Размещено на http://www.allbest.ru/

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Майкопский государственный технологический университет»

Факультет информационных систем в экономике и юриспруденции

Кафедра информационной безопасности и прикладной информатики

ДИПЛОМНАЯ РАБОТА

на тему

• «Рекомендации по настройке модуля «Проактивная защита»

(на примере ООО Альпака-М)»

Майкоп 2014

• Содержание
• Введение
• Глава 1. Безопасность и защита сайтов
• 1.1 Общие сведения о безопасности сайтов
• 1.2 Классификация угроз безопасности Web-приложений
• 1.3 Защита сайтов и Web-проектов
• Глава 2. Анализ деятельности ООО «Альпака-М»
• 2.1 Общая характеристика ООО «Альпака-М»
• 2.2 Состояние защиты информации в ООО «Альпака-М»
• 2.3 Безопасность веб-сайта ООО «Альпака-М»
• Глава 3. Рекомендации по настройке модуля «Проактивная защита»
• 3.1 Настройка стандартного уровня проактивной защиты
• 3.2 Настройка высокого уровня безопасности проактивной защиты
• 3.3 Настройка повышенного уровня проактивной защиты
• Заключение
• Список использованной литературы

Введение

В настоящее время Web-сайты являются одним из основных средств представления и передачи информации. Они заняли широкую нишу не только как электронные средства массовой информации, но и как источники научной, учебной, коммерческой и другой информации. Используются они и в сферах связанных с деньгами и конфиденциальной информацией. Обеспечивают Web-интерфейс и offline, и online связь с клиентами.

Компьютеры, которые подключены к сети, могут предоставлять доступ к сайтам и таким образом к колоссальному количеству самых разнообразных данных. Поэтому важным является вопрос безопасности информации и наличии рисков, связанных с несанкционированным доступом к коммерческим, конфиденциальным, персональным или другим важным данным. Растущее число компьютерных преступлений может привести, в конечном счете, к подрыву экономики. И поэтому должно быть, очевидно, что информация - это ресурс, который надо защищать.

Публичные веб-сеpвеpы продолжают оставаться объектами атак хакеров, которые хотят с помощью этих атак нанести не только финансовые потери, но и урон репутации организации или добиться каких-либо своих целей. Хорошие меры защиты могут защитить сайт от возможных неприятностей, которые будет иметь организация в случае успешной атаки на него.

Ответственность за защиту информации лежит на звене обслуживания. Но необходимо осуществлять общее руководство этой деятельностью, поэтому в организации должно быть лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем.

Поскольку часто процесс автоматизации приводит к тому, что работают с прикладными системами простые служащие организации, а не специально подготовленный технический персонал, нужно, чтобы эти служащие (конечные пользователи), знали о своей ответственности за защиту информации.

К безопасности сайта можно отнести:

- отсутствие перебоев в его работе и устойчивость к перегрузкам;

- защищенность от взломов, диверсий, вредоносных программ;

- защищенность от несанкционированного доступа к служебным и/или закрытым разделам сайта;

- сохранность находящейся на сайте информации, баз данных и т.п.

Программный продукт «1С-Битрикс: Управление сайтом» - это профессиональная система для создания и управления интернет-проектами, среди которых могут быть:

- корпоративные сайты;

- интернет-магазины;

- информационные порталы;

- интернет-сообществами;

- социальные сети и другие сайты.

С помощью «1С-Битрикс: Управление сайтом» можно разработать новый веб-проект или перевести существующий на новую систему управления. Немаловажным при этом остаются вопросы обеспечения надежной информации.

Актуальность работы обусловлена возможностью разработки публичного ресурса, предельно удовлетворяющего требованиям безопасности, либо приведение уже имеющегося сайта к этим требованиям путем анализа использующихся и потенциально опасных уязвимостей с последующим выполнением ряда работ для их устранения и отсутствия в перспективе. Применение комплекса технических решений по обеспечению безопасности продукта и разработанных веб-приложений, встроенного в систему управления веб-проектами, позволяет снизить издержки и увеличить производительность труда, как создателей сайта, так и лиц, его сопровождающих. Если говорить об изменениях, поддающихся количественной оценке, то они наблюдаются преимущественно в составе сокращения расходных статей операционной деятельности и повышения имиджа представляемой на сайте организации, учреждения или компании.

Целью данной дипломной работы является исследование возможности обеспечения защиты сайта ООО «Альпака-М» на основе системы управления сайтом.

Для достижения цели, поставленной в работе, необходимо решить следующие задачи:

- исследовать основные сведения о безопасности сайтов;

- исследовать и классифицировать угрозы безопасности веб- приложений;

- изучить организационную структуру ООО «Альпака-М» и состояние защиты информации;

- проанализировать проблемы безопасной эксплуатации веб-сайта ООО «Альпака-М»;

- дать рекомендации по внедрению в деятельность ООО «Альпака-М» системы для создания и управления интернет-проектами;

- описать действенный вариант реализации в организации политики безопасности и использовании средств безопасного использования информации на основе системы управления контентом.

Объект исследования ООО «Альпака-М» и процесс безопасного функционирования его виртуального представительства в сети.

Теоретическую и научно-методологическую основу дипломной работы составляют работы отечественных и зарубежных ученых, основные выводы и ключевые положения ученых экономистов, юристов, специалистов в области защиты информации и информационных технологий, нормативно- правовые акты действующего Российского законодательства, учебная литература, периодические издания по теме дипломной работы, нормативная документация.

В ходе написания дипломной работы использованы следующие методы исследования: сбор информации по теме работы, анализ существующих разработок для решения поставленной задачи, формализация задачи, выбор стратегии защиты информации, постановка целей и задач безопасного использования сайтов, обоснование проектных решений, разработка информационного обеспечения, разработка алгоритма повышения уровня защиты сайта, тестирование полученного проекта, устранение недостатков.

