Информационная безопасность. 
Автоматизированная информационная система

В современных условиях профессиональная деятельность сопряжена с оперированием большими объемами информации, которая производится широким кругом лиц. Защита данных от несанкционированного доступа является одной из приоритетных задач при проектировании любой информационной системы.

Web-приложения нельзя рассматривать в отрыве от среды, в которой они выполняются. Web-приложение работает в рамках операционной системы и серверного программного обеспечения, использует сервисные функции операционной системы и других программных продуктов.

Для управления Web-проектом используются компьютеры администраторов и привилегированных пользователей со своими операционными системами, программным обеспечением и уязвимостями. Эти компьютеры, как правило, входят в состав корпоративной информационной системы (КИС) компании, управляющей проектом.

Составляющие Web-проекта с точки зрения обеспечения его безопасности могут быть представлены следующим образом:

• 1. Информационная среда Web-сервера:
  • ? операционная система;
  • ? Web-сервер;
  • ? среда программирования;
  • ? СУБД;
  • ? средства защиты Web-сервера;
• 2. Информационная среда администраторов Web-проекта:
  • ? КИС компании, управляющей проектом;
  • ? система антивирусной защиты КИС;
  • ? средства защиты КИС от атак из сети Интернет;
  • ? средства защиты КИС от утечек информации;
• 3. Сторонние Web-приложения.

К основным аспектам информационной безопасности, имеющим непосредственное отношение к разработке веб-приложений, относятся:

• ? безопасность при программировании;
• ? безопасность при работе с СУБД;
• ? разграничение прав доступа персонала.

Наряду с обеспечением безопасности программной среды, важнейшим будет вопрос защиты Web-сервера.

Архитектура разрабатываемого интернет-офиса представлена на рис. 4.1.

Рис. 4.1. Архитектура интернет-офиса агентства недвижимости «Лидер»

Данная архитектура предотвращает получение прямого доступа внешних пользователей web-сервера к внутренней сети агентства недвижимости, смягчает риски размещения web-сервера во внутренней сети или размещения его непосредственно в Интернете, а также допускает доступ к информационным ресурсам как для внутренних, так и для внешних пользователей.

Преимущества архитектуры разрабатываемого интернет-офиса с точки зрения безопасности:

• ? защита web-сервера, так как сетевой трафик к web-серверу и от web-сервера может анализироваться;
• ? компрометация web-сервера непосредственно не угрожает внутренней сети предприятия;
• ? сетевая конфигурация может быть оптимизирована для поддержки и защиты web-сервера.

Уязвимости архитектуры интернет-офиса с точки зрения безопасности:

• ? DoS-атаки (от англ. Denial of Service, отказ в обслуживании), направленные на web-сервер, могут воздействовать на внутреннюю сеть.
• ? атаки IP-spoofing (подмена IP адресов и передача ложных сообщений), направленные на web-сервер с IP-адресов внутренней сети.

Сетевые приложения могут использоваться для осуществления атаки на web-сервер, поэтому для уменьшения потенциальных возможностей атаки необходимо сократить количество используемых приложений в сети, просто отключив ненужные службы и приложения и установив брандмауэр с определённым списком управления доступом.

Выявление атак, связанных с подменой IP адресов, возможно при контроле получения пакетов с адресами компьютеров на локальном уровне или при контроле получения на web-сервере пакетов с IP адресами внутренней сети и проверке шифрованных паролей пользователей.

Ответственность за работоспособность серверного оборудования и программ, а также за возможность санкционированного доступа к ресурсам web-сервера пользователей сети Интернет и сотрудников компании несет администратор системы.

Для обеспечения максимальной безопасности необходимо применять комплексный подход к защите разрабатываемой системы.