Научная статья на тему 'СПОСОБЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ'

СПОСОБЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
497
59
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
МОДЕЛЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / РАСПРЕДЕЛЁННАЯ ВЫЧИСЛИТЕЛЬНАЯ СИСТЕМА / СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Лупорев Сергей Николаевич, Волосенков Владимир Олегович

В статье рассмотрены наиболее распространённые уязвимости для пользователей веб-приложений. Для каждой уязвимости приведены способы обеспечения информационной безопасности веб-приложений.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

WAYS OF ENSURING INFORMATION SECURITY OF WEB APPLICATIONS

The article discusses the most common vulnerability for users of web applications. For each vulnerability provides methods of ensuring information security of web applications.

Текст научной работы на тему «СПОСОБЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ»

4. Расчет комплексного группового показателя конкурентоспособности (К):

К = ы, - а,

где Ы' - коэффициент весомости * -го показателя.

Комплексный групповой показатель качества варианта 1.

К, = 0,165 • 0,2 = 0,033. К2 = 0,161 • 0,3 = 0,048. К3 = 0,077 • 1 = 0,077. К4 = 0,077 • 1 = 0,077 . К5 = 0,153 • 0,33 = 0,05, К6 = 0,081 • 1 = 0,081, К7 = 0,085 • 1 = 0,085 К8 = 0,069 • 1 = 0,069. К9 = 0,133 • 0,59 = 0,078

Комплексный групповой показатель качества варианта 2.

К1 = 0,165 • 5 = 0,825 . К2 = 0,161 • 3,33 = 0,536. К3 = 0,077 -1 = 0,077. К4 = 0,077 -1 = 0,077. К5 = 0,153 - 3 = 0,459.

К6 = 0,081 -1 = 0,081. К7 = 0,085 -1 = 0,085 , К8 = 0,069 -1 = 0,069, К9 = 0,133 -1,7 = 0,226

К

5. Обобщенный показатель качества ( об):

п

коб=£ ы, - а.

Комплексный обобщенный показатель качества варианта 1:

Коб = 0,033 + 0,048 + 0,077 + 0,077 + 0,05 + 0,081 + 0,085 + 0,069 + 0,078 = 0,598.

Комплексный обобщенный показатель качества варианта 2:

Коб = 0,825 + 0,536 + 0,077 + 0,077 + 0,459 + 0,081 + 0,085 + 0,069 + 0,226 = 2,435.

6. Интегральный показатель конкурентоспособно-

К = Kol

и С

К

сти (Ки):

где С - цена изготавливаемой детали, тыс. руб.

Интегральный показатель качества варианта 1:

К = 059? = 0,016

и 37 .

Интегральный показатель качества варианта 2:

К = 2,435 = 0,066

и 37 .

Расчет уровня качества приспособлений показал, что приспособление с аэростатическими опорами имеет высокое качество и уровень конкурентоспособности по сравнению с приспособлениями, применяемыми при растачивании отверстий борштангой в кондукторных втулках.

Комплексный обобщенный показатель составил 2,435 и 0,598 соответственно.

Таким образом, по нашему мнению, основа для повышения качества обработки - это грамотное распределение дополнительных расходов на производство новых средств технологического оснащения (вариант 2) и правильная ценовая политика предприятия.

Литература

1. Лутьянов А.В. Приспособления с аэростатическими опорами для обработки корпусных деталей // СТИН. 2006. № 3. - C. - 14- 15.

2. Лимитовский М.А. Основы оценки инвестиционных и финансовых решений: - М.:ООО Издательско-Консалтинговая Компания «ДеКА», 1998. -232 с.

3. Вилеиский П. Л., Лившиц В. Н., Смоляк С. А. Оценка эффективности инвестиционных проектов. - М.: ДЕЛО, 2002. - 888 с.

4. Решецкий В. И. Экономический анализ и расчет инвестиционных проектов. - Калининград: ФГУИПП «Янтарный сказ», 2001. - 477 с.

!=1

СПОСОБЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ

Лупорев Сергей Николаевич

Магистрант, Смоленский гуманитарный университет, г. Смоленск

Волосенков Владимир Олегович

доктор техн. наук, профессор, Военная академия войсковой ПВО ВC Российской Федерации, г. Смоленск

WAYS OF ENSURING INFORMATION SECURITY OF WEB APPLICATIONS Luporev Sergey, master student, Smolensk humanitarian University, Smolensk

Volosenkov Vladimir, Doctor of Technical Sciences, Professor, Russian Federation Armed Forces Army Air Defense Military Academy, Smolensk АННОТАЦИЯ

В статье рассмотрены наиболее распространённые уязвимости для пользователей веб-приложений. Для каждой уязвимости приведены способы обеспечения информационной безопасности веб-приложений.

