Искусство в IT-технологиях...

Биячуев Тимур Александрович. Модель и методы мониторинга и оценки защищенности веб-сайтов сети Интернет, 2005

2.3. Метод оценки защищенности веб-сайта

Веб-сайты играют значительную роль в современном Интернете. Их основная функция информативная - представлять ичтерссы личности, компании, организации, государства в Глобальной Сети. На веб-сайте размещается информация;
Для публичного, всеобщего достуиа, Например, чаще всего требуется предоставить информацию внешним потребителям - сведешшя о фирме, каталоги продуктов и услуг, техническую или научную информацию.
Ограниченного доступа.
Конфиденциальная информация, доступная ограниченному кругу лиц - например, предоставление сотрудникам организации удобного доступа к внутренним корпоративным информационным ресурсам. Это могут быть последние распоряжения руководства, внутренний телефонный справочник, ответы на часто задаваемые вопросы для пользователей прикладных систем, техническая документация, а также информация о банковском счете клиента, личные сведения.
Поскольку веб-сайт доступен из любом точки земного шара, где есть выход в Интернет, то появляется множество угроз нарушения конфиденциальной информации на сайте. Угрозы нарушения конфиденциальности возможны в двух случаях:
угрозы несанкционированного доступа к информации, хранимой на веб-сайте локально;
угрозы несанкционированного доступа к информации в процессе ее передачи по каналам связи.
Рассмотрим имеющиеся механизмы защиты веб-сайта, препятствующие данным видам угроз (рис. 5). Представленная классификация разработана на основе ГОСТ Р ИСО/МЭК I540B-2 «Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности». Данный ГОСТ содержит 66 семейств и 135 компонент функциональных требований безопасности,
43

 Механизмы защиты <b>веб-</b><b>сайта class="img_center" />

Рисунок 5. Механизмы защиты веб-сайта,

Задачу оценки у конкретного веб-сайта количества механизмов локальной защиты и, особенно, корректность их настройки легальным путем решить очень сложно. В этом случае пришлось бы применять индивидуальный подход в каждом конкретном случае -для определенной ОС, вида и версии программного обеспечения МЭ, СОА и т.д. Кроме того, собственно механизмы защиты веб-сервера препятствуют получению какой-либо дополнительной информации, способствующей злоумышленнику в преодолении этой системы защиты. Единственная относительно точная возможность оценки надежности защиты заключается в проверке системы на наличие уязвимостей и устойчивость к сетевым атакам. Однако, такие действия без разрешения владельцев веб-сайта незаконны, что исследование в масштабах всего Интернета становится проблематичным. Тем не менее, определить легальным путем содержится ли на сайте информация с ограниченным доступом и защищается ли она можно. Доступ к такой информации на сайте ограничен средствами разграничения доступа с использованием механизмов идентификации и аутентификации пользователя. Рассмотрим метод легальной проверки наличия таких механизмов. Условно, содержание веб-сайта можно представить в виде графа, вершинами
44
которого будут веб-страницы, а ребрами - гиперссылки. Конечно, в таком графе не учитываются гиперссылки на другие веб-сайты. Мы рассматриваем только локальную структуру веб-сайта (рис. 6).

