Украина |
Безопасность в Веб-разработке
17.5.3.3. Пример настройки для IIS 7
- Зайти в сертификаты сервера (рис. 17.24).
- Создать "самозаверенный" сертификат (рис. 17.25).
- Зайти в привязки сайта (рис. 17.26).
- Добавить привязку по https. В качестве сертификата выбрать созданный ssl сертификат (рис. 17.27).
17.5.4. Ключевые термины
17.6. Краткие итоги
Безопасность информации (данных) – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
Информационная безопасность – защита конфиденциальности, целостности и доступности информации.
Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:
- Законодательная, нормативно-правовая и научная база.
- Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
- Организационно-технические и режимные меры и методы (Политика информационной безопасности).
- Программно-технические способы и средства обеспечения информационной безопасности.
Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Виды угроз и способы борьбы с ними:
- Аутентификация (Authentication)
- Авторизация (Authorization)
- Атаки на клиентов (Client-side Attacks)
- Выполнение кода (Command Execution)
- Переполнение буфера (Buffer Overflow)
- Атака на функции форматирования строк (Format String Attack)
- Внедрение операторов LDAP (LDAP Injection)
- Выполнение команд ОС (OS Commanding)
- Внедрение операторов SQL (SQL Injection)
- Внедрение серверных расширений (SSI Injection)
- Внедрение операторов XPath (XPath Injection)
- Разглашение информации (Information Disclosure)
- Логические атаки (Logical Attacks)
- Вирусы и приложения типа "троянский конь"
XSS ( Сross Site Sсriрting ) – тип уязвимости интерактивных информационных систем в Интернете, возникающий, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты.
XSS -фильтр работает как компонент IE8, который просматривает все запросы и ответы, проходящие через браузер.
Фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям.
Internet Explorer 8 имеет фильтр SmartScreen.
Data Execution Prevention – функция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как "только для данных".
DEP в Internet Explorer 8 помогает избежать атак путем предотвращения запуска кода, размещенного в участке памяти, помеченном как неисполняемый.
SSL – криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером.
SSL предоставляет канал, имеющий 3 основные свойства:
- Аутентификация;
- Надежность;
- Частность канала.
HTTPS – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, "упаковываются" в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных.