АНАЛИЗ НОВЫХ СИСТЕМ ЗАЩИТЫ ВЕБ-СЕРВИСОВ Текст научной статьи по специальности «Компьютерные и информационные науки»

3.M. Yang, N. Ahuja and D. Kriegman. Face recognition using kernel eigenfaces. Image Processing: IEEE Transactions - 2000. - Vol.1. pp. 37- 40

4.V. Kazemi and S. Josephine. One millisecond face alignment with an ensemble of regression trees. In CVPR, 2014. [Electronic source] // URL: http://www.csc.kth.se/~vahidk/papers/KazemiCVPR1 4.pdf.

5.Facial recognition. [Electronic source] URL: https://ai.nal.vn/facial-recognition/

6.F. Schroff, D. Kalenichenko, and J. Philbin. Facenet: A unified embedding for face recognition and clustering. In Proc. CVPR, 2015. [Electronic source] // URL: https://www.cv-foundation.org/openaccess/content_cvpr_2015/app/1A _089.pdf.

7.Neha Rudraraju, Kotoju Rajitha, K. Shirisha, Constructing Networked, Intelligent and Adaptable Buildings using Edge Computing [Electronic source] // URL:

http://ijrar.com/upload_issue/ijrar_issue_20542753.pd f

8.Dalal N., Triggs B. Histograms of Oriented Gradients for Human Detection // Proc. of the IEEE

Conference Computer Vision and Pattern Recognition. 2005. pp. 886-893.

9.Christopher M. Bishop F.R.Eng. Pattern Recognition and Machine Learning. [Electronic source] // URL: https://goo.gl/WLqpHN.

10.Kaiming He, Xiangyu Zhang, Shaoqing Ren, Jian Sun. Deep Residual Learning for Image Recognition [Electronic source] // URL: https://arxiv.org/abs/1512.03385

11.Face recognition [Electronic source] // URL: https://github.com/ageitgey/face_recognition

12.Howse J. OpenCV Computer vision with Python. - Packt Publishing Ltd., UK. 2013.

13.Riaz Ullah Khan, Xiaosong Zhang, Rajesh Kumar. Analysis of ResNet and GoogleNet models for malware detection [Electronic source] // URL: https://www.researchgate.net/publication/327271897_ Analysis_of_ResNet_and_GoogleNet_models_for_ma lware_detection

14.Boranbayev S.N., Amirtayev M.S. Development a system for classifying and recognizing person's face. Евразийский Союз Ученых (ЕСУ). -№ 4(73). - 2020, с. 15 - 24.

АНАЛИЗ НОВЫХ СИСТЕМ ЗАЩИТЫ ВЕБ-СЕРВИСОВ_

DOI: 10.31618/ESU.2413-9335.2021.6.84.1304 Магистр Раимов М.Е., PhD, Мукашева А.К., к.п.н, Исаева Г.Б

«Гумарбек Даукеев атындагы Алматы Энергетика жэне Байланыс Университетi», Алматы цаласы, Цазацстан. https://orcid.org/0000-0002-7171-3310 https://orcid. org/0000-0001-98904910 https://orcid. org/0000-0001-4860-3 79 7

АННОТАЦИЯ

В статье был разработан обзор задач защиты Веб-сервисов предприятий от противоправных действий, представлена стандартная структура данного сервиса, описаны специфические моменты Веб-среды, которые оказывают влияние на защиту сведений. Проведен анализ потенциальных угроз, осуществлена их систематизация, разработаны мероприятий по устранению обнаруженных слабых мест Веб-сервисов.

Ключевые слова: Веб-сервис, сайт, неавторизированный доступ, конфиденциальная информации, система киберзащиты, аутентификация, идентификация, авторизация, разрешение и разграничение прав доступа, локальная сеть, протокол обмена сообщений и т.д., кибератака, инцидент.

На сегодняшний день каждая компания сильно задумывается о защите Веб-сервисов. Злоумышленники периодически пытаются заполучить различные сведения о частном лице, организации для их последующего несанкционированного использования.

Почти все компании занимаются бизнесом на реальном рынке и в Интернете, в котором текущие и будущие клиенты, деловые партнеры получают возможность воспользоваться удобными Веб-сервисами. А злоумышленник может заполучить любые данные организации, которые предназначены для взаимодействия с Веб-сервисом.

На основе выше сказанного можно утверждать о актуальности и востребованности проблемы защиты Веб-сервисов.

В работе были рассмотрены стандарты, позволяющие добиться информационной безопасности (ИБ) Веб-сервисов, изучены этапы и действия для достижения данной целы. Отдельно был проанализирова механизм защиты Веб-сайт, выступающего в роли структурной единицы Веб-сервиса.

Веб-сервис - программный компонент. Осуществить его вызов можно удаленно. Данный элемент имеет определенные возможности в плане функционала. Он расположен в доступе базовых Протоколов сети. Воспользоваться указанным компонентом можно при желании больше одного раза. Количество его повторений неограниченно.

Рис. 1. Схема удаленного взаимодействия поставщиков и клиентов

Веб-сервисы никак не связаны с программной платформы, не зависят от языка программирования. Базисом данного компонента принято считать стандарт XML.

Схема удаленного контакта поставщиков и клиентов Веб-сервиса показана на рис. 1.

Язык WSDL протокол - обязательный инструмент поставщика, которым он зайдействовает для Веб-сервиса. Его основное назначение - подготовка WSDL протокол-документ в регистре Веб-сервиса. Данный инструмент позволяет потом еще и опубликовать разработанный документ. Для описания внутренних устройств, интерфейсов регистра используется стандарт UDDI. Клиент определяет необходимый Веб-сервис на основе сведений об адресе документа. Потом поставщик предоставляет клиенту желаемый Веб-сервис. Для обмена сообщений между двумя объектами применяется Протокол SOAP.

Описанная схема помогает наглядно увидеть особенности Веб-сервисной среды. Эти специфические моменты оказывают

непосредственное влияние на некоторое количество особенностей, с которыми можно столкнуться при обеспечении защиты:

- Максимальная простота и открытость сведений. Целью создания Веб-сервисов было формирование наиболее доступных условий, предоставление возможности для объединения гетерогенных приложений.

- Не зависимо от уровня защиты сети в ней не присутствуют физические границы, что позволяет осуществить быстрое и удобное соединение с прочими программными компонентами, приложениями.

- Применение Интернета в качестве средства для обмена информацией. Такой подход предоставляет всем лицам, которые занимаются противозаконной деятельностью, возможность заниматься перехватом данных. Для реализации этой цели может быть задействовано множество способов.

- Отправка данных происходит в формате XML.

- Наличие возможности осуществить групповую адресацию сообщений, которая мешает полноценно использовать средства ИБ, предназначенные для передачи на один адрес.

- Наличие очень слабых мест в архитектуре Веб-сервисов. Например, регистров. Уязвимость отдельных компонентов может после DDoS-атаки стать причиной одновременного выхода их строя большого количества Веб-сервисов.

- Минимизация участия пользователя в процессах функционирования программных компонентов.

Веб-сервис — общее понятие для стандартов мирового уровня. Для их разработки был использован язык XML. Международные стандарты предназначены для обмена сведениями между компьютерами. Кроме того программные компоненты помогают совершать бизнес-функции, транзакции через всемирную паутину. Самые главные функции обладают высокой производительностью и создают гарантированную связь с подсистемами, внутри и снаружи организаций, филиалов.

Для запуска любых систем являются следующие первостепенные компоненты Веб-сервиса:

- Серверная инфраструктура для приложений.

- Интерфейс главного сервиса.

- Хранилище всех информационных данных и описание интерфейса для WSDL протокол со справочником.

- Веб-сервис клиентской стороны;

- Сервисная связь между разными Протоколами.