 Рисунок 6. Схема локальной структуры <b>веб-</b><b>сайта</b>


Рисунок 6. Схема локальной структуры веб-сайта.
Как видно из рисунка 6, с начальной веб-страницы по гиперссылкам можно перейти на другие страницы данного сайта. Однако если доступ к некоторой информации на сайте ограничен только для авторизованных пользователей (на рисунке область с такими вебстраницами обозначена пунктирной линией), то при переходе в эту область сервер запросит имя пользователя и пароль. Таким образом, если на веб-сайте существует вебстраница (точка входа в закрытую область), требуюшая для доступа к содержимому прохождения процедур идентификации и аутентификации (функциональные требования безопасности FIA_UID (Идентификация пользователя) и FIA_UAU (Аутентификация пользователя) согласно ГОСТ ИСО/МЭК 15408-2), то это свидетельствует о наличии информации ограниченного доступа на данном сайте. Для поиска страницы с требованием авторизации, необходимо организовать обход веб-сайта с начальной страницы по всем вложенным.
Рассмотрим подход к оценке защищенности веб-сайта, основанный на проверке использования механизмов защиты информационного обмена. В процессе передачи
45
конфиденциальной информации по каналам передачи данных общего пользования возникают следующие угрозы;
угроза несанкционированного чтения и копирования информации (нарушение ко нфи д е н ци ал ьности);
угроза уничтожения информации;
угроза модификации информации (нарушение целостности).
Противостоять угрозам нарушения конфиденциальности и целостности предназначены защищенные протоколы передачи данных. Данные протоколы позволяют организовать защищенный виртуальный туннель между субъектами взаимодействия. Виртуальный означает что, туннель создается только на время взаимодействия, Защищенный значит, что данные, передаваемые внутри туннеля, защищены криптографическими средствами. Протоколы защищенных виртуальных туннелей существуют на четырех уровнях эталонной модели взаимодействия открытых систем (3MB0C,OST): канальном, сетевом, сеансовом и прикладном. Поскольку Интернет построен на основе стека протоколов TCP/IP, функционирующего на 3-м и 4-м уровнях ЭМВОС, то канальный уровень в защите веб-сайтов не участвует.
На сетевом уровне защищенные каналы строятся на протоколе IPSec, на сеансовом - на протоколах SSL/TLS, на прикладном - Secure MIME, Secure HTTP [38]. Протокол IPSec (IP Security), входяший в новую версию протокола IPv6, пока не получил распространения в сети Интернет в силу ряда причин. Это перспективный и защищенный протокол будущего. Протоколы защиты прикладного уровня привязаны к конкретным приложениям, таким как электронная почта, и полностью зависят от используемых сервисов и приложений. В настоящее время наибольшее распространение получили протоколы защиты, функционирующие на сеансовом уровне ЭМВОС. При построении защищенных виртуальных каналов на данном уровне достигаются наилучшие показатели по функциональной полноте защиты информационного обмена, надежности контроля доступа, а также простоте конфигурирования системы безопасности. Это протоколы SSL/TLS (уровень защиты сокетов/заиигта транспортного уровня). Протокол SSL стал стандартом dс-facto в электронной коммерции. По результатам исследований его используют от 93% до 99% компаний Б области электронной коммерции [39]. Протокол SSL и протокол TLS, утвержденный Инженерной группой Интернета IETF на базе протокола SSL версии 3.0 -это защищенные протоколы, обеспечивающий аутентификацию и защиту от «прослушивания» и искажения данных. Для аутентификации служат сертификаты Х.509. Шифрование данных обеспечивает их конфиденциальность, а хэш-функции -целостность. SSL/TLS противостоят следующим угрозам [40]:
46
подмена идентификатора клиента или сервера (с помощью надежной аутентификации, функциональные требования безопасности FIA_U1D (Идентификация пользователя) и FIA_UAU (Аутентификация пользователя) согласно ГОСТ ИСО/МЭК 15408-2);
раскрытие информации (с помощью шифрования канала связи, функциональное требование безопасности FDPUCT (Защита конфиденциальности данных пользователя при передаче между функциями безопасности объекта оценки (ФБО));
модификации данных (с помощью кодов целостности сообщений, функциональное требование безопасности FDPU1T (Защита целостности данных пользователя при передаче между ФБО)),
SSI/TLS защищают только трафик определенных протоколов - например, HTTP или FTP, Более того, прнме11яя SSL/TLS, можно защитить только некоторые части приложения - например, страницы регистрации или информацию о кредитных карточках. Существуют реализации данною протокола для защиты наиболее распространенных протоколов прикладного уровня HTTP, FTP, NNTP и т,д [41]. Выявить поддержку протоколов TLS/SSL можно, используя проверку доступности соединения с использованием данного протокола.
В нашем исследовании было предложено исследовать протокол HTTPS (HTTP-over-SSL, H1ITP поверх SSL или HTTP-over-TLS,HTTP поверх TLS), защищающий протокол прикладного уровня HTTP, основной протокол доступа к информации на вео-сайтах [42].
Таким образом, метод оценки защищенности отдельного сайта включает анализ:
1. наличия па веб-сайте механизмов идентификации и аутентификации пользователей для доступа к определенным веб-страницам данного сайта (FIAJJID и FIAJJAU);
2, использования протоколов SSL или TLS для защиты протокола HTTP, реализующего функциональные требования безопасности FIA_UID, F1A__UAU, FDPJJCT и FDP_UTT.
Если любой ш контролируемых параметров присутствует, веб-сайт признается защищенным. Блок-схема метода представлена на рисунке 7.
Отметим, что обе данные проверки не выходят за рамки допустимых действии легальных пользователей, что позволяет говорить о легальности используемых в исследовании методов. Применение метода, основанного на выявлении технических характеристик объекта, позволяет говорить об объективности результатов оценки.
Теперь, располагая методом оценки защищенности отдельного веб-сайта, перейдем к определению защищенности сегмента сети Интернет. По формуле (2.1) для вычисления
47
защншенности i-ro сегмента Z\ необходимо определить защищенность всех веб-сайтов в исследуемом сегменте, число которых может составлять десятки миллионов единиц. Таким образом, задача анализа всего множества сайтов является нерациональной:
Обработка всего количества веб-сайтов потребовала бы значительных затрат машинных и временных ресурсов.
Поскольку объект исследования является динамической системой, а процедура исследования отдельной единицы наблюдения может быть продолжительной по времени, то в течение периода проведения исследования всех веб-сайтов возможно внесение искажений в результат исследования.
Для решения данной проблемы воспользуемся аппаратом математической статистики.
48

