Файловый архив студентов. Файловый архив студентов.
1262 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Российский государственный университет инновационных технологий и предпринимательства
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Voprosy_na_ekzamen (1).doc
Скачиваний:
10
Добавлен:
25.04.2019
Размер:
1.45 Mб
Скачать
►Содержание►

Защита внутреннего доступа

Все вопросы безопасности, которые мы обсуждали до сих пор, были связаны с внешними угрозами. К сожалению, это не единственные угрозы, подлежащие обязательному рассмотрению. У сотрудников организации есть доступ к внутренней сети, в которой находится сервер базы данных, и, следовательно, они имеют возможность непосредственно атаковать его без необходимости преодолевать межсетевой экран и веб-сервер.

Одно из решений данной проблемы уже было упомянуто ранее. Сервер базы данных можно перенести в отдельную сеть и защитить внутренним межсетевым экраном. Однако это не единственное решение проблемы. Сервер необходимо сканировать на наличие уязвимостей согласно тому же расписанию, которое рекомендуется для веб-сервера. Программное обеспечение сервера необходимо обновить и дополнить, прежде чем вводить сервер в эксплуатацию, а идентификаторы и пароли должны контролироваться согласно тому, как это определено в политике безопасности. Кроме этого, базу данных необходимо настроить на аудит попыток доступа к ней.

увеличить изображение Рис. 17.5.  Пересмотренная архитектура электронной коммерции, в которой используется сервер приложений

Примечание

Базы данных предоставляют злоумышленнику возможность получения доступа к информации без необходимости доступа в базовую операционную систему. Для того чтобы правильно отслеживать систему на предмет попыток доступа и использования уязвимостей, необходимо следить как за системными журналами, так и за журналами баз данных.

Принимая во внимание секретность информации, содержащейся в базе данных, следует осуществлять контроль санкционированного доступа к системе. Система не должна находиться в общем пользовании, и, кроме того, в данной системе должны быть запрещены какие-либо действия по разработке.

Разработка архитектуры электронной коммерции

Давайте теперь обобщим все обсужденные аспекты. На рисунке 17.6 представлена схема всего сайта электронной коммерции в целом. Здесь изображены архитектурные компоненты, обеспечивающие полноценный сайт с высокой степенью доступности и большим объемом проходящего трафика. В зависимости от количества трафика и установленных требований безопасности некоторые из компонентов могут не являться необходимыми.

Расположение сервера и соединения

Рассматривается сайт с высокой степенью доступности и большим объемом обрабатываемого трафика. Организация имеет связь с двумя различными провайдерами интернет-услуг, и с ними достигнуто соглашение об использовании BGP для обеспечения отказоустойчивой маршрутизации. В данном случае подразумевается, что организация предпочла разместить свои серверы электронной коммерции в одном помещении. Данная архитектура могла бы быть расширена для включения других зданий.

Маршрутизаторы, коммутаторы и межсетевые экраны, подключенные к интернету, соединены между собой таким образом, что сбой в любом компоненте никак не повлияет на трафик сайта. За межсетевыми экранами два коммутатора прикладного уровня обеспечивают распределение нагрузки между веб-серверами. Веб-серверы защищены межсетевыми экранами от атак по всем портам, кроме 80 и 443.

Веб-серверы имеют второй сетевой интерфейс, обеспечивающий соединение с сетью, в которой расположены серверы приложений. Веб-серверы передают информацию серверам приложений, запрашивающим базы данных и передающим данные клиента на веб-серверы. Двойные межсетевые экраны соединяют сеть сервера приложений с внутренней сетью организации, в которой находитсясервер базы данных. Стоимость этих свойств доступности более чем в два раза превышает стоимость базового интернет-сайта. Такая структура требует наличия, по крайней мере, двух объектов из всех сетевых компонентов и серверов, а также предусматривает использование коммутаторов прикладного уровня. В зависимости от нагрузки трафиком число веб-серверов и серверов приложений велико (например, более чем 20 единиц каждого из объектов). Это обстоятельство также требует того, чтобы сервер базы данных имел возможность обработки большого числа транзакций в секунду.

увеличить изображение Рис. 17.6.  Архитектура системы электронной коммерции для сайта с высокой степенью доступности

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности