Информационная безопасность сайта как обеспечить

Обеспечение безопасности Web-сайтов Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Матяш Екатерина Дмитриевна, Никонов Вячеслав Викторович, Иванова Ирина Алексеевна

В статье описаны самые распространенные виды атак и различные уязвимости , с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.В статье описаны самые распространенные виды атак и различные уязвимости , с помощью которых хакерам удается проникнуть и взломать программный продукт. Актуальность данной тематики обусловлена тем, что, не смотря на высокий прогресс в области безопасности систем, все равно многие системы, в том числе и сайты, могут быть подвергнуты взломам злоумышленников.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Обеспечение безопасности Web-сайтов»

контрактной службы, возникающим при оценке заявок, окончательных предложений участников закупки товаров, работ, услуг для обеспечения государственных и муниципальных нужд.

1. Федеральный закон от 5 апреля 2013 г № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальный нужд».

2. Постановление Правительства Российской Федерации от 28.11.2013 № 1085 «Об утверждении Правил оценки заявок, окончательных предложений участников закупки товаров, работ, услуг для обеспечения государственных и муниципальных нужд».

3. Богацкая С.Г. Новый порядок оценки заявок: юристам придется учить высшую математику [Текст] / С.Г. Богацкая // «Ценный совет», Москва, 2014.

4. Серажетдинов Р.Р. Порядок оценки заявок, окончательных предложений участников закупки [Текст] / Р.Р. Серажетдинов // «Госзаказ: управление, размещение, обеспечение», Москва, №37, 2014 — с.41 — 49.

5. Ясенев, В.Н. Информационные системы и технологии. / В.Н. Ясенев. — М.: ЮНИТИ-ДАНА, 2012. — 160 с.

6. Calafiore Giuseppe C. Optimization Models / Calafiore Giuseppe C. — Cambridge Academ, 2014, — p. 117-127.

7. Kendall Kenneth. Systems Analysis and Design / Kendall Kenneth — John Wiley & Sons, 2011, — p. 59-63.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ WEE-САЙТОВ

Матяш Екатерина Дмитриевна

магистр кафедры Автоматизированные системы управления МИРЭА, г. Москва

Никонов Вячеслав Викторович

кандидат технических наук, доцент кафедры Автоматизированные системы управления МИРЭА, г. Москва

Иванова Ирина Алексеевна

кандидат технических наук, доцент кафедры Автоматизированные системы управления МИРЭА, г. Москва

Ключевые слова: уязвимость, защита, защита информации, Dos-атака, сервер, информационная безопасность.

Keywords: Vulnerability, security, information security, Dos-attack server.

Большинство современных информационных систем создаются в виде Web-сайтов, поэтому безопасности необходимо уделить особое внимание.

Как только появляется устройство с операционной системой и программным приложением, оно сразу же привлекает интерес злоумышленников. Они начинают его изучать и взламывать. В последний год этой тенденции было посвящено много докладов на крупных хакерских конференциях.

Разработчики не всегда уделяют особое внимание полной защите и безопасности созданных сайтов, хотя она и играет очень важную роль, потому что каждый сайт так или иначе может быть подвергнут взлому хакеров, если учитывать то, что сайты могут быть, самые что ни на есть, разнообразные: электронные библиотеки, социальные сети, Web-порталы различных учебных заведений, онлайн-магазины, официальные сайты всяких организаций, банков и прочее.

В первую очередь, необходимо обратить внимание на безопасность веб-сервера, так как именно он отвечает за

прием и обработку НТТР-запросов от клиентов к веб-сайту. Именно он обеспечивает функционирование многочисленных веб-сайтов по всему миру, а так же отвечает за базовые услуги и хранит персональные данные, как пользователей, так и посетителей сайта. Необходимость защиты серверов -это одна из самых важных задач любой организации.

Даже во время появления первых Web-сайтов взломщики осуществляли атаки на сайты немаловажных организаций, например, такой как, американский СитиБанк (1994г.), в результате чего было украдено 12 млн. долларов, жертвой так же стали и сайты НАТО, ЦРУ, и Минюста США.

