- •Секторы нит и ивт отдела Технического творчества мгдд(ю)т, кафедры кпрэс и тиссу мирэа, цнит мирэа-мгдд(ю)т
- •Приветственное слово
- •Моделирование цвета в построении мобильных макромедиа систем
- •Источники:
- •Анонс руководителя (из рецензии):
- •Онтология исследования и улучшения информационного морфизма мультипользовательского виртуального окружения горизонтального федерального портала «российское образование»
- •Источники:
- •Анонс руководителя (из рецензии):
- •Онтологическое описание геомаркетинга в магистерской диссертации «применение модулей сео информационных систем в интернет-маркетинге»
- •Определение геомаркетинга в его онтологическом описании
- •Эффективность геомаркетинга в его онтологическом описании
- •Задачи геомаркетинга в его онтологическом описании
- •Мультипользовательская среда геомаркетинга в его онтологическом описании
- •Исходные данные для формирования геомаркетинга и, как следствие, для упорядочения его онтологического описания
- •Методы геомаркетинга, образующие основную часть понятийного аппарата его онтологического описания
- •Гис в геомаркетинге и соответствующая им основополагающая составляющая в онтологическом описании геомаркетинга
- •Источники:
- •Анонс руководителя (из рецензии):
- •Case технологии в проектах корпоративных информационных систем
- •Источники:
- •Анонс руководителя (из рецензии):
- •Источники:
- •Анонс руководителя (из рецензии):
- •Исследование и регулирование информационного морфизма образовательных порталов
- •Источники:
- •Анонс руководителя (из рецензии):
- •Результаты исследования технологий блогосферы на уровне архитектурных решений (rest) в составе образовательного консорциума мгдд(ю)т - мирэа
- •Источники:
- •Анонс руководителя (из рецензии):
- •Подраздел 01.02. По направлению: «радиоэлектронные системы и технологии». По темам магистерских диссертаций и нирс
- •Анализ состояния с обеспечением качества систем подвижной связи
- •Показатели качества систем связи
- •Вопросы оптимизации сетей подвижной связи
- •Заключение
- •Источники:
- •Обеспечение качества подвижной связи в точном земледелии
- •Источники:
- •Анализ договоров (контрактов) – этап маркетинговых исследований в системе менеджмента качества на примере предприятий радиоэлектронного комплекса
- •Показатели результативности и эффективности системы менеджмента качества в нттм
- •Источники:
- •Технологии бенчмаркинга в обеспечении конкурентоспособности проектов радиоэлектронного профиля
- •Корпоративный менеджмент в обеспечении качества продукции радиоэлектроноого профиля. Особенности корпоративного управления (обзор)
- •Источники:
- •Метрики информационной безопасности в проектах нттм
- •Источники:
- •Методы и способы использования современных микроконтроллеров для вторжения в защищенные системы (фрагмент конкурсного проекта нттм - нирс)
- •Источники:
- •Анализ и выработка повышенных мер безопасности в современных sap-системах (из проекта нттм - нирс)
- •Раздел 02. Нттм кружковцев дворца.
- •Условие
- •Решение
- •Источники
- •Оглавление мультимедиа фильма – элегии:
- •3D моделирование мгту мирэа в программе
- •Краткое аннотированное описание проекта по главам
- •Глава 1. Аналитический обзор
- •Глава 2. Исследовательская работа
- •Глава 3. Процесс создания
- •Источники:
- •Проектирование профиля автомобильной мкромедиа компьютерной системы
- •Сравнение и тестирование антивирусных программ
- •Источники:
- •Сравнение некоторых антивирусных программ
- •Создание абстракции базы данных фильмов к сайту kinopoisk.Ru с использованием языка программирования python
- •Источники:
- •Макетирование веб-страницы виртуального демзала цнит мирэа-мгдд(ю)т в графическом редакторе
- •Раздел I. Основы теории веб дизайна.
- •Раздел II. Создание макета сайта в графическом редакторе.
- •Источники:
- •Глава 1 представленной работы посвящена службе каталогов Active Directory.
- •Глава 2 посвящена системе доменных имён dns.
