Главная
Коллекция "Otherreferats"
Программирование, компьютеры и кибернетика
Основы безопасности электронной коммерции
Основы безопасности электронной коммерции
Архитектура безопасности Microsoft Windows DNA, этапы ее реализации. Защита серверов интерфейса против несанкционированного доступа. Брандмауэр, защищающий сервера интерфейса от трафика Интернет. Организация сегрегации сети и шифрования данных.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | контрольная работа |
| Язык | русский |
| Дата добавления | 18.07.2009 |
| Размер файла | 35,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
5
Содержание
Введение
Архитектура безопасности Microsoft Windows DNA
Требования безопасности
Защита сет
DMZ
Брандмауэры
Сегрегация сет
Шифрование данных
Заключение
Список использованных источников
Введение
Если вы собираетесь реализовать электронно-коммерческое приложение, или просто приложение для выполнения каких-либо задач компании, вы должны убедиться в безопасности ваших систем и данных, чтобы исключить возможность несанкционированного доступа к данным и обеспечить устойчивость системы к попыткам вызвать отказ обслуживания запросов из-за ее перегрузки.
Для обычных приложений наиболее серьезной проблемой являются недобросовестные сотрудники - поэтому относительно просто защитить данные таких приложений с помощью идентификаторов входа в систему и ограничения доступа к данным на основе идентификаторов пользователя.
Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным - например, таким, как номера кредитных карт.
Архитектура безопасности Microsoft Windows DNA
Ниже будут рассмотрены технологические подходы, которые можно использовать для защиты сайта компании от всех видов недобросовестных пользователей. В каждом разделе описываются определенные вопросы безопасности, а затем дается пример их решения на сайте-образце Duwamish Online Sample E-Commerce Site. Однако следует заметить, что у группы, реализовывавшей данный сайт, были свои ограничения, и, возможно, другие разработчики предпочли бы другие пути, нежели выбранные в данном случае.
Общая архитектура приложения Windows DNA показана ниже:
В общем случае происходит следующее: клиент получает доступ к приложению через Интернет. Запрос проходит через брандмауэр, отфильтровывающий пакеты, посланные на неверный адрес или порты. Клиенты общаются с приложениями через Интернет. Web-сервер под управлением Microsoft Internet Information Server (IIS) обычно обрабатывает эти запросы в странице Active Server Pages (ASP). Страница ASP вызывает COM-компоненты под управлением COM+ runtime для чтения и модификации базы данных и для возврата HTML-страницы клиенту. В дальнейшем эти серверы могут быть подсоединены к корпоративной сети, обычно это делается через второй брандмауэр (чтобы лучше защитить доступ к корпоративной сети от взломщиков). Заметьте, что многие предприятия предпочитают не соединять серверы напрямую с корпоративной сетью дабы избежать любой возможности нарушения своей сети внешними пользователями.
Серверы интерфейса (front-end servers) обеспечивают функциональность приложения. Обычно они представляют собой Microsoft IIS. Кроме того они могут кэшировать данные, предназначенные "только для чтения" - например, web-страницы. Группа прикладных серверов (back-end servers) отвечают за изменяемый контент. Этот контент может обеспечиваться через файлы общего доступа, реляционные СУБД (например, Microsoft SQL Server) или системы управления ресурсами - такие как SAP. Контент генерируется и дублируется на серверы приложений из корпоративной сети, иногда через Интернет с использованием защищенных FTP или PPTP (VPN), если не существует прямого соединения серверов приложений с корпоративной сетью.
Требования безопасности
Для полного сценария необходимо обеспечить безопасность на следующих уровнях:
· серверы интерфейса должны быть защищены против несанкционированного доступа;
· прикладные сервера должны быть защищены таким образом, чтобы обеспечивалась конфиденциальность и целостность данных;
· корпоративная сеть должна быть защищена против вторжения.
Для реализации безопасности на всех трех уровнях архитектура приложения Windows DNA была разделена на области безопасности. При этом область безопасности - это зона согласованной безопасности, отделенная от других областей четко определенными интерфейсами. Типичный бизнес-сайт может быть разделен на следующие области:
· сеть общего пользования, состоящая из клиентов, имеющих доступ к серверам интерфейса и Интернет;
· "демилитаризованная зона" (DMZ), состоящая из групп серверов интерфейса и прикладных серверов;
· корпоративная сеть.
Области защищены друг от друга брандмауэрами.
Приложение Windows DNA можно защитить от атак внешних пользователей с помощью защиты сети, платформы, приложения или базы данных. Для предотвращения атак внутренних пользователей необходимо реализовать аналогичную защиту: доступ к группам серверов и их данных должен быть запрещен неавторизованным пользователям. Далее будет рассмотрена защита на каждом из перечисленных уровней.
Защита сети
Для реализации защиты сети на сайте Windows DNA используют:DMZ; брандмауэры; сегрегацию сети; шифрование данных; выявление вторжений.
DMZ
DMZ состоит из серверов интерфейса, прикладных серверов и брандмауэров.
Брандмауэры защищают сервера интерфейса от сети общего пользования и фильтруют трафик между корпоративной сетью и прикладными серверами. DMZ обеспечивает многоуровневую систему защиты между Интернет и внутренней сетью организации.
