МЕТОДИКА РАЗРАБОТКИ KOMПЛЕКСА СРЕДСТВ ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПACНОСТИ ИНТЕРНЕТ-МАГАЗИНА
|
Введение 5
1 Разработка и описание жизненного цикла создания
безопасного интернет-магазина 7
1.1 Жизненный цикл разработки защищенных приложений,
представленный Microsoft 7
1.2 Жизненный цикл разработки безопасного интернет-магазина ... 9
1.2.1 Составление модели жизненного цикла разработки
безопасного интернет-магазина 9
1.2.2 Составление требований к информационной
безопасности интернет-магазина 10
1.2.3 Безопасная разработка 12
1.2.3.1 Разработка модели угроз информационной
безопасности при реализации разработки интернет- магазина 12
1.2.3.2 Проведение статического и динамического
тестирования 13
1.2.3.3 Проведение функционального тестирования .... 16
1.2.3.4 Проведение фаззинг-тестирования 17
1.2.4 Безопасное развертывание 18
1.2.4.1 Внедрение дополнительных систем для
большей безопасности приложения 18
1.2.4.2 Наличие SSL-сертификата 19
1.2.4.3 Проверка на наличие наиболее популярных
уязвимостей 21
1.2.4.4 Проведение тестирования на проникновение ... 21
1.2.4.5 Выполнение требований для сертификации PCI DSS 22
1.2.5 Безопасное использование 24
2 Разработка комплекса средств для информационной безопасности
интернет-магазина 26
2.1 Разработка модели жизненного цикла безопасного интернет-
магазина 26
2.2 Проверка системы с помощью модели угроз STRIDE и
разработанной модели угроз персональных данных 26
2.2.1 Составление модели угроз STRIDE 26
2.2.2 Составление модели угроз персональных данных 27
2.3 Использование статического анализатора кода SonarQube 28
2.3.1 Установка необходимых компонентов 28
2.3.2 Настройка подключения к SQL серверу 28
2.3.3 Настройка SonarQube 28
2.3.4 Запуск Sonar Scanner 30
2.4 Проведение функционального тестирования ручным и
автоматическим способом 30
2.4.1 Проведение тестирования ручным способом 30
2.4.2 Использование Selenium WebDriver для
автоматического функционального тестирования интернет- магазина 33
2.4.2.1 Установка необходимых компонентов 33
2.4.2.2 Создание теста с помощью Selenium WebDriver 34
2.5 Использование Burp Suite Intruder для фаззинг-тестирования
интернет-магазина 35
2.5.1 Установка и настройка компонентов Burp Suite 35
2.5.2 Запуск фаззинг-тестирования 36
2.6 Использование OWASP ZAP для проведения тестирования на
проникновение 36
2.7 Внедрение системы разграничения доступа 38
2.8 Внедрение парольной политики 40
2.9 Внедрение системы хеширования паролей с добавлением
оригинальных дополнительный данных для каждого регистрируемого пользователя 41
2.10 Установка SSL сертификата 42
2.11 Использование сервиса Cloudflare 42
2.11.1 Подключение сайта к сервису Cloudflare 42
2.11.2 Настройка WAF Cloudflare 44
2.11.3 Установка HTTPS протокола на Cloudflare 45
2.12 Проведение регулярного резервного копирования сайта 45
3 Разработка модели угроз информационной безопасности интернет-
магазина 47
3.1 Общие положения 47
3.2 Описание систем и сетей и их характеристика как объектов
защиты 49
3.3 Возможные негативные последствия от реализации
(возникновения) угроз безопасности информации 51
3.4 Возможные объекты воздействия угроз безопасности
информации 52
3.5 Источники угроз безопасности информации 55
3.6 Способы реализации (возникновения) угроз безопасности
информации 62
3.7 Возможные уязвимости 63
3.8 Актуальные угрозы безопасности информации 63
3.9 Меры защиты от выявленных угроз 64
4 Вредные психофизиологические факторы, влияющие на сердечно-сосудистую систему специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие . 89
Заключение 91
Список используемых источников 92
1 Разработка и описание жизненного цикла создания
безопасного интернет-магазина 7
1.1 Жизненный цикл разработки защищенных приложений,
представленный Microsoft 7
1.2 Жизненный цикл разработки безопасного интернет-магазина ... 9
1.2.1 Составление модели жизненного цикла разработки
безопасного интернет-магазина 9
1.2.2 Составление требований к информационной
безопасности интернет-магазина 10
1.2.3 Безопасная разработка 12
1.2.3.1 Разработка модели угроз информационной
безопасности при реализации разработки интернет- магазина 12
1.2.3.2 Проведение статического и динамического
тестирования 13
1.2.3.3 Проведение функционального тестирования .... 16
1.2.3.4 Проведение фаззинг-тестирования 17
1.2.4 Безопасное развертывание 18
1.2.4.1 Внедрение дополнительных систем для
большей безопасности приложения 18
1.2.4.2 Наличие SSL-сертификата 19
1.2.4.3 Проверка на наличие наиболее популярных
уязвимостей 21
1.2.4.4 Проведение тестирования на проникновение ... 21
1.2.4.5 Выполнение требований для сертификации PCI DSS 22
1.2.5 Безопасное использование 24
2 Разработка комплекса средств для информационной безопасности
