Личный сайт Дениса Кардаша наука, дипломы, фотографии, картины, стихи, пьесы и многое другое |
Консультации по написанию диплома
Термины.
ВКР - выпускная квалификационная работа = диплом;
ПЗ - пояснительная записка;
ТЗ - техническое задание;
Типы дипломов.
Есть два типа ВКР. Это - дипломный проект и дипломная работа. Это две большие разницы: дипломный проект посвящён защите конкретного объекта (помещения, сервера, сети и т.п.), а дипломная работа посвящена научным вопросам. |
Техническое задание.
Как пример я предоставляю ТЗ для дипломников-ВМщиков. Как пример пригодно именно такое ТЗ. Написано конкретно про объект разработки - то что требуется заказчику разработки. Образец - то, что я сам написал. Типовой ошибкой при его написании (редактировании, так как чаще всего я пишу его сам для дипломника) является то, что студент начинает писать в него то, что он сделал в дипломе. Этого делать нельзя ни в коем случае. Нельзя, например, делать в ПЗ выбор того, обязательное использование чего задано в ТЗ. Написано, например в ТЗ: "Разработать программу на языке C#", стало быть ПЗ не может содержать в себе параграф "Выбор языка программирования". Что его выбирать, когда он уже задан? Так что если вы хотите оставить "Выбор языка программирования", то ТЗ должно содержать пункт "Разработать программу" без указания языка. Ещё пару слов про моё участие в написании ТЗ. В некоторых случаях финальный вид темы обозначается довольно поздно. А пока это он не определён - писать ТЗ невозможно. Хорошо вот ВМщикам писать - принципиального изменения темы у них произойти не может. У них я ТЗ пишу сразу, а вот вовлечённость ЗИшников в этот процесс гораздо больше. Так что я пишу черновик ТЗ, который потом дипломник доделывает сам (обязательно консультируясь со мной). Время написания ТЗ в этом случае будет чуть позже, чем начало практики, но обязательно до госэкзамена. |
Базы практики
Они бывают разными. Я бы выделил такие их типы:
Сложный тип базы практики... Дело в том, что эта база занимается практической защитой информации, но вашим дипломом она не заинтересована вовсе. Их задача - заставить вас делать то, что нужно им. Причём, брать дипломников себе (под своё консультирование) они не желают. По факту - они просто оставляют дипломника с навязанной ими темой один на один (хорошо, если взятый консультант будет всё-таки в курсе вопроса). | |
Второму типу базы практики не интересно ничего. Полная свобода и независимость. Но материалов каких либо вы от них не получите. Их (материалов) просто нет. Если вы знаете, что будете делать, знаете как делать, понимаете про объект, имеете нужные материалы, предприятие возглавляет ваш дядя, то это вполне хороший вариант. | |
Самый хороший вариант, если у вас есть тема, но нет объекта. База практики может предоставить объект, дать данные, но не ставить требования по тематике диплома. |
А вообще - преддипломная практика предназначена для того, чтобы дать возможность студенту собрать материалы для диплома, а не для того, чтобы просто время занимать ненужной работой.
Содержание.
У каждого(ой) будут свои особенности, но в целом можно привести примерный их вид. Я добавляю два примера содержания: не оформленное и оформленное. Имейте в виду - это просто примеры, они дипломниками писаны, одно - даже не моим. А потом - читаем подробнее.
Структура ВКР.
Написать правильную структуру - половина успеха. Ну уж, если не половина, тогда - треть. Части этой структуры должны следовать одна за другой, но не просто - следовать, а продолжать предшественника. |
Введение - краткое описание того, что разработано, а не рассуждения в общем о значении защиты информации. Далее ВКР в целом делится на такие разделы как:
1. Расчетно-проектная часть: пишем то, что разработали. Понятно, что у каждого будет своя специфика, но основные моменты будут одинаковы.
1.1. Анализ объекта защиты. Что мы защищаем. Т.е. какие предметы подлежат защите. Вообще анализ, как и любой другой параграф, заканчивается какой-то мыслью. Я часто привожу дипломникам, что ПЗ должна писаться как сонет (есть такая стихотворная форма в которой каждая следующая строка рифмуется с предыдущей, а последняя строка рифмуется с первой). Так и в параграфы в дипломе должны быть последовательно связаны друг с другом. А заключение диплома связано с ТЗ.
1.2. Анализ уязвимостей объекта защиты. От чего мы защищаем. Например, имеющийся документ можно защищать от нарушения целостности и от нарушения конфиденциальности.
1.3 Анализ нарушителя. Частенько пишут "Модель нарушителя", только это уж больно громко звучит. Все равно все сводится к перечислению: "два типа нарушителя - умный и глупый". Но сказать от кого мы собираемся защищаться - нужно.
