Русский   English
ДонНТУ   Портал магістрів

Реферат за темою випускної роботи

Зміст

Вступ

Для безлічі виробничих і торгових компаній в умовах сучасної реальності саме інтернет-магазин займає ключову позицію в списку структурних одиниць, що приносять дохід. Безпека веб-ресурсу, діяльність якого має безпосереднє відношення до фінансів, є важливою і однією з першочергових задач. На сьогоднішній день приділяється вкрай мало уваги безпеки при створенні офіційних сайтів підприємств, веб-каталогів, а також інтернет-магазинів.

Безперебійна робота онлайн-магазину значно підвищує шанси на успішне просування товарів і послуг, подальшу їх реалізацію і отримання прибутку. Щоб забезпечити безперебійну роботу, слід брати до уваги ряд проблем, сформулювати і ефективно вирішити які можна на основі побудови дерев атак.

Завдання аналізу захисту комерційних Інтернет-ресурсів на різних етапах їх життєвого циклу, основними з яких є етапи проектування і експлуатації, все частіше стає об'єктом обговорення на спеціалізованих конференціях, присвячених забезпеченню інформаційної безпеки.

1. Актуальність теми

У зв'язку з постійним розвитком технологій високошвидкісного доступу в Інтернет важливі компоненти бізнесу переміщаються в середу Web. Системи типу Банк-Клієнт, публічні сайти організацій, інтернет-магазини, новинні, розважальні та торговельні майданчики, блоги, державні портали є обов'язковою складовою всесвітньої мережі. Через свою доступність вони часто стають привабливою метою для зловмисників, тому рішення по ефективному захисту web-ресурсів зараз є все більш актуальними і затребуваними.

При цьому забезпечення безпеки має на увазі захист цінностей, де цінність визначається як щось, що має вартість. Деякі активи є матеріальними і мають грошовий вираз, інші - нематеріальні, але, тим не менше, мають вартість. Необхідність захисту «майже матеріальних» активів, таких як реєстр майна компанії, персональні дані користувачів, клієнтів і співробітників, електронні гроші сумнівів не викликає. Але важливо розуміти і те, що така, безумовно, нематеріальна цінність, як репутація компанії, теж має вартість і потребує захисту.

2. Мета і задачі дослідження та заплановані результати

Основною метою роботи є підвищення ефективності захисту інтернет-магазину на етапах проектування і експлуатації на основі розробки і використання моделей комп'ютерних атак, формування дерева атак, оцінки рівня захищеності і методики аналізу захищеності комп'ютерних мереж.

Основні задачі дослідження:

  1. Аналіз існуючих методик і моделей захисту інтернет-магазинів.
  2. Оцінка моделей захисту веб-ресурсів, виявлення їх слабких і сильних сторін.
  3. Побудова дерева атак онлайн-магазинів для пошуку вразливостей.
  4. Мінімізація загроз безпеки і ризику їх здійснення шляхом аналізу дерева атак.
  5. Розробка власної методики та моделі захисту інтернет-магазинів на основі дерев атак.

Об'єкт дослідження: безпека інтернет-магазинів.

Предмет дослідження: застосування методу дерев атак для розробки методики та моделі захисту інтернет-магазинів.

В рамках магістерської роботи планується отримання актуальних наукових результатів по наступним напрямкам:

  1. Впровадження методу дерев атак в процес аналізу захищеності веб-ресурсів.
  2. Визначення вразливостей і загроз безпеки в існуючих моделях захисту онлайн-магазинів.
  3. Мінімізація загроз безпеки інтернет-магазинів і ризику їх здійснення.

Для експериментальної оцінки отриманих теоретичних результатів і формування фундаменту наступних досліджень, у якості практичних результатів планується розробка власної моделі захисту інтернет-магазинів на основі методу побудови дерев атак.

3. Огляд досліджень та розробок

Безпека веб-ресурсів є особливо актуальним питанням у зв'язку з постійним зростанням кількості користувачів мережі інтернет і атаками на сайти. У зв'язку з цим ряд вчених у всьому світі присвятили свої роботи темі безпеки інтернет-ресурсів.

