Система безопасности информационных ресурсов и Web-порталов

Размещено на http://www.allbest.ru/

Система безопасности информационных ресурсов и web-порталов

Асанов А.А., Баймаханова А.Э., Самекеев А.А., ТарГУ имени М.Х. Дулати, Тараз, Русинов Л.А., СПбГТИ (ТУ), Санкт-Петербург, Россия

Сегодня в Казахстане, как и во всём мире, наблюдается тенденция роста практического использования коммерческими и государственными организациями публичных Web-порталов, имеющих доступ в Интернет. Такого рода порталы могут применяться для организации решения разнообразных задач, в том числе и для организации дистанционного образования (ДО). Кроме того, на сегодняшний день на рынке информационных технологий представлено множество готовых решений, на основе которых возможно построение полнофункциональных Web-порталов. В основе своей архитектура Web-порталов, как правило, состоит из следующих основных компонентов:

- Web-серверы, которые обеспечивают доступ всем пользователям сети Интернет к информационным ресурсам портала;

- серверы приложений, на которых установлено специализированное программное обеспечение, предназначенное для управления информационным содержимым Web-портала;

- серверы баз данных, которые обеспечивают централизованное хранение информационных ресурсов Web-портала;

- коммуникационное оборудование, обеспечивающее взаимодействие между различными серверами Web-портала.

Исходя из такого простого факта, что ресурсы Web-порталов ДО относятся к категории публичных и соответственно доступны любому пользователю сети Интернет, то соответственно они становятся потенциальной мишенью для атак нарушителей. Необходимо отметить, что за последние несколько лет наблюдается значительный рост информационных атак на общедоступные ресурсы, к которым относятся и Web-порталы предназначенные для получения дистанционного образования. Основными направлениями атак являются нарушение конфиденциальности, целостности или доступности информационных ресурсов, хранящихся на серверах Web-портала.

Наиболее целесообразным является применение комплексного подхода для защиты Web-портала, который сочетает в себе организационные и технические средства защиты. К организационным средствам защиты относится разработка и внедрение нормативно-правовых документов. Например, политика и концепция обеспечения информационной безопасности Web-портала, должностные инструкции по работе персонала с автоматизированной системой портала и т.п. К техническим средствам защиты относится реализация соответствующих программных, программно-аппаратных защитных средств, которые должны будут обеспечивать выполнение целей и задач, определённых в соответствующих нормативно-правовых документах.

Все технические средства защиты Web-портала должны объединяться в интегрированный комплекс, который включает в себя следующие составляющие виды подсистем: антивирусная защита, контроль целостности, разграничение доступа, обнаружение вторжений, анализ защищённости, криптографическая защита информации, управления.

Далее приведем описание и основные направления работы указанных подсистем.

Одним из основных элементов комплекса безопасности Web-портала является подсистема разграничения доступа, которая предназначена для защиты информационных ресурсов портала от несанкционированного доступа. При этом Web-портал будет подразделяется на следующие основные сегменты:

- сегмент служебных серверов, доступ к ресурсам которых могут получить только администраторы или служебные сервисы Web-портала;

- сегмент управления, в котором размещаются средства, необходимые для управления комплексом безопасности Web-портала;

- коммуникационный сегмент, включающий в себя маршрутизаторы и коммутаторы, обеспечивающие взаимодействие между другими сегментами портала.

Такое разделение позволяет в достаточной степени изолировать различные ресурсы Web-портала друг от друга. При этом, в случае проникновения на сервер одного из сегментов портала нарушитель не сможет получит доступ к информационным ресурсам, расположенным в других сегментах. Разграничение доступа реализуется подсистемой на трёх уровнях стека TCP/IP - канальном, сетевом и прикладном.

На канальном уровне разграничение доступа осуществляется на основе виртуальных локальных сетей VLAN (Virtual Local Area Network), на которые разделяется Web-портал. Например, если для работы Web-портала два Web-сервера не должны обмениваться между собой информацией, то они разделяются на разные виртуальные сети, между которыми запрещается взаимодействие. И если нарушитель «взломает» один из серверов Web-портала ему не удастся получить доступ к тем ресурсам, которые хранятся на других серверах, включённых в другие виртуальные сети.

