905

Общедоступные уязвимости – это те лазейки в программном обеспечении, которые занесены в базы данных уязвимостей (БДУ).

Уязвимости нулевого дня – уязвимости, о которых знает только узкий круг людей и которое были обнаружены совсем недавно.

Общеизвестные уязвимости хранятся в БДУ. Ниже описаны некоторые из них:

‒CWE (Common Weakness Enumeration);

‒CVE (Common Vulnerabilities and Exposures);

‒БДУ ФСТЭК России;

‒NIST NVD;

‒Chinese National Vulnerability Database;

‒Debian GNU/Linux Security Bug Tracker;

‒Ubuntu CVE Tracker;

‒RHEL/CentOS Security Data;

‒Центр обновлений Windows.

Так, зная вышеописанную информацию об уязвимостях, можно заниматься поиском этих уязвимостей [4].

Поиск уязвимостей может проходить в двух режимах: ручном и с помощью специализированного ПО (сканеров).

Ручной поиск является достаточно примитивным. При наличии информации о версии ПО, необходимо в поисковом сервисе (например, google) ввести название ПО,

его версию, а также одно из ключевых слов exploits/vulnerability/vulnerabilities и т.д.

После этого поисковый сервис покажет по данному запросу те БДУ, где хранятся известные уязвимости рассматриваемого программного продукта. Также это можно осуществить путём поиска не в поисковике, а непосредственно в какой-либо базе уязвимостей.

Ручной поиск подойдет для использования только в тех случаях, когда есть достаточно много времени на проверки и малое количество ресурсов, которые необходимо проверить.

Если же для поиска уязвимостей необходимо проверить более-менее серьезную инфраструктуру, то процесс поиска необходимо автоматизировать.

Традиционный для этого подход, называемый скриптовым, заключается в том, что некий скрипт отправляет запросы на проверяемый сервер и получает соответствующий ответ о существующих уязвимостях, чтобы дальше эту информацию передать пользователю. Данный метод используется и сейчас.

Минусы традиционного подхода – поддержка большого количества плагинов/скриптов (до нескольких десятков тысяч) для выявления уязвимостей, а также длительное время сканирования одного узла.

Помимо традиционного ручного, существует и современный подход поиска уязвимостей. Он заключается в использовании агрегированной БДУ, о которых шла речь выше. Для этого существуют следующие программы: Сканер-ВС 6, Nessus Attack, Nmap Scripting Engine, и другие, использующие БДУ для поиска уязвимостей [5]. Данный подход позволит получить наиболее полную, качественную и точную информацию о всех существующих уязвимостях проверяемого продукта.

Однако не стоит полностью полагаться только на автоматизированные средства поиска уязвимостей. Важную роль играет и экспертный подход, так как некоторые уяз-

21

вимости могут быть обнаружены только экспертом в области информационной безопасности [6].

Таким образом, в ходе исследования были выявлены и проанализированы такие виды уязвимостей как уязвимости кода, уязвимости архитектуры, уязвимости конфигурации и организационные уязвимости, которые, в свою очередь, подразделяются на уязвимости нулевого дня и общедоступные уязвимости. Знание особенностей уязвимостей позволяет выбирать наиболее эффективные методы их поиска.

Список литературы

1.ГОСТ «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» от 01.04.2016 № ОКС 35.020 // Электронный фонд правовых и нормативно-технических документов. ‒ 2018 г. ‒ № 2. ‒ С изм. и допол. в ред. от

01.11.2018. – URL: https://docs.cntd.ru/document/1200123702 (дата обращения: 09.04.2023).

2.Алѐшкин, А. С. Аппаратные и программные средства поиска уязвимостей при моделировании и эксплуатации информационных систем (обеспечение информационной безопасности) : учебное пособие / А. С. Алѐшкин, С. А. Лесько, Д. О. Жуков. ‒ Москва : РТУ МИРЭА, 2020. ‒ 152 с. ‒ Текст : электронный // Лань : электронно-библиотечная система. ‒ URL: https://e.lanbook.com/book/167600 (дата обращения: 09.04.2023).

3.Гродзенский, Я. С. Информационная безопасность : учебное пособие / Я. С. Гродзенский. ‒ Москва : Проспект, 2020. ‒ 142 с. ‒ ISBN 978-5-9988-0845-6. ‒ Текст : электронный // Лань : электронно-библиотечная система. ‒ URL: https://e.lanbook.com/book/181193 (дата обращения: 09.04.2023).

