В. Анализ угроз для беспроводных сетей/ Бандурян А.В //

Компьютерное Обозрение. - 2014. - 10. - С. 25-29.

2. Столлингс, Вильям. Современные компьютерные сети : [Пер. с англ.]

. -2-е изд. СПб. [и др.]: Питер, 2003 с. 754-766

3. Cisco Systems, Inc Switch Software Configuration 78-11380-04, 7-25 с

Page 101: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

ТЕНЕВЫЕ СХЕМЫ ИСПОЛЬЗОВАНИЯ ГЛОБАЛЬНЫХ СЕТЕЙ

Смирнов Павел Александрович

Студент 2 курса

Финансовый университет при Правительстве РФ

Россия, г.Москва

smirnov . pasha 95@ gmail . com

Аннотация. Большая часть потенциально опасной информации свободно

гуляет в даркнете. В докладе будут рассмотрены анонимные сети, как

связующее звено для коммерческих предложений, место для закрытой

информации. В наши дни политическая ситуация сложилась так, что тайна

личной жизни, свобода слова, свобода выбора ограничиваются законом, это и

послужило новым толчком для создания подобных сетей.

Ключевые слова. Анонимность, даркнет, сеть Tor.

ВведениеВ современном обществе существуют проблемы анонимности и приватности,

проблемы свободы слова. Известно огромное количество уголовных дел и

судебных процессов в отношении национально мыслящих русских людей,

посмевших выступить в защиту интересов русского народа. Директор ЦРУ,

Ален Даллес, написал после нашей победы в 1945 году: “Окончится война, все

как-то устроится, и мы бросим все, что имеем, все золото, всю материальную

мощь на оболванивание и одурачивание людей. Человеческий мозг, сознание

людей, способно к изменению. Посеяв там [в России] хаос, мы незаметно

подменим их ценности на фальшивые и заставим их в эти фальшивые ценности

верить. Как? Мы найдем своих единомышленников, своих союзников в самой

России. Эпизод за эпизодом будет разыгрываться грандиозная по своему

масштабу трагедия гибели самого непокорного на земле народа,

окончательного, необратимого угасания его самосознания. Из литературы и

искусства, например, мы постепенно вытравим их социальную сущность,

отучим художников, отобьем у них охоту заниматься изображением,

Page 102: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

исследованием тех процессов, которые происходят в глубинах народных масс.

Литература, театры, кино – все будет изображать и прославлять самые

низменные человеческие чувства. Мы будем всячески поддерживать и

поднимать так называемых “художников”, которые станут насаждать и

вдалбливать в человеческое сознание культ секса, насилия, садизма,

предательства – словом, всякой безнравственности. В управлении государством

мы создадим хаос и неразбериху. Мы будем незаметно, но активно и постоянно

способствовать самодурству чиновников, взяточников, беспринципности.

Бюрократизм и волокита будут возводиться в добродетель. Честность и

порядочность будут осмеиваться и никому не станут нужны, превратятся в

пережиток прошлого. Хамство и наглость, ложь и обман, пьянство и

наркомания, животный страх друг перед другом и беззастенчивость,

предательство и вражду народов, прежде всего вражду и ненависть к русскому

народу – все это мы будем ловко и незаметно культивировать, все это расцветет

махровым цветом.

И лишь немногие, очень немногие будут догадываться или понимать, что

происходит. Но таких людей мы поставим в беспомощное положение,

превратим в посмешище, найдем способ их оболгать и объявить отбросами

общества. Будем вырывать духовные корни, опошлять и уничтожать основы

народной нравственности. Мы будем расшатывать, таким образом, поколение

за поколением. Будем браться за людей с детских, юношеских лет, главную

ставку всегда будем делать на молодежь, станем разлагать, развращать,

растлевать ее. Мы сделаем из них циников, пошляков, космополитов”. [3]

Интернет стал опасен для человека. Хотя нам внушают обратное, со

временем Интернет становится все более подконтролен различным

группировкам, ограничивающим свободу слова и преследующим людей за свои

убеждения и распространение своих идей. У нас хотят отобрать право

обмениваться информацией. Камерами и микрофонами хотят контролировать

каждый наш шаг и вздох. Хотят заставить нас поверить, что это необходимо и в

наших же интересах.

Page 103: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

С чего всё начиналось. FidoNet

1) Узлы или ноды, которые являются полноправными членами сети и

включены в список узлов. Устав Фидонета предусматривает обязанность

узла соблюдать процедуры, предусмотренные для почтового обмена (в

частности, принимать адресованные узлу сообщения в течение

зонального почтового часа). Ноды отвечают за содержание всего трафика,

попадающего в сеть с их адреса, независимо от того, какой из конкретных

пользователей его разместил. Ноды имеют право осуществлять любую

деятельность в рамках сети, которая не противоречит Уставу Фидонета и

не раздражает других членов сети.

2) Пойнты, которые используют программное обеспечение Фидонета, но не

включаются в список узлов и не обязаны соблюдать процедуры

почтового обмена. Для приёма и отправки сетевой почты и эхомейла они

пользуются услугами узла (босс-ноды), который берёт на себя

ответственность за все действия пойнтов. В некоторых зонах (в

частности, в зоне 2) число пойнтов многократно превышало и превышает

число узлов, достигая 120 000. В настоящий момент в зоне 2 сохраняется

около 50 000 пойнтов.

3) Пользователи, не имеющие прямого отношения к Фидо-сервисам,

предоставляемым одним из узлов. Пользователям может предоставляться

доступ к отдельным транспортам Фидонета путём трансляции

(гейтования) сообщений из внешней сети в Фидонет и обратно. За все

проявления активности пользователей в Фидонете несёт ответственность

предоставивший доступ узел. Изначально положения, касающиеся

пользователей, распространялись на лиц,

использовавших терминальный доступ к BBS, действующей на Фидонет-

узле. Позже они стали применяться также к

пользователям гейтов Интернет ↔ Фидонет.

Page 104: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Луковая маршрутизация. Tor (The onion router)

Луковая маршрутизация (Onion routing) — это

технология анонимного обмена информацией через компьютерную сеть.

Сообщения неоднократно шифруются и потом отсылаются через несколько

сетевых узлов, называемых луковыми маршрутизаторами. Каждый

маршрутизатор удаляет слой шифрования, чтобы открыть трассировочные

инструкции, и отослать сообщения на следующий маршрутизатор, где все

повторится. Таким образом, промежуточные узлы не знают источник, пункт

назначения и содержание сообщения.

Виды узлов Tor:

1) Входные узлы (entry node) служат для принятия инициированных

клиентами сети Tor соединений, их шифрования и дальнейшего

перенаправления к следующему узлу.

2) Посреднический узел (middleman node), также иногда называемый

невыходным (non-exit node), передает шифрованный трафик только

между другими узлами сети Tor, что не позволяет её пользователям

напрямую подключаться к сайтам, находящимся вне зоны *.onion.

3) Выходные узлы (exit node). Последние в цепочке

серверы Tor называются выходными узлами. Они выполняют роль

передаточного звена между клиентом сети Tor и публичным Интернетом.

4) Сторожевые узлы (guard node). Их смысл в том, что клиент Tor выбирает

некоторое число узлов в качестве сторожевых и использует один из них

для входа в сеть применительно ко всем цепочкам, пока эти узлы в

рабочем состоянии. Это означает, что если используемые сторожевые

узлы не контролируются противником, то и все порождаемые ими

цепочки также защищены.

5) Мостовые узлы (bridge relay). Ретрансляторы, называемые бриджами (Tor

Bridges) являются узлами сети Tor, адреса которых не публикуются

в сервере каталогов и используются в качестве точек входа, как для

загрузки директорий, так и для построения цепочек.

Page 105: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

6) Выходной анклав (exit enclave) — это ретранслятор Tor, который

позволяет выйти на обычный сервис, находящийся по тому же IP-адресу,

что и сам «анклав». Эта функция полезна для ресурсов, которые

используются через Tor, чтобы воспрепятствовать перехвату трафика

между выходным узлом и сервисом

Угрозы безопасности

Вопреки пропагандируемому мнению, Tor используется не только

преступниками, педофилами и террористами. Это, мягко говоря, далеко не так.

Активисты разного рода, журналисты, просто люди, любящие приватность

составляют портрет пользователей Tor. Импонирует позиция разработчиков

Tor, отвечающих на вопрос: «А что, у вас есть, что скрывать?» фразой: «Нет,

это не секрет — просто это не ваше дело».

А у преступников есть большой арсенал средств, от смены личности до

краденых устройств или доступов в сеть, от ботнетов до вирусов-троянцев.

Что можно найти в Tor?

1) Оружие

2) Криптовалюта

3) Вещества (Наркотические, лекарственные, отравляющие)

4) Финансы (Платежные системы и все с этим связанное)

5) Хакерство (Атаки на программное обеспечение)

6) Защита информации (Технологии, анонимность, шифрование)

7) Техника безопасности (Минимизация рисков в реальной жизни)

8) Психология (Социальная инженерия)

9) Коммерческие предложения

Оружие

1) ЗЗ-затворная задержка

2) Лайнер (лейнер)- вставка в ствол нужного калибра

3) Мелкашка-патрон кольцевого воспламенения калибра 5,6 мм

4) ММГ-макет массогабаритный, представляет собой дезактивированное

оружие (распилен ствол, отпилены зеркало затвора и тд)

Page 106: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

5) Балаклея-завод, изготавливающий ММГ с самым гуманным деактивом-

зачастую лишь распилен ствол

6) МПУ-монтажный патрон, обжатая на звёздочку гильза 5,45*39

7) Патрон флобера-патрон кольцевого воспламенения калибра 4 мм. Не

содержит пороха, выстрел-за счет газов капсюля.

8) Люгер (он же парабеллум)-пистолет калибра 9*19 мм.

Защита информации

1) Случайные и псевдослучайные числа

2) Цифровая подпись - методика противодействия изменению или

искажению данных представляет из себя блок данных, содержащих

контрольную сумму или дайджест сообщения, привязанную к файлу (или

тексту)

3) Стеганография - процесс передачи важной информации при сокрытии

факта ее присутствия

4) FreeOTFE - аналог TrueCrypt, portable-версия, открытый исходный код. С

разницей, что нет поддержки загрузки ОС. Сделана модульно, алгоритмы

можно добавлять / убирать для оптимизации скорости работы при старте

и защиты

5) Solid Encryption - шифроблокнот, работающий на случайных ключах.

Генерирует их при помощи источника шума, подключенного к звуковой

карте (лично мне метод внушает доверие)

Есть ли анонимность в сети Tor?

«Бывают наивны, как малые дети,

Те, кто верит в анонимность в интернете».

М. Сандомирский

«Те, кто пытается быть анонимным – неанонимны».

Анонимность в Интернете делится на два направления:

1) «Социальная анонимность» — это то, что человек сам осознанно или

неосознанно рассказывает о себе в Сети.

Page 107: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

2) «Техническая анонимность» — когда утечка деанонимизирующих данных

связана с используемыми техническими средствами и приложениями.

Плюсы Tor:

высокая степень анонимности клиента при соблюдении всех правил;

простота использования (скачал Tor Browser Bundle, запустил и

пользуйся).

Минусы Tor:

выходной траффик прослушивается;

низкая скорость;

наличие управляющих серверов.

Уязвимости Tor

1) Наблюдение из любого участка сети с использованием новой технологии

изучения трафика LinkWidth. Высокооснащённый пассивный

наблюдатель, используя топологическую карту сети Tor, может

вычислить обратный путь до любого пользователя за 20 минут. Также

исследователи утверждают, что можно вычислить IP-адрес скрытого

сервиса Tor за 120 минут. Однако, подобная атака возможна лишь в

лабораторных условиях, так как может быть эффективно проведена

только против участников сети, скачивающих большие файлы на высокой

скорости через близкие друг к другу узлы при условии компрометации

выходящего, что весьма далеко от реальной работы Tor.

2) Анализ трафика, так как в обратную сторону он открытый.

3) Идентификация мостов и захват их.

4) Деаномизация скрытых сервисов, посредством DDoS-атаки на

сторожевые узлы.

5) Программные ошибки.

Page 108: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Немного о рынке незаконных услуг

Анонимные сети не несут никакой ответственности за ваши действия.

Здесь нет закона, который вас ограничивает в покупке оружия или прочих

запрещённых предметов. Здесь нет ограничения в возрасте, можно спокойно

покупать жизнь человека или просто сливать закрытую информацию через

зашифрованный канал. В целом, здесь можно творить полнейший беспредел,

если бы Tor была полностью анонимизирована.

Проблема грамотности населения в наши дни

Говоря о техники безопасности, хочется отметить, что социальная

инженерия постоянно совершенствуется, а из-за «неграмотности» людей

возникают утечки информации или опасность внутреннего нарушителя. На

форумах даркнета уже давно лежат все эти схемы. Их осталось только

прочитать.

Вывод: В наши дни тёмный интернет приобретает более широкое

распространение в мире, но люди ещё не готовы полностью перейти туда.

Толчком для их развития является государство, которое, ограничивая нас в

реальной жизни, не может ограничить нас в анонимных сетях. Здесь тоже есть

свои законы и правила, которые нужно соблюдать, а иначе доступ сюда будет

закрыт, а ваши данные прямиком отправят в ФСБ.

Список используемой литературы:

1) http://zqktlwi4fecvo6ri.onion/

2) http://kbhpodhnfxl3clb4.onion/

3) http ://lwplxqzvmgu43uff.onion/

4) http://habrahabr.ru/post/228507/

5) http :// habrahabr . ru / post /190396/

6) http :// habrahabr . ru / post /190664/

7) http :// habrahabr . ru / post /203680/

8) http :// habrahabr . ru / post /204266/

Page 109: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

9) https://www.linux.org.ru/forum/talks/8068759

ПЕРСПЕКТИВЫ ИСПОЛЬЗОВАНИЯ МЕТОДОВ АВТОМАТИЧЕСКОГО

ЛИНГВИСТИЧЕСКОГО АНАЛИЗА ДЛЯ ПРИНЯТИЯ РЕШЕНИЙ

Агурьянов Игорь Викторович

Аспирант 3 года обучения

ОАО «Концерн «Системпром»

Россия, г. Москва

aframiy @ gmail . com

Аннотация. Современный мир пронизан множеством информационных

потоков, которое неуклонно растет, как и число тех, кто имеет к этим потокам

доступ. Мгновенный доступ к знаниям и новостям и их огромный объем

породил необходимость быстрого поиска релевантной информации и ее

быстрого восприятия. Весьма привлекательной кажется идея переработки

информации с помощью средств автоматизации с целью ее адаптации для

быстрого восприятия человека. Тем более, что подобный подход уже

используется в антиспам системах и системах предотвращения утечек

информации, благодаря использованию метода лингвистического анализа, о

некоторых перспективах использования которого рассказано в настоящей

статье.

Ключевые слова: лингвистический анализ, принятие решений, средства

предотвращения утечек информации

Общеизвестное высказывание основателя династии Ротшильдов4 – «Кто

владеет информацией – тот владеет миром» – в современном информационном

обществе мало у кого вызывает сомнения. А ведь все мы владеем гигантским

объемом информации, стоит только зайти в Интернет, ввести в поисковой

4 Имеется ввиду Майер Амшель Бауэр Ротшильд, хотя приведенная в тексте фраза получила широкую известность после того, как ее высказал в одной из своих речей Уинстон Черчилль

Page 110: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

строке запрос и получить огромное количество ссылок по интересующей теме.

Мы, правда, в большинстве случаев, получим много «мусора» и «дублей», но

поисковые гиганты вкладывают огромные средства в оптимизацию алгоритмов

своей работы5 и в радужной перспективе мы получим только релевантные

ссылки.

Вот только несмотря на тщательный автоматический отсев информации

все еще останется очень много. За короткое время воспринять и иметь

возможность оперировать этой информации нет возможности ни у одного

человека. Восприятие информации становится тяжелым и времязатратным

трудом, т.е. таким трудом, который человек всегда стремился автоматизировать

за счет использования инструментов.

Таким инструментом может стать автоматический лингвистический

анализ. В школьные годы на уроках литературы и русского языка нас учили

анализировать тексты множеством различных методик – знаки препинания,

знание частей речи, выделение ключевых и вспомогательных слов помогали

нам в этом. Мы умеем отличать описание природы от рецензии на книгу, умеем

отличать научный стиль повествования от публицистического. Некоторые даже

способны по тексту – оборотам речи, стилю изложения – определить автора

произведения. И под «некоторыми» понимаются не только люди6. Тому, чему

удается обучить школьников стоит попытаться обучить и компьютер.

И действительно, лингвистический анализ уже сейчас используется в

информационных технологиях, в т.ч. в технологиях информационной

безопасности, например, в большинстве антиспам систем или систем

предотвращения утечек (DLP-систем). В последних заложены правила

реагирования, основанные на следующем принципе7 – словам и ключевым

фразам конфиденциальных документов ставятся в соответствие веса (с учетом

морфологии и других возможных изменений самих слов и ключевых фраз). При

5 Родненко В. Инженер Google, об алгоритмах ранжирования // Блог Code is Art. 2008. URL: http :// www . codeisart . ru / blog / some - principles - google - ranking / (дата обращения 19.11.2014)6 Львов А. Лингвистический анализ текста и распознавание автора // Лаборатория фантастики. 2013. URL: http://fantlab.ru/article374 (дата обращения 19.11.2014)7 Пшехотская Е. Лингвистика в DLP-системах // Эл.журнал BIS-Expert. 2013. – URL: http :// bis - expert . ru / articles /42696 (дата обращения 19.11.2014)

Page 111: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

попытке переслать сообщение, в котором сумма весов перекрывает пороговое

значение, происходит реагирование. При тонкой настройке можно получить

очень точные результаты – без чтения сообщения мы получаем возможность

узнать не только, что оно содержит конфиденциальную информацию, но и

каков именно характер пересылаемой информации (условно говоря,

пересылаются ли клиентские базы, финансовая отчетность или результаты

маркетинговых исследований).

Некоторые производители DLP-систем имеют в штате целый отдел

лингвистов и это связано с развитием еще одного направления, в котором

используется лингвистического анализа. За последние несколько лет ряд

компаний анонсировали новые продукты, функционал которых связан с

поиском Интернете отзывов и статей о компании-заказчике и сообщает

«эмоциональный оттенок» каждого отзыва – был создан инструмент уже не

столько для нужд информационной безопасности, сколько для нужд

маркетинга.

Давайте посмотрим немножко вперед и попробуем оценить перспективы

развития автоматического лингвистического анализа. Двое хороших знакомых

автора этой статьи – экономист и программист – получили два года назад в

Европе гранд на исследование в области, связанной с лингвистическим

анализом. Им необходимо было разработать продукт, который бы

автоматически просматривал информацию на признанных общедоступных

информационных площадках и предсказывал падение или рост акций сразу

множества компаний. При успешной реализации проекта можно будет

разработать торгового робота нового поколения, который принесет своим

владельцам огромные доходы.

Необходимо понимать, что после разработки такого продукта изменятся

возможности крупных игроков рынка по регулированию экономики, да и

других сфер, например, политики, которая. «… есть концентрированное

выражение экономики». Теперь, представим себе инструмент, который

способен оценивать и прогнозировать расстановку политических сил в стране.

Page 112: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

В антиутопическом будущем результаты такого анализа будут рассматриваться,

как волеизъявления народа, вместо «устаревшего» института выборов.

А если взять под контроль информационные потоки, а не только

общедоступную информацию, то можно будет получать информацию о

благонадежности, взглядах и предпочтениях отдельных людей и групп людей,

при этом абсолютно не нарушая их конституционных прав8, ибо

автоматизированная система субъектом права ни в одной стране мира не

является.

Лингвистический анализ станет мощным инструментом аналитики во

многих сферах человеческой деятельности. А значит станут популярны и

методы его обмана, что в свою очередь вновь сделает лингвистический анализ

объектом интереса специалистов по информационной безопасности.

Литература

1. Львов А. Лингвистический анализ текста и распознавание автора //

Сайт Лаборатория фантастики. 2013. – URL:

http://fantlab.ru/article374 (дата обращения 19.11.2014)

2. Пшехотская Е. Лингвистика в DLP-системах // Эл.журнал BIS-Expert.

2013. – URL: http://bis-expert.ru/articles/42696 (дата обращения

19.11.2014)

3. Родненко В. Инженер Google, об алгоритмах ранжирования // Блог

Code is Art. 2008. – URL: http://www.codeisart.ru/blog/some-

principles-google-ranking (дата обращения 19.11.2014)

4. Сегалович И. Как работают поисковые системы // URL:

http://download.yandex.ru/company/iworld-3.pdf (дата обращения

19.11.2014)

8 Имеется ввиду Ст.23 Конституции РФ

Page 113: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

СИСТЕМА ОБЕСПЕЧЕНИЯ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ

БЦВК

Мозгалева Кристина Викторовна

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. Функциональная безопасность бортовых цифровых

вычислительных комплексов (БЦВК) принципиально важна для подвижных

объектов. В докладе предлагается новая система обеспечения функциональной

безопасности БЦВК на основе использования интеллектуальных механизмов

нейронных сетей.

Актуальность. Наряду со значительными достижениями в области

обеспечения стойкости отдельных элементов и узлов бортовых комплексов

существующие методы оценки воздействия импульсного электромагнитного

поля не позволяют проводить достоверную оценку воздействия ЭМИ на БЦВК

в целом. Это в значительной мере обусловлено структурной сложностью и

иерархичностью бортового комплекса. В связи с этим требуется разработка

нового подхода, позволяющего проводить интеллектуальный анализ и оценку

параметров искажений информационного потока в системе для

предотвращения деструктивного действия ЭМИ на БЦВК и его элементы.

Методы, результаты и перспективы исследования. Предлагается

решение на основе использования методов интеллектуального анализа и оценки

параметров искажений информационного потока в системе для

предотвращения деструктивного действия ЭМИ на элементы и узлы бортового

комплекса, что позволит учитывать априорные знания экспертов по

проблемной области и/или данные экспериментальных исследований.

Результаты исследований имеют большое значение в системах управления и

навигации как наземных, так и аэрокосмических комплексов.

Page 114: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Ключевые слова: бортовой цифровой вычислительный комплекс,

электромагнитное воздействие, система обеспечения, нейронная сеть.

Оценка устойчивости бортовых цифровых вычислительных комплексов

(БЦВК) к действию электромагнитных полей (ЭМП) включает в себя

определение параметров электромагнитных полей, воздействующих на

подсистемы БЦВК и последующую оценку воздействия этих ЭМП на

работоспособность отдельных элементов и узлов БЦВК и системы в целом [1].

Анализ методов и средств оценки воздействия электромагнитных

импульсов (ЭМИ) на подсистемы БЦВК показал, что для достоверной оценки

устойчивости БЦВК к воздействию ЭМИ требуется разработка новых

расчетных моделей оценки воздействия ЭМП на элементы и узлы БЦВК с

возможностью их интеграции в рамках единого комплекса, позволяющего

проводить интеллектуальный анализ и оценку параметров искажений

информационного потока в системе для предотвращения деструктивного

действия ЭМИ на БЦВК [1].

Анализ состояния проблемы по теоретическим и экспериментальным

методам исследования воздействия ЭМИ на БЦВМ и методам оценки их

стойкости выявил следующие закономерности:

1. БЦВМ подвергаются широкому спектру воздействия

дестабилизирующих электромагнитных факторов.

2. В состав бортовых систем входят как цифровые устройства, так и

аналоговые и гибридные устройства, которые работают в широком интервале

частот, напряжений и токов.

3. Существующие методы и средства обеспечения стойкости в

основном ориентированы на решение проблемы ЭМС, электромагнитных

факторов природного и техногенного происхождения, ЭМИ ВЯВ (высотный

ядерный взрыв) и не затрагивают сложнейший комплекс задач устойчивости

БЦВМ (бортовая цифровая вычислительная машина) в условиях воздействия

ЭМИ, изложенных в стандартах МЭК.

Page 115: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

4. Существующие методы оценки стойкости разработаны

применительно к объектам (ракеты, самолеты, блоки различных систем и

т.д.) и представляют собой заключительный этап оценки стойкости к

мощным импульсным и гармоническим полям, а именно, испытания на

подтверждение заданных требований при наличии определенной априорной

информации.

5. Существующие численные методы расчета эффективности

экранирования и методики расчета токов и напряжений, воздействующих на

типовые элементы БЦВМ требуют совершенствования и разработки на их

основе инженерных методик, которые можно использовать на этапах

проектирования БЦВМ для определения основных параметров воздействия.

6. Оценить воздействие ЭМИ на БЦВМ и получить достоверные

данные одними аналитическими методами невозможно из-за многообразия

принципов их построения и действия, а также из-за сложности учета

реальных электромагнитных связей с окружающим пространством [2, 3].

7. Наконец, при исследовании стойкости БЦВМ следует учитывать

существующие методы и средства защиты БЦВМ.

Анализ проблемы функциональной безопасности БЦВК к

деструктивному воздействию ЭМИ показал, что для достоверной оценки

устойчивости БЦВК к воздействию ЭМИ требуется разработка нового подхода,

позволяющего проводить интеллектуальный анализ и оценку параметров

искажений информационного потока в системе для предотвращения

деструктивного действия ЭМИ на БЦВК.

При постановке задачи исследования будем отталкиваться от

предлагаемого представления системы обеспечения функциональной

безопасности (СОФБ) БЦВК к деструктивному воздействию ЭМИ (рисунок 1).

СОФБ должна проводить анализ и оценку устойчивости БЦВК к

деструктивному воздействию ЭМИ на этапе проектирования и эксплуатации.

Для удовлетворения данного требования предполагается использовать подход,

Page 116: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

при котором проводится анализ модели БЦВК. Данная модель строится на базе

спецификаций, описывающих конфигурацию бортовой сети (топологию, состав

программного обеспечения (ПО) и аппаратных средств (АС)) и реализуемую в

ней политику безопасности. На этапе проектирования БЦВК спецификации

формируются проектировщиком, на этапе эксплуатации в автоматическом

режиме при помощи программных агентов, функционирующих на узлах БЦВК.

Рисунок 1 – Представление системы обеспечения функциональной

безопасности БЦВК

Во время работы СОФБ должна формировать сценарии

электромагнитных воздействий на элементы и узлы БЦВК, учитывать модели

ЭМИ на элементы и узлы БЦВК на всем диапазоне частот, производить расчет

множества показателей, характеризующих устойчивость БЦВК в целом и ее

отдельных подсистем к воздействию ЭМИ, учитывать топологию

анализируемой сети, состав аппаратных средств и программного обеспечения,

реализуемой политики безопасности. Результатом работы СОФБ являются

Page 117: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

множество обнаруженных уязвимостей, сценарии ЭМИ воздействий, наиболее

критичные компоненты сети, вероятность выхода из строя которых наивысшая,

множество показателей устойчивости, комплекс мер по повышению уровня

стойкости БЦВК.

Список литературы

1. Михайлов В.А., Мырова Л.О., Царегородцев А.В. Структура

интеллектуальной системы анализа и оценки устойчивости БЦВК к

деструктивному воздействию ЭМИ // Системы и средства связи,

телевидения и радиовещания. – М.: Изд-во ОАО "ЭКОС", 2012. - 1,

2.

2. Акбашев Б.Б., Михеев О.В., Ольшевский А.Н., Степанов П.В.

Основные направления исследований по проблеме ЭМС устройств

телекоммуникаций // Сборник научных трудов МИЭМ / Под ред.

Кечиева Л.Н. 2006.

3. Царегородцев А.В. Электромагнитный терроризм и обеспечение

безопасности критически важных объектов // Национальные интересы:

приоритеты и безопасность. 22(79). 2010.

Page 118: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

ЦИФРОВОЙ КОДЕКС И МЕЖДУНАРОДНЫЙ СОВЕТ ПО

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Ровенский Александр Витальевич

Студент

qazwsxed 78@ mail . ru

Башелханов Игорь Викторович

к.ф.-м.н.

ivbashelhanov @ fa . ru

Сафин Андрей Владимирович,

Студент

ASafin@ fa . ru

Трусов Леонид Алексеевич

Студент

leonidtrusov 96@ yandex . ru

Финансовый университет при Правительстве РФ

Россия, г.Москва

Аннотация: Предложено создание Международного Совета по

Информационной безопасности действующего на основании Цифрового и

Информационных кодексов стран-участниц. Рассматривается структура

организации. Подчеркивается возможность реального развития этого проекта

по инициативе стран БРИКС. Заявлены задачи Международного Совета по

противодействию информационному манипулированию личностями,

виртуальными (электронными) финансами, виртуальными (электронными)

экономиками, электронными Правительствами.

Ключевые слова: Международный Совет по информационной

безопасности. Цифровой кодекс. Информационный кодекс. Информационная

безопасность. Цифровая деменция. Киберпреступность. Информационное

манипулирование. Электронные финансы. Электронная экономика. БРИКС.

