CC BY
342
контрактной службы, возникающим при оценке заявок, окончательных предложений участников закупки товаров, работ, услуг для обеспечения государственных и муниципальных нужд.
Список литературы:
1. Федеральный закон от 5 апреля 2013 г № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальный нужд».
2. Постановление Правительства Российской Федерации от 28.11.2013 № 1085 «Об утверждении Правил оценки заявок, окончательных предложений участников закупки товаров, работ, услуг для обеспечения государственных и муниципальных нужд».
3. Богацкая С.Г. Новый порядок оценки заявок: юристам придется учить высшую математику [Текст] / С.Г. Богацкая // «Ценный совет», Москва, 2014.
4. Серажетдинов Р.Р. Порядок оценки заявок, окончательных предложений участников закупки [Текст] / Р.Р. Серажетдинов // «Госзаказ: управление, размещение, обеспечение», Москва, №37, 2014 - с.41 - 49.
5. Ясенев, В.Н. Информационные системы и технологии. / В.Н. Ясенев. - М.: ЮНИТИ-ДАНА, 2012. - 160 с.
6. Calafiore Giuseppe C. Optimization Models / Calafiore Giuseppe C. - Cambridge Academ, 2014, - p. 117-127.
7. Kendall Kenneth. Systems Analysis and Design / Kendall Kenneth - John Wiley & Sons, 2011, - p. 59-63.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ WEE-САЙТОВ
Матяш Екатерина Дмитриевна
магистр кафедры Автоматизированные системы управления МИРЭА, г. Москва
Никонов Вячеслав Викторович
кандидат технических наук, доцент кафедры Автоматизированные системы управления МИРЭА, г. Москва
Иванова Ирина Алексеевна
кандидат технических наук, доцент кафедры Автоматизированные системы управления МИРЭА, г. Москва
АННОТАЦИЯ
В статье описаны самые распространенные виды атак и различные уязвимости, с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.
ABSTRACT
В статье описаны самые распространенные виды атак и различные уязвимости, с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.
Ключевые слова: уязвимость, защита, защита информации, Dos-атака, сервер, информационная безопасность.
Keywords: Vulnerability, security, information security, Dos-attack server.
Большинство современных информационных систем создаются в виде Web-сайтов, поэтому безопасности необходимо уделить особое внимание.
Как только появляется устройство с операционной системой и программным приложением, оно сразу же привлекает интерес злоумышленников. Они начинают его изучать и взламывать. В последний год этой тенденции было посвящено много докладов на крупных хакерских конференциях.
Разработчики не всегда уделяют особое внимание полной защите и безопасности созданных сайтов, хотя она и играет очень важную роль, потому что каждый сайт так или иначе может быть подвергнут взлому хакеров, если учитывать то, что сайты могут быть, самые что ни на есть, разнообразные: электронные библиотеки, социальные сети, Web-порталы различных учебных заведений, онлайн-магазины, официальные сайты всяких организаций, банков и прочее.
В первую очередь, необходимо обратить внимание на безопасность веб-сервера, так как именно он отвечает за
прием и обработку НТТР-запросов от клиентов к веб-сайту. Именно он обеспечивает функционирование многочисленных веб-сайтов по всему миру, а так же отвечает за базовые услуги и хранит персональные данные, как пользователей, так и посетителей сайта. Необходимость защиты серверов -это одна из самых важных задач любой организации.
Даже во время появления первых Web-сайтов взломщики осуществляли атаки на сайты немаловажных организаций, например, такой как, американский СитиБанк (1994г.), в результате чего было украдено 12 млн. долларов, жертвой так же стали и сайты НАТО, ЦРУ, и Минюста США.
В настоящее время, казалось бы, таких угроз должно стать гораздо меньше или не быть совсем, но, увы, это далеко не так: как и прежде, сейчас производится достаточно большое количество кибератак, причем в основном на такие глобальные организации, как правительственные учреждения и банки. Это обуславливается тем, что на таких кон-тентах можно «заработать» большое количество денег или
же получить/изменить информацию, которая способна каким-то образом повлиять важные для государства события.
