Управление безопасностью сайта
|
ВВЕДЕНИЕ 5
1.Основы обеспечения безопасности Веб-сайта 6
Процесс функционирования Веб-сайта 9
Анализ угроз для функционирования Веб-сайта 13
Уязвимости внедрения и межсайтового скриптинга (XSS).
Межсайтовый запрос / подделка ссылок (CSRF) 14
Проблемы аутентификации и управления сессиями 15
Недостаточная защита транспортного уровня 15
SQL-инъекция 16
Распределенная атака типа «отказ в обслуживании» (DDoS) 16
Неправильная настройка безопасности 17
1.3.Анализ возможностей подходов для обеспечения безопасности Веб-сайта 17
Предотвращение уязвимостей
Устранение уязвимостей: проверка и тестирование 18
Предотвращение, обнаружение и устойчивость к вторжениям 18
Оценка методов защиты
Разработка аналитической, математической модели в условиях глобальной
сетиинтернет
Общий подход к разработке метод
Проектирование сетевой модели образования угроз веб-сайта 27
Сетевая модель угроз 28
Сетевая модель мониторинга веб-сервера
Сетевая модель устранения проблемы Веб-сайта
Сетевая модель функционирования Веб-сайта 40
Оценивание показателя эффективности реализации управленческих решений Вебсайта 45
Проектирование и разработка технологии обеспечения Информационной безопасности
функционирования Веб-сайта
Проектирование Веб-сайта
Проектирование Front-end 53
Проектирование Back-end 55
Проектирование базы-данных 58
Разработка технологии обеспечения Информационной безопасности
функционирования Веб-сайта 60
3.2.1. Разработка front-end части и обеспечение безопасности передачи информации 61
Разработка back-end части и обеспечение безопасности передачи информации 62
Разработка базы-данных и обеспечение безопасности передачи информации 64
Разработка предложений по совершенствованию системы обеспечения информационной безопасности
Заключение 68
Источники
1.Основы обеспечения безопасности Веб-сайта 6
Процесс функционирования Веб-сайта 9
Анализ угроз для функционирования Веб-сайта 13
Уязвимости внедрения и межсайтового скриптинга (XSS).
Межсайтовый запрос / подделка ссылок (CSRF) 14
Проблемы аутентификации и управления сессиями 15
Недостаточная защита транспортного уровня 15
SQL-инъекция 16
Распределенная атака типа «отказ в обслуживании» (DDoS) 16
Неправильная настройка безопасности 17
1.3.Анализ возможностей подходов для обеспечения безопасности Веб-сайта 17
Предотвращение уязвимостей
Устранение уязвимостей: проверка и тестирование 18
Предотвращение, обнаружение и устойчивость к вторжениям 18
Оценка методов защиты
Разработка аналитической, математической модели в условиях глобальной
сетиинтернет
Общий подход к разработке метод
Проектирование сетевой модели образования угроз веб-сайта 27
Сетевая модель угроз 28
Сетевая модель мониторинга веб-сервера
Сетевая модель устранения проблемы Веб-сайта
Сетевая модель функционирования Веб-сайта 40
Оценивание показателя эффективности реализации управленческих решений Вебсайта 45
Проектирование и разработка технологии обеспечения Информационной безопасности
функционирования Веб-сайта
Проектирование Веб-сайта
Проектирование Front-end 53
Проектирование Back-end 55
Проектирование базы-данных 58
Разработка технологии обеспечения Информационной безопасности
функционирования Веб-сайта 60
3.2.1. Разработка front-end части и обеспечение безопасности передачи информации 61
Разработка back-end части и обеспечение безопасности передачи информации 62
Разработка базы-данных и обеспечение безопасности передачи информации 64
Разработка предложений по совершенствованию системы обеспечения информационной безопасности
Заключение 68
Источники
Internet - всемирная система объединённых компьютерных сетей для хранения и передачи информации. В большинстве своём, информационные системы создаются в виде веб-сайтов. В связи с этим существуют различные атаки и угрозы несанкционированного доступа к персональным данным пользователям и базам данных различных веб-ресурсов. Атаки и угрозы распространены в сети и веб-технологиях, из-за несовершенства информационных технологий, отсутствие защиты ПО и других факторов.
