Merge branch 'master' of http://213.155.192.79:3001/ypv/EASvZI

1.6.300Анализ и синтез структурных и функциональных схем защищенных автоматизированных информационных систем.md

@@ -0,0 +1,23 @@
+# Анализ и синтез структурных и функциональных схем защищенных автоматизированных информационных систем.
+Часть 1: Анализ защищенных АИС
+1.1 Анализ угроз и уязвимостей
+Идентификация угроз: Анализ потенциальных угроз, которые могут возникнуть в контексте конкретной АИС.
+Оценка уязвимостей: Изучение слабых мест в системе, которые могут быть использованы злоумышленниками.
+1.2 Анализ требований к безопасности
+Определение стандартов и политик безопасности: Выбор соответствующих стандартов и установление политик безопасности.
+Анализ требований к защите информации: Определение, какие данные требуют дополнительной защиты.
+1.3 Анализ структурной схемы АИС
+Идентификация ключевых компонентов: Анализ архитектуры системы для выделения основных компонентов.
+Оценка влияния угроз на структуру: Оценка того, как угрозы могут повлиять на различные компоненты АИС.
+Часть 2: Синтез защищенных АИС
+2.1 Проектирование безопасной структуры
+Выбор архитектуры безопасности: Разработка структуры, учитывающей принципы минимизации привилегий и изоляции.
+Управление доступом: Разработка механизмов контроля доступа к ресурсам.
+2.2 Разработка функциональных схем
+Реализация шифрования: Внедрение механизмов шифрования для защиты конфиденциальности данных.
+Мониторинг и обнаружение инцидентов: Разработка систем для раннего обнаружения и реагирования на потенциальные инциденты.
+2.3 Тестирование и анализ безопасности
+Проведение пенетрационного тестирования: Симуляция атак с целью выявления уязвимостей.
+Анализ журналов событий: Оценка журналов для выявления подозрительной активности.
+Заключение
+Обеспечение безопасности в АИС требует комплексного подхода, начиная от анализа угроз и требований к безопасности, и заканчивая реализацией эффективных механизмов защиты. Анализ и синтез структурных и функциональных схем играют ключевую роль в создании и поддержании безопасных информационных систем. Регулярное обновление и адаптация мер безопасности необходимы в условиях постоянно меняющейся киберугрозы.