ABSTRACT

The article discusses the most common vulnerability for users of web applications. For each vulnerability provides methods of ensuring information security of web applications.

Ключевые слова: модель обеспечения информационной безопасности, распределённая вычислительная система, критерий безопасности, система защиты информации.

Keywords: model of information security, distributed computing system, the criterion of security, information security system.

Стремительное развитие сети Интернет привело к значительному росту количества веб-приложений. Высокие темпы роста количества персональных компьютеров и расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных, уязвимость в программных и сетевых платформах, угрозы, связанные с потерями, искажениями и раскрытием данных, адресованных или принадлежащих конечным пользователям определяют актуальность проблемы информационной безопасности в сети Интернет [1].

Использование веб-браузера в качестве инструмента для универсального доступа к различным информационным системам является очевидным преимуществом Интернета и клиент-серверных приложений, роль которых в глобальной сети исполняют веб-приложения. Это преимущество по достоинству оценили как пользователи, так и разработчики, которые создали массу полезных, интересных, удобных и популярных сервисов. Однако такой формат взаимодействия приложения с пользователем имеет ряд трудностей. Социальные сети создают проблему безопасности актуальной для каждого из нас, ведь на пользовательских аккаунтах помимо публичной информации зачастую хранится информация конфиденциальная.

Государственные и частные организации, деятельность которых связана с их представительством в Интернете также находятся в группе риска. Успешная атака на веб-приложение может привести к получению злоумышленником доступа к бизнес-процессам и данным организации, что в свою очередь может способствовать появлению серьёзных проблем в нормальном функционировании, вплоть до её полной остановки. Одной из наиболее опасных угроз для пользователей веб-приложений является DDoS-атака [2, 3].

Появление порталов по предоставлению государственных услуг, увеличение объёма банковских операций через Интернет, необходимость хранения передачи и обработки информации, являющейся корпоративной либо государственной тайной, всё это делает проблему обеспечения информационной безопасности веб-приложений чрезвычайно важной.

Для информирования разработчиков веб-приложений об актуальных угрозах безопасности были созданы специальные проекты, одним из которых является Open Web Application Security Project (OWASP). OWASP представляет собой международное сообщество, состоящее из корпораций, образовательных организаций и частных лиц. Деятельность проекта направлена на обеспечение безопасности веб-приложений [4].

Рассмотрим наиболее распространённые уязвимости веб-приложений по версии OWASP и способы обеспечения информационной безопасности.

SQL injections.

Внедрение SQL предоставляет возможность злоумышленнику выполнить несанкционированное обращение к базе данных с помощью передачи в теле запроса произвольного SQL-кода. Основными способами борьбы с такими уязвимостями являются:

- фильтрация строковых параметров. Чтобы не допустить инъекции кода, строковые параметры должны быть помещены в кавычки, в самих параметрах необходимо экранировать специальные символы;

- фильтрация целочисленных параметров. Если параметр не является числом, запрос не должен выполняться;

- усечение входных параметров. Если максимальная длина корректного значения параметра невелика, то одним из методов защиты может быть максимальное усечение значений входных параметров;

- применение функции по автоматическому определению зарезервированных SQL слов и занесению IP в бан-лист. Можно использовать специальную функцию, которая будет заниматься подсчётом количества зарезервированных SQL слов, если количество превысит критическое значение, то скрипт будет остановлен, а IP с которого пришёл запрос будет заблокирован;

- использование «белых» списков для идентификаторов и ключевых слов. Если от пользователя приходит запрос с параметрами, которые невозможно поместить в кавычки, то необходим «белый» список, содержащий все разрешённые идентификаторы и ключевые слова. Он используется для фильтрации недопустимых значений. Некорректная аутентификация и управление сессией пользователя.

Проблема заключается в возможности перехвата злоумышленником сессии пользователя. Способы обеспечения информационной безопасности следующие:

- если cookie-файлы в браузере пользователя отключены, необходим запрет на передачу сессии через URL;

- если хранится или передаётся конфиденциальная информация, то применяются зашифрованные протоколы с сертификатом SSL;

- при особо важных действиях необходимо запрашивать пароль ещё раз;

- своевременно и достаточно часто завершать сессии.

Межсайтовый скриптинг.