Веб-серверы и Веб-сайты - это объекты, которые постоянно подвергаются опасности и уязвимостям со стороны злоумышленников. Веб-серверы являются самым уязвимым элементов в функционировании Веб-сайта, к которым хакер может получить доступ к конфиденциальным данным, размещенным на сервере и изменить их содержимое, тем самым нарушить целостность системы, а также вывести из строя сервер с помощью распределенной атаки (DDoS-атака), которая приведет к отказу в доступе пользователям.
Данная совокупность факторов определяет актуальность настоящей ВКР, целью является выбрать и обосновать условия обеспечения информационной безопасности Веб-сайта в условиях глобальной сети интернет на основе разработки аналитической и математической модели.
Для достижения этой цели в работе поставлена и решена следующая задача - осуществить анализ существующих угроз, стандартных средств защиты клиент- серверных связей и создать на основе полученных результатов прототип безопасного веб-ресурса.
Веб-серверы и Веб-сайты - это объекты, которые постоянно подвергаются опасности и уязвимостям со стороны злоумышленников. Веб-серверы являются самым уязвимым элементов в функционировании Веб-сайта, к которым хакер может получить доступ к конфиденциальным данным, размещенным на сервере и изменить их содержимое, тем самым нарушить целостность системы, а также вывести из строя сервер с помощью распределенной атаки (DDoS-атака), которая приведет к отказу в доступе пользователям.
Данная совокупность факторов определяет актуальность настоящей ВКР, целью является выбрать и обосновать условия обеспечения информационной безопасности Веб-сайта в условиях глобальной сети интернет на основе разработки аналитической и математической модели.
Для достижения этой цели в работе поставлена и решена следующая задача - осуществить анализ существующих угроз, стандартных средств защиты клиент- серверных связей и создать на основе полученных результатов прототип безопасного веб-ресурса.
В результате проделанной работы разработана технология управления процессом обеспечения безопасности веб-сайта. В основу были положены результаты и достижения научной школы «Системная интеграция процессов государственного управления», зарегистрированная в реестре ведущих научных школ Правительства СПБ .
В основу деятельности школы положен естественно-научный подход, базирующийся на применении закона сохранения целостности объекта .
В процессе деятельности, особенно при обеспечении безопасности, человек всегда работает с процесса мп . Для гарантированного достижения цели деятельности при обеспечении безопасности необходимо уметь формировать процессы с наперёд заданными свойствами. Не имея условия существования этих процессов, мы не можем их формировать. А это не позволяет формировать процессы с наперёд заданными свойствами . Не имея такой возможности, мы не можем гарантированно достигать цель деятельности. А это возможно только на основе методологии обеспечения безопасности .
Не имея методологических основ решения проблем функционирования потенциально опасного объекта в виде условий существования процесса, мы не можем гарантировать достижение цели деятельности. Эта ситуация породила фундаментальную проблему: «Результаты деятельности по решению задач функционирования систем обеспечения безопасности не соответствуют ожиданиям лица, принимающего решения». Лицо, принимающее решение, действует на основе трех категорий. Это Система. Модель, Предназначение. Поэтому необходимо решить две проблемы.
Задача 1. Для разработки системы известны два подхода. Разработка системы на основе анализа. Для решения задачи 1 предлагается использовать для синтеза - закон сохранения целостности объекта (ЗСЦО), который обеспечивает достижение цели функционирования систем обеспечения безопасности. (ЗСЦО - это устойчивая, объективная, повторяющаяся связь свойств объекта и свойств его действий при фиксированном предназначении) [И].
Задача 2. Лицо, принимающее решения, осуществляет функционирование систем обеспечения безопасности на основе модели. Для этого нужно уметь синтезировать адекватные модели. Достижение цели функционирования систем искусственного интеллекта возможно только на основе правильно построенной системы (ППС) и адекватной модели. В известных публикациях такой подход к функционированию систем обеспечения безопасности отсутствует. Поэтому вся конструкция ППС реализована на основе ЗСЦО, что подтверждает целесообразность рассмотрения ЗСЦО как условия существования функционирования систем обеспечения безопасности. Модель функционирования систем обеспечения безопасности основана на системной пнгеграшш четырех процессов. Целевой процесс. Формирование проблемы. Процесс распознания проблемы. Процесс устранения проблемы. Уровень функционирования систем обеспечения безопасности оценивается вероятностью того, что каждая проблема обнаружена п устранена. Результаты
моделирования подтвердили основные тенденции в процессе функционирования систем обеспечения безопасности.
