- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Отказ от выполненной операции
Еще одним риском, связанный с клиентской стороной электронно-коммерческих взаимоотношений, является потенциальная возможность клиента отказаться от транзакции. Очевидно, что если клиент на самом деле не инициировал транзакцию, организация не позволит ее провести. Однако как организация определит, является ли клиент тем, за кого он себя выдает? Здесь приходит на помощь аутентификация.
Тип аутентификации, используемой для подтверждения личности клиента, зависит от риска допущения ошибки. На случай покупки товара посредством кредитной карты имеются определенные процедуры выполнения транзакции с кредитной картой без предоставления самой карты. Эти процедуры предусматривают предоставление клиентом правильного почтового адреса для покупки товара.
Если сайт электронной коммерции предоставляет услугу, требующую подтверждения личности для доступа к определенной информации, кредитная карта может в этом случае не подойти. В организации более предпочтительным оказывается использование идентификатора пользователя и пароля или даже двухфакторной аутентификации. В любом из этих случаев условия предоставления услуги, отправляемые клиенту, должны в деталях описывать требования к защите идентификаторов и паролей. Если для доступа к информации клиента используется правильный идентификатор и пароль, то подразумевается, что доступ к информации осуществляется легитимным пользователем. Если пароль потерян, забыт или выявлен злоумышленником, необходимо немедленно сообщить об этом организации.
Вопросы для самопроверки
Два основных различия между службами электронной коммерции и обычными службами интернета заключаются в необходимости _______________ и _______________.
Доступность является очень важным аспектом, так как непосредственно связана с вопросом _______________, от которого зависит то, у кого клиент приобретет товар - у вас или вашего конкурента.
Реализация безопасности серверной части
Когда речь идет о безопасности серверной части, мы говорим лишь о физическом сервере электронной коммерции и о программном обеспечении веб-сервера, которое на нем работает. В следующих разделах данной лекции мы рассмотрим безопасность приложения и базы данных. Сам по себе сервер электронной коммерции должен быть доступен из интернета. Доступ к системе может быть ограничен (если сервер электронной коммерции предназначен для работы с небольшим кругом пользователей), либо система может быть открыта для всех пользователей.
С безопасностью сервера связаны два вопроса.
Безопасность информации, хранимой на сервере.
Защита самого сервера от вторжения злоумышленников.
Информация, хранимая на сервере
Сервер электронной коммерции открыт для доступа из интернета, следовательно, сервер обладает частичным доверием, но не более того. Система с частичным доверием или вовсе без доверия не должна содержать секретной информации. Если сервер используется для приема платежей по кредитным картам, номера кредитных карт должны немедленно переноситься в систему, непосредственно обрабатывающую транзакции (которая расположена в более защищенной части сети). Ни один номер кредитной карты не должен находиться на сервере.
Если информация должна храниться на сервере электронной коммерции, ее необходимо защищать от несанкционированного доступа. Это можно реализовать посредством использования элементов управления доступом к файлам. Кроме того, если секретные файлы не хранятся в структуре каталогов на веб-сервере или FTP-сервере, то доступ к ним через браузер или FTP-клиент осуществить намного сложнее.