Опубликован: 31.07.2006 | Доступ: свободный | Студентов: 14653 / 3122 | Оценка: 4.17 / 3.80 | Длительность: 34:21:00
ISBN: 978-5-9570-0046-9
Лекция 17:

Электронная коммерция: требования к безопасности

Разработка архитектуры электронной коммерции

Давайте теперь обобщим все обсужденные аспекты. На рисунке 17.6 представлена схема всего сайта электронной коммерции в целом. Здесь изображены архитектурные компоненты, обеспечивающие полноценный сайт с высокой степенью доступности и большим объемом проходящего трафика. В зависимости от количества трафика и установленных требований безопасности некоторые из компонентов могут не являться необходимыми.

Расположение сервера и соединения

Рассматривается сайт с высокой степенью доступности и большим объемом обрабатываемого трафика. Организация имеет связь с двумя различными провайдерами интернет-услуг, и с ними достигнуто соглашение об использовании BGP для обеспечения отказоустойчивой маршрутизации. В данном случае подразумевается, что организация предпочла разместить свои серверы электронной коммерции в одном помещении. Данная архитектура могла бы быть расширена для включения других зданий.

Маршрутизаторы, коммутаторы и межсетевые экраны, подключенные к интернету, соединены между собой таким образом, что сбой в любом компоненте никак не повлияет на трафик сайта. За межсетевыми экранами два коммутатора прикладного уровня обеспечивают распределение нагрузки между веб-серверами. Веб-серверы защищены межсетевыми экранами от атак по всем портам, кроме 80 и 443.

Веб-серверы имеют второй сетевой интерфейс, обеспечивающий соединение с сетью, в которой расположены серверы приложений. Веб-серверы передают информацию серверам приложений, запрашивающим базы данных и передающим данные клиента на веб-серверы. Двойные межсетевые экраны соединяют сеть сервера приложений с внутренней сетью организации, в которой находится сервер базы данных. Стоимость этих свойств доступности более чем в два раза превышает стоимость базового интернет-сайта. Такая структура требует наличия, по крайней мере, двух объектов из всех сетевых компонентов и серверов, а также предусматривает использование коммутаторов прикладного уровня. В зависимости от нагрузки трафиком число веб-серверов и серверов приложений велико (например, более чем 20 единиц каждого из объектов). Это обстоятельство также требует того, чтобы сервер базы данных имел возможность обработки большого числа транзакций в секунду.

Архитектура системы электронной коммерции для сайта с высокой степенью доступности

увеличить изображение
Рис. 17.6. Архитектура системы электронной коммерции для сайта с высокой степенью доступности

Примечание

Если для сайта ключевым фактором является уровень задержек, можно убрать межсетевые экраны. Хотя это и неразумно с точки зрения безопасности, данный шаг необходим для обеспечения требований, предъявляемых к уровню задержек. В данном случае маршрутизаторы должны быть настроены на фильтрацию всего трафика, а не только трафика, поступающего через порты 80 и 443.

Сканирование уязвимостей

Для периодического сканирования всех систем имеется стандартная программа. Сканирование осуществляется из четырех местоположений.

  • Вне зоны, охраняемой межсетевым экраном; показывает, какие порты являются разрешенными межсетевым экраном, и какие уязвимости видны из интернета.
  • В сети веб-сервера для обнаружения служб и уязвимостей на веб-серверах.
  • В сети сервера приложений для обнаружения служб и уязвимостей на втором интерфейсе веб-сервера и на серверах приложений.
  • Во внутренней сети организации для обнаружения служб и уязвимостей в сервере базы данных.

Эти действия по сканированию выполняются ежемесячно, и исправление уязвимостей отслеживается. Новые системы сканируются перед вводом в эксплуатацию.

Данные аудита и обнаружение проблем

Протоколы аудита на сервере базы данных проверяются для обнаружения внутренних сотрудников, которые осуществляют попытки внесения изменений в базу данных. Ключевые файлы на веб-серверах и серверах приложений проверяются на изменения через каждые 10 минут для быстрого обнаружения систем, в которые могут проникнуть злоумышленники.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Виталий Гордиевских
Виталий Гордиевских

Здравстивуйте, диплом о профессиональной переподготовке по программе "Сетевые технологии" дает право на ведение профессиональной деятельности в какой сфере? Что будет написано в дипломе? (В образце просто ничего неуказано)

Напимер мне нужно чтоб он подходил для направления 09.03.01 Информатика и вычислительная техника

Марина Дайнеко
Марина Дайнеко
Россия, Moscow, Nope, 2008
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989