В обеспечении защиты участвуют такие элементы DMZ, как:
· Брандмауэр, защищающий сервера интерфейса от трафика Интернет.
· Набор серверов с повышенной безопасностью, поддерживающих сервисы, предоставляемые приложением. Эти сервера настроены таким образом, что опасные сервисы Интернет - такие, как общий доступ к файлам и телнет - отключены.
· Брандмауэр, отделяющий прикладные сервера от корпоративных сетей и активизирующий соединения между прикладными серверами и несколькими серверами корпоративной сети.
DMZ является важной составляющей защиты сайта. Но необходимо предпринять и дополнительные меры по защите данных, хранимых прикладными серверами. Кроме того, можно хранить чувствительные или необходимые данные где-либо еще на вашем предприятии, вне DMZ, хотя следует учесть, что это плохо повлияет на работу системы в целом и привнесет, хотя и небольшой, риск открытия вашей корпоративной сети для хакинга.
Брандмауэры
Брандмауэры часто реализуются на уровне сетевого протокола и используются для фильтрации входящего трафика сети. Можно сконфигурировать брандмауэр таким образом, чтобы он пропускал или блокировал пакеты от определенных IP-адресов или портов. Для реализации брандмауэра можно использовать маршрутизатор сети и сконфигурировать его, или приобрести аппаратное обеспечение с расширенными возможностями, специально предназначенное для реализации брандмауэра. Более сложные брандмауэры могут выявлять попытки вызвать отказ от обслуживания и обеспечить перевод сетевого адреса (Network Address Translation, NAT) для сокрытия адресов ресурсов за брандмауэром.
Для сайта Windows DNA конфигурируют и фронтальные Интернет-брандмауэры и внутренние брандмауэры. Фронтальные брандмауэры должны обеспечивать доступ к таким сервисам, как HTTP, LDAP (Lightweight Directory Access Protocol), FTP и почте SMTP. Чтобы сделать брандмауэр действительно мощным, можно закрыть все порты кроме 80-го (для HTTP) и 443-го (для HTTP/SSL) и заблокировать доступ ко всем IP-адресам, кроме IP-адреса вашей web-группы. Кроме того, для B2B-сайта может потребоваться поддержка виртуальной частной сети (Virtual Private Network, VPN).
Следует также ограничить доступ к сервисам, потенциально способным нанести вред системе в том случае, если пользователь Интернет сможет получить к ним доступ. Например, следует удалить доступ к сервису телнет.
Если предполагается создать сайт электронной коммерции B2B, можно настроить брандмауэр таким образом, чтобы ваш сайт отвечал исключительно на запросы тех, кто имеется в списке известных вам IP-адресов, которые используют ваши клиенты и поставщики.
Внутренние брандмауэры ограничивают трафик между прикладными серверами и внутренней сетью и защищают ресурсы внутренней сети от деструктивных атак. Такие брандмауэры могут конфигурироваться для поддержки только тех сервисов и протоколов, которые необходимы для управления компонентами DMZ.
Для бизнес-сайтов обязательно наличие брандмауэров. Тем не менее, обычно они реализуются на уровне сетевого протокола и не защищают систему от атак, направленных на более высокие протоколы, такие как HTTP. Например, web-сервера принимают пакеты данных через 80-й порт, предназначенный для HTTP-запросов. Если пользователь обращается к компоненте через HTTP-запрос, создающий переполнение буфера, сервис может сломаться и открыть систему для последующих атак этого пользователя. Необходимо защищаться от таких сценариев программированием, направленным на повышение устойчивости компонент, и установкой служебных пакетов и обновлений в области безопасности.
Сегрегация сети
Сеть в пределах DMZ может сегрегироваться с помощью двух или более сетевых интерфейсных плат (Network Interface Card, NIC) в каждом компьютере. Сегрегация сети позволяет:
· Разделить различные типы Интернет-трафика и направить их к различным web-серверам. Например, HTTP-запрос может быть направлен к одному набору web-серверов, а FTP-запрос - к другой группе. Это не обязательно способствует повышению безопасности, но может помочь сбалансировать нагрузку.
· Разделить Интернет-трафик и прикладные сервера и закрыть прямой доступ во внутреннюю сеть. NIC могут настраиваться для прохождения к серверу только соответствующих ему пакетов.
· Избежать пересылки IP между серверами интерфейса. Единственным общедоступным IP-адресом является виртуальный IP-адрес, используемый группой серверов интерфейса со сбалансированной нагрузкой. Крайне важно отключить пересылку IP.
Кроме того, можно использовать сегрегацию сети для разделения трафика сети и управляющего трафика и предотвратить прохождение управляющего трафика через брандмауэры.
Шифрование данных
На бизнес-сайте обрабатывается чувствительная информация (например, номера кредитных карточек потребителей). Передача такой информации по Интернет без какой-либо защиты может привести к непоправимым последствиям. Любой может подслушать передачу и получить таким образом доступ к конфиденциальной информации. Поэтому данные необходимо шифровать и передавать по защищенному каналу. Для реализации защищенной передачи данных используют протокол Secure Sockets Layer (SSL).Для реализации этой функциональности необходимо приобрести цифровой сертификат и установить его на ваш(и) сервер(а). За цифровым сертификатом можно обратиться в один из органов сертификации. К общеизвестным коммерческим сертификационным организациям относятся: VerySign, CyberTrust, GTE.