В настоящее время, казалось бы, таких угроз должно стать гораздо меньше или не быть совсем, но, увы, это далеко не так: как и прежде, сейчас производится достаточно большое количество кибератак, причем в основном на такие глобальные организации, как правительственные учреждения и банки. Это обуславливается тем, что на таких кон-тентах можно «заработать» большое количество денег или

же получить/изменить информацию, которая способна каким-то образом повлиять важные для государства события.

Достаточно важным моментом является то, что географическое местоположение сервера, отнюдь, никак не влияет на его защиту. Произвести атаку на него можно с любой точки доступа. Это связано с тем, что Web-серверы в силу своей открытости рассчитаны на передачу информации между пользователями и именно поэтому имеют множество уязви-мостей. К примеру, злоумышленник может внести какие-то изменения (модификации) в код HTTP сервера или сервера базы данных, либо самих страниц веб-сайта, поменяв его изначальную функциональность.

Наиболее распространенные действия правонарушителей кибератак над взломанными сайтами, которые зачастую применяются и по сей день:

• опубликовали ложную информацию на сайте;

• получили несанкционированный доступ к серверу, где были собраны очень стоящие сведения;

• атаковали базу данных о владельцах пластиковых карт банка; украли данные, касающиеся номеров счета основных держателей банковской карты, их имен, фамилий, контактной информации, а затем похитили крупное количество денег;

• создали вирусы, которые легко взламывали пароли, а после использовали зараженные машины для рассылки спама или как базы для хранения украденной информации;

• предприняли атаки на интернет-сайты официальных (правительственных) учреждений различных стран;

• распространили вирусы, которые привели к значительному замедлению скорости работы интернета (были

случаи, что в результате таких вирусов некоторые регионы оказались и вовсе отрезанными от сети);

• Dos-атаки (Denial of Service — «отказ в обслуживании») на сеть с целью переполнения ее дополнительными запросами так, чтобы полезный трафик либо снижался до минимума, либо вовсе прерывался;

• получили доступ к информации, связанной с технологией SecurlD, которая применяется для обеспечения безопасности корпоративных компьютерных сетей (утечка этих сведений может привести к «снижению эффективности» текущей реализации SecurlD, что, в свою очередь, может стать основой для осуществления атак на защищенные ресурсы).

Сейчас существуют различные программы, а так же специальное Web-тестирование, которые могут определить примерный коэффициент безопасности и надежности сайта. Благодаря такому тестированию можно заранее оценить безопасность сайта и его уязвимость.

Предполагается, что каждый третий сайт отслеживается сторонними людьми. Это довольно неприятный и настораживающий факт для Web-разработчиков. Имея всю необходимую информацию об уязвимостях сайта, можно с легкостью его взломать, поэтому главная задача разработчиков в вопросе о надежности и защите сайта состоит в том, чтобы предотвратить как можно больше этих уязвимостей или хотя бы как следует их спрятать.

Лаборатории по предотвращению различных вирусов больше всего стали уделять внимание разработке средств противодействия DDoS атакам (Denial of Service — «отказ в обслуживании»).

Рисунок 1. Принцип осуществления Dos-атаки

Так же существует кибершпионаж, т.е. когда злоумышленники не атакуют информационную систему (или сайт), а просто занимаются кражей всей необходимой информации для своей выгоды.

Более крупные предприятия подходят к информационной безопасности (ИБ) с гораздо большей ответственно-

стью, нежели компании малого и среднего бизнеса (СМБ), отчего эти компании и страдают больше всех. По статистике, именно у них возникает больше инцидентов в контексте информационной безопасности.

Главными жертвами DDoS-атак в основном остаются интернет-магазины и торговые площадки (рисунок 2) [2].

Рисунок 2 — Жертвы DDoS-атак

Интернет-торговля Торговые площадки Игровые сайты Банки

Прочие бизнес-сайты Бпоги и форумы Порносайты СМИ

Государственные ресурсы П рочее

В соответствии с исследованиями, проведенными Лабораторией Касперского [4], около 90% выявленных вредоносных программ — это банковские трояны, которые воруют информацию о банковских картах.

