Разработка и внедрение комплекса методов автоматизации бизнес-процессов и защиты корпоративного программного и информационного обеспечения производственно-заготовительного предприятия по переработке текстильного вторсырья тема диссертации и автореферата по ВАК РФ 05.13.06, кандидат наук Панкратов, Станислав Александрович

  • Панкратов, Станислав Александрович
  • кандидат науккандидат наук
  • 2013, Москва
  • Специальность ВАК РФ05.13.06
  • Количество страниц 152
Панкратов, Станислав Александрович. Разработка и внедрение комплекса методов автоматизации бизнес-процессов и защиты корпоративного программного и информационного обеспечения производственно-заготовительного предприятия по переработке текстильного вторсырья: дис. кандидат наук: 05.13.06 - Автоматизация и управление технологическими процессами и производствами (по отраслям). Москва. 2013. 152 с.

Оглавление диссертации кандидат наук Панкратов, Станислав Александрович

Оглавление

ВВЕДЕНИЕ

Актуальность темы

Цели и задачи работы

Научная новизна работы

Практическая значимость работы

Достоверность результатов работы

Реализация и апробация результатов работы

Публикации

Структура и объем работы

ГЛАВА 1. ОБЗОР И АНАЛИЗ ИСТОЧНИКОВ ИНФОРМАЦИИ ПО АВТОМАТИЗАЦИИ БИЗНЕС-ПРОЦЕССОВ И ЗАЩИТЕ ПРОГРАММНОГО И ИНФРОМАЦИОННОГО ОБЕСПЕЧЕНИЯ

1.1. Введение

1.2. Утечки корпоративной информации и персональных данных

1.2.1. Каналы утечки

1.2.2. Типы данных

1.2.3. Пострадавшие и виновники

1.2.4. Ущерб от утечек

1.3. Анализ проблемы защиты информационного обеспечения

1.3.1. Предмет защиты

1.3.2. Угрозы безопасности и методы защиты информационного обеспечения

1.4. Пароль

1.4.1. Типы паролей

1.4.2. Факторы в области обеспечения безопасности личного пароля

1.4.3. Криптографические хеш-функции

1.4.4. Применение хеширования

1.4.5. Алгоритм МЕ>5

1.5. Анализ и исследование существующих методов программной защиты корпоративного программного обеспечения

1.5.1. Примеры программ графической аутентификации

ГЛАВА 2. РАЗРАБОТКА ИТ-СТРАТЕГИИ ПО АВТОМАТИЗАЦИИ ПРОЦЕССА ЗАГОТОВКИ ТЕКСТИЛЬНОГО ВТОРСЫРЬЯ НА ПРОИЗВОДСТВЕННО-ЗАГОТОВИТЕЛЬНОГО ПРЕДПРИЯТИЯ

2.1. Структура холдинга

2.1.1. Управляющая компания (головной офис)

2.1.2. Производственно-заготовительное предприятие №1

2.1.3. Производственно-заготовительное предприятие №2

2.2. Структура производства

2.2.1. Компонентная модель бизнеса

ГЛАВА 3. РАЗРАБОТКА И ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ МЕТОДОВ АВТОМАТИЗАЦИИ ПРОЦЕССА ЗАГОТОВКИ ТЕКСТИЛЬНОГО ВТОРСЫРЬЯ НА ПРОИЗВОДСТВЕННО-ЗАГОТОВИТЕЛЬНОМ ПРЕДПРИЯТИИ

3.1. Процесс заготовки текстильного вторсырья до автоматизации

3.1.1. Организация процесса заготовки текстильного вторсырья

3.1.2. Расчет времени заготовки до автоматизации

3.2. Схема процесса заготовки текстильного вторсырья после автоматизации

3.2.1. Автоматизация процесса заготовки

3.2.2. Расчет времени заготовки после автоматизации

3.3. Математическая модель

3.3.1. Дисциплина очереди

3.3.2. Механизм обслуживания

3.3.3. ВидСМО

3.3.4. Выводы

ГЛАВА 4. РАЗРАБОТКА И ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ

МЕТОДОВ ЗАЩИТЫ ПРОГРАММНОГО И ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ ПРОИЗВОДСТВЕННО-ЗАГОТОВИТЕЛЬНОГО ПРЕДПРИЯТИЯ ПО ПЕРЕРАБОТКЕ ТЕКСТИЛЬНОГО ВТОРСЫРЬЯ

4.1. Разработка комплекса методов защиты информационного и программного обеспечения на производственном предприятии

4.1.1. Методы защиты электронной информации на уровне физического доступа к ней

4.1.2. Контроль доступа на социальном уровне

4.1.3. Контроль доступа на программном уровне

4.2. Безопасная передача данных. Хеширование

4.3. Инструкция программиста по установке ИС

4.3.1. Требования к конфигурации технического обеспечения

4.3.2. Инструкция по конфигурированию компьютерного комплекса для работы с ИС и установке системы на компьютере

