УЯЗВИМОСТИ МОНИТОРИНГА ПРОЦЕССИНГОВЫХ СИСТЕМ

VULNERABILITIES OF MONITORING OF PROCESSING SYSTEMS

Anastasiya Khlopovskaya

student, Department of Instrumental and Applied Software, MIREA-Russian Technological University (RTU MIREA),

Russia, Moscow

Irina Svishchevа

assistant, Department of Practical and Applied Informatics, MIREA-Russian Technological University (RTU MIREA),

Russia, Moscow

АННОТАЦИЯ

С каждым годом всё больше растёт количество автоматизированных систем, используемых в различных сферах. Также растёт и потребность в их сопровождении, контроле и поддержке. Всем этим призваны заниматься системы мониторинга, которые в свою очередь не лишены уязвимостей и различных угроз. Данная статья исследует такие уязвимости и угрозы.

ABSTRACT

Every year the number of automated systems used in various fields is growing more and more. The need for their support, monitoring and support is also growing. Monitoring systems are designed to deal with all this, which in turn are not devoid of vulnerabilities and various threats. This article explores such vulnerabilities and threats.

Ключевые слова: мониторинг; автоматизированные системы; мониторинговые системы; уязвимости.

Keywords: monitoring; automated systems; monitoring systems; vulnerabilities.

Каждый день миллионы людей оплачивают различные товары и услуги при помощи банковских карт или других платежных систем. Каждый процесс оплаты покупки – это перевод денежных средств от покупателя получателю, обработка транзакций банковских карт, или, так называемый, процессинг.

Системы, отвечающие за процесс обработки транзакций и передачи виртуальных денежных средств между участниками сделки, называют процессинговыми. Таких систем существует очень много, но владельцы крупных предприятий не скупятся и выделяют должные ресурсы на создание собственной автоматизированной системы.

Любую АС необходимо сопровождать, то есть поддерживать и контролировать ее работоспособность, чем и занимаются системы мониторинга. К сожалению, не все, существующие на сегодняшний день, крупные мониторинговые системы отвечают требованиям и условиям заказчиков, поэтому создаются новые программные продукты.

На разработку собственного ПО закладываются огромные ресурсы, но для его внедрения и последующей успешной эксплуатации - система должна пройти проверки информационной безопасности и получить подтверждение от специалистов этой области. Все новые системы, подвергаются проверкам на утечки и уязвимости, проверяется архитектура и взаимодействие модулей, а также ее исходный код. Эти требования касаются всех систем, но особенно важными являются для тех, которые работают с персональными данными клиентов и обеспечивают денежные переводы.

Все автоматизированные системы требуют поддержки, сопровождения и администрирования их работы. Эти обязанности выполняют или сами разработчики (распространено для небольших легковесных АС) или специально обученные люди, в чьи обязанности входит:

• Организация и выполнение работ по устранению инцидентов, возникших в работе автоматизированной системы;

• Взаимодействие с разработчиками автоматизированной системы и смежными ИТ подразделениями по вопросам сопровождения;

• Выполнение работ по настройке и поддержке тестового и промышленного ландшафтов;

• Внедрение новых версий прикладного программного обеспечения;

• Проведение приемо-сдаточных испытаний;

• Настройка и поддержка интеграционных решений с взаимосвязанными системами;

• Организация мониторинга автоматизированной системы и его актуализация в ходе ее эксплуатации;

• Оперативное реагирование и решение нештатных ситуаций связанных с работой ПО.

Для администраторов и дежурных инженеров процессинговых систем, ответственных за работоспособность всех АС, обеспечивающих процессинг, устанавливаются специальные приложения, облегчающие работу по отслеживаю отклонений и работоспособности АС в целом. Такие приложения называются мониторинговыми системами, так как позволяют в удобном формате отслеживать любые изменения АС, и анализировать полученные для обработки данные.

Мониторинг включает в себя систематический сбор и обработку исходных данных, которые могут использоваться для информирования, улучшения процесса реагирования на отклонения, или в качестве инструмента для обеспечения обратной связи, оценки, выработки политики и осуществления задач и проектов.

Мониторинговая система работает с информацией, полученной от сервера в исходном виде, после чего преобразует эти данные, в метрики. Метрики – это те же данные, приведенные в установленный разработчиками единый и удобный формат (например, JSON).

Мониторинг обрабатывает метрики по правилам, заложенным в бизнес-требованиях заказчика, установленных в технических заданиях или настроенными вручную, если это позволяют возможности Мониторинга.

Среди администраторов очень востребована событийная модель мониторинга. Если обычный мониторинг только отображает данные в таблицах, графиках и диаграммах, то событийная модель вносит новый функционал – оповещение пользователя по обнаруженным отклонениям на заранее установленные правила. Оповещения представляют собой всевозможные сигналы – звуки, всплывающие сообщения, смс на телефон.

Мониторинговые системы выполняют следующие функции:

• Сбор, анализ, обработка исходных, «сырых» данных

• Преобразование данных в метрики

• Хранение метрик в постоянном (БД) или временном (кэш) хранилище

• Анализ и обработка метрик (распределенных, нестандартных)

• Анализ и обработка наборов метрик и правил для создания инцидентов

• Отображение метрик в удобном для администраторов виде (таблицы, графики, диаграммы)

• Уведомление пользователей об отклонениях и инцидентах

• Обеспечение оперативного удаленного выполнения действий на серверах

Не все коммерческие системы мониторинга удовлетворяют потребностям заказчиков или совершенно не подходят для той или иной услуги. Если владельцы продуктов имеют возможности и ресурсы для создания собственных программных обеспечений, то начинается проектирование, создание архитектуры и последующая разработка таких систем.

Таким образом, процессинговые системы и их мониторинг является важной отраслью разработки банка. Если должным образом не разработать безопасную архитектуру и взаимодействие компонентов, можно допустить катастрофические утечки конфиденциальных данных, что приведет к потере огромных вложений и большого количества пользователей.

Существуют общепринятые мировые стандарты безопасности, используя которые можно составить грамотную методику обеспечения безопасности системы. С развитием самой системы и информационных технологий в целом стандарты могут подлежать доработке. Обычно анализом, выявлением уязвимостей и составлением методики занимаются специально обученные люди, специалисты по информационной безопасности.

Список литературы:

1. Процессинг транзакций. [Электронный ресурс] // ВикиЧтение. 2022. URL: https://econ.wikireading.ru/7594 (Дата обращения: 16.05.2022).
2. Процессинговая система как SaaS платформа под своим брендом для провайдеров электронных платежей. [Электронный ресурс] // beGateway. 2022. URL: https://begateway.com/ru/2016/12/06/processing-system-as-saas-for-psp/ (Дата обращения: 17.05.2022).
3. ПО: Процессинг & Мониторинг. [Электронный ресурс] // KITPS. 2022. URL: http://kitps.ru/soft/processingmonitoringinfo (Дата обращения: 12.05.2022).
4. Мультипроцессинг «КИТ». Процессинг и мониторинг. [Электронный ресурс] // kiosks.ru. 2022. URL: https://kiosks.ru/index.php/product/kit-processing-soft/ (Дата обращения: 14.05.2022).
5. Compass Plus: сеть ATM – всё под контролем. [Электронный ресурс] // Плас. 2022. URL: https://plusworld.ru/journal/2010/04-156/art141313/ (Дата обращения: 15.05.2022).