Безопасность IIS
[+]
Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 2186 / 313 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Темы: Интернет-технологии, Безопасность
Специальности: Специалист по безопасности, Архитектор программного обеспечения
Теги: asp, computer management, cookies, ERD, iis, ISAPI, NIDS, privacy, security policy, активное содержимое, анонимный доступ, аутентификация, безопасность, вирусы, группы новостей, интернет, интранет, каталоги, клиенты, политика, приложения, протоколы, серверы, шифрование, электронная почта
Лекция 12:

Секретность данных в интернете
A
|
версия для печати
< Лекция 11 || Лекция 12: 123456789101112 || Дополнительный материал 1 >

Средства построения и применения политик секретности

Специалисты в области информационной безопасности используют сетевые сканеры для обнаружения уязвимых мест сети. В настоящее время на рынке существуют также продукты и услуги, призванные помочь в применении и аудите политик секретности.

Продукты, предназначенные для обеспечения секретности в интернете

Мы уже упоминали средства построения политики, например, продукты организации Direct Marketing Association (DMA) и Организации экономического сотрудничества и развития (OECD). Генератор политики создает политику секретности, а другие продукты, описываемые в данном разделе, совершенствуют ее.

PrivacyRight

Компания PrivacyRight предлагает систему TrustFilter, упрощающую управление секретной информацией о клиентах. Она интегрируется со структурами управления информацией на предприятии, и основной ее функцией является разработка единой безопасной точки доступа к личной информации о клиенте. Пакет TrustFilter состоит из системы разрешений и сервера аудита. Система разрешения представляет собой промежуточную Java-платформу уровня предприятия, усиливающую контроль над секретностью посредством оценки запросов на данные и сопоставления их с наборами правил динамического контроля доступа. Система разрешений включает в себя набор правил секретности, созданных в соответствии с требованиями законов. Поддержка нескольких наборов правил делает возможной обработку ситуаций с конфликтующими законами (например, когда правила штата замещают федеральные правила).

Сервер аудита предназначен для IT-администраторов и потребителей, он управляет разрешениями и использованием данных. Он ведет запись функций системы TrustFilter, фиксирует детали аутентификации при запросах на раскрытие данных, а также разрешает и отклоняет эти запросы. Авторизованным пользователям по требованию представляется отчет аудита в виде твердой копии или в электронном виде. Администраторы могут просматривать отчеты с информацией об изменении политик и запросах на авторизацию, что помогает при вынесении положительных или отрицательных решений о доступе к данным.

IDcide

Семейство продуктов PrivacyWall от IDcide разработано для предотвращения нарушения сайтом секретности пользователей. PrivacyWall тщательно анализирует даже самые сложные веб-сайты и выводит отчет обо всех ключевых моментах, которые должны быть известны заинтересованному в секретности лицу. Например, отображает все личные вопросы, задаваемые на сайте, предупреждает о наличии веб-конструкций, вызывающих утечку секретных личных данных, выявляет веб-страницы со случайно опубликованными личными данными, а также обнаруживает веб-сайты, управление которыми осуществляется без разрешения руководства.

В семействе PrivacyWall представлено два продукта. Программа ProvacyWall Site Analyzer используется для удаленного анализа веб-сайтов либо самим администратором сайта, либо консультантом, лицензировавшим продукт. С помощью этой программы можно быстро разобраться в том, как на сайте реализована обработка личной информации, и разработать соответствующую политику секретности. Программа PrivacyWall Site Monitor обеспечивает необходимые инструменты для самостоятельной разработки средств обеспечения секретности и безопасности. Эта программа легко устанавливается в качестве пассивной части инфраструктуры и обеспечивает постоянный надзор за соответствием требованиям секретности.

IBM Tivoli Privacy Wizard

На сайте IBM можно бесплатно загрузить программу Tivoli Privacy Tool, предназначенную для преобразования письменной политики секретности в электронные правила секретности, которые могут использоваться предприятием и программным обеспечением для повышения уровня защиты или преобразовываться в стандартизированные наборы правил секретности, такие как P3P. С помощью этой программы можно импортировать имеющиеся политики или использовать графический интерфейс программы для создания и корректировки политик секретности согласно законам или требованиям организации. Данная программа определяет, кто может использовать данные, какие именно это данные, и с какими целями они могут быть использованы. В программе имеются автоматические ссылки на программное обеспечение, предназначенное для управления секретностью данных на предприятии.