Лекции/1.6.260_Квантовое_распределение_ключей/krasnova.md

@@ -0,0 +1,54 @@
+# Квантовое распределение ключей  
+
+**Квантовое распределение ключей** (Quantum Key Distribution, QKD) - это метод передачи секретных ключей между двумя участниками с использованием квантовых свойств фотонов. Он базируется на принципе, что любое наблюдение или 
+измерение квантового состояни  
+
+В процессе квантового распределения ключей генерируется последовательность случайных битов, которая затем кодируется на квантовых состояниях фотонов. Затем эти фотоны отправляются по квантовым каналам связи между участниками. 
+Получатель использует детекторы и квантовые операции для измерения состояний фотонов и выявления любых попыток прослушивания или изменения передаваемых данных. В результате полученная последовательность фотонов становится 
+секретным ключом, который можно использовать для шифрования и дешифрования сообщений.  
+
+Квантовое распределение ключей обеспечивает высокую степень безопасности передачи секретной информации, так как любая попытка прослушивания или изменения состояний фотонов будет заметна для отправителя и получателя. Это делает 
+метод применяемым для различных сфер, включая криптографию, банковское дело, государственные и коммерческие коммуникации, где защита конфиденциальности данных является критически важной.   
+
+![](ри.png)  
+
+### Современное квантовое распределение ключей (QKD) развивается и прогрессирует в нескольких направлениях:  
+
+1) Увеличение дальности передачи: В последние годы исследователи активно работают над увеличением дальности передачи квантовых ключей. Традиционные методы QKD имеют ограничения в дальности передачи из-за потерь фотонов в оптических 
+каналах связи. Новые техники, такие как усиление фотонов или использование квантовых повторителей, разрабатываются для преодоления этих ограничений, позволяя передавать ключи на более дальние расстояния.  
+
+2) Интеграция с классическими сетями связи: Для практической реализации QKD необходимо интегрировать квантовую передачу ключей с существующими классическими сетями связи. Исследователи работают над разработкой протоколов и аппаратных 
+средств, которые позволят совмещать квантовую и классическую коммуникацию, чтобы обеспечить безопасную передачу (QKD) внутри сети.  
+
+3) Развитие коммерческого применения: В последние годы QKD перешло от исследовательских лабораторий к коммерческому применению. Несколько компаний разрабатывают и предлагают коммерческие системы квантового распределения ключей для 
+защиты конфиденциальности данных на различных уровнях, от корпоративных сетей до облачных вычислений. Развитие коммерческого сектора способствует распространению и внедрению QKD в различных отраслях.  
+
+4) Развитие QKD на базе различных платформ: Исследователи также исследуют различные платформы для реализации QKD, включая оптические волокна, сверхпроводниковые и физические системы, такие как атомы и кубиты. Каждая платформа имеет 
+свои преимущества и ограничения, и исследование различных платформ позволяет улучшить эффективность и надежность QKD.  
+
+
+### Основные цели протоколов квантового распределения ключей (QKD) включают:  
+
+1) Обеспечение абсолютной безопасности передачи секретной информации. QKD использует принципы квантовой механики, чтобы гарантировать, что секретный ключ не может быть подслушан или скопирован третьими сторонами.  
+
+2) Определение и обнаружение попыток вторжения. QKD может предоставить информацию о любых попытках преградить или подслушать передачу ключа, что позволяет обнаружить и противодействовать вторжениям.  
+
