CC BY
9Тестирование комплексного программного решения для организации безопасного офиса
Калининский Даниил Сергеевич
магистрант, кафедра «Сетевые информационные технологии и сервисы», Московский технический университет связи и информатики, daniilblag28@gmail.com
В данной статье представлено исследование, посвященное тестированию комплексного программного решения для организации безопасного офиса, базирующегося на применении биометрической аутентификации по лицу. Подробно описываются методология и результаты тестирования, продемонстрировавшие высокую работоспособность предложенного решения и его соответствие функциональным требованиям.
В статье обсуждаются ключевые аспекты системы, включая модули аутентификации, контроля доступа и мониторинга. В работе также представлены рекомендации по дальнейшему улучшению программного решения, которые охватывают усовершенствование алгоритмов, устранение выявленных ошибок, оптимизацию производительности и улучшение пользовательского опыта.
В итоге статья приносит ценный вклад в область информационной безопасности, представляя практический пример эффективного применения биометрической аутентификации в организационных условиях. Это исследование имеет важное значение для разработчиков программного обеспечения, специалистов в области информационной безопасности и управления доступом, а также для организаций, стремящихся повысить уровень своей информационной безопасности. Ключевые слова: биометрическая аутентификация, безопасный офис, тестирование ПО, контроль доступа, мониторинг, улучшение производительности, усовершенствование алгоритмов, пользовательский опыт, информационная безопасность.
Введение
С развитием цифровой эры и увеличением количества конфиденциальных данных, которые хранятся и передаются в электронном виде, вопросы информационной безопасности становятся все более актуальными. [1-4] Специальное внимание при этом уделяется вопросам аутентификации и авторизации пользователей, поскольку именно от эффективности этих процессов во многом зависит общая безопасность информационных систем. [5-6]
Биометрическая аутентификация, основанная на уникальных физиологических или поведенческих характеристиках человека, представляет собой один из наиболее перспективных подходов в данной области. [7] Однако использование биометрической аутентификации требует особого внимания к вопросам безопасности хранения и обработки биометрических данных. [8-10]
Обзор стратегий тестирования
Тестирование в процессе создания системы идентификации пользователя является критическим этапом, позволяющим обнаружить и исправить баги и несоответствия, а также убедиться в корректности работы системы [11]. В зависимости от специфики и функционала системы, можно выбрать разные подходы к тестированию.
Одним из вариантов является функциональное тестирование, цель которого - убедиться, что система соответствует всем функциональным спецификациям. В процессе такого тестирования проводится анализ всех потенциальных сценариев работы с системой и ее поведения в разнообразных условиях.
Еще одна стратегия - это тестирование на устойчивость, в рамках которого оценивается надежность и стабильность системы. При этом проверяется способность системы справляться с различными неожиданными обстоятельствами, такими как отказы аппаратуры или сбои программного обеспечения [12].
Также возможно применение методики проверки на безопасность, целью которой является обнаружение слабых мест в системе, подверженных взлому и неавторизованному использованию. В рамках этого подхода анализируется стойкость системы к взлому и ее соответствие нормам безопасности [13].
Дополнительно, можно провести тестирование производительности для измерения скорости и эффективности работы системы. В этом контексте оценивается время реакции системы, скорость обработки информации и другие показатели производительности [14].
Методика тестирования на совместимость также имеет место быть, проверяя способность системы работать совместно с другими системами и устройствами. Такой подход проверяет работоспособность системы с различными операционными системами и браузерами, а также с другими программными и аппаратными средствами [15].
В общем, выбор подходов к тестированию определяется исходя из требований к системе и ее функциональных возможностей. Более того, важно провести тестирование на всех стадиях разработки системы, от начального дизайна до окончательной проверки перед запуском системы в работу.
X X
о
го А с.
X
го т
о
м о м
Сл>
J
<
DO О
Интерпретация результатов тестирования и оценка качества разработанного программного продукта
Созданное ПО представляет собой полноценное приложение, обладающее широким функционалом, ориентированным на обеспечение безопасности в офисе. При инициализации программы открывается стартовое окно, выполняющее роль защиты приложения. По умолчанию в программе используются логин и пароль "admin", однако IT-специалист, отвечающий за безопасность в компании-пользователе, должен произвести смену этих данных (рисунок 1).
Далее рассматривается процесс внесения сотрудников в систему, для чего предусмотрены вспомогательные кнопки: "Смотреть" - активирует видеопоток с веб-камеры, «Пауза» -позволяет зафиксировать изображение для оптимального кадра, «Стоп» - используется для остановки видеопотока, если была выбрана неправильная камера, и «Сделать снимок» - служит для создания фотографии пользователя, как показано на рисунке 4.
