Инструментальные методы анализа защищенности экономических информационных систем электронной коммерции тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат экономических наук Строкачева, Ольга Александровна

Актуальность темы исследования.

Рост глобальной сети Интернет и стремительное развитие информационных технологий привели к формированию информационной среды, оказывающей влияние на все сферы человеческой деятельности. К числу наиболее перспективных направлений относится бизнес с использованием новых информационно-технологических возможностей, которые облегчают распространение информации, повышают эффективность производственных процессов. Под электронной коммерцией понимается технология, обеспечивающая полный замкнутый цикл операций, включающий заказ товара (услуги), проведение платежей, участие в управлении доставкой товара (выполнение услуги). Эти операции проводятся с использованием электронных средств и информационных технологий и обеспечивают передачу прав собственности или прав пользования одним юридическим (физическим) лицом другому [15].

Одним из важнейших условий существования электронной коммерции является информационная безопасность, под которой понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий, которые могут нанести ущерб владельцам или пользователям информации. Ущерб от нарушения информационной безопасности может привести к крупным финансовым потерям [2].

Объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании есть основные задачи аудита информационной безопасности. . Поэтому под термином «анализ защищенности экономических информационных систем электронной коммерции» будем понимать системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности экономической системы в соответствии с определенными критериями и показателями безопасности [49].

Многообразие представленных на рынке средств и методов анализа защищенности экономических информационных систем электронной коммерции (ЭИСЭК), отсутствие математической основы и научного базиса позволило сделать вывод об актуальности исследуемого вопроса.

Степень разработанности проблемы.

Серьезное внимание в настоящее время уделяется проблемам оценки защищенности корпоративных систем Интернет/Интранет. Эта предметная область рассматривается в работах ученых и специалистов-практиков: С.А.Петренко, А.А. Петренко, А. Астахова, Е.Н.Тищенко, Д.В. Склярова, Маркуса Ранума и других.

Вопросам разработки и анализа характеристик информационных систем и моделирования бизнес-процессов посвящены работы Г.Н. Хубаева, К.Р. Адамадзиева, С.В. Баранова, Г. Буча, К. Дж. Дейта, А. Джекобсона, А.А. Емельянова, Е.Н. Ефимова, С.В. Ивахненкова, Э. Кармайкла, Г. Майерса, Б. Мейера, Э. Нейбурга, Дж. Рамбо, Д. Хейвуда, А. Элиенса и других.

Вопросам правового обеспечения ЭИСЭК посвящены работы А.А. Тедеева, О. А. Кобелева, А.В. Лукацкого и других.

Однако, несмотря на серьезное внимание, уделяемое данной предметной области, не было обнаружено исследований, посвященных классификации программных продуктов для анализа защищенности корпоративных систем Интернет/Интранет. Кроме того, мало внимания уделено применению данных программных продуктов в области оценки защищенности ЭИСЭК. Этими обстоятельствами обусловлен выбор темы диссертационного исследования.

Объектом исследования являются предприятия всех организационно-правовых форм собственности и отраслей экономики, деятельность которых связана с использованием ЭИСЭК.

Предметом исследования являются процессы обеспечения защищенности ЭИСЭК.

Цель и задачи диссертационного исследования. Основной целью диссертационного исследования является развитие инструментария анализа защищенности ЭИСЭК.

Поставленная в работе цель обусловила решение следующих научных проблем и практических задач:

- классификация программных средств анализа защищенности ЭИСЭК;

- разработка методики анализа защищенности ЭИСЭК;

- разработка программного инструмента для анализа защищенности ЭИСЭК.

Теоретическая база исследования. Теоретической и методологической основой исследования являются труды отечественных и зарубежных ученых по теории экономических информационных систем и информационной безопасности, законодательные и нормативные акты в области электронной коммерции, инструктивные материалы, материалы научных конференций, публикации в периодической печати.

Работа выполнена в рамках пункта Паспорта специальности 08.00.13 -математические и инструментальные методы экономики: 2.6. «Развитие теоретических основ методологии и инструментария проектирования, разработки и сопровождения информационных систем субъектов экономической деятельности: методы формализованного представления предметной области, программные средства, базы данных, корпоративные хранилища данных, базы знаний, коммуникационные технологии».

Эмпирической базой исследования явились экспериментальные и статистические данные, собранные в процессе эксплуатации ЭИСЭК ряда организаций. Основные выдвигаемые научные положения и рекомендации экспериментально подтверждены.