Page 119: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Согласно внутреннему официальному докладу лидирующей российской и

ставшей международной компании по информационной безопасности «Group-

IB» ущерб мировой экономике от действий киберпреступников в период с 2011

по 2013 возрос с 12 млрд USD до 27 млрд USD [1] . За прошлый год доход

русскоязычных хакеров составил 2,5 миллиарда долларов, что на целую треть

больше их доходов в 2012 году [2] и они заняли второе место в мире по эти

показателям [3]. Из этого можно сделать вывод, что имеющиеся на сегодня

способы борьбы со злоумышленниками весьма неэффективны и хаотичны . В

связи с этим имеется необходимость создания Международного совета по

информационной безопасности.

В работе [4] был предложен Цифровой кодекс и его концепция .

Необходимость принятия этого кодекса актуальна по следующим причинам. В

последнее время наблюдается бурный рост и распространение информационно-

коммуникационных технологий (далее-ИКТ), которые предоставляют новые

необозримые возможности. Научно-технические революции кроме очевидного

блага несут в себе и угрозы. Человечество и его коллективный мозг уже

сегодня не справляется с переработкой больших объемов данных (Big Data).

Как и всякие новшества, цифровые технологии должны иметь свои

ограничения при эксплуатации для предотвращения нежелательных

последствий неправильного, а то и злоумышленного их применения. В

конечном счете, надо признать, что наряду с безусловно положительной

стороной массовой «цифровизации» имеется и отрицательная сторона

последнего процесса- превращение ее в оружие массового поражения не только

техники, но и крайне уязвимой человеческой нейронной ткани. В ряде передач

российского телеканала «Культура» в октябре-ноябре 2014 г. эксперты

сообщили сведения, смысл которых заключается в том, что интернет-

зависимость, компьютерная игровая зависимость, «наркотические сериалы»,

инновационные телефоны (программно-аппаратные средства- с точки зрения

информационной безопасности) изменили современную цивилизацию в

худшую сторону и тянут ее к гибели.

Page 120: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

В информационно развитых странах: Украина, США, в некоторых

евросоюзных странах, Ю.Корея, Китай и др. появились большие проблемы с

аддиктивным поведением граждан, политиков, родителей, дошкольников,

школьников, студентов- связанных, на наш взгляд, со стремительным

снижением интеллекта. В США: постоянный информационный «шум»,

необходимость следить за непрекращающимся потоками информации на

фондовых биржах и в других разнообразных сферах жизни мешают попыткам

более рационально распределить время и внимание людей. Становится

большой проблемой в нужный момент сосредоточиться. Человек доходит до

конца страницы и уже не помнит, что было в начале. Субъект не только

испытывает трудность с возобновлением прерванного занятия, но и не помнит

вообще, что это было за занятие. Иногда американец заходит в комнату за чем-

нибудь и не знает, зачем он туда заглянул [6]. Приведем примеры из других

частей света. Немецкий психиатр М.Шпитцер руководит психиатрической

клиникой университета г.Ульма. У него неоднократно проходили лечение

пациенты, страдающие зависимостью от ИКТ. Цифровые СМИ и

индивидуальной коммуникации полностью разрушили жизнь этих людей.

Врачи в Южной Корее- высокоразвитой индустриальной стране, которая

является мировым лидером в области информационных технологий, отметили у

молодых взрослых людей участившиеся случаи явных нарушений памяти,

потери способности к концентрации, рассеянности внимания, а также

радикального снижения глубины эмоций и общего притупления чувств.

Описанные симптомы позволили врачам констатировать появление

инновационного (в прямом и переносном смысле) психо-неврологического

заболевания под названием «цифровое слабоумие» [7]. Если говорить шире, то

проблемы цифровой зависимости, цифровой наркомании являются проблемами

не только молодежи, но и взрослых людей- поскольку они также подвержены

цифровой деменции независимо от статуса. Поражение мозга от больших

данных, больших информационных потоков происходит в интервале от

нескольких минут до нескольких месяцев. Одними из признаков заболевания

Page 121: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

является «оцепеневшее» лицо пострадавшего, аддиктивное поведение,

нарушение речи (первым признаком является увеличение ненормативной

лексики), депрессия, приступы немотивированной агрессии, поведение

неадекватное ситуации. Пострадавшие успевают вовлечь в цифровую

зависимость и других людей. Перепрограммирование и деградация мозговой

деятельности человека может пересекаться по признакам с аутизмом, с СДВГ-

синдромом дефицита внимания и гиперактивности, а также с синдромом

эмоционального выгорания . Наиболее социально и технически опасными

является поражение мозга действующих политиков, государственных

служащих , операторов АРМ, авиадиспетчеров, пилотов, военных - всех

активно использующих ИКТ.

Необходимость действий в направлении обеспечения информационной

безопасности подчеркивается также технически прогрессивными российскими,

зарубежными юристами и политическими деятелями сформировавшими

Концепцию Информационного кодекса РФ и принявшими Модельный

Информационный кодекс для государств-участников СНГ [8]. «Уже в

настоящие время обсуждаются вопросы о создании в качестве некоего органа

международной информационной справедливости , формирующегося на

паритетной основе представительствами государств и гражданских обществ

стран-будущих участниц этого проекта , принципиально нового для мирового

информационного пространства органа - Международной палаты по

информационным спорам. Летом в 2010г. аналогичное по своей сути

предложение , но только применительно к еврозиатскому информационному

пространству , возникло в формате секционного заседания на тему: «Чистый

Интернет» , прошедшего в рамках 6-го Евразийского форума «Международные

проблемы информационного взаимодействия и информационной

безопасности»(«Инфофорум-Евразия» 10 июня 2010 года , Москва). В качестве

одного из значимых итогов осмысления специфики альтернативных способов

разрешения информационных споров , с помощью разнообразных структур

социальной ответственности СМИ отметим определенную двойственность

Page 122: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

статуса такого рода структур как государственно-общественных или

общественно-государственных. Наиболее точно их статусу соответствует

понятие «Public Service – органы публичной службы». Как представляется ,

деятельность органа или даже системы органов, построенных по модели СПИС

( например , в форме Третейского информационного суда ) в информационном

пространстве России , следует считать социально оправданной, полезной и

перспективной . На трудном пути к завтрашнему информационному открытому

обществу и , возможно , информационному правосудию , как части

традиционной судебной системы , такая деятельность принципиально важна и

остро необходима» [4]. В работе [8] отмечается,что « Китай, Россия,

Таджикистан и Узбекистан совместно выработали предложения для резолюции

Генеральной Ассамблеи ООН «Правила поведения в области обеспечения

международной информационной безопасности» и направили этот документ в

адрес Генерального секретаря ООН. Одновременно была подготовлена

Концепция, «юридически обязывающая» Конвенция обеспечения

международной информационной безопасности для обсуждения в ООН. Этот

документ был обсужден на ряде международных встреч , но пока не получил

окончательного юридического оформления на уровне ООН» (цитата по

Смирнову А.И., Кохтюлиной И.Н.) .

Международное сообщество должно влиять на информационную среду ,

оно должно обеспечить укрепление информационной безопасности и

улучшение отношений между государствами по вопросам информационного

развития и борьбы с вмешательством, с модификацией, прекращением

обслуживания. Данная организация может послужить повышению

стабильности бизнеса , и в целом , государств. Минимизации существенных

рисков , возмещению ущерба пострадавшим за счет виновных . В структуру

МСИБ должны входить : Генеральная ассамблея МСИБ, исполнительный

комитет (включая секретариат) , судебная инстанция , комитет по контролю за

информационным пространством. Генеральная ассамблея МСИБ – высший

орган МСИБ.

Page 123: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

тметим некоторые функции МСИБ:

1. обсуждение любых вопросов, относящиеся к поддержанию

международной информационной безопасности.

2. рассмотрение общих правил, норм сотрудничества между странами в

деле поддержания международной информационной безопасности.

3. получение и рассмотрение докладов, отчетов подразделений МСИБ.

4. рассмотрение и утверждение бюджета совета, анализ годовой сметы

расходов МСИБ, утверждение отчета об ее исполнении, а также

годовой бухгалтерской отчетности.

Исполнительный комитет – орган, отвечающий за развитие отношений

между государствами в сфере развития информационных технологий и

методов информационной безопасности. Комитет включает в себя отдел по

контролю информационного пространства, отдел по контролю виртуальных

финансов и виртуальной экономики . Отдел по контролю виртуальных

финансов – контролирует виртуальные расчеты, финансовые потоки, следит за

соблюдением баланса оттока капиталов и притока инвестиций.

Исполнительный комитет выполняет также следующие функции:

1. экономическое планирование, направленное на организацию

рациональной деятельности; выявление и использование резервов с

целью достижения наибольшей эффективности МСИБ.

2. организация экономического анализа деятельности МСИБ и участие в

разработке мероприятий по эффективному использованию

материальных и трудовых ресурсов Совета.

3. статистический учет по экономическим показателям работы

организации, систематизация ресурсов, своевременность ее

предоставления внешним и внутренним пользователям.

4. разработка рациональной учетной документации.

Отдел по контролю информационного пространства делится на два

подразделения : а) по борьбе с информационным манипулированием ,

Page 124: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

отвечающая за нахождение и ликвидацию источников манипуляции. Пресекает

всякую манипуляции нарушающие Цифровой кодекс, Информационные

кодексы стран-участниц совета. Подразделение по контролю с

информационными атаками отвечает за ликвидацию уязвимостей и

расследование правонарушений и преступлений связанных с нарушением

Цифрового кодекса и Информационных кодексов стран-участниц.

Судебная инстанция - осуществляет судебную власть опираясь на

Цифровой кодекс и Информационные кодексы стран-участниц.

Секретариат – орган МСИБ который отвечает за выполнение

поставленных Исполнительным комитетом МСИБ, составление обзоров по

значимым вопросам деятельности совета и освещение результатов его работы в

СМИ.

Создание вышеуказанной организации позволит уменьшить или

предотвратить сетевые атаки , киберпромышленный шпионаж ,

киберэкономические преступления, сведет к минимуму ущерб мировой

экономики от киберпреступников и наладит связи между странами

участницами МСИБ в сфере информационной безопасности .

Заключение. Современные структуры международной безопасности

(ООН и т.п.) не имеют ни реальной, ни потенциальной компетенции по

обеспечению информационной безопасности государств. Причина в том, что

для большинства стран участниц ООН информационная безопасность

неактуальна, в связи с неразвитостью их ИКТ-инфраструтуры, а также в том,

что маркетинговые войны транснациональных компаний весьма результативны

в таких организациях. При таких обстоятельствах, создание МСИБ- аналога

ООН по обеспечению информационной безопасности, по решению проблем

информационного вмешательства и кибервойн [9], опирающегося на Цифровой

и Информационные кодексы, закрывает системные уязвимости государств. В

интересах системного, комплексного обеспечения информационной и др.

безопасности Россия и другие страны БРИКС должны проявить инициативу в

создании Международного Совета по информационной безопасности.

Page 125: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Литература:

1. Р.Дорохов , А. Никольский .Российские киберпреступники .

URL:http :// www . group - ib . ru /? view = article & id =681 (дата обращения:

19.11.2014).

2. А.Чивалов .Киберпреступность .

3. URL:http://telekomza.ru/2014/10/16/ushherb-mirovoj-ekonomiki-ot-

kiberprestupnosti-snova-vyros-i-sostavil-v-2013-godu-27-mlrd/ (дата

обращения: 18.11.2014).

4. А.Карпенко.Ущерб мировой экономикe .

URL:http :// www . kv . by / content /332402- mirovaya - ekonomika -

poteryala - iz - za - kiberprestuplenii -27- milliardov - dollarov - za - god (дата

обращения: 18.11.2014).

5. Л.А. Сергиенко .История формирования информационного права

в СССР и Российской Федерации 1960-2000 гг. Монография . –

М.:ЮРКОМПАНИ , 2013. -272 с.-(Серия «Актуальные

юридические исследования »).

6. Башелханов И.В. Цифровой кодекс// InfoSecurityFinance. II

Междунардный конгресс по информационной безопасности

национальных экономик в условиях глобализации.15 мая 2014 г.- в

печати

7. Алекс Сучжон-Ким Пан. Укрощение цифровой обезъяны. Как

избавиться от интернет-зависимости.-М.: Изд-во АСТ,2014.-320 с.

8. Шпитцер М. Антимозг: цифровые технологии и мозг-

М.:АСТ,2014.-288 с.

9. Концепция Информационного кодекса Российской Федерации/Под

ред.И.Л. Бачило- М.: ИГП РАН- Изд-во «Канон+» РООИ

«Реабилитация»,2014.-192 с.

10. Башелханов И. Кибервойны будущего – к чему готовиться

законодателям и корпорациям//Information

Security/Информационная безопасность. - 2014 г. – 5. - С.12-13

Page 126: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ

ИСПОЛЬЗОВАНИИ СИСТЕМ ЭЛЕКТРОННОГО

ДОКУМЕНТООБОРОТА, ECM – СИСТЕМ

Бартов Максим Олегович

Студент 5 курса

[email protected]

Филяк Петр Юрьевич

к.т.н.

paralax -1@ yandex . ru

Сыктывкарский государственный университет

Россия, г. Сыктывкар

Аннотация: В работе рассматриваются вопросы обеспечения

информационной безопасности в системах электронного документооборота.

Широкое внедрение систем электронного документооборота требует

эффективного решения вопросов обеспечения информационной безопасности,

что в свою очередь требует отражения технологии использования систем

электронного документооборот (ECM–систем) в политике безопасности

организации.

Ключевые слова: Системы электронного документооборота; ECM –

системы; политика безопасности; разграничение доступа; идентификация;

аутентификация; шифрование; электронная подпись.

Переход к безбумажному документообороту – важный шаг в построении

электронного правительства, электронного государства и информационного

общества. Данные системы становятся год от года все популярнее. В то же

время все актуальнее становится проблема информационной безопасности

таких систем.

Page 127: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

В рамках данной статьи рассматриваются две системы электронного

документооборота, получившие широкое распространение в организациях и

учреждениях: DIRECTUM и jDocflow.

В качестве анализируемых параметров целесообразно использовать

следующие:

-способы аутентификации пользователя в системе,

-способы разграничения доступа,

-возможность шифрования и использования электронной подписи.

Аутентификация пользователей в системе DIRECTUM

Для работы с пользователями системы DIRECTUM предназначена

компонента Пользователи [1]. Для всех сотрудников организации, которые

будут работать с системой DIRECTUM, в том числе для неавтоматизированных

сотрудников, создается соответствующий пользователь в компоненте

Пользователи. Пользователей и группы пользователей можно импортировать в

DIRECTUM из домена Active Directory. При этом автоматически создаются

записи в компонентах Пользователи и Группы пользователей. Способы

аутентификации пользователя при входе в систему:

1. По паролю

2. Windows-аутентификация

3. Novell-аутентификация [1]

Разграничение доступа в системе DIRECTUM

Для обеспечения конфиденциальности система DIRECTUM позволяет

разграничить доступ путем выдачи различных прав доступа субъектам

(пользователи и группы пользователей). Существует 4 вида прав: на просмотр,

на изменение, полный доступ, а также отсутствие прав. Права выдаются на

объекты и компоненты системы. К объектам относятся: папки, документы,

задачи, задания; к компонентам – отчеты, справочник и т.д. Права доступа к

объектам вступают в силу при обращении к объекту, выполнении поиска,

обновлении содержимого папки в проводнике системы, а права доступа к

Page 128: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

компонентам - при следующем обращении к компоненте, например, при

запуске [1].

Каждый пользователь получает определенный набор прав, являющийся

совокупностью личных, групповых прав и прав, полученных при замещении

пользователя. Причем результирующий набор имеет ряд особенностей:

1. Личные права доступа к компонентам имеют более высокий

приоритет, чем групповые. Пользователь получает только те права,

которые выданы ему, не зависимо от полученных групповых прав

2. Личные и групповые права к объектам имеют одинаковый

приоритет. При определении прав пользователя суммируются все

личные и групповые привилегии

3. На зашифрованные объекты системы распространяются только

личные права пользователей

4. Права замещения распространяются только на папки, документы и

задачи, задания, уведомления; на компоненты системы

DIRECTUM права замещения не распространяются.

Чтобы обеспечить еще больший уровень конфиденциальности можно

скрыть организационную структуру предприятия, которая представляет собой

ограничение прав доступа пользователей или групп пользователей на просмотр

и изменение реквизита Родительская группа справочника Группы

пользователей и реквизита Головное подразделение справочника

Подразделения. В результате во всех окнах, в которых используется дерево

«Пользователи», например в окне настройки прав доступа к электронному

документу, в дереве «Пользователи» будет доступен только узел «Избранное»,

пользователи и группы пользователей будут скрыты.

В системе также реализовано ролевое управление доступом. Роли

пользователей устанавливаются в компоненте Роли [1].

Кроме того, существует возможность контроля за разграничением

доступа через просмотр истории изменений. Для каждого действия

фиксируется информация: Дата действия; действие, выполненное с записью

Page 129: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

компоненты; детальное описание выполненного действия; имя компьютера, на

котором было выполнено действие; имя приложения, указанное при установке

соединения к SQL-серверу, под которым выполнено действие; имя сервера, на

котором было выполнено действие; пользователь, выполнивший действие.

Шифрование и использование ЭП в системе DIRECTUM

В системе DIRECTUM существует возможность шифрования документов.

Шифрование применяется для скрытия документов от администраторов

системы и замещающих. Зашифрованные документы видят только

пользователи, имеющие личные права доступа. Остальные пользователи, в том

числе администраторы системы и замещающие, зашифрованные документы не

видят. При этом шифруются все версии документа одновременно. Расшифровка

происходит только при открытии документа [2].

Реализовано два вида шифрования – шифрование на основе паролей и

шифрование на основе сертификатов, причем возможно их совместное

использование [1]. При шифровании с помощью паролей пользователь,

шифрующий документ, задает пароль и передает его другим пользователям,

например, устно. Другие пользователи при открытии документа вводят пароль.

При шифровании с помощью сертификатов текст документа зашифровывается

и расшифровывается с использованием ключей сертификатов. Для зашифровки

документа используются открытые ключи всех пользователей, которые имеют

доступ к документу. Для расшифровки используется закрытый ключ

пользователя, который открывает документ. Сертификаты с ключами выдает и

регистрирует в системе DIRECTUM администратор. В стандартную поставку

системы DIRECTUM входят три модуля (Capicom, CryptoPro Encryption, Bicrypt

Signing), которые используют разные криптографические средства. Модули

устанавливаются автоматически при установке клиентской части системы

DIRECTUM. Возможность использования зависит от установленного

программного обеспечения (КриптоПро CSP, Криптопровайдер Бикрипт) [2].

Кроме того, в системе реализована возможность подписания документов

электронной подписью. В системе DIRECTUM ЭП ставится на конкретную

Page 130: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

версию текста документа. Если у документа несколько версий, часть версий

может быть подписана ЭП, а часть нет. В данном случае подписанные версии

текста документа изменить невозможно, а неподписанные – можно.

Аутентификация пользователей в системе jDocflow

Аутентификация пользователей в системе jDocflow реализована при

следующими способами:

С помощью пароля. Использование данного типа аутентификации

доступно пользователям всегда, независимо от настроек учетной записи.

Изменение параметров данного типа аутентификации невозможно.

Сертификат – при этой схеме в информации о контакте пользователя

должно храниться значение поля «Отпечаток» (Thumbprint) электронного

сертификата пользователя, а сам сертификат должен быть установлен на

компьютере пользователя или на подключенном к нему специализированном

внешнем носителе [3]. Изменение параметров данного типа аутентификации

невозможно.

NTLM – при данном типе аутентификации имя регистрации (логин)

пользователя должен совпадать с именем пользователя в домене. Если доменов

несколько, для каждого из них следует создать отдельный экземпляр NTLM-

аутентификации, указав условное название и имя домена [3].

Разграничение доступа в системе jDocflow

В системе jDocflow реализованы дискреционное, ролевое и мандатное

управление доступом.

Дискреционное управление доступом реализовано через возможность

изменения администратором прав доступа пользователей к папкам сотрудников

и подразделений организации. Возможно разрешить просмотр содержимого

папки и чтение документов, содержащихся в папке. Доступ можно запретить

или разрешить, а также оставить по умолчанию. Значение «по умолчанию»

означает, что данное право доступа не определено и зависит от других настроек

системы. Права доступа различаются по приоритетам: права, определенные для

Page 131: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

конкретных сотрудников, являются более значимыми, чем права, определенные

для подразделений.

Также в системе предусматривается развитая модель управления

доступом, основанная на системе ролей, под которыми понимается

совокупность функциональных возможностей системы и прав доступа к

задачам, прикладным функциям и данным. При этом состав ролей может быть

произвольным, предлагая возможность редактирования (создания, удаления)

доступных данных, либо только их чтения [3]. Таким образом, в зависимости от

круга решаемых задач и должностных обязанностей, выполняемых

сотрудниками организации, можно выделить несколько основных ролей

пользователей и произвести соответствующую настройку системы.

Мандатное управление доступом осуществляется путем присвоения грифов

документу. Количество и описание грифов произвольно, что дает возможность

производить настройку системы более гибко.

Кроме того, в системе реализовано разграничение прав доступа к отчетам и

шаблонам документов. Доступ на использование отчета или шаблона можно

разрешить или запретить как всей организации в целом, так и отдельным

подразделениям или сотрудникам.

Использование электронной подписи в системе jDocflow

Для подтверждения подлинности документов и поручений в системе

используется электронная подпись.

Для того, чтобы пользователь имел возможность заверять документы и

поручения ЭП, необходимо добавить его сертификат в систему. В систему

нельзя ввести два одинаковых сертификата.

Формирование ЭП происходит с использованием ActiveX компонента Microsoft

Capicom 2.1, который использует соответствующий CSP-провайдер и

защищенное хранилище приватного ключа [4].

Документы и поручения в системе автоматически подписываются ЭП,

если необходимость подписи указана в настройках деловой процедуры

обработки документа и автор документа имеет активный сертификат.

Page 132: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

При постановке ЭЦП должны быть выполнены следующие проверки

активного сертификата:

Проверка срока действия сертификата

Проверка сертификата удостоверяющего центра (опционально)

Проверка сертификата на предмет нахождения в списке отозванных

сертификатов (опционально)

Проверка списка OID сертификата (опционально) [4]

Заключение

Обе системы электронного документооборота - DIRECTUM и jDocflow -

имеют свои преимущества и недостатки по вопросам безопасности. Так система

DIRECTUM не позволяет реализовать мандатное управление доступом, что

является важным упущением, поскольку такой тип управления доступом

широко используется в документообороте, особенно в органах государственной

и муниципальной власти. Еще одним недостатком является отсутствие

возможности аутентификации пользователя по сертификату, что снижает

функциональность системы. Главный недостаток системы jDocflow –

отсутствие шифрования документов. Добавление данной функции помогло бы

защитить информацию не только от внешних, но и от внутренних нарушителей,

поскольку зашифрованные документы перестают быть доступны как третьим

лицам, так и администраторам, и заместителям пользователя. Также стоит

отметить меньшую гибкость настройки прав доступа к объектам, что не

приводит к большим временным затратам при настройке. Следовательно, не

смотря на то, что данные системы используются уже продолжительное время,

каждая из них имеет ряд специфических недостатков, не позволяющих выбрать

одну из них как наиболее защищенную.

В то же время система DIRECTUM имеет высокую степень гибкости

настроек, разграничение прав доступа к объектам и компонентам, а также

возможность шифрования документов. К положительным характеристикам

системы jDocflow следует отнести реализацию мандатного разграничения

Page 133: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

доступа субъектов к объектам системы, а также возможность аутентификации

по сертификатам пользователя.

Таким образом, положительные качества одной системы являются слабыми

сторонами другой системы. Устранив выявленные недостатки, мы получим две

системы, обеспечивающие большую степень конфиденциальности.

Список литературы

1. Система электронного документооборота и управления

взаимодействием DIRECTUM Версия 5.0: [Электронный

ресурс]URL: http :// www . directum . ru – Электрон. дан. – Ижевск:

Компания DIRECTUM, 2014. (Дата обращения 15.11.2014)

2. Система электронного документооборота и управления

взаимодействием DIRECTUM Версия 5.0: [Электронный ресурс]

URL: http :// www . directum . ru – Электрон. дан. – Ижевск: Компания

DIRECTUM, 2014. (Дата обращения 15.11.2014)

3. Система электронного документооборота jDocFlow:

[Электронный ресурс] URL: http :// www . csbi - zirvan . ru – Электрон.

дан. – М.: Компания Зирван, 2012. (Дата обращения 15.11.2014)

Система электронного документооборота jDocFlow: [Электронный

ресурс] URL: http :// www . csbi - zirvan . ru – Электрон. дан. – М.: Компания Зирван,

2012. (Дата обращения 15.11.2014)

ПЕРЕРАСПРЕДЕЛЕНИЯ ПОТОКОВ ДАННЫХ ПРИ СОВЕРШЕНИИ

АТАКИ НА СЕТЬ С ПОМОЩЬЮ ГЕНЕТИЧЕСКОГО АЛГОРИТМА

Макаров Дмитрий Александрович

Студент 4 курса

ФГОБУ ВПО «Финансовый Университет при Правительстве РФ»

Page 134: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Россия, г.Москва

[email protected]

Аннотация

В статье рассматривается применение генетического алгоритма для

оптимизации потоков данных в корпоративной сети при атаках на нее и

перераспределения потоков данных в динамическом режиме.

Введение

В современных условиях информатизации и глобализации использование

коммуникационных технологий набирает всё большие обороты. Все больше и

больше информации хранится в цифровом виде. Информация окружает нас

повсеместно, хранится и обрабатывается на дисках, в «облаках», в

корпоративных компьютерных сетях. Информация, циркулирующая в таких

сетях, может носить как личный, так и деловой характер. Зависимость

пользователей от безопасности сетей растет. Таким образом, современные

средства защиты информации появляются, как правило, уже после появления и

реализации угрозы для информации в сети.

Одним из самых популярных решений для ведения бизнеса стала

корпоративная сеть. Такая сеть позволяет соединить офисы и отделы одной

компании разделенные городами и даже странами, создав единое

информационное пространство, позволяет качественно и оперативно управлять

всеми филиалами организации. Кроме того, это единая сеть для осуществления

электронного документооборота компании. Сложностью реализации сети

является не только построение с учетом всех современных тенденций развития

информационных технологий, но и поддержание безопасности в уже

функционирующих сетях.

Существует множество способов защиты корпоративной сети, начиная от

межсетевого экрана заканчивая специализированными антивирусами. Однако

ни одно из средств защиты не дает гарантии безопасности данных. Как

правило, при выявленной атаке на корпоративную сеть бизнес-процессы

Page 135: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

компании останавливаются, и компания несёт убытки. В данной работе

рассматриваются варианты распределения и перераспределения потоков

данных в сети с помощью генетического алгоритма в случае совершения атаки

на нее или компрометации узла сети.

Предшествующие разработки

Существует множество методов поиска экстремума функции многих

переменных, позволяющие перераспределять потоки данных в сети, наиболее

известные из них: метод Гаусса-Зейделя, метод градиента, метод

наискорейшего спуска, метод «тяжелого шарика», метод Ньютона, методы

многошаговой редукции размерности, методы конечно-разностной

аппроксимации. Все перечисленные методы работают с функциями заранее

определенного вида; все виды градиентных алгоритмов используют

производные функции Q(x), а все квазиньютоновские методы работают с

матрицами производных 2-го порядка, расчет которых требует дополнительных

усилий; часть методов, не требующих расчета производных, критичны к числу

внутренних параметров (методы многошаговой редукции размерности),

которых по условию может быть много; почти все методы мало используют

информацию от предыдущих итераций. Анализ литературы позволяет сделать

вывод о том, что для решения задач аналогично нашей (независимость от вида

целевой функции, сложность рассматриваемых объектов и др.) лучше всего

подходят эвристические методы, среди которых наиболее перспективными и

актуальными являются генетические алгоритмы.

Описание метода

Генетический алгоритм (ГА) представляет собой особый вид

стохастического алгоритма поиска, который использует биологическую

эволюцию для решения проблемы. ГА работает в пространстве поиска

называемом популяцией. Каждый элемент в популяции называется

хромосомой. ГА начинается случайным выбором множества допустимых

Page 136: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

решений из популяции. Каждая хромосома представляет собой решение. Для

каждой хромосомы оценивается ее фитнесс функция, и эта функция

представляет качество решения. ГА использует адаптивный эвристический

метод поиска, который находит набор лучших решений в данной популяции.

Новые потомки генерируются (эволюционируют) при помощи операций

селекции, кроссинговера и мутации над хромосомами. Наиболее подходящие

хромосомы перемещаются в следующее поколение. У слабых кандидатов

меньше шансов попасть в новое поколение. Этот процесс повторяется, пока

хромосома имеет лучшее значение для данной проблемы. Подводя итог можно

сделать вывод о том, что средняя приспособленность популяции увеличивается

на каждой итерации, и, повторяя этот процесс итерационно, можно найти

лучшее решение.

Особенности генетического алгоритма

1. Наиболее важной особенностью ГА является то, что они

исследуют пространство решений в нескольких направлениях

одновременно. ГА хорошо подходят для решения задач, в которых

пространство решений и время поиска решения очень велики.

