Информационная безопасность. 21
Оглавление
Введение 2
Обзор объекта информационных процессов. Веб-сервер, используемый для электронной коммерции 2
1. Анализ уязвимостей и угроз 4
1.1. Угрозы безопасности и методы их устранения 7
2. Методы повышения уровня защищенности объекта 10
2.1. Выявление вторжений 11
2.2. Защита данных сайта 11
2.3. Политика безопасности 12
2.4. Защита информации при электронной коммерции 19
2.5. Шифрование и электронно-цифровая подпись. 21
2.5.1. Распространенные алгоритмы шифрования 23
2.5.2. Сравнение методов шифрования 23
2.6. Обзор систем защиты информации в Интернет. 24
2.7. Безопасность электронной коммерции 27
2.7.1. Безопасность соединений 28
2.7.2. Хранение информации на компьютере клиента 29
2.7.3. Отказ от выполненной операции 29
2.7.4. Реализация безопасности серверной части 30
2.7.5. Информация, хранящаяся на сервере 30
2.7.6. Защита сервера от нападений 30
2.7.7. Размещение сервера 30
2.7.8. Конфигурация операционной системы 32
2.7.9. Конфигурация Веб-сервера 33
2.7.10. Реализация безопасности сервера базы данных 34
2.7.11. Место размещения базы данных 34
2.7.12. Соединение с сервером электронной коммерции 35
2.7.13. Защита внутреннего доступа 36
2.7.14. Разработка архитектуры системы электронной коммерции 36
2.7.15. Расположение сервера и соединения 37
Заключение 39
Список использованной литературы 40
Введение
Количество пользователей Интернета
Обзор объекта информационных процессов. Веб-сервер, используемый для электронной коммерции
Электронная коммерция (ЭК) – это предпринимательская деятельность по продаже товаров через Интернет. Как правило, выделяются две формы ЭК:
- торговля между предприятиями (business to business, B2B);
- торговля между предприятиями и физическими лицами, т.е. потребителями (business to consumer, B2С).
ЭК породила такие новые понятия как:
- Электронный магазин – витрина и торговые системы, которые используются производителями или дилерами при наличии спроса на товары.
- Электронный каталог – с большим ассортимен
том товаров от различных производителей. - Электронный аукцион – аналог классического
аукциона с использованием Интернет-технологий, с характерной привязкой к мультимедийному интерфейсу, каналу доступа в Интернет и показом особенностей товара. - Электронный универмаг – аналог обычного универмага, где обычные фирмы выставляют свой товар, с эффективным товарным брендом (Гостиный двор, ГУМ и т.д.).
- Виртуальные комъюнити (сообщества), в которых покупатели организуются по группам интересов (клубы болельщиков, ассоциации и т.д.).
Интернет в области ЭК приносит существенные выгоды:
- экономия крупных частных компаний от перевода закупок сырья и комплектующих на Интернет-биржи достигает 25 - 30%;
- участие в аукционе конкурирующих поставщиков со всего мира в реальном масштабе времени приводит к снижению запрограммированных ими за поставку товаров или услуг цен;
- повышение цен за товары или услуги в результате конкуренции покупателей со всего мира;
- экономия за счет сокращения числа необходимых сотрудников и объема бумажного делопроизводства.
Каждый интернет-магазин включает две основных составляющих: электронную витрину и торговую систему.
Электронная витрина содержит на Web-сайте информацию о продаваемых товарах, обеспечивает доступ к базе данных магазина, регистрирует покупателей, работает с электронной «корзиной» покупателя, оформляет заказы, собирает маркетинговую информацию, передает сведения в торговую систему.
Торговая система доставляет товар и оформляет платеж за него. Торговая система - это совокупность магазинов, владельцами которых являются разные фирмы, берущие в аренду место на Web-сервере, который принадлежит отдельной компании.
Технология функционирования интернет-магазина выглядит следующим образом:
Покупатель на электронной витрине с
Передача оформленного товара в торговую систему интернет-магазина, где происходит комплектация заказа. Торговая система функционирует ручным или автоматизированным способом.
Осуществление доставки и оплаты товара.
Доставка товара покупателю осуществляется одним из возможных способов:
- курьером магазина в пределах города и окрестностей;
- специализированной курьерской службой ( в том числе из-за границы);
- почтой;
- самовывозом;
- по телекоммуникационным сетям дос
тавляется такой специфический - товар как информация.