Для Веб-сервиса было придумано уже большое количество определений.

Не смотря на изобилие различных формулировок, массовое распространение получило лишь одно определение. В этой трактовке сказано, под Веб-сервисом будет правильно понимать определенную услугу в области предоставления информации. И ее назначение

сводится к публикации сведений на основе SOAP стандарта W3C [1]. Клиентской стороне SOAP нужно обладать определенными познаниями в классификации доступов. Добиться описания свойств доступа можно при помощи формата другого стандарта W3C. Немаловажную роль в получении необходимой характеристики играет язык WSDL протокол. Для публикации файлов WSDL протокол используется SOAP.

Специалисты аналитического отдела организации OASIS подготовили перечень основных угроз Веб-сервиса. К ним принято относить официально неразрешенные

корректировки сообщений, потеря их секретности, отсутствие подтверждения подлинности отправителей, DDoS-атаки. Все описанные опасности стандартов идентичны угрозам, с которыми постоянно приходиться сталкиваться электронным ресурсам.

Обеспечение ИБ Веб-сервисов подразумевает использование технологий для защиты сведений, которые уже получили массовое одобрение. К ним можно отнести кодирование, цифровые подписи, использование паролей и т. д. Стандарты соответствуют специфичной архитектуре ИБ Веб-сервисов. При этом нее утратили актуальность стандартные механизмы архитектуры.

Схема главных стандартов и спецификации защиты данных Веб-сервисов представлена на рис. 2.

WS-Secшrity уже давно завоевал большую популярность у пользователей со всех стран. Он позволяет получить описание процедур распознавания и авторизации в среде, без которой невозможно представить обмен $ОАР-сообщениями.

Рис. 2. Основные стандарты, спецификации ИБ Веб-сервисов

WS-Security —аутентификация пользователя. Для осуществления данной процедуры нужны логин/пароль, сертификаты Х.509, Протокол Kerberos. Каждая из перечисленных технологий предназначения для получения электронной подписи. Нельзя забывать и про шифрование SOAP-сообщений. Существуют специальные механизмы кодирования XML Encryption.

Основное условие защиты Веб-сервисов — комплексность. Ни одно SOAP-сообщение не должно быть подвергнуто каким-либо изменения. Уделяется внимание и сохранности отдельных компонентов:

- интерфейсам;

- средствам поиска сервисов и т.д.

Сегодня для сферы стандартизации ИБ Веб-сервисов характерны динамичный рост, совершенствование. Следовательно, для обеспечения высокого уровня ИБ мы настоятельно советуем воспользоваться современными и актуальными версиями стандартов, спецификаций.

Множество компаний делают особый акцент на оформлении собственных интернет-ресурсов, их функциональности и продвижении. Организации совершенно забывают про простые компоненты безопасности. Основой Веб-сервиса считается Вебсайт. Сейчас очень часто происходит взламывание корпоративных Веб-сайтов, что подразумевает наличие у них слабой защиты, возникновение сбоя

в функционировании Веб-серверов после перезагрузки одного или более сервисов.

Изучим основные этапы защиты Веб-серверов, способные помешать успеху атак хакеров, устранить их последствия. Указанные методы считаются простыми для использования. Ими может воспользоваться любая компания.

Веб-серверы - базис мировой паутины. И для них безопасность считается наибольшей частью системы. Наличие в серверах слабых мест возникло

из-за обмена данными между пользователями. У хакеров есть возможность осуществить корректировку код сервера, базы данных [1]. Добиться полной защиты Веб-серверов можно только в случае объединения усилий администратора интернет-ресурса, разработчика программ, проектировщика. Важный момент в безопасности играет установка специального ПО.

Принято выделять 3 этапа безопасности Вебсервера показаны на 3 рисунке.

Этапы защиты УУеЬ-сервера

ГЭтап Наименование Состав этапа

I этап Начальный уровень безопасности 1. Обновление и модернизация установленного ПО. 2. Разделение задач по серверам. 3. Удаление лишних (ненужных) программ и приложений.