SSL представляет собой схему для таких протоколов, как HTTP (называемого HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для передачи данных:
· данные зашифрованы;
· между сервером-источником и сервером назначения установлено защищенное соединение;
· активирована аутентификация сервера.
Заключение
Безопасность - это один из важнейших элементов бизнес-сайта. Ее можно реализовать на всех уровнях: на уровне сети, платформы, приложения и базы данных. При этом необходимо использовать специальные технологические подходы и инструменты, рентабельные, безопасные и нее имеющие неблагоприятного воздействия на работу сайта.
На сайте необходимо реализовать DMZ и сконфигурировать брандмауэры, защищающие от несанкционированного доступа к опасным сервисам. Дальнейшая защита сети обеспечивается ее сегрегацией, шифрованием данных и отслеживанием вторжений.
На уровне платформы следует повысить устойчивость к атакам серверов интерфейса, регулярно проводить мониторинг этих серверов и поместить чувствительные данные в защищенную область. Для поддержания ограниченного доступа к приложению пользователи должны аутентифицироваться на среднем ярусе, а доменная структура должна быть правильно сконфигурирована.
На уровне приложения и уровне базы данных средний ярус должен защищать сервисы приложения от несанкционированного доступа с помощью административной и ролевой защиты, аутентификации пользователей и шифрования чувствительных данных.
Список использованных источников
1. Дьяконов В. П. Internet. Настольная книга пользователя. -М.: Солон-Р, 2007.
2. Крейнак Д., Хебрейкен Д. Интернет: Энцикл. / Пер. с англ. Е. Клейменовой. - СПб.: Питер, 2007
3. Леонтьев В. П. Новейшая энциклопедия персонального компьютера 2002. - М.: ОЛМА-ПРЕСС, 2007.
4. http://www.iso.ru/journal/articles/86.html
Подобные документы
Предназначение контроля и учета трафика. Нецелевое использование средств. Общая архитектура серверов контроля корпоративного Интернет доступа. Среда программирования "Delphi 7". Рабочий компьютер администратора сети. Оборудование серверного помещения.
дипломная работа [1,8 M], добавлен 03.07.2015Этапы развития компьютерной техники во второй половине XX века. Понятие и различные конфигурации локальных сетей, цели их использования. Особенности глобальной сети, интегрированные приложения для работы в Интернете. Обеспечение безопасности данных.
презентация [380,8 K], добавлен 08.11.2012Обзор технологии COM (Component Object Technology). Особенности графического интерфейса пользователя и методы его реализации. Интерфейс операционных систем Microsoft Windows: работа с папками, файлами и окнами, использование буфера обмена, проводник.
контрольная работа [6,4 M], добавлен 16.04.2011Базовые технологии безопасности, обеспечивающие защиту сетей и доменов Windows Server 2003. Основы шифрования с открытыми ключами. Общие понятия и термины, относящиеся к защите данных и методам шифрования. Алгоритмы шифрования, использование сертификатов.
реферат [1,6 M], добавлен 02.12.2010Защита данных, хранящихся на диске, от несанкционированного доступа путем их шифрования. Основные этапы процедуры шифрования и расшифровки файлов. Архивирование файла с паролем. Назначение и функции технологии шифрования BitLocker и её отличия от EFS.
контрольная работа [743,4 K], добавлен 14.03.2019Vista: понятие, методика проектирования. Зараженность персональных компьютеров с различными версиями операционных систем Windows. Оснастка "Брандмауэр Windows в режиме повышенной безопасности". Режим работы IE 7.0, возможности, безопасные соединения.
лекция [2,3 M], добавлен 20.12.2013Понятие и сущность традиционной и электронной коммерции, правовые вопросы. Условия совершения платежей через Интернет и этапы их проведения. Инфраструктура безопасности и технологические методы снижения рисков транзакций в системах электронной коммерции.
курсовая работа [3,1 M], добавлен 10.11.2011Центр обеспечения безопасности (Windows Security Center) в операционной системе Windows XP SP2 и угрозы компьютерной безопасности. Обеспечение безопасности хранения данных в ОС Microsoft. Алгоритм создания отказоустойчивых томов для хранения данных.
курсовая работа [507,1 K], добавлен 13.11.2011Инструменты для осуществления электронной коммерции. Международная и российская аудитория сети Интернет. Стадии реализации коммерческой сделки. Средства электроники и электронных коммуникаций. Обзор аппаратных и программных средств электронной коммерции.
курсовая работа [78,0 K], добавлен 09.04.2014Основные понятия компьютерной безопасности, защита от компьютерных вирусов и несанкционированного доступа, защита информации при удаленном доступе. Антивирус Касперского: полномасштабная защита электронной почты, полная автоматизация вирусной защиты.
реферат [23,7 K], добавлен 08.01.2011