Так же существуют специальные программы, которые блокируют содержимое устройства (в данном контексте -конкретно сайта), пока не будет выплачен «выкуп».

При создании нового сайта разработчики могут воспользоваться либо уже существующими платформами, а точнее CMS (система управления контентом), либо написать все с нуля, но чаще всего малые компании предпочитают пользоваться готовыми инструментами.

Основные функции CMS:

• предоставление инструментов для создания содержимого, организация совместной работы над содержимым;

• управление содержимым: хранение, контроль версий, соблюдение режима доступа, управление потоком документов и т. п.;

• представление информации в виде, удобном для навигации, поиска.

Главный минус CMS-ок — это то, что у них так же есть свои уязвимости, которые обычно можно найти в интернете.

С каждым годом выходят все новые и новые обновления CMS-ок, а вместе с тем появляются новые уязвимости: хотя необходимо так же (отметить) обратить внимание и на то, что какие-то старые уязвимости предотвращаются.

Но, несмотря на все опасения, не следует считать, что защитить веб-сервер совсем невозможно, нужно лишь приложить некие усилия для обеспечения его безопасности. Для этого потребуются совместные действия администраторов веб-сайтов, программистов и проектировщиков, а так же необходимо учитывать, что антивирусное ПО, операционные системы и права доступа постоянно требуют к себе особого внимания.

Самые популярные способы защиты CMS-ок от различных атак:

1. Защита от XSS-инъекций;

2. Скрытие лишней информации;

3. Принудительное использование SSL;

4. Защиты корневого файла;

5. Методы предотвращение спамеров и ботов;

6. Использование различных плагинов для защиты от зловредных url-запросов;

7. Применение методов предотвращения личеров;

8. «Уничтожение» админа;

9. Защита директорий на сервере от просмотра.

Внедрение современных средств защиты является неотъемлемой частью мероприятий по обеспечению информационной безопасности [6].

Защищать свой сайт — это одна из самых важных задач Web-разработчиков. Если не уделять ей особого внимания — можно приобрести (создать) множество убытков, как в материальном плане, так и в политическом. В связи с тем, что интерес злоумышленников к атакам на Web-сайты не умолкает даже сейчас (если учесть то, что все злонамеренные деяния караются законом), разработчикам необходимо в первую очередь задуматься о его безопасности. Существует множество средств защиты Web-сайтов, но какими бы они не были эффективными все равно необходимо периодически тестировать Web-сайты на уязвимости, которыми в любой момент может воспользоваться взломщик.

Таким образом, главный совет разработчикам и администраторам Web-сайов — неоднократно проверять уровень его надежности и безопасности.

1. Крис Митчелл. Артем Конев. Обеспечение безопасности веб-сайтов. // Australia: SophosLabs. [Электронный ресурс]. URL: http://help.yandex.ru/webmaster/protecting-sites/ contents.xml (дата обращения: 15.02.2016).

2. Смирнов С.Н. Безопасность систем баз данных -М.: Гелиос АРВ, 2007.-352с., ил.

3. «Лаборатория Касперского»: Сложные кибе-ратаки пришли на смену массовым эпидемиям [Электронный ресурс]. URL: http://pda.cnews.ru/reviews/index. shtml?2014/12/24/591211 (дата обращения: 15.02.2016).

4. DDoS атаки и малый бизнес (Saturday, February 22, 2014) [Электронный ресурс]. URL: http://bezshablona. ospfmon.com/2014/02/ddos_4866.html?m=0 (дата обраще-

5. Бирюков А.А. Информационная безопасность: защита и нападение — М.:ДМК Пресс, 2012.-474.: ил.

6. Сумкин К.С., Никонов В.В., Иванова И.А. Использование беспроводных систем при мониторинге объектов, находящихся под воздействием сетевых угроз // Естествен-

ные и технические науки. 2014. № 3 (71). С. 155-157.

7. Сумкин К.С., Иванова И.А., Никонов В.В., Тере-хин И.В. Нечеткие гибридные системы в задачах защиты, анализа и управления разграничением прав доступа в компьютерных сетях // Актуальные проблемы гуманитарных и естественных наук. 2014. № 6-1. С. 145-150.