интернет-магазина 26
2.1 Разработка модели жизненного цикла безопасного интернет-
магазина 26
2.2 Проверка системы с помощью модели угроз STRIDE и
разработанной модели угроз персональных данных 26
2.2.1 Составление модели угроз STRIDE 26
2.2.2 Составление модели угроз персональных данных 27
2.3 Использование статического анализатора кода SonarQube 28
2.3.1 Установка необходимых компонентов 28
2.3.2 Настройка подключения к SQL серверу 28
2.3.3 Настройка SonarQube 28
2.3.4 Запуск Sonar Scanner 30
2.4 Проведение функционального тестирования ручным и
автоматическим способом 30
2.4.1 Проведение тестирования ручным способом 30
2.4.2 Использование Selenium WebDriver для
автоматического функционального тестирования интернет- магазина 33
2.4.2.1 Установка необходимых компонентов 33
2.4.2.2 Создание теста с помощью Selenium WebDriver 34
2.5 Использование Burp Suite Intruder для фаззинг-тестирования
интернет-магазина 35
2.5.1 Установка и настройка компонентов Burp Suite 35
2.5.2 Запуск фаззинг-тестирования 36
2.6 Использование OWASP ZAP для проведения тестирования на
проникновение 36
2.7 Внедрение системы разграничения доступа 38
2.8 Внедрение парольной политики 40
2.9 Внедрение системы хеширования паролей с добавлением
оригинальных дополнительный данных для каждого регистрируемого пользователя 41
2.10 Установка SSL сертификата 42
2.11 Использование сервиса Cloudflare 42
2.11.1 Подключение сайта к сервису Cloudflare 42
2.11.2 Настройка WAF Cloudflare 44
2.11.3 Установка HTTPS протокола на Cloudflare 45
2.12 Проведение регулярного резервного копирования сайта 45
3 Разработка модели угроз информационной безопасности интернет-
магазина 47
3.1 Общие положения 47
3.2 Описание систем и сетей и их характеристика как объектов
защиты 49
3.3 Возможные негативные последствия от реализации
(возникновения) угроз безопасности информации 51
3.4 Возможные объекты воздействия угроз безопасности
информации 52
3.5 Источники угроз безопасности информации 55
3.6 Способы реализации (возникновения) угроз безопасности
информации 62
3.7 Возможные уязвимости 63
3.8 Актуальные угрозы безопасности информации 63
3.9 Меры защиты от выявленных угроз 64
4 Вредные психофизиологические факторы, влияющие на сердечно-сосудистую систему специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие . 89
Заключение 91
Список используемых источников 92
Каждый день в интернете появляется множество новых интернет- магазинов, предоставляющих различные товары и услуги. В современном мире существует несколько вариантов создания интернет-магазина, но все они могут быть подвержены атакам злоумышленников. Согласно исследованию Positive Technologies [1] нарушители могли проводить атаки на пользователей веб-приложений в 98% случаях.
Часто неопытные разработчики допускают множество ошибок в процессе разработки или настройке сайта, начиная от выбора сомнительного хостинга и заканчивая установкой вредоносного программного обеспечения на свой персональный компьютер. Этим и пользуются злоумышленники. К последствиям взлома можно отнести утечку персональных данных пользователей, размещение вредоносного программного обеспечения на взломанном сайте, подмены информации на сайте или же полное удаление всего сайта. Не редко малоизвестные сайты не могут продолжать поддерживать работоспособность своего сайта из-за отсутствия навыков и опыта при взломе.
Одной из главных причин взлома являются уязвимости, которые были допущены самими разработчиками в процессе разработки веб-приложения. Чтобы уменьшить шанс взлома сайта, необходимо постоянно углубляться в тематику безопасности разрабатываемого приложения и придерживаться основным правилам администрирования веб-приложения, чтобы уменьшить возможности злоумышленников и лучше обезопасить свой сайт.
Целью настоящей дипломной работы является разработка методики разработки комплекса средств для обеспечения информационной безопасности интернет-магазина.
Одним из самых первых действий при создании безопасного интернет - магазина является выбор, каким именно способом будет разработан интернет- магазин, так как от этого будут зависеть дальнейшие способы его управления и модификации. В настоящее время существуют три основных способа реализации интернет-магазина, включающие:
- создание с помощью конструкторов сайтов;
- создание при помощи CMS;
- создание при помощи различных специализируемых фреймворков.
В данной методике будут рассматриваться только два последних варианта, так как при использовании конструкторов отсутствует возможность как-то влиять на код или безопасность создаваемого сайта. Представленные методы защиты подойдут к обоим способам реализации интернет-магазина, несмотря на их особенности в разработке.