Достаточно важным моментом является то, что географическое местоположение сервера, отнюдь, никак не влияет на его защиту. Произвести атаку на него можно с любой точки доступа. Это связано с тем, что Web-серверы в силу своей открытости рассчитаны на передачу информации между пользователями и именно поэтому имеют множество уязви-мостей. К примеру, злоумышленник может внести какие-то изменения (модификации) в код HTTP сервера или сервера базы данных, либо самих страниц веб-сайта, поменяв его изначальную функциональность.
Наиболее распространенные действия правонарушителей кибератак над взломанными сайтами, которые зачастую применяются и по сей день:
• опубликовали ложную информацию на сайте;
• получили несанкционированный доступ к серверу, где были собраны очень стоящие сведения;
• атаковали базу данных о владельцах пластиковых карт банка; украли данные, касающиеся номеров счета основных держателей банковской карты, их имен, фамилий, контактной информации, а затем похитили крупное количество денег;
• создали вирусы, которые легко взламывали пароли, а после использовали зараженные машины для рассылки спама или как базы для хранения украденной информации;
• предприняли атаки на интернет-сайты официальных (правительственных) учреждений различных стран;
• распространили вирусы, которые привели к значительному замедлению скорости работы интернета (были
случаи, что в результате таких вирусов некоторые регионы оказались и вовсе отрезанными от сети);
• Dos-атаки (Denial of Service — "отказ в обслуживании") на сеть с целью переполнения ее дополнительными запросами так, чтобы полезный трафик либо снижался до минимума, либо вовсе прерывался;
• получили доступ к информации, связанной с технологией SecurlD, которая применяется для обеспечения безопасности корпоративных компьютерных сетей (утечка этих сведений может привести к «снижению эффективности» текущей реализации SecurlD, что, в свою очередь, может стать основой для осуществления атак на защищенные ресурсы).
Сейчас существуют различные программы, а так же специальное Web-тестирование, которые могут определить примерный коэффициент безопасности и надежности сайта. Благодаря такому тестированию можно заранее оценить безопасность сайта и его уязвимость.
Предполагается, что каждый третий сайт отслеживается сторонними людьми. Это довольно неприятный и настораживающий факт для Web-разработчиков. Имея всю необходимую информацию об уязвимостях сайта, можно с легкостью его взломать, поэтому главная задача разработчиков в вопросе о надежности и защите сайта состоит в том, чтобы предотвратить как можно больше этих уязвимостей или хотя бы как следует их спрятать.
Лаборатории по предотвращению различных вирусов больше всего стали уделять внимание разработке средств противодействия DDoS атакам (Denial of Service — «отказ в обслуживании»).
Рисунок 1. Принцип осуществления Dos-атаки
Так же существует кибершпионаж, т.е. когда злоумышленники не атакуют информационную систему (или сайт), а просто занимаются кражей всей необходимой информации для своей выгоды.
Более крупные предприятия подходят к информационной безопасности (ИБ) с гораздо большей ответственно-
стью, нежели компании малого и среднего бизнеса (СМБ), отчего эти компании и страдают больше всех. По статистике, именно у них возникает больше инцидентов в контексте информационной безопасности.
Главными жертвами DDoS-атак в основном остаются интернет-магазины и торговые площадки (рисунок 2) [2].
4%
3% 2% А к 2% 25% 1
А
15%
15%
Рисунок 2 - Жертвы DDoS-атак
Интернет-торговля Торговые площадки Игровые сайты Банки
Прочие бизнес-сайты Бпоги и форумы Порносайты СМИ
Государственные ресурсы П рочее
В соответствии с исследованиями, проведенными Лабораторией Касперского [4], около 90% выявленных вредоносных программ - это банковские трояны, которые воруют информацию о банковских картах.