2. ГА хорошо справляются со сложными задачами. Если функция не

является непрерывной, зашумленной, со временем изменяется или

имеет много локальных оптимумов, то ГА дают лучший результат.

3. ГА обладает способностью решать задачи не имея о них

информации. Производительность ГА зависит от способа

представления, оценки фитнесс-функции и других параметров,

таких как размер популяции, вероятность кроссинговера и

мутации, а также отбора.

Постановка проблемы

Рассматриваемая сеть представляется в виде связанного графа G=(U, H) с

N узлами, где U – множество всех узлов сети, H – множество переходов между

узлами.. Общая стоимость представляет собой сумму стоимостей всех

переходов маршрута. Требуется оптимизировать метрику стоимости пути, т.е.

Page 137: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

найти путь с наименьшей суммарной стоимостью между источником и

получателем, где источник и получатель принадлежат множеству U. В работе

предлагается алгоритм оптимизации маршрута сети, использующий ГА:

А. Инициализация таблицы маршрутизации

Для этого предназначен модуль, используемый для создания всех

возможных путей от данного узла ко всем остальным узлам в корпоративной

сети. Создается n случайных путей (хромосом), определяющих размер

популяции и формирующих первое поколение.

Б. Поиск оптимального пути

В этом модуле осуществляется поиск оптимального пути с помощью ГА.

На вход модуля подается множество сгенерированных путей. Каждый путь

называется хромосомой. Размер популяции равен m:

1) Вычисляется фитнесс-функция Ffit каждой хромосомы: Ffit=Hno*10–S, где

Hno – количество не существующих переходов между узлами в пути, S –

полная стоимость пути.

2) Выбираются две лучшие хромосомы родителями (используется

рулеточный отбор).

3) Выполняется кроссинговер с вероятностью 0,7.

4) Выполняется мутация с вероятностью 0,01.

5) Помещаются потомки в популяцию и заменяются хромосомы с наихудшей

фитнесс-функцией.

6) Если маршрут не найден, повторяются шаги 1–6. Если критерий

прекращения поиска достигнут, найденные пути хранятся в течение времени t и

данные передаются получателю через выбранный путь.

7) По истечении времени t обновляются маршруты для обновления текущего

состояния сети.

В. Отбор

Отбор родителей в следующее поколение – особенность ГА. В данной

работе используется рулеточная селекция, когда особи выбираются

Page 138: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

пропорционально значению приспособленности. Существуют также и другие

методы отбора: турнирная селекция, селекция на основе элитаризма и т.д.

Г. Кроссинговер

Оператор кроссинговера объединяет под части двух родительских

хромосом и производит потомство, которое содержит генетический материал

со стороны обоих родителей. Наиболее часто используется два вида

кроссинговера: одноточечный и многоточечный. При одноточечном

кроссинговере выбирается одна точка обмена, а при многоточечном – более

одной. Одноместный метод кроссинговера прост, но имеет некоторые

проблемы при формировании циклов, когда он используется для поиска

маршрутов. Следовательно, необходимо использовать некоторые расширенные

методы многоточечного кроссинговера для устранения циклов, например,

методы многоточечного кроссинговера Partially Mapped Crossover (PMX), Cycle

crossover (CX) и Order crossover (OX). В статье рассматривается кроссинговер

PMX, в котором две строки равны, а две точки кроссинговера выбираются

случайно.

Рассмотрим пример:

Родитель A 4 8 7 | 3 6 5 | 1 10 9 2

Родитель B 3 1 4 | 2 7 9 | 10 8 6 5

После случайного выбора двух точек кроссинговера включается

механизм PMX и происходит обмен частями хромосом между двумя

родителями, в результате чего получается два новых потомка.

Потомок A 4 8 6 | 2 7 9 | 1 10 5 3

Потомок B 2 1 4 | 3 6 5 | 10 8 7 9

Каждый потомок содержит частичную информацию о родителях.

Полученных потомков необходимо проверить на правильность маршрута. Если

маршруты действительны, то вычисляется их фитнесс функция. Если же

маршруты недействительны, то они отбрасываются.

Д. Мутация

Page 139: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Оператор кроссинговера может привести к вырождению популяции. Для

избегания вырождения популяции используется оператор мутации. Мутация

может быть побитовая перестановка, инверсия, вставка, взаимный обмен и т.д.

В работе используется метод вставки. В случае использования мутации узел

вставляется в случайное место в строке. Это связано с тем, что в результате

кроссинговера в оптимальном маршруте может быть удален узел. Используя

вставку, узел может быть возвращен. После операции мутации потомки,

полученные в результате мутации, должны быть проверены таким же образом,

как и при кроссинговере.

Е. Критерий прекращения поиска

Критерием прекращения поиска могут быть: максимальное число

поколений, отсутствие изменений в фитнесс-функции и т.п. В качестве

критерия останова было выбрано максимальное количество итераций (1000).

Вторым критерием – определенный уровень фитнесс-функции.

Реализация алгоритма

Для демонстрации работы алгоритма была выбрана сеть с двумя

выделенными серверами, представленная на рисунке 1. Необходимо чтобы

данные гарантированно дошли от сервера 1 к серверу 2. Назовем серверы

1 и 2 узлами с номерами 1 и 10. Вес дуги соединяющей два узла равен

значению одной из характеристик корпоративной сети. В данной работе будем

ранжировать скорость на линии в порядке убывания от 1 до 9. Таким образом,

самая высокая скорость передачи равна 1, ноль обозначает отсутствие связи

между узлами.

Рис. 1 Топология сети

В результате работы алгоритма получаем, что кратчайшим является путь,

представленный на рисунке 2.

Page 140: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Рис. 2 Кратчайший путь передачи данных в сети

Допустим, что на корпоративную сеть произошла атака, и узел 5 вышел

из строя. Необходимо получить новый путь прохождения потока данных по

сети. Вводим данные в программу без учёта узла 5 (рисунок 3). Получаем

кратчайший путь представленный на рисунке 4.

Рис. 3 Топология корпоративной сети с выключенным узлом

Рис. 4 Кратчайший путь передачи данных в сети

Таким образом, кратчайший путь передачи данных с заданной

топологией – 1-5-10. Его стоимость составляет – 7. При изменении топологии

сети и отключении узла 5 кратчайшим маршрутом будет являться маршрут –

1-2-7-10, со стоимостью – 9.

Заключение

Итогом данного исследования стала реализация генетического алгоритма

для оптимизации работы сети, повышающего уровень работоспособности

корпоративной сети. Данный алгоритм может применяться как для

оптимизации работы сети в штатном режиме, так и в случае атаки на один или

несколько узлов сети. Используя данный алгоритм, появилась возможность

исключать из сети один из сомнительных узлов без потери для ее

работоспособности.

Page 141: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Литература:

1.Царегородцев А.В. Методы, модели и алгоритмы синтеза защищенных

информационных систем: Монография. – М.: ВГНА Минфина России. –

2009.

2.Global Journal of Computer Science and Technology / Vol. 10 Issue 11 (Ver.

1.0)October2010.–pp. 8-12.

.

ЗАЩИТА АВТОРСКИХ ПРАВ ТЕКСТОВЫХ ПРОИЗВЕДЕНИЙ НА

ОСНОВЕ ЗАЩИЩЕННОГО ОТ ВНЕСЕНИЯ ИЗМЕНЕНИЙ СПОСОБА

ХЕШИРОВАНИЯ ПОСЛЕДОВАТЕЛЬНОСТИ БЛОКОВ ДАННЫХ

Задорожная Мария Павловна

Студентка 2 курса

Финансовый университет при Правительстве РФ

Россия, г.Москва

[email protected]

Аннотация

На современном уровне развития компьютерных технологий для защиты

авторских прав требуется открытый криптографический способ регистрации

последовательности блоков цифровых данных с возможностью открытой

проверки на достоверность.

Для функционирования практической системы защиты данных

необходимо разработать формат представления блока данных и предусмотреть

минимальную функциональность в виде стандартных типовых действий.

Рассматривается использование алгоритма защищенного от внесения

изменений хеширования последовательности блоков данных. Данный способ

реализовывает компьютерный аналог прошитой и скрепленной мастичной

печатью рукописной регистрационной тетради.

Page 142: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Возможна разработка открытой системы регистрации цифровых

подписей пакета документов на изобретение с целью подтверждения даты

приоритета. Идея способа основана на аналогии с линейным односвязным

списком. Подобный способ уже использовался в программных продуктах.

Ключевые слова, словосочетания

Авторское право, хеширование последовательности блоков данных,

защита информации, безопасность информации, целостность информации.

Введение

В объективном смысле авторское право – это институт гражданского

права, регулирующий правоотношения, связанные с созданием и

использованием объективных результатов творческой деятельности. В

настоящее время к ним относятся не только произведения науки, искусства и

литературы, но также программы ЭВМ и базы данных.

Ранее для хранения информации без возможности её изменить

использовались рукописные документы. Например, к таковым можно отнести

прошитую и скрепленную мастичной печатью рукописную регистрационную

тетрадь. Целостность печати гарантировала отсутствие исправлений ранее

предоставленных данных, а следовательно, информация не могла быть

искажена через некоторое время. В таком случае, взглянув, например, в книгу

регистрации научных изобретений или предметов искусства, можно достоверно

определить, кому принадлежат авторские права.

Преимущества выше описанного способа регистрационного

документаоборота:

внесение записи может провести только владелец регистрационной

тетради;

невозможность удаления записи;

Page 143: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

невозможность изменения текста и даты записи;

невозможность добавления записи между уже существующими

записями.

возможность убедиться в целостности внесенной записи по ее

порядковому номеру;

возможность убедиться в целостности регистрационной тетради

путем проверки мастичной печати или/и путем перебора страниц.

С развитием компьютерных технологий стали появляться Интернет-

сервисы, предлагающие пользователям услугу депонирования.[1] Суть этой

процедуры состоит в следующем: содержащий произведение электронный

документ идентифицируется на основе хэш-суммы, а время и дата

депонирования удостоверяются с помощью Метки-времени и Электронной

подписи. Таким образом, надежность приведенного способа защиты авторских

прав текстовых произведений можно считать высокой и сопоставимой с

нотариальным удостоверением документов.

Постановка задачи

На сегодняшнем уровне развития компьютерных технологий для защиты

авторских прав требуется открытый криптографический способ регистрации

последовательности блоков цифровых данных с возможностью открытой

проверки на достоверность. Такой способ регистрации можно считать

цифровым аналогом рукописной регистрационной книги.

Организация способа открытого связного хеширования

Блоки данных хранятся последовательно в файле и состоят из

информационной и служебной частей. Информационная часть формируется на

основе предложенных для регистрации самих файловых данных, или хешей

этих данных, или их цифровых подписей с добавлением даты регистрации.

Page 144: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

Служебная часть содержит хеш-код [2], предназначенный для поддержания

требуемой криптографической связности.

При регистрации, в файле очередного блока данных, после

информационной части блока добавляется хеш-код, вычисленный на основе

нескольких предыдущих блоков данных и информационной части текущего

блока [3].

Такой подход связывает все регистрационные записи в единую связанную

структуру, которую невозможно модифицировать без нарушения целостности.

Этот способ требуется дополнить алгоритмами формирования начальных и

завершающих блоков.

Результатом регистрации является добавление блока данных в конец

регистрационного файла. Такой способ регистрации гарантирует все

механизмы защиты, аналогичные прошитым регистрационным тетрадям учета.

Открытость алгоритмов и кодов позволяет получить преимущество для

некоторых задач учета. Полученный регистрационный файл всегда может быть

проверен на целостность путем обхода от первого блока к последнему и сверки

вычисляемых хеш-кодов со значениеми хеш-кодов в файле.

Возможное применение

Открытая система регистрации цифровых подписей пакета документов на

изобретение позволит с уверенностью определить дату приоритета.

Вывод

Предложен способ защиты авторских прав текстовых произведений

путём хеширования последовательности блоков данных, защищенного от

внесения изменений. Возможна разработка открытой системы регистрации

цифровых подписей пакета документов на изобретение с целью подтверждения

Page 145: Сборник Трудов Vii Мнпк Технологии Безопасности

Информационная безопасность

даты приоритета. Идея способа основана на аналогии с линейным односвязным

списком. Подобный способ уже использовался в программных продуктах.

В связи со стремительным развитием компьютерных технологий и

постепенным переводом документооборота в цифровое представление данная

цель является актуальной, востребованной и реализуемой. Невозможность

исправить ранее опубликованные записи предотвратит искажения информации

путём изменения данных, а открытый вид регистрации позволит убедиться в

целостности файла блоков данных. Это значительно облегчит процесс защиты

авторских прав текстовых произведений и переведет документооборот на

новый уровень.

Список использованной литературы

1. Депонирование произведений науки, литературы и искусства //

www.intellectualexperts.ru // Дата обращения: 18.11.14;

2. Вирт Никлаус. Алгоритмы и структуры данных. // М.: ДМК

Пресс, 2010, 256 С;

3. Семянистый А.В. Способ связного хеширования для открытой

криптографической защиты последовательности блоков данных

от внесения изменений. // Информационные технологии в

финансово-экономической сфере: прошлое, настоящее, будущее.

Материалы международной научной конференции. / под

редакцией О.В. Голосова, Д.В. Чистова.-М.: 1С-Паблишинг,

2013. С.243-245.

Page 146: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

ПРИКЛАДНЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В НАУКЕ, БИЗНЕСЕ И ОБРАЗОВАНИИ

ПРЕДСТАВЛЕНИЕ ДИСКРЕТНОГО КАНАЛА СВЯЗИ ВРЕМЕННЫМИ

РЯДАМИ ФУНКЦИЙ КРАТНОСТИ ОШИБОК

Кузнецов Лонгин Константинович

к.т.н., доцент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. Рассматриваются вопросы представления дискретного

канала связи для адаптивных систем передачи информации.

Ключевые слова: канал связи, адаптивная система, нестационарность.

Во многих работах основная часть результатов, относящихся к оценке и

прогнозированию состояний дискретного канала связи (ДКС), получена в

предположении, что канал связи (КС) является стационарным. Однако, как

показывают экспериментальные исследования [1], существуют каналы, в

которых ошибки носят сложный характер. Так, например, реальные КВ-

радиоканалы в общем случае нестационарны [2].

Высокий уровень помех и нестационарность KB-радиоканалов

существенно влияют на качество передачи информации при неизменных

алгоритмах передачи. Возникает задача обеспечения оптимального

соотношения между скоростью и верностью передачи в нестационарных

каналах. В связи с этим проектируемые СПИ должны обладать

характеристиками помехоустойчивости, инвариантными к изменению

параметров КС. Основной путь решения указанной задачи – разработка и

использование процедур адаптации, ибо только в классе адаптивных систем

возможно оптимальное разрешение противоречия между скоростью и

Page 147: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

верностью передачи информации по каналу.

В свою очередь, эффективность работы адаптивных СПИ, во многом

определяется выбранным методом оценки и прогнозирования КС. Быстрота

изменений характеристик КС требует применения таких методов описания

канала, которые обеспечивают слежение за изменением состояний КС с

заданным качеством и эффективное управление режимами (алгоритмами)

работы системы передачи информации (СПИ). При этом процесс оценки

состояния канала желательно совместить с процессом передачи информации по

каналу.

В данной работе предлагается новый подход к оценке и прогнозированию

ДКС, основанный на использовании аппарата временных рядов.

В статистической теории существуют два подхода к исследованию

временных рядов: параметрический и спектральный. В первом случае анализ

ряда ведется непосредственно по выборочным данным, то есть на основе

автокорреляций, а в другом – по выборочным спектрам. Применение

спектрального анализа временных рядов эффективно лишь для достаточно

длинных рядов [3], что препятствует решению многих практических задач,

связанных с оценкой и прогнозированием КС. Более удобным оказывается

метод линейных параметрических моделей, менее требовательный к

длительности ряда [4]. Данный метод позволяет описать поведение

эмпирических временных рядов, используя небольшое количество параметров,

легко поддающихся интерпретации, что делает его удобным для решения

задачи прогнозирования будущего поведения ряда. Поскольку аппаратура

передачи данных обеспечивает высокие скорости передачи и существенным

становится время получения прогноза состояния КС, анализ временных рядов,

характеризующих состояние канала, проведем в рамках параметрических

методов.

В зависимости от выбранного типа кода, режима работы первичной

решающей схемы (ПРС) и режима декодирования формы представления

информации об ошибках в ДКС в виде временных рядов функций кратностей

Page 148: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

ошибок (ВРФКО) могут быть различными. Автор видит, по крайней мере, три

способа такого представления:

метод корреляционного декодирования;

метод синдромного декодирования;

режим приема со стиранием.

Рассмотрим их подробнее.

1. Корреляционное декодирование.

В случае использования для передачи информации неразделимых кодов

наибольшее распространение получил метод корреляционного декодирования

принятых сообщений. Рассмотрим, в каком виде возможно представление

информации об ошибках в ДКС в виде значений временного ряда в случае

корреляционного декодирования.

При корреляционной обработке n-членных кодовых комбинаций Y n( t ), t

= 0, 1, 2, ..., T (t – дискретное время) в декодере для описания свойств ДКС

введем в рассмотрение функцию следующего вида

Dwn( t )=F En( t )=Rnmax( t )−Rnф( t ). (1)

Здесь En( t )– n-членная последовательность (вектор) ошибки.

En( t )=Y n( t )⊕ X n( t ),

где X n( t )– последовательность на входе ДКС, Y n( t )– соответствующая ей

последовательность на выходе ДКС, но уже искаженная ошибками; Rnф(t) –

фактическое значение величины взаимной корреляции между принятой

последовательностью Y n( t ) и эталоном, хранимом в декодере,

Rnф( t )=maxi∈(1 , M ) Rnф

i ( t ) , (2)

M – множество передаваемых (эталонных) кодовых комбинаций. Rnф(t) = Rnmax(t)

при условии безошибочной передачи соответствующей кодовой комбинации

X n

i( t ), то есть когда Y n( t )≡ X n( t ).

Page 149: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Rnф

i ( t )=∑j=1

n

y j x j

i

=p−u+k⋅s . (3)

Здесь p и u – соответственно число совпадающих и несовпадающих символов

в переданной и эталонной комбинациях, s – число стертых символов для

случая приема со стиранием, k – коэффициент, учитывающий вес символа

стирания, n – длина кодовой комбинации.

Rnф(t) – характеризует "полезную" составляющую принятой

последовательности Y n( t ). Тогда Dwn(t) будет характеризовать "вклад"

помехи En( t ) и, следовательно, свойства ДКС на длине n – кодовых

комбинаций. Таким образом, появляется возможность представления потока

ошибок En( t ) в виде временного ряда Dwn(t) . Однако такое представление

адекватно с точностью до корректирующих способностей кода и метода

обработки. Возможны такие последовательности ошибок En( t ), которые

способны при данном методе обработки перевести передаваемую комбинацию

X n

i( t )в некоторую другую разрешенную комбинацию X n

j( t ); i,j∈(1,M ) .

При использовании предлагаемой функции (1) возникают две

существенные трудности в процессе декодирования, связанные с тем, что в

корреляционных системах приходится хранить M эталонных кодовых

комбинаций, и следовательно, сложность декодирования резко возрастает с

ростом длины комбинации n и числа комбинаций М и тем, что функция (1)

искажена (не полностью отражает структуру потока ошибок в ДКС En( t )) из-

за наличия трансформаций.

В заключение заметим, что первую из отмеченных трудностей в

последние годы в значительной степени ухалось преодолеть благодаря

появлению нового широкого класса кодов – составных кодов, новой

элементной базы – микропроцессоров и организации эффективных процедур

быстрых преобразований. Все это послужило стимулом к широкому внедрению

Page 150: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

рассматриваемых систем, при этом значительно расширился как класс

неразделимых кодов, так и класс систем сигналов, используемых в

корреляционных методах декодирования (приема).

Отметим и такое важное обстоятельство, характерное и для ранее

рассмотренных методов декодирования, заключающееся в том, что

формирование временного ряда Dwn(t) не требует дополнительных

аппаратурных и временных затрат, так как оно полностью вписывается в

алгоритм корреляционного декодирования, основанный на вычислении

функции взаимной корреляции между принятой комбинацией и семейством

эталонных комбинаций.

2. Синдромное декодирование.

Каждый из методов синдромного декодирования, встречающихся на

практике, имеет свою специфику декодирования. Но, тем не менее, для всех

этих методов характерно наличие одного общего этапа – этапа формирования

синдрома. Именно наличие такого общего этапа и позволяет унифицировать

процедуру формирования значений временного ряда в процессе синдромного

декодарования.

При синдромном декодировании принимаемых кодовых комбинаций

Y n( t ) в качестве значения ВРФКО Gwn(t), отражающего вектор ошибки

En( t ), в ДКС, введем в рассмотрение следующую функцию синдрома

ΦZ n( t ):Gwn( t )=F En( t )=ΦZ n( t )=w (4)

для всех Z n( t )∈ Z w( t ),где w – фиксированная кратность ошибок на длине п анализируемой

последовательности, при этом w=0 , w 0; Z n( t ), – произвольный синдром, a

Z w( t ), – синдром, соответствующий определенной конфигурации ошибок

кратности w.

Page 151: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Из формулы (4) видно, что вычисление значений временного ряда Gwn(t)

просто, и, не влечет за собой дополнительных аппаратурных и временных

затрат, так как является составной частью всех методов синдромного

декодирования.

Недостатком представления ДКС временным рядом Gwn(t) является то,

что значения временного ряда ограничены сверху некоторым значением w0

(исправляющей способностью кода, занимающей промежуточное значение

между 0 и п ) и, следовательно, для векторов ошибок w0 < w n синдром

Z n( t ), будет идентифицироваться неверно (в силу трансформации) и

поэтому во временном ряде Gwn(t) будут иметь место искажения.

3. Прием со стиранием.

При приеме со стиранием в качестве значения временного ряда

кратностей стираний (ВРКС), отражающего вектор ошибки En(t) на длине п

анализируемой кодовой комбинации в момент времени t, введем в

рассмотрение следующую функцию потока стираний на длине п этой же

кодовой комбинации Sn(t):

Swn

( t )=F En( t )=ψ Sn( t )= ∑τ =1

n

Sτ , (5)

где S n( t ) – вектор стираний на n анализируемой последовательности; S =

01, S – элемент вектора S n τ=1 , n; w – зафиксированная кратность

стираний на длине п анализируемой последовательности, 0 w n ; t –

текущее время в системе.

Как видно из формулы (5) представление информации в виде значений

BPKС Swn(t) не вызывает особых затруднений, так как в большинстве систем со

стиранием вычисление значения кратности стираний на длине n анализируемой

последовательности (значения ВРКС Swn(t) ) является составной частью общего

алгоритма работы этих систем и, следовательно не влечет за собой никаких

дополнительных аппаратурных и временных затрат и, что особенно важно, –

Page 152: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

определение Swn(t) для различных моментов времени t не связано с обработкой

(декодированием) кодовых комбинаций. Существенным достоинством

описания ДКС временными рядами в системах со стиранием является и то, что

значение временного ряда ограничено сверху значением n, а не

корректирующей способностью кода, как это имеет место в случае

формирования значений временных рядов в процессе декодирования.

Последнее обстоятельство является важным с точки зрения оценки динамики

поведения ДКС. Кроме того, можно находить Swn1(t) , где n1< n или n1> n .

Отметим и недостаток, свойственный представлению ДКС временным

рядом Swn(t) . Так в общем случае в ДКС могут иметь место не только символы

стирания, но и ошибки перехода (трансформации) то, следовательно,

временной ряд Swn(t) будет представлять ДКС с некоторой погрешностью, тем

меньшей, чем лучше канал. На точность отображения ДКС временным рядом

Swn(t) сказывается и наличие, так называемых, ложных cтираний, вызванных

выбором неоптимальной зоны стирания [1].

В дальнейшем без потери общности будем говорить о временном ряде

Ewn(t), подразумевая под ним временные ряды Dwn(t) Swn(t) Gwn(t).

Временной ряд Ewn(t) в общем случае может проявлять три типа

нестационарности:

– переменное во времени среднее значение (нестационарность среднего),

то есть тренд среднего;

– переменную во времени дисперсию (нестационарность дисперсии);

– сочетание первых двух типов.

Первый тип нестационарности в реальных каналах обусловлен наличием

общей тенденции изменений условий передачи, то есть тенденции ухудшения

или улучшения состояния передающей среды. При этом с течением времени

соответственно увеличивается или уменьшается кратность ошибок,

поражающих последовательные кодовые комбинации.

Второй тип нестационарности обусловлен кратковременными

изменениями состояния передающей среды при отсутствии каких либо общих

Page 153: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

тенденций. При этом с течением времени средняя кратность ошибок

практически не меняется, а изменяется лишь разброс временного ряда.

На практике оба этих вида нестационарности чаще всего присутствуют

вместе, и на явно выраженные тренды среднего значения ряда Ewn(t)

накладываются нестационарности более высокой частоты в виде переменной

дисперсии.

Вопросы подбора операторов для описания динамики нестационарных по

математическому ожиданию случайных последовательностей, в классе

линейных операторов рассмотрены в работах [3, 4]. При этом показано, что

наиболее общими операторами, описывающими стационарные случайные

последовательности, являются три типа операторов: оператор авторегрессии

порядка р; оператор скользящего среднего q; смешанный оператор

авторегрессии р и скользящего среднего q, применяемый для описания

процесса (р, q).

Для описания нестационарных по математическому ожиданию случайных

последовательностей, авторы [1, 3, 5] предлагают применять эти операторы к

последовательностям стационарным в конечных разностях порядка d.

Иными словами, описание нестационарной последовательности Ewn(t)

определяется следующим соотношением:

Ewn( t )=(1-B )d

Ewn( t ) - μ e , (6)

где Ewn(t) – случайная последовательность (исходный временной ряд); Ewn( t )– центрированная стационарная последовательность (преобразованный

временной рад); B – оператор взятия разности, обладающий свойством

B Ewn( t )=Ewn( t−1), . .. , Bn

Ewn( t )=Ewn( t−n) ; e - математическое

ожидание стационарной последовательности (преобразованного временного

ряда) (1-B )d Ewn( t ).

Адекватную модель для описание нестационарного временного ряда

кратностей ошибок Ewn(t) будем искать из класса моделей авторегрессии

Page 154: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

проинтегрированного скользящего среднего в подборе обобщенного оператора

АРПСС (р , d, q ).

Конкретная реализация рассматриваемых процедур оценки и

прогнозированиясостояния канала может осуществляться по двум

направлениям. Первое направление – использование общего подхода, когда

поиск адекватной модели из класса АРПСС (р , d, q ) ведется путем

последовательного увеличения значений параметров р , d и q . Второе

направление – использование частного подхода, когда класс используемых

моделей ограничивается, например, р + q ≤ 2 , d = 0. 1, 2, и поиск наилучшей

модели ведется из выбранного семейства моделей. Преимущество второго

подхода состоит в том, что резко снижаются требования к быстродействию и

объему памяти вычислителя за счет упрощения структуры моделей, легко

организуется переключение моделей в случае перехода канала из одного

состояния в другое, а, главное, удается организовать экспресс-анализ состояний

ДКС в реальном времени и с использованием имеющегося в настоящее время

микропроцессорного оборудования.

Для определения возможности использования предлагаемого подхода

оперативной оценки и прогнозирования ДКС, с точки зрения реализации его в

микропроцессорном базисе, и выявления необходимых временных затрат и

объема памяти, было проведено моделирование процессов экспресс-анализа

состояний канала с использованием как общего, так и частного подходов.

Выявлено, что полученные временные затраты на однократное

прогнозирование состояния канала и требования к объему памяти позволяют

использовать процедуры анализа временных рядов для целей экспресс-анализа

и прогнозирования состояния канала в реальных адаптивных системах

передачи информации при использовании второго подхода к анализу

временных рядов в микропроцессорном базисе. Получено хорошее

соответствие между реальными и прогнозируемыми потоками ошибок в

диапазоне изменения средней вероятности ошибки в ДКС от 0,001 до 0,3.

Литература

Page 155: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

1. Кузнецов Л.К. Системы передачи информации с адаптивным по

прогнозу декодированием. Монография. – М.: ВГНА Минфина

России, 2011.

2. Кузнецов Л.К., Шеховцов О.И. О моделировании дискретных каналов

связи. – XI Всесоюзный симпозиум "Методы представления и

аппаратурный анализ случайных процессов и полей". Тезисы

докладов, секция 3. – Л.: 1980. С. 97-102.

3. Дженкинс Г., Ваттс Д. Спектральный анализ и его приложения. Пер. с

англ. Вып. 1. – М.: Мир, 1971.

4. Бокс Дж., Дженкинс Г. Анализ временных рядов. Прогноз и

управление. Пер. с англ. Вып. 1. – М.: Мир, 1974.

5. Орлов Ю.Н.Осминин К.П. Нестационарные временные ряды. – М.:

Либроком, 2011.

6. Афанасьев В. Н., Юзбашев М. М. Анализ временных рядов и

прогнозирование. – М.: ИНФРА, 2010.