Инструментарий исследования составили классические методы анализа защищенности распределенных экономических информационных систем, метод групповых экспертных оценок, методы сравнения программных систем по критерию функциональной полноты, методы целочисленного программирования, а так же программные средства общего и специального назначения.

Научная новизна диссертационного исследования заключается в разработке целостного инструментального обеспечения для экономико-математического анализа защищенности ЭИСЭК. Научную новизну содержат следующие основные результаты:

1. Разработана отсутствующая на сегодняшний день классификация программных средств анализа защищенности экономических информационных систем, учитывающая особенности систем электронной коммерции. Даная классификация систематизирует инструментальные средства анализа защищенности по двум группам:

- системы комплексного внешнего аудита информационной безопасности экономических информационных систем организации на основе международных стандартов в области защиты информации;

- системы автоматизированного анализа защищенности экономических информационных систем, позволяющие дать объективную оценку состояния информационной безопасности на основе исследования топологии распределенной информационной системы организации.

2. Сформирован наиболее полный на сегодняшний день перечень требований, предъявляемых к функциональным характеристикам экономических информационных систем в области электронной коммерции, позволяющий провести оценку качества существующих программных средств в соответствии с разработанной классификацией. Данный перечень включает в себя основные функциональные характеристики, которым должны отвечать инструментальные средства анализа защищенности экономических информационных систем электронной коммерции.

3. Разработана математическая модель анализа защищенности ЭИСЭК, основывающаяся на сигнатурном и статистическом методах. Данная модель позволяет проводить анализ систем электронной коммерции на наличие в них возможных совокупностей угроз.

4. Предложена модель комплексного анализа защищенности ЭИСЭК на основе последовательности атакующих элементарных операций. Данная модель позволяет определять вероятность вскрытия защитных механизмов за заданное время.

Практическая значимость результатов исследования состоит в том, что основные положения, выводы, рекомендации, модели, методы и алгоритмы могут быть использованы предприятиями и организациями любой структуры, ведомственной принадлежности и формы собственности для оценки защищенности ЭИСЭК.

Апробация и внедрение результатов исследования. Основные результаты диссертационной работы докладывались и обсуждались на международных и всероссийских конференциях, в том числе: VIII международной научно-практической конференции «Экономико-организационные проблемы проектирования и применения информационных систем» (Кисловодск, 27-29 октября 2005г.); международной научно-практической конференции «Проблемы информационной безопасности» (Ростов-на-Дону, 22 ноября 2005г.); Региональной научно-практической конференции молодых ученных и специалистов «Высокие информационные технологии» (Ростов-на-Дону, 20 апреля 2005г.); VIII международной научно-практической конференции «Информационная безопасность» (Таганрог, 3-7 июля 2006г.); шестой международной конференции «Информационные технологии и безопасность-2006» (Партенит (Крым, Украина) 19-23 октября 2006г.); всероссийской научно-практической Интернет-конференции «Проблемы информационной безопасности» (Ростов-на-Дону, 20-27 ноября 2006г.); межвузовской научно-практической конференции «Статистика в современном мире: методы, модели, инструменты, материалы» (Ростов-на-Дону, 26 апреля 2007г.); второй всероссийской научно-практической Интернет-конференции «Проблемы информационной безопасности» (Ростов-на-Дону, 1418 мая 2007г.); IX международной научно-практической конференции «Информационная безопасность» (Таганрог, 3-7 июля 2006г.); ЕХ международной научно-практической конференции «Экономико-организационные проблемы проектирования и применения информационных систем» (Кисловодск, 22 декабря 2007г.); также доклад «Построение имитационной модели для анализа защищенности систем электронной коммерции» был заслушан в финале Седьмого Всероссийского конкурса студентов и аспирантов по информационной безопасности «SIBINFO-2007» (Томск, 18 апреля 2007г.).

Основные положения, полученные в результате проведенного исследования, используются при чтении курса «Информационная безопасность в системах электронной коммерции» специальности «Организация и технология защиты информации».

Отдельные результаты диссертационной работы использованы при анализе защищенности ЭИСЭК в образовательной деятельности (РГЭУ «РИНХ»), в бизнес структурах (ООО «ФОТО-ЛЭНД», ООО «Топ-книга») и на предприятиях иных видов деятельности. Результаты исследования использованы в типовом программном обеспечении «Advanced Security Test» (свидетельство о государственной регистрации программы для ЭВМ № 2008610753). Также отдельные направления представленного научного исследования реализовывались в рамках гранта РГЭУ «РИНХ» «Инструментальные методы создания и анализа качества защищенной среды функционирования информационных систем». Документы, подтверждающие внедрение, прилагаются к диссертации.

