Министерство науки и высшего образования Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования
« ибирский государственный автомобильно-дорожный университет (СибАДИ)»
СибАДИКафедра «Информационная безопасность»
ИНФОРМАЦИОНН Я БЕЗОПАСНОСТЬ: СОВРЕМЕННАЯ ТЕОРИЯ И ПРАКТИКА
Сборник научных трудов студентов, аспирантов преподавателей по материалам межвузовской научно-практической конференции
Омск • 2018
УДК 004 |
|
|
|
|
|
|
|
|
|
|
|
И74 |
|
|
|
|
|
|
|
|
|
|
|
И74 Информационная |
безопасность: |
современная |
|
теория |
|
и |
практика |
||||
[Электронный |
ресурс] |
: |
сборник научных |
трудов |
|
студентов, |
аспирантов |
||||
и преподавателей по материалам межвузовской научно-практической конференции / |
|||||||||||
отв. ред. З.В. Семенова. |
– Электрон. дан. – Омск, СибАДИ 2018. – |
URL: http:// |
|||||||||
СибАДИ |
|||||||||||
bek.sibadi.org/cgi-bin/irbis64r plus/cgiirbis 64 |
ft.exe. |
- |
Режим |
доступа: |
для |
||||||
авторизованных пользователей. |
|
|
|
|
|
|
|
|
|||
ISBN 978-5-00113-107-6. |
|
|
|
|
|
|
|
|
|||
Подготовлен на основе докладов межвузовской научно-практической |
|||||||||||
конференц |
«Информац онная безопасность: современная теория |
и практика», |
|||||||||
состоявшейся 15 сентября 2018 на кафедре «Информационная безопасность» |
|||||||||||
факультета «Информац онные системы в управлении» СибАДИ, г. Омск. Программа |
|||||||||||
конференц |
включает |
доклады студентов и аспирантов, подготовленных |
при |
||||||||
участии преподавателей трех вузов г. Омска: Федеральное государственное |
|||||||||||
бюджетное образовательное учреждение высшего образования «Сибирский |
|||||||||||
государственный автомо |
льно-дорожный университет (СибАДИ)», |
Федеральное |
|||||||||
государственное бюджетное |
о разовательное учреждение |
высшего |
|
образования |
|||||||
«Омский государственный технический университет (ОмГТУ)» и Федеральное |
|||||||||||
государственное бюджетное |
о разовательное учреждение |
высшего |
|
образования |
|||||||
«Омский государственный университет путей сообщения (ОмГУПС)». Представлены результаты теоретических и практико-ориентированных
исследований по различным аспектам информационной безопасности. Имеет интерактивное оглавление в виде закладок.
Издание может быть полезно научным сотрудникам, преподавателям, студентам и аспирантам и всем, кто интересуется проблемами и перспективами развития информационной безопасности.
Подготовлен на кафедре «Информационная безопасность».
