отзыв официального оппонента на диссертацию Бутузова Владимира Вячеславовича «Оценка и регулирование рисков нарушения информационной безопасности флуд-атакуемых серверов компьютерных сетей», предоставленную на соискание ученой степени кандидата технических наук по специальности «05.13.19 - Методы и системы защиты информации, информационная безопасность» Актуальность работы Проблема обеспечения информационной безопасности с каждым годом становится все более значимой. Множество глобальных и корпоративных компьютерных сетей (КС), все чаще подвергается атакам злоумышленников, что приводит к нарушению работоспособности критически важных сервисов и, как следствие, влечет за собой значительный ущерб. К числу наиболее опасных атак можно причислить атаки типа флуд, которые заключаются в отправке злоумышленником потока запросов в адрес атакуемой КС, в результате чего нарушается доступность сервисов. Существует множество типов флуд-атак. В данном исследовании рассмотрены атаки типа «1М-флуд», «DNSфлуд», «SMS-флуд» и «Email-флуд». Реализуются вышеописанные атаки на базе различных протоколов передачи информации в отношении серверов КС (СКС). В целях повышения эффективности атак, а также для нанесения большего ущерба злоумышленники используют сети зараженных и подконтрольных им компьютеров или же ботнеты, которые позволяют отправлять огромное количество вредоносных сообщений за короткий промежуток времени. В то же самое время методики противодействия подобного рода атакам требуют систематического развития и модернизации, так как механизмы, способы и средства деструктивных воздействий рассматриваемого типа на атакуемые СКС постоянно совершенствуются. Таким образом, задача разработки эффективных методов оценки и регулирования рисков флуд-атак представляется весьма актуальной. Результаты исследований в этой сфере позволят оптимизировать и усовершенствовать уже существующие методы и средства защиты информации в КС, а также - построить эффективные алгоритмы противодействию флуд-атакам различных типов. Работа выполнена в соответствии с одним из научных направлений ФГБОУ ВПО «Воронежский государственный технический университет»: «Управление информационными рисками инфокоммуникационных и обеспечение технологий» на информационной базе безопасности Воронежского научно­ образовательного центра управления информационными рисками. Научная новизна работы Полученные в данной работе результаты, включающие в себя новейшие аналитические модели оценки ущерба от реализации флуд-атак, риск-модели, алгоритмы противодействия атакам, а также рекомендации по организации мероприятий по защите информации в условиях интенсивных атак отличаются научной новизной и адекватностью рассматриваемой проблеме. 1. В диссертационной работе впервые получены аналитические выражения ущерба от реализации флуд-атак типа «1М-флуд», «DNS-флуд», «SMS-флуд» и «Email-флуд». Их отличительной чертой является учет поведения атакуемой СКС во времени. 2. Автор работы впервые затронул вероятностную оценку успеха флуд- атак на основе вероятностей переходов между различными состояниями СКС в ходе реализации в отношении данных сетевых атак. 3. Практические рекомендации по обеспечению защищенности СКС в отношении флуд-атак обогащены аналитическими выражениями, позволяющими получить количественные оценки уровня защищенности подконтрольной системы. В этом также выражается научная новизна настоящего исследования. Научная и практическая значимость работы Данную работу считаю научно- и практически значимой и полезной, исходя из следующих факторов: 1. Работа вносит существенный вклад в развитие теории риск-анализа, дополнив данный аппарат аналитическими разработками, направленных на обеспечение безопасности КС в отношении флуд-атак рассматриваемых типов. Диссертация расширила представления об основных способах и принципах успешной реализации флуд-атак на СКС, а также мерах по повышению эффективности защитных средств и механизмов. 2. Практическая значимость использования предложенных работы заключается в возможности выражений, моделей, алгоритмов и практических рекомендаций по управлению рисками флуд-атак для повышения информационной безопасности различных КС. 3. Практическая подтверждается их значимость внедрением в результатов исследования производственный процесс также в АО «Конструкторское бюро химавтоматики» и внедрением в учебный процесс ФГБОУ ВПО «Воронежский государственный технический университет», что подтверждено соответствующими актами внедрения. Обоснованность результатов работы Результаты диссертационной работы справедливо признать достоверными ввиду того обстоятельства, что ходе ее написания был задействован ряд эффективных научных методов: - положения теории цепей Петри-Маркова позволили разработать наглядные вероятностные схемы переходов между различными стадиями атаки с указанием вероятностей достижения успеха на каждом из ее этапов; - теория вероятностей