не менее, даже проектирование сети с большим запасом прочности не гарантирует готовность сети к все увеличивающемуся количеству абонентов, а также к их запросам.
Вывод
С учетом всех вышеперечисленных факторов, однозначно, что в оптоволоконных сетях технологий Ethernet и PON есть свои определенные недостатки, и задачи их оптимизации актуальны. При этом параметры оптимизации могут быть различными. Тем не менее, преимущества архитектуры PON явны, это отсутствие промежуточных активных узлов, требующих дополнительное питание, и экономия волокна, экономия оптических приёмопередатчиков в центральном узле, лёгкость подключения новых абонентов и удобство обслуживания сети. Древовидная архитектура доступа PON, основанная на построении волоконно-кабельных сетей, с пассивными оптическими разветвителями, представляется наиболее экономичной и способной обеспечить широкополосную передачу разнообразных приложений. При этом архитектура PON обладает необходимой эффективностью наращивания как узлов сети, так и пропускной способности в зависимости от настоящих и будущих потребностей абонентов.
Конечно, на стадии проектирования сетей связи рекомендуется не останавливать свой выбор на какой-либо одной из технологий PON, так как каждая имеет свои плюсы и минусы, но на сегодняшний день предпочтительней выглядит технология GPON из-за лучшей проработанности реальных систем и возможности получения больших скоростей в ближайшем будущем (до 10 Гбит/с).
Использованные источники:
1. Шипов Д. Ethernet или PON
2. http ://mci. gov. kz/main/index. php
3. Гасымов И. Архитектура оптических сетей доступа FTTH.
4. http://nag.ru/go/text/23115/
Оладько В.С., к.т.н.
доцент
кафедра информационной безопасности Волгоградский государственный университет
Россия, г. Волгоград УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ
ЭЛЕКТРОННОЙ КОММЕРЦИИ
Рассмотрены виды систем электронной коммерции. Проанализирован процесс функционирования систем электронной коммерции типа B2B и В2С, выделены основные участники взаимодействия и наиболее уязвимые с точки зрения нарушения информационной безопасности места. Выделены основные источники угроз и составлена модель угроз информационной
безопасности в системах электронной коммерции. Проанализированы типы злоумышленников и способы их взаимодействия при реализации атак на платежные данные и компоненты систем электронной коммерции.
Ключевые слова: электронная платежная система, интернет-магазин, злоумышленник, атаки, В2С, В2В
Поскольку электронная коммерция (ЭК) это, прежде всего, предпринимательская деятельность по продаже товаров или предоставлению услуг через Интернет, то, как и в любых других видах предпринимательской деятельности для ЭК выделяют несколько форм. Как показывает статистика [1,2] (см. рисунок 1) основными классами СЭК являются системы Бизнес-Бизнес (В2В), Бизнес - Покупатель (В2С), Бизнес-Правительство (B2G).
Рисунок 1 - Распределение классов систем электронной коммерции Процесс взаимодействия участников СЭК типа В2В и В2С в виде схемы представлен на рисунке 2.
Классы СЭК
■ В2В
■ В2С
■ В2С
■ прочие
6. Перевод денежных средств
Рисунок 2 - Схема функционирования СЭК типа В2В и В2С
Основные участниками взаимодействия являются:
1) покупатель;
2) интернет-магазин;
3) банк-эмитент;
4) банк-эквайер;
5) платежный сервер (в качестве которого может выступать электронная платежная система (ЭПС), обеспечивающая безопасность прохождения платежа и многое другое).
При этом наиболее уязвимыми с точки зрения информационной безопасности (ИБ)являются процессы:
- передачи идентификационных и аутентификационных данных пользователя на сервер ЭПС;
- авторизации пользователя в системах банка эквайера и эмитента;
- перевода денежных средств.
Поскольку именно на данных этапах, особенно при передаче данных в глобальной сети, злоумышленник может реализовать большинство атак связанных с перехватом конфиденциальных данных, их модификацией и подменом участника взаимодействия.
Анализ литературных источников показывает, что основными источниками угроз СЭК являются:
1) Непреднамеренные угрозы, вызванные стихийными бедствиями и техногенными катастрофами случайного характера, в ходе которых может быть нарушена непрерывность бизнес-процессов СЭК, доступность данных и сервисов, целостность данных.
2) Преднамеренные угрозы, инспирированные злоумышленником, направленные на нарушение таких составляющих как доступность, целостность и конфиденциальность информации циркулирующей в СЭК.
При этом главным объектом воздействий злоумышленника в СЭК являются финансовые средства и электронные заместители, а также web-приложения и сервера на которых расположена все бизнес-логика системы,
Аспект ИБ Угроза Объект воздействия
Доступность 1)непреднамеренные ошибки пользователей и администраторов СЭК 2)отказ пользователей 3)отказ поддерживающей инфраструктуры СЭК 4)технический сбой 5)утеря документов 6) DDos и Dos-атаки 1)Сервера ЭПС 2)Сервера банка -эмитента 3)Сервера банка -эквайера 4) Web-сайт интернет магазина
Целостность 1)модификация транзакций 2)неверная идентификация клиента 3)повторная/несвоевременная обработка транзакций 4)фальсификация заказов 4)перехват авторизационных запросов, с подстановкой авторизационных ответов 5)вредоносное ПО; Банк-эмитент Банк - эквайер Интернет-магазин ЭПС
Конфиденциальность 1)Фишинг 2)Распространение украденных платежных данных 3)Кража аутентификационных данных 4)Вредоносное ПО 5)подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам Пользователь покупатель ЭПС Web-сайт интернет магазина
базы данных и система управления содержимым. По отношению к данным средствам злоумышленник может преследовать следующие цели:
- получения доступа к платежным данным и реквизитам для их дальнейшего использования.