Другие службы секретности

Если нет возможности заплатить за программы для обеспечения секретности, либо если в организации слишком мало сотрудников в этой области, можно привлечь кого-либо для частичной реализации поставленной задачи. Совет секретности предлагает услуги службы Privacy Scan для детальной проверки веб-сайта, в результате работы которой выявляется следующее:

  • перечень элементов cookie на сайте (включая расположения и сроки действия), а также наборы параметров и значений в формате P3P;
  • сравнение открытых действий элементов cookie с установленной политикой секретности;
  • представление журналов cookie, комбинаций элементов cookie и форм, а также информации, связанной с безопасностью cookie;
  • результаты тестирования безопасности и конкретные рекомендации относительно общих правил соблюдения секретности, особенно касательно политик P3P, а также информация об аспектах соответствия.

После сканирования специалисты Совета секретности анализируют данные относительно индустриальных законов и подходов, а также изучают установленную в компании политику секретности. Они создают отчет, в который включают все обнаруженные аспекты, конкретные рекомендации и инструкции по дальнейшим действиям. Аналогичные услуги предоставляют большие консалтинговые фирмы (например, PricewaterhouseCoopers и IBM Global Services) либо небольшие компании, такие как ePrivacy Group.

Логотипы секретности в интернете

В данном разделе приводится информация о программах, предусматривающих размещение на сайтах логотипов секретности. Основная цель этого размещения заключается в лицензировании логотипа у соответствующей ему организации, как правило, за определенную плату. Сайт приводится в соответствие стандартам, представляемым логотипом. Когда пользователь щелкает на логотипе, появляется сообщение, уведомляющее его об этом.

TRUSTe

Будучи некоммерческой организацией, созданной совместными усилиями многих крупнейших интернет-компаний, TRUSTe разработала широко известный сегодня логотип секретности. Программа логотипа секретности TRUSTe основана на трех основных элементах.

  • Программные принципы. Призваны обеспечить реализацию на сайте честных информационных взаимодействий.
  • Контроль. Меры, предпринимаемые TRUSTe для обеспечения соответствия лицензированных веб-сайтов установленным политикам секретности.
  • Резолюция. Роль, которую выполняет TRUSTe при обработке вопросов и жалоб, поступающих от потребителей в отношении сайта.

После прохождения формальностей для получения лицензии представитель TRUSTe проводит исследование сайта на соответствие принципам программы, требованиям секретности и использованию метки доверия. Представитель организации будет периодически контролировать сайт для проверки заявленной политики секретности, а также на наличие изменений.

TRUSTe "просеивает" веб-сайты, учитывая уникальные идентификаторы в базе данных сайтов. Без вашего ведома TRUSTe отправит на сайт информацию об уникальном пользователе и проведет отслеживание результатов для проверки того, соответствует ли процесс сбора и использования информации установленной политике. В дополнение к этому TRUSTe разработала удобную интерактивную форму отчетов, с помощью которой любой пользователь может сообщать о подозрениях в нецелевом использовании логотипа доверия. Ключевым моментом, обуславливающим успешную деятельность программы TRUSTe, является возможность сообщать обладателю лицензии о нарушениях установленных политик секретности, нецелевом использовании логотипа доверия TRUSTe или об определенных моментах, связанных с секретностью. Для получения более подробной информации посетите сайт http://truste.org.

BBBOnLine

Программа BBBOnLine Privacy предоставляет логотип секретности компаниям, сайты которых соответствуют стандартам, установленным в требованиях программы. Они включают в себя размещение онлайнового уведомления о секретности, всестороннее обеспечение секретности, отслеживание и обзор доверенной организации, а также участие в программах разрешения вопросов потребителей. За дополнительной информацией обратитесь к сайту http://bbbonline.com.

Специализированные логотипы

Имеются также логотипы Children’s Privacy (защита секретности информации, получаемой от детей), EU Safe Harbor и E-Health (секретность информации о состоянии здоровья) от компании TRUSTe. Для подтверждения доверия к сайту используется логотип BBBOnLine Reliability Seal (логотип надежности), подтверждающий надежность записей клиента интернет-магазина. Компания Health On the Net (http://www.hon.ch/), клиентами которой являются сайты медицинского и здравоохранительного направления, предоставляет логотип HONcode, подтверждающий надежность и доверие к информации о здравоохранении на веб-сайтах.

Дальше >>
< Лекция 11 || Лекция 12: 123456789101112 || Дополнительный материал 1 >

Вопросы и ответы

вопросов: 0