CC BY
20
_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №4/2016 ISSN 2410-6070_
ТЕХНИЧЕСКИЕ НАУКИ
УДК 004.056.55
А.В.Авакьянц
Аспирант
Донского Государственного Технического Университета
В.В.Галушка к.т.н., доцент
Донского Государственного Технического Университета Г. Ростов-на-Дону, Российская Федерация
ИНФОРМАЦИОННАЯ СИСТЕМА ОБЩЕОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
Создание информационной системы общеобразовательного учреждения является актуальной задачей, соответствующей общим тенденциям информатизации общеобразовательных учреждений. Данная задача практически всегда решается школами «своими силами», то есть с привлечением либо учащихся, либо учителей. Ни те ни другие, как правило, не являются специалистами в области web-разработки, что крайне негативно сказывается на качестве школьного сайта и в первую очередь на его безопасности, и это при том, что на сайтах школ зачастую размещается информация, относящаяся к категории персональных данных [1].
Исходя из вышесказанного, ставится задача снижения вероятности несанкционированного доступа к конфиденциальной информации, представленной на сайте школы, а её достижение возможно путём решения следующих задач:
— построение иерархии пользователей, соответствующей предметной области и удовлетворяющей требованиям безопасности;
— разработка системы аутентификации и авторизации;
— разработка методики безопасного хранения учётных данных пользователей;
— обеспечение защиты от несанкционированного доступа к информации, хранящейся в базе данных
сайта.
В соответствии с требованиями, все пользователи сайта школы могут быть разделены на следующие группы: администраторы, учителя, ученики, родители.
Существует еще одна группа пользователей, не заданная нигде в явном виде, однако имеющая важное значение для безопасности сайта — гости, то есть посетители зашедшие на сайт и не прошедшие процедуру авторизации.
При этом между группами пользователей существуют взаимосвязи по типу иерархии, то есть одни пользователи подчинены другим. Правильное распределение прав, позволит создать иерархию пользователей, соответствующую как потребностям предметной области, так и требованиям безопасности. Пользователями сайта школы может быть очень ограниченный круг людей, имеющих реальное отношение к данной школе.
Все необходимые сведения о пользователях сайта, уже хранятся в базе данных, а процедура регистрации должна лишь подтвердить его личность и сопоставить введённые логин и пароль с хранимой информацией. Подтверждение личности является наиболее сложной задачей в контексте рассматриваемой системы и не может быть выполнена полностью автоматически без участия других людей. К решению данной проблемы существуют два подхода:
-подтверждение регистрации «в ручную»,
-регистрация по приглашению.
Регистрация с подтверждением означает, что при создании новой учётной записи, человек создавший её, получит доступ к ресурсам сайта не сразу, а только после того, как кто-либо из пользователей, стоящих выше по иерархии, проверит и подтвердит регистрацию.
_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №4/2016 ISSN 2410-6070_
Данный подход реализуется с помощью присвоения новым учётным записям дополнительного атрибута логического типа, означающего активирована она или нет. Однако такой способ регистрации обладает недостатком — любой человек может зарегистрировать неограниченное количество учётных записей, указав в них абсолютно произвольные данные, что создаст чрезмерную нагрузку на тех, кто эти данные должен проверить и принять решение о подтверждении или отклонении регистрации.
К достоинствам данного способа можно отнести: «двойную» проверку — первый раз проверятся номер паспорта, второй раз учётная запись проверяется вручную вышестоящим пользователем.
Однако описанный способ регистрации обладает и некоторыми недостатками: - необходимость ожидания подтверждения;
-необходимость ввода и передачи через интернет личных данных; -дополнительные затраты времени на проверку.
Другим вариантом регистрации, устраняющим перечисленные выше недостатки, является использование пригласительных кодов, когда учитель или администратор сайта выдаёт ученику код, который тот должен ввести при регистрации. Основным требованием к данному коду является уникальность и сложность подбора, поэтому для его генерации на сайте используется механизм глобальных уникальных идентификаторов (GUID).
Данный подход обладает следующими преимуществами:
— значительно упрощается процедура регистрации;
— учётная запись активирована сразу же после регистрации;
— не требуется ввод каких-либо дополнительных данных.
Однако он не лишён недостатков:
1. пригласительный код может быть утерян или украден;
2. пригласительный код необходимо выдавать лично каждому ученику.
Как видно, каждый из описанных способов обладает своими достоинствами и недостатками, а выбор наиболее предпочтительного оставлен пользователям сайта. Никакая сложная система авторизации не будет действовать, если на сайте существуют возможности её обхода посредством эксплуатации различных уязвимостей. Рассмотрим методы защиты от наиболее опасных из них.
Внедрение SQL-кода (англ. SQL injection) - один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Говоря простым языком — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем запроса.
Для предотвращения SQL инъекций следует соблюдать два простых правила:
1. Не помещать в БД данные без обработки. Это можно сделать либо с помощью подготовленных выражений, либо обрабатывая параметры вручную.
2. Не помещать в запрос управляющие структуры и идентификаторы, введенные пользователем, а заранее прописывать в скрипте список возможных вариантов, и выбирать только из них [3].
Важной составляющей безопасности сайта является сохранность паролей пользователей. Получение доступа к паролю позволит выполнять от имени пользователя любые действия и нанести значительный вред сайту.
Простейший подход к управлению логинами и паролями — хранить их в виде простого текста в файле или базе данных.
В следствии своей простоты такой подход имеет несколько преимуществ:
-подтверждение подлинности осуществляется алгоритмически просто - путём сравнения строк:
-забытые пароли можно восстановить - пароль легкодоступен, если указан логин.
Однако данный подход имеет много недостатков:
— Любой с доступом к файлу получает немедленный доступ ко всем паролям. От этого недостатка не защищают даже средства шифрования, встроенные в СУБД, так как они защищают только информацию на диске.
— Вторая проблема заключается в том, что во время обмена аутентификационной информацией
МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «ИННОВАЦИОННАЯ НАУКА» №4/2016 ISSN 2410-6070
пароль видим в сети.
Немного лучший подход к хранению паролей — их шифрование перед сохранением. Данный подход основан на обладании тайной. Тайной является алгоритм шифрования или ключ, используемый вместе с современным алгоритмом шифрования.
Шифрование паролей — обратимая операция. Тайна используется для искажения пароля, и та же самая тайна может быть использована для восстановления оригинального пароля. Когда пользователь задает пароль, сохраненный пароль расшифровывается с помощью тайны, и пароли сравниваются. Альтернативный подход — зашифровать предоставленный пароль с помощью тайны и сравнить две искаженные версии -совпадение показывает, что предоставлен правильный пароль.
Если пользователю надо восстановить пароль, сохраненный пароль расшифровывается и доставляется пользователю по электронной почте.
При хранении хешированных паролей пароль хешируется, и полученный хеш хранится вместо пароля. При авторизации введённый пароль хешируется с помощью той же самой функции и результат сравнивается с хешем, хранимым в БД. Если они совпадают, то и пароли совпадают. Главная особенность необратимой функции заключается в том, что невозможно вычислить пароль на основе хеша. Единственным недостатком хеширования паролей является то, что утерянные пароли нельзя восстановить. Новый пароль приходится создавать и передавать пользователю. Для устранения данной возможности взлома, необходимо, чтобы в качестве паролей, не использовались простые слова. Необходимо добавление к паролю нескольких случайно сгенерированных символов, так называемой соли. При этом будет получен новый хеш, отсутствующий в базах данных, обратное преобразование которого невозможно. Если взломщик каким-либо образом сможет получить доступ к БД и извлечь оттуда пару соль + хеш, то восстановить исходный пароль он всё равно не сможет [2].
Используемая система регистрации позволяется выстраивать иерархию пользователей, характерную для предметной области и гибко распределять права доступа к информационным ресурсам, а её надёжное функционирование обеспечивается мерами по защите сайта от различных методов взлома и блокировкой известных уязвимостей.
Список используемой литературы:
1. Цирлов В.Л. Теоретические основы информационной безопасности автоматизированных систем // М.: Просвещение. — 2006. — 173 с.
2. Хеширование // Википедия. [2007—2015]. Дата обновления: 15.05.2015. URL: http://ru.wikipedia.org/?oldid=70820999 (дата обращения: 15.03.2016)
3. SQL-инъекции // сайт php.net. [2001—2015]. URL: https://php.net/manual/ru/security.database.sql-injection.php (дата обраще-ния: 25.03.2016)
© Авакьянц А.В., Галушка В.В., 2016
УДК 658.562.012.7
Н.А.Аладьев
Магистр 2 курса РГАУ-МСХА имени К.А. Тимирязева
ВОЗМОЖНОСТИ ИСПОЛЬЗОВАНИЯ СТАТИСТИЧЕСКИХ МЕТОДОВ В УПРАВЛЕНИИ КАЧЕСТВОМ
Аннотация
Обосновано использование статистических методов при анализе качества производственных процессов. Приведена последовательность выбора и возможность использования при контроле качества производства молока.