4.4. Инструкция пользователю

4.4.1. Виды экранных форм

4.4.2. Описание системы графической аутентификации

4.4.3. Тестирование программы графической аутентификации

4.4.4. Логическая схема программы

4.5. Выводы

ЗАКЛЮЧЕНИЕ ПО РАБОТЕ

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЯ

Приложение 1. Сокращения

Приложение 2. Структура производственного холдинга по переработке текстильного вторсырья

Приложение 3. Информационные потоки производственно-заготовительного предприятия

Приложение 4. Схема заготовки текстильного вторсырья на производственно-заготовительном предприятии (до автоматизации процесса)

Приложение 5. Схема заготовки текстильного вторсырья на производственно-заготовительном предприятии (после автоматизации процесса)

Приложение 6. Программный код

Программный код приложения

Скрипты базы данных

Рекомендованный список диссертаций по специальности «Автоматизация и управление технологическими процессами и производствами (по отраслям)», 05.13.06 шифр ВАК

Введение диссертации (часть автореферата) на тему «Разработка и внедрение комплекса методов автоматизации бизнес-процессов и защиты корпоративного программного и информационного обеспечения производственно-заготовительного предприятия по переработке текстильного вторсырья»

ВВЕДЕНИЕ

Актуальность темы

Автоматизация процесса заготовки текстильного вторсырья на производственно-заготовительном предприятии выдвинула ряд проблем, связанных с исследованием влияния человеческого фактора на процесс и результат заготовки и в связи с этим поиском эффективных параметров автоматизации, а также влияние самой автоматизации на защиту программного обеспечения и информационного обеспечения. Автоматическое управление данным процессом требует знания особенностей производства и влияние сотрудников на процесс заготовки. Был проведен натурный эксперимент для решения такого рода задач.

До настоящего времени недостаточно полно исследованы производственно-заготовительные предприятия в области автоматизации, так как последняя является трудоемкой и дорогостоящей. Ранее еще не было работ по автоматизации процессов заготовки текстильного вторсырья на производственных предприятиях в легкой промышленности и влиянию ее на защиту корпоративного программного и информационного обеспечения.

Цели и задачи работы

Целью диссертации является разработка ИТ-стратегии по автоматизации процесса заготовки текстильного вторсырья и усилению защиты программного и информационного обеспечения на производственно-заготовительном предприятии. Для достижения этой цели решены следующие научные и технические задачи:

• Выполнен анализ проблемы защиты информационного и программного обеспечения на производственном предприятии;

• Выполнен анализ существующих методов программной защиты корпоративного программного обеспечения;

• Построена компонентная модель бизнеса;

• Определено влияние человеческого фактора на управление процессом заготовки текстильного вторсырья на производственно-заготовительном предприятии;

• Определены критерии оценки целей бизнеса;

• Выявлены угрозы безопасности на производственном предприятии;

• Определены ключевые показателей эффективности процесса заготовки вторсырья;

• Разработана ИТ-стратегия по автоматизации процесса заготовки текстильного вторсырья;

• Разработана математическая модель процесса заготовки текстильного вторсырья;

• Разработана программа графической аутентификации, учитывающая психологию человека;

• Разработана математическая модель стойкости пароля в системе графической аутентификации;

Для решения задач поставленных в данной диссертационной работе использовались методы теории массового управления, теории математического моделирования, теории алгоритмов, теории вероятностей и математической статистики, теоретические и экспериментальные методы автоматизации экспериментов и получения математического описания технологических процессов.

Научная новизна работы

• Решена задача научно обоснованной технической разработки модели процесса заготовки текстильного вторсырья на производственно-заготовительном предприятии;

• Разработана математическая модель процесса заготовки текстильного вторсырья на производственно-заготовительном предприятии, учитывающая особенности и цели бизнеса, влияния человеческого фактора на процесс заготовки;

• Найдены зависимости изменения входного потока транспорта в пункт приема вторсырья, позволяющие установить эффективные параметры автоматизации системы;

• Предложены новые формы аутентификации пользователя на программном уровне;

• Разработана математическая модель системы графической аутентификации;

• Разработана программа графической аутентификации пользователя в информационной системе;

• Найдена зависимость количества возможных комбинаций пароля от числа символов текстового пароля и элементов графического пароля, выбранных пользователем информационной системы.

Практическая значимость работы

Рассмотренная в диссертации ИТ-стратегия по автоматизации процесса заготовки вторсырья позволяет учитывать текущее состояние функций бизнеса, показав их в компонентной модели предприятия на ИТ-уровне, и предложить способы по автоматизации компонентов этой модели. Рассмотренный метод автоматизации процесса заготовки существенно сокращает временные, производственные и материальные затраты, позволяет увеличить количество заготовки на производственном участке, снизить процент вероятности потери поставщика или машины с заготовкой практически до нуля. А также ускорить процесс заготовки, обслужив почти в три раза больше машин за то же время и одновременно с этим повысить уровень сохранности данных предприятия, ограничив доступ третьим лицам к программному и информационному обеспечению. Построенные модели и найденные зависимости могут быть использованы при разработке систем автоматического управления процессами заготовки вторсырья на любом производственно-заготовительном предприятии. Так же разработана программа графической аутентификации пользователя в информационной системе.