Оплата товара может осуществляться следующими способами:
- предварительной или в момент получения товара;
- наличными курьеру или при визите в реальный магазин;
- почтовым переводом;
- банковским переводом;
- наложенным платежом;
- при помощи кредитных карт;
- посредством электронных платежных систем через отдельные коммерческие банки.
В последнее время электронная коммерция или торговля посредством сети Интернет в мире развивается достаточно бурно. Естественно, что этот процесс осуществляется при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.
Коммерческая деятельность в электронных сетях снимает некоторые физические ограничения. Компании, подключая свои компьютерные системы к Интернет, способны предоставить клиентам поддержку 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места.
Однако у этой «медали» есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров часто ограничиваются величиной 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.
Объем мирового оборота электронной коммерции через Интернет в 2006 году, по прогнозам компании Forrester Tech., может составить от 1,8 до ,2 трлн. долл. Столь широкий диапазон прогноза определяется проблемой обеспечения экономической безопасности электронной коммерции. Если уровень безопасности сохранится на сегодняшнем уровне, то мировой оборот электронной коммерции может оказаться еще меньшим. Отсюда следует, что именно низкая защищенность системы электронной коммерции является сдерживающим фактором развития электронного бизнеса.
Решение проблемы обеспечения экономической безопасности электронной коммерции в первую очередь связано с решением вопросов защиты информационных технологий, применяемых в ней, то есть с обеспечением информационной безопасности.
Интеграция бизнес-процессов в среду
Анализ уязвимостей и угроз
Среди основных требований к проведению коммерческих операций – конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны.
При достижении безопасности информации обеспечение ее доступности, конфиденциальности, целостности и юридической значимости являются базовыми задачами. Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти четыре свойства или качества безопасной информации.
Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена.
Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия.
Юридическая значимость информации приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране.
Если первые четыре требования можно обеспечить техническими средствами, то выполнение двух последних зависит и от технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Информационная безопасность включает:
- состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;
- состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздейст
вия на систему при ее использовании; - состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как конфиденциальность, целостность и доступность;
- экономическую составляющую (структуры управления в экономической сфере, включая системы сбора, накопления и обработки информации в интересах управления производственными структурами, системы общеэкономического анализа и прогнозирования хозяйственно
го развития, системы управления и координации в промышленности и на транспорте, системы управления энергосистем, централизованного снабжения, системы принятия решения и координации действий в чрезвычайных ситуациях, информационные и телекоммуникационные системы); - финансовую составляющую (информационные сети и базы данных банков банковских объединений, системы финансового обмена и финансовых расчетов).
Обеспечение информационной
безопасности должно начинаться с выявления
субъектов отношений, связанных с использованием
информационных систем. Спектр их интересов
может быть разделен на следующие основные
категории: доступность (возможность за приемлемое время получить
требуемую информационную
К объектам информационной безопасности на предприятии относят:
- информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;
- средства и системы информатизации - средства вычислительной и информационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а так же их информационные физические поля.
Скачать в ZIP (29.60 Кб)
Система обеспечения безопасности информации включает подсистемы:
- компьютерную безопасность;
- безопасность данных;
- безопасное программное обеспечение;
- безопасность коммуникаций.
Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов.
Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.
Безопасное программное обеспечение предст
Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.
Политика безопасности включает в себя анализ возможных угроз и выбор соответствующих мер противодействия, являющихся совокупностью тех норм, правил поведения, которыми пользуется конкретная организация при обработке информации и ее защите.
Угроза безопасности информации - события или действия, которые могут привести к искажению, неразрешенному использованию или к разрушению информационных ресурсов управления системы, а также программных и аппаратных средств.
Защита информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.
Основные предметные направления ЗИ - охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.
Под системой безопасности понимают организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Система защиты информации представляет собой организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования:
- обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявления ее узких и слабых мест и противоправных действий;
- безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах экономической системы и на всех этапах технологического цикла обработки информации;
- планирование безопасности информации осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции;
- защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
- методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам;
- эффективность защиты информации означает, что затраты на ее осуществление не должны быть больше возможных потерь от реализации информационных угроз;
- четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
- предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
- сведение к минимуму числа общих для нескольких пользователей средств защиты;
- учет случаев и попыток несанкционированного доступа к конфиденциальной информации; обеспечение степени конфиденци
альной информации; - обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого система защиты информации может иметь:
- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы действия;
- организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба безопасности, служба режима, служба защиты информации техническими средствами и др.
- аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно системы защиты информации;
- информационное обеспечение. Оно включает в себя документированные сведения (показатели, файлы), лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью служ
бы обеспечения безопасности; - программное обеспечение. К нему относятся антивирусные программы, а также программы (или части программ регулярного применения), реализующие контрольные функции при решении учетных, статистических, финансовых, кредитных и других задач;
- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технически
х средств злоумышленников, зон и норм необходимой защиты; - лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации;
- эргономическое обеспечение. Совокупность средств, обеспечивающих удобства работы пользователей аппаратных средств защиты информации.
- Угрозы безопасности и методы их устранения
Угроза |
Решение |
Действие |
Технология |
Данные преднамеренно перехватываются, читаются или изменяются |
Шифрование |
Кодирование данных, препятствующее их прочтению или искажению |
Симметричное или асимметричное шифрование |
Пользователи идентифицируют себя неправильно (с мошенническими целями) |
Аутентификация |
Проверка подлинности отправителя и получателя |
Цифровые подписи |
Пользователь получает несанкционированный доступ из одной сети в другую |
Брандмауэр |
Фильтрация трафика, поступающего в сеть или на сервер |
Брандмауэры виртуальные частные сети |
Среди главных требований к проведению коммерческих операций – конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение. Первые четыре требования можно обеспечить техническими средствами, но выполнение последних двух — достижение гарантий и сохранение тайны — равно зависит и от технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.
В рамках обеспечения комплексной
- защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота;
- обеспечение долгосрочного хранения информации в электронном виде; обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.
Существует несколько видов угроз электронной коммерции:
- Проникновение в систему извне.
- Несанкционированный доступ внутри компании.
- Преднамеренный перехват и чтение информации.
- Преднамеренное нарушение данных или сетей.
- Неправильная (с мошенническими целями) идентификация
- пользователя.
- Взлом программно-аппаратной защиты.
- Несанкционированный доступ пользователя из одной сети в другую.
- Вирусные атаки.
- Отказ в обслуживании.
- Финансовое мошенничество.
Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование – кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; stealth-технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.
Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом – это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.
Угрозы, подстерегающие компанию, ведущую электронную коммерцию на каждом этапе:
- подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;
- создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);
- перехват данных, передаваемых по сетям электронной коммерции;
- проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;
- реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.
В результате реализации таких угроз компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования.
Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение, применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.
Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые, попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и прочее.
Интерес к электронной коммерции растет и продолжает расти. По электронной коммерции проводят семинары и конференции, пишут статьи и обзоры. Особое внимание уделяют безопасности и защите электронных транзакций. Для компаний важно доверие пользователя к электронным сделкам. Кратко рассмотрим этапы приобретения продуктов и услуг через Internet.
Заказчик выбирает продукт или услугу через сервер электронного магазина и оформляет заказ.
Заказ заносится в базу данных заказов магазина. Проверяется доступность продукта или услуги через центральную базу данных. Если продукт не доступен, то заказчик получает об этом уведомление. В зависимости от типа магазина, запрос на продукт может быть перенаправлен на другой склад. В случае наличия продукта или услуги заказчик подтверждает оплату и заказ помещается в базу данных. Электронный магазин посылает заказчику подтверждение заказа. В большинстве случаев существует единая база данных для заказов и проверки наличия товаров. Клиент в режиме online оплачивает заказ. Товар доставляется заказчику.
Рассмотрим основные угрозы, которые подстерегают компанию на всех этапах. Подмена страницы Web-сервера электронного магазина. Основной способ реализации - переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Особенно это опасно, когда заказчик вводит номер своей кредитной карты. Создание ложных заказов и мошенничество со стороны сотрудников электронного магазина. Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками. Перехват данных, передаваемых в системе электронной коммерции. Особую опасность представляет собой перехват информации о кредитной карте заказчика. Проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. Реализация атак типа "отказ в обслуживании" и нарушение функционирования или выведение из строя узла электронной коммерции.

- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность