Размещено на http://allbest.ru

Управление культуры Администрации города Екатеринбурга

Муниципальное бюджетное образовательное учреждение высшего профессионального образования

«Екатеринбургская академия современного искусства» (институт)

КУРСОВАЯ РАБОТА

по дисциплине «Информационные системы в сфере культуры»

на тему: «Информационная безопасность сайтов образовательных учреждений»

Выполнила: Студентка 5 курса Шибаева М. А.а

Специальности Прикладная информатика очной формы обучения

Руководитель работы: Трофимова Елена Евгеньевна

к.ф.н., доцент кафедры ПИ

Екатеринбург, 2014 г.



СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

1.1 Характеристика Муниципальных Учреждений Культуры

1.2 Краткая характеристика МБОУ ВПО «Екатеринбургская академия современного искусства»

1.3 Способы обеспечения информационной безопасности сайта

1.4 Описание программ для проверки защищенности сайта

2. ПРАКТИЧЕСКАЯ ЧАСТЬ

2.1 Анализ сайтов муниципальных учреждений культуры

2.2 Анализ сайта ЕАСИ

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ



ВВЕДЕНИЕ

Организации, которые среди своих прочих задач первостепенным ставят презентацию и развитие своей деятельности (в том числе через Интернет) должны иметь собственный Web-сайт. Это обусловлено тем, что начало третьего тысячелетия ознаменовано рождением общества нового типа -- информационного, в котором основным стратегическим ресурсом становится информация. Тем самым Web-сайт является Интернет представительством организации, который дает общее представление о ее деятельности, расширяет спектр взаимодействий с пользователем.

Расширение процесса информатизации в сети Интернет, наряду с положительной, имеет и отрицательную сторону.

Так, на примере сайтов Муниципальных Учреждений Культур, которые аккумулируют и распространяют огромные объемы информации, важную роль играет информационная безопасность сайта как средство его защиты.

С развитием Интернет - технологий растут и угрозы. Плохо защищенный сайт рискует утечкой информации или того хуже, к нему будут иметь доступ левые лица, которые могут разместить нецензурную рекламу, а подобное на сайте учреждения культуры просто недопустимо. В данном исследовании будут проанализированы сайты муниципальных учреждений культуры.

К Муниципальным Учреждениям культуры относится Муниципальное Бюджетное Образовательное Учреждения «Екатеринбургская Академия Современного Искусства». У Академии имеется свой web-сайт.

Руководители чаще акцентируют свое внимание на внешнем виде сайта, пренебрегая его безопасностью. Хотя намного дешевле было бы позаботиться о безопасности сайта еще на уровне его разработки. Информационная безопасность и безопасность понятия смежные.

Информационная безопасность -- состояние сохранности информационных ресурсов и защищенности, законных прав личности и общества в информационной сфере.

Безопасность информации -- состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность.

Поэтому в ходе исследования эти понятия будут переплетаться друг с другом.

Цель исследования: Выявить способы диагностики обеспечения информационной безопасности сайтов Муниципальных Учреждений Культуры.

Объект исследования - сайт муниципального учреждения культуры.

Предмет исследования - обеспечение информационной безопасности сайта муниципального учреждения культуры как средство обеспечения его защиты.

Для достижения данной цели были поставлены следующие задачи:

· Дать краткую характеристику Муниципальных учреждений Культуры;

· Дать краткую характеристику МБОУ ВПО «Екатеринбургская Академия Современного Искусства»;

· Выявить способы нахождения уязвимостей web-сайта;

· Описать программы для проверки защищенности сайта;

· Проанализировать сайты Муниципальных Учреждений Культуры в том числе Муниципального Бюджетного Образовательного Учреждения «Екатеринбургская Академия Современного Искусства».



1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

1.1 Характеристика Муниципальных Учреждений Культуры

Муниципальное учреждение культуры - учреждение, финансовое обеспечение выполнения функций которого, в том числе по оказанию муниципальных услуг (выполнению работ) физическим и юридическим лицам, в соответствии с муниципальным заданием осуществляется за счет средств бюджета муниципального образования.

Муниципальные учреждения создаются государством и органами местного самоуправления, наделяются ими необходимыми средствами и на коммерческих принципах действуют в соответствии с теми целями и задачами, которые для них определяют учредители. Муниципальное предприятие является особым видом юридических лиц. Оно не относятся к хозяйственным обществам и товариществам, хотя и представляет собой коммерческую организацию.

Учреждениями являются организации культуры и образования, здравоохранения и спорта, органы социальной защиты, правоохранительные органы и многие другие.

Так как круг учреждений достаточно широк, то их правовой статус определяется многими законами и иными правовыми актами. Учреждения, в отличие от остальных видов некоммерческих организаций, не являются собственником своего имущества. Собственником имущества учреждения является его учредитель. Учреждения обладают ограниченным правом на переданное им имущество - правом оперативного управления.

Примеры муниципальных учреждений культуры:

· Концертные организации - концертная организация представляет собой публичное учреждение культуры, музыкального искусства, других художественных жанров, удовлетворяющая культурные потребности общества, занимающаяся творческой, производственной, экономической, технической, научной, образовательной деятельностью для создания и представления перед публикой музыкальных спектаклей, показа концертных программ, проведения других культурно-массовых мероприятий.

(Муниципальное бюджетное учреждение культуры «Концертное объединение «Городской дом музыки»);

· Театры (Муниципальное бюджетное учреждение культуры «Муниципальный театр балета «Щелкунчик» города Екатеринбурга»);

· Парки (Муниципальное бюджетное учреждение культуры "Екатеринбургский зоопарк");

· Кинотеатры (Екатеринбургское муниципальное унитарное предприятие «Мультиплекс «Салют»);

· Библиотеки (Муниципальное бюджетное учреждение культуры «Библиотека Главы Екатеринбурга»);

· Музеи (Муниципальное бюджетное учреждение культуры «Екатеринбургский музей изобразительных искусств»);

· Культурно-досуговые учреждения (Муниципальное автономное учреждение культуры «Центр культуры «Урал»);

· Образовательные учреждения культуры и искусства (Муниципальное бюджетное образовательное учреждение высшего профессионального образования "Екатеринбургская академия современного искусства" /институт/).

1.2 Краткая характеристика МБОУ ВПО «Екатеринбургская академия современного искусства»

Муниципальное Бюджетное Образовательное Учреждение Высшего Профессионального Образования «Екатеринбургская академия современного искусства» (институт).

Учредитель ЕАСИ: Управление культуры Администрации г. Екатеринбурга. Отношения между Учредителем и ВУЗом, их права и обязанности регулируются законодательством Российской Федерации, нормативными правовыми актами органов государственной власти и органов местного самоуправления муниципального образования «город Екатеринбург», уставом академии.

Лицензия на право проведения образовательной деятельности № 2373 от 28 декабря 2011 г., имеет бессрочный срок действия. Свидетельство о государственной аккредитации № 1607 от 13 марта 2012 г. действительно по 25 апреля 2016 г. - выданы Федеральной службой по надзору в сфере образования и науки.

Ректором ЕАСИ с 2014 является Занин Михаил Витальевич, кандидат педагогических наук.

ЕАСИ - первый ВУЗ Урала, созданный в XXI веке. Академия основана в 2006 году и является самым молодым и единственным муниципальным Вузом Екатеринбурга. Он предназначен для людей с творческим мышлением и управленческими способностями и предоставляет практико-ориентированное образование.

Создание МОУ ВПО ЕАСИ было продиктовано необходимостью повышения уровня подготовки и переподготовки кадров в сфере культуры, поскольку в конкурентной борьбе городов за финансовые, информационные и людские потоки все большую роль приобретает культура в качестве ресурса развития территории.