ПУТЕВОДИТЕЛИ СПС КАК СРЕДСТВО БЫСТРОГО РЕШЕНИЯ

ПРАВОВЫХ ЗАДАЧ

Манаенко Екатерина Борисовна

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. На практике встречаются задачи, для решения которых

необходимо найти и изучить много документов. Возникает проблема, что в

разных документах предлагаются разные пути решения проблемы, которые

необходимо проанализировать и сравнить. Для таких случаев в системе

КонсультантПлюс представлены специальные материалы – Путеводители

Page 156: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

КонсультантПлюс, которые помогают быстро справиться с различными

профессиональными задачами.

Ключевые слова: Консультант Плюс, путеводитель, справочно-правовая

система, правовая задача, поиск, анализ, сравнение, информация, решение.

Введение

В системе КонсультантПлюс представлены специальные материалы –

Путеводители КонсультантПлюс, которые помогают быстро справиться с

различными профессиональными задачами. На сегодняшнее время существует

множество справочных систем, позволяющих быстро и точно найти нужный

документ, независимо от его назначения и статуса. Однако не всегда

достаточно рассмотреть пару документов для решения практической задачи.

Зачастую необходимо найти, изучить и проанализировать огромное количество

документов. Именно в таких случаях удобными и эффективными средствами

быстрого получения всей необходимой информации будут Путеводители

КонсультантПлюс.

1. Путеводители Консультант Плюс

Путеводители Консультант Плюс – уникальный инструмент для

поиска информации и работы с ней, который помогает разбираться в

практических задачах и искать пути их решения. Временные затраты на поиск и

анализ информации сводится к минимуму, так как путеводители представляют

её в компактном структурированном виде, изложенной в понятной и доступной

форме. По каждому вопросу даны разъяснения, рекомендации к действиям,

оценка рисков, практические примеры, ссылки на правовые акты, судебную

практику и формы документов. Путеводители учитывают последние изменения

в законодательстве, новые судебные решения, разъяснения ведомств и

экспертов. Поэтому пользователь может быть уверен в актуальности

предоставленной ему информации.

Page 157: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Путеводители КонсультантПлюс позволяют решить самые различные

задачи. Например, они помогут собрать информацию по вопросу воедино из

разных источников, или помогут разобраться в неоднозначной ситуации, когда

необходимо изучить вопрос со всех точек зрения, найти варианты решений и

оценить их риски.

Для быстрого перехода к Путеводителям в системе КонсультантПлюс

можно использовать окно "Путеводители КонсультантПлюс" и вкладку

"Путеводители". Можно также воспользоваться Быстрым поиском, запросив в

нём информацию по интересующему вопросу. Если по запросу будут найдены

Путеводитель КонсультантПлюс, список будет представлен двумя вкладками

«Все документы» (является открытой по умолчанию) и «Путеводители». На

второй будут представлены все полученные по запросу Путеводители.

В системе Консультант Плюс представлены Путеводители,

ориентированные на: юристов, бухгалтеров, кадровиков, специалистов

бюджетных организаций.

2. Состав путеводителей

В системе КонсультантПлюс представлены:

Путеводитель по налогам;

Путеводитель по сделкам;

Путеводитель по кадровым вопросам;

Путеводитель по бюджетному учету и налогам;

Путеводитель по контрактной системе в сфере госзакупок;

Путеводитель по спорам в сфере госзаказа;

Путеводитель по договорной работе;

Путеводитель по судебной практике (ГК РФ);

Путеводитель по корпоративным процедурам;

Путеводитель по корпоративным спорам;

Путеводитель по госуслугам для юридических лиц;

Путеводитель по трудовым спорам;

3. Преимущества Путеводителей КонсультантПлюс

Page 158: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Путеводители КонсультантПлюс:

содержат только актуальную информацию;

самостоятельно обрабатывают огромное количество документов;

представляют разные варианты решения задачи;

предоставляют только значимую информацию;

рассматривают множество практических ситуаций;

предоставляют информацию в простом и понятном виде.

4. Пример использования Путеводителя для решения конкретной задачи

Рассмотрим использование Путеводителя КонсультантПлюс.

Большинству людей приходится уходить с работы по тем или иным

причинам. Многие уходят по собственному желанию. Возникает вопрос, что же

для этого нужно сделать. Посмотрим, как с помощью Путеводителя

КонсультанПлюс можно быстро найти необходимую информацию

1 шаг. Вводим запрос в строке Быстрого поиска: Увольнение по

собственному желанию.

2 шаг. В списке документов выбираем «Путеводитель по кадровым

вопросам. Расторжение трудового договора. Расторжение трудового договора

по инициативе работника».

3 шаг. Переходим к тексту, в котором видим ответ на вопрос с

разъяснениями и ссылкой на образец составления заявления на увольнение.

Заключение

Путеводители КонсультантПлюс – это удобный инструмент для поиска

решений практически любой задачи, основанного на анализе всей связанной с

ним информации. Таким образом, Путеводители КонсультантПлюс позволяют

получить ответ на заданный вопрос в удобном и понятном виде с

минимальными временными затратами.

Литература

1. Камынин В.Л., Ничепорук Н.Б., Зубарев С.Л., Пшеничнов М.П.

КонсультантПлюс: Учимся на примерах. Учебно-методическое пособие

для студентов вузов. – М.: ООО «Консультант:АСУ», 2014. С. 41-48

Page 159: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

2. Кузнецов Л.К. Использование СПС при подготовке специалистов в об-

ласти налогообложения. – Современная налоговая система: состояние и

перспективы (национальный и международный опыт): сборник статей II

международной научно-практической конференции 30 ноября 2012 г. –

М.: Финуниверситет, 2012. С. 341-345.

3. Справочная система КонсультантПлюс (http://www. consultant.ru /).

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ ТЕЧЕНИЯ ВОЗДУХА С

ИСПОЛЬЗОВАНИЕМ СУПЕРКОМПЬЮТЕРА

Волик Мария Владимировна

Старший преподаватель

[email protected]

Мелькова Вера Григорьевна

Старший преподаватель

[email protected]

Милостивая Юлия Сергеевна

Студент

[email protected]

Зайтова Елизавета Зелимхановна

Студент

[email protected]

Владикавказский филиал

Финансового университета при Правительстве Российской Федерации

Россия, г. Владикавказ

Аннотация. В работе рассматриваются возможности, предоставляемые

использованием суперкомпьютеров при математическом моделировании

аэродинамики улиц. Показано, что использование современных технологий

значительно уменьшает время расчетов, что приводит к экономии

материальных затрат и получению важных результатов.

Page 160: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Ключевые слова: суперкомпьютер, математическое моделирование,

аэродинамика.

Суперкомпьютер – это вычислительная машина, технические

характеристики которой многократно превосходят большинство компьютеров.

Суперкомпьютеры позволяют производить множество сложных расчетов в

короткий промежуток времени.

Первое употребление этого термина относят, по разным данным, к 20-м

или 60-м годам XX-го века. Конечно, современные компьютеры существенно

отличаются от тех, которые впервые получили название «суперкомпьютер».

Собственно, точного определения понятия «суперкомпьютер» нет. Это связано

с постоянным развитием компьютерной индустрии, которое происходит с

невероятной скоростью. Те системы, которые сегодня признаны мощнейшими,

через несколько лет могут оказаться слабейшими.

Оказывается, существует целый ряд задач и проблем, которые

невозможно решать без использования суперкомпьютерных технологий.

Возьмем, к примеру, США, по территории которых два раза в год

проходят разрушительные торнадо. Они сметают на своем пути города,

поднимают в воздух автомобили и автобусы, выводят реки из берегов, заливая

тем самым гигантские территории. Борьба с торнадо - существенная часть

американского бюджета. Только штат Флорида, который находится недалеко от

тех мест, где эти смерчи рождаются, за последние годы потратил более 50

миллиардов долларов на экстренные меры по спасению людей. Правительство

не жалеет денег на внедрение технологий, которые позволили бы

предсказывать появление торнадо и определять, куда он направится.

Как рассчитать торнадо? Очевидно, что для этого надо решить задачу о

локальном изменении погоды, то есть задачу о движении масс воздуха и

распределении тепла в неком регионе. Принципиально это несложно, однако на

практике возникают две проблемы. Проблема первая: чтобы заметить

появление смерча, надо проводить расчет на характерных для его образования

Page 161: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

размерах, то есть на расстояниях порядка двух километров. Вторая трудность

связана с правильным заданием начальных и граничных условий. Дело в том,

что температура на границах интересующего вас региона зависит от того, что

делается в соседних регионах. Рассуждая дальше, легко убедиться, что мы не

можем решить задачу о смерче, не имея данных о климате на всей Земле.

Климат на планете рассчитать можно, что и делается каждый день во всех

странах для составления среднесрочных прогнозов погоды. Однако имеющиеся

ресурсы позволяют вести расчеты лишь с очень большим шагом - десятки и

сотни километров. Ясно, что к предсказанию смерчей такой прогноз не имеет

никакого отношения.

Необходимо совместить две, казалось бы, плохо совместимые задачи:

глобальный расчет, где шаг очень большой, и локальный, где шаг очень

маленький. Сделать это можно, но лишь собрав в кулаке действительно

фантастические вычислительные ресурсы. Дополнительная трудность состоит

еще и в том, что вычисления не должны продолжаться более 4 часов, так как за

5 часов картина погоды смазывается совершенно, и все, что вы считаете, уже не

имеет никакого отношения к реальности. Нужно не только обработать

гигантский объем данных, но и сделать это достаточно быстро. Такое под силу

лишь суперкомпьютерам. [1]

Однако суперкомпьютеры используются не только для предсказания

погоды. Они широко применяются в сейсморазведке, нефте- и газодобывающей

промышленности, автомобилестроении, проектировании электронных

устройств, фармакологии, синтезе новых материалов и многих других отраслях.

Так, по данным компании Ford, для выполнения crash-тестов, при

которых реальные автомобили разбиваются о бетонную стену с

одновременным замером необходимых параметров, со съемкой и последующей

обработкой результатов, ей понадобилось бы от 10 до 150 прототипов для

каждой новой модели. При этом общие затраты составили бы от 4 до 60

миллионов долларов. Использование суперкомпьютеров позволило сократить

число прототипов на одну треть.

Page 162: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Известной фирме DuPont суперкомпьютеры помогли синтезировать

материал, заменяющий хлорофлюорокарбон. Нужно было найти материал,

имеющий те же положительные качества: невоспламеняемость, стойкость к

коррозии и низкую токсичность, но без вредного воздействия на озоновый слой

Земли. За одну неделю были проведены необходимые расчеты на

суперкомпьютере с общими затратами около 5 тысяч долларов. По оценкам

специалистов DuPont, использование традиционных экспериментальных

методов исследований потребовало бы 50 тысяч долларов и около трех месяцев

работы - и это без учета времени, необходимого на синтез и очистку

требуемого количества вещества. [1]

Кроме того, в современном мире невозможно представить научные

исследования без компьютеров. Использование суперкомпьютеров поможет

провести исследования, в которых разработка модели или постановка

эксперимента затруднительна или невозможна. В таком слусае незаменимым

методом исследования и проектирования является компьютерное

моделирование. Например, исследование процессов протекающих в недрах

планет при сверхвысоких температурах и давлении, изучение сейсмической

активности или разработка современного вооружения и средств его

нейтрализации. Без суперкомпьютеров становиться невозможной разработка

новых многофункциональных материалов.

Осенью 2007 года Межведомственный суперкомпьютерный центр

Российской академии наук (МСЦ РАН, www.jscc.ru) приступил к построению

суперкомпьютера с пиковой производительностью 100 TFLOPS для проведения

научных вычислений. Систему совместно создавали специалисты МСЦ РАН,

корпораций Hewlett-Packard (HP, www.hp.com) и Intel. Благодаря новейшим

решениям HP и Intel, а также многолетнему опыту МСЦ РАН в области

высокопроизводительных вычислений, в суперкомпьютерном центре построена

и поддерживается на высоком уровне одна из самых мощных в России

вычислительная система.

Page 163: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Современные средства ИТ способствуют ускорению фундаментальных

исследований и увеличению научного и технологического потенциала страны.

Несмотря на высокий уровень российской науки, 10 лет назад многие задачи,

требующие серьезных вычислений, либо не принимались к рассмотрению в

силу отсутствия подходящего вычислительного ресурса, либо решались на

суперкомпьютерах за рубежом. Поэтому руководство РАН приняло решение о

создании информационно-вычислительной инфраструктуры мирового уровня

как необходимого и эффективного инструмента для проведения научных

исследований. Задачей МСЦ стало создание и ускоренное развитие такой

инфраструктуры. Суперкомпьютер уже стал ее ключевым элементом, что не

только открывает российским ученым новые горизонты в проведении

исследований, но и дает возможность эффективно развивать и расширять

международное научное сотрудничество, в том числе и в создании глобальной

инфраструктуры.

На базе суперкомпьютеров МСЦ РАН создана виртуальная

вычислительная лаборатория UniHUB, ориентированная на повышение

эффективности процессов разработки, внедрения и моделирования

вычислительных задач, а также предоставляет возможность совместной работы

представителей различных научно-исследовательских сообществ.

Web–лаборатория UniCFD создана на базе технологической платформы

UniHUB и предназначена для поддержки открытого сообщества

исследователей, чьи научные интересы связаны с методами решения задач

механики сплошной среды с использованием свободных прикладных пакетов.

Лаборатория открыта для новых участников. [2]

Пользователям предоставляется возможность доступа к консоли на

управляющем узле суперкомпьютера в режиме 24/7.

Запустив JSCC RAS Cluster Console можно получить консоль на

управляющем узле вычислительного кластера JSCC, состоящий из 64

вычислительных узлов построенных на базе серверов каждый из которых

включает в себя: 2 процессора Intel® Xeon® CPU E5450 @ 3.00GHz, 8 GB

Page 164: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

RAM, 100 GB SATA HDD. Вычислительные узлы объединены

высокопроизводительной сетью Infiniband. Кластер работает под управлением

OC Linux CentOS 5.4 и системы управления кластера OSCAR 5.0.

Запустив BL2×220 Cluster Console предоставляется консоль на

управляющем узле вычислительного кластера BL2×220, который состоит из 12

вычислительных узлов, построенных на базе серверов HP BL2×220, каждый из

которых включает в себя: 2 сервера, по 2 процессора Intel® Xeon® CPU E5670

@ 2.93GHz в каждом; по 24 GB RAM в каждом; по 250 GB SATA HDD в

каждом. Вычислительные узлы объединены высокопроизводительной сетью

Infiniband QDR. Кластер работает под управлением OC Linux CentOS 5.4 (kernel

2.6.32-358.6.2).

В перечисленных консолях можно запускать свои задачи на выполнение

через систему пакетной обработки TORQUE и планировщик ресурсов MAUI.

[2]

В данной работе математическое моделирование течения воздуха в

городской застройке с домами одинаковой высоты проводилось с помощью

свободно распространяемого пакета OpenFoam, который работает под

различными версиями открытой операционной системы Linux (OpenSuse,

Centos, Ubuntu, Fedora, Debian и другие), и удаленного доступа к

суперкомпьютеру Web-лаборатории UniHUB по программе «Университетский

кластер» (www.unicluster.ru).

Решаемая в OpenFoam задача обязательно содержит: начальные и

граничные условия; расчетную сетку и физические свойства; параметры

интегрирования уравнений [3, 4]. Предполагалось, что движущийся воздух

является несжимаемой жидкостью. Для проведения вычислительных

экспериментов использовался стандартный решатель pimpleFoam для

турбулентного течения жидкости, в котором применяется алгоритм связи

скорости и давления Pimple. Система уравнений включала уравнение

неразрывности и уравнение изменения импульса. Турбулентность

моделировалась с использованием стандартной K−ε модели, для которой

Page 165: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

решались уравнения для кинетической энергии турбулентности и скорости ее

диссипации.

Серия вычислительных экспериментов проводилась для интервала

времени от 0 до 1000 с. (с шагом 0.001 с.). Расчетная сетка представляет собой

прямоугольную область с шагом по пространству 1 м и включает в себя

типичную конфигурацию городской застройки из двух домов одинаковой

высоты (рис. 1). Течение воздуха моделировалось, традиционно, слева направо.

Высота домов принималась в качестве масштаба длины и была равна 20 м.

Расстояние вдоль улицы составляло один масштаб длины, от входной границы

до подветренной стороны улицы - пять масштабов длины, от наветренной

стороны улицы до выходной границы – десять масштабов, от нижней границы

расчетной области до верхней границы – пять таких масштабов. Исследуется

течение воздуха в поперечном сечении в центре улицы.

Таким образом, расчетная область состоит из 720 000 точек (360×100×20

точек), а значит использование суперкомпьютера необходимо.

Рис. 1. Расчетная область

Результаты расчетов показали, что внутри улицы образуется основной

вихрь, центр которого находится на высоте 17 метров от нижней границы

расчетной области. Воздух в этом вихре вращается против часовой стрелки.

Кроме того, вблизи нижней границы образуются вторичные вихри, воздух в

которых перемещается по часовой стрелке: на наветренной стороне улицы

размером 6м×3м, а на подветренной стороне – размером 3м×2м. Над всей

застройкой образуется многовихревая структура, которая затрудняет

Page 166: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

проветривание внутри улицы и переносит воздух, содержащий газообразные

загрязняющие вещества, в след за застройкой.

Рис. 2. Распределение горизонтальной составляющей скорости воздуха по

высоте в центре улицы (кривая 1) и на расстоянии 7.5м за застройкой (кривая

2)

Из графиков видно, что за застройкой скорость воздуха выше, чем внутри

улицы. Кроме того, внутри улицы на уровне пешеходов, то есть на высоте до 5

метров от проезжей части, отмечается самая низкая скорость течения воздуха, а

значит, в этой области газообразные загрязняющие вещества, выбрасываемые

автотранспортом, будут рассеиваться хуже всего. По видимому, поток воздуха

внутри улицы тормозится многовихревой структурой над застройкой и

вторичными вихрями вблизи проезжей части с обеих сторон улицы.

Таким образом, использование суперкомпьютеров в математическом

моделировании аэродинамики улиц позволяет получить качественные и

количественные результаты значительно быстрее, чем без использования

суперкомпьютерных технологий. В данной работе исследования проводились

также с использованием технологии распараллеливания, что позволило

сократить время расчетов в три раза. [5]

Page 167: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Охрана окружающей среды от загрязнений является одной из

приоритетных задач науки. Для проведения эффективных природоохранных

мероприятий необходим качественный контроль за состоянием выбросов в

окружающую среду от всех источников загрязнения. Эффективным

инструментом решения подобных экологических задач является

математическое моделирование с использованием возможностей

суперкомпьютеров – наиболее перспективное направление по своим

возможностям прогнозирования, а также экономии материальных затрат и

безопасности проводимых экспериментов.

Список использованной литературы

1.В. Воеводин. Суперкомпьютеры: вчера, сегодня, завтра.

http://www.nkj.ru/archive/articles/7365/ (дата обращения 15.11.2014)

2.Технологическая платформа программы «Университетский кластер».

https://unihub.ru/ (дата обращения 15.11.2014)

3.Волик М.В. Исследование влияния граничных условий на результаты

математического моделирования аэродинамики уличных каньонов //

Молодые ученые в решении актуальных проблем науки: Материалы V

Международной научно-практической конференции; Сев.-Осет. гос. ун-т

им. К.Л. Хетагурова. Владикавказ: ИПЦ СОГУ, 2014. – с.14-18

4.Каменецкий Е.С., Волик М.В., Орлова Н.С. Математическое моделирование

аэродинамики уличных каньонов, расположенных на склоне холма, с

использованием пакета OpenFoam // Труды XVII Международной

конференции «Современные проблемы механики сплошной среды». г.

Ростов-на-Дону, 14-17 октябрь 2014 г., Т. 2. – Ростов-на-Дону,

Издательство Южного федерального университета 2014. – с.16-19

5.Орлова Н.С., Волик М.В. Использование суперкомпьютера для

моделирования кипящего гранулированного слоя // Моделирование

неравновесных систем: Материалы XVII Всероссийского семинара.

Красноярск: Институт вычислительного моделирования Сибирского

Page 168: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

отделения Российской академии наук, 2014. – с.109-114 (работа

выполнена в рамках Программы фундаментальных исследований по

стратегическим направлениям развития науки Президиума РАН 1

«Фундаментальные проблемы математического моделирования»).

ПОИСК И АНАЛИЗ ПРАВОВЫХ ЗАДАЧ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ C ПОМОЩЬЮ СПС «КОНСУЛЬТАНТПЛЮС»

Аникеева Ксения Андреевна

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. Особая роль знаний в экспертных системах обусловлена,

прежде всего, областью их применения. Экспертные системы предназначены

для решения трудно формализуемых задач или задач, не имеющих

алгоритмического решения в узкоспециализированных предметных областях

деятельности человека. Экспертные системы позволяют аккумулировать,

воспроизводить и применять знания, которые сами по себе обладают огромной

ценностью.

Ключевые слова: интеллектуальные системы, знания, способы,

представление.

Введение

Каждый человек в своей жизни сталкивается так или иначе с

необходимостью поиска и анализа разнообразной правовой информации. Это

может быть связано с профессиональной деятельностью, но зачастую связано с

какими-либо житейскими ситуациями.

Надежным и эффективным помощником в таких случаях является СПС

КонсультантПлюс – система, направленная на легкий, удобный, быстрый поиск

Page 169: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

и анализ правовой информации. Система содержит более 11 миллионов

документов, которые постоянно актуализируются. Среди них:

Документы по федеральному, региональному законодательству,

международному праву;

Материалы судебной практики;

Комментарии законодательства;

Консультации по бухучету и налогообложению;

Типовые формы документов;

Материалы бухгалтерской и юридической прессы;

Другая полезная информация.

Для удобства поиска информации все документы содержатся в Едином

информационном массиве КонсультантПлюс. Это позволяет проводить поиск

нужных документов, не заботясь о том, к какому типу информации они

относятся, создавать собственные подборки документов, относящихся к

различным типам правовой информации и т.д. Весь Единый информационный

массив разбит на 10 разделов, объединяющих документы определенного типа.

В свою очередь каждый из разделов содержит один или несколько близких по

содержанию информационных банков (ИБ).

Описание работы СПС «КонсультантПлюс»

Система «КонсультантПлюс» предоставляет следующие возможности:

Доступ к большому объему правовой информации;

Доступ к специально подготовленным аналитическим материалам-

путеводителям для получения полной и всесторонней информации по

практическим вопросам, способствующей их эффективному решению;

Инструменты для быстрого поиска и анализа правовой информации;

Сохранение и обработка найденной информации.

Разделы информации в СПС «КонсультантПлюс»

Законодательство;

Судебная практика;

Page 170: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Финансовая и кадровая консультация;

Комментарии законодательства;

Формы документов;

Законопроекты;

Международные правовые акты;

Правовые акты по здравоохранению;

Консультации для бюджетных организаций

Поиск

СПС КонсультантПлюс в зависимости от характера имеющихся у Вас

сведений предлагает различные средства поиска (рис. 1). К ним относятся:

Быстрый поиск;

Карточка поиска;

Правовой навигатор;

Путеводители;

Кодексы;

Обзоры законодательства;

Пресса и книги;

Справочная информация;

Последние пополнения;

Последние просмотренные документы.

Доступ ко всем поисковым средствам осуществляется в стартовом окне.

Быстрый поиск

Быстрый поиск – это наиболее простой способ поиска документов в

системе. Он доступен из Стартового окна, а также из любого другого места

системы через Панель быстрого доступа и сразу готов к работе.

Page 171: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Рис. 1. Стартовое окно

Рис. 2. Быстрый поиск

Page 172: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Быстрый поиск имеет простой удобный интерфейс, как в любой

поисковой системе интернета: всего одна строка, в которую можно вводить

любую известную информацию о документах, и они будут найдены.

Быстрый поиск позволяет найти:

Конкретный документ;

Конкретный фрагмент документа (главу, статью и т.п.);

Документы по интересующему вопросу (ситуации).

Для работы с быстрым поиском необходимо задать в поисковой строке

известные вам данные о нужном документе, или слова (фразу), описывающие

ситуацию, по которой вам нужна информация.

Карточка поиска

Карточка поиска (рис. 3) может использоваться для поиска документа,

если известны какие-либо его реквизиты (номер документа, вид документа,

принявший орган, дата принятия) или же фразы и даже отдельные слова из его

названия или текста.

Рис. 3. Карточка поиска

Известные данные о документе можно задать в соответствующих полях

Карточки поиска. Если реквизиты известны приблизительно, то следует задать

Page 173: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

несколько возможных значений, соединив их логическим условием «ИЛИ» (для

поля «Дата» задать диапазон дат).

В нижней части окна указывается количество документов,

удовлетворяющих условиям поиска. Пока Карточка поиска не заполнена, здесь

будет указано общее количество документов в информационных банках

системы КонсультантПлюс, установленных на вашем компьютере.

«Тематика». В этом поле задается тематика искомого документа.

«Вид документа». В этом поле указывается вид искомого документа,

например, закон, приказ, инструкция и т.д.

«Принявший орган». В этом поле указывается название органа,

принявшего документ. В этом поле можно указывать как полные названия, так

и сокращенные.

В поле «Дата» можно указать точную дату принятия искомого документа,

задать диапазон дат, или же указать дату, относительно которой искомый

документ был принят ранее, или позже.

В поле «Название документа» вы можете указать полное название

документа, либо его часть.

В поле «Текст документа» можно указать ключевые слова, фразы или

предложения, содержащиеся в документе.

Правовой навигатор

Правовой навигатор – это специальный инструмент поиска, основанный

на использовании разработанного специалистами КонсультантПлюс словаря

ключевых понятий. Он позволяет эффективно находить информацию по

возникающим на практике ситуациям.

В поисковую строку Правового навигатора достаточно ввести 1-2 слова,

относящихся к исковому вопросу, и система предложит список

соответствующих ключевых понятий, из которых надо выбрать наиболее

подходящие.

Page 174: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Путеводители

Путеводители – это новый инструмент поиска и работы с информацией. В

Путеводителях уже отобрана информация по широкому кругу вопросов

(налоги, договоры, кадры, учет сделок, корпоративное право и т.д.)

Эти материалы содержат рекомендации, примеры, разъяснения ведомств,

позиции судов, другие важные сведения, а так же имеют ссылки на документы-

первоисточники.

Таблица 1

Функции каждого вида поиска

Вид поиска Назначение

Быстрый поиск Наиболее простой способ начать поиск документов в

системе. Строка Быстрого поиска позволяет начать поиск

прямо из Стартового окна системы.

Карточка поиска Используется, если требуется несколько условий поиска

одновременно.

Правовой

навигатор

Если требуется найти информацию по ситуации, а

сформулировать вопрос затруднительно.

Путеводители Если требуется быстро получить всю необходимую

информацию по вопросу и найти варианты его решения.

Кодексы Если требуется обратиться к одному из кодексов.

Обзоры

законодательства

Если требуется получить информацию об изменениях в

законодательстве.

Пресса и книги Если требуется найти статьи, опубликованные в

конкретном номере бухгалтерского или юридического

издания, или книгу определенного издательства.

Справочная

информация

Если требуется получить информацию справочного

характера, или заполнить стандартную форму.

Последние Если требуется посмотреть документы последних

пополнений системы.

Page 175: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Вид поиска Назначение

пополнения

Последние

просмотренные

документы

Если требуется перейти к списку последних

просмотренных вами документов.

Заключение

Сегодня КонсультантПлюс – крупнейший правовой информационный

ресурс. Она содержит не только нормативные акты, материалы судебной

практики, но и множество консультационных материалов для юристов,

бухгалтеров, кадровиков.

Системе доверяют не только коммерческие компании, но и

государственные структуры.

Информационные банки системы регулярно обновляются, поэтому

пользователи могут быть уверены в актуальности получаемой информации.

Удобный интерфейс программы, возможность интеграции с редактором

MS Word, а так же онлайн версия системы позволяет пользователю быстро

найти нужную информацию, где бы он не находился и в любое удобное время.

Литература

1.Камынин В.Л., Ничепорук Н.Б. КонсультантПлюс. Краткое руководство

пользователя. – М.:ООО "АСУ, 2014

2.Камынин В.Л., Ничепорук Н.Б. Зубарев С.Л., Пшеничнов М. П.

КонсультантПлюс: учимся на примерах. – М.:ООО "АСУ, 2014

3.Кузнецов Л.К. Использование СПС при подготовке специалистов в области

налогообложения. – Современная налоговая система: состояние и пер-

спективы (национальный и международный опыт): сборник статей II

международной научно-практической конференции 30 ноября 2012 г. –

М.: Финуниверситет, 2012. С. 341-345.

Page 176: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

ИСПОЛЬЗОВАНИЕ СПС "ГАРАНТ" ДЛЯ ФОРМИРОВАНИЯ

НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ЗАЩИТЫ ИНФОРМАЦИИ

ПРЕДПРИЯТИЯ

Галкина Марина Александровна

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. Рассматривается формирование нормативно-правовой базы

информационной безопасности (НПБ ИБ) предприятия при помощи СПС

«Гарант»

Ключевые слова: правовые задачи, защита информации, СПС «Гарант».