. Метод <b>оценки защищенности веб-</b><b>сайта</b>

Рисунок 7. Метод оценки защищенности веб-сайта»

49

описание механизмов защиты <b>сайта</b>
50
предыдущий следующий
= К содержанию =


2.3. Метод оценки защищенности веб-сайта - релевантная информация:

  1. Биячуев Тимур Александрович. Модель и методы мониторинга и оценки защищенности веб-сайтов сети Интернет, 2005
    метод оценки защищенности веб-сайта, который, в отличие от известных подходов, позволяет легальными способами, определить использование на веб-сайте средств для защиты его информационных ресурсов. Новая структурная модель сегмента сети Интернет, позволяющая исследовать защищенность выбранного сегмента Интернета и значительно сократить время проведения исследования путем анализа не всех
  2. Оглавление
    методов, применяемых для по лучения статистических данных для исследования 27 Экспертные методы 27 Автоматизированные методы 27 Сравнение методов 27 1.5. Факторьа, приводящие к необходимости исследования состояния информационной безопасности сети Интернет 29 1.6. Выводы по главе 1 36 Глава 2, Концепция мониторинга и оценки защищенности веб-сайтов сети Интернет и се сегментов 38 2Л.
  3. Введение
    методов обеспечения информационной безопасности в РФ является «формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства». Таким образом, работа, посвященная разработке модели и методов мониторинга и оценки защищенности веб-сайтов сети Интернет и ее российского сегмента,
  4. 2.2. Оценка уровня защищенности веб-сайтов сети Интернет и ее сегментов
    методе оценки защищенности веб-сайта. Данные критерии контролируют наличие некоторого необходимого набора механизмов защиты у исследуемого веб-сайта, которые снижают степень опасности угроз нарушения конфиденциальности информации, представленной на данном сайте. Тогда, наличие такого набора механизмов защиты у конкретного сайта, относит ею к категории защищенных согласно введенным критериям, В
  5. 2.6. Формулировка концепции
    методов мониторинга и оценки актуального и объективного состояния защищенности веб-сайтов сети Интернет, а также ее отдельных сегментов с учетом современных тенденций развития сетевых телекоммуникационных технологий и средств защиты информации. Концепция мониторинга и оценки защищенности веб-сайтов сети Интернет обеспечивает объективность, достоверность, точность результатов и легальность
  6. 2.1. Состояние электронной коммерции и динамика ее развития
    методом оплаты покупок в магазине является оплата наличными, хотя в планах расширения спектра способов оплаты лидируют кредитные карты, так как владельцы магазинов не уверены в распространении современных платежных систем. Таблица 2.1.3 Распределение магазинов Рунета по используемым и предлагаемым формам оплаты Российские аналитики отмечают, что многие компании уже сегодня от своей работы в
  7. БИБЛИОГРАФИЯ
    методы. - М.: Финансы и статистика, 1998. Евстафьев В.А. Введение в медиапланирование. - М.: РИП-Холдинг, 1998. Елисеева И.И. Статистические методы в аудите. -М.: Финансы и статистика, 1998. Иванова Е.С. Коммуникативная эффективность англоязычной рекламы: когнитивно-семантические основания: Автореф. дис. ... канд. филол. наук. - М., 2002. Ильенкова С.Д. Производственный менеджмент: Учебник для
  8. ЗАКЛЮЧЕНИЕ
    методы оценки эффективности. Автор выделяет следующие группы методов оценки эффективности интернет-рекламы, применяемых в настоящее время в России и за рубежом: методы на основе анализа посещаемости веб-сайта рекламодателя, методы на основе анализа данных систем размещения рекламы, традиционные методы оценки эффективности рекламы, адаптированные под интернет-рекламу, комбинированные и комплексные
  9. Выводы по главе
    метод оценки эффективности рекламной деятельности субъектов предпринимательства в сети Интернет, предлагаемый автором, предполагает рассмотрение наиболее полного комплекса коммуникативных и экономических показателей эффективности и их взаимосвязи с использованием единого программного инструмента для сбора необходимых данных. В основе метода — идентификация программным инструментом уникальных
  10. При использовании комплексного метода оценки эффективности…
    метода оценки эффективности рекламной деятельности в сети Интернет необходим единый инструмент для сбора всех данных, иначе не будет возможности сопоставлять и охваченную рекламой аудиторию с аудитории веб-сайта рекламодателя.Единым инструментом может стать централизованная система размещения рекламы. Централизованные системы размещения рекламы обычно используются крупными рекламными агентствами.