Рисунок 1. Стартовое окно ПО
Пройдя аутентификацию, пользователь входит в главное меню приложения. Здесь располагаются четыре кнопки, которые предназначены для биометрической регистрации пользователей, конфигурации уровней доступа к рабочему месту, мониторинга процессов и создания снимков экрана. Внешний вид меню представлен на рисунке 2. В окне также доступны различные настройки интерфейса и дополнительный функционал.
Рисунок 4. Пример работы веб-камеры
После получения удачного снимка необходимо сохранить данные для последующего их анализа с помощью алгоритма биометрии лица, как демонстрируется на рисунке 4.
Я ProjectMD
Файл Вид Настройки Помощь
(ГТпТО
Уровни доступа персонала
Отслеживание процессов
Рисунок 2. Главное меню с выбором функции ПО
Теперь обратим внимание на первую кнопку, называемую «Регистрация пользователя». Для доступа к этому разделу программы необходимо ввести логин и пароль, установленные специалистом по информационной безопасности. В этом разделе осуществляется регистрация новых пользователей. Как видно на рисунке 3, выбирается веб-камера, которая будет служить источником видеопотока.
Рисунок 5. Сохранение биометрических данных лица
Далее на рисунке 6 представлен интерфейс второй вкладки, к которой имеют доступ только специалисты, знающие логин и пароль. В этой вкладке производится добавление уровней доступа и определение приложений, которыми может пользоваться конкретный сотрудник.
Я РгауесИ/Ю - □ X
Файл Вид Настройки Помощь
Добавление уровня доступа: ^
^J | Добавление приложения: | | Githnb.exe
Уровни доступа:
Первый уровень Второй уровень Третий уровень
Вы берите уровень доступа
Удаление уровня доступа
Рисунок 3. Интерфейс регистрации пользователя
Рисунок 6. Настройка уровней доступа сотрудников
Здесь доступен следующий функционал: три кнопки - «Добавление уровня доступа» - эта кнопка позволяет ввести новый уровень доступа, заданный в текстовом поле, «Добавление приложения» - эта кнопка отвечает за ввод приложений, к которым будет иметь доступ определенный уровень доступа пользователя, и «Удаление уровня доступа» - она нужна для
удаления случайно добавленного или уже ненужного уровня
доступа (рисунок 7).
вЭ РгеуейМЙ
Файл Вид Настройки Помощь
уровня доступа:
] Добя!
Уровне доступа:
Второй уровень gifhnb.exe google.exe
Первый уровень sqldb.exe
Удаление /. ров ни доступа
Обновить список
Discord: 759,672 сек. ApplicatioiiFramellosI: 1,1)47 сек. Ic.vilHiiiilHo t: 37,331 сек. CalcnlatorApp: 0.4S4 сек. NVIDIA Share: 330,422 сек. SystemSeltiogs: II4S4 сек. chrome: 4523,25 сек. MD: 2,531 сек.
-ну: S4,766 сек. WINWORD: 17,875 сек.
Щ ProjectMD
файл Вил Напройки Поишь
|l»
Выбнрнте сьрнвшот ¡i¡ спнска ниже лля аросмогра: (: ( J:i:i:i:i i D'. sktop MD MD Ьшлм4 Debag [ ti -Lui -i't u bu!_Ü.PjL: C:\l"sersVIaHHtn\Desktiíp\MD\MD\l}ÍQ\x(i4\DebQg\ScreeQshiíts\screeQshiít_l.PQg
Рисунок 7. Добавление уровней доступа и приложений
Третья часть меню, также скрытая от обычных пользователей и предназначенная для администраторов, позволяет наблюдать за активными процессами и затраченным на них временем, что может быть полезно для обнаружения вредоносных действий или недобросовестных пользователей. Интерфейс этого раздела представлен на рисунке 8.
Рг^ес1Г*ТО - □
Файл Вид Насгронкн Помощь
Рисунок 8. Мониторинг процессов
Теперь перейдем к последнему, четвертому пункту меню, который также предназначен для администраторов и служит для сбора данных о деятельности на рабочем месте. Этот функционал можно настроить так, чтобы фиксировать изображение рабочего стола через заданные промежутки времени (рисунок 9).
Рисунок 9. Снимки рабочего стола
В этой вкладке создаются скриншоты, список которых отображается в форме. Для удобства использования программы можно дважды щелкнуть на выбранном файле и просмотреть его в области ниже, где расположен рюШгеЬох, как показано на рисунке 10.
Рисунок 10. Пример просмотра скриншотов с использованием интерфейса программного обеспечения
В данной программе также реализованы механизмы обработки ошибок для каждой формы и каждого текстового поля, обеспечивающие непрерывную работу приложения.
Рекомендации по улучшению программного решения
Ниже представлены некоторые предложения по улучшению разработанного программного обеспечения для биометрической аутентификации:
1. Повышение уровня точности идентификации лиц: Это можно достичь путем применения более продвинутых алгоритмов распознавания лиц и обновления базы биометрической информации.