Достоверность результатов работы

Результаты, полученные в ходе проведения экспериментов с разработанными моделями, показали удовлетворительное совпадение с данными натурных экспериментов, полученными при проведении исследований на производственном предприятии. Результаты работы были использованы в практической деятельности ЗАО «ПЗП Люблинское», что подтверждено актом опытной эксплуатации.

Реализация и апробация результатов работы

Результаты научных исследований и программные разработки, полученные в результате этих исследований в области защиты программного и информационного обеспечения и автоматизации технологических процессов на производственных предприятиях, используются в ЗАО «ПЗП Люблинское» при заготовке вторсырья. Использование данных исследований и разработок позволило ПЗП организовать процесс заготовки вторсырья с последующим снижением производственных и организационных издержек, увеличением скорости процесса заготовки, увеличением количества заготовки, снижением процента вероятности потери поставщика практически до нуля, и повышением уровня сохранности данных предприятия. А также обеспечить эффективные методы защиты и ведения специализированного информационного и программного обеспечения.

Публикации

В рамках диссертационной работы опубликовано 7 печатных работ: 3 научные статьи в рецензируемых журналах из перечня ВАК; 4 - в виде тезисов докладов в сборниках материалов конференций.

Структура и объем работы

Диссертационная работа изложена на 152 страницах машинописного текста и состоит из введения, четырех глав, основных выводов, списка используемой литературы из 54 наименований, 11 таблиц, 21 иллюстраций и 6 приложений.

ГЛАВА 1. ОБЗОР И АНАЛИЗ ИСТОЧНИКОВ ИНФОРМАЦИИ ПО АВТОМАТИЗАЦИИ БИЗНЕС-ПРОЦЕССОВ И ЗАЩИТЕ ПРОГРАММНОГО И ИНФРОМАЦИОННОГО ОБЕСПЕЧЕНИЯ

1.1.Введение

Во все времена главной ценностью являлась информация. Первоочередными задачами, стоящими перед пользователями в компаниях являются:

• Обладание информацией;

• Хранение информации;

• Сохранность информации;

• Предотвращение утечек информации;

• Защита инфраструктуры, поддерживающую информацию. Поэтому можно сделать вывод, что сотрудник компании сталкивается с

проблемой обеспечения информационной безопасности.

Так же существуют проблемы человека в компании, относительно информационной безопасности, вот одни из них:

• Привыкание к определенным методам и способам защиты информационного и программного обеспечения;

• Появление новых систем взлома;

• Обновление технологий защиты ИО и ПО на предприятии. Данный факт подтверждается статистикой утечки информации.

1.2.Утечки корпоративной информации и персональных данных

По данным аналитического центра SECURIT Analytics указанным в отчете об утечках конфиденциальной информации за 2010-2011 гг., в котором под утечкой информации понимаются случаи, в результате которых доступ к конфиденциальным данным получили люди, не имеющие на это прав (злоумышленники, сотрудники, подрядчики).

1.2.1. Каналы утечки

Иногда для злоумышленников интерес представляет само устройство, а не информация на нем. Но утечки происходят потому, что владельцы компьютеров не шифруют конфиденциальную информацию на жестком диске - в таком случае при утрате она оказывается скомпрометированной. В то же время выросла доля утечек через Интернет и электронную почту. Причиной данной тенденции в значительной степени является недооценка многими организациями веб-сервисов, интернет-пейджеров и корпоративной почты как потенциального канала утечки данных.

Компьютеры и ноутбуки су

Неправильная утилизация

Неэлектронные носители

Мобилные накопители

Хакерское действие

Электронная почта

Веб-сервисы

Прочее

ш 2011

■ 2010

Мошенничество

6,6%

0,0% 5,0% 10,0% 15,0% 20,0% 25,0%

Рисунок 1. Каналы утечек информации в 2010 году

1.2.2. Типы данных

Утечки персональных данных составляют наибольшую долю всех инцидентов. Это происходит потому, что персональные данные активно используются организациями в повседневной работе (Рисунок 2).

Персональные данные Медицинские данные Финансовые данные Прочее

0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0%

Рисунок 2. Утечки информации по типам данных в 2010 году

12010 12011

1.2.3. Пострадавшие и виновники

Клиенты

Пациенты

Другие

0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% Рисунок 3. Пострадавшие от утечек информации в 2010 году

12010 12011

Можно сделать вывод, что организации стали более внимательно относиться к персональной информации своих сотрудников (Рисунок 3).

Очень часто организации не предоставляют общественности данных о виновниках утечек, а во многих случаях они и сами не имеют такой информации, тогда как результаты последующего за обнаружением инцидента внутреннего расследования не раскрываются. По этой же причине сложно судить была ли утечка случайной или умышленной (Рисунок 4).