4.Ярочкин, В. И. Информационная безопасность : учебник / В. И. Ярочкин. ‒ 5-е изд. ‒ Москва : Академический Проект, 2020. ‒ 544 с. ‒ ISBN 978-5-8291-3031-2. ‒ Текст : электронный // Лань : электронно-библиотечная система. ‒ URL: https://e.lanbook.com/book/132242 (дата обращения: 09.04.2023).

5.Грей, Д. Социальная инженерия и этичный хакинг на практике : руководство / Д. Грей ; перевод с английского В. С. Яценкова. ‒ Москва : ДМК Пресс, 2023. — 226 с. ‒ ISBN 978-5-97060-980-4. — Текст : электронный // Лань : электронно-библиотечная система. ‒ URL: https://e.lanbook.com/book/314927 (дата обращения: 09.04.2023). — Режим доступа: для авториз. пользователей.

6.Ярошенко, А. А. ХАКИНГ на примерах. Уязвимости, взлом, защита / А. А. Ярошенко. ‒ Санкт-Петербург : Наука и Техника, 2021. ‒ 320 с. ‒ ISBN 978-5-94387-700-1. ‒ Текст :

электронный // Лань : электронно-библиотечная система. ‒ URL: https://e.lanbook.com/book/191478 (дата обращения: 09.04.2023). ‒ Режим доступа: для авториз. пользователей.

УДК 004.4’2

РЕАЛИЗАЦИЯ ТАЙМ-ТРЕКЕРА НА ЯЗЫКЕ JAVASCRIPT

М.П. Вавилов – студент 4-го курса; И.С. Шевчук – научный руководитель, старший преподаватель

ФГБОУ ВО Пермский ГАТУ, г. Пермь, Россия

Аннотация. Статья посвящена реализации приложения типа «тайм-трекер» в виде клиент-серверного веб приложения с использованием языка JavaScript и его библиотек.

Ключевые слова: тайм-трекер, клиент, сервер, JavaScript, React, NodeJS, феймворк, одностраничное приложение.

22

Тайм-трекер (англ. time tracker) ‒ это инструмент, который используется для отслеживания времени, затраченного на определенную задачу, проект или деятельность. Такое программное обеспечение позволяет пользователям записывать время начала и окончания задачи, а также учитывать перерывы и точно оплачивать рабочее время сотрудников [1].

В данной статье показана реализация базового функционала тайм-трекера в виде одностраничного приложения [2].

Выбранная архитектура для приложения – монолитная, так как данная архитектура хорошо подходит для небольших проектов.

Клиентская и серверная части реализованы на языке программирования JavaScript. Использование одного и того же языка дает ряд преимуществ [3].

Стек используемых технологий для реализации:

Backend: NodeJS, Express, PostgreSQL, Sequelize, dotenv. Frontend: React, MobX, Axios, Bootstrap.

Шаги реализации: создание REST API, создание модели данных, создание контроллеров, создание React-компонент, создание API для обращения к серверу.

Для построения REST API необходимо настроить маршрутизацию – выделить конкретные пути, по которым будут доступны ресурсы, а затем определить для них определенный обработчик.

Для построения и настройки маршрутизации в библиотеке Express есть специальный класс Router. Этот класс позволяет разбить приложение на отдельные модули (группы маршрутов). В рамках проекта были выделены группы маршрутов для таймера, группы таймеров и пользователя. Данные маршруты представлены на рис. 1.

Рис. 1. Группы маршрутов

Каждая из трёх групп маршрутов, называемых роутерами, содержит в себе другие части возможных путей ресурсов.

На рис. 2 представлена реализация роутера для таймера.

Рис. 2. Маршруты для таймера

Для связывания пути и функционала сервера были реализованы контроллеры (обработчики), которые предоставляют определенный ресурс. Было реализовано три контроллера с соответствующими названиями и предназначением. Функция для создания таймера одного из контроллеров продемонстрирована на рис. 3.

23

Рис. 3. Функция создания нового таймера

Приведенные функции являются асинхронными, так как содержат в себе логику работы с базой данных и являются весьма длительными по выполнению.

Модель данных – это представление данных, хранящихся в БД, в виде программного кода. Для описания используется ORM библиотека Sequelize.

Далее необходимо описать логику работы с моделью данных. Она заключается в следующем: описать таблицы в базе данных в виде объектов JavaScript с указанием полей, их типов данных и ограничений. На рис. 4 представлена модель данных для таймера.

Таблицы в БД должны быть связаны, поэтому в файле с моделями необходимо указать и связи между таблицами [4]. Связи между таблицами представлены на рис. 5.

В БД содержится три таблицы – таймер, группа и пользователь. Между таблицами существует две связи типа «один ко многим» – между пользователем и группой, а также между группой и таймером.

Операции с базой данных находятся внутри контроллеров.