11 этап Защита от вторжения 1. Установка Firewall. 2. Удаленное администрирование системы. 3. Ограничение на использование скриптов. 4. Фильтрация пакетов с помощью маршрутизаторов. 5. Повышение квалификации сотрудников, разграничение прав.

III этап Обнаружение и защита от атак 1. Разделение привилегий. 2. Аппаратные системы защиты. 3. Внутренний межсетевой экран. 4. Системы обнаружения атак на сеть. 5. Системы обнаружения атак на сервер.

Рис. 3. Основные стандарты, спецификации ИБ Веб-сервисов

Рассмотрим основные действия по каждому из

них.

I этап. Первоначальный уровень безопасности.

1. Обновление ПО

Этот метод считается наиболее результативным, помогает легко уменьшить уровень риска. Его суть — регулярная проверка действующего стандарта на предмет наличия обновлений.

Потребность в регулярном обновлении обусловлена возможность взлома системы, который киберпреступники могут совершить быстро и легко в любой момент. Качественная защита - главный атрибут ОС, ПО, сети для работы с сетевыми пакетами, системы безопасности. Только лица, имеющие специальный доступ, должны осуществлять с ними работу.

Алгоритм постоянного мониторинга ПО:

- Запускается процедура, позволяющая узнать о появлении на рынке обновлений системы.

- Выбирается соответствующая новая версия ПО, устанавливается на компьютер.

2. Дифференциация задач по серверам

Безопасность сведений нельзя представить без

использования специальных ресурсов. Именно они несут ответственность за стабильное функционирование сервисов, могут стать причиной их выхода из строя. Каждый сервер должен быть заранее хорошо защищен от любых хакерских атак. Не допускается установка на одном персональном компьютере сервера информационных баз и электронной почты [2].

3. Удаление лишних программ

Присутствие на компьютере посторонних ПО, которые не используются в рабочих целях, только увеличивает потенциальную опасность. Такие программы могут привести к взлому сервера. Существует привилегированное ПО, которое используется для работы с сетевыми пакетами. Активировать его может только администратор. Некоторые такие ПО могут быть включены при помощи ОС, используемыми киберпреступниками в своих целях.

II этап. Защита от вторжения.

1. Установка Firewall

Установка брандмауэра между внутренней сетью и Веб-сервером поможет обезопасить сеть, предотвратить попадание в нее ненужных пакетов. Firewall - единственный источник для спасения Веб-сервера, расположенного за корпоративной сетью. Если сервер расположен в сети, хакеры смогут преобразовать стандартный процесс функционирования сети, нарушить его [3].

2. Удаленное администрирование системы

Работа с сервером через физическую консоль -

не совсем удобное решение в некоторых случаях. Системный администратор обладает правом задействовать на Веб-сервере ПО, предназначенное для реализации удаленного управления системы. Это не лучший вариант для поддержания безопасности сервиса. Поэтому для осуществления защиты Веб-сервера потребуется выполнять ряд определенных шагов:

А) Кодировать трафик управления в удаленном режиме для предотвращения возможности перехвата кибер-преступниками

управления трафиком сети, получения паролей, установки собственных приложений.

Б) Фильтровать пакеты при управлении в удаленном режиме из необходимой конфигурации хоста.

В) Контролировать уровень безопасности данной конфигурации.

Г) Не забывать про кодирование, не пользоваться для предотвращения возможности изменения IP адреса хакерами только фильтрацией пакетов.

3. Ограничение на применение скриптов

На большом количестве Интернет-ресурсов есть скрипты, которые запускаются после включения сайта. Хакеры могут воспользоваться скриптами, которые содержат ошибки, зайти благодаря им в сеть. Следовательно, программистам требуется выполнять проверку разработанного кода до его размещения в интернете. Скрипты не должны стать причиной включения посторонних приложений, команд. Они не предназначены для осуществления определенных задач пользователей.