Введение

Одним из основных направлений, которому предприятие зачастую

уделяет большое внимание, является деятельность, связанная с защитой

информации. Для повышения уровня защиты информации на предприятии

используются системы, аккумулирующие самые актуальные нормативно-

правовые акты и документы. Использование справочно-правовой системы

повышает уровень организации информационной безопасности на

предприятии.

1. Правовое обеспечение системы защиты информации на предприятии

В настоящее время наблюдается интенсивный переход к рынку

информационных технологий и ресурсов, контроль за которым является

непростой задачей. До сих пор отсутствует полная нормативно-правовая и

методическая база для построения информационных и вычислительных систем

в защищенном исполнении, пригодных для обработки секретной информации в

коммерческих структурах.

Page 177: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

При разработке средств защиты возникает ряд проблем правового

характера:

1. Лицензирование деятельности по разработке средств защиты

информации. (Система лицензирования направлена на создание условий, при

которых право заниматься защитой информации предоставлено только

организациям, имеющим на этот вид деятельности соответствующее

разрешение).

2. Сертификация средств защиты: система сертификации направлена на

защиту потребителя от недобросовестного исполнителя.

3. Соответствие разрабатываемых средств защиты концептуальным

требованиям к защите, стандартам и другим нормативным документам.

4. Отсутствие нормативно правового обеспечения для решения спорных

ситуаций с использованием цифровой подписи в арбитражном суде.

5. Оценка информации в стоимостном выражении крайне проблематична

и часто напрямую не может быть решена, например при возникновении угроз

информационным системам, обрабатывающим секретную информацию. В этом

случае ответственность устанавливается по аналогии с действующими нормами

уголовного права.

За последние 3 года в России наблюдаются активные работы в области

правового обеспечения информационной безопасности. Российским

руководством был принят ряд законов и подзаконных актов, различных

постановлений и указов, касающихся регламентации создания, использования,

передачи и хранения информационных ресурсов, защиты государственной и

коммерческой тайны, защиты прав собственника информации и авторских

прав, порядка лицензирования деятельности в области защиты информации и

другие.

На основе перечисленных документов строится правовая защита

информации, призванная обеспечить государственную законодательную базу и

нормативное обоснование комплексной системы защиты информации на

предприятии независимо от его формы собственности и категории защищаемых

Page 178: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

сведений. Кроме законов и других государственных нормативных документов,

правовое обеспечение системы защиты конфиденциальной информации

должно включать в себя комплекс внутренней нормативно-организационной

документации, в которую могут входить такие документы предприятия, как:

Устав;

Коллективный трудовой договор;

трудовые договоры с сотрудниками предприятия;

правила внутреннего распорядка служащих предприятия;

должностные обязанности руководителей, специалистов и служащих

предприятия.

инструкции пользователей информационно-вычислительных сетей и

баз данных;

инструкции администраторов ИВС и БД;

положение о подразделении по защите информации;

концепция системы защиты информации на предприятии;

инструкции сотрудников, допущенных к защищаемым сведениям;

инструкции сотрудников, ответственных за защиту информации;

памятка сотрудника о сохранении коммерческой или иной тайны;

договорные обязательства.

Стоит отметить, что во всех перечисленных документах, в зависимости от

их основного нормативного или юридического назначения, указываются

требования, нормы или правила по обеспечению необходимого уровня

информационной защищенности на предприятии или в его структурных

подразделениях, обращенные, прежде всего, к персоналу и руководству

предприятия.

Правовое обеспечение дает возможность урегулировать многие спорные

вопросы, неизбежно возникающие в процессе информационного обмена на

самых разных уровнях - от речевого общения до передачи данных в

компьютерных сетях. Кроме того, образуется юридически оформленная

система административных мер, позволяющая применять взыскания или

Page 179: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

санкции к нарушителям внутренней политики безопасности предприятия, а

также устанавливать достаточно четкие условия по обеспечению

конфиденциальности сведений, используемых или формируемых при

сотрудничестве между субъектами экономики, выполнении ими договорных

обязательств, осуществлении совместной деятельности и т. п.

2. Компьютерные справочные правовые системы предприятия

Компьютерные справочные правовые системы (СПС) – это базы данных,

содержащие нормативные документы, регулирующие важнейшие сферы

общественных отношений. Существующие на сегодняшний день справочно-

правовые системы, пройдя определенную государственную регистрацию и

сертификацию, становятся вполне доступными для потенциальных

пользователей - юридических или физических лиц.

Справочные правовые системы – эффективный инструмент для работы с

большим объемом документов.

Отличительные особенности любой юридической справочной информационной

системы:

прямые контакты с основными организациями-источниками

нормативных актов;

высокая степень достоверности нормальных актов и полноты

нормальной базы (по оценкам, выставленным в ходе указанного конкурса);

высокий уровень универсальности (обеспечения документальной

поддержки по всем разделам российского законодательства);

наличие развитого системного аппарата поиска информации;

возможность формирования индивидуальных архивов, а также

поддержки нормативной базы конкретной организации;

использование современного пользовательского интерфейса на базе

Windows-приложений;

развитые средства доставки информации конечному пользователю;

высокий уровень поддержки, в том числе консалтинга.

Page 180: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Общий объем документов, включаемых в компьютерную базу по

законодательству, рассчитанную на достаточно широкого потребителя,

превосходит 60 000 страниц машинописного текста. Таким образом, основная

отличительная черта компьютерных технологий - возможность осуществлять

эффективный поиск требуемых документов в очень большом массиве, что

позволяет анализировать сложные практические ситуации. Возможность

включать практически неограниченное количество материалов в компьютерные

базы позволяет предоставлять пользователю не только нормативные

документы, но и многочисленные материалы, комментирующие отдельные,

весьма частные, ситуации.

Если в базе представлено мнение различных специалистов, пользователь

может сориентироваться в сложной проблеме и принять решение на основе

нормативных документов. Не следует думать, что, пользуясь только такой

системой, можно решить все свои проблемы, никогда не прибегая к помощи

юридических или консалтинговых фирм. В реальности компьютерные системы

представляют собой по сути огромные, удобные справочники, где пользователь

может найти требуемую для анализа конкретной ситуации информацию.

Существует два основных подхода, позволяющих оперативно и

качественно удовлетворить информационный запрос пользователя.

1) Первый подход обеспечения пользователя правовой информацией

строится на том, что вся основная база находится на одном или нескольких

центральных компьютерах у фирм-разработчиков СПС, а у конечного

пользователя имеется программное обеспечение для подключения к

центральной базе. Для поиска каждого документа в этом случае необходимо

соединяться с центральным компьютером.

2) Второй принципиальный подход заключается в том, что пользователю

передается полная копия всей центральной базы и регулярно пересылается ее

пополнение, так что он всегда имеет на своем компьютере полную базу данных,

которая с установленной периодичностью пополняется новой информацией.

Page 181: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Основное назначение справочных правовых систем в области защиты

информации предприятия заключается в обеспечении:

- научно-методологического единства при массовом проведении работ по

защите;

- специалистов органов защиты инструментальными средствами,

необходимыми для решения задач защиты;

- специалистов, решающих задачи защиты, данными, необходимыми для

эффективного решения задач;

- заинтересованных специалистов необходимыми справочными данными.

Современная информационная система должна позволять проводить

аналитическую рaбoту: прослеживать связи мeжду информационными

объектами, обрабатывать сложные запросы, обеспечивать контекстный поиск с

лингвистической обработкой, стоить синонимические ряды.

Сегодня на отечественном информационном рынке предлагается

значительное количество оригинальных баз данных, выпускаемых и

сопровождаемых (обслуживаемых) коммерческими структурами. Одной из

лидеров среди СПС является система «Гарант».

3. Использование СПС "Гарант" для формирования нормативно-правовой

базы по защите информации предприятия

"Гарант"- справочно-правовая информационная система по

законодательству Российской Федерации. До 1995 года она относилась к

специализированным системам, ориентированным на негосударственные

коммерческие предприятия.В нее включены законы и нормативные акты, в том

числе министерств и ведомств, регулирующие хозяйственные отношения в

России, а также действующие в настоящее время акты СССР.

Основным ее достоинством является постоянное обновление базы данных

с любой удобной для пользователя периодичностью. Поиск документов в

системе "Гарант" можно вести по разделам основного меню,

терминологическому двухуровневому словарю, контексту, хронологии и

Page 182: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

официальным реквизитам документа. В системе «Гарант» представлены

возможности осуществлять поиск:

- поиск по реквизитам - поиск с указанием точных реквизитов документа

(тип, номер документа и т.д.). Например, ФЗ РФ "Об информации,

информационных технологиях и о защите информации" от 27.07.2006 г. 149-

ФЗ;

- по ситуации (поиск с описанием реальной ситуации);

- поиск по классификаторам (удобен для составления тематических

подборок документа);

- поиск по источнику опубликования: обеспечит быстрый доступ к

документу с известным источником и датой публикации.

При выборе нужного раздела законодательства на экране появляется

список актов в хронологическом порядке. Выбрав необходимый акт, можно

вызвать на экран либо его текст, либо оглавление (в случаях, когда этот акт

состоит из нескольких разделов). С помощью высвечивающихся в тексте

ссылок можно перейти к текстам других нормативных актов, связанных с

данным документом.

Поиск по ключевым словам осуществляется после выбора их в

специальном словаре.

Основным недостатком системы является некорректный поиск данных,

связанный, видимо, с неточной работой юристов, поддерживающих аппарат

ключевых слов и перекрестных ссылок в системе.

Система позволяет напечатать весь текст документа или его фрагменты.

Пользуясь средствами системы "Гарант", можно создать собственную (личную)

базу данных – ЛБД (например, инструкций, регулирующих деятельность

конкретного предприятия или область – защита информации на предприятии).

В системе существует собственный текстовый редактор, позволяющий

перенести в него текст документа из базы данных или создать новый документ.

Однако управление редактором, к сожалению, не соответствует общепринятым

стандартам, что делает его малоудобным для подготовки больших текстов.

Page 183: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Основные преимущества системы «Гарант» представлены в табл. 1.

Таблица 1

Достоинства системы «Гарант»

Новая возможность Назначение

Современный интерфейс Интуитивно понятный и эргономичный интерфейс

обеспечивает максимальное удобство и позволяет

работать в привычной для пользователя среде

Машина времени Предоставляет уникальную возможность поиска

текстов нормативных актов, действовавших на

указанную в Машине времени дату

Комментарии

пользователей

Предоставляют возможность дополнительного

сопровождения текстов собственными

комментариями с гиперссылками на другие

материалы системы

Документы на контроле Постоянно проверяет интересующие пользователя

документы и в случае внесения в них каких-либо

официальных изменений своевременно сообщает

об этом пользователю

Система персональных

настроек

Позволяет настроить интерфейс с учетом

индивидуальных потребностей пользователя

Структура документа Обеспечивает мгновенный доступ к отдельным

статьям документа, его графическим объектам,

бланкам документов в формате MS-Word и MS-

Excel, комментариям и закладкам пользователя

Графика в документе Встроенные в текст документа графические

изображения обеспечивают удобство в работе

Контекстные фильтры Обеспечивают моментальный отбор значений

реквизитов, названия которых соответствуют

введенному контексту

История работы Запоминает все действия, произведенные в течение

Page 184: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Новая возможность Назначение

текущего сеанса работы, обеспечивая

пользователю дополнительный контроль над

системой

Примечания к папкам и

закладкам

Предоставляют возможность сопровождать

сохраняемые в папки результаты работы

собственными расширенными примечаниями

Обмен результатами

работы

Предоставляет возможность открывать доступ к

своим папкам для других пользователей сетевой

версии

Обновление без

прекращения работы

Позволяет осуществлять процесс обновления

информации в фоновом режиме, без прекращения

работы пользователей

Заключение

Возможности современных информационных технологий позволяют

вырабатывать различные подходы к созданию технологий СПС.

Существующие справочно-правовые системы позволяют не только

автоматизировать процесс работы с правовой информацией и обрабатывать

огромный ее массив, но и создавать системы, позволяющих осуществлять

параметрический поиск и глубокий правовой анализ.

Стоит отметить, что для достижения полноты и комплексности защиты

информации только разработкой и внедрением на предприятии даже самого

совершенного и безупречного правового обеспечения ограничиваться не стоит.

Для того чтобы создать надежную правовую базу для системы защиты

информации, нужно организовать эту систему, разработать комплекс

последовательно и согласованно проводимых мероприятий, определить

входящие в нее компоненты и подсистемы.

Литература

Page 185: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

1.Авраамов А.А., Марданова Г.А., Ястребова Е.А. Практикум для студентов

юридических и экономических специальностей вузов. Издательство: ООО

«НПП «Гарант-Сервис», Москва, 2014. – 88 с.

2.Кузнецов Л.К. Использование СПС при подготовке специалистов в области

налогообложения. – Современная налоговая система: состояние и пер-

спективы (национальный и международный опыт): сборник статей II

международной научно-практической конференции 30 ноября 2012 г. –

М.: Финуниверситет, 2012. С. 341-345

3.Справочная система Гарант (http://www.garant.ru/)

ОПТИМИЗАЦИЯ ПЛАНОВЫХ РЕШЕНИЙ В СИСТЕМАХ

УПРАВЛЕНИЯ ПРОЕКТАМИ

Чашин Михаил Олегович

аспирант 2 года обучения

Финансовый университет при Правительстве РФ

Россия,г.Москва

[email protected]

Аннотация.

Актуальность. В настоящее время продолжается бурное развитие

компьютерных систем. Одним из широко используемых направлений является

автоматизация управления проектами в различных отраслях экономики.

Созданы различные по масштабам использования системы управления

проектами.

Цели. Разработка и внедрение универсального алгоритма, позволяющего

применить методы оптимизации при планирование проектов.

Задачи исследования. Разработка алгоритма планирования. Реализация

данного алгоритма в среде программирования Microsoft Project.

Методы. Исследования проводились на кафедре «Информатика и

программирование» Финансового университета при Правительстве РФ.

Page 186: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Использовались методы анализа накопленной информации по планированию

проектов.

Результаты. Использование оптимизации при планировании проектов

позволяет значительно сократить общее время выполнения проекта.

Перспективы. Дальнейшая работа будет направлена на повсеместное

внедрение данного алгоритма планирования, а также применение методов

итеративного агрегирования при решении оптимизационных задач.

Ключевые слова: системы управления проектами; Microsoft Project;

оптимизация; календарное планирование; сетевые модели.

В данной статье будут подробно рассмотрены основные системы

управления проектами, будут выявлены главные недостатки, а также будут

предложены некоторые пути улучшения работы подобных систем.

Перечислим основные задачи, для решения которых используются

системы управления проектами [1]:

разработка расписания выполнения проекта с ресурсных ограничений;

определение критического пути выполнения проекта, а также

определение резервов времени для составных операций проекта;

определение потребности проекта в материалах, финансах и

оборудовании;

определение распределения во времени загрузки возобновляемых

ресурсов [1];

анализ возможных рисков и планирование расписания;

анализ отклонений при выполнении работ от запланированного хода

выполнения проектам, а также прогнозирование основных параметров

проекта [1].

В настоящее время существует несколько сотен подобных систем.

Направления совершенствования процедур планирования в системах

управления проектами обусловлены двумя факторами. Во-первых, это

постоянно ужесточающиеся требования к подобным системам, вызванные

Page 187: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

лавинообразным ростом размерности и сложности решаемых задач, и как

следствие, требованиям к быстродействию нахождения решения и простоте

освоения таких систем.

Во-вторых, важную роль при формировании направления

совершенствования систем управления играют недостатки имеющихся систем,

которые, безусловно, существуют, несмотря на декларируемое обслуживание

широкомасштабных проектов.

Среди основных недостатков систем управления проектами можно

выделить следующие:

использование простых эвристических алгоритмов при построении

расписания выполнения работ с учетом ограничений;

Имеющийся набор эвристических алгоритмов, отражающих наиболее

вероятные приоритеты при планировании работ, существенно ограничивает

возможности конечного пользователя и не позволяет гибко формировать

плановое решение.

В общем случае не гарантируется получение оптимального планового

решения, имеется ограниченное или единственное число способов вычисления

приоритетов, набор которых может не соответствовать конкретной плановой

ситуации. Если решение находится, оно, как правило, единственное. Для

управления большими проектами с высоким уровнем детализации, такой

подход неприемлем и должен быть заменен решением задач оптимизации [6].

Необходимо применять методы оптимизации, поскольку в случае если имеется

большое количество информации и имеет место работа с масштабными

проектами, эвристические алгоритмы показывают свою полную

несостоятельность [6].

отсутствие интеллектуальной обработки накопленной информации.

Необходимо обеспечить возможность сбора и хранения статистики по

разработанным проектам, а также возможность использования методов Data

Mining для интеллектуальной обработки накопленной полезной информации.

Рассмотрим подробнее предлагаемый алгоритм планирования.

Page 188: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Разработка любого проекта состоит из операций, необходимых для

достижения цели и связанных отношением порядка. Для представления таких

связанных операций используются сетевые модели.

Сетевая модель изображается в виде сетевого графика, состоящего из

работ и событий. События интерпретируется как результаты выполнения

отдельных работ. При этом событие может свершиться, когда завершены все

работы, входящие в соответствующее событие. Все выходящие из события

работы могут начаться лишь после свершения данного события.

В основе предлагаемого алгоритма планирования на сетевых моделях

лежит выделение видов ресурсов, которые определяют время выполнения

операций [5]. Чем больше ресурсов используется в каждый момент времени

выполнения операции, тем меньше общая длительность операции. Время

выполнения операции определяется скоростью вложения ресурсов, которая

характеризует интенсивность выполнения операции.

Вводится и строго определяется относительная интенсивность

(коэффициент интенсивности) выполнения работы по ресурсу, область его

определения и зависимость времени выполнения операции от коэффициента

интенсивности. Введенный коэффициент интенсивности является

безразмерным, а его значения хорошо интерпретируемыми, что облегчает

использование коэффициента интенсивности в процедурах планирования.

Разработан алгоритм построения расписания выполнения работ сетевого

графика (алгоритм может использоваться для набора проектов) в зависимости

от значений коэффициентов интенсивности и расчета требуемых ресурсов по

времени.

Коэффициенты интенсивности являются аргументами при оптимизации

плановых решений [6]. В общем случае задача оптимизации сводится к задаче

нелинейного программирования. Количество аргументов определяется

количеством проектов, количеством работ в каждом проекте и количеством

видов ресурсов.

Page 189: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

В настоящее время реализован алгоритм, использующий оптимизацию,

для программного комплекса Microsoft Project. Средства автоматизации,

основанные на VBA (Visual Basic for Applications) позволяют реализовать

программный компонент (макрос), позволяющий применить описанные выше

способы оптимизации к распределению ресурсов проекта [7].

VBA – это упрощённая реализация языка программирования Visual

Basic, встроенная в серию продуктов Microsoft Office. VBA, будучи языком,

построенным на технологии COM, позволяет использовать все доступные в

операционной системе COM объекты и компоненты ActiveX.

В системе Microsoft Project для автоматического планирования

предусмотрены три типа задач: задачи с фиксированным объемом ресурсов,

задачи с фиксированными трудозатратами и задачи с фиксированной

длительностью. Исходя из типа задачи программа Microsoft Project определяет

поведение параметров, отвечающих за длительность, трудозатраты и единицы

используемых ресурсов при осуществлении календарного планирования для

рассматриваемого проекта.

В указанной ниже таблице описывается, как изменение одного из этих

трех параметров для любого типа задачи влияет на общий календарный план.

Таблица 1. Влияние изменения параметра задачи на календарный план

Тип задачи Изменение

объема ресурсов

Изменение

длительности

Изменение

трудозатрат

С

фиксированным

объемом

ресурсов

Пересчитывается

длительность

Пересчитываются

трудозатраты

Пересчитывается

длительность

С фиксированными трудозатратами

Пересчитывается длительность.

Пересчитывается объем ресурсов.

Пересчитывается длительность

С

фиксированной

длительностью

Пересчитываютс

я трудозатраты.

Пересчитываются

трудозатраты.

Пересчитывается

объем ресурсов.

Page 190: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

В данном случае необходимо обратить внимание на задачу с

фиксированными трудозатратами (pjFixedWork). В этом случае, применяя

оптимизацию, возможно изменение общей продолжительности работы.

С помощью конструкций языка программирования VBA можно получить

доступ к Задачам и Ресурсам проекта (объектам типов Task и Resource). Также

особую роль играет такой параметр работы, как Effort driven. Если значение

этого параметра истинно, то имеется возможность назначать на выполнение

работы дополнительные ресурсы, использование которых позволит сократить

общую продолжительности работы [7]. Для работ с фиксированными

трудозатратами значение параметра Effort driven истинно по умолчанию.

С помощью введенного ранее коэффициента интенсивности возможен

пересчет времени выполнения работы, а также количества задействованных

при выполнении данной работы ресурсов. Для этого используются введенные

ранее пользователем значения времени выполнения работы. Пример

программного кода на языке VBA, реализующий данную операцию приведен

ниже.

For task In Application.ActiveProject.Tasks

task.Duration = TimeWorkStart / K

For Each r In task.Assignments

r.Units = r.Work / task.Duration

Next

Next

Значение коэффициента интенсивности (K) определяется с помощью

оптимизации методом возможных направлений, который реализован в

библиотеке оптимизации, адаптированной на языке программирования C#.

Начальное значение коэффициента интенсивности равно единице.

Максимальное и минимальное значение данного коэффициента составляет 0.5 и

2.0, соответственно. Переменная TimeWorkStart является константой,

введенной пользователем при создании проекта в системе Microsoft Project.

Page 191: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Для взаимодействия с библиотекой оптимизации реализована

собственная библиотека на языке C#.

Пользователь системы вызывает разработанный макрос, через

пользовательский интерфейс вводятся основные параметры оптимизации.

Затем осуществляется вызов компоненты .Net из компоненты COM в Microsoft

Project. В эту библиотеку передаются введенные ранее параметры оптимизации,

а также класс Application. В библиотеке, реализованной на .Net, происходит

обращение к текущему проекта с помощью свойства Application.ActiveProject.

Впоследствии возможно распространение данного алгоритма на все проекты,

созданные в системе Microsoft Project.

Взаимодействие Microsoft Project и реализованной библиотеки

осуществляется по схеме, представленной на рисунке 1.

Рисунок 1. Взаимодействие с Microsoft Project

Однако уже для относительно простых сетевых графиков задача

нелинейного программирования при таком количестве аргументов становится

задачей большой размерности. Для ее решения предлагается использовать

метод итеративного агрегирования.

Как известно, успешность применения методов итеративного

агрегирования для решения задач линейного и нелинейного программирования

Page 192: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

определяется блочностью структуры аргументов и ограничений [4].

Рассматриваемая задача обладает таким свойством, поскольку сетевой график в

современных системах управления проектами и ресурсы имеет иерархическую

структуру. На основе этой естественной иерархической структуры может

строиться агрегирование и дезагрегирование переменных и ограничений при

использовании методов итеративного агрегирования.

В отличие от задачи линейного программирования, которая структурно

раскладывается на совокупность задач меньшей размерности, при итеративном

агрегировании нелинейных задач используется следующее разбиение [5].

Вектора подробных переменных и двойственных переменных разбивается на

подвекторы, которые определяют структуру агрегирования переменных и

ограничений [5]. Агрегируются переменные и ограничения, входящие в

соответствующие подвекторы. Применительно к оптимизации плана на сетевых

моделях, для коэффициентов интенсивности в отдельных блоках при решении

координирующей задачи ищется общее направление изменений, т.е. множество

работ в блоке заменятся агрегатом в соответствие со структурой сетевого

графика [6].

Список использованной литературы:

1. Вязовой В. Корпоративный менеджмент - финансовый анализ,

инвестиции и бизнес план. Системы управления проектами. Режим

доступа: http://www.cfin.ru/software/project/pms-review.shtml (дата

обращения 30.01.2014).

2. Рябов В. MS Project 2010 - Управление проектами: десять основных

преимуществ. Режим доступа:

http :// www . microsoftproject . ru / articles . phtml ? aid =40 (дата обращения

24.01.2014).

3. Управление проектами. Программное обеспечение Primavera – Индустрия

делового мира. Режим доступа: http://www.idm-ural.ru/it_management.html

(дата обращения 30.01.2014).

Page 193: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

4. Кондрашов Ю.Н. Принципы построения и алгоритмы функционирования

модульных распределенных автоматизированных систем планирования и

управления разработками. Автореферат диссертация на соискание ученой

степени доктора технических наук. М. 1995.

5. Кондрашов Ю.Н., Чашин М.О. Совершенствование процедур

планирования в системах управления проектами [электронный ресурс]

Научные записки молодых исследователей: электронный научный

журнал. -2014. - 4/2014. – Режим доступа:

http://www.fa.ru/dep/scinotes/journal/Pages/Default.aspx

6. Кондрашов Ю.Н., Чашин М.О. Совершенствование оптимизации

планирования в системах управления проектами / Развитие

управленческих и информационных технологий, их роль в региональной

экономике – Калуга: Материалы I Всероссийской открытой научно-

практической конференции г. Калуга 3 июня 2014, Финансовый

Университет при Правительстве РФ, 2014, стр. 99-106, тираж 100 экз.

7. Кондрашов Ю.Н., Чашин М.О. Недостатки современных систем

управления проектами / Фундаментальные и прикладные исследования,

разработка и применение высоких технологий в экономике, управлении

проектами, информатике – Санкт-Петербург: Материалы

Международной научно-практической конференции г. Санкт-Петербург

30-31 января 2014, Санкт-Петербургский Институт Проектного

Менеджмента, 2014, стр. 75-76, тираж 300 экз.

Page 194: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

ИСПОЛЬЗОВАНИЕ ПАКЕТОВ ПРИКЛАДНЫХ ПРОГРАММ В

РЕШЕНИИ НАУЧНЫХ ЗАДАЧ

Орлова Наталья Сергеевна

к.т.н

[email protected]

Дзебоева Луиза Владимировна

студентка 1 курса

plani 99@ mail . ru

Андиева Светлана Эльбрусовна

студентка 1 курса

Svetlana 46.15@ mail . ru

Владикавказский филиал ФГОБУ ВПО «Финансовый университет при

Правительстве Российской Федерации»

г. Владикавказ, Россия

На сегодняшний день большинство научных задач невозможно решить

без использования информационных технологий. Большинство моделей

гидроаэромеханики реализовано в свободно распространяемом пакете

OpenFOAM. В качестве примера в работе рассматривается задача

моделирования кипящего и виброкипящего слоев гранулированного материала

с использованием пакета. Показано, что при одновременном воздействии

газового потока и вибраций (колебаний) наблюдается более однородное

ожижение (кипение) гранулированного материала.

Ключевые слова: математическое моделирование; гидроаэромеханика;

пакеты прикладных программ; виброкипящий слой; гранулированный

материал.

На сегодняшний день большинство научных задач невозможно решить

без использования информационных технологий. При этом эти задачи

относятся не только к естественным и техническим наукам, но и гуманитарным.

Page 195: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Использование информационных технологий экономит время и средства на

выполнение исследований. В частности, методы математического и

компьютерного моделирования способны сократить количество натурных

экспериментов в области естественных и технических наук. В том случае, если

полученная модель адекватна, т.е. она описывает экспериментальные данные не

только качественно, но и количественно, результаты моделирования могут

использоваться при оптимизации конструкции различных технических

аппаратов.

Следует отметить, что большинство моделей, описывающих различные

процессы (физический, экономический и т.д.) уже реализовано в различных

готовых пакетах, которые могут быть как коммерческими, так и свободно

распространяемыми. Среди коммерческих пакетов наиболее популярными

являются MatLab и ANSYS, среди свободно распространяемых – OpenFOAM.

Использование таких пакетов возможно на пользовательском уровне, но при

этом имеется возможность модификации встроенных в пакет решателей на

программном уровне. Это касается пакета OpenFOAM с открытым

программным кодом.

Пакет OpenFOAM, в основном, предназначен для решения прикладных

задач гидроаэромеханики. Благодаря открытому исходному коду возможно

создание собственных решателей. Далее приводится пример использования

готового решателя пакета OpenFOAM.

Рассматривается задача моделирования кипящего гранулированного слоя

(пропускание газового потока через слой твердых частиц в вертикальном

направлении снизу вверх). Используется решатель twoPhaseEulerFoam. Процесс

кипящего гранулированного слоя имеет важное практическое значение, т.к.

используется в различных технологических аппаратах таких, как аппараты для

очистки газов, аппараты химической технологии, аппараты для сушки

материалов и т.д. [1,2]. В связи с этим исследование процесса кипящего

гранулированного слоя, которое возможно с помощью математического и

Page 196: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

компьютерного моделирования, является актуальным. Таким образом, пакет

OpenFOAM может быть использован в решении научно-практических задач.

На рис. 1 а представлены результаты моделирования динамики кипящего

слоя. Приводится изменение концентрации частиц (alpha) в процессе кипения.

Рассматриваются частицы стекла диаметром 0,3 мм. Толщина слоя засыпки

12,5 см. скорость подачи газа равна 0,25 м/с. Из рис. 1 а видно, что в процессе

кипящего гранулированного слоя образуются газовые пузыри и каналы.