2. Усиление мер по борьбе с фальсификацией: Для устранения возможности мошенничества в системе аутентификации, основанной на биометрических данных, можно внедрить дополнительные методы проверки подлинности, такие как проверка геолокации, анализ временных параметров и других переменных, помогающих подтвердить идентичность пользователя.
3. Оптимизация пользовательского опыта: Для удобства пользователей и распространения технологии рекомендуется усовершенствовать пользовательский интерфейс, а также улучшить скорость и эффективность работы системы.
4. Расширение масштабируемости системы: Чтобы обеспечить более широкое использование технологии аутентификации на основе биометрических данных, необходимо обеспечить возможность ее масштабирования в соответствии с количеством пользователей и операций.
5. Усиление защиты хранения биометрических данных: В целях предотвращения утечек и незаконного доступа к биометрической информации, важно обеспечить ее надежное хранение, например, применяя криптографические методы защиты данных [16].
Дальнейшие исследования
Определим направления дальнейших исследований:
1. Сравнительный анализ: Исследование существующих программных решений для биометрической аутентификации позволит нам узнать, какие функции и характеристики предлагают другие разработчики. Мы сможем сравнить нашу систему по ключевым метрикам, таким как точность распознавания,
I I
О
ГО
>
JH
I
го m
о
ю
2 О
м со
fO CS
о
CS
о ш m
X
<
m О X X
скорость обработки, масштабируемость, уровень безопасности и пользовательский интерфейс. Кроме того, мы сможем выявить области, которые требуют дальнейшего улучшения в нашей системе.
2. Проактивное улучшение: Технология биометрической аутентификации постоянно развивается. Поэтому нам следует исследовать и применять последние научные достижения и передовые алгоритмы в этой области. Например, глубокое обучение и искусственный интеллект предлагают множество возможностей для улучшения нашей системы.
3. Улучшение защиты данных: Биометрические данные -это чувствительная информация, и их утечка может иметь серьезные последствия. В этом контексте мы должны исследовать и внедрять самые передовые технологии и методы защиты данных. Это может включать в себя применение криптографических протоколов, обеспечение физической безопасности хранилищ данных, разработку политик и процедур обработки данных и др.
4. Разработка пользовательского интерфейса: Для обеспечения широкого принятия нашей системы важно создать интуитивно понятный и привлекательный пользовательский интерфейс. Это требует проведения исследований, чтобы понять, какие элементы интерфейса предпочитают пользователи, и как они взаимодействуют с системой. Это может включать в себя исследования пользовательского опыта, А/В тестирование, создание прототипов и пользовательское тестирование.
5. Изучение вопросов конфиденциальности: Поскольку биометрическая аутентификация включает сбор и хранение чувствительных данных, важно обсудить вопросы конфиденциальности. Нам следует исследовать возможные проблемы, связанные с конфиденциальностью данных, и предложить возможные решения. Это может включать в себя анализ юридического контекста, разработку политик конфиденциальности и внедрение механизмов для защиты приватности.
6. Применение в различных областях: Наше программное решение может быть полезным в различных областях. Мы можем исследовать, как его можно адаптировать для использования в различных секторах, таких как корпоративный сектор, образование, здравоохранение, розничная торговля и другие. Это может включать в себя проведение специфических исследований по каждой отрасли, создание специализированных версий нашего продукта и проведение пилотных проектов.
Заключение
Была проведена проверка программной реализации предложенного решения для создания защищенного офисного пространства. В этом контексте были разработаны и описаны методы тестирования, после чего анализировались полученные результаты. Были сформулированы советы по улучшению программного продукта, включающие предложения по повышению производительности, совершенствованию алгоритмов, исправлению выявленных недостатков и улучшению взаимодействия пользователя с системой.
В ходе проверки подтвердилось, что созданное программное решение демонстрирует высокую стабильность работы и отвечает всем поставленным функциональным требованиям. Система успешно прошла тестирование на функциональность, показывая надлежащую работу модулей аутентификации, управления доступом и мониторинга.
Литература
1. Росс, Дж. А. Введение в кибербезопасность: принципы и практика. Издательский дом "Вильямс", 2018.
2. Хакимов, Ф. Ш., Малышев, Н. В. Информационная безопасность. Курс лекций. БХВ-Петербург, 2017.
3. Черданцев, А. В., Хилтон, Дж., Бернап, П. Кибербезопасность в организациях: руководство для менеджеров. Издательство "Манн, Иванов и Фербер", 2020.
4. Красильников, В. А. Информационная безопасность: учебное пособие. Издательство "ИНФРА-М", 2018.
5. Козлов, В. А. Безопасность информационных систем. Учебное пособие. Издательство "Питер", 2019.
6. Смирнов, А. И., Шахов, В. В. Основы информационной безопасности. Учебник для вузов. Издательство "КНОРУС", 2017.