Процесс, при которой атака происходит на клиентскую часть приложения, путём внедрения на страницу вредоносного кода. Успешная атака может завершиться как показом незапрашиваемой страницы, так и перехватом сессии пользователя. Вредоносный код может быть вставлен через уязвимость в веб-сервере или на компью-

тере пользователя. Основным способом борьбы с атаками на стороне сервера является экранирование спецсимволов перед выводом любых данных полученных от пользователей.

Небезопасные прямые ссылки на объекты. Если сервер приложения в качестве параметра URL отдаёт прямые ссылки на объекты, которые являются конфиденциальными, то злоумышленник может использовать такую информацию для несанкционированного доступа к системе. Основным способом борьбы с такими уязвимостями является проверка пользователя на соответствие прав доступа к объекту.

Небезопасная конфигурация. Уязвимости такого рода появляются при неправильно настроенном конфигурационном файле сервера. Основными способами устранения таких уязвимостей являются:

- обновление программного обеспечения до актуальных версий;

- запрет вывода на клиентский терминал необработанных сообщений об ошибках.

Утечка конфиденциальных данных. Обычно эта уязвимость является следствием взлома веб-приложения и появляется в том случае, если конфиденциальные данные хранятся в открытом виде. Утечка конфиденциальных данных может произойти и при передаче таких данных по сети в незашифрованном виде. Способы противодействия следующие:

- конфиденциальная информация должна храниться только в зашифрованном виде;

- если передаются конфиденциальные данные, то необходимо использовать зашифрованные протоколы с сертификатом SSL;

- не хранить конфиденциальную информацию без необходимости;

- хранить пароли в хешированном виде, используя для их хеширования специальные алгоритмы, такие как scrypt, PBKDF2 или bcrypt.

Отсутствие контроля доступа к функциональному уровню.

Уязвимость возникает при отсутствии контроля доступа к определённым функциям приложения. Способы противодействия следующие:

- установить контроль доступа к важным функциям приложения;

- исключить возможность подбора URL для важных директорий приложения и ответа от них. Подделка межсайтовых запросов (CSRF). Уязвимость, которая позволяет злоумышленнику

выполнять действия от имени пользователя в веб-приложении, в котором он в настоящий момент авторизирован. Если целью является обычный пользователь, то успешная атака CSRF может поставить под угрозу конфиденциальные данные. Если целью является учетная запись администратора, этот тип атаки может поставить под угрозу всё веб-приложение. Способы противодействия следующие:

- использовать одноразовый токен (выдаётся пользователю после успешной авторизации и является ключом для доступа к службам) для каждого действия;

- в каждом запросе требовать передачи логина и пароля;

- ограничение «срока жизни сессии». Данный способ позволит лишь ограничить время, в течение которого можно воспользоваться уязвимостью;

- проверка заголовка Referer на отсутствие в нём URL отличного от URL веб-приложения. Использование компонентов с известными уязвимостями.

Для минимизации рисков необходимо обновлять до актуальных версий все подключаемые части проекта. По возможности не использовать мало популярные или любительские модули.

Непроверенные редирект и форвардинг. В случае с внешним редиректом, пользователь может быть перенаправлен на страницу злоумышленника. В случае с внутренним редиректом, атакующий без необходимой авторизации может получить доступ к закрытым разделам веб-приложения. Способы противодействия следующие:

- избегать использования редиректа и форвардинга;

- если всё же редирект используется, не передавать пользовательские данные в запросе;

- рекомендуется перезаписывать URL средствами сервера.

DDoS-атака.

Под DDoS-атакой понимается злонамеренное воздействие на информационную систему с целью создать такие условия, при которых доступ легальных пользователей к приложению невозможен, либо затруднён. Атака осуществляется с помощью многочисленных распределённых запросов к серверу сайта «жертвы», что приводит к его перегрузке или отказу. Помимо затруднённого доступа к приложению, это может привести к взлому самой системы. Однако чаще всего такого рода атаки продиктованы экономическим интересом атакующего, например, как средство вымогательства или недобросовестной конкуренции [5]. Высокая популярность DDoS-атак в настоящее время обусловлена невозможностью, в большинстве случаев, привлечь организаторов к ответственности. Способы противодействия следующие:

- наращивание мощности серверов и пропускной способности каналов.

- многократное копирование информации на разные физические сервера;

- применение различных методов фильтрации запросов. Чем ближе фильтры и межсетевые экраны располагаются к атакующему компьютеру, тем эффективней защита;

- программное обеспечение сервера, касающееся обеспечения безопасности системы, должно быть обновлено до актуальной версии;

- использование специального оборудования для отражения DDoS-атак. Например, DefensePro, SecureSphere, Периметр и другие.

