Добавлен: 12.01.2024
Просмотров: 245
Скачиваний: 12
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Реферат
«БЕЗОПАСНОСТЬ ВЕБ- ПРИЛОЖЕНИЙ»
1Содержание
1.Особенности защиты Web-сайтов.
2.Новое время и новые методы защиты.
3. Причины уязвимости веб-серверов.
4.Основные механизмы и средства защиты ресурсов информационных систем.
5.Анализ защищенности систем.
6.Риски информационной безопасности веб-приложений.
1. Защита Web-сайтов
Информация должна быть в безопасности - пожалуй, эта аксиома известна всем. И несомненно, большинство пользователей знают, что такое Firewall и троянские вирусы и какими средствами можно обеспечить защиту сети. Однако не все знают, как они работают и как оптимально настроить систему защиты компании. Тем не менее именно от этого зависит не только сохранность данных, но и существование предприятия в целом.
Действительно, многие чересчур уверены в своей компетенции, и в этом корень проблемы. Наглядный пример из жизни. Одна компания очень хочет обеспечить сохранность своих данных (ее локальная сеть имеет постоянный выход в Интернет). Для этого один из специалистов установил firewall, перекрыв (на его взгляд) угрозу прямым атакам из публичной сети. Затем озаботился проникновением троянов и установил антивирус. Далее обнаружилось, что многие программы хотят также взаимодействовать с сетью, но не все делают это на безопасном уровне. Пришлось перекрывать доступ и им. Постепенно число потенциальных угроз увеличивалось, и, подобно снежному кому, росло количество установленных средств защиты. И все они были разными. Заканчивалось все, как правило, "падением" системы и неизбежной переустановкой. В результате тратилось драгоценное рабочее время и ресурсы. А ведь куда разумнее выяснить теорию и подготовить защиту в соответствии с ней.
2. Новое время - новые методы
Приведенный пример говорит о том, что прежний подход к безопасности безнадежно устарел. Угроз слишком много, и нужно что-то заложить в основу иерархии защиты. Интернет уже давно не просто сеть html-страниц. Это сложные приложения, скрипты, транспортная сеть, телеконференции, электронная почта и многое другое. Конечно, корпоративный firewall уже не решает всех проблем безопасности. Ведь равный и обобщенный подход к обеспечению безопасности данных каждого сотрудника компании неизбежно приводит к наличию брешей в защите. Из-за этого страдают нужды того или иного работника, когда оказываются закрыты критичные для выполнения работы ресурсы. Более того, многие системы безопасности отделяют от общего доступа только жизненно важные данные (например, бухгалтерский учет), в то время как остальные сведения, которые считаются менее важными, доступны всем. Конечно, это не означает, что сотрудники соседнего подразделения изучают данные своих коллег. Но такая открытость делает данные всех работников уязвимыми к атаке через одну-единственную лазейку в сети. Поэтому вместо порчи данных на 1-2 компьютерах страдают все.
Что и доказал червь Code Red. Эта одна из самых известных атак вскрыла множество проблем. Установлено: для того чтобы получить брешь в защите, необходимо сочетание трех факторов. Уязвимость программного обеспечения, протоколов или процессов, которыми может воспользоваться нападающий. Угроза со стороны враждебных инструментов, способных эту уязвимость использовать. Наконец, действие, а по сути, использование угрозы вашей уязвимости.
Еще в 1985 году Стив Беллоуин (Steve Bellovin), член Совета по архитектуре Интернета (Internet Architecture Board) опубликовал доклад об уязвимости TCP/IP-протокола. Хотя вплоть до 1996 года возникшая уязвимость оставалась под призрачной теоретической угрозой. Но угроза появилась, а привел ее в действие не кто иной, как Кевин Митник. Поэтому суть компьютерной безопасности не только в ее построении, но и в постоянном поиске уязвимости и устранении ее раньше, чем злоумышленники сумеют создать угрозу и привести ее в действие. Следовательно, безопасность - процесс динамический, а не статический. Анализ и устранения рисков - его основная составляющая, которой нельзя пренебрегать.
Реклама
3. Почему веб-серверы так уязвимы?
Вирус Code Red вывел из строя именно те серверы, которые были защищены от элементарных атак из Сети и не следили за своей растущей уязвимостью (ввиду отсутствия подобных прецедентов). Имела место уязвимость, но так как прежде подобные атаки не проводились, никто о ней не думал. В итоге такая беспечность стоила миллионов долларов. Обобщим основные причины уязвимости веб-серверов:
Большинство растущих предприятий регулярно меняет конфигурацию своих сетей, добавляя новые рабочие станции (иногда и сервера), забывая при этом тестировать ЛВС на безопасность. Разумеется, запретить подключать новых пользователей невозможно, но стоит задуматься о расширении сети заранее. Обозначить ее сегменты, которые способны к расширению, и проводить предварительное тестирование на безопасность.
Большинство веб-мастеров имеют корневой или администраторский доступ к серверу. Разумнее прописать каждому пользователю свою политику доступа, ограничивающую его права прямыми обязанностями. Например, сотрудник работает только с одним каталогом сервера, но имеет доступ на все остальные. Тем самым он ставит под угрозу не только свой сектор работ, но и все данные сервера. Конечно, статус веб-мастера имеет не каждый пользователь, хотя ограничить доступ из соображений безопасности следует и самым высоким профессионалам.
4. Информационная безопасность
· Основные механизмы и средства защиты ресурсов информационных систем
Идентификация и аутентификация, разграничение доступа, регистрация и аудит, контроль целостности, криптографические механизмы обеспечения конфиденциальности, целостности и аутентичности информации, контроль содержимого, обнаружение и противодействие атакам, анализ защищенности и др.
