Файл: 4. Расчет комплексного группового показателя кон курентоспособности.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 26.10.2023
Просмотров: 12
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
4. Расчет комплексного группового показателя кон- курентоспособности (
i
K
):
i
i
i
Q
M
K
, где
i
M
- коэффициент весомости
i
-го показателя.
Комплексный групповой показатель качества вари- анта 1.
033
,
0 2
,
0 165
,
0 1
K
;
048
,
0 3
,
0 161
,
0 2
K
;
077
,
0 1
077
,
0 3
K
;
077
,
0 1
077
,
0 4
K
;
05
,
0 33
,
0 153
,
0 5
K
;
081
,
0 1
081
,
0 6
K
;
085
,
0 1
085
,
0 7
K
;
069
,
0 1
069
,
0 8
K
;
078
,
0 59
,
0 133
,
0 9
K
Комплексный групповой показатель качества варианта 2.
825
,
0 5
165
,
0 1
K
;
536
,
0 33
,
3 161
,
0 2
K
;
077
,
0 1
077
,
0 3
K
;
077
,
0 1
077
,
0 4
K
;
459
,
0 3
153
,
0 5
K
;
081
,
0 1
081
,
0 6
K
;
085
,
0 1
085
,
0 7
K
;
069
,
0 1
069
,
0 8
K
;
226
,
0 7
,
1 133
,
0 9
K
5. Обобщенный показатель качества (
об
К
):
1
n
i
i
i
об
Q
M
K
Комплексный обобщенный показатель качества варианта 1:
598
,
0 078
,
0 069
,
0 085
,
0 081
,
0 05
,
0 077
,
0 077
,
0 048
,
0 033
,
0
об
K
Комплексный обобщенный показатель качества варианта 2:
435
,
2 226
,
0 069
,
0 085
,
0 081
,
0 459
,
0 077
,
0 077
,
0 536
,
0 825
,
0
об
K
6. Интегральный показатель конкурентоспособно- сти (
и
К
):
С
К
К
об
и
, где
С
- цена изготавливаемой детали, тыс. руб.
Интегральный показатель качества варианта 1:
016
,
0 37 598
,
0
и
K
Интегральный показатель качества варианта 2:
066
,
0 37 435
,
2
и
K
Расчет уровня качества приспособлений показал, что приспособление с аэростатическими опорами имеет высокое качество и уровень конкурентоспособности по сравнению с приспособлениями, применяемыми при рас- тачивании отверстий борштангой в кондукторных втулках.
Комплексный обобщенный показатель составил 2,435 и
0,598 соответственно.
Таким образом, по нашему мнению, основа для по- вышения качества обработки – это грамотное распреде- ление дополнительных расходов на производство новых средств технологического оснащения (вариант 2) и пра- вильная ценовая политика предприятия.
Литература
1.
Лутьянов А.В. Приспособления с аэростатическими опорами для обработки корпусных деталей //
СТИН. 2006. № 3. - C. - 14– 15.
2.
Лимитовский М.А. Основы оценки инвестиционных и финансовых решений: - М.:ООО Издательско-
Консалтинговая Компания «ДеКА», 1998. –232 с.
3.
Вилеиский П. Л., Лившиц В. Н., Смоляк С. А. Оценка эффективности инвестиционных проектов. - М.:
ДЕЛО, 2002. – 888 с.
4.
Решецкий В. И. Экономический анализ и расчет ин- вестиционных проектов. - Калининград: ФГУИПП
«Янтарный сказ», 2001. – 477 c.
СПОСОБЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ
Лупорев Сергей Николаевич
Магистрант, Смоленский гуманитарный университет, г. Смоленск
Волосенков Владимир Олегович
доктор техн. наук, профессор, Военная академия войсковой ПВО ВC Российской Федерации, г. Смоленск
WAYS OF ENSURING INFORMATION SECURITY OF WEB APPLICATIONS
Luporev Sergey, master student, Smolensk humanitarian University, Smolensk
Volosenkov Vladimir, Doctor of Technical Sciences, Professor, Russian Federation Armed Forces Army Air Defense Military
Academy, Smolensk
АННОТАЦИЯ
В статье рассмотрены наиболее распространённые уязвимости для пользователей веб-приложений. Для
каждой уязвимости приведены способы обеспечения информационной безопасности веб-приложений.