Используемый в ВКР подход позволил получить условие существования процесса обеспечения безопасности в форме аналитической математической модели решения человека, в которой увязываются целевой процесс информационной системы и три базовых процесса обеспечения безопасности. А именно процесс образования угрозы, процесс идентификации угрозы и процесс нейтрализации угрозы.
При реализации подхода в форме технологии управления возникла проблем связи временных характеристик элементов разработанной модели с состояниями процессов обеспечения безопасности. Это стало возможным, благодаря применения сетевых графиков.
Информационная среда - это среда, в которой реализуется совокупность информационных процессов и средств для обслуживания объектов инфраструктуры территориальных образованшт в интересах обеспечения баланса спроса и предложения на рынке информационных услуг.
В современных условиях информационная среда является одним из основных компонентов системы деятельности территориального образования. Рынку информационных услуг присуща конкурентная борьба и другие процессы, порождающие деструктивные воздействия на информационную среду. Особое место в такой деятельности в настоящее время занимают вебтехнологии. Однако в силу деструктивных воздействий результаты деятельности специалистов по информационным технологпям не оправдывают их ожидания. То есть информационные процессы не достигают поставленной цели. Такая ситуация породила проблему обеспечения 11Б.
В данной работе был произведен анализ основных подходов к решению поставленной задачи по трем основным направлениям функционирования ресурса:
направление «А»? защита безопасности информации со стороны клиент-серверной части;
направление «Б», защита безопасности информации со стороны Вебсервера;
направление «В», защита безопасности информационных ресурсов.
Устанавливается, что направления защиты безопасности информации на основе направлений АБВ не в полной мере решает поставленную задачу по свойству уязвимости Веб-сайта.
В связи с чем были разработаны предложения по совершенствованию системы обеспечения информационной безопасности Веб-сайта.
В основу деятельности школы положен естественно-научный подход, базирующийся на применении закона сохранения целостности объекта .
В процессе деятельности, особенно при обеспечении безопасности, человек всегда работает с процесса мп . Для гарантированного достижения цели деятельности при обеспечении безопасности необходимо уметь формировать процессы с наперёд заданными свойствами. Не имея условия существования этих процессов, мы не можем их формировать. А это не позволяет формировать процессы с наперёд заданными свойствами . Не имея такой возможности, мы не можем гарантированно достигать цель деятельности. А это возможно только на основе методологии обеспечения безопасности .
Не имея методологических основ решения проблем функционирования потенциально опасного объекта в виде условий существования процесса, мы не можем гарантировать достижение цели деятельности. Эта ситуация породила фундаментальную проблему: «Результаты деятельности по решению задач функционирования систем обеспечения безопасности не соответствуют ожиданиям лица, принимающего решения». Лицо, принимающее решение, действует на основе трех категорий. Это Система. Модель, Предназначение. Поэтому необходимо решить две проблемы.
Задача 1. Для разработки системы известны два подхода. Разработка системы на основе анализа. Для решения задачи 1 предлагается использовать для синтеза - закон сохранения целостности объекта (ЗСЦО), который обеспечивает достижение цели функционирования систем обеспечения безопасности. (ЗСЦО - это устойчивая, объективная, повторяющаяся связь свойств объекта и свойств его действий при фиксированном предназначении) [И].
Задача 2. Лицо, принимающее решения, осуществляет функционирование систем обеспечения безопасности на основе модели. Для этого нужно уметь синтезировать адекватные модели. Достижение цели функционирования систем искусственного интеллекта возможно только на основе правильно построенной системы (ППС) и адекватной модели. В известных публикациях такой подход к функционированию систем обеспечения безопасности отсутствует. Поэтому вся конструкция ППС реализована на основе ЗСЦО, что подтверждает целесообразность рассмотрения ЗСЦО как условия существования функционирования систем обеспечения безопасности. Модель функционирования систем обеспечения безопасности основана на системной пнгеграшш четырех процессов. Целевой процесс. Формирование проблемы. Процесс распознания проблемы. Процесс устранения проблемы. Уровень функционирования систем обеспечения безопасности оценивается вероятностью того, что каждая проблема обнаружена п устранена. Результаты
моделирования подтвердили основные тенденции в процессе функционирования систем обеспечения безопасности.
