- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Важность доступности
Доступность в данной книге рассматривается как отдельная тема, так как это ключевой вопрос, связанный с работой служб электронной коммерции. Если сайт недоступен, то бизнес компании стоит на месте. Все даже более серьезно, так как доступность сайта влияет непосредственно на доверие клиента предоставляемым услугам. Это не значит, что ошибки в других службах безопасности не повлияют на доверие клиента (просмотрите информацию о недавних сбоях при обеспечении конфиденциальности, чтобы выяснить, какое влияние они оказывают), однако сбой в доступности почти наверняка переведет внимание потенциального клиента на конкурента компании.
Вопросы взаимоотношений "компания-клиент"
Проверка доступности начинается с вопросов, связанных с организацией, которой требуется поддерживать деловые отношения с рядовым населением или конкретной клиентурой. Существует несколько вопросов, связанных с доступностью. Первый вопрос: когда клиенту понадобится пользоваться услугой? Ответ: в любой момент, когда это ему потребуется. Это не играет роли, когда в организации предполагают наличие определенного числа клиентов, это имеет значение лишь тогда, когда клиентам требуется посетить сайт и выполнить деловые операции. Поэтому сайт должен быть включен в любое время.
Также следует иметь в виду, что при этом должен быть в активном состоянии весь сайт целиком, а также система обработки платежей и остальные компоненты сайта, которые могут понадобиться клиенту. Можете представить, что почувствует клиент, нашедший ваш сайт, определивший, какой товар ему нужно приобрести, и в итоге обнаруживший, что его заказ не может быть обработан из-за недоступности платежной системы. Скорее всего, этот клиент достанется вашим конкурентам.
Хотя это не вопрос безопасности, в целом проблема доступности предусматривает такие деловые вопросы, как возможность приема и обработки заказов, вводимых в систему. При построении сайта необходимо обеспечить достаточный объем инфраструктуры для ожидаемой нагрузки. Этот момент очень хорошо иллюстрируется на примере телевизионной коммерческой компании. Компания начинает с команды людей, которые только что закончили работу над созданием веб-сайта электронной коммерции. Они смотрят на экран и ждут первого заказа. Первый заказ не заставляет себя долго ждать, и все с облегчением вздыхают. Затем заказы начинают поступать все чаще и чаще, и в скором времени их количество уже достигает нескольких сотен тысяч. По реакции персонала видно, что они не ожидали такого потока заказов, и что они просто не смогут их обработать. С подобными неурядицами столкнулись интернет-продавцы в сезон Рождества 1999 г. Несколько крупных компаний не смогли обеспечить обработку ряда заказов и практически прекратили из-за этого свою работу.
"Компания-компания"
Электронная коммерция, реализуемая между компаниями, отличается от случая "компания-клиент". Электронная коммерция между компаниями, как правило, реализуется между двумя организациями, установившими определенные взаимоотношения. Одна организация обычно приобретает продукцию или пользуется услугами другой. Так как между этими организациями установлены взаимоотношения, вопросы безопасности могут обрабатываться вне канала связи (это означает, что организациям не придется решать вопросы безопасности при выполнении транзакции).
С другой стороны, вопросы доступности становятся более строгими. Организации реализуют данный тип электронной коммерции для ускорения процесса обработки заказов и для снижения общих затрат, имеющих место при обработке бумажных заказов и счетов. Следовательно, если одной организации требуется сделать заказ, другая организация должна иметь возможность принять его и обработать. Некоторые взаимоотношения между компаниями предусматривают проведение транзакций в определенное время дня, в других случаях требуется проводить транзакции в любое время.
В качестве примера данного типа электронной коммерции рассмотрим компанию - производитель оборудования. Данная компания использовала много стали при изготовлении своей продукции, поэтому приняла решение наладить взаимоотношения с локальным поставщиком стали. Для снижения затрат производителю требуется заказывать сталь дважды в день и получать сырье в течение 24 часов после заказа для немедленного применения в производстве. Взаимоотношения между производителем оборудования и поставщиком стали устанавливаются таким образом, чтобы производитель осуществлял заказы на сырье ежедневно, один раз утром и второй раз - после полудня. Таким образом, коммерческий сайт поставщика стали должен непрерывно работать в эти промежутки времени. В противном случае производитель не сделает заказ на сырье, и запасы стали могут закончиться раньше, чем прибудет их пополнение. Поставщик может не иметь возможности четко определять, когда система должна быть доступной.