Национальная
ассоциация
ученых
(
НАУ
) # II (7), 2015 /
ТЕХНИЧЕСКИЕ
НАУКИ
147
ABSTRACT
The article discusses the most common vulnerability for users of web applications. For each vulnerability provides
methods of ensuring information security of web applications.
Ключевые слова: модель обеспечения информационной безопасности, распределённая вычислительная си-
стема, критерий безопасности, система защиты информации.
Keywords: model of information security, distributed computing system, the criterion of security, information security
system.
Стремительное развитие сети Интернет привело к значительному росту количества веб-приложений. Высо- кие темпы роста количества персональных компьютеров и расширение круга пользователей, имеющих непосред- ственный доступ к вычислительным ресурсам и массивам данных, уязвимость в программных и сетевых платфор- мах, угрозы, связанные с потерями, искажениями и рас- крытием данных, адресованных или принадлежащих ко- нечным пользователям определяют актуальность про- блемы информационной безопасности в сети Интернет
[1].
Использование веб-браузера в качестве инстру- мента для универсального доступа к различным инфор- мационным системам является очевидным преимуще- ством Интернета и клиент-серверных приложений, роль которых в глобальной сети исполняют веб-приложения.
Это преимущество по достоинству оценили как пользова- тели, так и разработчики, которые создали массу полез- ных, интересных, удобных и популярных сервисов. Од- нако такой формат взаимодействия приложения с пользо- вателем имеет ряд трудностей. Социальные сети создают проблему безопасности актуальной для каждого из нас, ведь на пользовательских аккаунтах помимо публичной информации зачастую хранится информация конфиден- циальная.
Государственные и частные организации, деятель- ность которых связана с их представительством в Интер- нете также находятся в группе риска. Успешная атака на веб-приложение может привести к получению злоумыш- ленником доступа к бизнес-процессам и данным органи- зации, что в свою очередь может способствовать появле- нию серьёзных проблем в нормальном функционирова- нии, вплоть до её полной остановки. Одной из наиболее опасных угроз для пользователей веб-приложений явля- ется DDoS-атака [2, 3].
Появление порталов по предоставлению государ- ственных услуг, увеличение объёма банковских операций через Интернет, необходимость хранения передачи и об- работки информации, являющейся корпоративной либо государственной тайной, всё это делает проблему обеспе- чения информационной безопасности веб-приложений чрезвычайно важной.
Для информирования разработчиков веб-приложе- ний об актуальных угрозах безопасности были созданы специальные проекты, одним из которых является Open
Web Application Security Project (OWASP). OWASP пред- ставляет собой международное сообщество, состоящее из корпораций, образовательных организаций и частных лиц. Деятельность проекта направлена на обеспечение безопасности веб-приложений [4].
Рассмотрим наиболее распространённые уязвимо- сти веб-приложений по версии OWASP и способы обеспе- чения информационной безопасности.
SQL injections.
Внедрение SQL предоставляет возможность зло- умышленнику выполнить несанкционированное обраще- ние к базе данных с помощью передачи в теле запроса произвольного SQL-кода. Основными способами борьбы с такими уязвимостями являются:
фильтрация строковых параметров. Чтобы не допу- стить инъекции кода, строковые параметры должны быть помещены в кавычки, в самих пара- метрах необходимо экранировать специальные символы;
фильтрация целочисленных параметров. Если па- раметр не является числом, запрос не должен вы- полняться;
усечение входных параметров. Если максимальная длина корректного значения параметра невелика, то одним из методов защиты может быть макси- мальное усечение значений входных параметров;
применение функции по автоматическому опреде- лению зарезервированных SQL слов и занесению IP в бан-лист. Можно использовать специальную функцию, которая будет заниматься подсчётом ко- личества зарезервированных SQL слов, если коли- чество превысит критическое значение, то скрипт будет остановлен, а IP с которого пришёл запрос бу- дет заблокирован;
использование «белых» списков для идентифика- торов и ключевых слов. Если от пользователя при- ходит запрос с параметрами, которые невозможно поместить в кавычки, то необходим «белый» спи- сок, содержащий все разрешённые идентифика- торы и ключевые слова. Он используется для филь- трации недопустимых значений.