Нужно контролировать, что бы одинаковые слова не повторялись очень часто. Тавтологию нужно избегать. Также - не нужно писать таких слов, как "описание" и т.п. Каждое слово должно показывать вашу РАБОТУ! Не "описание" (которое сводит диплом до реферата), а - "анализ", который показывает что было сделано. Вообще оглавление должно "кричать": "мной сделано!", а не рассуждать на тему "вот такой объект есть..". Также в содержании не нужно делать больше третьего уровня параграфов. Т.е.: четвертый уровень пунктов списка и выше не делайте: параграфы 1.1.1.1, 1.1.1.2 не делайте. По крайней мере - старайтесь очень в эти уровни не углубляться. |
2 Специальная часть: пишем то, что есть только у нас. Какая-то индивидуальная наша "интересность".
3 Обоснование экономической эффективности от внедрения: тему подскажет консультант по экономической части, но существо у неё будет таким. Должны посчитать сколько вообще разрабатываемая система стоить будет.
4 Расчет рисков. Есть специальный консультант по этой части. Нужно посчитать какие риски у нас были до нашей системы, и какие после её внедрения. Хочу обратить внимание - риск измеряется в рублях, а не в процентах или чем-то подобным. Риск - произведение стоимости объекта защиты на вероятность её преодоления. Также - вероятность преодоления - это функция от времени: P=f(t). Частенько об этом просто забывают и пишут что то вроде: "Риск составит 120 единиц", а нужно: "Риск составит 120 тысяч рублей за год функционирования системы". Следует понимать, что ЗИ - это такая же отрасль науки, как и все остальные, и в ней действуют общие законы и понятия. Даже если вы пользуетесь программой "GrafApp" ( :-( ), о том, какую размерность имеют риски, нужно всё равно помнить.
Дело в том, что уже на протяжении многих лет просмотровые комиссии и ГАК пытаются выяснить, как это риски можно вычислять в процентах. Риски по определению вычисляются в денежных единицах. Однако, когда вы эти риски считаете, значение риска, то вы используете параметр "Относительная стоимость", стало быть и риск у вас получается с этим "довесочком" - "Относительный риск". Тогда он действительно безразмерный и лежит в диапазоне [0-1]. А что бы перевести его в денежный вид, то его нужно просто умножить на суммарную стоимость защищаемых объектов, тех, которые принимали участие в вычислениях полного набора значений относительной стоимости ресурса. |
5 Заключение - пишем, что написанное в ТЗ успешно реализовано. Обязательно должны быть численные показатели: стоимость, надежность и т.п. которые показывают, что требования ТЗ выполнены успешно, а также показать ещё какие то результаты ВКР.
6 Список использованных источников
Марковская модель.
Также отдельно хочу упомянуть отдельную тему: марковские модели. Не у всех они будут, но у кого-то будут обязательно. Вообще марковские модели в ЗИ - способ вычисления веролятностей проникновения злоумышленников в отдельные зоны помещений. Вообще сам Марков может быть и не знал ничего о защите информации. Марковская модель это модель, которая опирается на объекты, множество состояний которых конечно. А для ЗИ это можно сказать примерно так: мы рассматриваем, что по нашему объекту ходит злоумышленник, состоянием которого является то, что он дошел куда-то, а не вся его жизнь с рождения. Получается, что состояние будет например: "злоумышленник дошедший до зоны А5". Когда потребуется - напишу про них подробнее, но сейчас про нее забывать не нужно - это способ определения вероятности реализации угроз. Марковская модель - это не способ изображения помещений! |
Слова, слова, слова...
Нужно будет провести анализ стандартов по решаемым вопросам. Результатом этого будет выбор тех стандартов, на которые будете опираться. На некоторых объектах такие стандарты фиксированы, но проанализировать эти документы также нужно обязательно.
ТЗ пишете в будущем времени, несовершенной форме, в стиле распоряжения: "разработать", "рассчитать", "обеспечить" и т.п. ПЗ, наоборот, в прошедшем времени, совершенной форме: "разработано", "рассчитано", "обеспечено" и т.п. |
Объект защиты.
Так вот - вы должны точно знать, что вы защищаете. Вы должны знать, как оценить это. И это касается любой темы! Например "защита сети" - ни кому ни чего не говорит, а вот "защита персональных данных, передаваемых по сети" говорит о том, что с конкретной вычисленной вероятностью злоумышленник не получит доступ к данным и не принесет предприятию конкретный ущерб. И так - с чем угодно. И образование также (стоимость обучения, за коммерческих - платят сами, а за бюджетных - платит государство) и все другие объекты - точно так же.
Я хочу обратить внимание на понимание того, что именно мы защищаем. Например - я люблю конфеты и защищать я буду - конфеты. Именно конфеты, а не их виртуальные образы. Если я защищаю виртуальные образы конфет - значит я защищаю финансовые права (фактически - деньги) производителей конфет. Оно и так и так имеет смысл защищать (это конечно шуточный пример), но нужно точно понимать, что мы защищаем. Это может не быть существом диплома, но если ответа на этот вопрос нет - считай диплом не сделан. Это уж потом можно рассуждать и конкретизировать в волю: мне вот шоколада нельзя, много сахара употреблять вредно и т.п., но основы это менять не будет - защищаю конфеты. Практически под конфетами обычно имеют в виду материальные ценности или их финансовую сторону. |
При написании ПЗ нужно помнить, что существо записки заключается в описании того, что сделано. Я всегда привожу в пример стиль "венок сонета": первая строка рифмуется со второй, вторая - с третьей и т.д. а последняя - с первой. Точно также нужно писать и ПЗ. Первая строка - ТЗ. Введение пишем - что в ТЗ написано то, что делать нужного будем. Потом пишем, что на основании введения, нужно понять, что у нас за объект, из чего он состоит. Потом пишем, что для описанного объекта будем рассматривать следующие законы. Потом пишем, что для объекта, в соответствии с законами, выделяем следующие угрозы... От них защищаемся следующим образом... А то, что сделали, будет иметь следующие характеристики... А стоить это всё будет... Заключение - таким образом, то что сделали соответствует требованиям ТЗ. |
Это конечно грубо и приблизительно, но такую кольцевую "рифму" нужно держать. ПЗ должно быть связанным и читаемым.
Я бы рекомендовал бы сначала написать первый черновик (если ещё не написали), в котором были бы только названия параграфов и короткие преамбула и частный вывод по этому параграфу. А потом уже наполнять такой черновик.
Еще хочу напомнить не в первый раз, что существо ПЗ в том, что бы показать, что именно вы СДЕЛАЛИ. Описания чужих вещей не нужно, а вот забывать упомянуть "было разработано" (а не "мной было разработано", в ПЗ всё пишем в третьем лице) - нельзя. Каждая страница должна кричать: "это я сделал(а)!"
Также хочу пару слов написать про исследования патентов. Раньше эта часть была довольно значимой, а сейчас всё как-то на "нет" сошло. Да и понятно это - патентное исследование предполагает, что сделано хоть что-то, а если всё просто скопировано - так и писать не понятно про что. Но: пример патентной справки (для ВМ) прилагаю - может потребуется. |
Любят очень студенты писать про настройку чего угодно. Настройка нужна, только писать о настройке, например, WiFi-маршрутизатора особо нечего. Опять-таки - это в основном просто повтарение инстукции пользователя того, что настраивается. Да и в названиях лучше писать что-то вроде: "Разработка системы информационной безопасности", чем: "Настройка сетевого оборудования". |
Итак - диплом готов.
Кто такой рецензент.
Хочу ещё пару слов написать, кто такой рецензент и что с ним делать. Рецензент – это тот, кто читает весь диплом (ПЗ, презентацию, дополнения – всё-всё) и пишет отзыв, что он прочёл, что – хорошо, а что – не очень. Пишет свои замечания, на которые в самом конце защиты председатель ГАК предоставляет возможность вам ответить. И от этого предложения отказаться нельзя! Чаще всего, рецензент у вас спрашивает: «замечание какое написать?». Иногда рецензенты пишут сами замечания. Бывает, что рецензент пишет, что замечаний нет. Но это как правило отбраковывается на уровне предзащиты. Такую рецензию просто вернут и предзащиту не зачтут. И вообще – комиссия, когда слышит, что замечаний нет, это создаёт у неё негативное впечатление: или рецензент просто не читал или он просто врёт. Так что сейчас без недостатков обычно не пропускают. Чаще всего, недостаток (или недостатки, 2-3) пишет себе сам дипломник. Не порядок конечно… так делаться не должно… но: very volo dura mater est… верная воля даст вам хорошую поддержку в рецензии. Недостаток(ки) нужно написать так, что бы они звучали как достоинства. Если написать: «однако ПЗ содержит орфографические ошибки» – это негативно отразится на рецензенте (зануда, буквоед), если написать: «в дипломе недостаточно полно раскрыт вопрос дипломного проектирования» – это ударит по вам, скажут: «если недостаточно полно, тогда на следующий год придёте защищаться». А если напишете что-то вроде: «не понятно, каким образом осуществляется управление hubом», ваш ответ будет превращать этот недостаток в достоинство: «действительно, в ПЗ не приведена программа, написанная для него. Объём программы не позволил включить её в ПЗ. Управление осуществляется через собственную программу». Сложность, правда, не в этом, а в том, что нести все материалы нужно рецензенту уже в большой спешке. На предзащиту вы уже должны явиться с подписанной рецензией и другими материалами с подписью рецензента. В лучшем случае – у вас всё примут, в худшем – заставят переделовать документы и вы побежите переподписывать документы у рецензента. Так чаще всего и бывает. Обычно, рецензенту совершенно все равно, какие там ещё от вас документы потребовали – подпишет заново, но вы должны приехать к нему за этим, застать его, получить, так сказать аудиенцию. И рецензент – стороннее лицо, к университету не принадлежащее, но принадлежащее области. Пример рецензии. |
Предзащита.