- похищение финансовых средств
- внедрение фальшивых финансовых средств (нарушение финансового баланса системы).
- нарушение работоспособности СЭК и непрерывности бизнес-процессов;
- внедрение вредоносного кода в страницы web-сайтов интернет магазинов и других элементов СЭК.
В соответствии с аспектом ИБ на который направлены угрозы ИБ в СЭК их можно разделить на угрозы целостности, доступности и конфиденциальности информации. В качестве источников подобных угроз могут выступать внутренние и внешние злоумышленники, случайные действия или ошибки пользователей, форс-мажорные обстоятельства и катастрофы различного характера. Модель угроз безопасности СЭК на основе предложенной классификации представлена в таблице 1.
Таблица 1 - Модель угроз безопасности в СЭК
В соответствии с [3] злоумышленники могут действовать как в одиночку, так и, объединившись в группу, в этом случае они могут использовать следующие способы взаимодействия:
- злоумышленники одной группы не знают друг друга и напрямую не взаимодействуют;
- злоумышленники взаимодействую при помощи чатов, служб обмена сообщениями и псевдонимов;
- взаимодействие на международном уровне;
При реализации атаки на СЭК злоумышленник, как правило:
- использует уязвимости СЭК без неправомерного использования реквизитов доступа ее легального пользователя;
- неправомерно использует реквизиты доступа легального пользователя электронной платежной системы или СЭК.
Использование уязвимости СЭК возможно в связи с тем, что СЭК является сложной аппаратно-программной системой, включающей различные подсистемы и каналы передачи данных, ее элементы имеют технологические особенности, позволяющие неправомерно использовать их при подготовке и совершении преступления. Такие выявленные специалистами особенности называются уязвимостями, а процесс их использования в неправомерных действиях - эксплуатацией, использованием уязвимостей.
Второй способ - неправомерное использование реквизитов доступа легального пользователя СЭК - является самым распространенным вследствие того, что клиенты-пользователи СЭК уделяют недостаточное внимание проблеме обеспечения сохранности собственных реквизитов доступа к платежной системе. Как правило, процесс реализации такого рода атак осуществляется в несколько этапов (см. таблицу 2).
Таблица 2 - Процесс реализации атаки направленной на кражу платежных средств и данных злоумышленником в СЭК_
№ Название этапа Описание
1 Первоначальный этап реализации атаки злоумышленником (разведка и сбор данных) Заражение компьютера пользователя СЭК вредоносным ПО (вирусами, троянами, кейлогерами и т.п.), скрытно собирающими конфиденциальную информацию, сооЫеБ-файлы логины и пароли от ЭПС, интернет-магазинов и других элементов СЭК. включая платежные реквизиты
2 Обработка и подготовка данных для использования данные вместе с реквизитами, похищенными у других клиентов СЭК, объединяются в массивы, которые продаются другим участникам преступной группы
3 Реализация атаки вывод денег из платежной системы
Таким образом, СЭК, в силу распределенного характера своей архитектуры, наличия подключения к глобальным сетям типа Интернет, круглосуточной доступности сервисов и данных, а также большого количества пользователей-клиентов, в процессе своего функционирования подвергается ряду деструктивных воздействий, как случайного характера, так и инициированных злоумышленником. При этом, наиболее значимыми являются угрозы, связанные с нарушением непрерывности бизнес-процессов СЭК и кражей платежных данных пользователей.
Использованные источники:
1. Вольфсон М. За прошлый год глобальный e-commerce вырос на 20%// Ebusiness. URL: http://el-business.ucoz.ru/news/za proshlyj god globalnyj e commerce vyros na 20/20 15-03-14-167 (дата обращения 01.04.2015)
2. Вольфсон М. Онлайн-платежи продолжают наращивать темпы// Synovate Comcon. E-business. URL: http://el-business.ucoz.ru/news/onlajn platezhi prodolzhajut narashhivat tempy/2014-12-11-159 (дата обращения 01.03.2015)
3. Пилипенко А.И. Пилипенко С.В. Классификация угроз информационной безопасности в проектах нематериальной сферы// Управление проектами и развитие производства, 2008 - №3. - С.121 - 129.
Рыжкова О.В.
Северо-Кавказский федеральный университет
Россия, г. Ставрополь ПОЛОЖИТЕЛЬНЫЕ И ОТРИЦАТЕЛЬНЫЕ СТОРОНЫ ИСПОЛЬЗОВАНИЯ ГАДЖИТОВ
Информатика довольно обширная и интересная наука, которая произошла от двух слов: информация и автоматика. Именно благодаря автоматизации информации жизнь существенно облегчилась.
Сейчас многим сложно представить свою жизнь без гаджитов и интернета. Спросите почему? Все очень просто, работая с информацией на компьютере, мы можем выделять на ее поиски значительно меньше времени.
Рассмотрим, например, интернет. Каждый пользуется им. Раньше, чтобы найти информацию, необходимо было выделить день для похода в библиотеку, так как каждый день Вы не будете туда ездить. В наше время, на это понадобится значительно меньше времени, ведь каждый может зайти в интернет (и не выяснится, что нужную книгу забрали другие читатели) и, написав вопрос, увидеть множество ссылок и книг.
Наверняка у всех бывало такое, что книга есть дома, но нужно найти определённый термин и Вы не помните, к какой теме он относится (так как изучали данную науку поверхностно). Имея такую же книгу на компьютере, у Вас будет возможность при помощи поиска (Ctrl+F) найти любое слово или термин, тем самым сэкономить время и, не загружая мозг лишней