На сетевом уровне разграничение доступа проводится при помощи внешних и внутренних межсетевых экранов. Такой подход реализует возможность фильтрации пакетов данных в соответствии с заданными критериями. Например, можно выбрать критерием фильтрации IP-адреса получателя и IP отправителя, номера TCP- и UDP-портов отправителя и получателя, ограничение максимального количества входящих TCP-соединений, которые могут быть установлены с одного IP-адреса.

Организация доступа на прикладном уровне должно реализоваться средствами прикладного программного обеспечения, установленного на серверах Web-портала. Программное обеспечение должно обеспечивать идентификацию и аутентификацию администратора и некоторых пользователей портала и назначать им соответствующие права доступа к файловым ресурсам. Аутентификация может обеспечиваться на основе паролей или цифровых сертификатов.

Подсистема антивирусной защиты, исходя из самого названия, должна обеспечивать выявление и удаление информационных вирусов, которые могут присутствовать в ресурсах Web-портала. Поэтому создатели и разработчики Web-портала должны уделить должное внимание выбору соответствующего антивирусной защиты, которая могла бы эффективно выявлять новые типы вирусов и регулярно обновлять базу данных сигнатур подсистемы.

Подсистема контроля целостности обеспечивает выявление несанкционированного искажения содержимого Web-портала. Как правило, элементы подсистемы устанавливаются на серверах портала для того, чтобы с заданной периодичностью проверять целостность файловых ресурсов портала. При этом желательно, чтобы обеспечивался контроль целостности файлов не только прикладного, но и общесистемного программного обеспечения. В тоже время эта подсистема не является средством защиты как таковым. Она лишь позволяет выявить последствия информационного вторжения. Однако ее наличие жизненно необходимо, так как если все имеющиеся средства защиты пропустили информационную атаку, то подсистема контроля целостности позволит выявить её присутствие и последствия.

Подсистема обнаружения вторжений предназначена для выявления сетевых атак на информационные ресурсы портала. Она может включать в себя следующие компоненты:

- модули-датчики, предназначенные для сбора информации о пакетах данных, циркулирующих в Web-портале;

- модуль выявления атак, выполняющий обработку данных, собранных датчиками, с целью обнаружения информационных атак нарушителя;

- модуль реагирования на обнаруженные атаки;

- модуль хранения данных, в котором хранится вся конфигурационная информация, а также результаты работы подсистемы обнаружения вторжений. Таким модулем, как правило, является стандартная СУБД, например MS SQL Server, MySQL или Oracle;

- модуль управления компонентами средств обнаружения атак.

В состав подсистемы обнаружения вторжений должны входить два типа датчиков - хостовые и сетевые. Хостовые датчики представляют собой программные модули, устанавливаемые на серверы портала и проводящие анализ пакетов данных, которые поступают на эти серверы. А в случае выявление потенциально опасных пакетов данных блокировать сетевые атаки посредством фильтрации. Сетевые датчики предназначены для пассивного сбора и анализа информации обо всех пакетах данных, которые передаются в сегменте и представляют собой отдельный программный блок.

Следующая подсистема, подсистема анализа защищённости, предназначена для выявления уязвимостей в программно-аппаратном обеспечении Web-портала. Такими уязвимостями могут являться: использование неустойчивых к угадыванию паролей, неправильная конфигурация сетевых служб портала, наличие программного обеспечения без установленных модулей обновления и др. По результатам работы подсистемы анализа защищённости формируется отчёт, содержащий информацию о выявленных уязвимостях и рекомендации по их устранению. При помощи этой подсистемы возможно своевременное устранение выявленных уязвимостей, что позволяет предотвратить возможные информационные атаки. Сканирование Web-портала должно осуществляться по регламенту с заданной периодичностью.