Структура дипломной работы определена ее целями и задачами, и включает введение, три главы, заключение, список используемых источников и литературы, а также приложения.

Во введении дипломного проекта обоснована актуальность исследования, сформулирована цель работы и решаемые задачи.

• В первой главе основной части рассмотрены общие сведения о безопасности сайтов и классификация угроз безопасности Web-приложений, а также защита сайтов и Web-проектов.
• Во второй главе основной части дается анализ ООО «Альпака-М», состояние защиты информации в ООО «Альпака-М» и безопасность веб-сайта ООО «Альпака-М».

В третьей главе предлагаются рекомендации по настройке модуля «Проактивная защита».

В заключение дипломной работы сформулированы общие выводы по рассматриваемой теме.

Глава 1. Безопасность и защита сайтов

1.1 Общие сведения о безопасности сайтов

Основная задача защиты сайтов - разработка ресурса, предельно удовлетворяющего требованиям безопасности, либо приведение уже имеющегося сайта к этим требованиям путем анализа использующихся и потенциально опасных уязвимостей с последующим выполнением ряда работ для их устранения и отсутствия в перспективе [1]. При этом безопасность сайта подразумевает не только безопасность кода и используемого программного обеспечения (ПО), но и безопасность его администрирования, сохранность паролей, защиту от перегрузок, а также решение ряда организационных и технических вопросов с провайдером.

Наиболее распространенными атаками на веб-сайты являются [2]:

- подмена главной страницы сайта - одна из самых частых форм взлома, заключающаяся в замене содержимого титульной страницы сайта другим текстом;

- удаление файловой системы, что влечет за собой исчезновение информации, хранящейся на сайте, включая базу клиентских паролей и прочих данные, имеющих критичную ценность. Для быстрого восстановления информации рекомендуется периодически сохранять копии ресурса;

- подмена информации - изменение злоумышленниками существенно важной информации (например, телефона или других данные организации;

- размещение троянских программ - скрытый вид атаки, направленный на внедрение на компьютер пользователя вредоносных программ, выполняющих разнообразные функции (осуществление переадресации на сайт злоумышленников, получение персональных данных клиентов, заражение посетителей вирусами и так далее);

- рассылка спама - использование пораженного компьютера для рассылки спама, что влечет включение домена организации в централизованную базу данных спамеров;

- создание высокой нагрузки - отправление в адрес веб-сервера заведомо некорректных запросов или иные действия извне, результатом которых будет затруднение доступа к сайту или падение операционной системы сервера.

Следствием всех перечисленных разновидностей атак является не только временное прекращение работоспособности ресурса, но и потеря доверия к веб-сайту в глазах клиентов. Пользователь, заразившийся вредоносным кодом на ресурсе сети, или перенаправленный с сайта организации на сайт сомнительного содержания, маловероятно когда-либо перейдет на скомпрометировавший себя адрес.

Вопросами безопасности веб-сайта необходимо начать рассматривать уже на этапе разработки сайта. Существует множество CMS-систем (Content Management System - система управления содержимым), представляющих собой некий шаблон, упрощающий управление и разработку сайта. Весь спектр CSM систем можно подразделить на открытые (бесплатные) и проприетарные. Среди открытых можно выделить Drupal [3], Mambo [4], Joomla [5] и Typo3 [6], среди платных - 1С-Битрикс [7], NetCat [8], Amiro.CMS [9]. Все они являются в той или иной мере безопасными, обладают рядом преимуществ и недостатков. Статистические сведения говорят о том, что в России подавляющее большинство веб-студий, использующих сторонние разработки для создания сайтов, пользуются продуктом «1С-Битрикс: Управление сайтом» (далее Битрикс). Популярность системы обусловлена следующими факторами:

- популярность программных продуктов фирмы 1C позволила стать Битрикс негласным национальным стандартом веб-разработки на основе CMS.

- 1С-Битрикс имеет сертификат безопасности от компании Positive Technologies [10], подтверждающий неуязвимость системы ко всем видам известных атак на веб-приложения.

- наибольший темп роста среди CMS-систем, использующихся на российском рынке;

- развитой функционал продукта, достаточный для создания сложных корпоративных сайтов, информационных и справочных порталов, интернет- магазинов, сайтов СМИ, а также для создания практически любых других видов веб-ресурсов.

Обеспечение безопасности веб-ресурса - это процесс, сочетающий в себе определенный набор действий. Вначале сложившаяся система иссле- дуется на предмет безопасности, затем определяется ряд мер и работ, проде- лываемых для достижения этой безопасности. Это могут быть и услуги программистов, разрабатывающих или оптимизирующих сайт, и услуги инженеров, решающих технические вопросы, и, безусловно, некий набор организационных мер. Все зависит только от желания и возможностей заказчика.

Проверка имеющегося веб-ресурса на наличие уязвимости, как технологический процесс, состоит из последовательных этапов (например, непосредственное сканирование, переработка сайта, ликвидация уязвимос- тей, согласование решений на стороне провайдера). Для ускорения выполняемых работ используются сканеры уязвимостей.

Сканеры уязвимостей [11] - это специальные программы, предназна- ченные для анализа защищённости сети путём сканирования и зондирования сетевых ресурсов и выявления их уязвимостей. Сканер ищет типичные уязви- мости и бреши безопасности, облегчая тем самым жизнь не только владель- цев веб-сайтов, но и хакеров. Все сканеры уязвимостей можно классифицировать в зависимости от методики работы на 3 группы:

3.3.1 локальные - устанавливаются непосредственно на проверяемом узле и обеспечивают высокую достоверность. Работают от имени учетной

записи с максимальными привилегиями и используют только один метод поиска уязвимостей - сравнение атрибутов файлов;

3.3.2 пассивные - в качестве источника данных используют сетевой трафик, однако, в отличие от сетевых, позволяют минимизировать влияние сканера на уязвимости. В настоящее время они слабо распространены, но выглядят весьма перспективно;

3.3.3 сетевые - выполняют проверки дистанционно, подключаясь через сетевые сервисы. Являются самыми популярными на сегодняшний день.