Кроме того, решатель twoPhaseEulerFoam был доработан (дописан) для

моделирования динамики виброкипящего слоя (когда на слой частиц

дополнительно воздействуют вибрациями для разрушения газовых пузырей и

каналов). На рис. 1 б представлены результаты моделирования динамики

виброкипящего слоя без воздействия газового потока (амплитуда и частота

колебаний, соответственно, равны 3 мм и 25 Гц), а на рис. 1 в – результаты

моделирования комбинированных режимов виброкипящего слоя (при

одновременном воздействии газового потока и вибраций). Результаты

моделирования представлены в разные моменты времени в период t = 0-2 c.

Расчеты проводились при поддержке программы «Университетский кластер»

(http://www.unicluster.ru). Более подробно условия расчетов представлены в

работах [1,2].

Page 197: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Рис. 1. Кипящий слой (а), виброкипящий слой без воздействия газового потока

(б) и виброкипящий слой при одновременном воздействии газового потока и

вибраций (в).

Если обратить внимание на рис.1 б, видно, что в процессе виброкипения

наблюдается волнообразная поверхность гранулированного материала. При

этом максимальное значение концентрации частиц (alpha) не превышает

начальное значение (0,6) в отличие от случая кипящего слоя, когда

максимальное значение равно примерно 0,78.

Из рис. 1 в видно, что при наложении вибраций (колебаний) происходит

уменьшение количества газовых пузырей. При этом оставшиеся газовые

пузыри менее ярко выражены в отличие от случая кипящего слоя (рис. 1.а).

Максимальное значение объемной доли частиц в случае комбинированных

Page 198: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

режимов, равное примерно 0,66, меньше, чем в случае кипящего слоя

(примерно 0,78). Можно сделать вывод о том, что комбинированные режимы

виброкипения способствуют более однородному ожижению (кипению)

гранулированных слоев. Меняя значения входных параметров задачи (скорость

подачи газового потока, амплитуда и частота колебаний) можно определить

режимы процессов, при которых наблюдается более однородное ожижение.

Таким образом, использование программных пакетов (в частности,

свободно распространяемого пакета OpenFOAM) позволяет решать научные

задачи, как, например, задачу моделирования процессов кипящего и

виброкипящего слоев.

Список литературы

1. Орлова Н.С., Волик М.В. Использование суперкомпьютера для

моделирования кипящего гранулированного слоя // Моделирование

неравновесных систем: Материалы XVII Всероссийского семинара. –

Красноярск: Институт вычислительного моделирования Сибирского отделения

Российской академии наук, 2014. С.109-114.

2. Каменецкий Е.С., Орлова Н.С., Волик М.В., Минасян Д.Г. Моделирование

кипящего гранулированного слоя с использованием пакета OpenFoam // Труды

XVII Международной конференции «Современные проблемы механики

сплошной среды» (Ростов-на-Дону, 14-17 октября 2014 г.). Т. 2. Ростов-на-

Дону, Издательство Южного федерального университета, 2014. С.20-24.

ПОИСК И АНАЛИЗ ПРАВОВЫХ ЗАДАЧ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ C ПОМОЩЬЮ СПС «ГАРАНТ»

Макова Анна Сергеевна

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Page 199: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Аннотация. Наиболее значимая роль знаний в экспертных системах

обусловлена, прежде всего, областью их применения в различных сферах.

Экспертные системы помогают решить различные как

узкоспециализированные, так и задачи широкого спектра деятельности

человека. Такие системы очень актуальны в наше время, поскольку они

подкреплены нормативными документами, содержат указы, судебные решения,

шаблоны деловых документов, а также консультации специалистов по праву.

Они позволяют аккумулировать, воспроизводить и применять знания, которые

сами по себе обладают огромной ценностью.

Ключевые слова: интеллектуальные системы, знания, способы,

представление, защита, информация.

Введение

Компьютерная справочная правовая система ГАРАНТ разрабатывается с

1990 года научно-производственным объединением «Вычислительная

математика и информатика» (НПО «ВМИ»). В дальнейшем от компании

отделился сектор «Гарант-Сервис», которая и является уже нынешней

справочной-правовой системой «ГАРАНТ». В настоящее время эта система -

основной инструмент принятия решения по правовым вопросам для многих

бухгалтеров, юристов, руководителей, других специалистов в России и за

рубежом. Контент справочной системы еженедельно пополняется на 8 - 12

тысяч документов.

ГАРАНТ является средством массовой информации, о чем имеет

соответствующее Свидетельство Министерства Российской Федерации по

делам печати, телерадиовещания и средств массовых коммуникаций Эл. 77-

2137 от 3 декабря 1999 года.

Описание работы СПС «ГАРАНТ»

Компания «Гарант» может предложить более мощный и

профессиональный инструментарий для поиска правовых документов

Page 200: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

информационной безопасности, с помощью которого работа с системой

становится еще более удобной и отвечает самым взыскательным требованиям

профессионалов (рис.1).

Поиск

Для быстрого поиска необходимых документов, связанных с

информационной безопасностью следует воспользоваться такими механизмами

поиска как:

Базовый поиск;

Поиск по реквизитам;

По ситуации;

По источнику опубликования.

Перейти к любому виду поиска можно из главного меню (рис. 2).

Рис. 1. Главное окно

Page 201: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Рис. 2. Управление поиском

Поиск по реквизитам

Самым лучшим средством для поиска и анализа правовых задач

информационной безопасности является поиск по реквизитам (рис. 3). Он

предназначен для поиска документов по заранее известной или предполагаемой

информации о документе и позволяет сочетать в запросе самую разнообразную

информацию: тип и номер искомого документа, принявший орган и дату

принятия, опубликования или регистрации в Минюсте, слова или

словосочетания, содержащиеся в тексте документа, и многие другие реквизиты.

Карточка запроса включает в себя основные разделы поиска:

1. Контекстный поиск:

2. Основные реквизиты документа:

3. Правовой календарь:

4. Реквизиты регистрации в Минюсте:

5. Расширенные реквизиты документы:

Условием поиска является любое заполненное поле карточки запроса.

Значения реквизитов можно вводить непосредственно на карточке запроса. Для

этого нужно установить курсор в поле, соответствующее нужному реквизиту, и

начать печатать искомое значение. При этом система автоматически проследит

Page 202: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

за корректностью ввода. Вводимая строка по мере ввода будет сравниваться со

значениями реквизита из базы данных, что послужит страховкой от любых

ошибок. После начала ввода появится подсказка — выпадающий список

выбора. Он будет содержать те значения реквизита, которые начинаются с

набранных символов. Необязательно вводить нужную строку до конца. Чтобы

выбрать значение из выпавшего списка, нужно переместить курсор стрелками

клавиатуры и нажать Enter либо воспользоваться мышью. Выбранное значение

будет подставлено в поле ввода.

Для некоторых реквизитов предусмотрено также логическое условие, с

которым заданное значение будет участвовать в поиске. Значок логического

условия размещается слева от поля ввода.

Эта кнопка-значок предназначена для индикации и переключения

логического условия, с которым данное значение входит в поиск. Щелкая

мышью по значку, можно циклически изменять условие между вариантами

— ИЛИ, — И и — КРОМЕ.

Логическое ИЛИ перед значением реквизита означает, что искомый

документ должен обладать хотя бы одним значением из числа заданных для

данного реквизита с таким условием.

Логическое И напротив значения реквизита означает, что искомый

документ безусловно должен характеризоваться данным значением, причем

независимо от выполнения других условий.

Логическое КРОМЕ означает, что искомый документ не должен иметь

заданное значение в числе своих свойств. Иначе говоря, из результатов поиска

будут исключены все документы, обладающие таким значением.

Для примера в карточке запроса введем данные и увидим получившейся

результат (рис. 3).

Page 203: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Рис. 3. Поиск по реквизитам

Слова в названии – информационная безопасность;

Тип – указ;

Дата принятия с 17.03.2008.

После того как мы ввели необходимую информацию для поиска,

нажимаем кнопку ENTER, система нам выведет результат (рис. 4).

Если в получившемся списке вы нашли тот документ, который

необходим для работы, то следует нажать на название этого документа. В

нашем случае это документ, стоящий в начале списка.

Page 204: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Рис. 4. Поиск по реквизитам. Результат

После нажатия откроется документ, который можно просмотреть и

найти необходимую информацию (рис. 5). Бывают такие ситуации, когда

искомый документ не выводится в список результатов, тогда следует в разделы

поиска ввести дополнительные данные об искомом документе. Вводите только

точно известные значения. Не старайтесь заполнить карточку запроса всеми

известными Вам реквизитами, особенно если есть сомнения в их

достоверности. Ошибка хотя бы в одном условии приведет к тому, что нужный

документ найден не будет. Поэтому старайтесь указывать только те условия, в

которых Вы абсолютно уверены. После окончания формирования поискового

запроса, для его выполнения нужно нажать на кнопку «Искать»,

расположенную внизу карточки поиска по реквизитам. По окончании поиска

система сообщит количество найденных документов и предложит вывести их

список на экран.

В поисковый запрос можно включить произвольное количество условий

для одного и того же реквизита (например, перечислить сразу несколько

возможных типов или эмитентов искомых документов). Для этой цели

используется кнопка «Добавить», зеленый плюсик, расположенный справа от

поля для ввода реквизита. При нажатии кнопки появляется дополнительное

Page 205: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

поле ввода, расположенное напротив соответствующего реквизита. Кнопка

добавления видна не всегда. Она появляется, когда для реквизита заполнено

хотя бы одно поле. Кроме того, для некоторых реквизитов предусмотрено

единственное поле ввода.

Рис. 5. Документ

Кнопка «Удалить», красный крестик, расположенный справа от поля для

ввода реквизита, очищает соответствующее условие поиска и удаляет поле

ввода из карточки запроса. Если удаленное условие является для данного

реквизита последним (единственным), то поле ввода очищается, но не

удаляется.

Команда «Очистить» удаляет все введенные условия поиска, то есть

очищает все поля карточки запроса. Если запустить пустой запрос на

исполнение, то система выведет список всех документов, содержащихся в

текущем информационном банке. Если в карточке запроса одновременно

присутствуют условия и нового, и предыдущего запросов, то результат поиска

будет искажен. Поэтому рекомендуется очищать карточку.

Оптимизируйте поиск контекста:

1. Если нет явной необходимости, то вводите только первые восемь

символов искомого слова. Система найдет все слова, которые начинаются с

Page 206: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

этих символов. Ситуации, когда требуется найти точную форму слова,

встречаются исключительно редко.

2. Используйте поиск словосочетания только для поиска устоявшихся

последовательностей слов, в которых не может поменяться порядок слов, а

также не могут быть вставлены дополнительные слова. Также поиск

словосочетаний подходит для поиска документа, содержащего дословно

известный Вам фрагмент или цитату.

Таблица 1

Функции каждого вида поиска

Вид поиска Назначение

Базовый поиск Базовый поиск представляет собой максимально простой

инструмент, состоящий из строки ввода и вкладок для выбора

вида информации. Итоговый список будет отсортирован по

степени соответствия.

По реквизитам Позволяет найти документ, если известна, хотя бы часть его

реквизитов: тип документа, эмитент, дата принятия, номер

документа, название и др.

По ситуации Поиск по ситуации – уникальная запатентованная разработка

компании "Гарант". Необходимо сформулировать вопрос и

выбрать из него ключевые термины. Результатом поиска

обычно является список из 3 - 7 документов. Пользователь

попадает на конкретные фрагменты найденных документов,

соответствующие заданному вопросу.

По источнику

опубликования

Позволяет найти документ, если известен его источник и дата

публикации

Заключение

Для удобства и обеспечения более точных результатов правовых задач

информационной безопасности следует использовать раздел «поиск по

Page 207: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

реквизитам». Он позволяет наиболее быстро найти необходимую информацию.

Усовершенствованный внешний вид системы при работе с контекстным

поиском позволяет получить результат с максимальным комфортом, затрачивая

минимум усилий.

Система «Гарант» благодаря своему усовершенствованному

интерфейсу: новым поисковым полям и их оптимальным значительно ускоряет

и упрощает работу.

Литература

1.Авраамов А.А., Марданова Г.А., Ястребова Е.А. Практикум для студентов

юридических и экономических специальностей вузов. Издательство: ООО

«НПП «Гарант-Сервис-Университет», Москва, 2014.

2.Кузнецов Л.К. Использование СПС при подготовке специалистов в области

налогообложения. – Современная налоговая система: состояние и пер-

спективы (национальный и международный опыт): сборник статей II

международной научно-практической конференции 30 ноября 2012 г. –

М.: Финуниверситет, 2012. С. 341-345.

3.Справочная система Гарант (http://www.garant.ru/).

ИСПОЛЬЗОВАНИЕ СПС "КОНСУЛЬТАНТПЛЮС" ДЛЯ

ФОРМИРОВАНИЯ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ЗАЩИТЫ

ИНФОРМАЦИИ ПРЕДПРИЯТИЯ

Овсянникова Полина Алексеевна

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

[email protected]

Аннотация. Рассматривается формирование нормативно-правовой базы

защиты информации (НПБ ЗИ) предприятия с использованием СПС

"КонсультантПлюс".

Page 208: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Ключевые слова: нормативно-правовая база, правовые документы,

справочно-правовая система.

Введение

За последние годы в области информационной безопасности накоплен

огромный материал, способный поставить в тупик любого неискушенного

читателя. СПС «КонсультантПлюс» позволяет легко сформировать НПБ ЗИ

необходимую работнику предприятия, ответственного за ЗИ.

1. Понятие «Информационная безопасность»

Информационная безопасность (ИБ) – защищенность информации и

поддерживающей инфраструктуры от случайных или преднамеренных

воздействий естественного или искусственного характера, которые могут

нанести неприемлемый ущерб владельцам или пользователям информации.

Существенные признаки информационной безопасности:

4. конфиденциальность – состояние информации, при котором доступ к

ней осуществляют только субъекты, имеющие на нее право;

5. целостность – избежание несанкционированной модификации

информации;

6. доступность – избежание временного или постоянного сокрытия

информации от пользователей, получивших права доступа;

7. неотказуемость (апеллируемость) – невозможность отказа от

авторства;

8. подотчётность – обеспечение идентификации субъекта доступа и

регистрации его действий;

9. достоверность – свойство соответствия предусмотренному поведению

или результату;

10. аутентичность (подлинность) – свойство, гарантирующее, что

субъект или ресурс идентичен заявленному.

2. Формирование НПБ ЗИ предприятия

Page 209: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Нормативно правовая база (НПБ) – перечень нормативно-правовых

актов, регулирующих конкретные правоотношения.

Нормативно-правовая база ЗИ (НПБ ЗИ) – это совокупность

официальных документов, связанных с информационной безопасностью,

которые принимаются в определенной форме правотворческим органом.

Сотрудник, ответственный за ЗИ предприятия должен иметь набор

соответствующих документов по ЗИ. Система «КонсультантПлюс» позволяет

достаточно легко сформировать НПБ ЗИ и, что особенно важно, поддерживать

ее в дальнейшем в актуализированном состоянии.

Нормативно-правовая база информационной безопасности включает в

себя Федеральные законы, «свежие» нормативно-правовые документы,

внутриорганизационные документы, и огромное количество подзаконных актов

(рис. 1).

НПБЗИП

Свежие

За текущий год

За последний месяц

За последнюю неделю

На контроле

Федеральные законы

Подзаконные акты

Указы Президента

Постановления и распоряжения Акты федеральных организацийМежведомственные

ГОСТЫ

ФСБ

Минкомсвязи

ФСО

ФСТЭК

Международные

Прочие

Page 210: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

АрхивВнутриорганизационные

Должностные

Действующие в

Рис. 1. Схема нормативно-правовой базы ЗИ

Чтобы быстро сформировать НПБ ЗИ предприятия в соответствии со

схемой рис. 1 достаточно воспользоваться технологией "Избранное",

поддерживающей создание, как отдельных папок, так и группы папок. В папках

могут находиться любые документы из системы «КонсультантПлюс». В любой

момент папку можно дополнить другими (новыми) документами или убрать из

нее ненужные. С папками можно проводить операции: "Объединить" – показать

все документы из выбранных папок; "Пересечь" – показать документы,

дублирующиеся в выбранных папках; "Вычесть" – можно вычесть все

документы одной папки из другой. Все созданные пользователем папки

сохраняются после выхода из системы.

При работе с правовыми документами по ЗИ всегда имеются документы,

изменения в которых пользователю важно не пропустить. Для поддержания

избранных документов в актуализированном состоянии приходиться

периодически их находить и просматривать. СПС "КонсультантПлюс"

обеспечивает автоматическую проверку изменений в выбранных пользователем

документах. Актуализация документов осуществляется с помощью функции

"Документы на контроле". О любых изменениях произошедших с документами,

находящимися на контроле, мы узнаем в момент запуска системы

"КонсультантПлюс". При этом указанные документы в папках автоматически

перемещаются на первые позиции, а изменения, произошедшие в документах,

выделяются другим цветом, чтобы пользователь мог сразу их увидеть.

Используя технологию "Закладки" можно установить электронные

закладки на отдельные фрагменты текста документа (полная аналогия обычных

бумажных закладок). Закладки в последствии позволят легко найти и сам

документ, и нужный его фрагмент. Закладки можно поставить к любому

фрагменту любого документа.

Page 211: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Литература

1. Камынин В.А., Ничепорук Н.Б., Зубарев С.Л., Пшеничнов М.П.

КонсультантПлюс: Учимся на примерах. Учебно-методическое пособие для

студентов вузов. – М.: ООО "Консультант: АСУ", 2013. – 144 с.

2. Кузнецов Л.К. Использование СПС при подготовке специалистов в об-

ласти налогообложения. – Современная налоговая система: состояние и пер-

спективы (национальный и международный опыт)": сборник статей II междуна-

родной научно-практической конференции 30 ноября 2012 г. – М.: Финунивер-

ситет, 2012. С. 341-345.

3. Справочная система КонсультантПлюс (http://www. consultant.ru /).

УПРАВЛЕНИЕ ЭФФЕКТИВНОСТЬЮ БАНКА НА БАЗЕ ОБРАТНЫХ

ВЫЧИСЛЕНИЙ

Мартьянова Алла Владимировна

Студентка 1 курса

Финансовый университет при правительстве РФ

Россия, г.Москва

allmart @ yandex . ru

Аннотация:

Большая часть компьютерных программ, которые используются в

настоящее время в менеджменте банка, не предназначены для поиска

управляющих предписаний, исполнение которых приведет к ожидаемой

эффективности его активов и пассивов. Для того чтобы получить управляющие

предписания для структурных подразделений можно воспользоваться

обратными вычислениями. Для этого достаточно построить дерево целей, и

выполнить расчеты приростов показателей, которые необходимы для

достижения главной цели банка. Для примера в качестве такового был

использован показатель спрэд. В результате были получены плановые

предписания, выполнение которых позволит управлять эффективностью банка.

Ключевые слова: ликвидность банка, спрэд, дерево целей, расчет прироста

Page 212: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

В настоящее время решение о совершенствовании тех или иных активно-

пассивных операций принимается в результате решения задач финансового

анализа, как основного инструмента мониторинга деятельности банка. Для

этого используются различные специализированные программы. Однако,

несмотря на их широкое распространение, полученные результаты носят

констатирующий характер, они не предназначены для поиска управляющих

предписаний, исполнение которых приведет к ожидаемой эффективности

активов и пассивов банка.

Ликвидность банка определяется возможностью быстрого превращения

его активов в денежные средства по мере поступления обязательств к оплате.

Банк считается ликвидным, если сумма его денежных средств достаточна для

полного своевременного выполнения своих обязательств по пассивам.

Ликвидность зависит, прежде всего, от объёмов, не возвращенных и

неработающих активов, процентной политики банка и его доходности,

согласованности сроков привлечения и размещения средств и т.д.

Для достижения нужной ликвидности необходимы интегрированные

показатели, плановые значения которых могут быть положены в основу для

расчета управляющих предписаний. В качестве такого показателя используем

спрэд, который отражает разницу между средним уровнем процента,

полученным на активы, приносящие доход, и средним уровнем процента,

выплаченного по обязательствам. На рис. 1 представлено дерево показателей,

демонстрирующее последовательность расчётов данного показателя.

Рисунок 4.Дерево расчетов показателя спрэд

Расчеты осуществляются в соответствии со следующими формулами:

Page 213: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

С = E – Cst,

где С – спрэд;

Е – средний уровень процента, полученный за активы, приносящие

доход;

Cst- средний уровень процента, выплаченный по обязательствам.

E = ДА ,

где Д – процентные доходы;

А - сумма активов.

Cst = РП ,

где Р - процентные расходы;

П - сумма пассивов.

Допустим, в результате прямых расчетов величина спрэда равна XX, что

не устраивает руководство банка. При этом приято решение об его увеличении

в плановом периоде за счет увеличения уровня процента, полученного за

активы, и уменьшения уровня процента, выплаченного по обязательствам.

Для того чтобы определить управляющие предписания структурным

подразделениям на плановый период можно воспользоваться обратными

вычислениями, теория которых изложена в [1]. В соответствии с данной

теорией дерево показателей расчета спрэд следует превратить в дерево целей.

Для этого каждый показатель, отражающий цель, должен быть снабжен

направлением его изменения, а также приоритетностью достижения. На рис. 2

представлена та часть дерева целей, которая используется в расчетах. С

помощью знаков «+» и «-» указаны направления изменений показателей, а

греческих букв - их приоритетности.

Page 214: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Рисунок 5.Дерево целей увеличения спрэда

Так как желаемый прирост спрэда задается менеджером, а также

известны его целевые установки в форме С+¿¿ = Е+¿ ¿ - Cst−¿¿ , поэтому появляется

возможность рассчитать приросты его аргументов Е и Cst , составив следующую

систему уравнений:

C+ΔC=E+ΔE−(Cst−ΔCst )¿ ¿¿¿ Решив данную систему, получим формулы для вычислений приростов

ΔE и ΔCst :

ΔCst=C+ ΔC−E+Cst

1+α1

β1 , ΔE=

α1

β1

ΔCst

Аналогичным образом рассчитываются приросты всех остальных

показателей.

Выполним численный эксперимент. Пусть известны следующие

входные данные: Д =72500000; А = 113684000; Р = 48130000 ; П = 113684000;

α 1 = 0,8;α 2= 0,6; α 3 = 0,4; β1 = 0,2;β2 = 0,7; β3=0,3.

Подставив исходные данные получим: Е = 0,64; Cst = 0,42; С = 0,22. Это

плановые показатели. Так как руководство банка не устраивает такая величина,

было предложено увеличить спрэд до 0,38. Соответственно прирост С будет ∆ С

= 0,16. Исходя из этого, можно рассчитать приросты Е и Cst : ∆ Е = 0,13; ∆ Cst =

0,033. Проверим:

(0,22 + 0,16) = (0,64 + 0,16) – (0,42 – 0,03); 0,38 = 0,38.

Теперь можно рассчитать прирост показателей Д и А, Р и П. Формулы

для расчета данных приростов будут следующими:

Page 215: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

1.

ΔА=Д−А ( Е+ΔЕ )

−α2

α3

+Е+ ΔЕ;

ΔД=α2

α3

ΔА.

2.

ΔП=П (Cst−ΔCst )−Р

Сst−Δ Cst−β2

β3 ; ΔР=

β2

β3

ΔВ.

Подставив необходимые данные, получаем:

1. ∆А = 20642308,28; ∆Д = 30963462,41;

2. ∆П = 1938138; ∆Р = 4522323.

Выполним проверку:

1. (0,64 + 0,13) = (72500000+30963462,41)(113684000+20642308,28); 0,77 = 0,77.

2. (0,42 – 0,033) = (48130000−4522323)(113684000−1938138); 0,39 = 0,39

Таким образом, получены предписания, предназначенные для управления

эффективностью банка.

Список литературы

1.Одинцов Б.Е. Обратные вычисления в формировании экономических

решений: М.: Финансы и статистика, 2004. 192 с.

СРАВНЕНИЕ ЭФФЕКТИВНОСТИ ПОИСКА ПРАВОВОЙ

ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ СПС И ОТКРЫТЫХ

ПОИСКОВЫХ СИСТЕМ ИНТЕРНЕТ

Ходулева Ксения Андреевна

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

k . khoduleva @ gmail . com

Аннотация

Проводится сравнение справочно-правовых систем и открытых

поисковых систем интернета при работе в конкретных ситуациях.

Page 216: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Ключевые слова: справочно-правовая система, открытая поисковая

система, правовые документы.

В условиях динамически развивающегося законодательства и с учетом

уже имеющейся значительной базы правовых документах, возникает

необходимость оперативного получения актуальных и достоверных сведений.

Специалисты в сфере информационной безопасности и защиты информации,

студенты и любые заинтересованные лица, чья деятельность, так или иначе,

связана с использованием правовой информации, должны обладать навыками

использования современного инструментария по работе с нормативно-

правовыми актами.

В настоящее время уже никто не предполагает, что возможно вести

деятельность, используя лишь печатные формы документов, использование

достижений в сфере информационных технологий необходимо. В этой области

можно выделить два способа поиска информации по правовой базе: справочно-

правовые системы (СПС) и открытые поисковые системы (ОПС).

Чтобы говорить о преимуществах и недостатках, первоначально

необходимо сформулировать понятия, что такое СПС и ОПС:

Справочно-правовая система — специализированная база данных,

содержащая полные тексты законов, решений государственных органов,

постановлений, указов, которые подкреплены нормативными документами и

зачастую содержат комментарии и/или консультации специалистов.

Открытая поисковая система подразумевает поиск и вывод данных при

поиске по базе с описанием источников информации. Примерами могут

служить поисковые системы «Яндекс», «Google».

Для того, чтобы авторитетно заявлять о преимуществах справочно-

правовых систем, необходимо провести анализ по некоторым критериям,

являющимся важными для тех, кто осуществляет поиск. Результаты

сравнительного анализа приведены в таблице 1.

Таблица 1

Показатели сравнения ОПС и СПС

Page 217: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Показатель ОПС СПС1. Достоверность Не гарантируется Гарантируется2. Риск получить

заведомо ложную информацию

Всегда присутствует

Отсутствует

3. Источники информа-ции

Могут быть неофициальные (часто)

Только официальные источники информации

4. Актуализация доку-ментов

Отсутствует Полная

5. Попадание устарев-шей информации

Часто Никогда

6. Поддержка действующей редакции

Отсутствует Присутствует

7. Юридическая обра-ботка

Не проходят Проходят

8. Связь с другими до-кументами

Обычно отсут-ствует

Всегда присутствует

9. Ответственность за достоверность

Не несут Несут

10. Сроки действия и вступления в силу

Могут отсутство-вать

Присутствуют

11. Сравнение версийдокумента

Отсутствует Присутствует, специальные сред-ства для сличения

12. Документы различ-ных ведомств

Частично Полнота. Например, письма ФНС

13. Региональные источ-ники официальных документов

Частично Полнота. Например, законодательные акты субъектов РФ

14. Правильность Не гарантируется Гарантируется15. Сортировка списков Ограничена По различным критериям16. Время поиска (реак-

ция системы)Большие трудоза-траты на поиск

Быстрый поиск и одновременно гарантия.

17. Интеллектуальные ссылки

Ограниченные пе-реходы по гипер-ссылкам

Пронизывают всю систему. Свободная навигация

18. Комментарии юри-стов

Обычно отсутст-вуют

Всегда присутствуют.

19. Похожие документы Отсутствует Имеется. Позволяет получить представление о применении од-ной и той же правовой нормы в похожих ситуациях. Приводится мнение ведущих специалистов по

Page 218: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Показатель ОПС СПСсхожему вопросу.

20. Сортировка списков документов

Отсутствует Сортировка по большому количе-ству критериев.

21. Фильтры документов Ограниченный на-бор фильтров

Многообразие фильтров. Возможность задать собственные параметры для фильтра и сохранить его.

22. Базовый поиск Есть Есть.23. Гибкий поиск Частично Уникальный вид поиска.24. Поиск по класси-

фикаторуОтсутствует Классификатор постепенно

сужает поисковое пространство. И на последнем уровне открывается подборка из списка документов, содержащих нужную информацию.

25. Поиск по ситуации (со словарем)

Отсутствует Огромный словарь ключевых понятий, соответствующий за-просу

26. Индивидуальный банк данных

Отсутствует Имеются специальные средства для самостоятельно создания

27. Интерфейс системы Универсальный Комфортный, удобный интерфейс.

28. Машина времени Отсутствует Имеется. Работа с редакциями документов, которые действовали в заданный период.

29. Формы документов Частично Электронные формы для огром-ного количества документов.

30. Правовая поддержка онлайн

Отсутствует Присутствует

31. Формирование архи-вов и отчетов

Отсутствует Присутствует

32. Автоматический контроль актуальности

Отсутствует Присутствует. Определяется пользователем.

33. Путеводители Отсутствуют Большой набор путеводителей.34. Соответствие дейст-

вующему законода-тельству

Не гарантируется Гарантируется.