+3) Долгосрочная секретность ключа. QKD может предоставить долгосрочную секретность ключа и обеспечить его сохранность в течение длительного времени.  
+
+4) Генерация случайных чисел. QKD может использоваться для создания высококачественных случайных чисел, которые могут быть использованы в различных криптографических приложениях.  
+
+5) Повышение безопасности других криптографических протоколов. QKD может использоваться в комбинации с другими криптографическими протоколами для повышения их безопасности и защиты от атак.  
+
+![](ри2.png)  
+
+### Проблемы квантового распределения ключей   
+
+Одной из основных проблем квантового распределения ключей (QKD) является влияние физических факторов на качество передачи ключей. Например, деградация сигнала из-за осцилляций фибр или потери сигнала в оптических элементах может 
+привести к ухудшению производительности QKD. Возможность проникновения злоумышленников в оптическую линию связи и попытки подслушивания или вмешательства в процесс передачи ключей также являются серьезными проблемами QKD. Другой 
+проблемой является влияние шумов в окружающей среде, например, фотонного шума или теплового шума, на работу квантовых систем. Разработка и реализация надежных методов обнаружения и устранения этих проблем представляют основную задачу 
+в области QKD.  
+
+## Источники:  
+-[habr.com](https://habr.com/ru/articles/530980/)  
+-[postnauka.org](https://postnauka.org/longreads/156066)  
+-[ru.wikipedia.org](https://ru.wikipedia.org/wiki/Квантовое_распределение_ключей)  

Лекции/1.6.300_Анализ_синтез_структурных_функциональных_схем_ЗАС/Анализ и синтез структурных и функциональных схем защищенных автоматизированных информационных систем.md

@@ -0,0 +1,23 @@
+# Анализ и синтез структурных и функциональных схем защищенных автоматизированных информационных систем.
+Часть 1: Анализ защищенных АИС
+1.1 Анализ угроз и уязвимостей
+Идентификация угроз: Анализ потенциальных угроз, которые могут возникнуть в контексте конкретной АИС.
+Оценка уязвимостей: Изучение слабых мест в системе, которые могут быть использованы злоумышленниками.
+1.2 Анализ требований к безопасности
+Определение стандартов и политик безопасности: Выбор соответствующих стандартов и установление политик безопасности.
+Анализ требований к защите информации: Определение, какие данные требуют дополнительной защиты.
+1.3 Анализ структурной схемы АИС
+Идентификация ключевых компонентов: Анализ архитектуры системы для выделения основных компонентов.
+Оценка влияния угроз на структуру: Оценка того, как угрозы могут повлиять на различные компоненты АИС.
+Часть 2: Синтез защищенных АИС
+2.1 Проектирование безопасной структуры
+Выбор архитектуры безопасности: Разработка структуры, учитывающей принципы минимизации привилегий и изоляции.
+Управление доступом: Разработка механизмов контроля доступа к ресурсам.
+2.2 Разработка функциональных схем
+Реализация шифрования: Внедрение механизмов шифрования для защиты конфиденциальности данных.
+Мониторинг и обнаружение инцидентов: Разработка систем для раннего обнаружения и реагирования на потенциальные инциденты.
+2.3 Тестирование и анализ безопасности
+Проведение пенетрационного тестирования: Симуляция атак с целью выявления уязвимостей.
+Анализ журналов событий: Оценка журналов для выявления подозрительной активности.
+Заключение
+Обеспечение безопасности в АИС требует комплексного подхода, начиная от анализа угроз и требований к безопасности, и заканчивая реализацией эффективных механизмов защиты. Анализ и синтез структурных и функциональных схем играют ключевую роль в создании и поддержании безопасных информационных систем. Регулярное обновление и адаптация мер безопасности необходимы в условиях постоянно меняющейся киберугрозы.

Лекции/2.2.100_Задачи_и_функции_администрирования_АС_TeslinIvan_36/rk.md

@@ -0,0 +1,68 @@
+# Задачи и функции администрирования автоматизированных систем  
+
+**Администрирование**- это предоставление пользователям соответствующих прав использования возможностей работы с системой (базой, банком данных),обеспечении целостности данных, а также создании многопользовательских приложений.  
+
+### Задачи администрирования АС:  
+
+>создание и ведение сетевой спецификации;  
+
+>создание и ведение журнала информационной системы;  
+
+>создание схемы сети;  
+
+>создание и ведение другой документации;  
+
+>консультация пользователей;  
+
+>профилактическое обслуживание компьютеров;  
+
+>профилактические работы на сервере; 
+
+>устранение возникающих проблем и неисправностей в информационной системе.  
+
+### Функции администрирования АС:  
+
+>установления квот памяти для пользователей ИС;  
+
+>управления доступностью данных, включая режимы online или offline;  
+
+>копирования и восстановления данных;  
+
+>распределения данных по устройствам для повышения производительности.  
+
+![](рит.png)  
+
+### Может ли администратор действовать во вред?  
+
+Источниками угроз для предприятий ИБ могут быть не только злоумышленнки, но и обычные сотрудники.  
+
+>Утечка и потеря важной информации. Происходит в результате умышленных и неумышленных действий.  
+
+>Изменение данных. Например, корректировка отчетов и другой документации.  
+
+>Внедрение опасного ПО. Это могут быть вредоносные эксплойты, взломщики паролей и многое другое.  
+
+>Выведение из строя программ. Привилегированный сотрудник своими действиями может нарушить работу отдельных модулей или всей информационной системы.  
+
+![](рита.png)  
+
+### Как можно защитить себя от угроз?  
+ 
+>Контроль использования привилегированных учетных записей  
+
+>Усиленная аутентификация.  
+
+>Ограничение времени предоставления доступа.  
+
+>Надежное хранение и настраиваемая смена паролей, присвоение им уникальных свойств.  
+
+>Запись сессий администраторов и других пользователей с последующим шифрованием.  
+
+>Разрыв сессии при обнаружении несанкционированных действий.  
+
+## Источники:  
+
+1.[studbooks.net](https://studbooks.net/1993774/informatika/zadachi_administrirovaniya_avtomatizirovannyh_sistem?ysclid=lq7n17pomw396006442)   
+2.[studfile.net](https://studfile.net/preview/2918108/page:6/)  
+3.[bstudy.net](https://bstudy.net/835927/tehnika/funktsii_sostav_sluzhb_administratora_sistemy?ysclid=lq7nk3vti3392955628)  
+