7. Громов, Д. В., Кузнецов, А. Л. Комплексная защита информации. Учебное пособие. Издательство "Бином. Лаборатория знаний", 2018.
8. Иванов, В. А., Петров, П. И. Информационная безопасность организации. Учебник. Издательство "Горячая линия -Телеком", 2016.
9. Новиков, С. А. Информационная безопасность. Основы защиты информации в компьютерных системах. Учебник. Издательство "АльтерПресс", 2018.
10. Петровский, В. А., Сергеев, В. Г. Организация информационной безопасности в корпоративных информационных системах. Учебное пособие. Издательство "КНОРУС", 2019.
11. Cavusoglu, H., Mishra, B., Raghunathan, S. The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers. MIS Quarterly, vol. 29, no. 4, 2005, pp. 705-732.
12. Eckert, J., Knipping, L., König, S. Office Security in the Digital Age: A Systematic Literature Review. International Journal of Information Management, vol. 47, 2019, pp. 63-76.
13. National Institute of Standards and Technology (NIST). NIST Special Publication 800-53: Security and Privacy Controls for Federal Information Systems and Organizations. NIST, 2020.
14. International Organization for Standardization (ISO). ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements. ISO, 2013.
15. International Telecommunication Union (ITU). ITU-T X.805: Security Architecture for Systems Providing End-to-End Communications. ITU, 2010.
16. National Cyber Security Centre (NCSC). Available at: https://www.ncsc.gov.uk/. Accessed: May 18, 2023.
Testing a comprehensive software solution for organizing a secure office Kalininskiy D.S.
Moscow Technical University of Communications and Informatics
JEL classification: C10, C50, C60, C61, C80, C87, C90_
This article presents a study on testing a comprehensive software solution for organizing a secure office based on the use of biometric face authentication. The methodology and test results are described in detail, demonstrating the high performance of the proposed solution and its compliance with the functional requirements.
The article discusses key aspects of the system, including authentication, access control, and monitoring modules. The paper also presents recommendations for further improvement of the software solution, which cover the improvement of algorithms, elimination of identified errors, performance optimization and improvement of user experience. As a result, the article makes a valuable contribution to the field of information security, presenting a practical example of the effective application of biometric authentication in organizational settings. This study is important for software developers, information security and access control professionals, and organizations seeking to improve their information security. Keywords: biometric authentication, secure office, software testing, access control, monitoring, performance improvement, algorithm improvement, user experience, information security. References
1. Ross, J. A. Introduction to cybersecurity: principles and practice. Williams
Publishing House, 2018.
2. Khakimov, F. Sh., Malyshev, N. V. Information security. Lecture course. BHV-
Petersburg, 2017.
3. Cherdantsev, A. V., Hilton, J., Burnup, P. Cyber security in organizations: a guide
for managers. Publishing house "Mann, Ivanov and Ferber", 2020.
4. Krasilnikov, V. A. Information security: a tutorial. Publishing house "INFRA-M",
2018.
5. Kozlov, V. A. Security of information systems. Tutorial. Publishing house "Peter",
2019.
6. Smirnov, A. I., Shakhov, V. V. Fundamentals of information security. Textbook for
high schools. Publishing house "KNORUS", 2017.
7. Gromov, D. V., Kuznetsov, A. L. Complex protection of information. Tutorial.
Publishing house "Binom. Laboratory of knowledge", 2018.
8. Ivanov, V. A., Petrov, P. I. Information security of the organization. Textbook.
Publishing house "Hot line - Telecom", 2016.
9. Novikov, S. A. Information security. Fundamentals of information security in
computer systems. Textbook. Publishing house "AlterPress", 2018.
10. Petrovsky, V. A., Sergeev, V. G. Organization of information security in corporate
information systems. Tutorial. Publishing house "KNORUS", 2019.
11. Cavusoglu, H., Mishra, B., Raghunathan, S. The Effect of Internet Security Breach
Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers. M.I.S. Quarterly, vol. 29, no. 4, 2005, pp. 705732.
12. Eckert, J., Knipping, L., König, S. Office Security in the Digital Age: A Systematic
Literature Review. International Journal of Information Management, vol. 47, 2019, pp. 63-76.
13. National Institute of Standards and Technology (NIST). NIST Special Publication
800-53: Security and Privacy Controls for Federal Information Systems and Organizations. NIST, 2020.
14. International Organization for Standardization (ISO). ISO/I EC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements. ISO, 2013.
15. International Telecommunication Union (ITU). ITU-T X.805: Security Architecture
for Systems Providing End-to-End Communications. ITU, 2010.
16. National Cyber Security Center (NCSC). Available at: https://www.ncsc.gov.uk/.
Accessed: May 18, 2023.
X X
o
0D >
c.
X
0D m
o
ho o ho M