АСПЕКТЫ УПРАВЛЕНИЯ ВОДНЫМИ РЕСУРСАМИ В УСЛОВИЯХ КОМПЛЕКСНОГО ВОДОПОЛЬЗОВАНИЯ

Раткович Лев Данилович

профессор, канд. тех. наук, зав. кафедрой комплексного использования водных ресурсов и гидравлики ФГБОУ ВО «Российский государственный аграрный университет -МСХА имени К.А. Тимирязева», г. Москва, Россия

Рассматриваются актуальные проблемы водного хозяйства, связанные с разными способами управления водными ресурсами в интересах комплексного водопользования. Затрагиваются положения государственной водной политики РФ. В частности анализируются водохозяйственные проблемы нескольких речных бассейнов России, связанные с количеством и качеством водных ресурсов. Отмечается низкий уровень водообеспеченности ряда стран и приводится прогноз Института стратегических исследований об ухудшении ситуации к 2025 году. Декларируется необходимость дальнейших научных исследований для совершенствования методики обоснования проектных решений в области водного хозяйства. Рассматриваются инженерно-гидрологические и водохозяйственные задачи и методика их решения. Водохозяйственные балансы представлены как инструмент планирования мероприятий по управлению водными ресурсами. Дается оценка необходимой исходной информации. Рекомендуется методика моделирования речного стока с использованием бета — распределения. Приводится последовательность практического моделирования многолетних рядов годового стока на основе авторегрессии первого порядка. При этом предпочтение отдается простоте и надежности методики. Рассматриваются критерии удовлетворения требований к воде, поскольку именно они определяют масштабы водохозяйственной деятельности. Представлены подходы к обоснованию данных критериев посредством минимизации экономических ущербов. Уделяется внимание методике имитационного моделирования водохозяйственных систем, показана необходимость применения имитационных моделей.

This article concerns actual water problems connected with different ways of water management for them effective use. Main positions of the state water policy of the Russian Federation are mentioned. In particular we give short analyze of quantity and quality of water resources of some rivers. Marked the low level of water supply in the several countries. Discussed the water situation in 2025 year in connection with forecast of science. Indicates the need for further scientific researches for perfection of design decisions in the area of a water management. Engineering-hydrological both water-economic tasks with their methods decision are considered. Water economic balances are presented as the tool of planning of actions on water resources management. The technique of modeling of long-term ranks of a river drain with beta distribution use is given. The sequence of practical modeling is based on auto regression of the first order. Thus the preference is given to simplicity and reliability of a technique. Discusses the criteria to meet water requirements, since they determine the cost of water management. Presented some ways to give justification to the criteria by minimizing the economic damage. We say the simulation modeling method is necessary tool to adopt cost effective decisions.

Ключевые слова: управление водными ресурсами, режим водопотребления, критерии удовлетворения требований к воде, моделирование стока, имитационное моделирование водохозяйственных систем.

Keywords: Water management, water consumption, criteria to meet water requirements, modeling of a river flow, simulation modeling of water systems.

i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Проблемы комплексного водопользования, актуальные уже на протяжении многих десятилетий, сводятся к созданию эффективных локальных или масштабных водохозяйственных систем, гарантирующих водообеспеченность хозяйственных планов и способствующих улучшению экологического состояния водных объектов.

Водная стратегии РФ [6] указывает на максимально возможное сохранение ресурсов речных водосборов наряду с пополнением запасов подземных вод. Значительное удорожание любых материалов и работ по созданию крупных очистных сооружений стимулирует более широкое применение недорогих, но достаточно эффективных методов очищения воды. В связи с этим большее внимание должно

Обеспечение безопасности веб-сайта

Раздел будет полезен для разработчиков и заказчиков сайтов, которые заботятся о информационной безопасности веб-сайте и его пользователей, а также для людей интересующихся способами обеспечения информационной безопасности.

Международная статистика говорит о том, что если Вы ведёте бизнес в сети интернет и Ваш сайт по какой-либо причине неделю отсутствовал, например, сервер перестал работать, то в 90% случаев бизнес может разориться. При планировании бюджета на разработку сайта очень редко даже разговор заходит о его безопасности, часто траты денежных средств на безопасность сайта кажутся лишними. В большинстве случаев потребность в обеспечении безопасности сайта возникает, когда уже есть факт реализованной угрозы, которая нанесли реальный или потенциальный ущерб.