Организационный комитет конференции:
зав. каф. З.В. Семенова. (председатель),
.Г. Анацкая, Е.М. Михайлов, С.А. Любич, Н.А. Сапрыкина, Е.В. Толкачева
Текстовое (символьное) издание (9 МБ)
Системные требования: Intel, 3,4 GHz; 150 Мб; Windows XP/Vista/7; DVD-ROM; 1 Гб свободного места на жестком диске; программа для чтения
pdf-файлов: Adobe Acrobat Reader: Foxit Reader
Техническая подготовка Н.В. Кенжалинова Издание первое. Дата подписания к использованию 26.12.2018
Издательско-полиграфический комплекс СибАДИ. 644080, г. Омск, пр. Мира, 5 РИО ИПК СибАДИ. 644080, г. Омск, ул. 2-я Поселковая, 1
ФГБОУ ВО «СибАДИ», 2018
Вступительное слово |
СОДЕРЖАНИЕ |
4 |
Балау Э.И., Анацкая А.Г. Культура распространения личной информации пользователями
социальных сетей |
6 |
Бутов О. ., Мызникова Т.А. Тенденции развития программных продуктов в области
информационной безопасности |
11 |
Гугняк Р.Б., Мызникова Т.А. Применение методов искусственного интеллекта для
СибАДИ |
|
прогнозирования угроз WEB-приложениям |
16 |
Жуков Д.Э., Толкачева Е.В. Выполнение требований законодательства РФ в области |
|
категорирован я объектов кр т ческой информационной инфраструктуры |
20 |
Кальницкая А.В., Семенова З.В. Анализ публикационной активности по проблеме защиты |
|
информации в автомат з рованных системах водного транспорта |
25 |
Кирилов А.Д., Толкачева Е.В. Сравнительный анализ средств криптографической защиты |
|
информации на моб льных устройствах |
33 |
Ковшарь И.Р. еменова З.В. Разра отка прототипов решений для защиты обмена важной |
|
информацией через дем л тар зованную зону в корпоративной сети |
38 |
Лапшин С.С., Сапрык на Н.А. Модель информационного общества – отражение новых онтологическ х закономерностей, о условленных внедрением информационных технологий 45
Курочка Р.А., Толкачева Е.В. Использование средств криптографической защиты информации в
государственных учрежден ях |
50 |
Ложников П.С., Сулавко А.Е., Лукин Д.В., Белгородцев А.А. Способ генерации ключевых
последовательностей на основе мультимодальной биометрии |
55 |
Мазуров А.А., Семенова З.В. О еспечение защиты приложения «СУШИ МАРКЕТ» средствами
платформы .NET FRAMEWORK и MS SQL SERVER |
62 |
Михальцов В.Е., Михайлов Е.М. нализ возможностей реализации идентификации и аутентификации пользователей в АС на базе системы электронного документооборота ELMA 70
Нигрей А.А., Хайдин Б.И., Сулавко .Е., Пономарев .Б. |
Об оценке ресурсного состояния |
человека на основе анализа электрической активности мозга |
76 |
Погарский П.Ю., Анацкая А.Г. Категорирование объектов критической информационной
инфраструктуры медицинского учреждения |
82 |
Родина Е.В., Епифанцева М.Я. Синтез случайного процесса по корреляционной функции:
создание базы процессов |
89 |
Рой .А., Анацкая А.Г Комплексная защита информации в информационной системе страховой
компании |
97 |
Севостьянов Н.А., Любич С.А. Анализ возможностей фреймворка FLASK по обеспечению |
|
различных аспектов защиты данных |
103 |
Стадников Д.Г., Чобан А.Г., Сулавко А.Е., Шалина Е.В Распознавание биометрических образов с
использованием алгоритмов искусственных иммунных систем |
107 |
Ткаченко М.В., Любич С.А Обеспечение безопасности данных в автоматизированной системе
«Электронная очередь приемной компании СибАДИ» |
114 |
Шмаков А.К., Комаров В.А. Оценка возможности использования моментов распределения в
качестве показателя формы определяемого сигнала |
118 |
3
Вступительное слово
Интенсивное внедрение информационных технологий в нашу жизнь обостряет проблему обеспечения безопасности данных. По данным группы компаний InfoWatch, являющейся признанным лидером в области разработки инновационных программных продуктов и комплексных решений для информационной безопасности организаций, только в 2017 году было
СибАДИ» другие.) |
||
зафиксировано 2131 случаев утечки данных. Данный инцидент |
||
информационной безопасности влечет за собой не только репутационные, но и, |
||
как прав ло, существенные финансовые потери. Минимизация потерь от |
||
утечки |
нформац |
на различных уровнях возможна при решении |
техническ |
х, технолог ческих и кадровых проблем в области информационной |
|
безопасности. На сегодняшний день наиболее актуальной является потребность в подготовке высококвал фицированных кадров в области информационной безопасности.
В Омске на азе ведущих вузов подготовка таких специалистов осуществляется более 15 лет. Учитывая современный тренд на реализацию идеи сетевого вза модействия, в сентябре 2018 года на базе СибАДИ впервые прошла межвузовская научно-практическая конференция «Информационная безопасность: современная теория и практика». В ней приняли участие студенты, аспиранты и преподаватели Сиб ДИ, ОмГТУ и ОмГУПС. Указанные вузы реализуют о разовательные программы по УГСН 10.00.00 – «Информационная езопасность». Доклады, вызвавшие у участников конференции наибольший интерес, представлены в данном сборнике.