Инсайдеры Неизвестно Хакеры

0,1

Рисунок 4. Виновники утечек информации в 2010 году

1.2.4. Ущерб от утечек

Что касается ущерба от утечек в 2010 году, то мы видим: общий ущерб сократился по сравнению с 2009 годом, и уменьшились средние потери организаций в каждом из инцидентов. В 2009 году самый большой всплеск по размеру потерь пришелся на октябрь, тогда как в 2010 году - на ноябрь. В течение же большей части и того, и другого года показатели оставались примерно на одном уровне.

Общее количество потерянных записей в 2010 году составило 254 627 497, что на 41,8% меньше показателей 2009 года. В среднем за одну утечку снижение и вовсе составило 50,8% или 251 112 записей. [1]

Исследование1, в котором было опрошено 9000 человек, показало, что большинство граждан (59%), как правило, отказалось от услуг ненадежной фирмы (Рисунок 5).

■ Немедленный отказ от услуг компании

■ Отказ от услуг компании в ближайшем будущем

■ Обеспокоенность

■ Игнорирование утечки

Рисунок 5. Исследование Ponemon Institute, 2006 г.

Зачастую, именно отношение клиентов является главной целью для коммерческих предприятий. «В России для компаний одной из главных задач стоит сохранение репутации. Имиджевый ущерб тоже можно оценить в финансовых показателях. В таблице ниже представлена структура убытков вследствие утечки. Логичнее всего рассчитать потери компании исходя из количества украденных приватных записей» [1]. Ущерб обусловлен оттоком лояльных клиентов и трудностями в привлечении новых (Таблица 1).

' Исследование Исследование "2006 Annual Study — Cost of a Data Breach" компании Ponemon Institute

Таблица 1. Средний ущерб из-за утечки всего одной приватной записи

Мероприятие Средние прямые издержки (долларов) Средние косвенные издержки (долларов) Средняя упущенная прибыль (долларов) Всего (долларов)

Выявление и исследование инцидента 5,76 5,51 — 11,27

Уведомление 13,03 12,16 — 25,19

Дальнейшие мероприятия 35,42 11,97 — 47,39

Издержки ухудшения репутации — — 98,32 98,32

Сумма затрат на компенсацию утечки 54,21 29,64 98,32 182,17

Последующие траты на ИТ-подразделения 6,85 — — 6,85

«Данные суммы нельзя полностью переносить на российские утечки, т.к. в России нет закона, который заставлял бы компанию сообщать кому-нибудь об инциденте» [1]. Следовательно, потери на уведомление пострадавших и юридические издержки можно не учитывать (Рисунок 6).

Прямые убытки Удар по репутации Потеря клиентов Снижение конкурентоспособности Преследование-Потеря партнеров Судебное преследование... Потеря инвесторов

25,20%

■■ 19,60% 15,40%

5,70%

■■ 46% 42,30%

36,90%

Рисунок 6. Наиболее плачевные последствия утечки конфиденциальной информации, Россия, 2006 г. (Источник:

Info Watch, 2007)

1.3.Анализ проблемы защиты информационного обеспечения 1.3.1. Предмет защиты

Ценность информационного обеспечения и информации является критерием при принятии любого решения о ее защите. Информация по уровню важности разделяется на следующие типы [2]:

• незаменимая информация, наличие которой необходимо для функционирования организации и т.п.;

• важная информация - информация, которая может быть заменена или восстановлена (процесс восстановления труден или влечет за собой большие затраты);

• полезная информация - информация, без которой организация может эффективно функционировать;

• несущественная информация.

Ценность информации изменяется со временем и зависит от степени отношения к ней различных групп лиц, участвующих в процессе обработки информации [2]:

• источников, или поставщиков, информации;

• держателей, или обладателей, собственников, информации;

• владельцев систем передачи, сбора и обработки информации;

• законных пользователей, или потребителей, информации;

• нарушителей стремящихся получить информацию, к которой в нормальных условиях не имеют доступа.

Отношение этих групп лиц к значимости одной и той же информации может быть различным: для одной - важная, для другой - нет.

Например [3; 4]:

• важная оперативная информация (список заказов на данную неделю или график производства и т.п.);

• персональная информация (медицинская и т.п.);

• информация, используемая руководством для выработки решений (о перспективах рынка и т.п.).

Существует деление информации по уровню секретности, конфиденциальности. Признаками секретной информации является наличие, во-первых, законных пользователей которые имеют право владеть этой информацией, во-вторых, незаконных пользователей (нарушителей, противников), стремящихся получить эту информацию, чтобы обратить ее себе во благо и законным пользователям во вред. «Для наиболее типичных, часто встречающихся ситуаций такого типа введены даже специальные понятия: государственная тайна, военная тайна, коммерческая тайна, юридическая тайна, врачебная тайна и т. п.» [3; 5; 6]. При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования нормативных документов носят рекомендательный характер [7].