Публикации. По результатам диссертационного исследования опубликовано 17 печатных работ, 3 из которых в рекомендованных изданиях ВАК, общим объемом 3,14 п.л.

Структура и объем работы. Диссертационная работа состоит из введения, трех глав, заключения, библиографического списка и приложений. Работа содержит 96 страниц основного текста, 29 страниц приложений, 13 рисунков, 12 таблиц, библиографический список включает 105 наименований.

Основные результаты, полученные в ходе диссертационного исследования:

1 Построена эталонная модель системы защиты ЭИСЭК на основе модели с полным перекрытием для систем электронной коммерции.

2 Сформирован наиболее полный на сегодняшний день перечень критериев защищенности функционирования ЭИСЭК.

3 Предложена методика тестирования и конфигурирования программно-аппаратных элементов системы защиты ЭИСЭК.

4 Сформирован наиболее полный на сегодняшний день перечень функциональных операций ЭИСЭК и на основании него осуществлен сравнительный анализ коммерческих программных продуктов аудита безопасности информационных систем.

5 Предложена модель анализа защищенности систем электронной коммерции, наиболее эффективно выявляющая угрозы ЭИСЭК.

6 Для базовых модулей системы ЭИСЭК на основе математической модели был сформирован алгоритм функционирования данных модулей.

7 Осуществлен анализ качества разработанной модели на основе имитационного моделирования и технологии инструментально моделирующего комплекса оценки качества функционирования информационных систем «КОК».

8 Разработан программный продукт, реализующий предложенную модель.

Заключение

1. Айвазян С.А., Мхитарян B.C. Прикладная статистика и основы эконометрики. Учебник для вузов. М.: ЮНИТИ, 1998.

2. Астахов А. Анализ защищенности корпоративных систем // открытые системы 2002.-№> 7-8.

3. Аношин В. Защита программ и данных для IBM PC // Монитор.-1991 .-№2.-с.49-54с.

4. Астахов А. Нормативная база анализа защищенности CISA, 2002 // http://iso27000.ru/chitalnyi-zai/audit-infoiTnacionnoi-bezopasnosti/

5. Белкин А.Р., Левин М.Ш. Принятие решений: комбинаторные модели аппроксимации информации. М., 1990.

6. Бородин А.В. «Сети Петри и экономика безопасности информационных систем». — Образование прикл. и промышл. матем., 2001. 721 с

7. Безкоровайный М.М. Костогрызов А.И., Львов В.М. Инструментально-моделирующий комплекс оценки качества функционирования информационных систем «КОК»: Руководство системного аналитика. -М.: Вооружение. Политика. Конверсия.2002.-305 е., 2-е издание

8. Бабушкин М., Иваненко С., Коростелев В. Web сервер в действии / 1997 г. - 272 с.

9. Балабанов И. Т. Электронная коммерция. / Серия: Учебники для вузов. Санкт-Петербург. Издательство: Питер; 2001 г. — 336с.

10. Балабанов И. Т. Интерактивный бизнес. Краткий курс. / Издательство: "Питер", 2000 год 128 с.

11. Балабанов И.Т Электронная коммерция. / Учебник для вузов. -336 с.

12. Бетина З.Н., Д.А. Бетин. Информационно — аналитические понятия. / Учебно-метод. Пособие. Тамбов: Изд-во Тамб. гос. техн. ун-та, 2004. 96 с.

13. Барнс К., Боутс Т., Ллойд Д., Уле Э., Посланс Д., Зенджан М. Д., О'Фаррел Н. Защита от хакера беспроводных сетей: пер. с англ. Семенова А.В. — М.:

14. Компания АйТи; ДМК-Пресс, 2005. 480 е.: ил. (Серия «Информационная безопасность»).

15. Быстро и легко. Хакинг и антихакинг: защита и нападение: учеюное пособие. /Alex WebKnacKer. — М.: Лучшие книги, 2004.- 400с.: ил. — (Серия «Быстро и легко»).

16. Волокитина А.В. «Электронная коммерция» под ред. Реймана Л.Д. — М.:НТЦ «ФИОРД-ИНФО», 2002. 272 с.

17. Вишал Рао. Секреты электронного бизнеса / Перевод Павел Берестнев. Изд. «Виртуальный колледж электронной коммерции» http://www. Berestneff.com/- 2004 г.

