ВВЕДЕНИЕ 3
1. ПОСТАНОВКА ЗАДАЧИ ПРОЕКТИРОВАНИЯ И РАЗРАБОТКИ ТЕСТОВОЙ
СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА 5
1.1 Используемые технологии 7
1.2 Уязвимости и атаки на веб-приложения 9
1.2.1 CSRF 9
1.2.2 XSS 9
1.2.3 SQL инъекции 10
1.2.4 Небезопасные прямые ссылки на объекты 11
1.2.5 Использование компонентов с известными уязвимостями 11
1.2.6 Непроверенные переадресации и пересылки 12
2. ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
ТЕСТОВОЙ СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА 13
2.1 Определение функций Тестовой СЭД 13
2.2 Проектирование и разработка базы данных 13
2.3 Описание основных форм 16
3. ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА ПОДСИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
ДЛЯ ТЕСТОВОЙ СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА 23
3.1 Аудит разработанной СЭД 23
3.2 Проектирование подсистемы защиты информации 27
ЗАКЛЮЧЕНИЕ 33
СПИСОК ЛИТЕРАТУРЫ 34
ПРИЛОЖЕНИЕ
В современном мире многие рутинные корпоративные процессы в организациях циркулируют в ИТ-инфраструктуре этой организации. К примеру, один из таких процессов - документооборот. Преимущества электронного документооборота очевидны: улучшенный контроль за документооборотом компании, прозрачность процессов деятельности всей организации. Кроме того, упрощение и удешевление хранения бумажных документов.
Система электронного документооборота (СЭД) - система, которая обеспечивает процесс создания, контроля над потоками документов, управления доступом и распространение документов в электронном виде в компьютерных сетях. Фактически, системой электронного документооборота называют любую информационную систему, обеспечивающую работу с электронными документами.
Но организовывая СЭД, нужно понимать, что, как и любую другую информационную систему в современных реалиях, её необходимо защищать от возможных внешних и внутренних угроз. Так как все процессы документооборота организации будут проходить в электронном виде, то при отсутствии необходимых защитных мер конфиденциальные данные могут оказаться раскрыты, что не только неприятно и порочит репутацию компании, но к тому же является нарушением закона.
Цель данной работы состоит в разработке класса защиты информации, который обеспечит максимальную защищенность тестовому продукту. Он также будет обладать свойствами универсальности для возможности использовать созданную подсистему защиты информации на других аналогичных системах.
Для достижения указанной цели решаются следующие задачи:
1. Изучение функционала, предоставляемого системами электронного документооборота;
2. Изучение основных рекомендаций по безопасности веб-приложений;
3. Реализация тестовой СЭД и подсистемы защиты информации для неё.
В рамках текущей работы также изучены организационно-правовые аспекты корпоративной информационной безопасности.
В ходе выполнения данной работы была разработана подсистема защиты информации для системы документооборота. Подсистема была оформлена как php-класс, отличается простотой и возможностью использования реализованных в ней механизмов защиты в других системах.
В качестве важного побочного продукта была создана тестовая система электронного документооборота с несколькими основными функциями СЭД: генераций документа с информацией по заявкам, создание документа по шаблону, возможность управления документооборотом и управление персоналом.
Особенно важным и значительным этапом в выполнении работы считаю поиск уязвимостей у созданной системы и их устранение, разработку защитных механизмов.