Некорректная аутентификация и управление сес- сией пользователя.
Проблема заключается в возможности перехвата злоумышленником сессии пользователя. Способы обес- печения информационной безопасности следующие:
если cookie-файлы в браузере пользователя отклю- чены, необходим запрет на передачу сессии через
URL;
если хранится или передаётся конфиденциальная информация, то применяются зашифрованные протоколы с сертификатом SSL;
при особо важных действиях необходимо запраши- вать пароль ещё раз;
своевременно и достаточно часто завершать сес- сии.
Межсайтовый скриптинг.
Процесс, при которой атака происходит на клиент- скую часть приложения, путём внедрения на страницу вредоносного кода. Успешная атака может завершиться как показом незапрашиваемой страницы, так и перехва- том сессии пользователя. Вредоносный код может быть вставлен через уязвимость в веб-сервере или на компью-
148
Национальная
ассоциация
ученых
(
НАУ
) # II (7), 2015 /
ТЕХНИЧЕСКИЕ
НАУКИ
тере пользователя. Основным способом борьбы с ата- ками на стороне сервера является экранирование спец- символов перед выводом любых данных полученных от пользователей.
Небезопасные прямые ссылки на объекты.
Если сервер приложения в качестве параметра URL отдаёт прямые ссылки на объекты, которые являются кон- фиденциальными, то злоумышленник может использо- вать такую информацию для несанкционированного до- ступа к системе. Основным способом борьбы с такими уязвимостями является проверка пользователя на соот- ветствие прав доступа к объекту.
Небезопасная конфигурация.
Уязвимости такого рода появляются при непра- вильно настроенном конфигурационном файле сервера.
Основными способами устранения таких уязвимостей яв- ляются:
обновление программного обеспечения до акту- альных версий;
запрет вывода на клиентский терминал необрабо- танных сообщений об ошибках.
Утечка конфиденциальных данных.
Обычно эта уязвимость является следствием взлома веб-приложения и появляется в том случае, если конфиденциальные данные хранятся в открытом виде.
Утечка конфиденциальных данных может произойти и при передаче таких данных по сети в незашифрованном виде. Способы противодействия следующие:
конфиденциальная информация должна храниться только в зашифрованном виде;
если передаются конфиденциальные данные, то необходимо использовать зашифрованные прото- колы с сертификатом SSL;
не хранить конфиденциальную информацию без необходимости;
хранить пароли в хешированном виде, используя для их хеширования специальные алгоритмы, та- кие как scrypt, PBKDF2 или bcrypt.
Отсутствие контроля доступа к функциональному уровню.
Уязвимость возникает при отсутствии контроля до- ступа к определённым функциям приложения. Способы противодействия следующие:
установить контроль доступа к важным функциям приложения;
исключить возможность подбора URL для важных директорий приложения и ответа от них.
Подделка межсайтовых запросов (CSRF).
Уязвимость, которая позволяет злоумышленнику выполнять действия от имени пользователя в веб-прило- жении, в котором он в настоящий момент авторизирован.
Если целью является обычный пользователь, то успешная атака CSRF может поставить под угрозу конфиденциаль- ные данные. Если целью является учетная запись админи- стратора, этот тип атаки может поставить под угрозу всё веб-приложение. Способы противодействия следующие:
использовать одноразовый токен (выдаётся поль- зователю после успешной авторизации и является ключом для доступа к службам) для каждого дей- ствия;
в каждом запросе требовать передачи логина и па- роля;
ограничение «срока жизни сессии». Данный способ позволит лишь ограничить время, в течение кото- рого можно воспользоваться уязвимостью;
проверка заголовка Referer на отсутствие в нём URL отличного от URL веб-приложения.