В 2014 году МБОУ ВПО ЕАСИ обрела свое собственное здание на бульваре Культуры, 3/ул. Красных Партизан, 9. В новом пространстве у академии появляются новые возможности и перспективы.

В данном здании уже расположилась часть кабинетов, в их число входят: ректорат, приемная комиссия, библиотека, информационно-издательский отдел, административно - хозяйственный отдел.



1.3 Способы обеспечения информационной безопасности сайта

Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям.

Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности.

В последнее время в мире бурно развивается электронная коммерция посредством сети Интернет.

Развитие электронной коммерции в основном определяется прогрессом в области безопасности информации. При этом базовыми задачами являются обеспечение доступности, конфиденциальности, целостности и юридической значимости информации.

По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем.

Поэтому чрезвычайно важно добиваться эффективного решения проблем обеспечения безопасности коммерческой информации в глобальной сети Интернет.

В Интернете уже давно существует целый ряд комитетов, в основном из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации.

В настоящее время на практике используются различные подходы к защите любой компьютерной информации, в том числе и информации, располагаемой на Интернет-ресурсе.

Данные подходы могут быть определены следующими характеристиками:

*наличием формализованных требований, как к набору, так и к параметрам всех механизмов защиты, которые регламентируются большинством современных требований к обеспечению общей компьютерной безопасности (иначе говоря, требованиями, определяющими, что именнодолжно быть предусмотрено разработчиками);

*наличием реальных механизмов защиты, которые реализуются в процессе защиты любой компьютерной информации.

К таким механизмам защиты, прежде всего, относя встроенные в операционную систему средства защиты, по той простой причине, что в большинстве своем используемые на веб-сервере скрипты пользуются встроенными в операционную систему механизмами защиты или же наследуют используемые в них методы.

Именно на базе этих механизмов и используемых в них методов определяется общий уровень защиты всего веб-сервера;

*существующей статистикой различных угроз безопасности компьютерной информации.

В частности, это данные об уже осуществленных успешных атаках на какие-либо информационные ресурсы.

Ведение данной статистики призвано помочь определить, насколько эффективны предпринятые меры защиты, а также дать оценку уровню



1.4 Описание программ для проверки защищенности сайта

1)Armitage

Графическая оболочка для набора утилит и библиотеки эксплоитов Metasploit. Armitage позволяет в наглядном виде представить все этапы атаки, включая: сканирование узлов сети, анализ защищенности обнаруженных ресурсов, выполнение эксплоитов и получение полного контроля над уязвимой системой.

Все функции программы структурированы и легкодоступны из меню и вкладок программы, даже для начинающего исследователя компьютерной безопасности.

Программа предназначена для использования на платформах Linux и Windows, для ее функционирования необходимы: виртуальная машина Java версии 1.6 и выше; Metasploit Framework версии 3.5 и выше; доступ к СУБД (на Windows платформах Metasploit уже имеет в комплекте PostgreSQL). На веб-сайте разработчиков присутствуют исходные коды, справочные руководства в текстовом и видео формате.

2)Netsparker Community Edition

Удаленный сканер веб-уязвимостей, предназначенный для обнаружения ошибок в настройках веб-сервера, поиска XSS-уязвимостей и возможностей проведения SQL-инъекций. Netsparker Community Edition может использоваться для первоначальной проверки на наличие уязвимостей веб-сайта, определенного каталога, а также конкретного веб-скрипта. Поддерживается работа с AJAX/JavaScript веб-сайтами.

Кроме поиска уязвимостей, веб-сканер анализирует структуру веб-сайта на предмет раскрытия служебной информации, такой как резервные копии данных, отладочные веб-скрипты, скрытые каталоги, адреса электронной почты, IP-адреса и прочие.

3)Network Security Analysis Tool

Сетевой сканер уязвимостей, обладающий высокой скоростью сканирования, гибкой настройкой, выполняет сканирование около 50 различных сетевых услуг и обладает базой уязвимостей, содержащей более 100 описаний различных уязвимостей.