Используемый в ВКР подход позволил получить условие существования процесса обеспечения безопасности в форме аналитической математической модели решения человека, в которой увязываются целевой процесс информационной системы и три базовых процесса обеспечения безопасности. А именно процесс образования угрозы, процесс идентификации угрозы и процесс нейтрализации угрозы.
При реализации подхода в форме технологии управления возникла проблем связи временных характеристик элементов разработанной модели с состояниями процессов обеспечения безопасности. Это стало возможным, благодаря применения сетевых графиков.
Информационная среда - это среда, в которой реализуется совокупность информационных процессов и средств для обслуживания объектов инфраструктуры территориальных образованшт в интересах обеспечения баланса спроса и предложения на рынке информационных услуг.
В современных условиях информационная среда является одним из основных компонентов системы деятельности территориального образования. Рынку информационных услуг присуща конкурентная борьба и другие процессы, порождающие деструктивные воздействия на информационную среду. Особое место в такой деятельности в настоящее время занимают вебтехнологии. Однако в силу деструктивных воздействий результаты деятельности специалистов по информационным технологпям не оправдывают их ожидания. То есть информационные процессы не достигают поставленной цели. Такая ситуация породила проблему обеспечения 11Б.
В данной работе был произведен анализ основных подходов к решению поставленной задачи по трем основным направлениям функционирования ресурса:
направление «А»? защита безопасности информации со стороны клиент-серверной части;
направление «Б», защита безопасности информации со стороны Вебсервера;
направление «В», защита безопасности информационных ресурсов.
Устанавливается, что направления защиты безопасности информации на основе направлений АБВ не в полной мере решает поставленную задачу по свойству уязвимости Веб-сайта.
В связи с чем были разработаны предложения по совершенствованию системы обеспечения информационной безопасности Веб-сайта.
Подобные работы
- Управление безопасностью труда в непроизводственных организациях
Бакалаврская работа, управление персоналом. Язык работы: Русский. Цена: 4355 р. Год сдачи: 2017 - Управление безопасностью в проекте (Национальный Исследовательский Университет «МЭИ»)
Курсовые работы, управление проектами. Язык работы: Русский. Цена: 700 р. Год сдачи: 2022 - Управление безопасностью и охрана труда в организации сферы торговли (Гжельский государственный университет)
Дипломные работы, ВКР, охрана труда. Язык работы: Русский. Цена: 1800 р. Год сдачи: 2025 - Совершенствование управления безопасностью труда производственного
предприятия
Дипломные работы, ВКР, менеджмент. Язык работы: Русский. Цена: 4830 р. Год сдачи: 2017 - Управление безопасностью труда на производстве (Российская Академия Народного Хозяйства и Государственной Службы (Северо-западный институт управления))
Курсовые работы, менеджмент. Язык работы: Русский. Цена: 700 р. Год сдачи: 2024 - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ САЙТА КОМПАНИИ
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 4270 р. Год сдачи: 2019 - КРЕАТИВНАЯ ОРГАНИЗАЦИЯ ПРОСТРАНСТВА КАК СПОСОБ ПОВЫШЕНИЯ БЕЗОПАСНОСТИ ГОРОДА
Магистерская диссертация, муниципальное управление. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ НА ТРАНСПОРТЕ И ИХ ВЛИЯНИЕ НА БЕЗОПАСНОСТЬ ДВИЖЕНИЯ АВТОТРАНСПОРТА (НА ПРИМЕРЕ ПРЕДПРИЯТИЯ «ЭССЕН-ПРОДАКШН АГ»)
Дипломные работы, ВКР, безопасность жизнедеятельности (БЖД). Язык работы: Русский. Цена: 4770 р. Год сдачи: 2016 - Анализ влияния экономических преступлений на уровень экономической безопасности региона (Экономическая безопасность, Российский экономический университет)
Дипломные работы, ВКР, муниципальное право. Язык работы: Русский. Цена: 2800 р. Год сдачи: 2022 - Проектирование системы управления охраны труда и окружающей среды в организациях химического комплекса (на примере ООО «Сибур Тольятти»)
Бакалаврская работа, техносферная безопасность. Язык работы: Русский. Цена: 4240 р. Год сдачи: 2019