Использование компонентов с известными уязви- мостями.
Для минимизации рисков необходимо обновлять до актуальных версий все подключаемые части проекта.
По возможности не использовать мало популярные или любительские модули.
Непроверенные редирект и форвардинг.
В случае с внешним редиректом, пользователь мо- жет быть перенаправлен на страницу злоумышленника. В случае с внутренним редиректом, атакующий без необхо- димой авторизации может получить доступ к закрытым разделам веб-приложения. Способы противодействия следующие:
избегать использования редиректа и форвардинга;
если всё же редирект используется, не передавать пользовательские данные в запросе;
рекомендуется перезаписывать URL средствами сервера.
DDoS-атака.
Под DDoS-атакой понимается злонамеренное воз- действие на информационную систему с целью создать такие условия, при которых доступ легальных пользовате- лей к приложению невозможен, либо затруднён. Атака осуществляется с помощью многочисленных распреде- лённых запросов к серверу сайта «жертвы», что приводит к его перегрузке или отказу. Помимо затруднённого до- ступа к приложению, это может привести к взлому самой системы. Однако чаще всего такого рода атаки продикто- ваны экономическим интересом атакующего, например, как средство вымогательства или недобросовестной кон- куренции [5]. Высокая популярность DDoS-атак в настоя- щее время обусловлена невозможностью, в большинстве случаев, привлечь организаторов к ответственности. Спо- собы противодействия следующие:
наращивание мощности серверов и пропускной способности каналов.
многократное копирование информации на раз- ные физические сервера;
применение различных методов фильтрации за- просов. Чем ближе фильтры и межсетевые экраны располагаются к атакующему компьютеру, тем эф- фективней защита;
программное обеспечение сервера, касающееся обеспечения безопасности системы, должно быть обновлено до актуальной версии;
использование специального оборудования для отражения DDoS-атак. Например, DefensePro,
SecureSphere, Периметр и другие.
К сожалению, некоторым угрозам безопасности не уделяется достаточно внимания со стороны разработчи- ков. Например, уязвимость CSRF можно обнаружить во многих популярных веб-приложениях. На первый взгляд безобидная угроза может привести к очень неприятным последствиям, как репутационным, так и непосред- ственно касающихся корректной работы информацион- ной системы.
Национальная
ассоциация
ученых
(
НАУ
) # II (7), 2015 /
ТЕХНИЧЕСКИЕ
НАУКИ
149
Небезопасные прямые ссылки на объекты.
Если сервер приложения в качестве параметра URL отдаёт прямые ссылки на объекты, которые являются кон- фиденциальными, то злоумышленник может использо- вать такую информацию для несанкционированного до- ступа к системе. Основным способом борьбы с такими уязвимостями является проверка пользователя на соот- ветствие прав доступа к объекту.
Небезопасная конфигурация.
Уязвимости такого рода появляются при непра- вильно настроенном конфигурационном файле сервера.
Основными способами устранения таких уязвимостей яв- ляются:
обновление программного обеспечения до акту- альных версий;
запрет вывода на клиентский терминал необрабо- танных сообщений об ошибках.
Утечка конфиденциальных данных.
Обычно эта уязвимость является следствием взлома веб-приложения и появляется в том случае, если конфиденциальные данные хранятся в открытом виде.
Утечка конфиденциальных данных может произойти и при передаче таких данных по сети в незашифрованном виде. Способы противодействия следующие:
конфиденциальная информация должна храниться только в зашифрованном виде;
если передаются конфиденциальные данные, то необходимо использовать зашифрованные прото- колы с сертификатом SSL;
не хранить конфиденциальную информацию без необходимости;
хранить пароли в хешированном виде, используя для их хеширования специальные алгоритмы, та- кие как scrypt, PBKDF2 или bcrypt.
Отсутствие контроля доступа к функциональному уровню.