18. Волков А.Ю., Александров Н. А. и др. «FFQ по электронной коммерции или как зарабатывают в Интернете?» / Электронная книга; 2006.

19. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф.Защита информации в сети -анализ технологий и синтез решений. — М.: ДМК Пресс, 2004.-616 С. : ил.-(Серия «Администрирование и защита»).

20. Галатенко А. Активный аудит/Яе£пй).-1999.-№8

21. Гален Граймес . Internet и World Wide Web. / г. Санкт-Петербург, 2002

22. Голдовский И.М. Микропроцессорные карты стандарта EMV.

23. Голдовский. И. Безопасность платежей в Интернете. / Серия: Электронная коммерция. Издательство: Питер; 2001 г. 240 с.

24. Городов О.А. Комментарии к ФЗ «Об информации, информатизации и защите информации».-Спб.: Питер, 2003.-272 е.: (серия «Закон икомментарии»).

25. Гергель В.П., Стронгин Р.Г. Основы параллельных вычислений для многопроцессорных вычислительных систем Учебное пособие Издание 2-е, дополненное Издательство Нижегородского госуниверситета г.Нижний Новгород 2003/http://www.software.unn.ru

26. Глушаков С.В., Хачиров Т.С., Соболев P.O. Секреты хакера: защита и атака / Изд. 3-е Ростов-на-Д: Феникс, Харьков: Фолио - 2008. - 414 с. -(Самоучитель).

27. Даднев М.А. Защита информации в банковском деле и электронном бизнесе. / Издатель: Кудиц-образ. 2004 г.- 512 с.

28. Джерк Н. Разработка приложений для электронной коммерции (+ CD -ROM) Visial Basic Developer's Guide to E-Commerce with ASP and SQL Server. / Серия: Библиотека программиста; Издательство: Питер; 2001 г. -512 с.

29. Джефф Чоу, Курт Ланг. Публикация баз данных в Интернете / 1998г. 480 с.

30. Дзюбенко А.Л. Введение в Интернет. Конспект лекций. — М.; МИЭМП, 2004.- 49 с.

31. Дил Роберт Стратегии дэйтрейдера в электронной торговле. / Издательство: ИК Аналитика; 2001 г. 272 с.

32. Дэвид Сигел. Шагни в будущее. Стратегия в эпоху электронного бизнеса Business Strategy in the Age of the E-Customer / Издательство: Олимп -Бизнес; 2001 г.-384 c.

33. Дэниел Эймор. Электронный бизнес. Эволюция и/или революция The Е-Business (Revolution. / Издательство: Вильяме; 2001 г. 752 с.

34. Джеймс Л. Фишинг. Техника компьютерных преступлений / Лэнс Джеймс; пер. с англ. Р.В. Гадидцкого. — М.: НТ Пресс. 2008. — 320 е.: ил. — (Защита и администрирование).

35. Ефимов Е.Н. Основы сетевой экономики: Учебное пособие / РГЭУ «РИНХ», Ростов-на-Дону, 2003.-76 с.

36. Закорян И., Филатов И., Интернет как инструмент для финансовых инвестиций / 1999 г. 256 с.

37. Инструменты электронной коммерции. // Сборник статей. Использованы матер, сайта «Виртуальный колледж электронной коммерции» http://www. Berestneff.com/ Перевод Павел Берестнев. 2004 г. -126 с.

38. Информационные материалы "Практические решения в области электронной коммерции". CD ROM. // Методические материалы по итогам 4-х круглых столов "Бизнес в Интернет", проводимых в апреле-сентябре 1999 г.

39. Костров Д. Системы обнаружения атак //Byte.-2002.-№8.-C. 20-26

40. Кландер JL: Hacker Proff: Полное руководство по безопасности компьютера / пер.с англ.; худ. Обл. Дарко М.В. — мн.: ООО «Попурри», 202. 688 е.: ил.

41. Кобелев О.А. Электронная коммерция: Учебное пособие /Под ред. проф. С.В. Пирогова.-2-е изд., перераб. И доп. — М.: Издательско-торговая корпорация «Дашков и К" »5 2006.-684 с.

42. Климов Г.П. Теория вероятностей и математическая статистика. М.:-МГУ

43. Костогрызов А.И., Петуха А.В., Щербина A.M. Основы оценки, обеспечения и повышения качества выходной информации в АСУ организованного типа. М.: Изд. «Вооружение. Политика. Конверсия», 1994. 278 с.