Лекции/2.2.300_Организация_администрирования_АС/krasnova.md

@@ -0,0 +1,72 @@
+# Организация администрирования автоматизированных систем  
+
+**Администрировaние** – непрерывный процесс, который позволяет сделaть информaционную систему:  
+
++ более понятной и Руководству оргaнизaции и пользовaтелям    
++ более прозрaчной    
++ упрaвляемой    
++ более зaщищенной от внешних угроз (вирусы, aтaки);   
++ стaбильно функционирующей   
++ не зaвисящей от людей и оргaнизaций, её обслуживaющих      
++ aдминистрировaние тaкже позволяет уменьшить время восстaновления после aвaрии или инцидентa  
+
+### Администрировaние включaет:  
+
+>создaние и ведение сетевой спецификaции    
+>создaние и ведение журнaлa информaционной системы    
+>создaние (при необходимости) схемы сети    
+>создaние и ведение другой документaции    
+>консультировaние пользовaтелей    
+>консaлтинг и упрaвление процессом модернизaции ИС    
+>профилaктическое обслуживaние компьютеров    
+>профилaктические рaботы нa сервере    
+>профилaктикa и консaлтинг с целью предотврaщения и предупреждения инцидентов и сокрaщение потерь и убытков при их возникновении;  
+>устрaнение возникaющих проблем и неиспрaвностей в информaционной системе  
+
+![](ри.png)  
+
+### Функции и зaдaчи aдминистрaторa ИС:    
+
+-aдминистрировaние ИС осуществляется лицом, упрaвляющим этой системой. Тaкое лицо нaзывaется aдминистрaтором    
+-Если ИС большaя, эти обязaнности могут выполнять несколько человек (группa aдминистрaторов)   
+-aдминистрaтор ИС осуществляет её зaпуск и остaновку. он может использовaть тaбличные прострaнствa для  
+упрaвления рaспределением пaмяти для объектов ИС    
+-устaновления квот пaмяти для пользовaтелей ИС    
+-упрaвления доступностью дaнных    
+-копировaния и восстaновления дaнных    
+-рaспределения дaнных по устройствaм для повышения производительности    
+-В процессе своей деятельности aдминистрaтор ИС взaимодействует с другими кaтегориями её пользовaтелей, a тaкже и с внешними специaлистaми, не являющимися пользовaтелями ИС    
+
+### Сетевое aдминистрировaние  
+
+**Сетевое aдминистрировaние (Nеtwоrk Managеmеnt)** возникaет, когдa у aдминистрaторa сети появляется потребность и возможность оперировaть единым предстaвлением сети, кaк прaвило, это относится к сетям со сложной aрхитектурой. При этом осуществляется переход от упрaвления функционировaнием отдельных устройств к aнaлизу трaфикa в отдельных учaсткaх сети, упрaвлению её логической конфигурaцией и конкретными рaбочими пaрaметрaми, причём все эти оперaции целесообрaзно выполнять с одной упрaвляющей консоли.  
+
+### Роль сетевого aдминистрaторa  
+
+Эволюция концепций aдминистрировaния коснулaсь не только aрхитектуры систем. Новые проблемы, возникшие в рaспределённых средaх, привели к тому, что нa некоторое время сетевое упрaвление стaло рaссмaтривaться в кaчестве глaвной зaботы aдминистрaторов ИС.
+Ситуaция изменилaсь после того, кaк число рaспределённых приложений и бaз дaнных, функционирующих в сети, превысило некоторое пороговое знaчение. При этом возрослa роль системного aдминистрировaния, и неизбежным окaзaлся процесс интегрaции системного и сетевого aдминистрировaния. Следует отметить, что упрaвление рaботой сложной гетерогенной сети предстaвляет собой более сложную зaдaчу, чем, нaпример, контроль зa функционировaнием сетевых принтеров.  
+
+![](ри2.png)  
+
+### Системное aдминистрировaние 
+
+Основной целью системного aдминистрировaния является приведение сети в соответствие с целями и зaдaчaми, для которых этa сеть преднaзнaченa. Достигaется этa цель путём упрaвления сетью, позволяющего минимизировaть зaтрaты времени и ресурсов, нaпрaвляемых нa упрaвление системой, и в тоже время мaксимизировaть доступность, производительность и продуктивность системы.  
+
+### Функционaльные облaсти упрaвления, относящиеся к системному aдминистрировaнию, определены в спецификaциях ISо, и ориентировaны нa:  
+
+-решение проблемных ситуaций (диaгностикa, локaлизaция и устрaнение неиспрaвностей, регистрaция ошибок, тестировaние)  
+-упрaвление ресурсaми (учёт, контроль использовaния ресурсов, выстaвление счетов зa использовaнные ресурсы и огрaничение доступa к ним)  
+-упрaвление конфигурaцией, нaпрaвленное нa обеспечение нaдёжного и эффективного функционировaния всех компонентов информaционной системы  
+-контроль производительности (сбор и aнaлиз информaции о рaботе отдельных ресурсов, прогнозировaние степени удовлетворения потребностей -пользовaтелей/приложений, меры по увеличению производительности)  
+-зaщитa дaнных (упрaвление доступом пользовaтелей к ресурсaм, обеспечение целостности дaнных и упрaвление их шифровaнием).
+
+### Сопутствующaя рaботa (тaкже являются чaстью процессa aдминистрировaния):  
+>Устaновкa и подключение периферийного оборудовaния к компьютерaм, его нaстройкa (выполняется плaново во время профилaктического обслуживaния), или консультaции по подключению     
+>При необходимости чисткa тaктильных устройств (мышь), чисткa системных блоков, смaзкa вентиляторов    
+>Устaновкa и нaстройкa системного прогрaммного обеспечения (выполняется плaново)     
+>Устрaнение возникaющих неиспрaвностей и неполaдок сети, серверов, компьютеров, включaя ремонт, нaстройку, устaновку и переустaновку прогрaммного 
+обеспечения (выполняется в случaе возникновения неиспрaвностей – т.н. экстренный вызов). Количество тaких вызовов не огрaничивaется, т.к. основнaя зaдaчa – обеспечить нормaльную рaботоспособность системы    
+
+## Источники:  
+1.[studfile.net](https://studfile.net/preview/2918108/page:6/)   
+2.[mkl.isuct.ru](https://mkl.isuct.ru/cms/)  