- •Источники:
- •Выбор и обоснование конфигурации персонального компьютера, ориентированного на выполнение определённого круга задач в макромедиа среде с использованием мобильных устройств
- •Методика и реализация обработки фотографий под заданный стиль в макромедиа
- •Создание домашней локальной информационной сети (типизация решений)
- •Список специализированных центров нит в сфере образования и науки:
- •Проект цнит мирэа-мгдд(ю)т по созданию и сопровождению информационного облака Экстранет-инфраструктуры учреждения дополнительного образования на примере мгдд(ю)т (в составе ниокр 2009/11)
- •Информационное обеспечение образовательных технологий средствами макромедиа на основе массового применения нетбуков и планшетных компьютеров
- •Образовательно-методический комплекс мгдд(ю)т «информационные технологии»
- •О работах цнит мирэа-мгдд(ю)т в отраслевой многоуровневой системе повышения квалификации
- •Инновационные программы повышения квалификации работников системы непрерывного образования: модульно-компетентностный подход при проектировании образовательных программ учебных модулей
- •1. Обладать профессиональными компетенциями (пк), включающими в себя способность:
- •2. Владеть:
- •3. Уметь:
- •4. Знать:
- •Образовательная программа прикладного бакалавриата
- •Информационный консист «информатика» в составе многоуровневого информационного консорциума сектора нит мгдд(ю)т «информационные системы»
Источники:
Микроконтроллеры Microchip с аппаратной поддержкой USB В.С. Яценков изд. Горячая Линия – Телеком 2008 г.
https://www.secmaniac.com/?s=Teensy
http://www.irongeek.com/i.php?page=security/programmable-hid-usb-keystroke-dongle
Анализ и выработка повышенных мер безопасности в современных sap-системах (из проекта нттм - нирс)
В.В.Шепелев, практикант, магистрант каф. КП РЭС
Сотни и тысячи компаний, от мелкого бизнеса до интернациональных бизнес-конгломератов используют в своей деятельности системы автоматизации производственных и бизнес-процессов. И не просто используют, но зависят в своей работе от SAP-платформ. Достаточны ли традиционные политики безопасности и внутренние протоколы защиты или требуется постоянный мониторинг и «ручное» управление? Для производства/предприятия/объекта внедренная SAP-система является наиболее больным и чувствительным местом. Что делает ее приоритетной целью для вероятного противника. Попытаемся рассмотреть вопрос в целом.
Чем грозит вскрытие и компрометация SAP-платформы? Доступам к: финансовым транзакциям, личным делам сотрудников (и их правке), системам продаж и планирования в любом виде. Т.е. потенциальный взломщик может не только шпионить, саботировать, но и даже напрямую заниматься вредительством. Рассмотрим, почему это возможно в наше время.
Долгое время, система защиты SOP базировалась, да и продолжает базироваться на принципе «Segregation of Duties (SoD) – Разграничение обязанностей». Такой гарантировал разделение ответственности за выполнение критического, основного бизнес-процесса распределено между различными индивидами, что должно минимизировать шансы вредоносной активности на организацию в целом.
В SAP контроль осуществляется таким образом, что критическая или техническая операция передается соответствующему авторизованным объектам, которые и будут осуществлять исполнение, при этом наличие в системе нет неавторизованных пользователей.
SoD хоть и центральный, но не единственный элемент управления. Бизнес-приложения выполняются посредством высокосложных технологических фреймворков, обозначаемых обычно как NetWearer/BASIS (Business Infrastructure). Именно она занимается аутентификацией пользователей, авторизует их деятельность, предоставляет интерфейс для других систем, шифрует/дешифрует чувствительные и секретные данные, проводит аудит систем защиты и.т.д. Со временем оказалось, что системы защиты вышли за рамки контроля SoD, превратившись в технологический компонент, подверженный уязвимостям.
Другими словами BASIS уязвим, причем для проникновения требуется меньше знаний, ресурсов, подготовки. Сравним:
Для контроля над SoD требуется:
Наличие действующей учетной записи пользователя в SAP-системе.
Требуется дополнительная работа по получению и усилению уровня доступа, прав и привилегий пользовательской записи.
Стандартные средства аудита могут обнаружить такую атаку.
Для контроля над BASIS потребуется:
НЕ требуется наличия действующей учетной записи пользователя
Успешное проникновение гарантирует наличие высочайшего уровня доступа, прав и привилегий
Стандартные средства аудита не смогут обнаружить проникновение.
Почему это важно? Потому что SAP системы «идут в народ».
Если в период с 2004-2006 год было выявлено порядка 90 слабых мест и уязвимостей, то с 2007 по февраль 2012 выявлено порядка двух тысяч слабых мест. Причем около 600 из них только за последние полтора года.
Немаловажной, и во многом, ироничной задачей разработчиков и отдела по киберзащите состоит в оценке уязвимостей уже выпущенных «заплаток» и обновлений. Ведь каждый из элементов SAP может обладать собственной защитной архитектурой и механизмами. И взаимодействие с новым кодом может привести к появлению новых уязвимостей.
Отдельный и значительный вопрос состоит во взаимодействии SAP-систем с Интернетом. Всего десяток лет назад, в Сеть не могла выйти ни одна SAP-система. Но современная модель ведения дела наоборот вдохновляет на реализацию такой функции: это делает проще жизнь пользователей, поставщиков и даже сотрудников. Соответственно, такая опция в разы увеличивает риск проникновения в систему.