Производителей сканеров уязвимостей много, существует масса обзоров и тестирований, выделяющих продукт той или иной фирмы. Перечислим несколько наиболее распространенных сканеров: Nessus, XSpider, IBM Internet Scanner, Retina, Shadow Security Scanner, Acunetix, N- Stealth.

Российская программа XSpider [12] (на смену которой приходит MaxPatrol) - сканер, разработанный фирмой Positive Technologies. Он обладает обширным списком возможностей - эвристический анализ и определение типа серверов, полное сканирование портов и отображение сервисов, проверка на стандартные пароли, анализ на SQL инъекции, XSS атаки, и практически ежедневное пополнение базы уязвимостей. В сравнении с конкурентами, сканер демонстрирует более качественную идентификацию сервисов и приложений, обеспечивая как следствие большее и более точное определение уязвимостей при минимальном проценте ложных оповещений. По мнению специалистов, продукт является одним из лучших решений не только на российской, но и на мировой сцене.

1.2 Классификация угроз безопасности Web-приложений

С целью унификации стандартной терминологии описания угроз безопасности Web-приложений международный консорциум Web Application

Security Consortium (WASC) разработал классификацию угроз безопасности Web-сайтов [13]. Это даёт возможность разработчикам приложений, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык при своем взаимодействии.

Данный документ содержит компиляцию и квинтэссенцию известных классов атак, которые представляют угрозы для Web-приложений. Каждому классу атак присвоено стандартное название и описаны его ключевые особенности. Классы организованы в иерархическую структуру.

Классы атак:

1. Аутентификация (Authentication) - раздел, описывающий атаки направленные на используемые Web-приложением методы проверки идентификатора пользователя, службы или приложения. Аутентификация использует как минимум один из трех механизмов (факторов): обладание секретом, знание секрета и «обладание секретом» или «состояние секрета». Класс описывает атаки, направленные на обход или эксплуатацию уязвимостей в механизмах реализации аутентификации Web-серверов:

- подбор (Brute Force) - автоматизированный процесс проб и ошибок, использующийся для того, чтобы угадать имя пользователя, пароль, номер кредитной карточки, ключ шифрования и т.д.;

- недостаточная аутентификация (Insufficient Authentication) - эта уязвимость возникает в случае, когда Web-сервер позволяет атакующему получать доступ к важной информации или функциям сервера без должной аутентификации;

- небезопасное восстановление паролей (Weak Password Recovery Validation) - эта уязвимость возникает, когда Web-сервер позволяет атакующему несанкционированно получать, модифицировать или восстанавливать пароли других пользователей

2. Авторизация (Authorization) - раздел, посвященный атакам, направленным на методы, которые используются Web-сервером для определения того, имеет ли пользователь, служба или приложение необходимые для совершения действия разрешения. Многие Web-сайты разрешают только определенным пользователям получать доступ к некоторому содержимому или функциям приложения. Доступ другим пользователям должен быть ограничен. Используя различные техники, злоумышленник может повысить свои привилегии и получить доступ к защищенным ресурсам. В классе описаны:

- предсказуемое значение идентификатора сессии (Credential/Session Prediction) - предсказуемое значение идентификатора сессии позволяет перехватывать сессии других пользователей;

- недостаточная авторизация (Insufficient Authorization) - недостаточная авторизация возникает, когда Web-сервер позволяет атакующему получать доступ к важной информации или функциям, доступ к которым должен быть ограничен;

- отсутствие таймаута сессии (Insufficient Session Expiration) - в случае если для идентификатора сессии или учетных данных не предусмотрен таймаут или его значение слишком велико, злоумышленник может воспользоваться старыми данными для авторизации;

- фиксация сессии (Session Fixation) - используя данный класс атак, злоумышленник присваивает идентификатору сессии пользователя заданное значение.

3. Атаки на клиентов (Client-side Attacks) - раздел, описывающий атаки на пользователей Web-сервера. Во время посещения сайта, между пользователем и севером устанавливаются доверительные отношения, как в технологическом, так и в психологическом аспектах. Пользователь ожидает, что сайт предоставит ему легитимное содержимое. Кроме того, пользователь не ожидает атак со стороны сайта. Эксплуатируя это доверие, злоумышленник может использовать различные методы для проведения атак на клиентов сервера:

- подмена содержимого (Content Spoofing) - техника, используя которую, злоумышленник заставляет пользователя поверить, что страницы сгенерированы Web-сервером, а не переданы из внешнего источника;

- межсайтовое выполнение сценариев (Cross-site Scripting, XSS) - уязвимость, позволяющая атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя;

- расщепление HTTP-запроса (HTTP Response Splitting) - при использовании данной уязвимости злоумышленник посылает серверу специальным образом сформированный запрос, ответ на который интерпретируется целью атаки как два разных ответа.