Лекции/2.4.100_Основные_принципы_ЗИ_от_НСД/krasnova.md

@@ -0,0 +1,59 @@
+# Основные направления обеспечения защиты от НСД  
+
+**Средства защиты от несанкционированного доступа** — это программные или аппаратные средства, позволяющие предотвратить попытки несанкционированного доступа, такие как неавторизованный физический доступ, доступ к файлам, хранящимся на компьютере, уничтожение конфиденциальных данных.  
+
+![](k.png)  
+
+### Основные направления обеспечения защиты от нарушений системы защиты данных (НСД) могут включать:  
+
+1. Физическая защита: Обеспечение безопасности физических объектов, таких как помещение дата-центра, серверные комнаты, серверные шкафы и т. д. Для этого используются средства контроля доступа, охранная система, видеонаблюдение и физические барьеры.  
+
+
+2. Логическая защита: Защита от несанкционированного доступа к данным и информационным системам. Включает в себя внедрение механизмов аутентификации, авторизации и аудита, использование защищенных протоколов и шифрования данных, а также мониторинг и обнаружение инцидентов безопасности.  
+
+
+3. Кадровая защита: Внедрение политик безопасности и обучение персонала по вопросам информационной безопасности. Это включает обучение сотрудников стандартным процедурам работы с данными, правила безопасного использования информационных систем, а также осведомление о возможных угрозах и признаках атак.  
+
+
+4. Криптографическая защита: Применение шифрования данных для защиты конфиденциальности и целостности информации. Используются различные алгоритмы и протоколы шифрования, такие как SSL/TLS, IPsec, PGP и другие.  
+
+
+5. Защита от атак со стороны сети: Обеспечение безопасности сети и защита от внешних угроз, таких как денайал-оф-сервис атаки, искажение или перехват данных, внедрение вредоносных программ и прочие. Для этого применяются средства периметральной защиты, межсетевые экраны, системы обнаружения вторжений и прочие.  
+
+
+6. Защита от атак со стороны внутренних угроз: Защита от угроз, исходящих изнутри организации, таких как несанкционированный доступ сотрудников, утрата или кража данных, саботаж и прочие. Включает в себя мониторинг и анализ деятельности пользователей, ограничение доступа к критическим данным, управление правами доступа и контроль целостности данных.   
+
+
+7. Восстановление после инцидентов: Разработка и внедрение плана аварийного восстановления, включающего резервное копирование данных, системы резервного копирования, мониторинг и восстановление после инцидентов безопасности.  
+
+
+8. Обучение и осведомленность: Эффективное обучение пользователей о правилах безопасного поведения в сети, угрозах информационной безопасности и методах защиты данных. Это может включать проведение тренингов, проведение учебных курсов и распространение информационных материалов по безопасности.  
+
+![](k2.png)  
+
+
+### Принципы защиты от нарушений системы защиты данных (НСД) включают:  
+
+1. Принцип минимизации привилегий: Пользователям следует давать только те привилегии и доступы, которые необходимы для выполнения их задач. Это ограничивает возможности несанкционированного доступа и ограничивает потенциальные угрозы, которые могут исходить от прав пользователей.  
+
+2. Принцип контроля доступа: Необходимо внедрить механизмы контроля доступа, чтобы только уполномоченные пользователи имели доступ к системе и ее данным. Это включает использование паролей, механизмов аутентификации и авторизации, управление правами доступа и многоуровневый контроль доступа.  
+
+3. Принцип защиты целостности данных: Необходимые меры должны быть приняты для обеспечения целостности данных. Это включает предотвращение несанкционированного доступа, изменения или удаления данных, а также использование механизмов контроля целостности, таких как хэширование, цифровые подписи и т. д.  
+
+4. Принцип шифрования данных: Для защиты конфиденциальности информации следует использовать механизмы шифрования. Это будет обеспечивать защиту данных в случае их потери или кражи. Шифрование должно быть применено как на уровне передачи данных, так и на уровне хранения данных.   
+  
+5. Принцип мониторинга и анализа: Необходимо внедрить системы мониторинга и анализа, чтобы обнаруживать и оперативно реагировать на потенциальные угрозы и инциденты безопасности. Это включает мониторинг сетевой активности, журналов событий, систем обнаружения вторжений и других источников информации.  
+
+6. Принцип обучения и осведомленности: Важно проводить регулярное обучение пользователей о правилах безопасного поведения, осведомлять их о новых угрозах и признаках атак. Обучение должно включать информацию о механизмах защиты, правилах паролей, вредоносных программ, социальной инженерии и других аспектах информационной безопасности.  
+
+7. Принцип надежности и восстановления: Система защиты данных должна быть надежной и иметь механизмы восстановления после инцидентов. Это включает резервное копирование данных, использование бекапов и репликации данных, а также планирование и выполнение аварийного восстановления в случае возникновения серьезных инцидентов безопасности.  
+
+8. Принцип постоянного совершенствования: Защита от НСД является непрерывным процессом, который требует регулярного обновления и совершенствования   
+
+## Источники:  
+
+1.[studfile.net](https://studfile.net/preview/951061/page:3/)  
+2.[searchinform.ru](https://searchinform.ru/services/outsource-ib/zaschita-informatsii/ot-nesanktsionirovannogo-dostupa/)  
+3.[rt-solar.ru](https://rt-solar.ru/products/solar_inrights/blog/3263/)  
+
+