Шагом номер один в мероприятии по уменьшению рисков может стать работа с веб-интерфейсом системы. Дело в том, что очень велика вероятность того, что он (веб-интерфейс) проиндексирован поисковыми машинами. Как результат: используя некоторые допустимые возможности Google, злоумышленник может вычислить сервер атакуемой системы через цепочку корпоративных порталов, сервисов, сетевых экранов.
Пример: следующие поисковые запросы в Google наличие компонентов SAP-системы:
inurl:/irj/portal
inurl:/sap/bc/bsp
inurl:/scripts/wgate
inurl:infoviewapp
Много интересного можно выискать, используя специфический поисковик SHODAN.
Даже если, SAP-система не раскрывает себя посредством веб-приложений, опасно думать, что система защищена от проникновения извне.
Дело в том, что обычно, когда покупается SAP-система и лицензии на ПО, заключается также и контракт на поддержку. Поддержка осуществляется между поставщиком и приобретателем, удаленно. И хотя связь держится через VPN и устройство SAProuter. Последний обычно «виден» из Сети, а это значит, что при некоторых обстоятельствах передаваемые критичные Sap-сервисы могут быть скомпрометированы.
Конечно, всегда есть риск атаки изнутри организации.
Способствовать этому могут:
Недостаточная сегментация внутренней сети.
Уязвимости файерволла.
Некорректное развертывание систем IPS/IDS.
В целом, статистика говорит о том, что «крот» имеет значительную фору в своем неблаговидном деле и к вышеописанным пунктам рекомендуется относиться скрупулезно.
Статистика оценки угроз, собранная компанией Onapsis не утешает:
В 95% случаев атакующему удалось взять полностью под свой контроль систему.
Статус атакующего (атрибуты, параметры и права) позволяли наносить максимальный ущерб во всех сферах системы.
Ни одна из систем защиты атакуемых платформ не была обновлена должным образом.
Большинство уязвимостей были хорошо изучены и известны еще несколько лет назад.
Топ уязвимостей выглядит так:
Использование уязвимых компонентов. Риск: выполнение не авторизованных действий
«Стандартные» логины-пароли. Риск: проникновение под не скомпрометированной учетной записью
Незащищенные SAP-шлюзы Риск: получение полного контроля над SAP-системой. Перехват и модификация важных данных
Незащищенная аутентификация SAP/ORACLE Риск: доступ к БД, с последующей возможностью модификации данных
Незащищенные радиочастотные интерфейсы. Риск: постепенный захват систем
Недостаточный сбор данных средств аудита
Незащищенный сервер сообщений SAP Риск: перехват учетных записей и важных данных
Использование веб-приложений с высоким риском компрометации. Риск: использование уязвимостей и получение данных с такой системы
Недостаточная защита доступа к административным сервисам. Риск: идеальный метод для ведения шпионажа и саботажа
Небезопасное сетевое окружение. Риск: получение доступа к важным SAP-процессам - > выполнение вредоносного кода и команд
Использование нешифрованных каналов связи. Риск: получение доступа к секретной технической и коммерческой информации
Как противостоять этому
В большинстве случаев ответ лежит на поверхности и звучат как хорошо знакомы лозунги: «Дисциплина – залог безопасности».
Знание – сила. SAP – обладает огромным количеством сложных компонент. Знание их особенностей снизит шанс некорректного использования.
Масштаб. Не зацикливаться на компонентах или частях инфраструктуры, но держать в поле зрения всю систему.
Периодичность. SAP развивается динамично – следует внимательно отслеживать все изменения. Взмах крыльев бабочки действительно может породить ураган.
Исходя из вышесказанного, похоже, что сегрегация сыграла дурную шутку. Не редка ситуация, при которой лицо, ответственное за системы безопасности, и должно проверять оные на предмет их эффективности. И хотя это допустимо, важно, чтобы главный менеджер по информационной безопасности постоянно соизмерял возможности систем безопасности с текущими рисками.
Популяризация SAP систем и развитие сетевых технологий, безусловно, высветило проблему информационной безопасности систем автоматизаций в новом свете. Рассмотренные проблемы покрывают значительный спектр проблематики и позволят менеджеру по рискам эффективно управлять, в том числе, и SAP-платформой предприятия/объекта/производства.
Источники:
Лучшие практики внедрения SAP Андерсон Дж.У. изд. Лори 2011г. 640 стр.
Настольная книга SAP-консультанта. Книга, которая расскажет, как добиться успехов в мире SAP изд. Эксперт РП 2008г.
www.onapsis.com