4. Выполнение кода (Command Execution) - секция, описывающая атаки, направленные на выполнение кода на Web-сервере. Все серверы используют данные, переданные пользователем при обработке запросов. Часто эти данные используются при составлении команд, применяемых для генерации динамического содержимого. Если при разработке не учитываются требования безопасности, злоумышленник получает возможность модифицировать исполняемые команды. В классе описаны:

- переполнение буфера (Buffer Overflow) - эксплуатация переполнения буфера позволяет злоумышленнику изменить путь исполнения программы путем перезаписи данных в памяти системы;

- атака на функции форматирования строк (Format String Attack) - при использовании этих атак путь исполнения программы модифицируется методом перезаписи областей памяти с помощью функций форматирования символьных переменных;

- внедрение операторов LDAP (LDAP Injection) - атаки этого типа направлены на Web-серверы, создающие запросы к службе LDAP на основе данных, вводимых пользователем;

- выполнение команд ОС (OS Commanding) - атаки этого класса направлены на выполнение команд операционной системы на Web-сервере путем манипуляции входными данными;

- внедрение операторов SQL (SQL Injection) - эти атаки направлены на Web-серверы, создающие SQL запросы к серверам СУБД на основе данных, вводимых пользователем;

- внедрение серверных сценариев (SSI Injection) - атаки данного класса позволяют злоумышленнику передать исполняемый код, который в дальнейшем будет выполнен на Web-сервере;

- внедрение операторов XPath (XPath Injection) - эти атаки направлены на Web-серверы, создающие запросы на языке XPath на основе данных, вводимых пользователем.

5. Разглашение информации (Information Disclosure) - атаки данного класса направлены на получение дополнительной информации о Web- приложении. Используя эти уязвимости, злоумышленник может определить используемые дистрибутивы ПО, номера версий клиента и сервера и установленные обновления. В других случаях, в утекающей информации может содержаться расположение временных файлов или резервных копий. Во многих случаях эти данные не требуются для работы пользователя. Большинство серверов предоставляют доступ к чрезмерному объему данных, однако необходимо минимизировать объем служебной информации. Чем большими знаниями о приложении будет располагать злоумышленник, тем легче ему будет скомпрометировать систему. В классе описаны:

- индексирование директорий (Directory Indexing) - атаки данного класса позволяют атакующему получить информацию о наличии файлов в Web каталоге, которые недоступны при обычной навигации по Web сайту;

- идентификация приложений (Web Server/Application Fingerprinting) - определение версий приложений используется злоумышленником для получения информации об используемых сервером и клиентом операционных системах, Web-северах и браузерах;

- утечка информации (Information Leakage) - эти уязвимости возникают в ситуациях, когда сервер публикует важную информацию, например

комментарии разработчиков или сообщения об ошибках, которая может быть использована для компрометации системы;

- обратный путь в директориях (Path Traversal) - данная техника атак направлена на получение доступа к файлам, директориям и командам, находящимся вне основной директории Web-сервера;

- предсказуемое расположение ресурсов (Predictable Resource Location)

– позволяет злоумышленнику получить доступ к скрытым данным или функциональным возможностям.

6. Логические атаки (Logical Attacks) - атаки данного класса направлены на эксплуатацию функций приложения или логики его функционирования. Логика приложения представляет собой ожидаемый процесс функционирования программы при выполнении определенных действий. В качестве примеров можно привести восстановление пролей, регистрацию учетных записей, аукционные торги, транзакции в системах электронной коммерции. Приложение может требовать от пользователя корректного выполнения нескольких последовательных действий для выполнения определенной задачи. Злоумышленник может обойти или использовать эти механизмы в своих целях. Атаки данного класса:

- злоупотребление функциональными возможностями (Abuse of Functionality) - данные атаки направлены на использование функций Web- приложения с целью обхода механизмов разграничение доступа;

- отказ в обслуживании (Denial of Service) - данный класс атак направлен на нарушение доступности Web-сервера;

- недостаточное противодействие автоматизации (Insufficient Anti- automation) - эти уязвимости возникают, в случае, если сервер позволяет автоматически выполнять операции, которые должны проводиться вручную;

- недостаточная проверка процесса (Insufficient Process Validation) - уязвимости этого класса возникают, когда сервер недостаточно проверяет последовательность выполнения операций приложения.

Для лучшего понимания природы уязвимостей Web-приложений члены Web Application Security Consortium создали проект Web Application Security Statistics Project.

В статистику вошли два набора данных: результаты автоматического тестирования и результаты работ по оценки защищенности с использованием методов черного и белого ящика (BlackBox и WhiteBox).

Данные автоматического сканирования содержат информацию по сканированию без предварительной настройки (со стандартным профилем) сайтов хостинг-провайдера. При анализе этой информации следует учитывать, что далеко не все сайты используют интерактивные элементы. Кроме того, дополнительная экспертная настройка сканера под конкретное приложение позволяет существенно повысить эффективность обнаружения уязвимостей.

Статистика по оценке защищенности методом BlackBox и WhiteBox содержит результаты работ по ручному и автоматизированному анализу Web-приложений. Как правило, такие работы включают сканирование с предварительными настройками и ручным анализом результатов, ручной поиск уязвимостей недоступных автоматическим сканерам и анализ исходных кодов.

Анализ информации, приведенной на сайте WASC [14], показывает, что более 13% всех проанализированных сайтов может быть скомпрометирована полностью автоматически. Около 72.27% приложений содержат уязвимости высокой степени риска, обнаруженные при автоматическом сканировании систем (рисунок 1.1). Однако при детальной ручной и автоматизированной оценке методами черного и белого ящика вероятность обнаружения уязвимости высокой степени риска достигает 98.84%. безопасность web приложение защита

В значительной степени это связанно с тем, что при детальном анализе оценка риска более адекватна и учитывает не только тип уязвимости, но и реальные последствия её эксплуатации с учетом архитектуры и реализации приложения. Кроме того, важным фактором является тот факт, что в автоматическом сканировании участвовали сайты хостинг-провайдера, в некоторых случаях не содержащие активного контента, в то время как работы по оценке защищенности, как правило, проводятся для приложений содержащих сложную бизнес-логику. Т.е. результаты автоматизированных сканирований можно интерпретировать как данные для среднего Интернет- сайта, в то время как «BlackBox» и «WhiteBox» больше относятся к интерактивным корпоративным Web-приложениям.

Рис. 1.1. Вероятность обнаружения уязвимостей различной степени риска

Наиболее распространенными уязвимостями являются Cross-Site Scripting, Information Leakage, SQL Injection и Predictable Resource Location (рисунки 1.2 и 1.3). Как правило, уязвимости типа Cross-Site Scripting и SQL Injection возникают по причине ошибок в разработке систем, в то время как Information Leakage и Predictable Resource Location зачастую связаны с недостаточно эффективным администрированием (например, разграничением доступа) в системах.

При детальном анализе систем методами BlackBox и WhiteBox ощутимый процент сайтов оказались уязвимы также для Content Spoofing, Insufficient Authorization и Insufficient Authentication (рисунки 1.4 и 1.5).

Причем вероятность обнаружения уязвимостей типа SQL Injection при таком подходе к анализу защищенности достигает 19%.



Рис. 1. 2. Наиболее распространенные уязвимости

Рис. 1.3. Процент уязвимостей от общего числа

Рис. 1.4. Наиболее распространенные уязвимости

Рис. 1.5. Процент уязвимостей от общего числа

Если рассматривать вероятность обнаружения уязвимости с точки зрения классов Web Application Consortium Threat Classification version 1 (рисунок 1.6), то наиболее распространенны классы Client-side Attacks, Information Disclosure и Command Execution. Детальный анализ кроме того подтверждает распространенность классов Authentication и Authorization (рисунок 1.7).

Рис. 1.6. Распределение вероятности обнаружения уязвимости по классам WASC TCv1

Рис. 1.7. Распределение вероятности обнаружения уязвимости по классам WASC TCv1 (BlackBox & WhiteBox)

Как уже говорилось ранее (см. рисунок 1.1), вероятность обнаружения уязвимости высокой степени риска при детальном анализе в 12,5 раз выше, чем при полностью автоматическом сканировании.

Если рассматривать такой показатель, как количество обнаруженных уязвимостей на один сайт (см. рисунок 1.8), то детальный анализ позволяет в среднем идентифицировать до 9 уязвимостей высокой степени риска на одно приложение, в то время как автоматизированное сканирование - только 2,3.

Рис. 1.8. Количество уязвимостей на сайт

Проведенное консорциумом Web Application Security Consortium исследование выявило необходимость использования автоматизированных систем, повышающих безопасность web-сайта. Одним из лучших решений

является закладка нужной функциональности на стадии проектирования сайта, что позволяет существенно повысить эффективность обнаружения его уязвимостей.

1.3 Защита сайтов и Web-проектов

Любой сайт или Web-проект является традиционным Web- приложением, работающим в рамках операционной системы и серверного программного обеспечения, использующим сервисные функции операционной системы и других программных продуктов.

Для управления Web-проектом используются компьютеры администраторов и привилегированных пользователей со своими операционными системами, программным обеспечением и уязвимостями. Основной вклад в комплексную безопасность Web-проекта вносят такие составляющие обеспечения информационной безопасности, как защищенность информационной среды Web-сервера и средства защиты компьютеров, управляющих сайтом.

1. Безопасность информационной среды Web-сервера.

Обеспечение безопасности информационной среды Web-сервера - задача сложная и ответственная. Для обеспечения более высокого уровня безопасности интернет-проектов необходимо комплексно решать данную задачу:

- поручить задачу обеспечения безопасности информационной среды Web-сервера хостинг-провайдеру или дата-центру;

- установить антивирусную защиту на сайт, защиту от внешнего доступа и SQL-вливаний;

- регулярно использовать специальные средства для мониторинга защищенности информационной среды Web-сервера;

- периодически проводить независимый комплексный аудит безопасности информационной среды Web-сервера.

2. Безопасность CMS-системы управления Web-проектом.

В самом защищенном на отечественном рынке продукте подобного класса [15] - «1С-Битрикс. Управление сайтом» (компания Битрикс) - используется следующая архитектура безопасного Web-приложения:

- единая система авторизации;

- единый бюджет пользователя для всех модулей;

- многоуровневое разграничение прав доступа;

- независимость системы контроля доступа от бизнес-логики страниц;

- возможность шифрации информации при передаче;

- система обновлений;

- журналирование;

- политика работы с переменными и внешними данными;

- методика двойного контроля критически опасных участков кода.

3. Безопасность информационной среды администраторов Web- проекта - не менее сложная и ответственная задача, чем безопасность самого Web-сервера и защищенность CMS-системы управления сайтом. Как правило, управление и администрирование сайтом производится с компьютеров, входящих в состав корпоративной информационной системы компании, выполняющей эти работы. Поэтому защищенность этих компьютеров зависит от защиты корпоративной информационной системы в целом.

4. Безопасность сторонних Web-приложений. Под сторонним Web- приложением подразумевается, например, поставленный дополнительный Web-форум или какой-либо другой дополнительный блок сайта от другого производителя. Эта оторванная составляющая не объединена с CMS- системой управления сайтом единой архитектурой, что становится некоторой дополнительной проблемой при эксплуатации Web-проекта.

Обеспечение информационной безопасности веб-систем - процесс сложный и кропотливый, в котором участвуют разные поставщики услуг и программных продуктов. С большой уверенностью можно утверждать, что нельзя создать безопасную систему и прекратить работу по обеспечению информационной безопасности. Создавая систему, необходимо непрерывно следить за безопасностью информационной среды и за безопасностью веб- приложений.

Использование продукта «1С-Битрикс: Управление сайтом», получившего сертификат «Безопасное веб-приложение» от компании Positive Technologies, проводившей аудит информационной безопасности системы, позволяет с уверенностью утверждать, что современные корпоративные сайты могут быть надежно защищены [16].