4. Фильтрация пакетов маршрутизаторами

Маршрутизаторы нужны для отделения Вебсервера от сети. Благодаря им сеть защищена от посторонних пакетов. Они могут удалять пакеты, не идущие на сервер, к портам, необходимым для удаленного администрирования системы. Подбор необходимых пакетов, которые не вызовут проблем в работе маршрутизатора, позволит усилить безопасность. Маршрутизатор способен сформировать надежную защиту от действий хакеров. Однако использование фильтрации приведет к снижению пропускной способности маршрутизатора.

5. Повышение уровня компетенции работников, разделение прав

Отсутствие необходимого уровня знаний у системных администраторов — потенциальная причина низкого уровня безопасности системы. Сотрудники этой области должны постоянно совершенствовать свои познаний, проходить специальные курсы, находить и изучать последние актуальные материалы [2].

III этап. Поиск и защита от атак.

1. Разграничение привилегий

Это действие помогает разложить по категориям возможности пользователя, который получил разрешение воспользоваться только конкретным перечнем сведений, рабочих приложений. Работа всей системы может быть сильно изменена, подорвана за счет информации, которой владеет лишь один пользователь. Его знания становятся настоящим оружием в руках хакеров. Только личные поддиректории могут стать гарантом безопасности пользователей, получивших права для записи.

2. Аппаратные системы защиты

В области распределения привилегий для аппаратной системы характерен максимальный уровень безопасности. Она не так легко модифицируется, как ПО. Киберпреступники после

взлома ПО могут заполучить доступ к аппаратным средствам. Предотвратить подобную ситуацию поможет ограничение режима записи на внешние жесткие диски (только чтение).

3. Внутренний межсетевой экран

Веб-серверы постоянно контактируют с

другими хостами, получают сведения, распространяют их дальше. Компьютер можно установить внутри корпоративной сети за межсетевым экраном, что позволит обезопасить хранящуюся информацию. Для защиты от киберпреступников рекомендуется

воспользоваться внутренним межсетевым экраном. С его помощью можно ограничить рабочие серверные системы от остальной части сети. Такой подход поможет предотвратить возникновение хакерской атаки на всю сеть.

4. Системы поиска атак на сеть

Любой сервер может стать главным виновником поломки Веб-сервера, даже если у него была защита от внешних атак. Единственным правильным решением при возникновении подобной опасной ситуации является получение данных об ошибках за короткий период времени. Это действие гарантирует восстановление нормального режима функционирования сервера. Оно поможет не столкнуться еще раз с возникшей ошибкой. Для обнаружения необходимых данных нужно заручиться поддержкой специальных поисковых средств. Например, сетевых систем обнаружения вторжений (IDS). Их назначение -сканирование трафика, определение нестандартной активности, нарушения защиты, блокировки сервера. После выполнения своих основных функций они сформируют отчет по поводу обнаруженных нарушений. Администратор может получить необходимое сообщение на электронный адрес, увидеть его на компьютере.

5. Системы поиска атак на сервер

Поисковые системы атак — эффективный

инструмент для анализа состояния сети. Серверные IDS имеют более высокий уровень доступа к состоянию сервера. Они помогают осуществить результативную проверку наличия следов нарушений взлома сервера. Их минус — выключение после вторжения хакера на Вебсервер. В результате администратор не получит уведомление об нападении. Серверные IDS могут перестать работать после DDOS-атака. Они останутся недееспособными, пока не будет устранена поломка сервера. Эти системы помогают кибер-преступникам осуществить блокировку сервера без вхождения него. Поэтому в серверных IDS должна быть установлена сетевая система поиска атак [3].

Только качественное ПО станет гарантией получения надежной защиты Веб-сервисов. Обновление системы и отдельных компонентов должно осуществляться на регулярной основе. Администраторы сети должны обладать высокой компетентностью, уметь создать все требуемые условия для безопасности Веб-сервиса, которая подразумевает обслуживание Веб-сайтов.