Подсистема криптографической защиты предназначена для обеспечения защищённого удалённого взаимодействия с Web-порталом. Данная система позволяет обеспечить конфиденциальность, то есть отсутствие возможности прочтения информации посторонними. Кроме того, обеспечивает аутентичность информации, то есть целостность и подлинности авторства. Подсистема может базироваться на технологии виртуальных частных сетей VPN (Virtual Private Network), которая позволяет создавать защищённые сетевые соединения, в рамках которых проводится аутентификация пользователей. Кроме того, обеспечивается конфиденциальность и контроль целостности передаваемых данных. Установка, управление и закрытие таких соединений осуществляется при помощи специализированных крипто протоколов, таких как SSL (Secure Sockets Layer), Secure HTTP, PPTP (Point-to-Point Tunneling Protocol) и др. Например, в случае, если для организации VPN-сети используется протокол SSL, то на стороне пользователей Web-портала можно не устанавливать дополнительного программного обеспечения и использовать стандартные Интернет-браузеры, в которые интегрированы функции SSL-клиента. Помимо этого, подсистема может быть реализована в открытом Интернете. В этом случае она реализуется с использованием электронной цифровой подписи (ЭЦП). При этом открытый ключ передаётся по открытому, то есть незащищённому или доступному для наблюдения каналу. Ключ используется для проверки ЭЦП и для шифрования сообщения. А для генерации ЭЦП и для декодирования сообщения предполагается использование секретного ключа.

И как логически исходящая из описаний других подсистем создателями Web-портала должна быть реализована подсистема управления средствами защиты. Обычно она размещается в одноимённом сегменте Web-портала. Подсистема включает в себя:

- автоматизированное рабочее место администратора безопасности, откуда осуществляется управление,

- служебные серверы, необходимые для функционирования соответствующих средств защиты.

Подсистема может дополнительно также включать в себя модуль корреляции событий, зарегистрированных различными подсистемами защиты портала. Наличие такого модуля позволяет автоматизировать обработку большого объёма информации, регистрируемой в Web-портале, и в соответствии с заданным набором правил выделить наиболее критические события, которые требуют немедленного реагирования.

Архитектура защищённого Web-портала, в котором установлены все рассмотренные выше подсистемы защиты, изображена на рис. 1.

Размещено на http://www.allbest.ru/

Рис. 1. Архитектура защищённого Web-портала

Так как весь комплекс средств защиты Web-портала сам может выступать в качестве цели возможной атаки, то все его подсистемы соответственно должны быть оснащены механизмами собственной безопасности. Эти механизмы должны выполнять следующие функции:

- обеспечения взаимной аутентификации компонентов подсистем перед обменом информацией;

- обеспечение конфиденциальности и контроля целостности информации, передаваемой между компонентами подсистем по каналам связи;

- обеспечения контроля целостности собственного программного обеспечения подсистем на основе контрольных сумм;

- аутентификации администратора безопасности при доступе к управлению подсистем и при этом соответственно вестись регистрация всей информации об успешных и неуспешных попытках аутентификации администратора.

И в заключение можно сказать, что нормальное функционирование любого Web-портала, подключённого к сети Интернет, практически невозможно если не уделять должное внимание проблеме обеспечения его информационной безопасности. И комплексный подход к защите ресурсов позволяет наиболее эффективно решить проблему защиты ресурсов портала.

Литература

криптографический защита обмен информация

1. Pierre-Alain Fayolle, Vincent Glaume, “A buffer overflow Study. Attacks and Defenses”, ENSEIRM, 2002.

2. Сердюк В.А. Ахиллесова пята информационных систем //BYTE/Россия. 2004. №4 (68). С. 19-22

3. Стороженко И.В., Губенко Н.Е. Защита web-портала евро-2012 от информационных атак. Донецк, 2008.

4. Лукацкий А. Обнаружение атак./ Лукацкий А. - СПб.: БХВ-Петербург, 2001.

Размещено на Allbest.ru