- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Примеры служб электронной коммерции
Когда мы говорим о применении системы безопасности к службам электронной коммерции, можно рассматривать этот вопрос относительно четырех основных аспектов безопасности, обсужденных в лекции 4: конфиденциальность, целостность, доступность и ответственность. Также можно подразумевать, что доступность является аспектом, связанным с любым типом электронной коммерции. Моменты, связанные с другими аспектами, различаются в зависимости от типа предлагаемых услуг электронной коммерции. Следующие разделы содержат примеры того, каким образом можно обеспечить безопасность служб электронной коммерции.
Продажа товаров
Допустим, организации требуется продавать свою продукцию через интернет. Основной концепцией здесь является то, что клиенты будут посещать веб-сайт, знакомиться с перечнем товаров и заказывать товары с доставкой. Оплата будет производиться посредством кредитной карты, а доставка товаров будет осуществляться с использованием наиболее экономичного метода.
Для данного сценария можно вывести следующие требования безопасности для каждой базовой функции безопасности.
Конфиденциальность. Большая часть информации не является конфиденциальной. Однако номер кредитной карты - это конфиденциальные данные. Адрес электронной почты клиента и другая личная информация также может являться конфиденциальной в зависимости от политики секретности сайта.
Целостность. Клиент потребует обеспечения целостности данных, чтобы он смог получить то, что ему требуется. Для содержания информации в корректном виде потребуется обеспечить целостность на протяжении всей процедуры, а также гарантировать целостность каталога, чтобы цены в каталоге соответствовали действительности.
Ответственность. Организации нужно будет подтверждать тот факт, что лицо, использующее кредитную карту, действительно является ее владельцем.
Из приведенного краткого примера видно, что безопасность играет очень большую роль в архитектуре данной системы электронной коммерции.
Предоставление конфиденциальной информации
Рассмотрим еще одну службу электронной коммерции. В данном примере организация предоставляет пользователям информацию за определенную плату. Эта информация является собственностью организации, и руководство организации хочет контролировать то, каким образом информация распространяется. Организация фактически продает доступ к данным отдельным пользователям или другим организациям на основе подписки.
Основываясь на данном сценарии, можно составить список требований к безопасности базовых служб.
Конфиденциальность. Прайс-листы, заказы и отчеты о дефектах представляют собой конфиденциальные данные. Кроме того, на каждого распространителя должно быть наложено ограничение на то, какие прайс-листы и заказы он может просматривать.
Целостность. Прайс-листы необходимо защищать от несанкционированного изменения. Каждый заказ должен быть корректен в любом месте системы.
Ответственность. Производителю потребуется узнать, какой распространитель запрашивает прайс-лист или размещает заказ; это необходимо для предоставления корректной информации.