CC BY
66
Секция «Информационные системы и технологии»
руется при использовании прозрачного шифрования для повышения защищенности базы данных от атак злоумышленников [1].
Существенной проблемой является также и обеспечение безопасности операционной системы, а, следовательно, и данных, хранящихся в ней. Основными механизмами защиты в операционных системах являются:
• идентификация и аутентификация пользователя при входе в систему;
• разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (отдельно к объектам файловой системы, к устройствам, к реестру операционной системы, к принтерам и др.);
• аудит (регистрация событий) [3].
Таким образом, проанализированы способы и методы обеспечения безопасности данных, используемые современными СУБД. Несмотря на существую-
щие методы, проблема обеспечения безопасности далека от своего окончательного решения, поэтому требуется дальнейшее развитие средств защиты данных на алгоритмическом, организационном, аппаратном и программном уровнях.
Библиографические ссылки
1. Безопасность базы данных. URL: http://http://aU4study.ru.
2. Шифрование данных в СУБД. URL: http:// compsmir.ru.
3. Безбогов А. А. Безопасность операционных систем : учеб. пособие. М. : Машиностроение-!, 2007. 220 с.
© Абдугалимова Е. Г., Степурко К. В., 2012
УДК 004.056.53
У. А. Александрова Научный руководитель - В. В. Кукарцев Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
ОБЕСПЕЧЕНИЕ СОХРАННОСТИ ДАННЫХ ПРИ ИСПОЛЬЗОВАНИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Освещены угрозы при использовании мобильных приложений и предложены пути по увеличению уровня сохранности данных.
Сейчас банками предлагается установка на телефон специальных приложений, которые в чем-то повторяют функции интернет-банкинга, но приспособлены для работы на платформах и малых экранах смартфонов, коммуникаторов, а также планшетных компьютеров. Однако в связи с внедрением мобильного банкинга возникли значительные проблемы с информационной безопасностью.
После внедрения мобильных сервисов, банки столкнулись с новыми рисками, которые существенно отличались от привычных, вроде кредитов на чужой паспорт или скиммеров на банкоматах. С другой стороны, из-за реальной угрозы оттока клиентов ввиду финансового кризиса банкам пришлось активнее работать над удобством предоставления своих услуг [1].
Главная угроза безопасности мобильного банкинга заключается не в ИТ-инфраструктуре самого банка и не в каналах передачи данных. Наименее надежная часть системы - это сам клиент и его мобильное устройство. Причем банк не может контролировать клиента и указывать ему правила безопасного поведения при работе со счетом. Он может лишь обратить его внимание на это.
Банк не может проверить документы человека, работающего в системе через смартфон или планшет. Отсюда возникают угрозы: злоумышленник может завладеть мобильным устройством или же данные из устройства могут быть перехвачены шпионским ПО и отправлены преступникам. Ежегодно в России происходит около 100 тыс. краж/утерь мобильников и КПК.
Если владелец записал в памяти телефона свой пароль к банковскому приложению, преступник имеет большие шансы снять с его счета все доступные средства. Помимо этого, клиент может стать жертвой несанкционированного доступа к его данным, просто загрузив со стороннего сайта игру или другое приложение, содержащее вредоносный код. Во время очередного выхода в интернет личные данные отправятся к новому владельцу.
Случаи реальных мошеннических действий со счетами клиентов через мобильные устройства банки предпочитают не разглашать, опасаясь за свою репутацию, которая дороже денег. Но известны ситуации, когда осуществлялась атака пользователей интернет-клиентов как минимум двух крупных российских банков, когда троянская программа меняла записи в файле hosts на компьютерах жертв и вместо сайта своего банка люди попадали на фишинговые сайты, где и вводили пароли [2].
Что касается мобильных устройств, то, согласно отчету фирмы Juniper Networks, за последний год вчетверо выросло число вирусов, выявленных для системы Android. Существуют зловредные программы и для других мобильных платформ, включая iOS. Иногда ошибаются сами банки. Так, недавно Sitibank обнаружил критическую уязвимость в своем мобильном клиенте для iPhone. Приложение сохраняло скрытые файлы с персональными данными об аккаунте клиента, включая номера банковских счетов, выставленные на оплату счета и пароли доступа к системе.