· Значение рисков в современных системах информационной безопасности
Реклама
Принцип комплексности и системности в контексте обеспечения ИБ, его обоснование и отражение в ведущих международных стандартах по информационной безопасности. Организационные, правовые и программно-технические механизмы безопасности, их согласованное применение и критерии выбора.
· Методы управления информационными рисками
Понятие информационных рисков, остаточного и приемлемого рисков. Факторы, влияющие на изменение рисков. Основы управления информационными рисками. Понятие количественной и качественной оценки рисков, существующие программные реализации различных методов оценки рисков.
· Международный стандарт по информационной безопасности BS7799/ISO27002(17799)
Структура, значение и область применения стандарта. История его возникновения и краткое содержание.
· Аудит информационной безопасности
Понятие, цели и значение аудита ИБ. Нормы и правила проведения проверок и оценок ИБ. Критерии оценки деятельности аудиторов.
· Управление инцидентами ИБУ больше
еЗначение управления инцидентами для обеспечения непрерывности бизнеса. Принципы, методы и способы управления инцидентами. Аварийный план, реагирование на инциденты, их расследование.
· Построение системы управления рисками информационной безопасности в соответствии с международным стандартом ISO 27005
Процесс управления рисками информационной безопасности. Элементы процесса. Стратегии обработки рисков. Выявление угроз и уязвимостей. Оценка и мониторинг рисков.
· Защита от внутренних нарушителей безопасности информационной системы
Актуальность и анализ проблемы нарушений требований информационной безопасности авторизованными пользователями информационной системы. Направления и принципы борьбы с подобными нарушениями.
· Нормативно-правовое обеспечение управления рисками ИБ
Значение законодательного уровня обеспечения ИБ, основные зарубежные и международные документы в этой области, анализ соответствующей казахстанской нормативной
Веб приложений
Безопасность Web-приложений уже не первый год является важным элементом защиты информационных систем. Учитывая тенденцию к переносу стандартных клиент-сервеных приложений в Web-среду, растущую популярность технологий AJAX и других элементов Web 2.0 можно констатировать, что с течением времени актуальность защиты онлайн-приложений только растет.
Безопасность Web-приложений уже не первый год является важным элементом защиты информационных систем. Учитывая тенденцию к переносу стандартных клиент-сервеных приложений в Web-среду, растущую популярность технологий AJAX и других элементов Web 2.0 можно констатировать, что с течением времени актуальность защиты онлайн-приложений только растет.
Наличие статистики дает возможность прогнозировать риски связанные с использованием информационных систем и обосновывать выбор контрмер. К сожалению, получить достоверную количественную оценку объема ошибок, а уж тем более - вероятности их эксплуатации достаточно трудно. В данной статье приведен обзор некоторых источников, позволяющих получить статистические данные об уязвимостях и атаках на Web-приложения.
Базы данных уязвимостей
Ответить на вопрос о вероятности обнаружения той или иной проблемы можно с помощью информации из справочников (баз данных) уязвимостей. На сегодняшний день признанным отраслевым стандартом в этой области является список Common Vulnerabilities and Exposures (CVE) [1]. Однако непосредственно сам список слабо упорядочен и требует серьезной аналитической работы для получения полезных статистически результатов.
Ежегодно аналитиками Mitre проводится анализ информации в базе данных и публикуется отчет [2] о распределении уязвимостей по различным критериям. Согласно отчету более четверти проблем, обнаруженных в 2006 году, приходится на недостатки безопасности Web-приложений.
Рис. 1 Распределение уязвимостей по типу приложений в 2007 году
Анализ защищенности систем
Существуют и другие подходы, например, использование в качестве исходной информации результатов работ по анализу и оценке защищенности Web-приложений. Как правило, это метод используется консалтинговыми компаниями, имеющими большой опыт в области безопасности приложений.
Рис. 2 Вероятность обнаружения уязвимостей различного типа (Positive Technologies)
Рис. 3 Вероятность обнаружения уязвимостей различного типа (WhiteHat Security)
Реклама
Оценка степени риска
Вопрос классификации степени риска, связанного с уязвимостями приложений является важной темой. В настоящий момент существует множество методик оценки опасности уязвимости, но наиболее распространены следующие подходы:
3. метод Common Vulnerability Scoring System (CVSS) [8], оценивающий степень риска как число от 0 до 10.
Не касаясь достоинств или недостатков каждого из методов можно выделить следующие особенности, которые могут влиять на достоверность оценки:
1. зависимость от контекста;
2. зависимость от конфигурации системы;
3. зависимость от метода определения.
5. РИСКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ
Информационная безопасность*, Блог компании Pentestit
Использование информационных систем и технологий связано с определенной совокупностью рисков. Оценка рисков необходима для контроля эффективности деятельности в области безопасности, принятия целесообразных защитных мер и построения эффективных экономически обоснованных систем защиты.
РЕКЛАМА•
льОснову риска образуют возможные уязвимости и угрозы для организации, поэтому выявление потенциальных или реально существующих рисков нарушения конфиденциальности и целостности информации, распространения вредоносного программного обеспечения и финансового мошенничества, классификация угроз информационной безопасности является одной из первичных задач по защите веб-приложения.
Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность. Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл информационной системы. Тогда эффект оказывается наибольшим, а затраты -- минимальными. Можно выделить основные этапы жизненного цикла информационной системы:
· инициация, согласно бизнес-процессам компании;
· выведение из эксплуатации.
Информационная система и её составляющие