Для обеспечения безопасности сайта требуется:

Обеспечение бесперебойной работы веб-сайта. Постоянная доступность сайта в сети интернет важна не только для посетителей и владельцев сайта, но и для поисковых систем, особенно при продвижении сайта. Поисковые системы Яндекс и Google очень плохо относятся к сайтам, которые не доступны для посещения и отдают 4хх либо 5хх ошибки, они рекомендуют ответственно подходить к выбору хостинга (серверов) и следить за их работоспособностью. Если сайт продвигается в поисковых системах, то очень важно постоянно следить за состоянием сайта, потому что поисковые системы могут удалить из индекса недоступные страницы, следовательно, понизить или убрать видимость сайта по части запросов – сайт в этом случае потеряет позиции по ключевым запросам, которые приносят прибыль для компании.
Защита критически важных данных веб-сайта от раскрытия. Критически важные данные – данные сайта, которые включают конфигурационные файлы и другую информацию, раскрытие которой может быть критичным, создав вероятность возникновения угрозы для веб-сайта.
Защита персональных данных пользователя, зарегистрированного в административной панели веб-сайта. Персональные данные включают в себя любую информацию, которая может прямо или косвенно относиться к субъекту персональных данных. Федеральный закон «О персональных данных» обязует применять организационные и технических меры по обеспечению безопасности персональных данных при их обработке и хранении.
Ненарушение целостности веб-сайта. Целостность файлов системы управления, базы данных, шаблонов и страниц сайта является очень важным для работы сайта, а нарушение их целостности может привести к самым непредсказуемым последствиям.

Основные требования

Определить что произошло – определить угрозу.
Найти уязвимость (причину произошедшего).
Найти способ решения проблемы – способ устранения найденной уязвимости.
Внести изменений в СБ сайта – устранить все найденные уязвимости.

На этапе проектирования сайта нужно заранее позаботиться о его безопасности, смоделировав угрозы, которые могут возникнуть. Слабые места на сайте можно заранее определить ещё при построении проекта сайта.

Технологии для обеспечения безопасности сайта:

Криптографические алгоритмы
SSL/TLS
Аутентификация и авторизация пользователя
Ограничение доступа к важным объектам
Использование технологии средств защиты (базовые, которые уже встроены в CMS)

Какие данные критичные к раскрытию:

Доступы для авторизации к базе данных (логин и пароль).
Данные учетные для доступа к внешним ресурсам.
Ключи шифрования криптографические
И т.д.

Elsewhere

Pellentesque consectetur lectus quis enim mollis ut convallis urna malesuada. Sed tincidunt interdum sapien vel gravida. Nulla a tellus lectus.

Веб-безопасность

Безопасность сайта требует бдительности во всех аспектах дизайна и использования сайта. Эта вводная статья не сделает из вас гуру безопасности веб-сайта, но она поможет вам понять, откуда приходят угрозы, и что вы можете сделать, чтобы укрепить своё веб-приложение против наиболее распространённых атак.

Условия:	Элементарная компьютерная грамотность
Цель:	Понять самые распространённые угрозы безопасности веб-приложений. И что вы можете сделать, чтобы уменьшить риск взлома вашего сайта.

Что такое безопасность сайта?

Интернет — опасное место! Мы регулярно слышим о том, что веб-сайты становятся недоступными из-за атак типа отказано в обслуживании, или отображение изменённой (и часто повреждённой) информации на их страницах. В других случаях миллионы паролей, адресов электронной почты и данные кредитных карт становились общедоступными, подвергая пользователей веб-сайта личному смущению или к финансовым рискам.

Цель веб-безопасности заключается в предотвращении этих (или других) видов атак. Более формальным определением веб-безопасности является: способы защиты веб-сайтов от несанкционированного доступа, использования, изменения, уничтожения или нарушения работы.

Для эффективной безопасности веб-сайта необходимо уделять особое внимание к разработке всего веб-сайта: к вашему веб-приложению, конфигурации веб-сервера, при написании политик создания и обновления паролей, а так же кода на стороне клиента. Хотя все это звучит очень зловеще, хорошая новость заключается в том, что если вы используете веб-фреймворк для серверной части, то он почти наверняка обеспечит «по умолчанию» надёжные и продуманные механизмы защиты от ряда наиболее распространённых атак. Другие атаки можно смягчить с помощью конфигурации вашего веб-сервера, например, включив HTTPS. Наконец, есть общедоступные инструменты для сканирования уязвимостей, которые могут помочь вам определить, если вы допустили какие-либо очевидные ошибки.

В оставшейся части этой статьи мы рассмотрим более подробную информацию о некоторых самых распространённых угрозах и о простых шагах, которые вы можете предпринять, чтобы защитить свой сайт.

**Примечание:**Это вводная статья, призванная помочь вам задуматься о безопасности веб-сайта, но она не является исчерпывающей.

Угрозы безопасности сайта

В этом разделе перечислены лишь некоторые из наиболее распространённых угроз веб-сайта и способы их устранения. Читая, обратите внимание на то, насколько успешны угрозы, когда веб-приложение доверяет, либо недостаточно параноидально относится к данным, поступающим из браузера.

Межсайтовый скриптинг (XSS)

XSS (Cross-Site Scripting — Межсайтовый скриптинг) это термин, используемый для описания типа атак, которые позволяют злоумышленнику внедрять вредоносный код через веб-сайт в браузеры других пользователей. Поскольку внедрённый код поступает в браузер с сайта, он является доверенным и может выполнять такие действия, как отправка авторизационного файла cookieпользователя злоумышленнику. Когда у злоумышленника есть файл cookie, он может войти на сайт, как если бы он был пользователем, и сделать все, что может пользователь, например, получить доступ к данным кредитной карты, просмотреть контактные данные или изменить пароли.

Примечание: Уязвимости XSS исторически встречались чаще, чем любые другие виды угроз безопасности.

Уязвимости XSS делятся на отражённые и хранимые, в зависимости от того, как сайт возвращает внедрённый код в браузер.

Отражённая XSS-уязвимость возникает, когда пользовательский контент, который передаётся на сервер, немедленно и без изменений возвращается для отображения в браузере. Любой скрипт в исходном пользовательском контенте запустится при загрузке новой страницы. Например, рассмотрим строку поиска по сайту, в которой поисковые слова закодированы как параметры URL, и эти слова отображаются вместе с результатами. Злоумышленник может создать поисковую ссылку, которая будет содержать вредоносный скрипт в качестве параметра (например: http://mysite.com?q=beer ) и переслать его другому пользователю по электронной почте. Если целевой пользователь кликнет по этой «интересной ссылке», то скрипт выполнится при отображении результатов поиска. Как мы уже говорили, злоумышленник таким образом получает всю информацию, необходимую ему для входа на сайт в качестве целевого пользователя, потенциального совершения покупок от имени пользователя или получения его контактной информации.
Постоянная уязвимость XSS возникает, когда вредоносный скрипт хранится на веб-сайте, а затем снова отображается без изменений, чтобы другие пользователи могли выполнять его невольно. Например, доска обсуждений, которая принимает комментарии, содержащие неизмененный HTML, может хранить вредоносный скрипт от злоумышленника. Когда комментарии отображаются, скрипт выполняется и может отправить злоумышленнику информацию, необходимую для доступа к учётной записи пользователя. Атака такого рода чрезвычайно популярна и мощна, потому что злоумышленник может даже не иметь прямого отношения к жертвам. Хотя данные из запросов POST или GET являются наиболее распространённым источником уязвимостей XSS, любые данные из браузера потенциально уязвимы, такие как данные cookie, отображаемые браузером, или пользовательские файлы, которые загружаются и отображаются. Наилучшей защитой от уязвимостей XSS является удаление или отключение любой разметки, которая потенциально может содержать инструкции по запуску кода. Для HTML это включает такие элементы, как
Сохранить моё имя, email и адрес сайта в этом браузере для последующих моих комментариев.