К сожалению, некоторым угрозам безопасности не уделяется достаточно внимания со стороны разработчиков. Например, уязвимость CSRF можно обнаружить во многих популярных веб-приложениях. На первый взгляд безобидная угроза может привести к очень неприятным последствиям, как репутационным, так и непосредственно касающихся корректной работы информационной системы.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Немаловажным инструментом обеспечения безопасности программного продукта является его регулярная проверка на устойчивость существующим угрозам. Большим организациям, располагающим обширными материальными ресурсами можно воспользоваться услугами аудиторских компаний. В случае с малым бизнесом целесообразно с некоторой периодичностью проводить тест, при котором моделируется атака с использованием инструментов Fazzing. Данный способ позволяет выявить и передать веб-приложению некорректные, случайные или непредвиденные логикой программы данные. Если во время выполнения теста в приложении произойдёт сбой, значит, существует потенциальная уязвимость, которая заносится в протокол для направления разработчикам.

Одной из главных составляющих безопасного веб-приложения является корректная аутентификация пользователя. Существующая в настоящее время на множестве платформ система многоразового пароля во многих случаях является не эффективной. В приложениях, функционирование которых связано с высокими материальными рисками, либо с хранением важной конфиденциальной информации, целесообразно внедрить модель аутентификации в которой используется одноразовый пароль, полученный с помощью СМС-сообщения или при помощи специального аппаратного генератора OTP (one time password). Также можно использовать строгую двух-факторную аутентификацию с применением смарт-карт и

USB-токенов, что является самым безопасным способом на сегодняшний день.

Для обеспечения информационной безопасности веб-приложения необходима комплексная защита, позволяющая учитывать каждую из перечисленных уязвимо-стей.

Литература

1. Гаврилов А.Д., Волосенков В.О. Угрозы информационной безопасности автоматизированной системы обработки данных // Проблемы безопасности российского общества, 2013. № 4. С. 85-92.

2. Волосенков В.О., Гаврилов А.Д. Анализ уязвимо-стей компонентов распределенной вычислительной системы и методов её защиты // Проблемы безопасности российского общества, 2014. № 2. С. 171-176.

3. Гаврилов А.Д., Волосенков В.О. Классификация моделей обеспечения информационной безопасности распределённых вычислительных систем // Проблемы безопасности российского общества, 2013. № 4. С. 72-84.

4. Открытый проект о безопасности веб-приложений - The Open Web Application Security Project (OWASP) URL: http://owasp.org

5. Хоффман Л. Дж. Современные методы защиты информации. М.: Сов. Радио, 1980.

ПРОПУСКНАЯ СПОСОБНОСТЬ ЛИНИИ И ПОВЫШЕНИЕ ЕЁ С ПОМОЩЬЮ

ВОЛЬТОДОБАВОЧНЫХ ТРАНСФОРМАТОРОВ

Морсаков Илья Олегович Махонин Денис Андреевич

Студент, Белгородский Государственный Технологический Университет им. В.Г.Шухова, город Белгород

Михайлова Марина Юрьевна

Доцент, Белгородский Государственный Технологический Университет им. В.Г.Шухова, город Белгород

THROUGHPUT AND INCREASE IT WITH THE HELP OF THE BOOSTER TRANSFORMERS Morsakov Ilya, Student of Belgorod State Technological University named after V.G. Shukhov, Belgorod Mahonin Denis, Student of Belgorod State Technological University named after V.G. Shukhov, Belgorod Michailova Marina, Student of Belgorod State Technological University named after V.G. Shukhov, Belgorod АННОТАЦИЯ

Изучение пропускной способности линий электропередач и методов ее увеличения при помощи современного оборудования и технологий, а также возможностей применения данного оборудования. ABSTRACT

The study of the transmission lines and methods of its increase with the help of modern equipment and technologies, as well as opportunities for application of this equipment in practice.

Ключевые слова: линия электропередач, пропускная способность, вольтодобавочный трансформатор, стабилизация напряжения.

Keywords: power line, capacity, voltage transformer, compensating installation, voltage regulation.

Для начала определимся, что является пропускной способностью линии электропередач.

«Пропускная способность электрической сети - технологически максимально допустимое значение мощности, которая может быть передана с учетом условий эксплуатации и параметров надежности функционирования электроэнергетических систем» [1].

Пропускная способность линии электропередач является одной из основных характеристик линии электропередач. Она определяет мощность, которую можно передать по линии с учётом всех ограничивающих условий, таких как: нагрев проводов, устойчивость, потери на корону и т.д. Пропускная способность электрической линии зависит от напряжения вначале и в конце линии, от её

i Надоели баннеры? Вы всегда можете отключить рекламу.