4)Zed Attack Proxy (ZAP)

Многомодульная система комплексного анализа защищенности веб-сайтов и веб-приложений от наиболее распространенных хакерских атак. ZAP написан на языке Java, работает как прокси-сервер и обладает интуитивно понятным графическим интерфейсом. В ZAP реализовано три основных механизма анализа: пассивное сканирование, активная диагностика и мониторинг трафика. ZAP позволяет исследовать структуру веб-сайтов, анализировать на уязвимости различные параметры HTTP/HTTPS-запросов и веб-скриптов, имеет встроенный сканер портов и систему фильтрации запросов. Функциональность ZAP и его модулей может быть расширена использованием скриптов и API-функций сканера.

культура безопасность сайт муниципальный



2. ПРАКТИЧЕСКАЯ ЧАСТЬ

2.1 Анализ сайтов Муниципальных Учреждений Культуры

Существует множество способов проверить сайт на уязвимости. Для того, что бы сделать вывод о защищенности сайта можно провести анализ сайта и выявить каким образом он был создан и тем самым сделать вывод о его безопасности.

В данном исследовании будут использованы онлайн сервисы, которые позволят узнать хостинг, рейтинг и CMS сайта. По этим двум критериям уже можно судить о уровне информационной защиты сайта.

Для анализа были выбраны 5 сайтов Муниципальных Учреждений Культуры и один сайт Муниципального Бюджетного Образовательного Учреждения «Екатеринбургская Академия Современного Искусства».

Вся работа была выполнена при помощи онлайн-сервиса: 2ip.ru

Анализ сайта будет проводиться по следующим параметрам:

ь «Движок» - это выражение из профессионального веб-мастерского сленга, означающее программное обеспечение для управления сайтом. Иная аббревиатура - CMS, что в переводе с английского означает «система управления контентом». Проверить на каком «движке» был разработан сайт можно через определенные онлайн сервисы. Существуют платные и бесплатные. Бесплатные - означают плохую защиту;

ь IP адрес сервера - это уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP;

ь Хостинг - услуга по предоставлению вычислительных мощностей для размещения информации на сервере, постоянно находящемся в сети (обычно Интернет). Так же как и CMS, существуют платные и бесплатные. Бесплатные - означают плохую защиту.

Исследуемые сайты:

1) Концертное объединение «Городской дом музыки»;

· CMS: WordPress (бесплатный);

· Ключевые слова: дом музыки бах доместик дюэсо солисты россии классическая музыка камерная музыка концерты в екатеринбурге;

· IP адрес сервера: 91.236.136.104;

· Хостинг: бесплатный.

2) Мультиплекс «Салют»;

· CMS: - ;

· Хостинг: Билайн (платный);

· Ключевые слова: Нет;

· IP адрес сервера: 91.201.53.10. 3) Библиотека главы Екатеринбурга

· CMS: Joomla (есплатный);

· Ключевые слова: Joomla Lavra! 12;

· IP адрес сервера: 85.12.197.64;

· Хостинг: Бесплатный.

4) Екатеринбургский Музей Изобразительных Искусств

5) Центр культуры «Урал»

· Хостинг: неизвестен;

· Описание: Нет;

· Ключевые слова: Нет;

· IP адрес сервера: 91.201.52.76.

6) Екатеринбургская академия современного искусства

· Хостинг: - ;

· CMS: -;

· Ключевые слова: Екатеринбургская академия современного искусства ЕАСИ;

· IP адрес сервера: 91.201.52.101. 7) Екатеринбургский зоопарк.

· Хостинг: платный;

· CMS: неизвестно;

· IP сайта:193.107.236.55;

· Ключевые слова: отсутсвуют.

8) Муниципальный театр балета Щелкунчик.

· Хостинг: Fortune Science and Production Company(платный);

· CMS: WordPress (бесплатный);

· IP сайта195.242.161.169.