Основные причины проблем безопасности Веб-сайта:

A) Неправильная конфигурация, некорректное действие над Веб-сервером, способное стать причиной раскрытия, изменения данных.

Б) Слабые места ПО Веб-сервера.

B) Неадекватные защитные механизмы Вебсервера из его окружения.

Г) В ПО сервера присутствуют ошибки, позволяющие хакерам нарушить безопасность Вебсервера.

Кибер-атака может быть выполнена из внешней, внутренней стороны сети. Поэтому кибербезопасность нужно еще учитывать и внутри сети.

Список литературы

1. Запечников С.В. Информационная безопасность открытых систем. М.: ГЛТ, 2016. Т. 1. 536 а

2. Мерсер Д. Создание надежных и полнофункциональных веб-сайтов, блогов, форумов, порталов и сайтов-сообществ. Вильямс -М., 2018. 272 с.

3. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: учебное пособие. М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2017. 416 с

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ ДОННЫХ ДЕФОРМАЦИЙ В ПРИБЛИЖЕНИИ

КИНЕМАТИЧЕСКОЙ ВОЛНЫ

Школьников С.Я., Крутов АН.

РЕЗЮМЕ

В статье обсуждаются два возможных подхода к обобщению кинематической волновой модели для деформируемых русел, включая приближение, в котором закон сохранения массы жидкости включает эрозию и осаждение; а также приближение, согласно которому поток жидкости определяется кинематическим волновым уравнением без учета деформаций дна.

Сравнение результатов систематических численных расчетов с автомодельным решением для волн с различными значениями расходов воды показало хорошее совпадение.

Ключевые слова: Кинематическая волна, математическая модель, автомодельное решение, размываемое русло.

Введение

При решении задач трансформации стока часто используют уравнение кинематической волны: одну из простейших математических моделей руслового потока, основанную на использовании закона сохранения массы жидкости, замкнутого уравнением Шези или Дарси-Вейсбаха [1, 2]. Применение такой математической модели допустимо в том случае, когда линейный и временной масштабы рассмотрения явлений достаточно велики, эффекты, связанные с инертностью потока, несущественны; кроме того, отличие уклона водной поверхности от уклона дна водотока тоже несущественно. Такой подход возможен при больших масштабах рассмотрения, но может абсолютно не соответствовать действительности при более мелком рассмотрении, так как при более детальном анализе основную роль в развитии волнового процесса играет силовое воздействие и инертность потока, а на некоторых участках возможен даже и обратный уклон дна. При установившемся режиме течения уравнение кинематической волны переходит в формулу равномерного течения, то есть это математическая модель квазиравномерного течения воды в русле. Не смотря на вышеупомянутые существенные ограничения, оценки, выполненные с помощью этой математической модели, часто дают удовлетворительные результаты для оценки параметров течения в руслах без подпорных сооружений.

Математическое моделирование

длинноволновых процессов с использованием уравнения кинематической волны широко применяется при моделировании поверхностного стока, распространения в руслах паводковых волн и волн попусков из водохранилищ.

Кроме того, уравнения кинематической волны представляют интерес и для понимания происходящих в реках процессов. Так, в [3] на основе аналитических решений уравнения кинематической волны было найдено теоретическое объяснение обнаруженного перед тем в работах различных авторов факта - уровень затопления при прорыве напорного фронта плотины на некотором удалении от нее перестает зависеть от формы гидрографа излива и определяется только объемом опорожнившегося водохранилища.

В данной работе рассматривается два возможных подхода к обобщению модели кинематической волны для деформируемых русел (для широких прямоугольных русел):

- подход, в котором используются законы сохранения массы жидкости и наносов в деформируемых руслах, а расход и скорость течения определяются по формулам Шези иди Дарси-Весбаха,

- ещё более грубое приближение, в котором считается, что течение жидкости определяется с использованием уравнения кинематической волны без учета донных деформаций, а донные