3.1 Огляд міжнародних джерел

Раніше метод побудови дерев атак не застосовувався для розробки методики та моделі захисту інтернет-магазанов. Безпеці веб-сайтів все ж присвячено досить багато наукових статей і досліджень. Проблемам забезпечення інформаційної безпеки сайтів присвячені роботи таких відомих вчених як: H.H. Безруков, П.Д. Зегжда, A.M. Івашко, А.І. Костогриз, В.І. Курбатов К. Лендвер, Д. Маклін, A.A. Молдовян, H.A. Молдовян, А.А.Малюк, Е.А.Дербін, Р. Сандхі, Дж. М. Керрол, і інших. Разом з тим, незважаючи на гнітючий обсяг текстових джерел в корпоративних і відкритих мережах, в області розробки методів і систем захисту інтернет-магазинів в даний час недостатньо представлені дослідження, спрямовані на аналіз загроз безпеки і створення моделей захисту.

3.2 Огляд національних джерел

В Україні провідним дослідником в даній сфері є Домарев В.В. Його дисертаційні дослідження присвячені проблемам створення комплексних систем захисту інформації. Автор книг: «Безпека інформаційних технологій. Методологія створення систем захисту »,« Безпека інформаційних технологій. Системний підхід »і ін., Автор понад 40 наукових статей і публікацій.

3.3 Огляд локальних джерел

У Донецькому національному технічному університеті питанням безпеки веб-ресурсів активно займалися студенти, аспіранти та викладачі кафедри Комп'ютерного моделмрованія і дизайну, Комп'ютерної інженерії, Програмної інженерії, автоматизованих систем управління, Прикладної математики та інших.

Безпеці при створенні веб-сайтів приділяв увагу в своїх працях викладач кафедри КМД Павлій Віталій Олександрович. Також на цю тему працювали магістри ДонНТУ Іл'єнко Федір В'ячеславович, Гошко Владислав Вікторович, Полуектов Єгор Іванович, Заруба Карина Юріївна та інші.

4. Апробація

Захист веб-сайтів і, зокрема, інтернет-магазинів, глибоко вивчено і апробовано у вигляді статей і доповідей. Виступи по даній роботі проходили на конференціях:

- ІУСМКМ 2016 - Наукова конференція в сфері інформаційних технологій. - Донецьк, ДонНТУ - 2016 рік;

- Інновації в науці / Науково-технічна конференція студентів, аспірантів та молодих вчених. - Донецьк, ДонНТУ - 2017;

- СІТОНД - Сучасні інформаційні технології в освіті і наукових дослідженнях / V міжнародна науково-технічна конференція студентів, аспірантів та молодих вчених. - Донецьк, ДонНТУ - 2017.

5. Методи захисту інтернет-магазину

За своєю суттю, інтернет-магазин - це web-додаток, що складається з клієнтської і серверної частин, що реалізують технологію «клієнт-сервер». Клієнтська частина реалізує інтерфейс програми, посилає запити до сервера і обробляє відповіді на ці запити. Серверна ж частина отримує запит, виконує обчислення щодо запиту, після чого формує web-сторінку, яку бачить користувач. Саме ж додаток може працювати в якості клієнта інших служб, наприклад, бази даних або іншого веб-додатку, розташованого на іншому сервері.

Набагато простіше усувати проблеми ще на етапі проектування, ніж вирішувати їх в процесі експлуатації готового веб-ресурсу. Дерева атак дозволяють змоделювати можливі атаки і перебої в роботі ресурсу, а також знайти шляхи їх вирішення, захистивши інтернет-магазин.

Велика частина атак на web-сайти проводиться в автоматичному режимі, за допомогою автоматичних програм сканування і подібних інструментів спеціального програмного забезпечення, що дозволяє виявляти «прогавини» в забезпеченні безпеки сайту. Поява в програмному забезпеченні web-сайту будь-якої CMS робить цей сайт менш безпечним. Сайт обслуговується http-сервером. Http-сервери перевіряються на наявність вразливостей, але навіть в них продовжують знаходити нові "діри". Будь-яка CMS встановлюється на додаток до http-серверу, і це призводить до того, що уразливості CMS додаються до вже наявних. І все ж той факт, що CMS призводить до зниження безпеки сайту, не повинен ставати перешкодою впровадженню CMS.