Так же существуют специальные программы, которые блокируют содержимое устройства (в данном контексте -конкретно сайта), пока не будет выплачен «выкуп».
При создании нового сайта разработчики могут воспользоваться либо уже существующими платформами, а точнее CMS (система управления контентом), либо написать все с нуля, но чаще всего малые компании предпочитают пользоваться готовыми инструментами.
Основные функции CMS:
• предоставление инструментов для создания содержимого, организация совместной работы над содержимым;
• управление содержимым: хранение, контроль версий, соблюдение режима доступа, управление потоком документов и т. п.;
• публикация содержимого;
• представление информации в виде, удобном для навигации, поиска.
Главный минус CMS-ок - это то, что у них так же есть свои уязвимости, которые обычно можно найти в интернете.
С каждым годом выходят все новые и новые обновления CMS-ок, а вместе с тем появляются новые уязвимости: хотя необходимо так же (отметить) обратить внимание и на то, что какие-то старые уязвимости предотвращаются.
Но, несмотря на все опасения, не следует считать, что защитить веб-сервер совсем невозможно, нужно лишь приложить некие усилия для обеспечения его безопасности. Для этого потребуются совместные действия администраторов веб-сайтов, программистов и проектировщиков, а так же необходимо учитывать, что антивирусное ПО, операционные системы и права доступа постоянно требуют к себе особого внимания.
Самые популярные способы защиты CMS-ок от различных атак:
1. Защита от XSS-инъекций;
2. Скрытие лишней информации;
3. Принудительное использование SSL;
4. Защиты корневого файла;
5. Методы предотвращение спамеров и ботов;
6. Использование различных плагинов для защиты от зловредных url-запросов;
7. Применение методов предотвращения личеров;
8. "Уничтожение" админа;
9. Защита директорий на сервере от просмотра.
Внедрение современных средств защиты является неотъемлемой частью мероприятий по обеспечению информационной безопасности [6].
Защищать свой сайт - это одна из самых важных задач Web-разработчиков. Если не уделять ей особого внимания - можно приобрести (создать) множество убытков, как в материальном плане, так и в политическом. В связи с тем, что интерес злоумышленников к атакам на Web-сайты не умолкает даже сейчас (если учесть то, что все злонамеренные деяния караются законом), разработчикам необходимо в первую очередь задуматься о его безопасности. Существует множество средств защиты Web-сайтов, но какими бы они не были эффективными все равно необходимо периодически тестировать Web-сайты на уязвимости, которыми в любой момент может воспользоваться взломщик.
Таким образом, главный совет разработчикам и администраторам Web-сайов - неоднократно проверять уровень его надежности и безопасности.
Список литературы:
1. Крис Митчелл. Артем Конев. Обеспечение безопасности веб-сайтов. // Australia: SophosLabs. [Электронный ресурс]. URL: http://help.yandex.ru/webmaster/protecting-sites/ contents.xml (дата обращения: 15.02.2016).
2. Смирнов С.Н. Безопасность систем баз данных -М.: Гелиос АРВ, 2007.-352с., ил.
3. «Лаборатория Касперского»: Сложные кибе-ратаки пришли на смену массовым эпидемиям [Электронный ресурс]. URL: http://pda.cnews.ru/reviews/index. shtml?2014/12/24/591211 (дата обращения: 15.02.2016).
4. DDoS атаки и малый бизнес (Saturday, February 22, 2014) [Электронный ресурс]. URL: http://bezshablona. ospfmon.com/2014/02/ddos_4866.html?m=0 (дата обраще-
ния: 15.02.2016).
5. Бирюков А.А. Информационная безопасность: защита и нападение - М.:ДМК Пресс, 2012.-474.: ил.
6. Сумкин К.С., Никонов В.В., Иванова И.А. Использование беспроводных систем при мониторинге объектов, находящихся под воздействием сетевых угроз // Естествен-
ные и технические науки. 2014. № 3 (71). С. 155-157.