Очень часто студенты ждут того дня, какой написан в расписании чтобы пойти на неё. Делать так не нужно! Потому что получается: первый день – приходит один человек, второй – приходит два человека, третий – три человека, четвёртый – все остальные. А в процессе предзащиты дипломникам говорят что изменить, где изменить. И они должны прийти на предзащиту ещё один (хорошо – если только один) раз. Так что в последний день на предзащите начинается сумасшедший дом. Вывод – чем раньше вы покажете свой диплом на предзащите, тем проще будет её проходить и тем больше у вас будет времени для исправления указанных недостатках. А вообще на предзащите вы выходите перед просмотровой комиссией и делаете доклад, как на защите. Только без проектора, а презентация лежит перед комиссией. Пока вы говорите, комиссия листает ПЗ и смотрит то, что вы показываете на листах презентации. После этого начинаются вопросы, из которыми вам показывают, что и как нужно изменить в дипломе. После чего председатель просмотровой комиссии (по крайней мере, я так делал, пока был председателем) проверяет все подписи на документах. Как правило – чего-то да и нет. Говорят: «ладно. Иди – переделывай». Идёшь, переделываешь и завтра опять идёшь на предзащиту (конечно, если переделки сделаны). Смотрят опять. Члены комиссии каждый подписывает акт о предзащите. Могут подписывать по одиночке. И вот когда все подписи в акте есть, все документы подписаны, печати и отзывы/рецензии есть (кстати рецензия и отзыв не подшиваются вообще, а отдаются отдельными листами секретарю ГАК, а ПЗ на предзащиту не подшивается – подшивается только на защиту), председатель ставит последнюю подпись и отправляет каждого к зав. кафедрой, который ставит крайнюю подпись и отправляет к секретарю ГАК. |
Презентация.
Сразу хочу написать, что презентация – официальная шпаргалка, которая показывает на себе те пункты доклада, который вы делаете. Доклад идёт как последовательность кадров презентации. Кадры должны быть связанными друг с другом. Кадры должны быть связанными в последовательность: каждый следующий должен быть связан с предыдущим. Хотя бы – по смыслу. Кадры обычно нумеруют, что бы комиссия, имея на руках листы презентации, могла просто вам сказать в процессе вопросов: «а вот покажите снова пятый кадр», а не мучится тратя время на: «а вот покажите кадр, где квадратиков розового цвета много». Презентация должна быть контрастной и чётко видной при показе через мультимедийный проектор. Бледно-голубые линии на розовом фоне будут в принципе не видные. Тот вариант презентации, который будет подшиваться в ПЗ, печатается черно-белым, как и те, которые раздаваться будут. А кадры можно сделать и цветными, но – контрастными. Нужно помнить, что на кадрах не должно быть много текста – всё равно его ни кто там читать не будет (и виден текст будет плохо – мелко). Картинка в кадре должна быть содержательная и лаконичная. Кадров не должно быть очень много. Здесь (впрочем, как и в других местах) не количество определяет качество работы, а их содержание. Подсчёт простой: регламент – 7 минут. Если 14 кадров, то на каждый кадр уходит пол минуты. Если – 28 кадров, тогда – 15 секунд. А сказать что-то за 15 секунд у вас не получится. Поэтому перед вами задача оптимального выбора: чтобы было не долго, но чтобы полностью отражало диплом. Презентация должна отражать существо проекта, а не повторять структуру ПЗ (хотя это вещи связанные). Могу дать вам два варианта презентаций: первый и второй. |
Защита.
Помните – самый плохой вопрос: «А что Вы делали?». На защите (да и на предзащите) нужно все сводить к тому, что сделано лично вами (а не описанию того, что в мире есть). Стиль этого доклада – наглая и решительная похвальба о том, что было сделано. Защита – это вообще мероприятие вроде рекламы (научной рекламы) СВОЕЙ работы. На защите нужно говорить только о том, что делали вы лично, а не рассказывать об особенностях используемых (чужих) технологий. Причём, нужно понимать, что времени на всё это у вас будет очень мало. По регламенту вообще 5-7 минут. Затягивать выступление на 15 минут – нельзя. Председатель просто прервёт, а это совершенно вам не нужно. Подробнее – после того, как сделается первый вариант презентации… Сильно тороплюсь? Но… как говорил Гай Юлий Цезарь: «предупреждён – значит вооружён». Когда то ведь дойдёте и до этого. |
P.S.
Работа со мной проходит с использованием режима рецензирования MsWord.