При проектировании программного продукта «1С-Битрикс: Управление сайтом» вопросам безопасности продукта уделялось особое значение на всех этапах разработки и тестирования. Например, аудита информационной безопасности выполняла наиболее известная в области веб- безопасности российская компания, разработчик программного продукта XSpider, которая владеет самым популярным ресурсом по безопасности на русском языке www.securitylab.ru. По результатам проверки компанией Positive Technologies программному продукту «1С-Битрикс: Управление сайтом» присвоен статус «Безопасного веб-приложения» и выдан сертификат соответствия.

Система CMS «1С-Битрикс: Управление сайтом» ориентирована на корпоративные сайты, информационные и справочные порталы, социальные сети, интернет-магазины, сайты СМИ, пригодна для создания других видов веб-ресурсов [17]. Для хранения данных сайта используется реляционная система управления базами данных (СУБД). Поддерживаются следующие СУБД: MySQL, Oracle, MS SQL. Продукт работает с поддержкой операционных систем Microsoft Windows и UNIX-подобных платформах, включая Linux.

«1С-Битрикс: Управление сайтом» продаётся в одной из восьми составленных фирмой-разработчиком редакций (Первый сайт, Старт, Стандарт, Эксперт, Малый бизнес, Бизнес, Веб-кластер, Бизнес веб-кластер), определяющих набор модулей и функциональность системы.

На сегодняшний день в CMS включены следующие модули:

- Главный модуль - обеспечивает общее функционирование системы, взаимодействие всех модулей продукта и позволяет создавать, поддерживать и управлять неограниченным числом сайтов;

- Управление структурой - модуль, предназначенный для управления информационным наполнением сайта, разделами, меню и правами доступа. Редактирование страниц выполняется с помощью встроенного визуального html-редактора.

Управление структурой возможно двумя способами:

· через Публичный раздел с помощью кнопки Структура;

· через Административный раздел с помощью Менеджера файлов.

- Информационные блоки - модуль, предназначенный для управления различными блоками однородной информации. На базе информационных блоков можно реализовать каталоги товаров, блоки новостей, справочники и т.д.;

- Поисковая оптимизация - анализирует техническое исполнение сайта, отображает параметры, влияющие на оптимизацию, и дает рекомендации по улучшению этих параметров. Работа модуля позволяет облегчить ежедневную работу по продвижению сайта в рейтингах поисковых машин. SEO-модуль работает с техническим исполнением сайта; выполняет информативную функцию, рассказывая пользователю, какие изменения необходимо внести на каждую страницу сайта, и показывает информацию о всем сайте.

- Поиск - осуществляет индексирование и поиск информации на сайте. Работает мгновенный поиск по заголовкам - новостей, блогов, групп, разделов и т.д. Поиск стал социальным - на поиск влияет мнение сообщества.

– учитывается нажатие кнопки «Мне нравится», что делает результаты поиска информативнее и релевантнее. Существенно облегчен и упрощен поиск нужных документов, ценных с точки зрения сообщества тематических обсуждений, статей, товаров и прочего материала на сайте;

- компрессия - компрессия передаваемых HTML-данных для увеличения скорости работы сайта;

- Веб-формы - управление формами комментариев, заявок, заявлений, анкет;

- Форум - создание форумов, модерирование, права доступа к форумам;

- Социальная сеть - создание сообществ на сайте;

- Проактивная защита - организация целого комплекса мероприятий по защите сайта от хакерских атак и вторжений;

- Подписка, рассылки - организация списков рассылки, управление базой подписчиков;

- Опросы, голосования - проведение опросов и голосований;

- Блоги - создание сообществ, сетевых дневников;

- Фотогалерея 2.0 - создание и управление фотоальбомами: массовая загрузка изображений, голосование, комментарии;

- Веб-аналитика - модуль сбора и отображения статистики сайта;

- Реклама, баннеры - управление баннерами на сайте, контракты с рекламодателями;

- Техподдержка - организация службы техподдержки пользователей;

- Почта - получение и обработка почты, фильтрация писем, антиспам;

- Обучение - создание обучающих курсов, проведение тестирования, подсчет результатов;

- Перевод - веб-интерфейс для перевода языковых сообщений административного раздела;

- Валюты - управление валютами цены и курсами валют;

- Веб-сервисы - модуль служит для облегчения создания новых веб- сервисов и интеграции с существующими;

- Торговый каталог - загрузка и обновление данных из 1С и Excel, управление дилерскими сетями;

- Интернет-магазин - управление электронными каналами продаж товаров и услуг;

- Документооборот - управление коллективной работой над сайтом, журнал истории изменений;

- AD/LDAP интеграция - настройка соответствия между группами пользователей корпоративной сети и сайта;

- Монитор производительности - отслеживание и устранение возникающих проблем с производительностью веб-проекта.

Для корректной работы с системой управления пользователям без знания языков HTML и PHP требуется предварительная настройка системы (создание шаблона на базе графического дизайна, создание структуры разделов и страниц, а также подключение модулей системы). Данную возможность обычно предоставляют партнёры компании «1С-Битрикс».

Идеология системы представляет собой разделение логики на модули и компоненты:

- модули в «1С-Битрикс: Управление сайтом» - это набор программных компонентов, отвечающих за работу с различными типами баз данных, а также предоставляющих унифицированный интерфейс программирования приложений (API) системы;

- компоненты служат для связи конечного представления информации на сайте с программным ядром системы. Они используют API, созданный модулями, для организации выборки, модификации, управления информацией в базе данных.

Первая версия системы выпущена в 2001 году. На настоящий момент доступна версия 12.5 в различных редакциях. По состоянию на I полугодие 2012 года «1C-Битрикс: Управление сайтом» занимает первое место в

рейтинге платных тиражных CMS [18] России по версии itrack.ru с долей в 54,73 % (рисунок 1.9). Этот рейтинг составляется по информации о реальных установках на сайтах - данные для анализа собирает программа-»паук», которая регулярно обходит все сайты в зоне .ru.