Клиентская часть построена с использованием библиотеки React, которая позволяет создавать различные компоненты и переиспользовать их при необходимости [5]. Компонента представляет собой HTML разметку с фрагментами JavaScript-кода. Код одной из компонент показан на рис. 6.

Рис. 6. Компонента добавления нового таймера

24

Каждая компонента, как и страницы приложения, представляет из себя функцию JavaScript, возвращающую HTML разметку. Страниц в проекте три: авторизация, приветственная страница и страница с таймерами.

Для обращения к серверу используется программный интерфейс приложения (API). В проекте он разделен на три отдельных логических части: для работы с пользователем, таймерами и группами.

API состоит из асинхронных callback-функций, которые возвращают ответ с сервера на запрос по определенному пути. Функция для создания нового таймера представлена на рис. 7.

Рис. 7. Часть API для работы с таймерами

Для ускорения и упрощения вёрстки сайта была использована библиотека Bootstrap, которая предоставляет готовые элементы интерфейса с готовыми стилями. Внешний вид приложения показан на рис. 8.

Рис. 8. Внешний вид приложения в браузере

Результатом данной работы является готовое одностраничное приложение и серверное приложение, которое работает с базой данных и реализует логику приложения.

Данный вариант проекта представляет собой базовый вариант, к которому в дальнейшем можно добавить различный дополнительный функционал, такой как: отчеты, работа с задачами несколькими пользователями, ведение статистики и другие функции.

25

Список литературы

1.Петренко, Е. С. Современные инструменты тайм-менеджмента : учебное пособие / Е. С. Петренко, Л. В. Шаблатина, А. В. Варламов. ‒ Москва : Креативная экономика, 2019. ‒ 86 с.

‒ISBN 978-5-91292-294-7. ‒ Текст : электронный // Лань : электронно-библиотечная система. ‒ URL: https://e.lanbook.com/book/165573 (дата обращения: 01.04.2023).

2.Заяц, А. М. Проектирование и разработка WEB-приложений. Введение в frontend и backend разработку на JavaScript и node.js / А. М. Заяц, Н. П. Васильев. ‒ 3-е изд., стер. ‒ СанктПетербург : Лань, 2023. ‒ 120 с. ‒ ISBN 978-5-507-45423-5. ‒ Текст : электронный // Лань : элек-

тронно-библиотечная система. ‒ URL: https://e.lanbook.com/book/269867 (дата обращения:

01.04.2023). ‒ Режим доступа: для авториз. пользователей.

3.Диков, А. В. Web-программирование на JavaScript : учебное пособие для спо / А. В. Диков. ‒ 2-е изд., стер. ‒ Санкт-Петербург : Лань, 2022. ‒ 168 с. ‒ ISBN 978-5-8114-9477-4. ‒

Текст : электронный // Лань : электронно-библиотечная система. ‒ URL: https://e.lanbook.com/book/195486 (дата обращения: 01.04.2023). ‒ Режим доступа: для авториз.

пользователей.

4.Базы данных : учебное пособие / составители Т. Ж. Базаржапова [и др.]. ‒ Улан-Удэ : Бурятская ГСХА им. В.Р. Филиппова, 2022. ‒ 84 с. ‒ Текст : электронный // Лань : электронно-

библиотечная система. ‒ URL: https://e.lanbook.com/book/284240 (дата обращения: 01.04.2023).

‒Режим доступа: для авториз. пользователей.

5.Леон, У. Разработка веб-приложения GraphQL с React, Node.js и Neo4j / У. Леон ; перевод с английского А. Н. Киселева. ‒ Москва : ДМК Пресс, 2023. ‒ 262 с. ‒ ISBN 978-5-93700- 185-6. ‒ Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/314975 (дата обращения: 01.04.2023). ‒ Режим доступа: для авториз.

пользователей.

УДК 004.9

РАЗРАБОТКА ИНФОРМАЦИОННОЙ СИСТЕМЫ ДЛЯ ПРИЕМНОЙ КОМИССИИ

В ГБПОУ «КУДЫМКАРСКИЙ ЛЕСОТЕХНИЧЕСКИЙ ТЕХНИКУМ»

А.Ю. Гагарина – студентка 4-го курса; А.Н. Козлов – научный руководитель, канд. техн. наук, доцент

ФГБОУ ВО Пермский ГАТУ, г. Пермь, Россия

Аннотация. Рассмотрен процесс приема абитуриентов, приемной комиссией в Кудымкарском лесотехническом техникуме. С использованием программы AllFusion ERWin Process Modeler построена модель «AS-IS». В ходе анализа выявлены недостатки данного процесса и, исходя из этого, разработана модель «ТО-ВЕ», устраняющая эти недостатки. По модели «ТО-ВЕ» разработана информационная система для приемной комиссии ГБПОУ «КЛТ».