35. Консультации Самостоятельный поиск

Автоматическое подключение. Можно быстро посмотреть разъяснения к непонятному пункту.

36. Работа с редакциями Отсутствует Присутствует (в т.ч.

Page 219: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Показатель ОПС СПСавтоматически)

Приведем сравнение ОПС и СПС при работе в конкретных ситуациях (табл. 2).

Таблица 2

Работа ОПС и СПС в конкретных ситуациях

ОПС СПС Преимущества СПС1. Работа с нормативными правовыми актами (НПА) в СПС и в Интернете

1. Почти всегда в ин-тернете вы получаете "го-лый" текст статьи. Как правило, нет возможности сразу переходить в документы, упоминаемые в нормативном акте. Необ-ходимо тратить время на дополнительный поиск таких документов.

1. СПС предоставляет все не-обходимое для полного и все-стороннего анализа. В част-ности:- Гиперссылки, позволяющие переходить как в документы, прямо указанные в нор-мативном акте, так и не указан-ные (Умные ссылки).- Примечания к документу (как к отдельным фрагментам, так и ко всему документу в целом) подготовленные специали-стами СПС, которые сообщают о важных условиях примене-ния документа.- Справка с информацией о документе: где и когда доку-менты был официально опубликован, когда была подготовлена редакция доку-мента и т.д.

1. Найденной в системе информации можно доверять, т.к. все тексты НПА под-держиваются посто-янно в актуальном состоянии, а соответ-ственно учитываются все изменения и до-полнения.

2. Трудности при работе с текстом документа: нет возможности переходить сразу к нужным фрагментам документа, искать слова по тексту; мало возможностей по со-хранению результатов ра-боты (печать документа и отдельных фрагментов, сохранения текста в нуж-ном формате (например,

2. Дополнительные удобства при работе с документом. В ча-стности:- Возможность быстрого по-иска нужных слов и словосоче-таний непосредственно в тек-сте документа.- Сохранение результатов ра-боты (печать, сохранение доку-мента в нужных форматах, ус-тановка закладок на нужных фрагментах).

2. Возможности системы позволяют всесторонне проана-лизировать найден-ную информацию без существенных затрат по времени, благо-даря гипертекстовым ссылкам и различ-ными примечаниям по тексту.

Page 220: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

ОПС СПС Преимущества СПСдля электронной книги); возможность постановки закладки именно на нуж-ном фрагменте; и т.д.).3. Нет возможности проверить актуальность документа, насколько в тексте учтены все послед-ние изменения и дополне-ния.

3. При работе с НПА в СПС Вы всегда получаете актуаль-ные тексты, в которых учтены все изменения и дополнения.

3. Работать с доку-ментами в системе очень удобно: искать нужные слова по тек-сту, печатать, сохра-нять в нужных фор-матах, ставить за-кладки и т.д.

2. Работа с авторскими материалами (научными статьями, учебниками, книгами) в Интернете и в СПС1. Почти всегда в Интер-нете вы получаете "голый" текст статьи. Нет возможности сразу переходить в документы, упоминаемые в статье. Не-обходимо тратить время на дополнительный поиск таких документов.

1. Наличие гиперссылок в тексте статьи, позво-ляющих быстро пе-реходить в указанные до-кументы и значительно экономить время.

1. Гиперссылки в тексте статьи - удобная воз-можность перейти в ука-занные документы. Не нужно делать новые за-просы и тратить лишнее время.

2. Как правило, не указаны страницы журнала, на которых размещена статья – это затрудняет воз-можность оформить ссылки на нее, например, при написании курсовых работ.

2. Справка с информа-цией о статье включает сведения о ее опубликовании, в том числе диапазон страниц, в пределах которых она была опубликована. Что очень удобно для оформления ссылки на статью.

2. Легко проверить ма-териал на соответствие действующему законода-тельству и получить на-дежную информацию.3. В Справке содержится подробная информация о публикации статьи.

3. Мало возможностей по сохранению результатов работы (печать документа и отдельных фрагментов, сохранения текста в нужном формате (напри-мер, для электронной книги); возможность по-становки закладки именно на нужном фрагменте; и т.д.).

3. Есть много удобных возможностей по сохранению результатов работы (сохранение в файл текста статьи, выбор формата файла; быстрая пересылка по электронной почте; удобный экспорт в Word как всего документа, так и отдельных его частей, и

4. Много возможностей по сохранению результа-тов работы.

Page 221: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

ОПС СПС Преимущества СПСт.д.).

Подводя итог, можно кратко выделить основные преимущества, которые

однозначно определяют справочно-правовые системы как наиболее удобные

для поиска:

1. Достоверность информации.

2. Актуальность информации.

3. Широкие возможности анализа.

4. Возможность сохранения результатов.

5. Персонификация рабочего места.

6. Наличие интеллектуальных гиперссылок.

Литература

1. Авраамов А.А., Марданова Г.А., Ястребова Е.А. Практикум для

студентов юридических и экономических специальностей вузов.

Издательство: ООО «НПП «Гарант-Сервис», Москва, 2014. – 88 с.

2. Кузнецов Л.К. Использование СПС при подготовке специалистов в об-

ласти налогообложения. – Современная налоговая система: состояние и

перспективы (национальный и международный опыт): сборник статей II

международной научно-практической конференции 30 ноября 2012 г. –

М.: Финуниверситет, 2012. С. 341-345

3. Кузнецов Л.К. Опыт использования справочно-правовых систем в

учебном процессе ВГНА. – Сборник научных статей профессорско-

преподавательского состава, аспирантов и соискателей ВГНА Минфина

России. Вып. 3. – М.: ВГНА Минфина России, 2006. С. 72-75

4. Справочная система Гарант (http://www.garant.ru/).

Page 222: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

CONCERNING TO APPLYING THE DIFFUSE AND SPECULAR

COMPONENTS OF THE COLOR IMAGE MODEL IN THE

RECONSTRUCTING THE SURFACE OF IDENTIFIED OBJECT METHOD

Isayev Andrei Borisovich

Ph. D. (Eng.), Prof. of Information Security Department,

Financial University under the Government of Russian Federation

[email protected]

Alnadfa Antoine

Post graduator

Peoples’ Friendship University of Russia

Suria, Damask

[email protected]

Ivanov Vladislav Sergeevich

Student

[email protected]

Financial University under the Government of Russian Federation

Abstract. The reconstruction algorithm of three-dimensional surface, which

describes an analytical mapping of the color image at an arbitrary point, basing on a

function of the experiment’s parameters, which is given in the article. The function

applies next parameters: vector, directed to the light source, the normal vector to the

surface, the direction to the camera, the diffuse component of the color, mirror color

component, parameter, that adjusts the width of the reflected lens hood suit. Color is

of a three-vector in the RGB. The article describes in detail the recovery operation

imposed surface, starting up with creating a lattice with the reference values and

selection of lighting and kinds of parameters. An iterative way make maximum

compliance of contours, reflections from the surface to basic image achievable.

Today exists an often-faced question of insufficient training samples in pattern

recognition problems, which influence on making a main rule. For example, in

recognition of three-dimensional objects, such as human faces, the retina, which are

Page 223: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

tied up with the fact, that the training sample provided several images. To increase

the amount of training sample and to get higher classification`s efficiency are used

methods of getting the three-dimensional surface of the face restored. The view of a

3D object`s shape is formed by taking into account several factors, which describe

the intensity of the reflected light, colors.

Mathematical model

Emanation is a value, which depends on the angle. This variable is important

by description of the light distribution in a space.

Let`s consider diffuse and specular types of light reflection.

Diffuse reflection, or B(P), is measured in W/m2. To find the surface`s diffuse

reflection at a point, it is possible to sum the emanation, leaving the surface at that

point throughout the directions` hemisphere. Therefore, if P is the point on the

surface with emanation L (P, θ, φ), then the diffuse reflectance at that point is equal

to B (P )=∫Ω

L(P ,θ , ϕ)cosθdω,

Ω is the hemisphere of coming out vectors, and the multiplier cosθ makes the surface

with the given angle in the horizontal surface.

Emanation, going in a certain direction, can be reflected only in the mirror

direction, which is obtained as the incident light`s direction`s reflection, relative to

the surface`s normal, since the emanation, that goes in a certain direction, may be

reflected in one direction.

Color of image at coordinates (x, y):

V ( x , y )=V 0+V D MN+V S [ (2 ( M·N ) N−M ) K ]n

M is means the direction to the light source, N is a normal vector to the surface,

K points the direction to the camera, n is an indicator, which adjusts the width of the

reflected lens hood suit, V D- diffusion component of the color, V S- mirror color

component. Color is a three-vector C = (cR, cG, cB) in the RGB.

All the further constructions use lighting model that defines the correspondence

of color to shape of the surface. Normal vectors form the shape of the surface.

Page 224: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Surface reconstruction algorithm.

An initial step is forming a table with basic values. The table transforms into a

smooth surface. Initially, the table is not symmetrical and forms only half of the face,

what makes the final surface symmetrically expanded. Lighting parameters and

specific parameters are selected manually. For this, the surface and the original image

are projected, including the placing of light source. To determine the parameters of

the material from the image, pixels are allocated in the center, on the border

highlights and in the least light.

Further, the basic points are shifted due to the way, which provides the best

contours` combination of the original image and the obtained for the surface. This

point is carried out in two stages. The first stage is shifting all points, according to

modification of control volume, which is defined by six points. Then stays a

matching of the contours and surface`s reflections, that improves the image by

moving the individual basic points.

Degree of similarity increases with the number of images, used to construct

three-dimensional surface. This allows the generation of a new image by

transforming the constructed three-dimensional surface.

List of references

1. B. Horn. Robot vision // M., Mir, 1989

2. F. Forsyth, J. Ponce. Computer vision // Publishing house "Williams", 2003

3. 3. L. Shapiro, J. Stockman. Computer vision // M, Bean, 2006

ЭПОХА ИНТЕРНЕТ-МАРКЕТИНГА

Семёнова Ольга Михайловна

Студентка 5 курс

Башкирский Государственный Университет

Россия, г.Уфа

Semenova .13@ mail . ru

Page 225: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Аннотация

Статья посвящена электронному бизнесу, в частности Интернет-

маркетингу. Показана динамика развития рынка электронной коммерции.

Также выделяются и описываются особенности и преимущества использования

Интернет-маркетинга по сравнению с маркетингом, основанным на

традиционных технологиях. Обосновывается мысль о том, что развитие

информационных технологий, появление и бурный рост электронной

коммерции стали основой для появления Интернет-маркетинга. Даются

характеристики Интернет-маркетинга определяющие его эффективность,

востребованность и диффузию.

Электронный бизнес; электронная коммерция; Интернет-маркетинг;

медиамаркетинг; трансакционные и трансформационные издержки.

Статья

Считается, что рождение Интернета произошло в США в конце 60-х

годов из проекта сети с коммутацией пакетов ARPANET (Advanced Research

Project Agency Network) [3]. Изначально Интернет создавался с целью

обеспечения взаимодействия удаленных компьютеров и задумывался как

децентрализованная территориально распределенная сеть с множеством

альтернативных точек хранения и путей распространения информации.

Предполагалось, что это позволит обеспечить надежное взаимодействие

компьютеров Министерства обороны США даже в случае, если часть сети

выйдет из строя вследствие военных действий, например, ядерных взрывов.

Первая компьютерная сеть появилась в 1970 г. Она была названа в честь

«породившей» ее организации ARPANET и связывала университеты в Лос-

Анджелесе и Санта-Барбаре (штат Калифорния) со Стэндфордским

университетом и Университетом штата Юта в Солт-Лейк-Сити. В результате,

уже к 1972 г. более сорока компьютерных центров могли обмениваться между

собой электронной почтой, осуществлять сеансы работы с удаленными на

Page 226: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

несколько сотен километров машинами и передавать файлы с данными [3]. На

рис. 1 показана карта сети ARPANET по состоянию на сентябрь 1971 г.

Рисунок 1. Карта сети ARPANET по состоянию на сентябрь 1971 г. [3].

По данным опроса Всероссийского центра изучения общественного

мнения (ВЦИОМ), проведенного 4-5 октября 2014 г., интернетом пользуются

66% граждан России от 18 лет и старше или 76,3 млн. человек. Ежедневно

выходят в Сеть – 46% или 53,6 млн. взрослых россиян. Доля пользователей,

которые выходят в глобальную Сеть каждый день или несколько раз в неделю,

более 80%. Годовой прирост интернет - пользователей составил 9%, а для

суточной аудитории данный показатель равен 12% [1].

Цели использования Интернета различны – от развлечения, образования,

осуществление покупок, поиска новой информации различного характера до

ведения бизнеса. Компании могут использовать Интернет в качестве

дополнения к собственному традиционному бизнесу или же полностью

выстроить свой бизнес во Всемирной Сети.

Существует много определений понятия электронного бизнеса. На наш

взгляд, наиболее корректно такое определение электронного бизнеса, которое

раскрывает его как всякую деятельность, использующую возможности

глобальных информационных сетей для ведения коммерческой деятельности.

Важнейшим составным элементом электронного бизнеса является

электронная коммерция. Под электронной коммерцией понимают любые виды

сделок, при которых взаимодействие сторон осуществляется электронным

Page 227: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

способом [4]. Она позволяет компаниям более полно взаимодействовать с

поставщиками и быстрее реагировать на запросы и ожидания заказчиков.

Компании получают возможность выбора поставщиков независимо от

географического расположения, а также возможность выхода на глобальный

рынок со своими товарами и услугами.

В настоящее время наиболее востребованным сегментом в сфере

электронной коммерции является трансграничная онлайн-торговля. Об этом

свидетельствуют, например, прогнозы компании Morgan Stanley, к 2015 г.

объем рынка электронной коммерции в России достигнет 36 млрд. долл., при

этом его доля вырастет до 4,5% [2].

Аналитики компании BayRu (доставка товаров из интернет-магазинов

США) дают прогнозы на 2015 г., согласно которым объем российского рынка

зарубежных онлайн-покупок вырастет в четыре раза: с 700 млн. до 3 млрд.

долл. Причем доля иностранного шопинга увеличится вдвое — до 10% от

общего объема. И этот сегмент электронной торговли будет ежегодно

увеличиваться в среднем на 55% [4].

Несмотря на то, что обзоры и прогнозы развития рынка электронной

коммерции по разным источникам несколько отличаются друг от друга, тем не

менее, общая картина демонстрирует активное развитие электронной

коммерции и, особенно, ее иностранного сектора.

Развитие информационных технологий, Интернета, появление и бурный

рост электронной коммерции стали основой для появления нового направления

в современной концепции маркетинга взаимодействия – Интернет-маркетинга.

Интернет-маркетинг – это теория и методология организации маркетинга

в гипермедийной среде Интернета [3].

Огромные возможности в организации информационного взаимодействия

между компаниями, заказчиками и партнерами, уникальный охват аудитории и

быстродействие при продвижении и продаже товаров, удобство и доступность

при организации сервисного обслуживания делает Интернет просто бесценным

коммерческим инструментом, что обусловливает актуальность данной работы.

Page 228: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Использование Интернета вносит новые особенности и преимущества по

сравнению с маркетингом, основанным на традиционных технологиях. Вот

некоторые из них:

1. Ключевая роль переходит от производителей к потребителям.

Интернет сделал реальностью для компаний возможность привлечь

внимание нового клиента всего за десятки секунд, проведенных им перед

экраном компьютера. Однако в то же время он дал возможность тому же

пользователю за несколько щелчков мыши перейти к любому из конкурентов.

В такой ситуации внимание покупателей становится самой большой

ценностью, а установленные взаимоотношения с клиентами – главным

капиталом компаний.

2. Глобализация деятельности и снижение трансакционных издержек.

Интернет значительно изменяет пространственный и временной

масштабы ведения коммерции. Он является глобальным средством

коммуникации, не имеющим каких-либо территориальных ограничений, при

этом стоимость доступа к информации не зависит от удаленности от нее, в

противоположность традиционным средствам, где эта зависимость прямо

пропорциональна. Таким образом, электронная коммерция позволяет даже

самым мелким поставщикам достигать глобального присутствия и заниматься

бизнесом в мировом масштабе. Соответственно, заказчики также получают

возможность глобального выбора из всех потенциальных поставщиков,

предлагающих требуемые товары или услуги независимо от географического

расположения. Расстояние между продавцом и покупателем имеет значение

лишь с точки зрения транспортных издержек уже на этапе доставки товаров.

Временной масштаб в среде Интернета также заметно отличается от

обычного. Высокая эффективность коммуникативных свойств Интернета

обеспечивает возможность сокращения времени на поиск партнеров, принятие

решений, заключение сделок и т. д. Информация и услуги в Интернете

доступны круглосуточно. Кроме того, его коммуникативные характеристики

обладает высокой гибкостью, позволяющей легко производить изменения

Page 229: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

представленной информации, и, тем самым, поддерживать ее актуальность без

временной задержки и затрат на распространение.

Обозначенные эффекты также приводят к значительному сокращению

трансакционных издержек, то есть издержек, связанных с налаживанием и

поддержанием взаимодействия между компанией, ее заказчиками и

поставщиками. При этом стоимость коммуникаций, по сравнению с

традиционными средствами, становится минимальной, а их функциональность

и масштабируемость значительно возрастают.

Таким образом, для компаний, чьи товары продаются в Интернете,

больше не нужны продавцы за прилавками и кассиры, покупатель

самостоятельно выберет все, что ему необходимо и оплатит без чьей-либо

помощи.

3. Персонализация взаимодействия.

Используя средства электронного взаимодействия, компании могут

получать подробную информацию о запросах каждого индивидуального

заказчика и автоматически предоставлять продукты и услуги, соответствующие

индивидуальным требованиям. Одним из простых примеров может служить

персональное представление web-сайта для каждого из клиентов или партнеров

компании.

4.Постоянный доступ покупателей к вашему товару.

Любой потенциальный потребитель может, используя Интернет,

получить информацию о товаре, а также купить его в любой момент времени.

Хотя, если там не будет информации об одном товаре, или он её не найдёт, то,

скорее всего он приобретёт другой товар у конкурента.

5. Интернет-маркетинг дает чёткую статистическую картину

эффективности маркетинговой кампании в отличие от традиционных

маркетинговых методов продвижения.

Существуют точные методы отслеживания действенности рекламной

кампании в Интернете, среди которых и количество посетителей на вашем

Page 230: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

сайте, и количество просмотров отдельных товаров, и количество покупок и

т.д.

6.Очень быстрый рост Интернет-маркетинга в сравнении с другими

видами медиамаркетинга (печатными, радио и телевидением), что

подтверждается данными статистических исследований [2].

Кроме преимуществ существуют некоторые ограничения и особенности

использования Интернета в маркетинговой деятельности:

1) устойчивое конкурирующее преимущество не может быть получено

исключительно из доступа к Интернету или разработки web-сайта.

Поскольку постоянно увеличивающееся число фирм приобретает

необходимые знания, квалификацию и технологию, чтобы соединиться с

Интернетом, конкурирующее преимущество не может быть достигнуто лишь с

помощью стандартных способов, в которых эта технология развивается. То

есть, так как число предприятий, разрабатывающих свои web-сайты, растет с

каждым днем, простое владение подобной торговой площадкой уже

недостаточно для успешной торговли;

2) маркетинговые проблемы предприятия не могут быть решены на

основании доступа в Интернет.

Например, фирмы, не занимающиеся экспортом, не могут стать

экспортерами внезапно, на основании разработки и сохранения Web-сайтов.

Разработка специфической для экспорта инфраструктуры в пределах фирмы

является довольно дорогостоящей. Кроме того, маркетинг экспорта включает

множество макро- и микро ограничений, связанных с планированием и

управлением, включая стандарты для конкретных изделий (программ,

продуктов), целевой тарификации рынка и факторов конкуренции, экспортной

валюты и проблем платежа, поддержки заказчика и сервисных требований,

юридических и регулирующих ограничений и т.д. [3]. Ни одна из этих проблем

не может быть решена на основании наличия web-страницы или доступа в

Интернет;

Page 231: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

3) большое значение имеет проблема защиты безопасности связи через

Интернет.

Защита (безопасность) данных останется одним из основных вопросов

для любой фирмы, которая хочет интегрировать Интернет в бизнес. Как только

появляется решение проблемы безопасности, сразу же разрабатываются новые

способы проникновения и декодирования переданных данных и защита

последних остается нерешенной проблемой для предприятия. Как для

компаний, так и для потребителей, участвующих в онлайн-бизнесе, вопросы

безопасности очень важны. Многие потребители боятся делать покупки в

интернете, так как не уверены, что их персональная информация останется

конфиденциальной;

4) если у потребителя медленное интернет - соединение, это приводит к

затруднению в использовании в рекламе анимированных роликов,

презентационных фильмов и высококачественной графики, хотя, в принципе,

проблема со скоростью — это вопрос времени, с каждым днем «медленных»

пользователей становится все меньше;

5) Интернет-маркетинг не дает возможность потребителю опробовать

товар до того, как сделать покупку.

Большинство потребителей решают эту проблему просто. Они знакомятся

с интересующим их товаром в обычном магазине, а покупку совершают в

интернет-магазине. Проблема отсутствия возможности у покупателя

«потрогать» товар также может решаться иными способами, например,

некоторые владельцы интернет магазинов используют фотографии товара

высокого качества и разрешения, стараясь передать в изображениях все детали

и особенности своей продукции. Набирает популярность и использование

специальной фото-техники для оцифровки снимков товара в формате 3D

(объемное изображение), дающее посетителю интернет - магазина рассмотреть

товар со всех ракурсов.

Можно утверждать, что сегодня сложно найти крупное предприятие,

которое не продвигает себя в сети Интернет. Тенденции роста можно легко

Page 232: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

увидеть и по постоянному расширению торговых интернет-площадок, и по

росту их количества. Торговые онлайн-площадки уже давно перестали быть

досками объявлений, из которых они и выросли. Сегодня некоторые из них

превратились в крупные корпорации, предоставляющие целый ряд

маркетинговых услуг. Растут и цены за участие на таких площадках (имеется в

виду привилегированное членство), несмотря на то, что количество их

увеличивается.

Обобщая вышесказанное, отметим, что развитие информационных

технологий, появление и бурный рост электронной коммерции стали основой

для появления нового направления в современной концепции маркетинга

взаимодействия — Интернет-маркетинга. Отличительными особенностями

эпохи Интернет-маркетинга являются глобализация сфер деятельности;

окончательный переход ключевой роли от производителей к потребителям;

персонализация взаимодействия; снижение трансакционных и

трансформационных издержек; постоянный доступ покупателей к товару

производителя; чёткая статистическая картина эффективности маркетинговой

кампании; быстрый рост в сравнении с другими видами медиамаркетинга

(печатными, радио и телевидением). Именно данные характеристики Интернет-

маркетинга определяют его эффективность, востребованность и диффузию.

Список использованной литературы:

1.Всероссийский Центр Изучения Общественного Мнения (ВЦИОМ)

[Электронный ресурс]. URL: http://wciom.ru/169/ (дата обращения:

15.11.2014).

2.Прогнозы рынка российской онлайн-торговли от Morgan Stanley.

[Электронный ресурс]. URL: http :// www . shopolog . ru / news / prognozy - rynka -

rossijskoj - onlajn - torgovli - ot - morgan - stanley (дата обращения: 15.11.2014).

3.Успенский И.В. Основы Интернет-маркетинга: учебник. - СПб.: СПГУЭиФ,

2013. [Электронный ресурс]. URL: http://www.aup.ru/books/m80/1.htm

(дата обращения: 15.11.2014).

Page 233: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

4.Электронная коммерция в России — обзор рынка и прогнозы [Электронный

ресурс]. URL: http://box.opentao.net/box-support/ecommerce (дата

обращения: 15.11.2014).

ИССЛЕДОВАНИЕ ПРИМИТИВНОСТИ ЦИКЛИЧЕСКИХ МАТРИЦ

Авезова Яна Эдуардовна

аспиратнка 1 года обучения

НИЯУ МИФИ

Россия, г. Москва

[email protected]

Бурмистров Роман Валерьевич

студент 4 курса

НИЯУ МИФИ

Россия, г. Москва

[email protected]

Аннотация

Работа посвящена исследованию примитивности композиций функций,

перемешивающие матрицы которых представляют собой циркулянты.

Исследование условий примитивности циклических матриц авторы полагают

перспективным в связи с простотой реализации и хранения таких матриц. Для

задания циклической матрицы достаточно знания порождающего вектора ―

первой строки, остальные строки получаются поэлементным циклическим

сдвигом.

Для определения условий примитивности композиции функций, в

частности длины композиции, при которой достигается свойство

совершенности, используется матрично-графовый подход.

В работе выделены комбинаторные свойства циклических матриц,

важные для исследования примитивности, в частности циркулянты

рассмотрены как матрицы смежности перемешивающего графа. Доказаны

Page 234: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

условия примитивности преобразований, перемешивающие матрицы которых

представляют собой циркулянты, а также условия примитивности функции,

заданной композицией отображений, некоторые из которых имеют

циклические перемешивающие матрицы как левого, так и правого сдвигов.

Результаты содержат оценки экспонентов циркулянтов, представляющие

собой уточненные оценки экспонентов перемешивающих матриц общего вида,

и могут быть учтены при анализе и синтезе итеративных блочных шифров и

криптографических генераторов. Дальнейшие исследования целесообразно

проводить с целью поиска критерия примитивности циркулянта и системы

разноразмерных матриц, содержащей циркулянты.

Ключевые слова: перемешивание, примитивность, циклическая матрица,

циркулянт, экспонент.

Введение

Правым (левым) циркулянтом порядка n называется матрица порядка n, у

которой каждая последующая строка получается из предыдущей циклическим

сдвигом ее элементов на один шаг вправо (влево) [1]. Другое название

циркулянта — циклическая матрица.

Циркулянты обладают многими интересными комбинаторными

свойствами. Они широко распространены не только в комбинаторных

исследованиях, но встречаются и в различного рода приложениях, в том числе в

теории информации (кодирование), и в физике при изучении динамических

систем и кристаллических структур.

Рассмотрим циркулянт как перемешивающую матрицу отображения

и исследуем перемешивающие свойства отображения , в

частности определим условия, при которых циркулянт является примитивной

матрицей.

Комбинаторика циркулянтов

Page 235: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Очевидно, что для задания циркулянта необходимо знание элементов

всего одной его строки. Пусть есть циркулянт порядка n с первой

строкой . Матрица A называется циркулянтом, порожденным

вектором , который, в свою очередь, называется порождающим

вектором соответствующего циркулянта.

Будем рассматривать левые (правые) циркулянты, порожденные

неотрицательным вектором , т. е. вектором, координаты которого

— действительные неотрицательные числа. Его носителем назовем вектор

, состоящий из нулей и единиц, где

(1)

Аналогичным образом определяется носитель неотрицательной матрицы.

Многие комбинаторные свойства не только циклических, но и

неотрицательных матриц вообще, полностью отражаются соответствующими

свойствами их носителей, поэтому в дальнейшем, если иное не оговорено,

будем рассматривать носители матриц.

Определение 1. Под весом порождающего вектора циркулянта будем

понимать количество единиц в нем. Обозначим вес порождающего вектора .

Замечание 1. Веса всех строк и столбцов левого (правого) циркулянта

совпадают.

Элементарные свойства циркулянтов

Пусть есть правый циркулянт порядка n с порождающим

вектором :

Page 236: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

(2)

Заметим, что , (сложение в индексах производится по

модулю n).

Пусть есть левый циркулянт порядка n с порождающим вектором

:

(3)

Замечание 2. Левый циркулянт является симметричной матрицей, т.е.

.

Замечание 3. Левый циркулянт перестановкой строк приводится к

правому циркулянту, т.е. , где L — подстановочная матрица порядка n,

имеющая вид:

(4)

При изучении правых циркулянтов существенную роль играет следующая

подстановочная матрица порядка n:

Page 237: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

. (5)

Если А — правый циркулянт порядка n с порождающим вектором

, то для матрицы R из (5) справедливо соотношение:

. (6)

Периодом циркулянта A называется такое наименьшее положительное

число m, для которого циклический сдвиг влево (вправо) на m шагов координат

порождающего вектора оставляет этот вектор без изменения. Очевидно, что

период есть делитель порядка циркулянта n и либо совпадает с n, либо не

превосходит .

В [1] доказана следующая теорема.

Теорема 1. Пусть циркулянт порядка n имеет период m. Тогда

, где , а D — циркулянт порядка m с периодом, равным

также m.

Таким образом, изучение циркулянтов в значительной степени сводится к

рассмотрению циркулянтов, период которых совпадает с их порядком.

Циркулянт как матрица смежности орграфа

Пусть — помеченный орграф с n вершинами . Матрицей

смежности орграфа называется (0, 1)-матрица порядка n, в

которой

(7)

Утверждение 1.1. Граф , матрица смежности A которого есть

циркулянт, является псевдосимметрическим. Если A — левый циркулянт, то

— симметрический граф.

Page 238: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Доказательство. Следует непосредственно из замечаний 1 и 2. ∎Замечание 4. Если в орграфе есть путь из вершины i в вершину k, а из

вершины k есть путь в вершину j, то в орграфе существует путь из вершины i в

вершину j.

Лемма 1. Пусть левый циркулянт A является матрицей смежности графа

. Тогда, если в есть путь из вершины v в вершину u, то в есть путь из

вершины u в вершину v.

Доказательство. Граф симметрический (утверждение 1).

Следовательно, наличие в графе дуги из вершины i в вершину j означает

наличие дуги из вершины j в вершину i. Следовательно, путь из вершины v в

вершину u, лежащий через некоторое количество r вершин, означает наличие

пути из вершины u в вершину v, проходящего через эти же r вершин. ∎Утверждение 1.2. Пусть левый циркулянт A является матрицей

смежности графа . Если из некоторой вершины в существует путь во все

остальные вершины, то сильно связный.

Доказательство. По лемме 1, если в существует путь из вершины v во

все остальные вершин, то существует путь из любой из этих

вершин в вершину v. Следовательно, из любой из этих вершин

существует путь в любую вершину графа (замечание 4). ∎Определение 2. Циркулянт называется сильно связным, если он является

матрицей смежности сильно связного орграфа.

Примитивность циркулянтов

Рассмотрим условие примитивности циркулянта с порождающим

вектором . Ограничимся рассмотрением только циркулянтов с

максимальным периодом (равным n). Целесообразность такого ограничения

обусловлена теоремой 1 (см. предыдущий раздел). Отметим, что если вес

порождающего вектора равен 1, то циркулянт, порожденный таким вектором,

представляет собой перестановочную матрицу в некоторой степени, и не

Page 239: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

является примитивным, поэтому в дальнейшем будем рассматривать

циркулянты с порождающим вектором веса не меньше 2.

Определение 3. Назовем циркулянт с периодом, равным n, и

порождающим вектором веса не меньше 2 позитивным циркулянтом.

Условия примитивности правых циркулянтов

Утверждение 2.1. Пусть — позитивный правый циркулянт

порядка n. Если n простое, то А примитивна.

Доказательство. А представляет собой сумму подстановочных матриц.

Перемешивающие графы подстановочной матрицы простого порядка в

некоторой степени представляют собой гамильтоновы контуры.

Следовательно, перемешивающий граф матрицы А содержит цикл длины n и

является сильно связным. Так как n простое, то длины всех циклов графа

взаимно просты. Следовательно, матрица А является примитивной.

Утверждение 2.2. Пусть — позитивный правый циркулянт с

порождающим вектором таким, что , и существует хотя бы

одно такое, что , . Тогда А примитивна, и

.

Доказательство. Поскольку существует хотя бы одно ,

, то . Если , то представляет собой

гамильтонов контур, а в общем случае — гамильтонов граф. Таким

образом, сильно связный. Если же , то для всех . Это

означает, что содержит n петель. Следовательно, матрица А примитивна.

Из [2] известно, что если примитивная матрица А имеет положительную

главную диагональ, то .

Условия примитивности левых циркулянтов

Page 240: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Утверждение 2.3. Пусть — позитивный сильно связный левый

циркулянт. Если в графе есть цикл нечетной длины, то А примитивна.

Доказательство. Поскольку симметрический (утверждение 1), в

нем есть цикл длины 2. Следовательно, НОД длин всех циклов равен 1.

Утверждение 2.4. Позитивный сильно связный левый циркулянт

нечетного порядка примитивен, .

Доказательство. Порождающий вектор циркулянта в условиях

утверждения имеет вид . Элементы, стоящие на главной

диагонали, представляют собой последовательность

— все элементы порождающего вектора. Так как циркулянт

позитивный, порождающий вектор (а, следовательно, и главная диагональ)

содержит, как минимум, 2 единицы, что равносильно наличию в графе не

менее двух петель. Следовательно, НОД длин всех циклов равен 1. По

известной из [2] оценке, если матрица A имеет не менее положительных

элементов на главной диагонали, то .

Примитивность систем разноразмерных матриц, содержащих

циркулянты

Примитивность систем матриц разного размера впервые рассмотрена в

[3, 4]. В частности, новое понятие позволило исследовать перемешивающие

свойства цикловой функции СБШ DES. В данной работе исследуем

примитивность системы разноразмерных матриц (СРМ), содержащих

циркулянты.

Рассмотрим систему разноразмерных матриц . Пусть

известно, что среди матриц этой системы есть циклические матрицы

(необязательно все). Если хотя бы про одну из них известно, что она

примитивна, то СРМ также примитивна, поэтому будем считать, что все

циклические матрицы СРМ непримитивны. Возможны случаи:

Page 241: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

а) в СРМ есть циркулянт(ы) только левого сдвига;

б) в СРМ есть циркулянт(ы) только правого сдвига;

в) в СРМ есть циркулянты левого и правого сдвигов.

Утверждение 3.1. Пусть А и В — циклические матрицы порядка n. Тогда:

а) если А — левый циркулянт, В — правый циркулянт, то АВ — левый

циркулянт;

б) если А — правый циркулянт, В — левый циркулянт, то АВ — левый

циркулянт;

в) если А и В — правые циркулянты, то АВ — правый циркулянт;

г) если А и В — левые циркулянты, то АВ — правый циркулянт.

Утверждение 3.2. Пусть — левый (правый) циркулянт. Тогда

— правый циркулянт, если n четно, и — левый (правый) циркулянт, если n

нечетно,

Доказательство.

Заметим, что главная диагональ в состоит из единиц, а также что

. Таким образом, первая строка матрицы есть

, вторая строка

, что является сдвинутой на один шаг право первой строкой.

Аналогично показывается, что строка с номером получается сдвигом

вправо на одну позицию строки с номером i, , т.е. — правый

циркулянт.

Пусть — правый циркулянт. Тогда —

правый циркулянт (пункт в утверждения 3.1).

Случай, когда — правый циркулянт, доказывается аналогично.

Пусть теперь , т.е. n нечетно. Тогда , где

— правый циркулянт. Рассмотрим возможные варианты:

Page 242: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

а) если А — левый циркулянт

— произведение левого и правого циркулянтов, т.е.

— левый циркулянт (пункты а и утверждения 3.1);

б) если А — правый циркулянт

— произведение двух правых циркулянтов, т.е. —

правый циркулянт (пункт в утверждения 3.1).

Утверждение 3.3. Пусть среди матриц СРМ есть А — циркулянт порядка

n с порождающим вектором веса p, , и В — произвольная матрица

размера , вес каждого столбца (строки) которой превышает . Тогда

СРМ примитивна.

Доказательство. В каждой строке циркулянта А есть p единиц и

нулей. Пусть вес каждого столбца матрицы B превышает . В i-ой строке

матрицы А и в j-ом столбце матрицы B найдется хотя бы одна позиция, на

которой одновременно стоят единицы. Таким образом, . В случае, если в

В вес каждой строки превышает аналогичные размышления приводят к

выводу, что .

Следствие. Если среди матриц СРМ есть циркулянты А и B с весами

порождающих векторов p и соответственно, , , то СРМ

примитивна.

Список использованных источников

1 Сачков В.Н. Комбинаторика неотрицательных матриц / В.Н. Сачков,

В.Е. Тараканов. — М.: ТВП, 2000. — 448 с.

2 Когос К.Г. Положительные свойства неотрицательных матриц / К.Г.

Когос, В.М. Фомичев // Прикладная дискретная математика. — 2012.

— 4(18). — С. 116-121.

3 Когос К.Г. Дипломный проект «Перемешивающие свойства

криптографических функций». — НИЯУ МИФИ, 2012. — 40 с.

Page 243: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

4 Авезова Я.Э. Дипломный проект «Развитие матрично-графового

аппарата для исследования перемешивающих свойств итеративных

блочных шифров и криптографических генераторов». — НИЯУ

МИФИ, 2014. — 55 с.

ПРИНЦИПЫ ПОСТРОЕНИЯ ПЕРСПЕКТИВНЫХ БЦВК

Боташев Альберт Рашидович

Студент

Финансовый университет при Правительстве РФ

Россия, г. Москва

Vismark 47@ hotmail . com

Аннотация

Рассматриваются принципы построения перспективных БЦВК на базе

высоко интегрированных модульных бортовых средств обработки информации

на основе высокоскоростных сетевых интерфейсов, обеспечивающих

совершенно новые качества и характеристики (масштабируемость,

реконфигурируемость, надежность, стойкость, повышенную

производительность и пропускную способность). Проводится анализ

воздействия ЭМИ на каналы передачи данных современных БЦВК.

Ключевые слова: бортовой цифровой вычислительный комплекс,

высокоскоростной сетевой интерфейс, интегрированные модульные бортовые

средства, электромагнитное воздействие.

Введение

Развитие бортовых цифровых вычислительных комплексов (БЦВК)

характеризуется постоянным увеличением числа решаемых задач и

повышением их сложности, расширением интеллектуальных и адаптивных

возможностей комплекса. Современные БЦВК, являющиеся ядром систем

управления и контроля, все в большей степени оснащаются электронными

Page 244: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

элементами, чувствительными к электромагнитным воздействиям. Повышение

степени интеграции элементной базы электроники, и, как следствие, снижение

электрической прочности отдельных компонентов аппаратуры приводит к

снижению устойчивости БЦВК к воздействию электромагнитных факторов

различного происхождения. Наиболее характерными примерами проявлений

деструктивных воздействий электромагнитных импульсов (ЭМИ) на элементы

и узлы БЦВК могут быть такие явления, как сбои в каналах связи, потери

информации в бортовых сетях, отказы всей системы контроля и управления

подвижным комплексом и т.п.

Анализ существующих подходов к оценке воздействия электромагнитных

импульсов на подсистемы БЦВК показал необходимость разработки новых

расчетных моделей оценки воздействия ЭМИ на элементы и узлы БЦВК с

возможностью их интеграции в рамках единого комплекса, позволяющего

проводить интеллектуальный анализ и оценку параметров искажений

информационного потока в системе для предотвращения деструктивного

действия ЭМИ на БЦВК [1].

Для достижения поставленной цели предлагается использовать подход,

при котором проводится анализ модели БЦВК. Данная модель строится на базе

спецификаций, описывающих конфигурацию бортовой сети (топологию,

каналы передачи данных, состав программного обеспечения и аппаратных

средств). На этапе проектирования БЦВК спецификации формируются

проектировщиком, на этапе эксплуатации в автоматическом режиме при

помощи программных агентов, функционирующих на узлах БЦВК [2].

Особенное внимание при анализе модели БЦВК необходимо уделить

каналам передачи данных, которые обеспечивают требуемые характеристики и

необходимую динамическую модификацию архитектуры БЦВК в целом при

воздействии деструктивных ЭМИ. Также каналы передачи данных определяют

пропускную способность для обеспечения межпроцессорных соединений.

Например, системы с распределенной памятью требуют обеспечения

Page 245: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

взаимодействия и организации связей с чрезвычайно малыми временными

задержками.

При выборе организации перспективной бортовой сетевой магистрали,

рассчитанной на эксплуатацию в "жестких" условиях реального времени,

необходимо принимать во внимание следующие требования к ее

функциональным характеристикам, которые должны обеспечивать:

нечувствительность в широком диапазоне к длинам соединений при

передаче информации, а также отказоустойчивость и ремонтопригодность

применяемых топологий физической среды;

поддержку последовательных и параллельных физических систем

связей, реализуемых с малым числом физических контактных соединений;

поддержку различных топологий физической среды на основе

распределенных и централизованных переключательных модулей,

электрических и оптических реализации физической среды;

поддержку специализированных ("жестких") условий эксплуатации

системы;

поддержку высокой технической скорости передачи данных и малого

времени задержки;

парадигмы передачи сообщений сетевого характера и передачи

данных в общей распределенной между процессорными модулями памяти;

масштабируемость и наращиваемость вычислительных характеристик

в системах;

поддержку функционирования в режиме реального времени;

формирования изохронных видеоизображений;

низкую стоимость/эффективность масштабируемых вычислительных

средств в широком смысле слова.

1. Структура и характеристики современных БЦВК

Развитие БЦВК характеризуется постоянным повышением сложности

решаемых задач. При этом большая часть реализуемых задач (60-70%)

приходится на традиционные, претерпевающие эволюционное изменение

Page 246: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

алгоритмы обработки информации в интересах задач навигации, связи,

опознавания, управления оборудованием контроля, отображения информации и

т.д. Таким образом, задачи данной группы не предъявляют каких либо

специфических требований к быстродействию и памяти бортовых ЦВМ с

универсальной архитектурой общего назначения (БЦВМ-ОН) [3].

Кроме традиционных задач, реализуемых БЦВК с универсальной

архитектурой, также должны решаться задачи, требующие повышенной

надежности (задачи управления двигательной установкой, системой

энергоснабжения и т.д.), а также задачи, требующие повышенного

быстродействия (обработки сигналов и изображений) и задачи с нечеткой

формализацией исходных условий.

К слабо формализуемым задачам можно отнести задачи распознавания,

распределения ресурсов, задачи нечеткого управления, которые в принципе

могут решаться с использованием методов искусственного интеллекта.

В общем случае структуру современных БЦВК образуют четыре

вычислительных системы (ВС), различающиеся своими ресурсами. ВС

комплексной обработки, обеспечивающая решение основных задач, ВС

обработки сигналов, ВС интеллектуальной обработки, накопления знаний и

принятия решений и высоконадежная ВС, обеспечивающая решение

общесистемных задач (рисунок 1). Задачи комплексной обработки реализуются

на БЦВМ-ОН, которые принципиально могут объединяться в вычислительную

среду. Для обработки сигналов необходимы БЦВМ-ОС, которые также могут

быть объединены в вычислительную среду. Решение задач обработки,

накопления знаний и принятия на этой основе оптимальных решений может

потребовать как БЦВМ общего назначения, так и специализированных. Для

решения общесистемных задач требуются БЦВМ с высокой степенью

надежности. Первые три ВС имеют сетевую организацию и могут быть

реализованы как интегрированная вычислительная среда (ИВС) [3].

Kонфигурацией структуры БЦВК управляет ВС интеллектуальной обработки,

объединяющая ресурсы ИВС в единый ресурс.

Page 247: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Рис .1 Структура современного БЦВК

Интегральный анализ требований к характеристикам современных БЦВК

показывает, что быстродействие ЭВМ-ОН составляет порядка 20-25 млн.

опер./c, а емкость ЗУ соответственно 32-64 Мбайта. Специализированные

вычислительные средства первичной обработки информации обладают

быстродействием, величина которого не менее 1000 млн. опер./с. Особо следует

отметить возросшие требований к характеристикам каналов передачи данных и

управления. На системном уровне величина трафика составляет не менее 10

Мбит/c, а на уровне первичной обработки информации не менее 2 Гбит/c.

Для взаимодействия ИВС с подсистемами нижнего уровня, как правило,

используется низкоскоростной мультиплексный канал по ГОСТ 26765.52 87

или его развитие ГОСТ Р50832-95. Кроме того, в составе БЦВК функционирует

переключательная сеть, обеспечивающая связь датчиков со средствами

обработки сигналов. Для управления датчиками и для связи с другими

системами используется мультиплексный канал по ГОСТ 25765.52 87/ГОСТ Р

50832-95 (рисунок 2).

Page 248: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Рис. 2 Пример структурной организации многомашинной БЦВК

2. Организация систем информационного обмена современных БЦВК

В настоящее время для построения БЦВК (в том числе и с архитектурой

ИВС) использовуются следующие связные платформы, образующие систему

информационного обмена [3]:

VMEbus, с возможным переходом на CPCIbus (CompactPCI) в качестве

внутрисистемных межмодульных магистралей;

последовательные цифровые интерфейсы по ГОСТ 26765.52-87 (аналог

стандарта MIL-STD-1553B) и ГОСТ Р 50832-95 (аналог технологии передачи

данных STANAG 3910) в качестве межсистемных с последующим переходом в

перспективе к интерфейсам, использующим сетевые принципы

информационного обмена (типа FC-AE, AS4074, AS4075 и т.д.);

SCSI в качестве системного периферийного интерфейса;

STANAG 3350 с возможным переходом на цифровую коммутационную

технологию обмена "точка-точка" FC-SF (или Fire wire);

RS-XXX (-232C, -422, -423, -449, -485) в качестве технологических

интерфейсов.

Page 249: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Для объединения элементов современных БЦВК используются

стандартные цифровые соединения на основе специализированных технологий

информационного обмена с использованием централизованного или

децентрализованного методов доступа (MIL-STD-1553B, STANAG3910,

AS4074, AS4075).

Архитектурная организации управления современными БЦВК включает

четыре иерархических уровня:

общесистемный уровень;

уровень взаимосвязанных функциональных подсистем;

уровень датчиков и исполнительных органов.

Регламентируемые концепции информационной архитектуры задают

уровни и характер информационных связей (интерфейсов) между общими

модулями внутри БЦВК (внутриобъектовые межсистемные связи):

высокоскоростные локальные информационные связи между

информационными датчиками и модулями специализированных процессоров;

межмодульный (региональный) интерфейс, обеспечивающий

соединения общих модулей между собой в пределах одной функциональной

подсистемы или элемента обработки информации БЦВК;

межсистемные (глобальные внутриобъектовые) соединения,

обеспечивающие взаимные связи в пределах объекта.

3. Требования к стойкости каналов передачи данных БЦВК

Повышение скорости передачи данных обуславливает необходимость

отказа от единого физического моноканала и переход к использованию

локальных физических связей типа "точка-точка", а также повсеместного

использования синхронных принципов передачи данных для обеспечения

минимальных временных задержек и оптимальных параметров передаваемых

сигналов в среде [3].

Общее требование к отказоустойчивости связей заключается в том, что

отказы соединений должны иметь высокую вероятность обнаружения и

локализации, при этом никакой единичный отказ не должен отключать целое

Page 250: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

соединение (в некоторых случаях может быть недопустимо потерять целую

секцию соединений). В общем случае, это требует введения избыточных связей

и некоторой организации парирования отказов. Сетевая магистраль должна

поддерживать простые процедуры изменения состава объединяемых

функциональных узлов посредством их подключения или отключения.

Одни типы связей, используемые для соединений в системах с

распределенной памятью, должны обеспечивать скорости передачи данных на

уровне нескольких Гбит/с - для перспективных технологий процессоров.

Другие же типы связи, используемые для соединений в сетях обработки

видеосигналов, должны обеспечивать величину скорости передачи меньше

1 Гбит/с. Таким образом, унифицированная сеть должна эффективно

поддерживать изменения требований к скорости передачи данных.

Сетевая магистраль также должна передавать данные с небольшими

задержками для обеспечения предсказуемости откликов, что необходимо в

режиме реального времени. Для формирования изображений в реальном

масштабе времени перспективная сетевая магистраль должна обеспечивать

малые задержки и при "жестких" ограничениях на максимально допустимое

время передачи данных. Малые задержки необходимы как в системах с

распределенной памятью, так и в системах передачи сообщений, которые

используют одну и ту же сеть для потоков информации контроля и управления,

а также потока данных, как того требует унифицированный протокол связей. В

системах передачи сообщений большое время задержки в связях часто

приводит к очень низкой эффективности функционирования параллельных

процессоров.

Обеспечение своевременной доставки высокоприоритетных команд и

данных управления в случае их смешения в едином потоке с большими

трафиками низкоприоритетных сообщений может быть выполнено с помощью

следующих подходов:

применения уникальных топологий связей (например, использования

централизованных или распределенных переключателей);

Page 251: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

выбора физической топологии и характеристик, обеспечивающих

малую суммарную информационную загруженность системы

информационного обмена;

различных способов планирования (дисциплин обслуживания)

передачи данных.

Анализ широкого спектра сетевых архитектур информационного обмена

в качестве перспективных кандидатов на различные применения позволяет

сделать следующие выводы. Глобальные (WАN Wide Агеа Network) и

городские (МАN Меtrоpоlian Агеа Network) сети рассчитаны на большие

расстояния, чем это требуется для организации бортовых систем. Шины

уровней объединительной панели или ввода/вывода также не могут быть

использованы, поскольку предназначены для реализации систем с сильно

связанными компонентами, расположенными в непосредственной близости

друг от друга. Таким образом, наилучшими кандидатами на роль сетевой

магистрали остаются архитектуры передачи данных, используемые в

локальных сетях. Что требует разработки модели воздействия деструктивных

ЭМИ на каналы передачи данных и управления БЦВК на основе анализа и

оценки воздействия ЭМИ на элементы локальных сетей.

Заключение

В статье представлены результаты интегрального анализа требований к

характеристикам современных БЦВК, на основе которых можно сделать вывод,

что наиболее критичной подсистемой при воздействии ЭМИ является система

информационного обмена. Показано, что при разработке модели воздействия

деструктивных ЭМИ на каналы передачи данных и управления БЦВК можно

использовать результаты анализа воздействия ЭМИ на элементы локальных

сетей.

Литература

1.Михайлов В.А., Мырова Л.О., Царегородцев А.В. Структура

интеллектуальной системы анализа и оценки устойчивости БЦВК к

деструктивному воздействию ЭМИ // Системы и средства связи,

Page 252: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

телевидения и радиовещания. – М.: Изд-во ОАО "ЭКОС", 2012. - 1, 2. –

С. 116-120.

2.Михайлов В.А., Мырова Л.О., Царегородцев А.В. Модель интеллектуальной

системы анализа и оценки устойчивости БЦВК к деструктивному

воздействию ЭМИ // Системы и средства связи, телевидения и

радиовещания. – М.: Изд-во ОАО "ЭКОС", 2012. - 1, 2. – С. 124-128.

3.Павлов А.М. Принципы организации бортовых вычислительных систем

перспективных летательных аппаратов // Мир компьютерной

автоматизации. – М., 2001. – 4.

ВИРТУАЛИЗАЦИЯ РАБОЧИХ СТОЛОВ И ОБЛАСТЬ ЕЕ

ПРИМЕНЕНИЯ

Колесова Дарья Михайловна

Студентка 2 курса

Финансовый Университет при Правительстве РФ

Россия, г. Москва

dusikjuk @ gmail . com

Аннотация. Рассматривается технология виртуализации рабочих столов.

Достоинства и недостатки виртуализации рабочих столов, применение

достоинств для повышения информационной безопасности.

Ключевые слова: виртуализация, виртуализация рабочих столов,

аппаратно-техническое обеспечение.

Виртуализация

«Виртуализация - предоставление набора вычислительных ресурсов или

их логического объединения, абстрагированное от аппаратной реализации, и

обеспечивающее при этом логическую изоляцию вычислительных процессов,

выполняемых на одном физическом ресурсе.»[1]

Page 253: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Иными словами, виртуализация подразумевает работу пользователя в ОС, не

привязанной к аппаратной технике.

Виртуализация включает большое количество понятий и возможностей. В

данной работе основное внимание уделяется виртуализации рабочих столов.

Под виртуализацией рабочих столов будем понимать возможность работы

сотрудника удаленно, при этом используя информацию базы данных фирмой,

под наблюдением системного администратора.

Можно выделить следующие достоинства виртуализации рабочих столов:

1) экономия средств на аппаратное обеспечение,

2) возможность работы удаленно,

3) отказоустойчивость системы,

4) расширенные возможности мониторинга системы.

Рассмотрим каждый пункт в отдельности.

Экономия средств на аппаратное обеспечение.

Под термином «виртуализация» подразумевают увеличение нагрузки на

один сервер и обеспечение работы некоторого числа виртуальных машин.

Становится ясно, что данный подход позволяет экономить на приобретении

аппаратного обеспечения для всех сотрудников. Однако, стоит учитывать, что,

увеличивая нагрузку на один сервер, стоит выбирать более мощные модели, а,

соответственно, и более дорогие.

Практика показывает, что такое вложение средств приводит к

значительной экономии в будущем.

Возможность работы удаленно.

Удаленная работа означает не только работу вдали от рабочего места, но

и в удобном месте, на привычном и удобном оборудовании. Системный

администратор имеет возможность следить за работой

сотрудника(пользователя), не беспокоясь за сохранность всей системы,

виртуальная машина не распознает разницу в аппаратных средствах, на

которых работает.

Отказоустойчивость системы.

Page 254: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Отказоустойчивой называют систему, в которой можно работать

бесперебойно. Создание виртуальных рабочих столов пока не обладает таким

свойством, тем не менее, в перечне свойств современных виртуальных машин

употребляют этот термин. Существует более подходящее понятие – система

высокой доступности. Это означает, что при сбое работы кластера («системы

виртуальных машин»), а точнее при сбое одного из узлов кластера, происходит

перенос и распределение виртуальных машин этого узла на оставшиеся узлы

кластера. То есть все данные, хранящиеся на виртуальных машинах

поврежденного узла не только сохранены, но с ними и можно продолжать

работу. Недостаток заключается только в том, что в процессе переноса и

распределения, затрачивается небольшое количество времени, в которое

пользователи этого узла не могут продолжать работу.

Такое решение ситуации предполагается при использовании продукта

Windows Server 2012 R2. И, вероятно, в дальнейшем будущем кластер,

созданный с помощью последних технологий виртуализации, можно будет

назвать отказоустойчивым.

Расширенные технологии мониторинга системы.

Системный администратор может в реальном времени наблюдать за

работой всех виртуальных машин, подключенных к кластеру. Помимо этого,

есть возможность следить и руководить состоянием виртуальных машин,

назначить уровень конфиденциальности. При грамотном администрировании

система будет достигать оптимального баланса между защищенностью и

доступностью.

Предложения по использованию достоинств виртуализации рабочих

столов

Одной из актуальных проблем защиты информации является

нестабильность рабочих столов пользователей (такие проблемы как,

несанкционированный доступ к информации (НСД), повреждения, связанные с

аппаратными средствами), а значит, работа системы и сохранность

Page 255: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

конфиденциальности баз данных. Если сотрудник работает за своим рабочим

столом в классическом понимании, то есть с ОС привязанной к определенному

аппаратному средству, то доля ответственности за безопасность информации

ложится на его плечи (правильное хранение и ввод паролей, грамотная работа с

интернетом и другие). При использовании виртуализации рабочих столов эта

доля уменьшается. У сотрудника по-прежнему есть свой пароль, но у

администратора появляется возможность проследить за работой и

безопасностью каждой виртуальной машины в кластере. Появляется

дополнительный способ защиты информации, а именно двойная

аутентификация:

1. ввод имени и пароля при подключении к виртуальной машине

2. подтверждение личности при запросе администратора

При создании системы виртуальных машин предполагается наделять

пользователей правами конфиденциальности. От этого зависит доступ к

информации баз данных предприятия. Таким образом, сотрудник работает

только с частью информации. В любой момент времени администратор может

остановить или прекратить работу виртуальной машины. Следовательно, при

первых подозрениях администратора о НСД появляется возможность защитить

оставшиеся виртуальные машины, а значит и ту информацию, с которой они

работали.

Обдуманное разделение информации, а затем и доступ к ней, позволяет

наилучшим образом сохранить безопасность всей информации в целом. Таким

образом, правильным будет такое разделение и распределение, при котором:

1. работа сотрудника не будет требовать постоянных запросов на

недоступную ему информацию,

2. несанкционированное получение одной из частей информации не

приведет к крупным последствиям для фирмы.

Page 256: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

Иными словами, следует разделить информацию так, чтобы с ее

частями можно было работать, но при этом они не представляли бы

ценности по отдельности.

Также в обязанности системного администратора, управляющего кластером

виртуальных машин, может входить:

1. сопоставление ввода паролей пользователями при начале работы с

виртуальными машинами и подтверждение личности этих

пользователей дополнительно,

2. настройки конфиденциальности и работа с базой данных в контексте

виртуальных машин.

Недостатки виртуализации

«Угрозами безопасности в виртуальной среде в соответствии с ее

архитектурными уровнями являются [2]

1. аппаратная платформа, на которой разворачивается виртуальная среда;

2. системное ПО виртуализации (гипервизор), выполняющее функции

управления аппаратными ресурсами и ресурсами виртуальных машин;

3. система управления виртуальной средой (серверные и клиентские

программные компоненты, позволяющие локально или удаленно

управлять настройками гипервизора и виртуальных машин);

4. виртуальные машины, включающие в свой состав системное и

прикладное программное обеспечение;

5. сеть хранения данных (включающая коммутационное оборудование и

систему хранения) с размещаемыми образами виртуальных машин и

данными (сеть хранения данных может быть реализована на основе SAN,

NAS, iSCSI).»

Можно выделить следующие категории потенциальных нарушителей:

1. администратор виртуальной среды. Естественно, человек, имеющий

доступ ко всей информации и работе с ней, представляет наибольшую

Page 257: Сборник Трудов Vii Мнпк Технологии Безопасности

Прикладные информационные технологии в науке, бизнесе и образовании

опасность. Наилучший выход – периодическая проверка на

соответствие администратора и состояние виртуальный среды.

2. сотрудник, имеющий ограниченный доступ к определенной(-ым)

виртуальной(-ым) машине(-ам). Ситуация, схожая с вышеуказанной.

Меры предосторожности – мониторинг работы сотрудников, качество

и интенсивность которого зависит от степени доступа к информации.

3. внешний злоумышленник. Нарушитель этой категории представляет

опасность как для аппаратных с