Рис. 1.9. Рейтинг платных тиражных CMS

Одной из самых привлекательных особенностей «1С-Битрикс: Управление сайтом» для разработчика является механизм информационных блоков (инфоблоков). Он позволяет легко создавать пользовательские типы содержания (например, для различных каталогов). При этом способы работы с инфоблоками Битрикс по возможности приближена к способам работы со справочниками платформы 1С:Предприятие.

Другой особенностью современных версий Битрикса является мощный визуальный HTML-редактор, позволяющий размещать на странице как обычную HTML информацию, PHP код, так и различные динамические компоненты, работу которых обеспечивает CMS. Однако этот редактор имеет и ряд ограничений [19].

Среди недостатков системы обычно называют:

- по сравнению с бесплатными аналогами (такими как Joomla или Drupal) Битрикс достаточно медленная и требовательная к ресурсам система, может генерировать чересчур сложные SQL запросы;

- нестабильность системы, в частности возможны проблемы после обновления версии CMS;

- не смотря на статус «надёжной системы», в ней были обнаружены (и позднее исправлены) ряд потенциальных уязвимостей;

- простые операции очень сильно перегружены кодом, что очень затрудняет не только скорость работы сайта на «1С-Битрикс», но и редактирование кода под свои нужды.

«1С-Битрикс» выгодно отличается в плане безопасности: кроме системы автоматического обновления, позволяющей получать исправления ошибок и уязвимостей, а также бесплатный новый функционал, CMS предлагает уникальный модуль веб-безопасности, эффективность которого была доказана практически - ее не смогли взломать в течение двух дней конкурса более 600 хакеров [20].

Таким образом, можно сделать вывод, что рынок CMS в России с появлением «1С-Битрикс» стал однополярным. Конкуренты «1С-Битрикс» могут противопоставить этому программному продукту только стоимость, по функционалу же в настоящее время аналогов «1С-Битрикс» нет. Естественным является обеспечение безопасности такого web-ресурса, как сайт ООО «Альпака-М» , с помощью разработки его на универсальной системе, позволяющей создавать как простые сайты, так и крупные корпоративные сайты.

Глава 2. Анализ деятельности ООО «Альпака-М»

2.1 Общая характеристика ООО «Альпака-М»

Основными целями создания и деятельности ООО «АЛЬПАКА-М», является дальнейшее насыщение потребительского рынка товарами, работами и услугами, расширение конкуренции, внедрение достижений научно-технического прогресса и извлечение прибыли.

ООО «АЛЬПАКА-М» осуществляет любые виды деятельности, незапрещенные Федеральными законами, в том числе:

- осуществление торговой и торгово-закупочной деятельности установленном законом порядке, включая комиссионную торговлю, создание эксплуатацию иных объектов торговли и общественного питания, осуществление коммерческо-посреднических операций, оказание дилерских брокерских и иных представительских услуг на товарных рынках, операции с недвижимостью;

- производство, закупка у населения за наличный расчёт, переработка и реализация сельскохозяйственной продукции земледелия и животноводства, включая создание и эксплуатацию перерабатывающих пищевых производств и специализированных хозяйств;

- производство строительно-монтажных и ремонтных работ на объектах недвижимости жилого, гражданского, промышленного, сельскохозяйственного и социально-культурного назначения;

- выпуск и реализация потребительских товаров индивидуального и массового спроса промышленного и продовольственного ассортимента и продукции производственно-технического назначения;

- ремонт, сервисное и техническое обслуживание автомототранспорта, машин и механизмов, включая приобретение, изготовление и реставрацию номерных агрегатов и запасных частей;

- оказание транспортно - экспедиционных услуг широкого профиля, включая организацию грузопассажирских перевозок различными видами средств доставки в установленном законом порядке;

- оказание услуг спортивно-оздоровительного характера, включая создание восстановительных центров, спортивно-физкультурных секций, кабинетов мануальной терапии и иных средств физической и психологической реабилитации;

- оказание оздоровительно-гигиенических услуг населению, включая создание и эксплуатацию парикмахерских хозяйств, салонов, массажно-косметических кабинетов и, иных аналогичных структур лечебно-восстановительного характере;

- осуществление туристско-экскурсионной деятельности отечественного и международного масштаба, включая спортивный, студенческий, молодежный, коммерческий и автомобильный туризм, а также создание и эксплуатация туристских центров, объектов гостиничного типа платных авто- и мотостоянок с сервисным автотехобслуживанием, оказание услуг транспортного, представительского и иного культурно- бытового и служебного характера;

- осуществление культурно-развлекательной деятельности, включая создание шоу- и иных представлений, концертных и зрелищных мероприятий, театральная деятельность, а также кино, -видеопрокат в установленном законом порядке;

- приобретение, тиражирование, прокат и реализация кино, -видео, аудиопродукции в соответствии с законом и нормами международного права;

- осуществление информационно - справочной и консультационной деятельности в сфере экономики, хозяйственного и гражданского права и в иных отраслях знаний;

- выполнение услуг хозяйственного, бытового, производственно- технического характера широкого профиля, включая ремонт бытовой техники, проведение ритуально-праздничных и иных хозяйственно-бытовых мероприятий;

- организация и осуществление финансирования производственных операций, хозяйственных проектов и другой инвестиционной деятельности в соответствии с действующим законодательством, включая инвестирование средств в развитие экономического потенциала города, края, страны;

- рекламно-издательская деятельность в установленном законом порядке. Виды деятельности, требующие в соответствии с Федеральным законом специального разрешения (лицензии), осуществляются ООО «АЛЬПАКА-М» только после его получения в установленном порядке.

Высшим органом управления ООО «АЛЬПАКА-М» является общее Собрание Участников, состоящее из всех участников - физических лиц или их полномочных представителей либо руководителей юридических лиц - участников ООО «Альпака-М» или их представителей.

К исключительной компетенции общего собрания участников относится:

- определение основных направлений деятельности ООО «АЛЬПАКА-М»;

- изменение Устава Общества, в том числе изменение его Уставного капитала и внесение изменений в Учредительный договор;

- образование исполнительного органа ООО «АЛЬПАКА-М» и досрочное прекращение его полномочий;

- утверждение годовых отчетов и годовых бухгалтерских балансов ООО «АЛЬПАКА-М»;

- принятие решения о распределении чистой прибыли ООО «АЛЬПАКА-М» между его участниками и утверждение внутренних документов ООО «АЛЬПАКА-М» а также решения о размещении ООО «АЛЬПАКА-М» облигаций и иных эмиссионных ценных бумаг и назначение аудиторской проверки, утверждение аудитора и определение размера оплаты его услуг;

- принятие решения о реорганизации или ликвидации ООО «АЛЬПАКА-М» и назначение ликвидационной комиссии и утверждение ликвидационных балансов;

- принятие решения об участии Общества в ассоциациях и других объединениях коммерческих организаций;

- создание филиалов и открытие представительств Общества, утверждение Положений о них;

- участие Общества в других хозяйственных обществах и товариществах;

- предоставление всем либо отдельным участникам ООО «АЛЬПАКА-М» дополнительных прав;

- прекращение или ограничение дополнительных прав, предоставленных всем Участникам Общества;

- прекращение или ограничение дополнительных прав, предоставленных отдельным участникам ООО «АЛЬПАКА-М»;

- решение иных вопросов, предусмотренных Уставом и Федеральным законом «Об обществах с ограниченной ответственностью».

Директор осуществляет:

- прием и увольнение наемных работников ООО «АЛЬПАКА-М» и другие полномочия руководителя в соответствии с законодательством о труде;

- повседневное руководство производственно-хозяйственной деятельностью ООО «АЛЬПАКА-М», созыв и обеспечение выполнения решений общего собрания участников;

- утверждение должностных инструкций, протоколов, ведомостей и других актов административно - хозяйственной и финансовой деятельности;

- наложение (и снятие) дисциплинарных взысканий на всех работников ООО «АЛЬПАКА-М», независимо от их принадлежности к категории участников;

- выступление от имени ООО «АЛЬПАКА-М» в гражданском обороте, представление его интересов во всех организациях и учреждениях, включая открытие счетов в учреждениях банка и иные вопросы, отнесенные к компетенции руководителя и исполнительного органа ООО «АЛЬПАКА-М» в соответствии с действующим законодательством и Уставом.

2.2 Состояние защиты информации в ООО «Альпака-М»

Скачок в развитии средств вычислительной техники привел к созданию большого количества разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых информационных технологий. Одновременно возникла и проблема обеспечения безопасности хранящейся и обрабатываемой в таких системах информации, неправомерное искажение или фальсификация, уничтожение или разглашение определенной части которой может нанести серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия. Несмотря на достаточно длительный период, в который происходило становление организационной структуры системы защиты информации в Российской Федерации и ее субъектах, формировались основы нормативной правовой базы и накапливался опыт ее функционирования в новых политических и экономических условиях, и по сегодняшний день возникает целый ряд проблем в области защиты информации, требующих неотложного решения. Среди основных проблем, характеризующих современное состояние системы обеспечения защиты информации в ООО «Альпака-М», можно выделить следующие:

- отсутствие единой системы защиты информации, обеспечивающей проведение государственной политики в области защиты информации в соответствии с нормативными правовыми актами Российской Федерации;

- нехватка и низкий уровень подготовки специалистов в области защиты информации;

- отсутствует специализированное подразделение по защите информации ООО «Альпака-М»;

- существующая в ООО «Альпака-М» рабочая группа слабо оснащена средствами и аппаратурой контроля эффективности защиты информации;

- нормативными правовыми и методическими документами в области защиты информации, а также сертифицированными средствами защиты информации;

- недостаточное использование возможностей современных информационных технологий для обеспечения потребителей необходимыми документами, носящими открытый и обязательный характер;

- возрастание зависимости результатов деятельности муниципальных органов и организаций от достоверности используемой ими информации, своевременности ее получения, эффективности принятых мер по ее защите;

- придание информации статуса объекта собственности, формирование информационных ресурсов ООО «Альпака-М», информационных ресурсов организаций и граждан и, как следствие, обеспечение необходимой защиты этих ресурсов от противоправных действий;

- использование в организациях региональных, межрегиональных и глобальных информационных систем, накапливающих и передающих большие объемы информации, потенциально уязвимых для несанкционированного доступа к информации, возрастание опасности несанкционированных и непреднамеренных воздействий на информацию в этих системах и, как следствие, непредсказуемые экономические и социальные последствия от возникновения критических ситуаций, в том числе и техногенных;

- увеличение количества возможных источников информационных угроз;

- рост числа преступлений в сфере информационных технологий;

- использование в организациях технических и программных средств, обеспечивающих сбор, хранение, обработку и передачу информации, не только не прошедших сертификацию в соответствии с требованиями безопасности информации, но и нелегальных (контрафактных);

- неспособность отдельных организаций самостоятельно обеспечить эффективную защиту информации.

Перечисленные факторы ставят в число приоритетных задачу развития системы защиты информации в ООО «Альпака-М», а устранение указанных проблем в области защиты информации является общей задачей реализации государственной политики в сфере построения не только муниципальной, но и региональной системы защиты информации.

Главной целью развития системы защиты информации в ООО «Альпака-М» является формирование комплекса эффективно функционирующих систем защиты информации, соответствующего задачам обеспечения, как национальной безопасности Российской Федерации, так и устойчивого развития ООО «Альпака-М» с применением современных информационных технологий.

...