Общие сведения о безопасности сайтов. Классификация угроз безопасности Web-приложений. Состояние защиты информации в ООО "Альпака-М". Рекомендации по настройке модуля "Проактивная защита". Настройка стандартного, высокого и повышенного уровней защиты.
Аннотация к работе
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Майкопский государственный технологический университет» Факультет информационных систем в экономике и юриспруденцииКомпьютеры, которые подключены к сети, могут предоставлять доступ к сайтам и таким образом к колоссальному количеству самых разнообразных данных. Поэтому важным является вопрос безопасности информации и наличии рисков, связанных с несанкционированным доступом к коммерческим, конфиденциальным, персональным или другим важным данным. Публичные веб-серверы продолжают оставаться объектами атак хакеров, которые хотят с помощью этих атак нанести не только финансовые потери, но и урон репутации организации или добиться каких-либо своих целей. Хорошие меры защиты могут защитить сайт от возможных неприятностей, которые будет иметь организация в случае успешной атаки на него. С помощью «1С-Битрикс: Управление сайтом» можно разработать новый веб-проект или перевести существующий на новую систему управления.Основная задача защиты сайтов - разработка ресурса, предельно удовлетворяющего требованиям безопасности, либо приведение уже имеющегося сайта к этим требованиям путем анализа использующихся и потенциально опасных уязвимостей с последующим выполнением ряда работ для их устранения и отсутствия в перспективе [1]. При этом безопасность сайта подразумевает не только безопасность кода и используемого программного обеспечения (ПО), но и безопасность его администрирования, сохранность паролей, защиту от перегрузок, а также решение ряда организационных и технических вопросов с провайдером. Наиболее распространенными атаками на вебсайты являются [2]: - подмена главной страницы сайта - одна из самых частых форм взлома, заключающаяся в замене содержимого титульной страницы сайта другим текстом; удаление файловой системы, что влечет за собой исчезновение информации, хранящейся на сайте, включая базу клиентских паролей и прочих данные, имеющих критичную ценность. Статистические сведения говорят о том, что в России подавляющее большинство веб-студий, использующих сторонние разработки для создания сайтов, пользуются продуктом «1С-Битрикс: Управление сайтом» (далее Битрикс).Аутентификация (Authentication) - раздел, описывающий атаки направленные на используемые Web-приложением методы проверки идентификатора пользователя, службы или приложения. Класс описывает атаки, направленные на обход или эксплуатацию уязвимостей в механизмах реализации аутентификации Web-серверов: - подбор (Brute Force) - автоматизированный процесс проб и ошибок, использующийся для того, чтобы угадать имя пользователя, пароль, номер кредитной карточки, ключ шифрования и т.д.; недостаточная аутентификация (Insufficient Authentication) - эта уязвимость возникает в случае, когда Web-сервер позволяет атакующему получать доступ к важной информации или функциям сервера без должной аутентификации; Авторизация (Authorization) - раздел, посвященный атакам, направленным на методы, которые используются Web-сервером для определения того, имеет ли пользователь, служба или приложение необходимые для совершения действия разрешения. Атаки на клиентов (Client-side Attacks) - раздел, описывающий атаки на пользователей Web-сервера.Основной вклад в комплексную безопасность Web-проекта вносят такие составляющие обеспечения информационной безопасности, как защищенность информационной среды Web-сервера и средства защиты компьютеров, управляющих сайтом. Использование продукта «1С-Битрикс: Управление сайтом», получившего сертификат «Безопасное веб-приложение» от компании Positive Technologies, проводившей аудит информационной безопасности системы, позволяет с уверенностью утверждать, что современные корпоративные сайты могут быть надежно защищены [16]. Например, аудита информационной безопасности выполняла наиболее известная в области веб-безопасности российская компания, разработчик программного продукта XSPIDER, которая владеет самым популярным ресурсом по безопасности на русском языке www.securitylab.ru. По результатам проверки компанией Positive Technologies программному продукту «1С-Битрикс: Управление сайтом» присвоен статус «Безопасного веб-приложения» и выдан сертификат соответствия. Система CMS «1С-Битрикс: Управление сайтом» ориентирована на корпоративные сайты, информационные и справочные порталы, социальные сети, интернет-магазины, сайты СМИ, пригодна для создания других видов веб-ресурсов [17]. Идеология системы представляет собой разделение логики на модули и компоненты: - модули в «1С-Битрикс: Управление сайтом» - это набор программных компонентов, отвечающих за работу с различными типами баз данных, а также предоставляющих унифицированный интерфейс программирования приложений (API) системы;Причем для уровней справедливо понятие «вложенности». Т.е., чтобы настроить защиту сайта на высоком уровне, необходимо сначала настроить стандартный уровень защиты, а затем настроить все параметры высокого уровня.
План
Содержание
Введение
Глава 1. Безопасность и защита сайтов
1.1 Общие сведения о безопасности сайтов
1.2 Классификация угроз безопасности Web-приложений
1.3 Защита сайтов и Web-проектов
Глава 2. Анализ деятельности ООО «Альпака-М»
2.1 Общая характеристика ООО «Альпака-М»
2.2 Состояние защиты информации в ООО «Альпака-М»
2.3 Безопасность вебсайта ООО «Альпака-М»
Глава 3. Рекомендации по настройке модуля «Проактивная защита»
3.1 Настройка стандартного уровня проактивной защиты
3.2 Настройка высокого уровня безопасности проактивной защиты
3.3 Настройка повышенного уровня проактивной защиты