ЗАКЛЮЧЕНИЕ

На сегодняшний день web-сайт является неотъемлемой частью деятельности любой организации. Свой сайт обязаны иметь все Муниципальные Учреждения Культуры, в том числе единственное в Екатеринбурге Муниципальное Бюджетное Образовательное Учреждение «Екатеринбургская Академия Современного Искусства».

Web-сайт является хранилищем большого количества информации, которую необходимо защищать. Зачастую, руководители забывают про это, отдавая большее предпочтение дизайну и интерфейсу сайта. Такой подход в будущем может привести к нежелательным последствиям таким как: утечка информации, размещение нецензурной рекламы или того хуже полная блокировка сайта. Такой пример был найден в ходе исследования. На сегодняшний день сайт Музея Изобразительного Искусства не работает по причине взлома.

Для того что бы избежать проблем с информационной безопасностью, а так же несвоевременного взлома сайта желательно еще на этапе разработки уделить внимание его безопасности. Такой подход позволит минимизировать потери данных в будущем.

В качестве примера были исследованы 5 сайтов Муниципальных Учреждений Культуры и один сайт Муниципального Бюджетного Образования Учреждение Высшего Профессионального Образования «Екатеринбургская Академия Современного Искусства». Анализ проводился по нескольким критериям при помощи онлайн сервисов.

Анализ показал, что только один сайт имеет более менее хорошую защиту - это сайт Мультиплекса «Салют». Самый низкий уровень защищенности у сайтов библиотеки и городского дома музыки, в том числе и сайт ЦК «Урал».

Отдельное внимание было уделено сайту Екатеринбургской Академии Современного Искусства, к сожалению, его защищенность так же оставляет желать лучшего. Подобные выводы были сделаны, после выявления хостинга и CMS сайта. Сайт Мультиплекса «Салют», имеет платный хостинг, но при этом бесплатный CMS. Но к сожалению анализ остальных сайтов показал, что и хостинг, и CMS бесплатные, а это означает, что сайт практически никак не защищен. Все это доказывает актуальность данной работы.

В перспективе планируется провести более глубокий и тщательный анализ других сайтов Муниципальных Учреждений Культуры. Составить сравнительный анализ, выявить общие минусы и создать алгоритм для повышения уровня безопасности сайтов.



СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1) Блинов А.М. Информационная безопасность Часть 1./ А.М.Блинов. - СПбГУЭФ, 2010 - 56 с.

2) Программа для сканирования уязвимостей web - сайта [Электрон.ресурс]. Режим доступа: http://uinc.ru

3) КонсультантПлюс - надежная правовая поддержка [Электрон.ресурс]. Режим доступа: http://www.consultant.ru

4) Информационный портал Екатеринбурга [Электрон.ресурс]. Режим доступа: http://www.ekburg.ru

5) Официальный сайт ЕАСИ [Электрон. ресурс]. Режим доступа: http://www.eaca.ru

6) Аудит безопасности сайта [Электрон.ресурс]. Режим доступа: http://аудитбезопасностисайта.рф/#

7) Дизайн и разработка web-сайтов [Электрон.ресурс]. Режим доступа: http://www.signception.ru

8) Онлайн сервис для определения CMS сайта [Электрон.ресурс]. Режим доступа: http://2ip.ru

9) Официальный сайт Екатеринбургского городского Дома музыки [Электрон.ресурс]. Режим доступа: http://www.egdm.org

10) Официальный сайт Мультиплекса Салют [Электрон.ресурс]. Режим доступа: http://www.kinosalut.ru

11) Официальный сайт Библиотечный центр Екатеринбурга [Электрон.ресурс]. Режим доступа: http://www.bgekb.ru

12) Официальный сайт центр культуры «Урал» [Электрон.ресурс]. Режим доступа: http://ckural.ru

13) Официальный сайт театра балета «Щелкунчик» [Электрон.ресурс]. Режим доступа: http://dbalet.ru

Размещено на Allbest.ru