 |
Лекция 15. Всемирная паутина - World Wide Web (WWW)
|
|
|
|
Интернет — это сеть сетей, обеспечивающая инфраструктуру для взаимодействия и совместного использования информации. Он обеспечивает ряд сервисов, такие как электронная почта, передача файлов, подключение в режиме удаленного терминала, интерактивные конференции, группы новостей, и WWW.
World Wide Web (называется «WWW», «Web» или «W3») — это вселенная информации, доступная из Интернета. WWW появился как сетевой информационный проект в CERN, европейской физической лаборатории. WWW состоит из программ, набора протоколов и соглашений, используемых для получения доступа к информации и ее поиска в Интернете. С помощью использования гипертекстовых и мультимедийных технологий WWW позволяет любому пользователю легко добавлять новую информацию, просматривать ее и искать.
Web-клиенты, также известные как веб-браузеры, обеспечивают пользовательский интерфейс для навигации среди информации с помощью метода указания и щелкания мышкой. Веб-серверы предоставляют браузерам HTML и другие средства для получения информации с помощью протокола HTTP. Браузеры интерпретируют, форматируют и отображают документы пользователям. Конечным результатом является мультимедийное представление Интернета.
Веб-серверы могут быть атакованы или использованы как место, с которого будут атакованы внутренние сети организации. Необходимо обеспечить безопасность ряду областей в веб-серверах — самой операционной системы, программы веб-сервера, скриптов сервера и ряда других программ.
Браузеры также приводят к появлению уязвимых мест, хотя эти уязвимые места гораздо менее серьезны, чем те, которые могут возникнуть из-за веб-сервера. Следующие разделы описывают примеры политик для использования WWW-браузеров, серверов и публикации информации на домашних страницах WWW.
|
|
|
Поиск информации в Интернете с помощью браузера
Существует ряд рисков, связанных с использованием WWW-браузеров для поиска и получения информации из Интернета. Программы веб-браузеров являются очень сложными и станут еще сложнее. Чем более сложна программа, тем менее она безопасна. Ошибки в ней могут использоваться для сетевых атак.
Примеры политик для поиска информации
Низкий риск
Пользователь. Программы для поиска и просмотра информации в Интернете, такие как WWW, Gopher, WAIS и т.д., предоставляются сотрудникам в основном для более лучшего исполнения ими своих должностных обязанностей.
Любое использование их в личных целях не должно мешать обычной трудовой деятельности сотрудников организации, не должно быть связано с ведением коммерческой деятельности в личных интересах, выходящих за рамки обязанностей сотрудника, и не должно потенциально угрожать организации.
Сотрудникам организации, пользующимся Интернетом, запрещено передавать или загружать на компьютер материал, который является непристойным, порнографическим, фашистским или расистским.
Пользователям WWW напоминается, что веб-браузеры оставляют "отпечатки пальцев" на сайтах, позволяющие установить, кто и когда посещал эти сайты.
Менеджер. Пользователям должны быть известны и доступны места, где можно взять лицензионные программ для WWW.
Сотрудник отдела автоматизации. Должно иметься и поддерживаться локальное хранилище полезных веб-браузеров, приложений для отображения различных форматов документов и плагинов. Оно должно быть доступно для сотрудников организации.
Средний риск
Пользователь. Служащие пользуются программами для поиска информации в WWW только для более лучшего выполнения ими своих должностных обязанностей.
|
|
|
Все программы, используемые для доступа к WWW, должны быть утверждены сетевым администратором и на них должны быть установлены все доработки производителя(patch), связанные с безопасностью.
Все файлы, загружаемые с помощью WWW, должны проверяться на вирусы с помощью утвержденных руководством антивирусных программ.
Во всех браузерах должно быть запрещена обработка Java, Javascript и ActiveX из-за небезопасности данных технологий.
Могут использоваться или загружаться только версии браузеров, использование которых разрешено в организациит. Другие версии могут содержать вирусы или ошибки.
Все веб-браузеры должны быть сконфигурированы так, чтобы использовать прокси-сервер для WWW из состава брандмауэра.
При посылке данных на веб-сервер с помощью форм HTML из браузера, удостоверьтесь, что установлен механизм, такой как SSL (Secure Sockets Layer), для шифрования сообщения при посылке его.
Высокий риск
Пользователь. Пользователи могут производить поиск информации в Интернете с помощью World Wide Web (WWW), Gopher, WAIS, и т.д. ТОЛЬКО, если этого явно требуют их должностные обязанности.
Не должны посещаться сайты, про которые известно, что они содержат оскорбительную или другую вредную информацию.
Действия любого пользователя, подозреваемого в нарушении правил пользования Интернетом, могут быть запротоколированы и использоваться для принятия решения о применении к нему санкций.
URL и сайтов, содержащих вредную информацию, должны сообщаться ответственному в организации за безопасность использования Интернета.
Менеджер. В организации должен вестись список запрещенных сайтов. Программы для работы с WWW должны быть сконфигурированы так, чтобы к этим сайтам нельзя было получить доступ.
