Электронная коммерция: требования к безопасности

Разработка архитектуры сайта электронной коммерции

Данный проект показывает этапы разработки сайта, предназначенного для реализации электронной коммерции. В рамках данного проекта будем считать, что банку требуется предоставить своим клиентам домашнюю банковскую систему. У банка уже имеется центр данных с соответствующими мерами физической безопасности. Вся информация об учетных записях клиентов хранится на главном компьютере. У каждого клиента есть личный идентификационный номер PIN, используемый на автоматизированных банкоматах.

Руководство банка приняло решение предоставлять клиентам доступ к их учетным записям для выполнения следующих действий.

• Передача средств между учетными записями в банке.
• Заказ по чеку.
• Проверка баланса учетных записей и просмотр недавних транзакций.
• Платежи по счету через партнера (клиент для этого будет перенаправлен к партнеру через веб-сайт без необходимости повторного входа в систему).

Шаг за шагом

1. Начните с определения требований безопасности для системы относительно каждого из четырех аспектов: конфиденциальность, целостность, доступность и аутентификация.
2. Разработайте структуру высокоуровневой системы, соответствующую требованиям безопасности. Для данной части системы предположите, что система будет взаимодействовать с главным компьютером для получения информации об учетной записи клиента и для выполнения передачи данных и чековых заказов.
3. Определите конкретные требования безопасности для каждого компонента системы: система-клиент, веб-сервер, приложение и база данных.
4. Определите общую архитектуру системы, включая компоненты для защиты каждой системы.
5. Добавьте к имеющейся структуре дополнительные системы для соответствия требованиям доступности.

Выводы

Данный проект является серьезным проектом разработки и требует усилий большого числа людей. Не забывайте сфокусировать внимание на аспектах безопасности структур. Это позволит получить более детальное представление о том, что такое процесс разработки. Для корректного выполнения данной работы необходимо оценить риск, представляемый для банка, и определить соответствующие контрмеры для управления этим риском.

Контрольные вопросы

1. Какая служба безопасности является наиболее критичной для электронной коммерции?
2. Какой тип электронной коммерции обуславливает возникновение самых больших проблем с течением времени?
3. Что подразумевается под термином "всемирное время"?
4. Можно ли напрямую оценить убытки компании во время ее бездействия?
5. Если информация должна храниться на системе-клиенте, что необходимо использовать для защиты конфиденциальности информации?
6. Где должна храниться информация о клиентах на сайте электронной коммерции?
7. Где должны быть расположены серверы электронной коммерции, взаимодействующие с клиентом?
8. Где должны находиться веб-страницы при настройке веб-сервера?
9. В каком файле должны быть определены файлы .cgi и .pl, чтобы программы выполнялись без отображения исходного кода на веб-странице.
10. Если в транзакции задействована секретная информация, какое местоположение является наиболее рекомендуемым для хранения информации сеанса?
11. Во время этапа разработки проекта разработчики должны предотвращать переполнение буфера посредством запрета на прямую передачу введенных ими данных командам оболочки и _____________.
12. В трехзвенной архитектуре электронной коммерции имеет ли сервер базы данных связь с интерфейсными веб-серверами?
13. Какие методы сканирования уязвимостей должны проводиться на коммерческих сайтах?
14. Какие системы больше всего подходят для выявления проблем, связанных с контролем конфигурации?
15. Может ли доступность полностью обеспечиваться избыточным оборудованием?