CC BY
72Решетневские чтения. 2018
УДК 004.056
НЕКОТОРЫЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ РАЗРАБОТКЕ ИГРОВЫХ КЕЙСОВ
В. В. Золотарев1*, М. В. Созин1, А. Н. Вознюк2, Т. И. Арабова3
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: amida.2@yandex.ru 2ООО «Научно-производительная фирма «Информационные системы безопасности» Российская Федерация, 634050, Томск, просп. Ленина, 28 3ООО «Новатор плюс» Российская Федерация, 344064, Ростов-на-Дону, ул. Инженерная, 6
Рассматриваются вопросы, связанные с взаимодействием внутри геймифицированной образовательной среды, в частности в области игровых кейсов, применяемых для обучения информационной безопасности. Показаны решения противодействия социальной инженерии, перехвату и анализу информации, упомянут перечень активов и рисков, относящийся к игровому кейсу. Подобные решения могут быть применены как для обучения студентов, так и для повышения квалификации персонала предприятий, относящихся к ракетно-космической отрасли.
Ключевые слова: обучение, информационная безопасность, serious games, геймификация.
SOME ASPECTS OF INFORMATION SECURITY IN THE DEVELOPMENT OF GAMING CASES
V. V. Zolotarev1*, M. V. Sozin1, A. N. Voznyuk2, T. I. Arabova3
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
*Е-mail: amida.2@yandex.ru 2 LLC "Research and development company "Information security systems" 28, Lenina Av., Tomsk, 634050, Russian Federation 3LLC "Novator Plyus" 6, Inzhenernaya Str., Rostov-on-Don, 344064, Russian Federation
The issues related to the interaction within the gamified educational environment, in particular in the field of game cases used for information security training, are considered. The solutions of counteraction to social engineering, interception and analysis of information are shown, the list of assets and risks related to the game case is mentioned. Such solutions can be used both for training students and to improve the skills ofpersonnel of enterprises related to the rocket and space industry.
Keywords: training, information security, serious games, gamification.
Введение. Разработка игровых кейсов в информационной безопасности - интересный способ повысить эффективность обучения в этой области. Известно, что подобный подход хорошо зарекомендовал себя в повышении осведомленности о вопросах информационной безопасности, обучении защите от социальной инженерии, тестировании и защите программного кода. В публикациях [1-3] представлены примеры игр, применяемых для решения упомянутых задач. Также известны примеры соревнований Capture the Flag [4], которые в игровой форме представляют решения актуальных проблем безопасности. Также теоретико-игровые методы могут являться частью решений в области безопасности, что способствует разработке кейсов и сценариев их использования в обучении [5].
Основная методика. Информационная безопасность при разработке игровых кейсов достигается за
счет последовательного выполнения защитных действий в отношении основных активов, а именно разрабатываемых заданий, ключей к заданиям, связей между группами разработчиков и игровой образовательной среды.
В представленной работе обсуждается три задачи защиты информации, которые можно выделить в предметной области. Рассмотрим каждую из них подробнее.
Разделение модулей. В процессе разработки можно выделить несколько техник разделения модулей, упорядоченных по возрастанию сложности реализации. Это разработка автономных игровых модулей, имеющих стандартные интерфейсы; разработка игровых кейсов квестового типа (модули и включенные в них ключи (схемы решений) имеют взаимозависимые компоненты, восстановление которых не дает преимущества игрокам без решения соответствующих
Информационная безопасность
модулей); разработка связанного дерева ключевых решений; методы разделения секрета и распределенной идентификации модулей игрового кейса.
Указанные четыре техники отвечают за безопасность разработки заданий и защиту от утечки на этапе проектирования и совместной разработки.
Анализ социальных графов. В процессе разработки игровых кейсов, реализуемых командами различных университетов или территориально распределенными командами, возникает задача защиты от ин-сайдерства. Существуют несколько признаков, появление которых в рабочей группе или команде разработчиков требует дополнительного мониторинга обмена информацией: усложнение и возникновение новых горизонтальных связей социального графа (особенно между разработчиками разных автономных модулей); возникновение связей социального графа с участниками команды или внешними корреспондентами, имеющими развитую сеть контактов; повышение частоты обмена информацией в области контрольных точек разработки, завершения и инициации процессов.