44. Козье Д. Электронная коммерция. / Серия "Стратегические технологии"; Издательство "Русская редакция".

45. Костяев Родион Бизнес в Интернете. Финансы, маркетинг, планирование. / Санкт-Петербург. Издательство: BHV. 2002 г. 656 с.

46. Крупник А. Как продать товар и получить деньги в Internete (введение в электронную коммерцию). / Издательство: МикроАрт; 2000 240 с.

47. Кузнецов ю.Н. Кузубов В.И., Волощенко А.Б. Математическое программирование: Учеб. пособие. 2-е изд., перераб. и доп. М.: Высш. школа, 1980 - 300 е., ил.

48. Лукацкий А.В. Обнаружение атак.-2-е изд., перераб. И доп. — СПб.: БХВ — Петербург, 2003.-608 е.: ил.

49. Левин М. Энцеклопедия начинающего хакера.-М: «Новый издательский дом» («New Publishing House»), 2004. 1120 с.

50. Магия синергии партнерство, рождающее прогресс. // ПЕРСПЕКТИВЫ, выпуск №1 2007 г. Изд. Международная сервисная ассоциация VISA Регион СЕМЕА: Россия и страны СНГ - с. 36

51. Мазур Александр. Словарь терминов и понятий электронной коммерции // Электронная книга; http:// www.bestmoney.ru/

52. Маркетинг: Пятая волна / Авторы: A.Summer, Gr.Dunkan. 190 с.

53. Минков Денис. Денежная империя «Дорога, ведущая к успеху или провалу в электронной коммерции!». /. Электронная книга; Книга 1, 2007 r.http://www.empireofmoney.com/

54. Минков Денис. Денежная Империя «Дорога, ведущая к успеху или провалу в электронной коммерции!». /. Электронная книга; Книга 2, 2007 г. http://www.empireofmoney.com/

55. Мэри Джо Фэй Реклама, маркетинг, дизайн в Интернете /1999 г.- 328 с.

56. Маллери Д.„ Занн Д., Келли П.,Нунан У., Сигрен Э., Лав П., Крафт Р., О'Нилл М. Безопасная сеть вашей компании / пер.с англ. Линдеман Е. — М.: НТ Пресс, 2007.-640 е.: (Защита и администрирование).

57. Петренко С.А., Петренко А.А. Аудит безопасности Internet. — М.: ДМК Пресс, 2002.

58. Пирогов С.В Электронная коммерция. / Учебное пособие. Том 1. — М.: Издательство: Социальные отношения. 2003 г.- 428 с.

59. Пирогов С.В. Электронная коммерция. / Учебное пособие. Издатель: Социальные отношения. 2003 г.-428 с.

60. Петровский С.В. Интернет услуги в правовом поле России.- М.: Агентство «Издательский сервис». 2003.-270 с.

61. Попов В. М., Ляпунов С. И. Практика малого бизнеса / Издательства: Кнорус, Гном и Д; 2001 г. 424 с.

62. Прабудда Банерджи, Роджер Баумер, Сюзанна Бек и др. Принцип электронного бизнеса. О фантазерах, мистиках и реалистах. Идея и способ функционирования новой экономики. / Издательство: Открытые системы. 2001.- 224 с.

63. Пэйтел К., Мак-Картни М.П. Секреты успеха в электронном бизнесе Digital Transformation. The Essentials of e-Business leadership. / Серия: Электронная коммерция; Издательство: Питер; 2001 г. 128 с.

64. Пярин В.А. Безопасность электронного бизнеса. / Издатель: Гелиос АРВ 2002 Г.-432 с.

65. Пярин В.А. Кузьмин А.С., Смирнов С.Н. Безопасность электронного бизнеса. / Том 1. Издательство: Гелиос АРВ. 2002 г. 432 с.

66. Сердюк В.А. Перспективные технологии обнаружения информационных атак//Системы безопасности.-2002.-№5.

67. Рейнолдс Мэтью. Электронная коммерция. Основы программирования. Beginning E-Commerce with Visual Basic, ASP, SQL Server 7.0 and MTS. / Серия: Программист программисту; Издательство: Лори; 2001 г. - 538 с.

68. Россик Е.А. Толковый словарь экономических терминов и понятий/ Е. Я. Россик, Ф. Н. Клюев. Изд. 2-е. - Ростовн/Д: Феникс, 2008. - 157, 1. с. -(Словари).

69. Соколова А.Н. и др. Электронная коммерция: мировой и российский73