Сайты, про которые стало известно, что они содержат вредную информацию, должны сразу же блокироваться сетевыми администраторами.
Сотрудники, нанятые по контракту, должны соблюдать эту политику после предоставления им доступа к Интернету в письменном виде.
Сотрудник отдела автоматизации. Все посещаемые сайты должны протоколироваться..
Веб-браузеры должны быть сконфигурированы так, чтобы выполнялись следующие правила:
1. Доступ к Интернету должен осуществляться только через HTTP-прокси.
|
|
|
2. Каждый загружаемый файл должен проверяться на вирусы или РПС.
3. Могут загружаться только те программы на ActiveX, использование которых разрешено организацией.
4. Могут загружаться только те программы на Java, использование которых разрешено организацией.
5. Могут загружаться только те программы на Javascript, использование которых разрешено организацией.
Веб-страницы часто включают формы. Как и электронная почта, данные, посылаемые веб-браузером на веб-сервер, проходят через большое число промежуточных компьютеров и сетей до того, как достигнут своего конечного назначения. Любая важная информация, посылаемая с помощью ввода данных на веб-странице, может быть перехвачена.
Веб-серверы
Многие организации сейчас поддерживают внешние WWW-сайты, описывающие их компанию или сервисы. По причинам безопасности эти серверы обычно размещаются за брандмауэром компании. Веб-сайты могут быть как домашними разработками, так и тщательно разработанными средствами продвижения товаров. Организации могут тратить значительное количество денег и времени на разработку веб-сайта, предоставляющего большой объем информации в удобном виде или создающего имидж компании. Другими словами, веб-сайт организации является одной из форм создания имиджа и репутации компании.
Должны быть назначены ответственные за создание, управление и администрирование внешнего веб-сайта компании. В больших компаниях это может входить в обязанности нескольких должностей. Например, коммерческий директор может отвечать за выявление и реализацию новых способов продвижения товаров и услуг, а администратор веб-сайта — за соблюдение на нем общей стратегии, включая координированную подготовку его содержимого и контроль за его бюджетом. Начальник отдела продаж может отвечать за представление отчетов о доходах, связанных с ведением веб-сайта. А веб-мастер будет отвечать за технические аспекты веб-сайта, включая разработку, поддержание связи с ним, интранет, электронную почту, и безопасность брандмауэра. Скорее всего, программисты будут отвечать за работоспособность веб-сайта, включая его установку, разработку программ для него, их отладку и документирование. Веб-артист может заниматься созданием графических образов для него.
|
|
|
В более маленьких организациях программист или вебмастер может выполнять большую часть описанных выше обязанностей и предоставлять доклады пресс-службе или начальнику отдела продаж. Наконец, в очень маленькой организации эти обязанности могут стать дополнительными обязанностями системного аналитика или администратора ЛВС. Независимо от того, как администрируется веб-сайт, все люди, исполняющие эти обязанности должны претворять в жизнь политику компании, разработанную ее руководством. Верхнее звено руководства организацией может отвечать за утверждение создания новых веб-сайтов или переработку имеющихся.
Кроме того, внутренние веб-сайты компании, расположенные внутри брандмауэра организации, часто используются для рассылки информации компании сотрудникам. Часто посылаются поздравления с днем рождения, графики мероприятий, телефонные справочники и т.д. Также внутренние веб-сайты используются для распространения внутренней информации о проектах, являясь иногда центром информации для исследовательских групп. Хотя внутренние веб-сайты не являются так же видимыми, как внешние страницы, они должны администрироваться с помощью специально разработанных руководств и директив. Руководители групп должны отвечать за это.
Любой может создать веб-сайт для распространения информации по любым вопросам, не связанным с организацией. Организация должна принять решение о том, стоит ли разрешать сотрудникам делать это на чужих веб-сайтах.
Большинство организаций используют Интернет для распространения информации о себе и своих сервисах. Так как они предоставляют информацию, а не скрывают ее, они описывают веб-сайт как "публичный", на котором не содержится никакой конфиденциальной информации и оттуда не может исходить никакой угрозы. Проблема заключается в том, что хотя эта информация может быть публично доступной, веб-сайт является частью организации и должен быть защищен от вандализма.
Публичные веб-сайты в MGM/Universal Studios, Nation of Islam, Министерстве юстиции США и ЦРУ могут подтвердить это утверждение. В них были совершены проникновения в 1996 году. Атакующие использовали уязвимые места в операционной системе, под управлением которой работали веб-серверы. Они изменили ряд страниц веб-сайтов и в некоторых случаях добавили порнографические изображения и вставили оскорбления.
Хотя единственным следствием таких проникновений была потеря репутации, это может оказаться достаточным, чтобы не захотеть испытать это во второй раз. Если бы атакующие модифицировали описания сервисов организации, фальсифицировали цены, то последствия могли бы быть гораздо серьезнее.
|
|
|