1.3.2. Угрозы безопасности и методы защиты информационного обеспечения

«Цель создания систем безопасности - предупреждение последствий умышленных (преднамеренных) и случайных деструктивных воздействий, следствием которых могут быть разрушение, модификация или утечка информации, а также дезинформация. В том случае, если объект атаки противника - какой-то из компонентов системы (аппаратные средства или

ПО), можно говорить о прерывании, когда компонент системы становится недоступен, теряет работоспособность или попросту утрачивается в результате обычной кражи; перехвате и/или модификации, когда противник получает доступ к компоненту и/или возможность манипулировать им; подделке, когда противнику удается добавить в систему некий компонент Или процесс (разрушающее программное воздействие), файлы или записи в них» [8]. Эффективная система безопасности должна обеспечивать [9; 10; 3]:

• секретность всей информации или наиболее важной ее части;

• достоверность (полноту, точность, адекватность, целостность, аутентичность) информации, работоспособность компонентов системы в любой момент времени;

• своевременный доступ пользователей к необходимой им информации и ресурсам системы;

• защиту авторских прав, прав собственников информации, возможность разрешения конфликтов;

• разграничение ответственности за нарушение установленных правил информационных отношений;

• оперативный контроль за процессами управления, обработки и обмена информацией, так называемые средства контроля безопасности.

Причинами случайных деструктивных воздействий, которым подвергается информация в процессе ввода, хранения, обработки, вывода и передачи, могут быть [11]:

• отказы и сбои аппаратуры;

• помехи на линиях связи от воздействий внешней среды;

• ошибки человека как звена системы;

• ошибки разработчиков аппаратного и/или ПО;

• аварийные ситуации.

К методам защиты от случайных воздействий можно отнести:

• помехоустойчивое кодирование;

• контролепригодное и отказоустойчивое проектирование;

• процедуры контроля исправности, работоспособности и правильности функционирования аппаратуры;

• самоконтроль или самотестирование;

• контроль хода программ и микропрограмм.

Преднамеренные угрозы связаны с действиями нарушителя, который при этом может воспользоваться как штатными (законными), так и другими каналами доступа к информации в ИС (Рисунок 7). При этом согласно [9; 10; 12; 8; 13] в результате действий нарушителя, которым может являться как незаконный, так и законный пользователь, информация подвергается таким угрозам, как:

• кража носителей информации и оборудования;

• приведение компонентов системы в неработоспособное состояние или состояние неправильного функционирования;

• приведение системы в состояние, требующее незапланированных затрат ресурсов (например, на обслуживание поступающих сообщений и запросов, на ведение оперативного контроля, на восстановление работоспособности, на устранение попыток нарушения безопасности и т. п.);

• несанкционированное копирование программ и данных;

• несанкционированный доступ к секретной информации (хранимой или передаваемой по каналам связи);

• уничтожение или несанкционированная модификация информации или ПО;

• фальсификация сообщений (например, выдача себя за другого пользователя; санкционирование ложных обменов информацией; навязывание ранее переданного сообщения; приписывание авторства сообщения, сформированного самим нарушителем, другому лицу и т. п.);

• отказ от факта получения или передачи сообщения;

• отказ от факта получения или передачи сообщения в определенный момент времени;

• нарушение протокола обмена информацией с целью его дискредитации;

• имитация работы системы, анализ поведения интересующего компонента или анализ трафика с целью получения информации об идентификаторе пользователя, поиска каналов утечки информации, каналов скрытого влияния на объект, о правилах вступления в связь и т. п.;

• вход в систему под видом законного пользователя (например, используя паузы в действиях последнего, ставшие известными идентификаторы и т. п.);

• разрыв связи и дальнейшая работа с системой под видом законного пользователя;

• создание помех процедуре обмена сообщениями между пользователями системы.

Для каждого типа угроз обычно можно предложить одну или несколько мер противодействия, целью применения которых является уменьшение риска либо за счет уменьшения вероятности осуществления угрозы, либо за счет уменьшения последствий реализации угрозы. В совокупности указанные меры образуют политику безопасности. Основными характеристиками

каждой меры противодействия являются эффективность и стоимость, именно они являются основой для проведения рациональной с экономической точки зрения политики безопасности. При оценке угроз со стороны противника следует учитывать также стоимость их реализации. "Нормальный" противник не будет расходовать на реализацию угрозы больше средств, чем он может получить от последствий ее исполнения. Поэтому одной из целей мер противодействия может являться увеличения цены нарушения безопасности системы до уровня, превышающего оценку достигаемого противником выигрыша. Эффективной мерой защиты может являться всего лишь оперативное обнаружение факта реализации угрозы, учитывая различные экономические и социальные санкции, которые ждут нарушителя в случае обнаружения его действий (Рисунок 7).