7. Сумкин К.С., Иванова И.А., Никонов В.В., Тере-хин И.В. Нечеткие гибридные системы в задачах защиты, анализа и управления разграничением прав доступа в компьютерных сетях // Актуальные проблемы гуманитарных и естественных наук. 2014. № 6-1. С. 145-150.
АСПЕКТЫ УПРАВЛЕНИЯ ВОДНЫМИ РЕСУРСАМИ В УСЛОВИЯХ КОМПЛЕКСНОГО ВОДОПОЛЬЗОВАНИЯ
Раткович Лев Данилович
профессор, канд. тех. наук, зав. кафедрой комплексного использования водных ресурсов и гидравлики ФГБОУ ВО «Российский государственный аграрный университет -МСХА имени К.А. Тимирязева», г. Москва, Россия
АННОТАЦИЯ
Рассматриваются актуальные проблемы водного хозяйства, связанные с разными способами управления водными ресурсами в интересах комплексного водопользования. Затрагиваются положения государственной водной политики РФ. В частности анализируются водохозяйственные проблемы нескольких речных бассейнов России, связанные с количеством и качеством водных ресурсов. Отмечается низкий уровень водообеспеченности ряда стран и приводится прогноз Института стратегических исследований об ухудшении ситуации к 2025 году. Декларируется необходимость дальнейших научных исследований для совершенствования методики обоснования проектных решений в области водного хозяйства. Рассматриваются инженерно-гидрологические и водохозяйственные задачи и методика их решения. Водохозяйственные балансы представлены как инструмент планирования мероприятий по управлению водными ресурсами. Дается оценка необходимой исходной информации. Рекомендуется методика моделирования речного стока с использованием бета - распределения. Приводится последовательность практического моделирования многолетних рядов годового стока на основе авторегрессии первого порядка. При этом предпочтение отдается простоте и надежности методики. Рассматриваются критерии удовлетворения требований к воде, поскольку именно они определяют масштабы водохозяйственной деятельности. Представлены подходы к обоснованию данных критериев посредством минимизации экономических ущербов. Уделяется внимание методике имитационного моделирования водохозяйственных систем, показана необходимость применения имитационных моделей.
ABSTRACT
This article concerns actual water problems connected with different ways of water management for them effective use. Main positions of the state water policy of the Russian Federation are mentioned. In particular we give short analyze of quantity and quality of water resources of some rivers. Marked the low level of water supply in the several countries. Discussed the water situation in 2025 year in connection with forecast of science. Indicates the need for further scientific researches for perfection of design decisions in the area of a water management. Engineering-hydrological both water-economic tasks with their methods decision are considered. Water economic balances are presented as the tool of planning of actions on water resources management. The technique of modeling of long-term ranks of a river drain with beta distribution use is given. The sequence of practical modeling is based on auto regression of the first order. Thus the preference is given to simplicity and reliability of a technique. Discusses the criteria to meet water requirements, since they determine the cost of water management. Presented some ways to give justification to the criteria by minimizing the economic damage. We say the simulation modeling method is necessary tool to adopt cost effective decisions.
Ключевые слова: управление водными ресурсами, режим водопотребления, критерии удовлетворения требований к воде, моделирование стока, имитационное моделирование водохозяйственных систем.
Keywords: Water management, water consumption, criteria to meet water requirements, modeling of a river flow, simulation modeling of water systems.
Введение
Проблемы комплексного водопользования, актуальные уже на протяжении многих десятилетий, сводятся к созданию эффективных локальных или масштабных водохозяйственных систем, гарантирующих водообеспеченность хозяйственных планов и способствующих улучшению экологического состояния водных объектов.
Водная стратегии РФ [6] указывает на максимально возможное сохранение ресурсов речных водосборов наряду с пополнением запасов подземных вод. Значительное удорожание любых материалов и работ по созданию крупных очистных сооружений стимулирует более широкое применение недорогих, но достаточно эффективных методов очищения воды. В связи с этим большее внимание должно