Уязвимость возникает при отсутствии контроля до- ступа к определённым функциям приложения. Способы противодействия следующие:
установить контроль доступа к важным функциям приложения;
исключить возможность подбора URL для важных директорий приложения и ответа от них.
Подделка межсайтовых запросов (CSRF).
Уязвимость, которая позволяет злоумышленнику выполнять действия от имени пользователя в веб-прило- жении, в котором он в настоящий момент авторизирован.
Если целью является обычный пользователь, то успешная атака CSRF может поставить под угрозу конфиденциаль- ные данные. Если целью является учетная запись админи- стратора, этот тип атаки может поставить под угрозу всё веб-приложение. Способы противодействия следующие:
использовать одноразовый токен (выдаётся поль- зователю после успешной авторизации и является ключом для доступа к службам) для каждого дей- ствия;
в каждом запросе требовать передачи логина и па- роля;
ограничение «срока жизни сессии». Данный способ позволит лишь ограничить время, в течение кото- рого можно воспользоваться уязвимостью;
проверка заголовка Referer на отсутствие в нём URL отличного от URL веб-приложения.
Использование компонентов с известными уязви- мостями.
Для минимизации рисков необходимо обновлять до актуальных версий все подключаемые части проекта.
По возможности не использовать мало популярные или любительские модули.
Непроверенные редирект и форвардинг.
В случае с внешним редиректом, пользователь мо- жет быть перенаправлен на страницу злоумышленника. В случае с внутренним редиректом, атакующий без необхо- димой авторизации может получить доступ к закрытым разделам веб-приложения. Способы противодействия следующие:
избегать использования редиректа и форвардинга;
если всё же редирект используется, не передавать пользовательские данные в запросе;
рекомендуется перезаписывать URL средствами сервера.
DDoS-атака.
Под DDoS-атакой понимается злонамеренное воз- действие на информационную систему с целью создать такие условия, при которых доступ легальных пользовате- лей к приложению невозможен, либо затруднён. Атака осуществляется с помощью многочисленных распреде- лённых запросов к серверу сайта «жертвы», что приводит к его перегрузке или отказу. Помимо затруднённого до- ступа к приложению, это может привести к взлому самой системы. Однако чаще всего такого рода атаки продикто- ваны экономическим интересом атакующего, например, как средство вымогательства или недобросовестной кон- куренции [5]. Высокая популярность DDoS-атак в настоя- щее время обусловлена невозможностью, в большинстве случаев, привлечь организаторов к ответственности. Спо- собы противодействия следующие:
наращивание мощности серверов и пропускной способности каналов.
многократное копирование информации на раз- ные физические сервера;
применение различных методов фильтрации за- просов. Чем ближе фильтры и межсетевые экраны располагаются к атакующему компьютеру, тем эф- фективней защита;
программное обеспечение сервера, касающееся обеспечения безопасности системы, должно быть обновлено до актуальной версии;
использование специального оборудования для отражения DDoS-атак. Например, DefensePro,
SecureSphere, Периметр и другие.
К сожалению, некоторым угрозам безопасности не уделяется достаточно внимания со стороны разработчи- ков. Например, уязвимость CSRF можно обнаружить во многих популярных веб-приложениях. На первый взгляд безобидная угроза может привести к очень неприятным последствиям, как репутационным, так и непосред- ственно касающихся корректной работы информацион- ной системы.
Национальная
ассоциация
ученых
(
НАУ
) # II (7), 2015 /
ТЕХНИЧЕСКИЕ
НАУКИ
149
Немаловажным инструментом обеспечения без- опасности программного продукта является его регуляр- ная проверка на устойчивость существующим угрозам.
Большим организациям, располагающим обширными ма- териальными ресурсами можно воспользоваться услу- гами аудиторских компаний. В случае с малым бизнесом целесообразно с некоторой периодичностью проводить тест, при котором моделируется атака с использованием инструментов Fazzing. Данный способ позволяет выявить и передать веб-приложению некорректные, случайные или непредвиденные логикой программы данные. Если во время выполнения теста в приложении произойдёт сбой, значит, существует потенциальная уязвимость, кото- рая заносится в протокол для направления разработчи- кам.