На практиці більш важливе управління ризиками. Навіть захищений Інтернет-магазин може бути зламаний тому, що власник встановив легко вгадуємий пароль. Таким чином, ризики, пов'язані з використанням CMS, можуть бути значно нижче, ніж ризики в організації самого веб-ресурсу.

Захищеність веб-ресурсу визначається як ступінь адекватності реалізованих в ньому механізмів захисту інформації (ідентифікація, аутентифікація, управління доступом, протоколювання і аудит, криптографія, екранування), відповідність заходів безпеки існуючим в даному середовищі функціонування ризиків, здатність механізмів захисту забезпечити конфіденційність, цілісність і доступність інформації. На сьогодні найбільш ефективним механізмом побудови моделей захисту є дерева атак.

Дерева атак - це діаграми, що демонструють, як може бути атакована ціль. В області інформаційних технологій вони застосовуються, щоб описати потенційні загрози комп'ютерній системі і можливі способи атаки, що реалізують ці загрози.

Під загрозою розуміється сукупність умов і факторів, що визначають потенційну або реально існуючу небезпеку виникнення інциденту, який може привести до нанесення збитку функціонуванню веб-ресурсу, активам, що захищаються або окремим особам. Загрози можуть класифікуватися за різними ознаками. Зокрема, за характером походження загрози поділяються на дві групи: умисні та природні.

Основними навмисними загрозами вважаються наступні:

  1. Підключення порушника до каналів зв'язку.
  2. Несанкціонований доступ.
  3. Розкрадання носіїв інформації.

До основних природних загроз відносять:

  1. Нещасні випадки (пожежі, аварії, вибухи).
  2. Стихійні лиха (урагани, повені, землетруси).
  3. Помилки в процесі обробки інформації (збої апаратури).

При аналізі захищеності комп'ютерних мереж до уваги слід приймати всі різновиди загроз, проте найбільшу увагу має бути приділено тим з них, які пов'язані з діями людини.

Всі проаналізовані дані представлені в вигляді дерева атак, яке дозволяє наочно демонструвати загрози системі.

Природні загрози запобігти практично неможливо з огляду на те, що в більшості своїй вони носять природний характер. Звести до нуля розкрадання носіїв інформації - завдання непереборне. Щоб знизити ризик потрібно прийняти примітивні заходи охорони фізичних об'єктів.

Для запобігання атак, які трапляються частіше за інших (підключення до каналів зв'язку), ефективніше використовувати більш поширені CMS, в цьому випадку трохи вище ймовірність того, що уразливості в них уже виявлені і закриті. Втім, немає таких гарантій, що в майбутньому в системі не виявлять нових "прогавин".

Оптимальним вибором є та система, розвиток якої не припиняється. Якщо розробники припинили розвивати систему, то існує ймовірність того, що знову виявлена ??уразливість НЕ буде вчасно виправлена.

Так само необхідно стежити за всіма оновленнями CMS, орієнтованими на її безпеку і своєчасно встановлювати ці оновлення. Деякі сучасні CMS, наприклад "1С: Bitrix", дозволяють автоматизувати процес пошуку і установки оновлень.

Висновки

Проведений аналіз дозволяє зробити висновок про те, що забезпечення захисту web-додатків має здійснюватися як на етапі проектування і розробки самого web-ресурсу, так і в процесі його експлуатації з внесенням у разі необхідності своєчасних корегувань. При цьому захист повинен будуватися за двома основними напрямками:

  1. Недопущення помилок в скриптах при розробці web-додатків.
  2. Застосування спеціалізованих міжмережевих екранів рівня додатків (наприклад, рішення типу ApplicationFirewall), які володіють вбудованим функціоналом запобігання вторгнень і забезпечують захист від цілеспрямованих web-атак, таких як переповнення буфера, SQL ін'єкції, Сross-Site-Sсriрting, зміна параметрів запитів і інших. Рішення цього класу фільтрують запити на доступ до додатка і блокують всі дії, які не належать до дозволеної активності користувачів.

Таким чином, створюючи модель, убезпечити компанію від усіляких загроз і неприємностей можна за рахунок наступних дій:

  1. Оптимального вибору системи управління контентом сайту (CMS).
  2. Використання хостингу, що володіє достатньою надійністю.
  3. Застосування необхідного серверного програмного забезпечення.
  4. Своєчасних заходів, що дозволяють мінімізувати можливість появи непередбачених проблемних ситуацій на веб-сайтах.