«Можно выделить следующие методы защиты информации от умышленных деструктивных воздействий, многие из которых появились довольно давно и не потеряли своего значения до настоящего времени» [9; 11; 8]:

• методы обеспечения физической безопасности компонентов системы;

• ограничение и разграничение доступа;

• криптографическое преобразование информации и реализованные на его основе криптографические протоколы;

• контроль и учет доступа;

• законодательные меры;

• принципы и правила работы в системе, уменьшающие риск нарушения безопасности, например регулярное создание резервных копий системы или наиболее важных ее компонентов, установление определенной процедуры копирования;

• формирование этических норм для пользователей, своего рода "кодекса поведения", согласно которому считаются неэтичными любые умышленные действия, которые могут нарушить нормальную работу системы.

Рисунок 7. Каналы доступа к информации в ИС

Криптографические методы защиты информации являются предметом исследования современной криптологии, включающей в себя два основных раздела, цели которых прямо противоположны:

• криптографию, разрабатывающую способы преобразования (шифрования) информации с целью ее защиты от злоумышленников, обеспечения ее секретности, аутентичности и неотслеживаемостщ

• криптоанализ, связанный с оценкой надежности криптосистем, анализом стойкости шифров, разработкой способов их вскрытия.

1.4.Пароль

Пароли, использовались еще с древнейших времен. Изобретателем идеи хранения паролей в форме хеш является Роберт Моррис (алгоритм «crypt», связь с алгоритмом DES). В наше время система паролей, а именно аутентификация пользователей встречается в любой сфере деятельности. Многие создают пароли на своих персональных компьютерах, ноутбуках, КПК, коммуникаторах и т.п. от несанкционированного доступа.

1.4.1. Типы паролей

Пароли можно разделить на несколько типов:

• Символьные

о Буквенные; о Цифровые;

о Содержащие 33 русских буквы, 26 английских (в разных регистрах), цифры от 0 до 9, специальные символы (.,*!"#; 1 и т.д.) - всего около 160 символов;

• Графические

о Выбор, необходимых для идентификации пользователя, графических элементов из предлагаемого набора (по определенному алгоритму);

о Дублирование символов, изображенных на рисунке; о Решение уравнения.

• Смешанные

о Символьный пароль в совокупности с графическим.

• С «фокусом»

о Один из вышеперечисленных видов пароля с дополнительным каким-либо действием (например, перед/после ввода пароля необходимо нажать на клавишу, переместить курсор в определенное место на экране монитора, и т.п.)

1.4.2. Факторы в области обеспечения безопасности личного пароля

Статистика показала, что около 40% всех пользователей выбирают легко угадываемые пароли, например, «123» или «admin». Их называют слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать считают сильными и правильными.

Многие пользователи для защиты своих электронных данных выбирают простые, короткие, легко взламываемые пароли, например: • Используя только цифровой блок клавиатуры:

о «12345», «222222» о «12.03.2009»

о «89161234567» (номер телефона) • Используя только буквенный блок клавиатуры:

о Свое собственное имя, имена близких людей или знаменитостей:

■ «Александр», «Matthew Perry»

■ «Matrix», «Ironman»

о Последовательность букв, расположенных в ряд на клавиатуре:

■ «QWERTY», «zxcvbnm»

о Простое слово или словосочетание:

■ «Земля», «Мастер и Маргарита»

■ «password 1», «password»

■ «I don't саге» («Мне все равно»), «Yes» («Да»), «No» («Нет»)

Подобный подход может объясняться отчасти:

• неосведомленностью,

• ленью,

• свойствами человеческой памяти, т.к. сложно запомнить стойкий к перебору пароль типа «61mGL3$x34».

1.4.3. Криптографические хеш-функции

Среди хеш-функций выделяют криптографически стойкие. Криптографическая стойкость хеш-функции обеспечивается следующими свойствами стойкости к коллизиям:

• Первого рода: для заданного сообщения М должно быть практически невозможно подобрать другое сообщение М', имеющее такой же хеш - необратимостью хеш-функции.

• Второго рода: должно быть практически невозможно подобрать пару сообщений {М, М имеющих одинаковый хеш.

1.4.4. Применение хеширования

Хеш-функции также используются в хеш-таблицах и декартовых деревьях. Требования к хеш-функции в этом случае другие:

• хорошая перемешиваемость данных

• скорость выполнения алгоритма

1.4.5. Алгоритм ]УГО5

М05 - алгоритм вычисления "хеш-функции" для разных целей:

• шифрование паролей,

• проверка целостности данных,

• и т.п.

На вход подается поток данных произвольной длины, а на выходе получаем хеш длиной 128 бит. Данный алгоритм хорош тем, что практически невозможно, найти две строки, дающие одинаковый хеш. МБ5 также используется в приложениях криптографии и электронно-цифровых подписях для генерации ключа шифрования.

Основными целями при разработке алгоритма являлись:

• Скорость работы на современных 32-разрядных системах

• Минимизации используемой памяти

1.5.Анализ и исследование существующих методов программной защиты корпоративного программного обеспечения

Похожие диссертационные работы по специальности «Автоматизация и управление технологическими процессами и производствами (по отраслям)», 05.13.06 шифр ВАК

Список литературы диссертационного исследования кандидат наук Панкратов, Станислав Александрович, 2013 год

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. Anti-Malware [Электронный ресурс] : Утечки корпоративной информации и персональных данных в 2010 году. Microsoft Информационная безопасность.

http://www.ms-

8есип1у.ги/5аГе/Ш11/зе1еу1е_а1ак1/и1есЬк1_к0ф0га1}уп0]_1пГ0гта1с11_1_рег80па1тЬ _dannih.news.php, 2011.

2. Доценко В. И., Фараджев Р. Г., Чхартишвили Г. С. Свойства последовательностей максимальной длины с Р-уровнями // Автоматика и телемеханика. 1971, №8. С. 189-194.

3. Ященко В. В. Введение в криптографию. М. : МЦНМО: ЧеРо, 1998.

4. Доценко В. И., Фараджев Р. Г. Анализ и свойства последовательностей

максимальной длины // Автоматика и телемеханика. 1969, №11.

\

5. Положение о государственной системе защиты информации в РФ от иностранных технических разведок и от ее утечки по техническим каналам // Извлечения. Воениздат. Т.: 1993, С. 12.

6. Черешкин Д. С., Виртковский В. А. Концепция информационной безопасности Российской Федерации (проект). М. : Институт системного анализа РАН, 1994.

7. Хорев А. А. Способы и средства защиты информации // Учебное пособие.

М. : МО РФ, 2000.-316 с.

7 ?

8. Моисеенков И. Основы безопасности компьютерных систем // КомпьютерПресс, 1991, № 10,11.

9. Анин Б. Ю. Защита компьютерной информации. СПб. : БХВ Санкт-Петербург, 2000.

10. Анохин М. И. Криптография в банковском деле. М. : МИФИ, 1997.

11. Мельников В. В. Защита информации в компьютерных системах // Финансы и статистика. М. : Электронинформ, 1997.

12. Зимерман Ф. P. PGP: концепция безопасности и уязвимые места: Пер. с англ. Компьтерра. 1997, №48.

13. Петров А. А. Компьютерная безопасность. Криптографические методы защиты. М. : ДМК, 2000.

14. Ваграменко Я. А. Отчет о научно-исследовательской работе "Эргономические требования к экранным элементам управления в программных обучающих и тестирующих комплексах" // Московский Государственный Гуманитарный Университет им М.А. Шолохова, 2001

15. ITnews [Электронный ресурс] : Графические пароли заменят буквенные. ITnews // Новости Информационных Технологий, 2007, http://itnews.com.ua/35750.html.

16. Компьютерра-Онлайн [Электронный ресурс] : «Пароль, который бесполезно подсматривать», 2006, http://www.computerra.ru/focus/256188/.

17. IBM [Электронный ресурс] : Управление ИТ-услугами - подход IBM. http://www.ibm.com/developerworks/ru/edu/dw-rt-modsoacase/section5.html.

18. Инженерный вестник Дона [Электронный ресурс] : Панкратов С. А. Автоматизация процесса заготовки текстильного вторсырья на производственно-заготовительном предприятии, 2012, №2, http://www.ivdon.ru/magazine/archive/n2y2012/796

19. Богданов А. А. Механизм расхождения и дезорганизации // Всеобщая организационная наука. Тектология. Т. 2. М. : Т-во "Книгоиздательство писателей в Москве", 1917.

20. Богданов А. А. Механизм расхождения и дезорганизации // Всеобщая организационная наука. Тектология. Т. 1. СПб : Изд-во М.И. Семенова, 1912.

21. Акимова Т. А. Теория организации. М. : Юнити, 2003.

22. Калянов Г. Н. CASE-технологии // Консалтинг в автоматизации биз-нес-процессов. М. : Горячая линия - Телеком, 2000 - 84 с.

23. Маклаков С. В. BP Win и ERWin. CASE-средства разработки информационных систем. М. : Диалог-МИФИ, 1999 - 304 с.

24. Трофимов С. А. CASE-технологии: практическая работа в Rational Rose. M. : ЗАО «Издательство БИНОМ», 2002 - 288 с.

25. Черемных С. В. Моделирование и анализ систем // IDEF - технологии: практикум. М. : Финансы и статистика, 2006 - 188 с.

26. Братищенко В. В. Проектирование информационных систем. Учебное пособие. Иркутск : Изд-во БГУЭП, 2004 - 84 с.

27. Thomas, L. Saaty. Elements of queueing theory. New York, Noronto, London : McGraw-Hill Book Conpany, Inc., 1961 - 510 c.

28. Афанасьева, JI. Г. и Булинская, Е. В. Случайные процессы в теории массового обслуживания и управления запасами. М. : Изд-во МГУ, 1980 -110 с.

29. Чернова Н. И. Теория вероятностей: Учеб. пособие. Новосибирск : Новосиб. гос. ун-т., 2007 - 160 с.

30. Хинчин, А. Я. Работы по математической теории массового обслуживания. М. : Физматгиз, 1963 - 236 с.

31. Матвеев В. Ф., Ушаков В. Г. Системы массового обслуживания. М : Изд-во МГУ, 1984-240 с.

32. Корнеев И. К., Степанов, Е. А. Защита информации в офисе. М. : ТК Велби, Изд-во «Проспект», 2008.

33. Калиниченко Михаил, Комментарий эксперта к статье "Защита информации от утечки из информационных систем" // Журнал "Магтаиоп 8есигку/Информационная безопасность". Изд-во ГРОТЕК, 2008, №2.

34. Панкратов С. А. Комплексная защита корпоративной информации на текстильном предприятии // Тезисы докладов Международной научно-технической конференции «Современные технологии и оборудование текстильной промышленности» (ТЕКСТИЛЬ-2011). ФГБОУ ВПО «МГТУ им. А.Н. Косыгина», 2011.

35. Лобачев Евгений, Защита информации от утечки из информационных систем // Журнал "к^агтайоп 8есип1у/Информационная безопасность", 2008 г., №2.

36. АБ1ега [Электронный ресурс] : Ударим графическим паролем против несанкционированного доступа // Новости ИТ-бизнеса для Профессионалов, 2002, http://www.astera.ru/news/7icH4467.

37. Панкратов С. А. Система графической аутентификации // тез. докл. «Проблемы экономики и прогрессивные технологии в текстильной, легкой и полиграфической отраслях промышленности», Всероссийская науч.-техн. конф. 2009 - С. 301.

38. Панкратов С. А. Система графической аутентификации // Молодые учёные - развитию текстильной и лёгкой промышленности (ПОИСК-2009): сб. материалов межвузовской научно-технической конференции аспирантов и студентов. 2009.

39. Гладких А. А., Дементьев, В. Е. Базовые принципы информационной безопасности вычислительных сетей // учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165. Ульяновск : УлГТУ, 2009.

40. Инженерный вестник Дона [Электронный ресурс] : Панкратов С. А. Использование графической информации для защиты программного и информационного обеспечения 2012, №2, http://www.ivdon.ru/magazine/archive/n2y2012/792

41. Марков А. А., Нагорный, Н. М. Теория алгорифмов. М. : Наука. Главная редакция физико-математической литературы, 1984.

42. Хохлюк В. И. Параллельные алгоритмы целочисленной оптимизации. М.: Радио и связь, 1987.

43. Ахо А., Хопкрофт Дж., Ульман, Дж. Построение и анализ вычислительных алгоритмов: Пер. с англ. М. : Мир, 1979.

44. Афанасьева Т. В. Основы визуальной алгоритмизации // Учеб. пособие для студентов спец. 5102, 5525, 5501. Ульяновск : Под ред. С.Г.Валеева, 2002.

45. Detector Systems [Электронный ресурс] : Доля Алексей. Сколько стоит утечка информации на самом деле? http://www.detsys.ru/?tc=l 1 l&sc=l 14.

46. HPC.ru. [Электронный ресурс] : visCrypt 2.2.0 Шифрование данных. HPC.ru. http://www.hpc.ru/soft/software.phtml?id=20137.

47. pasw.ru [Электронный ресурс] : Пароли для профессионалов. http://www.pasw.ru/paswpro.php#speedBrut.

48. Болдырев А. И., Сталенков С. Е. Надежное стирание информации - миф или реальность? // Защита информации. 2001 г., Конфидент №1.

49. www.detsys.ru [Электронный ресурс] : Обзор методов уничтожения информации на магнитных носителях, эффективность. 2011, http://www.detsys.ru/?spage=article&detail=80.

50. Аршинов М. Н., Садовский JI. Д. Коды и математика (рассказы о кодировании). М. : Наука. Главн. ред. физ.-мат. лит., 1983.

51. www.detsys.ru [Электронный ресурс] : Боборыкин С. Н., Рыжиков С. С. Оценка эффективности средств уничтожения информации, хранящейся в накопителях на жестких магнитных дисках. http://www.detsys.ru/?tc=l 1 l&sc=182.

52. Тышкевич В. Г. Контроль хода выполнения программ в ЭВМ с использованием сигнатурного анализа // Зарубежная радиоэлектроника. 1990, №1.

53. Кущенко, С. В. Практика обеспечения информационной безопасности предприятий малого и среднего бизнеса. Электронный журнал "Системы управления бизнес-процессами". [Электронный ресурс] 2010, http ://j ournal. itmane .ru/node/286.

54. Инженерный вестник Дона [Электронный ресурс] : Панкратов С. А. Анализ эффективности автоматизации процесса заготовки вторсырьяна производственном предприятии, 2012, №2 Т1, http://www.ivdon.ru/magazine/archive/n2y2012/792

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.