Ключевые слова. Учёт, анализ процесса, модель «AS-IS», «ТО-ВЕ».

ГБПОУ «Кудымкарский лесотехнический техникум» является государственным образовательным учреждением среднего профессионального образования Российской Федерации, имеет аккредитационный статус по типу «Образовательное учреждение среднего профессионального образования» и виду образовательного учреждения – «Техникум», по типу учреждения – бюджетное учреждение.

26

Основной целью деятельности Учреждения является осуществление образовательной деятельности по образовательным программам среднего профессионального образования.

В ходе работы мной были изучены все основные процессы, которые там выполняются и выявлен наиболее трудоёмкий процесс, требующий автоматизации, а именно

– работа приемной комиссии.

Суть процесса: абитуриент приходит в техникум и в кабинете приемной комиссии заполняет вручную заявление, член приемной комиссии проверяет правильность заполненного заявления, делает требуемые копии документов и собирает личное дело в файл, также член приемной комиссии отмечает получившие документы, и выдает расписку о полученных документах абитуриенту. После чего файл с документами от абитуриента прикрепляется к папке с другими заявлениями от абитуриентов с выбранной определенной специальностью абитуриентами. После чего данную папку передают заместителю председателя приемной комиссии, где он заполняет все требуемые данные абитуриента из личного дела в файл Excel, и рассчитывает средний бал аттестата. Далее данный файл передается председателю приемной комиссии для формирования списков поступивших абитуриентов.

Для анализа рассматриваемого бизнес-процесса и выявления его недостатков использовалась методология IDEF0 [1-3]. Модель «AS-IS» процесса представлена на рис. 1.

Рис. 1. Модель «AS-IS» процесса «Оформить прием абитуриента»

Входе анализа модели были выявлены следующие недостатки:

1.У заместителя председателя приемной комиссии очень много задач и работы, при этом он должен заполнять данные об абитуриентах в Excel файл и считать самостоятельно средний балл.

27

2.Абитуриент самостоятельно вручную должен заполнять заявление, приносить заранее сделанные копии документов. Минус самостоятельного заполнения заключается в том, что не всегда можно разобрать почерк абитуриента.

3.Работа приемной комиссии, заключается только в том, чтобы проконтролировать правильность поданных документов.

Сцелью устранения недостатков модели «AS-IS», была построена модель «ТО-ВЕ»

(рис. 2).

На данной диаграмме вместо простого принятия документов от абитуриентов, приемная комиссия самостоятельно будет заполнять заявление и все требуемые данные об абитуриенте в ИС и распечатывать уже заполненное заявление, а абитуриенту нужно будет только проверить правильность заполненного заявления и подписать его. Также член приемной комиссии делает копии требуемых документов и вместе с подписанным заявлением формирует личное дело. В ИС отмечает полученные документа и распечатывает расписку о получении документов.

Рис. 2. Модель «TO-BE» процесса «Оформить прием абитуриента»

Председатель приемной комиссии формирует списки поступивших абитуриентов с помощью той же ИС, в которой хранятся все данные об абитуриенте. В данной диаграмме уже не требуется рабочая сила председателя приемной комиссии.

Для реализации модели «ТО-ВЕ» разработана информационная система «Приемная комиссия». Данная система реализована с помощью конфигуратора платформы 1: С. Разработанная конфигурация реализует следующие преимущества модели «ТО-ВЕ»:

‒автоматизация работы приемной комиссии;

‒исключение потери личных данных абитуриентов;

‒удобный поиск нужного абитуриента;

‒снижение риска утери информации;

‒актуальная информация о количестве поданных заявлений на специальности;

28

‒ снижение трудоемкости формирования приказа о поступивших. Реализация первого блока модели TO – BE (рис. 3).

Рис. 3. Заполнение заявления в разработанной ИС

Заполнение заявления по персональным данным абитуриента, большинство полей заполняется информацией с помощью заранее созданных справочников. Печатная форма заявления в разработанной ИС, соответствует форме заявления, используемой в ГБПОУ «КЛТ» (рис. 4).

Рис. 4. Печатная форма заявления в разработанной ИС

Реализация третьего блока модели TO – BE (рис. 5). Разработанная система еще нуждается в доработках, зачисляемые студенты прописываются вручную. Печатная форма приказа (рис. 6).

29

Рис. 5. Заполнение приказа в разработанной ИС

Рис. 6. Печатная форма приказа в разработанной ИС

30