Многие из докладчиков представили результаты своих научнопрактических работ, апробация которых прошла в рамках производственной практики. Среди них проекты или прототипы информационных систем, для которых теоретически и практически проработаны разнообразные аспекты защиты информации («Разработка прототипов решений для защиты обмена важной информацией через демилитаризованную зону в корпоративной сети», «Анализ возможностей реализации идентификации и аутентификации пользователей в АС на базе системы электронного документооборота ELMA», «Анализ возможностей фреймворка FLASK по обеспечению различных аспектов защиты данных», «Обеспечение безопасности данных в автоматизированной системе «Электронная очередь приемной компании
На конференции были также представлены результаты исследований, реализуемых в рамках грантовой поддержки («Способ генерации ключевых последовательностей на основе мультимодальной биометрии»; «Распознавание биометрических образов с использованием алгоритмов искусственных иммунных систем»; «Об оценке ресурсного состояния человека на основе анализа электрической активности мозга»).
Живой интерес участники конференции проявили и в отношении аналитических исследований («Тенденции развития программных продуктов в
4
области информационной безопасности», «Применение методов искусственного интеллекта для прогнозирования угроз web-приложениям», «Анализ публикационной активности по проблеме защиты информации в автоматизированных системах водного транспорта», «Сравнительный анализ средств криптографической защиты информации на мобильных устройствах», «Оценка возможности использования моментов распределения в качестве показателя формы определяемого сигнала»).
СибАДИЗ.В. Семенова
Активная дискуссия развернулась вокруг докладов, имеющих выраженную практико-ориентированную направленность («Синтез случайного процесса по корреляц онной функц : создание базы процессов», «Обеспечение защиты приложен я «Суши маркет» средствами платформы .NET FRAMEWORK и MS SQL SERVER», «Категор рование объектов критической информационной
инфраструктуры |
мед ц нского учреждения», |
«Комплексная |
защита |
||||
информац в |
нформац онной системе страховой компании»). |
|
|||||
Орган заторы |
участники |
конференции |
высоко |
оценили |
|||
предоставленную возможность о мена опытом, полезной научной и |
|||||||
практической |
нформац ей, а также |
выразили |
надежду |
на продолжение |
|||
взаимодейств я выпускающих кафедр в таком формате. |
|
|
|
||||
Оргком тет конференции выражает надежду на то, что |
данный сборник |
||||||
научных статей станет о ъектом дискуссий и импульсом для новых научно- |
|||||||
практических исследований. |
|
|
|
|
|
||
|
|
Зав. кафедрой «Информационная безопасность» |
, |
||||
|
|
|
|
д-р.пед.наук, профессор |
|||
5
КУЛЬТУРА РАСПРОСТРАНЕНИЯ ЛИЧНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯМИ СОЦИАЛЬНЫХ СЕТЕЙ
Балау Эльвира Игоревна
студент группы БИб16-И1 Сибирского государственного автомобильнодорожного университета (СибАДИ)», г. Омск
E-mail: balauelvira@mail.ru
Анацкая Алла Георгиевна
СибАДИканд. пед. наук, доцент кафедры информационная безопасность, Сибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
E-mail: anatskaya.ag@gmail.com
АННОТАЦИЯ
В данной статье рассматриваются возможности сбора информации, которую можно получ ть на основе содержания страниц пользователей в социальных сетях. Актуальность темы связана с участившимися случаями утечки персональных данных из социальных сетей и сети Интернет. Проводится сравн тельный анализ онлайн-сервисов, позволяющих получить информац ю о пользователях сети. Соблюдение правил поведения в социальных сетях позвол т у еречь свои личные данные от противоправных воздейств й.
Ключевые слова: социальная сеть, киберпреступность, персональные данные, грабеж, мошенничество.
