Семинар 10

Контрольные вопросы для семинарского занятия 10

1. Какая служба безопасности является наиболее критичной для электронной коммерции?

Верификация и конфиденциальность

2. Какой тип электронной коммерции обуславливает возникновение самых больших проблем с течением времени?

Сайты

3. Что подразумевается под термином "всемирное время"?

Доступность систем электронной коммерции подчиняется концепции всемирного времени. Данная концепция определяет глобальную природу интернета и электронной коммерции как таковой. Традиционные коммерческие отношения зависят от людей. Люди открывают магазины и ждут клиентов. Магазин открыт на протяжении часов, в течение которых клиенты вероятнее всего выходят за покупками.

4. Можно ли напрямую оценить убытки компании во время ее бездействия?

Убытки от времени простоя можно измерить, взяв среднее число транзакций за определенный период времени и сопоставив его с доходом от среднестатистической транзакции.

5. Если информация должна храниться на системе-клиенте, что необходимо использовать для защиты конфиденциальности информации?

Безопасность соединений для приложений электронной коммерции охватывает безопасность информации, передаваемой между системой клиента и сервером электронной коммерции.

- Защита информации при передаче между компьютером клиента и сервером.

- Защита информации, сохраняемой на компьютере клиента.

- Защита того факта, что определенный клиент сделал определенный заказ.

6. Где должна храниться информация о клиентах на сайте электронной коммерции?

Cookies

7. Где должны быть расположены серверы электронной коммерции, взаимодействующие с клиентом?

Сам по себе сервер электронной коммерции должен быть доступен из интернета.

8. Где должны находиться веб-страницы при настройке веб-сервера?

Контроль санкционированных изменений осуществляется посредством процедур и политики. Только определенные сотрудники допускаются к внесению изменений в программы или веб-страницы. Перед установкой программных обновлений их необходимо тестировать в системе разработки или контроля качества. Изменения, вносимые в веб-страницы, должны проходить контроль качества для обнаружения орфографических и грамматических ошибок.

9. В каком файле должны быть определены файлы .cgi и .pl, чтобы программы выполнялись без отображения исходного кода на веб-странице.

10. Если в транзакции задействована секретная информация, какое местоположение является наиболее рекомендуемым для хранения информации сеанса?

Внутри сети организации должна присутствовать база данных, в которую записывается вся информация о клиентах, заказах, доставке и транзакциях.

11. Во время этапа разработки проекта разработчики должны предотвращать переполнение буфера посредством запрета на прямую передачу введенных ими данных командам оболочки и указанием ограниченного размера вводимых пользователем данных.

12. В трехзвенной архитектуре электронной коммерции имеет ли сервер базы данных связь с интерфейсными веб-серверами?

Если производительность сервера электронной коммерции является жизненно важным фактором, и ожидаемый трафик сервера очень велик, полезно реализовать двойное базирование сервера. В этом случае один сетевой интерфейс поддерживает 10 входящий трафик и передает ответные пакеты клиенту. Данный интерфейс располагается в демилитаризованной зоне. Второй сетевой интерфейс предназначен для передачи запросов приложений либо на сервер приложений (предпочтительно), либо напрямую в базу данных. Этот интерфейс располагается во второй DMZ или в сети сервера приложений. Данная сеть отделяется от внутренней сети организации межсетевым экраном. Ни в коем случае не следует использовать один интерфейс для интернета и для внутренней сети.

13. Какие методы сканирования уязвимостей должны проводиться на коммерческих сайтах?

Перед тем как система будет объявлена готовой для работы, необходимо просканировать ее на наличие уязвимостей. Сканеры уязвимостей могут быть платными или бесплатными, но они обязательно должны быть самыми последними. Проверьте систему и убедитесь, что все необязательные службы отключены и загружены все необходимые обновления. Это сканирование подтвердит, что система в данный момент не содержит уязвимостей. Сканирование необходимо проводить ежемесячно с использованием самых последних обновлений, чтобы обеспечить отсутствие уязвимостей в системе. Обнаруженные уязвимости необходимо немедленно устранять.

14. Какие системы больше всего подходят для выявления проблем, связанных с контролем конфигурации?

Веб-сервер сам по себе является последним компонентом безопасности сервера. На рынке имеется множество различных веб-серверов, и выбор сервера зависит от используемой платформы и предпочтений администраторов и разработчиков. Как в случае с операционными системами, веб-серверы настраиваются с учетом (или без) аспектов безопасности. Конкретные требования к конфигурации веб-сервера выходят за рамки данной книги, однако есть некоторые общепринятые конфигурации, которые необходимо реализовывать, независимо от используемого веб-сервера. Во-первых, программное обеспечение сервера должно обновляться и дополняться согласно рекомендациям производителя.

15. Может ли доступность полностью обеспечиваться избыточным оборудованием?

Одним из методов снижения риска простоя сайта является обеспечение избыточности. Начнем с коммуникационной системы. Чуть ранее в лекции 16 мы говорили о нескольких архитектурах интернета. Интернет-архитектура сайта электронной коммерции должна предусматривать, по крайней мере, два соединения с провайдером. Для больших сайтов может потребоваться несколько провайдеров или даже несколько продублированных каналов связи.