Актуальные проблемы авиации и космонавтики. Информационные технологии
Борьба за безопасность мобильного банкинга сегодня ведется как в области совершенствования банковских систем, так и в сфере пропаганды основ безопасности среди клиентов. Согласно требованиям Стандарта ЦБ, они должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций, включая информацию о возможных рисках. Эти инструкции содержатся на вебсайтах банков и в буклетах по банковским услугам.
Отсутствие обязательного стандарта по обеспечению безопасности при проведении мобильных операций привели к разнообразию форм защиты данных. Одни банки требуют личного присутствия клиента в офисе при регистрации мобильного банка на его имя. Другие упрощают эту процедуру и подключают к системе через интернет-клиент, банкомат (терминал) или по звонку в контакт-центр с вводом пин-кода с клавиатуры телефона.
Приложение для телефона или планшета обычно скачивается с сайта банка. Но есть и своеобразные решения. МБРР заключил соглашение с МТС, и при регистрации «мобильного банка» обменивает сим-карту клиента на аналогичную, с тем же номером и балансом, но с уже установленным на ней банковским приложением [3].
Как правило, сами приложения защищены паролем. Поскольку, как уже говорилось, многие люди хранят персональные данные непосредственно в телефоне, широко используются другие средства аутентификации: одноразовые пин-коды подтверждения транзакций, часто действительные лишь несколько минут; скретч-карты, ЭЦП и аналоги собственноручной подписи.
Пути снижения угрозы заражения смартфона вредоносным ПО полностью аналогичны таким же рекомендациям для интернет-банкинга. Т. е. не загружать программы, игры, коллекции фото и видео из сомнительных источников, не давать свой смартфон с установленным банковским приложением другим членам семьи (особенно подросткам), а также не сдавать его в ремонт, на перепрошивку и т. п., предварительно не стерев банковское приложение.
В идеале, для мобильного банкинга хорошо бы иметь отдельный смартфон, на котором нет никаких иных программ, кроме операционной системы и банковского приложения. Аналогия - во многих организациях с серьезным подходом к ИБ есть специально выделенный компьютер только для операций «банк-клиент». Этот ПК или ноутбук находится под неусыпным контролем системного администратора с точки зрения ПО и физически контролируется службой безопасности организации.
Что касается угрозы ИБ, ассоциированной со взломом украденного или утерянного смартфона, то в настоящее время наиболее серьезной защитой доступа к банковскому приложению на мобильном устройстве считается идентификация по PIN-калькулятору. Это намного более защищенный вход, чем по пользовательскому паролю, поскольку пароль некоторые пользователи умудряются записать и сохранить среди файлов смартфона, а 8-разрядный код PIN-калькулятора, имеющий срок жизни всего 30сек, подобрать практически невозможно.
В силу того, что пользователи обычно пренебрегают рекомендациями банков по использованию дистанционного управления счетом, мобильный банкинг обладает репутацией небезопасной услуги. Но что касается перспектив повышения безопасности, то стоит отметить что уже в скором времени, как прогнозируют многие эксперты, ожидается введение таких современных методов обеспечения безопасного доступа к личным данным клиента банка, как авторизация по его фотографии или отпечатку пальца.
Библиографические ссылки
1. Официальный сайт Альфа-Банка. URL: www.alfabank.ru.
2. Официальный сайт Сбербанка России. URL: www.sbrf.ru.
3. Официальный сайт Московского Банка Реконструкции и Развития. URL: www.mbrd.ru.
© Александрова У. А., 2012
УДК 004.457
С. А. Антипова Научный руководитель - А. Н. Горошкин Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
МОДУЛЬ ОРЕ^ЯР ДЛЯ УПРАВЛЕНИЯ ПРОЕКТНОЙ ДОКУМЕНТАЦИЕЙ
Описываются особенности создания модуля базы данных (БД) в OpenERP для управления проектной документацией и шаблонов документов, входящих в проектную документацию на основании ГОСТ 19.102-77, в OpenOffice.org.
Программный продукт (ПП) «Система управления проектной документацией» представляет собой модуль OpenERP для совместной разработки проектной документации.
ERP и CRM система OpenERP состоит из 3 главных компонентов: сервер БД PostgreSQL, который обслуживает все БД, каждая из которых содержит все
данные и элементы настройки системы ОрепЕЯР; сервер приложений ОрепЕИР, который содержит всю логику и обеспечивает оптимальную работу ОрепЕИР; web-сервер, отдельное приложение, которое дает возможность соединения с ОрепЕИР при помощи стандартного web-браузера.
Логическая модель БД «Система управления про-