Використання запропонованої моделі аналізу захищеності інтернет-магазину є суттєвим кроком до етапу комплексної автоматизації одного з основних функцій системного адміністратора (проектувальника) мережі - забезпечення необхідного рівня захищеності використовуваної (планованої до використання) комп'ютерної мережі.

Подальші дослідження спрямовані на наступні аспекти:

  1. Якісне вдосконалення розробленої методики і моделі захисту інтернет-магазинів, їх доповнення та розширення.
  2. Практичне застосування та впровадження розробленої моделі в існуючі функціонуючі інтернет-магазини.
  3. Адаптація моделі захисту для широкого кола веб-ресурсів та веб-додатків.

При написанні даного реферату магістерська робота ще не завершена. Остаточне завершення: травень 2018 року. Повний текст роботи та матеріали по темі можуть бути отримані у автора або його керівника після зазначеної дати.

Перелік посилань

  1. Статистика web-уязвимостей за 2013 год. [Электронный ресурс] – Режим доступа: http://netnsk.ru/publica/security/sec_10.php
  2. Леонтьев В.С. Безопасность в сети интернет. – М.: ОЛМА Медиа Групп, 2008. – 256 с.
  3. Рэйнолдс М. Сделай сам Интернет-магазин. – М.: Изд-во “Лори”, 2009. – 538 с.
  4. Статистика национального домена в рунете//Координационный центр национального домена сети интернет: URL - http://www.cctld.ru/ru/statistics .
  5. Деревья атак // Википедия [электронный ресурс] – Режим доступа: https://ru.wikipedia.org/wiki/Деревья_атак
  6. Котенко, И. В. Обманные системы для защиты информационных ресурсов в компьютерных сетях Текст. / И. В. Котенко, М. В. Степашкин // Труды СПИИРАН. — СПб.: Наука, 2004. — т. 1. — С. 211..
  7. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов / А. А. Малюк. — М.: Горячая линия-Телеком, 2015. — 280 с.
  8. Hack Attack Testing— How to Conduct Your Own Security Audit Text. / J. Chirillo. — [S. 1.]: Wiley Publishing, 2003.
  9. Степашкин, М. В. Структура базы знаний об уязвимостях для системы моделирования атак на web-сервер Текст. / М. В. Степашкин // Труды конференции «Информационная безопасность регионов России (ИБРР-2003)». — СПб.: Издательство Политехника, 2003.
  10. Holdsworth B. Digital logic design / B. Holdsworth, C. Woods. – Prentice Hall, 2002. – 519 pp.
  11. Lala P. Principles of modern digital design / P. Lala. – Wiley, 2007. – 419 pp.
  12. Обнаружение атак Текст. / А. Лукацкий. — СПб.: BHV-СПб, 2003. — 608 с.
  13. Основы защиты информации Текст. / В. А. Герасименко, А. А. Малюк. — М.: МИФИ, 1997, —539 с.
  14. Shiva S. Introduction to logic design / S. Shiva. – CRC Press, 1998. – 628 pp.
  15. Инструменты, тактика и мотивы хакеров. Знай своего врага : Пер. с англ. — М.: ДМК Пресс, 2003. —312 с.
  16. Теоретические основы защиты информации: Учебное пособие Текст. / С. С. Корт. — М.: Гелиос АРВ, 2004. — 240 с.
  17. Кононов, А. Страхование нового века. Как повысить безопасность информационной инфраструктуры Текст. / А. Кононов // Connect. — М., 2001. — № 12.
  18. Ілляшенко, С.М. Актуальні проблеми забезпечення економічної безпеки підприємства / Ілляшенко С.М., Нілова Н.О. – Донецк: Луч, 2001. – 266 с
  19. В.Г. Иванов, М.Г. Любарский, В.В. Карасюк, Ю.В. Ломоносов. //Защита авторских прав мультимедийных данных – Харьков, 2011 г. – С. 3-10.
  20. Грибунин В. Г., Оков И. Н., Туринцев И. В. //Цифровая стаганография. M. : Солон-Пресс, 2002. 272 с.