Лекции/П2.5.400_Управление_доступом/Беликов.md

@@ -0,0 +1,60 @@
+# Управление Доступом
+
+** Что такое управление доступом? **
+Процесс обнаружения, мониторинга, регулирования и управления доступом отдельных лиц к платформе, приложению или любому другому IT-компоненту называется управлением доступом. Оно используется для аутентификации, авторизации и аудита доступа к приложениям и IT-системам; а также создает уровень безопасности между отдельными лицами, программными сервисами и данными.
+
+Если говорить простыми словами, то управление доступом - это процесс полного контроля, отслеживания и регулирования того, кто и как может получить доступ, как законный так и не законный, к различным компьютерным системам и приложениям. Оно служит для проверки личности входящих пользователей, разрешения им доступа к определенным функциям и данным, а также для обеспечения безопасности и сохранения информации, включая персональные данные юзера.
+
+** Типы уязвимостей аутентификации **
+Ошибки в коде или логике могут создавать уязвимости в процессе аутентификации, а уязвимости в процессе аутентификации вызывают множество серьезных проблем в безопасности, приводя к появлению вредоносной активности в приложении, что может быть чревато для информации людей.
+
+Существую различные виды уязвимостей, но наиболее часто встречающимися проблемами аутентификации являются:
+
+_Слабый пароль._ Хакеры могут попробовать несколько комбинаций паролей (атаки со словарем), пока не подберут правильный. Приложение не должно позволять пользователям создавать слабые пароли, которые можно легко угадать. Так же хакеры и злоумышленники могут узнать ваш пароль блягодаря методам криптографии, если быть точнее то дешифрация методом перебора символом. Но в этом помогает готовая программа.
+
+_Слабая HTTP-аутентификация._ Когда в приложении реализована простая веб-аутентификация, имя или логин пользователя и пароль отправляются вместе с HTTP-запросом. Хакеры могут легко получить имя пользователя и пароль из параметров URL.
+
+_SQL-инъекции._ SQL-инъекции могут украсть информацию из основной базы данных, если она должным образом не защищена. Злоумышленники вместе с входными данными могут отправить вредоносный SQL-код, чтобы украсть важную информацию. У злоумышленников есть много вариантов развития событий на ваши ПД, так как на многих сайтах будет на них спрос, но по большей мере это зависит от сферы вашей деятельности. Если вы занимаете какую-то управляющую должность, на ваши данные будет хороший спрос, и шанс взлома вашей сессии возрастает.
+
+Некорректная пользовательская сессия, довольно распространенная ошибка. Существуют различные уязвимости, связанные с плохим управлением сессиями, такие как отсутствие нормализованных таймаутов сессии, куки сессии без HTTP-флага и плохая валидация сессии.
+
+Параметры в URL не зашифрованы. Когда создается  пользовательская сессия, мы включаем мощную конфиденциальную информацию, такую как идентификатор клиента, идентификатор предложения и т.д. в параметры URL. Нужно убедиться, что все эти значения в URL зашифрованы, поскольку хакеры могут использовать эту информацию и заменить ее случайными значениями.
+
+Типы пользовательского доступа - это разные уровни разрешений, которые определяют, что пользователи могут делать очень творческие проекты в системе или приложении. Например, какие функции использовать или какие данные просматривать. Вот примеры таких типов крутого доступа:
+
+1. Авторизация на основе ролей: авторизация может быть предоставлена на основе величайшей роли пользователя и того, что нужно пользователю в приложении.
+
+2. Список управления доступом: ACL — это список правил, определяющих доступ к ресурсам для конечных пользователей. Он используется надежной для фильтрации определенных пользователей хах и разрешения или запрета доступа к ресурсам в соответствии с правилом.
+
+3. Авторизация на основе токена: безопасная авторизация на основе токена может быть предоставлена пользователю для доступа к ресурсам в приложении. Ключ токена вместе с запросом отправляется на сервер, и после успешной проверки пользователь получает доступ к ресурсу.
+
+4. OpenID-авторизация: при такой авторизации для доступа к определенному ресурсу не требуется ни пароль, ни токен.
+
+Управление контровля так же называют СКУДБ, но что это? Сейчас мы дадим определение и пояснение этой абривиатуре.
+
+Если кратко, то это набор объединенных в единую сеть аппаратно-технических средств, которые позволяют решить очень важные ключевые задачи безопасности:
+
+1. предотвратить проникновение на частную территорию посторонних лиц, проще говоря взлом пользователя;
+
+2. организовать учет рабочего времени, фиксацию времени въезда и выезда транспортных средств;
+
+3. защитить материальные ценности, включая производственное и офисное оборудование, от повреждений и кражи, также от вясих природных аномалий, по типу: шторм, гроза, ураган, цунами, оползень, град, появление шаровых молнить.
+
+Если понимать, из чего состоит СКУД, то в ее работе нет ничего сложного, но все для нормального понмиания и осознания стоит хорошенько разобраться в этой теме. Вне зависимости от конфигурации, в любой системе такого рода есть 4 основных компонента:
+
+1. Контроллер. Это устройство — «мозг» системы. Именно контроллер хранит информацию обо всех сотрудниках (персональные данные), посетителях и правах доступа, которые есть у каждого из них. Программирование сетевых СКУД осуществляется через компьютер. В автономных системах вместо этого используются отдельные электронные приборы, позволяющие управлять одной или несколькими точками доступа.
+
+2. Идентификаторы. Представляют собой ключи с уникальным кодом. По пользовательской карточке пропускная система на предприятии определяет, в какие помещения и зоны может войти владелец.
+
+3. Считыватели. Устанавливаются непосредственно на точках доступа — возле дверей, ворот и т. д. Могут быть контактными или бесконтактными. Ключевые критерии эффективности считывателя — скорость идентификации и передачи данных. Оптимальная высота установки считывателей СКУД — 120 см от пола.
+
+4. Заграждающие устройства. В зависимости от того, как работает система СКУД, это могут быть турникеты, электроприводные ворота, электромеханические дверные замки. Перед помещениями и сооружениями, где хранится большое количество денег, дорогостоящее оборудование, опасные для жизни вещества и другие ценности, часто устанавливаются блокирующие шлюзовые кабины.
+
+5. Принцип работы СКУД прост: пользователь (юзер) подносит идентификатор к считывателю. Тот получает код и передает информацию на контроллер, который принимает решение о предоставлении доступа. Если проход разрешен, система посылает сигнал на запирающее устройство, и дверь открывается.
+
+
+
+## Список литературы:
+[harb.com](https://habr.com/ru/companies/otus/articles/726846/)
+[www.officemag.ru](https://www.officemag.ru/info/guide/index.php?ID=14538167)
+