# ID | 261 |
Тема | Защита сервера |
Содержание | 1. Выбор объекта защиты 2 2. Анализ защищенности 2 2.1. Вид угрозы 2 2.2. Характер происхождения угрозы 5 2.3. Канал НСД 10 2.4. Источники появления угроз 15 2.5. Причины нарушения целостности информации 15 2.6. Определить класс защиты объекта 29 Заключение 31 Литература 32 |
Введение | Все большее число фирм среднего и крупного бизнеса включают в свои бизнес-процессы использование корпоративного веб сервера. Глобально можно выделить два варианта его использования. Первый - внутреннего применения. Снижение затрат на разработку и поддержку, обуславливает перенос внутрифирменного программного обеспечения (системы CRM, базы знаний, учетные и бухгалтерские программы и т.д.) на веб платформу. Второй - для предоставления информационных услуг внешним клиентам. Здесь могут быть самые разнообразные варианты, начиная от сервисов заказов и проверки наличия товаров на складе до системы технической поддержи продукции компании. Обычно, один и тот же веб сервер используется для этих двух вариантов одновременно. По своему определению, веб приложения доступны множеству пользователей и являются целью для атак злоумышленниками. Сам по себе факт взлома сайта фирмы, нанесет вред ее репутации. Если же в результате действий злоумышленника будет скомпрометирована коммерческая информация предприятия или, еще хуже, конфиденциальные данные о клиенте, фирма понесет весьма ощутимый урон. Поэтому вопрос обеспечения безопасности данного сегмента сети является крайне важным. Как правило, выделяются два типа злоумышленников – внутренний и внешний. Так как сама архитектора HTTP не выделяет, каких либо привилегированных пользователей, то внутренний и внешний злоумышленники будут иметь фактически одинаковые возможности. При этом надо отметить несколько особенностей, влияющих на подходы к обеспечению безопасности. Требования бизнеса постоянно меняются, поэтому, очевидно, веб приложения призванные удовлетворять данным требованиям, будут также постоянно подвергаться доработкам силами локальных разработчиков или сторонних организаций. Несомненно, концепция изначального создания безопасного кода, должна была бы присутствовать в самом процессе разработки программного обеспечения. Однако на деле, в условие сжатых сроков и ограниченных ресурсов, разработчики не уделяют надлежащие внимание вопросам безопасности приложений. Что приводит к необходимости использования дополнительного инструмента, позволяющего тестировать, используемые веб приложения на наличие распространенных уязвимостей. Сами веб-приложения нельзя рассматривать в отрыве от среды в которой они выполняются. Это, прежде всего веб сервер, сервера баз данных, сопутствующие сервисы вроде FTP или SSH сервера, различные сервера приложений и наконец сама операционная система под управлением которой все это функционирует. А значит при наличие уязвимостей в любом из компонентов, может быть использовано злоумышленником. Следовательно, необходимы средства для обнаружения уязвимостей в используемом на сервере или в сети системном программном обеспечение. Объектом защиты выбран Веб-сервер. |
Заключение | Важным аспектом общей надежности является безопасность сети, то есть способность системы защитить данные от несанкционированного доступа. В распределенной системе это сделать гораздо сложнее, чем в централизованной. В сетях сообщения передаются по линиям связи, часто проходящим через общедоступные помещения, в которых могут быть установлены средства прослушивания линий. Другим уязвимым местом могут стать оставленные без присмотра персональные компьютеры. Кроме того, всегда имеется потенциальная угроза взлома защиты сети от неавторизованных пользователей, если сеть имеет выходы в глобальные общедоступные сети. Поэтому организация, использующая компьютерные сети должна уделить большое внимание политики информационной безопасности. Информационная безопасность не является залогом безопасности компании, информации и компьютерных систем. К сожалению, обеспечить надежную защиту "по взмаху волшебной палочки" нельзя. Но реализовать ее на должном уровне вполне реально, хотя концепции, лежащие в ее основе, не очень-то и просты. Информационная безопасность - это система, позволяющая выявлять уязвимые места организации, опасности, угрожающие ей, и справляться с ними. К сожалению, известно много примеров, когда продукты, считающиеся "лекарством на все случаи жизни", на самом деле уводили в сторону от выработки надлежащих способов эффективной защиты. Свою лепту вносили их производители, заявляющие о том, что именно их продукт решает все проблемы безопасности. |
Литература | 1. Э. Мэйволд Безопасность сетей Эком, 2006 2. Галатенко В.А. Основы информационной безопасности Интернет-университет информационных технологий – ИНТУИТ.ру, 2008 3. Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий - ИНТУИТ.ру, 2005 4. В. Столлингс Криптография и защита сетей. Принципы и практика 2-е изд. 2001г., Издательский дом «Вильямс», 672 с. |
Объем (страниц) | 25 |
Год написания | 2008 |
Стоимость | 300 руб. |