Следовательно, на уровне взаимодействия команд основной задачей работы с инсайдерами является контроль взаимодействий, в том числе путем анализа социального графа. В проектах с удаленным участием такую работу можно выполнять путем анализа профилей социальной сети.
Водяные знаки. Решение вопроса распространения ключей и ответов во время решения игрового модуля участниками может быть основано на водяных знаках, специальных идентификационных признаках заданий, генерируемых автоматически игровой образовательной средой или автономными модулями этой среды. Таким образом, может быть решена проблема передачи ключей и заданий; подмены и использования устаревших решений; подделки и перехвата ключевой информации.
Выводы. Целью данной работы является создание обзорной методики, решающей задачу поддержки разработки игрового кейса квестового типа. Универсальность данной методики позволяет применять ее как при разработке заданий для регулярного обучения в университетской среде, так и для уникальных кейсов для задач повышения квалификации сотрудников предприятий и организаций, в том числе в ракетно-космической отрасли. Некоторые ранее представленные результаты доступны в публикациях [6-8].
Библиографические ссылки
1. Improving Software Security Awareness Using A Serious Game / L. Liu, A. Yasin, T. Li et al. / IET Software, 2018.
2. Design and preliminary evaluation of a cyber Security Requirements Education Game (SREG) / L. Liu, A. Yasin, T. Li et al. / Information and Software Technology, 95. 2018. P. 179-200.
3. Beckers K., Pape S. A. Serious Game for Eliciting Social Engineering Security Requirements // IEEE 24th
International Requirements Engineering Conference (RE), 2016.
4. Shell We Play A Game? CTF-as-a-service for Security Education / E. Trickel, F. Disperati, E.Gustafson et al. / USENIX Workshop on Advances in Security Education (ASE), 2017.
5. Басалова Г. В. Применение методов теории игр в системах обнаружения вторжений // Известия Тул-ГУ. Технические науки. 2017. № 10. С. 207-215.
6. Золотарев В. В., Днепровская Н. В., Куликова С. В. Методический подход к подготовке ит-специалистов на основе сетевого взаимодействия // Современные информационные технологии и ИТ-образование. 2017. Т. 13, № 4. С. 36-45.
7. Дербень А. М. Анализ рисков вусловиях распределенных кибератак // Студенческая наука для развития информационного общества : материалы VII Всеросс. науч.-техн. конф. 2018. С. 280-284.
8. Арабова Т. И. Анализ тональности отзывов на событие для выявления предрасположенности к атакам на персонал // Инжиниринг предприятий и управление знаниями : материалы XX юбилейной Российской науч. конф. 2017. С. 18-23.
References
9. Improving Software Security Awareness Using A Serious Game / L. Liu, A. Yasin, T. Li et al. / IET Software, 2018.
10. Design and preliminary evaluation of a cyber Security Requirements Education Game (SREG) / L. Liu, A. Yasin, T. Li et al. / Information and Software Technology, 95, 2018. P. 179-200.
11. Beckers K., Pape S. A. Serious Game for Eliciting Social Engineering Security Requirements // IEEE 24th International Requirements Engineering Conference (RE), 2016.
12. Shell We Play A Game? CTF-as-a-service for Security Education / E. Trickel, F. Disperati, E.Gustafson et al. / USENIX Workshop on Advances in Security Education (ASE), 2017.
13. Basalova G. Application of game theory methods in intrusion detection systems // Izvestia TulGU. Tech-nicheskie nauki. 2017. № 10. (In Russ.)
14. Zolotarev V., Dneprovskaya, N., Kulikova, S. Methodical approach to training it specialists on the basis of network interaction // Modern information technologies and it education. 2017. Т. 13, № 4. Р. 36-45. (In Russ.)
15. Derben A. Risk analysis in the context of distributed cyber attacks // Student science for the development of information society: proceedings of the VII all-Russian scientific and technical conference. 2018. Р. 280-284. (In Russ.).
16. Arabova T. Analysis of the tone of feedback on the event to identify predisposition to attacks on personnel // Enterprise engineering and knowledge management: proceedings of the XX Russian scientific conference. 2017. Р. 18-23. (In Russ.).
© Золотарев В. В., Созин М. В., Вознюк А.Н., Арабова Т. И., 2018