Данная методика подойдет владельцам интернет-магазинов для грамотного составления требований к безопасности сайта, а также подойдет самим разработчикам для осуществления структурированной и поэтапной разработки безопасного веб-приложения.
В качестве операционной системы будет использована Windows 10 (microsoft.com). Хостинг будет использоваться от компании TimeWeb (timeweb.com).
Часто неопытные разработчики допускают множество ошибок в процессе разработки или настройке сайта, начиная от выбора сомнительного хостинга и заканчивая установкой вредоносного программного обеспечения на свой персональный компьютер. Этим и пользуются злоумышленники. К последствиям взлома можно отнести утечку персональных данных пользователей, размещение вредоносного программного обеспечения на взломанном сайте, подмены информации на сайте или же полное удаление всего сайта. Не редко малоизвестные сайты не могут продолжать поддерживать работоспособность своего сайта из-за отсутствия навыков и опыта при взломе.
Одной из главных причин взлома являются уязвимости, которые были допущены самими разработчиками в процессе разработки веб-приложения. Чтобы уменьшить шанс взлома сайта, необходимо постоянно углубляться в тематику безопасности разрабатываемого приложения и придерживаться основным правилам администрирования веб-приложения, чтобы уменьшить возможности злоумышленников и лучше обезопасить свой сайт.
Целью настоящей дипломной работы является разработка методики разработки комплекса средств для обеспечения информационной безопасности интернет-магазина.
Одним из самых первых действий при создании безопасного интернет - магазина является выбор, каким именно способом будет разработан интернет- магазин, так как от этого будут зависеть дальнейшие способы его управления и модификации. В настоящее время существуют три основных способа реализации интернет-магазина, включающие:
- создание с помощью конструкторов сайтов;
- создание при помощи CMS;
- создание при помощи различных специализируемых фреймворков.
В данной методике будут рассматриваться только два последних варианта, так как при использовании конструкторов отсутствует возможность как-то влиять на код или безопасность создаваемого сайта. Представленные методы защиты подойдут к обоим способам реализации интернет-магазина, несмотря на их особенности в разработке.
Данная методика подойдет владельцам интернет-магазинов для грамотного составления требований к безопасности сайта, а также подойдет самим разработчикам для осуществления структурированной и поэтапной разработки безопасного веб-приложения.
В качестве операционной системы будет использована Windows 10 (microsoft.com). Хостинг будет использоваться от компании TimeWeb (timeweb.com).
В результате выполнения выпускной квалификационной работы была разработана методика разработки комплекса средств для обеспечения информационной безопасности интернет-магазина.
В процессе работы был составлен и описан жизненный цикл разработки безопасного интернет-магазина. Были описаны базовые требования на каждом из этапов жизненного цикла.
На втором этапе были описаны организационные и программные методы и средства защиты при разработке безопасного интернет-магазина. Составлен примерный перечень действий для каждого из представленных методов защиты.
На третьем этапе была составлена модели угроз информационной безопасности интернет-магазина включающая в себя:
- все последствия, которые могут возникнуть в случае реализации угроз;
- возможные объекты для атак;
- вероятных злоумышленников и их возможности;
- возможные способы реализации угроз;
- возможные угрозы и способы их предотвращения.
Разработаны организационные и технические мероприятия для снижения воздействия психофизиологических факторов, влияющих на сердечно-сосудистую систему специалиста по защите информации.
Результатом выпускной квалификационной работы является разработанный комплекс средств для обеспечения информационной безопасности интернет-магазина, включающий в себя модель жизненного цикла разработки интернет-магазина, используемые программные и организационные методы и средства, составленную модель угроз информационной безопасности персональных данных посетителей интернет-магазина.
Таким образом, задание на выпускную квалификационную работу выполнено в полном объеме.
В процессе работы был составлен и описан жизненный цикл разработки безопасного интернет-магазина. Были описаны базовые требования на каждом из этапов жизненного цикла.
На втором этапе были описаны организационные и программные методы и средства защиты при разработке безопасного интернет-магазина. Составлен примерный перечень действий для каждого из представленных методов защиты.
На третьем этапе была составлена модели угроз информационной безопасности интернет-магазина включающая в себя:
- все последствия, которые могут возникнуть в случае реализации угроз;
- возможные объекты для атак;
- вероятных злоумышленников и их возможности;
- возможные способы реализации угроз;
- возможные угрозы и способы их предотвращения.
Разработаны организационные и технические мероприятия для снижения воздействия психофизиологических факторов, влияющих на сердечно-сосудистую систему специалиста по защите информации.
Результатом выпускной квалификационной работы является разработанный комплекс средств для обеспечения информационной безопасности интернет-магазина, включающий в себя модель жизненного цикла разработки интернет-магазина, используемые программные и организационные методы и средства, составленную модель угроз информационной безопасности персональных данных посетителей интернет-магазина.
Таким образом, задание на выпускную квалификационную работу выполнено в полном объеме.