Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Меры, которые должны быть предприняты организацией для поддержки Web-читателей




Организация должна дать рекомендации и обеспечить поддержку своих Web-читателей. В организации должно иметься ясное, эффективное и реализуемое "Положение об использовании WWW и безопасности при работе в Интернете".

Некоторыми из мер, которые может предпринять организация, являются:

· покупайте лицензионное программное обеспечение у надежного производителя

· запускайте антивирусные программы

· распространяйте по организации проверенные на безопасность файлы конфигурации браузеров и надежные программы просмотра

· обучайте пользователей. Разъясните им следующие вещи:

o как нужно использовать Интернет, включая такие вопросы, как безопасное письмо, посылка статей в USENET, поиск людей в Интернете и т.д.

o что не нужно загружать непроверенные браузеры, программы просмотра и апплеты

o что нельзя конфигурировать их Web-браузер таким образом, чтобы он автоматически вызывал приложение, когда Web-сервер предложит ему это сделать.

Такие технологии, как активные формы или загружаемые апплеты, должны тщательно анализироваться и проверяться перед выдачей разрешения на их использование в организации.

Web-издатели

У Web-издателей те же самые проблемы, что и у Web-читателей. Им нужно оценить потенциальный ущерб от различных угроз и реализовать ряд мер по уменьшению риска.

Ущерб

Типы ущерба, который может понести Web-издатель, аналогичны тому, что описывалось для Web-читателя, а именно:

· разрушение их систем и сетей из-за ошибок в программах сервера и их конфигурации, небезопасных программ CGI(общий шлюзовой интерфейс), и непроверенных серверных апплетов

· финансовый ущерб из-за кражи служб, неплатежей за использование, мошенничеств с кредитными картами и т.д.

· конфиденциальность может быть нарушена, если организация раскроет конфиденциальную информацию о своих клиентах

· может быть нанесен ущерб репутации при изменении или потере информации, разглашении конфиденциальной информации о клиентах или отказе в доступе к сервису.

Угрозы

Ошибки в программах сервера или их конфигурации могут испортить или привести к порче информации или программ. Ошибки, связанные с безопасностью, были обнаружены во всех популярных Web-серверах для Unix.(От переводчика. Такие ошибки были обнаружены и в Microsoft Internet Information Server, что привело к ряду проникновений в Web-сервера в России в 1996 году). Большая часть ошибок была вызвана хроническими ошибками при программировании на языке C в Unix при обработке строк, переменных Среды, и использования вызова функции system(). Теоретически, так как для большинства серверов исходные тексты были доступны, то такие ошибки должны были бы быть сразу замечены пользователями в Интернете, загрузившими этот код. Но практически большинство пользователей загружает сразу и двоичный выполняемый модуль и никогда не анализирует исходный текст, или просто кратко просматривает его перед компиляцией и установкой. Пользователи думают, что кто-то более грамотный, чем они, уже исследовал код.

В большей части Web-серверов имеется некоторый вид управления доступом; они могут быть сконфигурированы таким образом, что будут принимать или отвергать соединения на основе Интернетовского адреса или доменного имени. Существует несколько проблем при использовании этого метода. Как уже описывалось выше, Интернетовские адреса и доменные имена являются плохим методом идентификации. Кроме того, даже если вы атакующий не может сконфигурировать свой компьютер так, чтобы он имел чужой адрес, трудно проверить, корректны ли правила конфигурации и правильно ли автор Web-сервера реализовал алгоритмы управления доступом.

У Web-серверов имеется масса дополнительных возможностей. Большая часть популярных возможностей очень хорошо проверена, но при использовании других пользователи уже столкнулись с рядом проблем. Если вы используете экзотическую или экспериментальную возможность, вы рискуете.

CGI-программы позволяют Web-серверу выполнять внешние программы при обращении к конкретному URL(универсальному локатору ресурсов). Это делает сервер шлюзом для обращения к другим программам, которые могут выполнять запрос к базе данных или оперативное создание HTML. К сожалению легко создать небезопасные CGI-программы, которые позволят атакующему перехитрить Web-сервер и выполнить другие программы. Только грамотное конфигурирование Web-сервера и CGI-программ, а также анализ кода CGI, могут предотвратить эти ошибки. (От переводчика. Осенью 1996 года в Москве имел место ряд проникновений в машины через Web-сервера из-за ошибки в CGI-программе, позволявшей атакующему получить файл паролей машины. К счастью эта группа хакеров, назвавшая себя Кибермыши с Марса, только хулиганила и помещала на головную HTML-страницу сервера ссылку на порнографический сервер - "Свободную зону" как признак своего проникновения.)

Если в Web-сервер проникли, то он может служить как отправная точка при атаке на другие системы и сети в организации. Может быть нарушена безопасность организации и ее клиентов, если на сервере хранились конфиденциальные данные. Системы управления производством могут бытьв выведены из строя. Если на сервере хранились финансовые данные, то они могут быть искажены или украдены. Может пострадать репутация организации, если эта информация будет злонамеренно искажена или клиентам будет отказано в сервисе.

Управление риском

Научитесь осуществлять централизованную координацию Web-публикаций в вашей организации. Установите процедуры проверки безопасности и целостности ваших Web-серверов и их содержимого.

Сделайте их простыми. Запустите Web-сервер на системе, с которой убрано все, то есть отключите ненужные сетевые протоколы, создайте минимальное число пользовательских счетов, и удалите ненужные программы.

Разбейте систему на части, чтобы ограничить ущерб, который может быть вам нанесен. Например:

· не помещайте конфиденциальные данные на общедоступный сервер

· не запускайте общедоступный сервер в вашей внутренней сети

· храните конфиденциальные данные клиентов, такие как информация о кредитных картах, на хорошо контролируемой системе, отдельно от Web-документов.

· если это возможно, храните данные, которые не будут изменяться, а только читаются, на среде, не допускающей возможность дозаписи данных.

· не проводите разработку программ на сервере. Держите компиляторы отдельно от сервера

· сконфигурируйте сеть и внутренние системы так, чтобы Web-сервер не считался доверенной системой

· не позволяйте этой машине иметь доступ ко внутренним ресурсам, таким как сетевые файловые системы, принтеры и счета пользователей.

Следите за сообщениями об ошибках в Web-программах, особенно связанных с безопасностью. Следите за разработками в области Web-безопасности, в области шифрования, аутентификации и протоколов электронных платежей.

Говорите производителям Web-программ, что качество более важно, чем новые возможности.

Итоги

Вы должны защищаться сами, так как другие меры защиты действуют "после того". Университет никогда не сможет заставить студентов не проникать в вашу систему. ФБР никогда не сможет вернуть вам деньги, потерянные в результате телемаркетинга. Вы не должны ждать, пока Интерпол станет расследовать ваше дело.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...