Кража персональных данных, в настоящее время, является большой проблемой во всем мире. Полученные незаконным образом сведения могут быть использованы злоумышленниками для получения кредита в банковской организации, регистрации фирмы-однодневки, управления банковскими карточками, переоформления недвижимости и других мошеннических действий.
В связи с этим субъектам персональных данных (П н) очень важно знать, что такое кража персональных данных, понимать, насколько они подвержены риску. Даже если отдельный субъект персональных данных лично пока не стал жертвой, то статистика киберпреступлений показывает, что это может случиться в любой момент.
Так, в марте 2018 года стало известно, что британская компания CambridgeAnalytica, проводившая аналитику избирательских предпочтений во время выборов президента США, незаконно использовала данные 50 миллионов пользователей социальной сети. В компанию попали данные о тех пользователях, которые авторизовывались для прохождения онлайн-теста через
Facebook [1].
Активным сбором информации занимаются не только аналитические компании, но и киберпреступники. Среди способов получения ПДн различают анализ цифрового следа, который пользователь оставляет в сети и методы
6
социальной инженерии [2]. Например, злоумышленники легко могут взломать аккаунт, предложив пользователю ввести на веб-странице учетные данные, заинтересовав его возможностью получения доступа к какой-либо информации, приза, выигрыша и т.п. [1].
По данным исследований [2] активные пользователи соцсетей имеют уровень риска стать жертвами на 30% выше, в связи с тем, что их информация может быть раскрыта чаще других. Например, по данным исследований
СибАДИ |
||||
пользователи Facebook, Instagram и Snapchat имеют на 46% выше уровень риска |
||||
«захвата» аккаункта, чем те, у кого нет аккаунтов в этих соцсетях [3]. |
||||
Рассмотр м, |
какую |
нформацию можно получить о человеке из |
||
социальных сетей |
сети Интернет. |
|
||
Если ввести |
мя |
фамилию человека в поисковую строку. То можно |
||
получить сп сок всех сайтов, где упоминался данный человек – от детских |
||||
конкурсов, |
школьных |
студенческих олимпиад |
и конференций, до |
|
диссертац |
й. |
|
|
|
уществуют разл чные сервисы, которые позволяют найти информацию о |
||||
человеке. |
|
|
|
|
Так, серв с SocialSearcher [4] позволяет найти последние посты |
||||
пользователя на Facebook, Flickr, Tumblr, Vimeo, Reddit |
других сайтах (рис. 1). |
|||
Рисунок 1 – результат поиска в сервисе SocialSearcher
С помощью сервиса SocialMention [5] можно узнать, что говорят о человеке другие пользователи. Помимо последних постов с упоминаниями искомой личности, здесь можно получить ТОП хештегов, которые эти посты обычно сопровождают и ТОП пользователей, которые упоминают рассматриваемую персону чаще всего (рис. 2).
7
СибАДИР сунок 2 - результат поиска в сервисе SocialMention
Упомянутые выше сервисы подходят для поиска либо знаменитых личностей, л бо пользователей англоязычной аудитории. На сайте SocialMention обычные российские пользователи не обнаруживаются, так как они практ чески не зарегистрированы в социальных сетях по которым осуществляется по ск.
Ресурсом, который в наи ольшей степени позволяет выполнить сбор информации о российских пользователях является сервис «Яндекс.Люди» [6], с помощью которого можно найти все страницы пользователя по его имени фамилии или никнейму (рис. 3).
Рисунок 3 - результат поиска в сервисе Яндекс Люди
8
На рисунке 3 показано, что по имени и фамилии можно найти социальные сети, где зарегистрирован пользователь, а так же такую первичную информацию как город, дату рождения и id пользователя. При дальнейшем изучении страниц социальных сетей, можно собрать достаточно много подробной информации о человеке.
В разделе социальных сетей «О себе», пользователи часто указывают свои увлечения, и если это посещение каких-либо занятий, например, танцы, то на
СибАДИдаже в этом случае есть опасность оказаться жертвой мошенника. Так как зачастую к номеру телефона привязана банковская карта. Мошенники могут
странице зачастую присутствует ссылка на сайт или группу танцевальной студии, в которой имеется вся информация о ней. В основном в таких группах есть расп сан е не всегда эти группы закрыты от посторонних пользователей. Таким образом, можно узнать информацию о том, где может находиться человек в определенный момент времени.
Не пренебрегают пользователи и определением местоположения. Так, пронаблюдав за фотограф ями пользователя, можно выяснить, где он бывает,
какие места он посещает чаще всего.
Некоторые пользователи указывают адрес места жительства, вплоть до
указания номера подъезда |
квартиры, что делать совсем не рекомендуется. |
Номер телефона тоже не стоит указывать, если это обычный пользователь, |
|
а не оказывающ й как е-л |
о услуги и телефон необходим для связи с ним. Но |
отправлять смс с прось ой оплатить несуществующий кредит.
Указание полной даты рождения тоже может представлять опасность. На основе этой информации злоумышленник может попытаться найти паспортные данные, а также данные страхового и медицинского свидетельства и других документов.
Зачастую пользователи не задумываются о том, какие фотографии и видео следует выставлять в открытый доступ. В настоящее время обычной практикой у работодателей является проверка социальных сетей, желающих трудоустроиться. Иногда полученные таким образом сведения могут повлиять на мнение о данном человеке не в лучшую сторону. Также пользователям социальных сетей не стоит публиковать место работы фотографии с него, так как существует вероятность, что на фото может быть запечатлена конфиденциальная информация, составляющая коммерческую тайну компании.
Цели овладения личной информацией нарушителями информационной безопасности могут быть следующими:
Мошенничество. Злоумышленник может воспользоваться такими данными как: дата рождения, номер телефона, домашний адрес.
Грабеж. Необходимыми сведениями для осуществления хищения имущества будут являться: адрес места жительства, время пребывания на работе, информация о периоде отпуска вне дома и т.п.
Шантаж или подрыв репутации. Для реализации такого злодеяния необходимо знать сведения о родных и близких, которых зачастую
9
указывают в разделе «Семейное положение». Доверчивые пользователи могут рассказать такую личную информацию мошенникам, которая в дальнейшем может негативно сказаться на их репутации.
Для того чтобы избежать ситуации, когда информация, размещенная на странице пользователя в соцсети будет использована против него, рекомендуется придерживаться следующих правил:
СибАДИ |
|
1. |
Не публиковать полную дату рождения, адрес места жительства, |
|
номер телефона. |
2. |
Не выставлять в открытый доступ фотографии и видео, где вы |
|
представлены в неподобающем виде. |
3. |
Не выставлять фотографии с места работы и не указывать его. |
4. |
Не оставлять нформацию о предстоящем отпуске. |
ледует всегда помн ть, что социальные сети могут быть использованы |
||
для орган зац |
утечек |
важной информации, для подрыва репутации, для |
намеренных оскорблен й |
угроз. Поэтому не следует пренебрегать основными |
|
правилами безопасности л чных данных и соблюдать культуру поведения в сети.
Список л тературы: |
|
|
|
|
|||
1. |
Как не допустить утечку своих данных из соцсетей? [Электронный |
||||||
ресурс] |
- |
Режим |
доступа: |
http://www.aif.ru/society/web/kak ne |
|||
dopustit utechku svoih dannyh iz |
socsetey |
|
|
||||
2. |
Чем |
опасна |
кража |
личных |
данных |
в сети |
как от нее защититься. |
[Электронный ресурс] - Режим доступа: https://hi-tech.mail.ru/review/chem- opasna-krazha-lichnyh-dannyh-v-seti-i-kak-ot-nee-zashchititsya/#a01
3. SecurityLab.ru [Электронный ресурс] - Режим доступа: https://www.securitylab.ru/blog/company/PandaSecurityRus/344032.php
4. Social Searcher. [Электронный ресурс] - Режим доступа: https://www.social-searcher.com
5. Socialmention. [Электронный ресурс] - Режим доступа: http://www.socialmention.com
6. Яндекс Люди. [Электронный ресурс] - Режим доступа: yandex.ru/people
10