ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.12.2023
Просмотров: 73
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.
Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:
• мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
• управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
– шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
– сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
– рабочей станции (Data-in-Use);
– внутренних каналов почты MicrosoftExchange, LotusNotes и др.
– управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных
устройств посредством контроля действий авторизованных пользователей с конфиденциальными данными: с файлами, внешними устройствами, сетью (локальной, беспроводной), буфером обмена, приложениями, устройствами печати (локальными, сетевыми);
– установления проактивной защиты и персональных сетевых экранов;
– теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.
Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.
К сожалению, при разработке веб-приложений проблеме информационной безопасности уделяется мало внимания, или не уделяется вовсе. Часто, проблемы, которые могли бы быть решены, решаются лишь формально, а также игнорируются по просьбе менеджера или просто из-за лени специалиста [3, c. 47].
Имеют место и проблемы, связанные с моделью разработки — специалисты приходят к выводу о том, что на сегодняшний день нельзя выделить какую-либо стандартизированную модель для разработки безопасных веб-приложений [5].
Более того, существует фундаментальная проблема, которая характеризует веб-приложения. Реализуя клиент-серверную архитектуру, разработчик должен учитывать, что клиент находится вне зоны контроля приложения и может отправлять серверу любые запросы [6, c 16]. Поэтому приложение должно работать со всеми отправленными пользователем данными как с потенциально опасными, что, в свою очередь, ставит разработчика в невыгодное положение, так как в настоящее время не представляется возможным использовать универсальные системы валидации для всех типов пользовательского ввода.
В вопросе обеспечения информационной безопасности разработчики слишком сильно полагаются на разнообразные готовые решения и фреймворки, а также использование стороннего кода для облегчения своих задач, и, зачастую, там, где это не является необходимым. Например, в веб-приложениях, использующих популярныйфреймворкRubyonRails, используется в среднем 113 сторонних программных зависимостей, при этом большинство самых популярных зависимостей имеют хотя бы одну известную уязвимость [1].
Исследования показывают, что текущее состояние технологий в целом не может обеспечить механизмы защиты информации на уровне приложения [4, с. 18]. Поэтому, в особенности для защиты критически важных веб-приложений, содержащих данные большого количества пользователей или оперирующих финансами, необходимо использовать другие способы.
Такие способы существуют, ведь, несмотря на усиливающееся внимание к области защиты информации в интернете, веб-приложения остаются менее изученными и защищенными, чем сети или операционные системы, ввиду их относительной новизны [6, с. 10].
Так, семантические методы предоставляют надёжные механизмы против хакерских атак различных категорий и схем, поддерживая их комплексное и быстрое распознавание [4].
Многие современные организации предлагают использовать технологию WebApplicationFirewall (WAF), которая обеспечивает защиту готовых веб-приложений с разумными затратами усилий и без необходимости изменения самого приложения, а также является подходящим инструментом для выполнения требований стандартов и законодательства [2].
Заключение
Пользователи веб-приложений и компании-поставщики услуг продолжают сталкиваться с критическими угрозами, объём которых остаётся неизменно высоким. Проблема безопасности веб-приложений носит комплексный характер и связана как с организационными факторами, такими, как недооценка её значимости, так и с техническими, причем последние имеют серьёзные фундаментальные предпосылки.
Существенное изменение ситуации в ближайшее время не представляется возможным, хотя сообщество специалистов может создавать культуру работы над информационной безопасностью приложения как до начала проекта, так и во время его разработки, а также после неё — на всех стадиях жизненного цикла ИС, удаляя внимание программным уязвимостям, работая с приложением в реальном времени и используя более современные методы защиты от атак.
Нет способа сделать сеть совершенно безопасной. Прежде, для того чтобы прочесть ваши личные документы или электронную почту, злоумышленник должен был сесть перед вашим компьютером и разобраться во всех его установках и тонкостях. Сегодня он может сидеть в соседней комнате или в другой стране, но при этом иметь те же возможности, что и перед вашим компьютером.
Развитие сетевых технологий привело к существенному росту производительности труда и простоте использования устройств, но одновременно и к резкому росту рисков для используемой информации.
Невозможно сделать сеть безопасной на 100%, но можно изучить то, что преступники могут сделать с вами, научиться защищаться от них, научиться ловить их в момент атаки, максимально затруднить их доступ к данным и отправить на поиски более легкой цели.
Пользователи веб-приложений и компании-поставщики услуг продолжают сталкиваться с критическими угрозами, объём которых остаётся неизменно высоким. Проблема безопасности веб-приложений носит комплексный характер и связана как с организационными факторами, такими, как недооценка её значимости, так и с техническими, причем последние имеют серьёзные фундаментальные предпосылки.
Существенное изменение ситуации в ближайшее время не представляется возможным, хотя сообщество специалистов может создавать культуру работы над информационной безопасностью приложения как до начала проекта, так и во время его разработки, а также после неё — на всех стадиях жизненного цикла ИС, удаляя внимание программным уязвимостям, работая с приложением в реальном времени и используя более современные методы защиты от атак.
Список литературы
-
Васильков, А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. - М.: Форум, 2015. - 368 c. -
Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н.В. Гришина. - М.: Форум, 2015. - 240 c. -
Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. — Рн/Д: Феникс, 2017. — 324 c. -
Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников и др. - Москва: Машиностроение, 2016. - 536 c. -
Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.1 — Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников, Н.Г Милославская. — М.: ГЛТ, 2017. — 536 c. -
Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 — Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. — М.: ГЛТ, 2018. — 558 c.