и математической статистики предоставила научнометодическую базу для оценки вероятностей успешной реализации рассматриваемых видов флуд-атак, основой для которой послужили статистические данные; - теория системного анализа призвана осуществить комплексный подход к обеспечению защищенности СКС в отношении флуд-атак с учетом особенностей функционирования каждого существенного в условиях атаки структурного элемента СКС; - аппарат теории риск-анализа представляет собой эффективную методику построения риск-моделей безопасности СКС в отношении флуд-атак с целью регулирования таких рисков и управления защищенностью КС в целом; - статистические данные были представлены ведущими отечественными и зарубежными организациями в области информационной безопасности, а их анализ осуществлен с использованием современных методик обработки информации; - результаты работы обладают качественными совпадения с результатами, представленными в работах д.т.н. Зегждой П.Д., д.т.н. Лосем В.П., д.т.н. Калашниковым А.О. в области анализа и управлении информационными рисками реализации различных деструктивных информационных воздействий на компьютерные сети и прочие телекоммуникационные структуры. Материал изложен корректно, доказательства и допущения приведены грамотно, что подтверждается представленными математическими моделями. Таким образом, результаты исследования справедливо признать достоверными. Публикации и апробации работы На основе данного диссертационного исследования опубликовано 15 научных работ, из их числа 9 получили публикации, рекомендованных ВАК РФ. Результаты данного исследования представлены в 1 учебном пособии, 1 монографии и 1 статье в издании по перечню SCOPUS. Результаты данной диссертационной следующих научных конференциях: работы были представлены на Всероссийская научно-техническая конференция «Перспективные исследования и разработки в области информационных технологий и связи» (Воронеж - 2013 и 2014 гг.); - Межрегиональная научно-практическая конференция «Инновации и информационные риски» (Воронеж - 2013 и 2014 гг.); - Межвузовская неделя науки в сфере информационной безопасности (Воронеж - 2013 и 2014 гг.). Замечания по работе Несмотря на общую положительную оценку данной работы, следует также отметить ряд недостатков, упущений и недоработок данного исследования. 1. При моделировании процесса развития флуд-атак не были учтены некоторые процедуры сетевых флуд-атак (в силу пренебрежимо-малой вероятности их проявления). Это может привести к получению не совсем адекватных результатов риск-оценки в случае, если пропущенные этапы будут иметь место в реальности. 2. В части разработки рекомендаций по регулированию риска реализации атак типа «DNS-FLOOD» автором не рассмотрены вопросы использования программно­ аппаратных маршрутизаторов и интеллектуальных систем обнаружения и нейтрализации флуд-атак, которые в настоящее время все чаще используются для защиты от данного вида деструктивного информационного воздействия. 3. В ходе исследования была рассмотрена вредоносная программа IM-flooder. В качестве параметров построения риск-модели было взято среднее время рассылки команды устройствам с вредоносной программой. Однако среднее значение недостаточно полно характеризует данный параметр, т.к. статистический ряд показателей времени рассылки команд на ЭВМ различной вычислительной мощности имеет значительную дисперсию. Заключение по работе В целом перечисленные недостатки не ослабляют общего мнения о работе. Диссертационное исследование на тему «Оценка и регулирование рисков нарушения информационной безопасности флуд-атакуемых серверов компьютерных сетей» представляет собой комплексное решение актуальных на сегодняшний день задач по обеспечению информационной безопасности компьютерных систем в отношении угроз флуд-атак типа «1М-флуд», «DNS-флуд», «SMS-флуд» и «Emailфлуд». Автореферат правильно отражает содержание диссертации. Основные научные результаты исследования достаточно полно отражены в публикациях, в т.ч. и по перечню ВАК, а также докладывались на различных научно-практических конференциях. Исследование соответствует специальности 05.13.19 - «Методы и системы защиты информации, информационная безопасность». Таким образом, считаю, что диссертационная работа соответствует требованиям «Положения о присуждении ученых степеней», которые предъявляются к диссертациям на соискание научного звания, и ее автор Бутузов Владимир Вячеславович достоин присуждения ученой степени кандидата технических наук по данной специальности. Официальный оппонент, кандидат технических наук, начальник отдела эксплуатации средств передачи данных и телекоммуникационного оборудования Воронежского информационно­ вычислительного центра структурного подразделения Главного вычислительного центра Филиала ОАО «Российские железные дороги», 394036, г. Воронеж, ул. Кольцовская, д. 22а, email: dkovalenko@serw Коваленко Дмитрий Мифодьевич