Одной из главных составляющих безопасного веб- приложения является корректная аутентификация поль- зователя. Существующая в настоящее время на множе- стве платформ система многоразового пароля во многих случаях является не эффективной. В приложениях, функ- ционирование которых связано с высокими материаль- ными рисками, либо с хранением важной конфиденци- альной информации, целесообразно внедрить модель аутентификации в которой используется одноразовый па- роль, полученный с помощью СМС-сообщения или при помощи специального аппаратного генератора OTP (one time password). Также можно использовать строгую двух- факторную аутентификацию с применением смарт-карт и
USB-токенов, что является самым безопасным способом на сегодняшний день.
Для обеспечения информационной безопасности веб-приложения необходима комплексная защита, поз- воляющая учитывать каждую из перечисленных уязвимо- стей.
Литература
1.
Гаврилов А.Д., Волосенков В.О. Угрозы информаци- онной безопасности автоматизированной системы обработки данных // Проблемы безопасности рос- сийского общества, 2013. № 4. С. 85-92.
2.
Волосенков В.О., Гаврилов А.Д. Анализ уязвимо- стей компонентов распределенной вычислитель- ной системы и методов её защиты // Проблемы безопасности российского общества, 2014. № 2. С.
171-176.
3.
Гаврилов А.Д., Волосенков В.О. Классификация мо- делей обеспечения информационной безопасно- сти распределённых вычислительных систем //
Проблемы безопасности российского общества,
2013. № 4. С. 72-84.
4.
Открытый проект о безопасности веб-приложений
– The Open Web Application Security Project (OWASP)
URL: http://owasp.org
5.
Хоффман Л. Дж. Современные методы защиты ин- формации. М.: Сов. Радио, 1980.
ПРОПУСКНАЯ СПОСОБНОСТЬ ЛИНИИ И ПОВЫШЕНИЕ ЕЁ С ПОМОЩЬЮ
ВОЛЬТОДОБАВОЧНЫХ ТРАНСФОРМАТОРОВ
Морсаков Илья Олегович
Махонин Денис Андреевич
Студент, Белгородский Государственный Технологический Университет им. В.Г.Шухова, город Белгород
Михайлова Марина Юрьевна
Доцент, Белгородский Государственный Технологический Университет им. В.Г.Шухова, город Белгород
THROUGHPUT AND INCREASE IT WITH THE HELP OF THE BOOSTER TRANSFORMERS
Morsakov Ilya, Student of Belgorod State Technological University named after V.G. Shukhov, Belgorod
Mahonin Denis, Student of Belgorod State Technological University named after V.G. Shukhov, Belgorod
Michailova Marina, Student of Belgorod State Technological University named after V.G. Shukhov, Belgorod
АННОТАЦИЯ
Изучение пропускной способности линий электропередач и методов ее увеличения при помощи современ-
ного оборудования и технологий, а также возможностей применения данного оборудования.
ABSTRACT
The study of the transmission lines and methods of its increase with the help of modern equipment and technologies,
as well as opportunities for application of this equipment in practice.
Ключевые слова: линия электропередач, пропускная способность, вольтодобавочный трансформатор, ста-
билизация напряжения.
Keywords: power line, capacity, voltage transformer, compensating installation, voltage regulation.
Для начала определимся, что является пропускной способностью линии электропередач.
«Пропускная способность электрической сети - тех- нологически максимально допустимое значение мощно- сти, которая может быть передана с учетом условий экс- плуатации и параметров надежности функционирования электроэнергетических систем» [1].
Пропускная способность линии электропередач яв- ляется одной из основных характеристик линии электро- передач. Она определяет мощность, которую можно пе- редать по линии с учётом всех ограничивающих условий, таких как: нагрев проводов, устойчивость, потери на ко- рону и т.д. Пропускная способность электрической линии зависит от напряжения вначале и в конце линии, от её
150
Национальная
ассоциация
ученых
(
НАУ
) # II (7), 2015 /
ТЕХНИЧЕСКИЕ
НАУКИ