Проблемы безопасности для электронной коммерции Занятие 5. - презентация

1 Проблемы безопасности для электронной коммерции Занятие 5

2 Пример Internet Worm (червь) - первая крупная вирусная атака. Создатель вируса - Robert Morris, 23 года, выпускник Корнельского университета. Вирус поразил 6200 компьютеров (10% Internet), поглощая их ресурсы и заставляя тормозить, а иногда и падать. Примерная оценка убытков от вируса - от 24 до 100 млн долл. Вирус распространялся по .

3 Компьютерная безопасность Защита от несанкционированного доступа, использования, изменения и разрушения информации. физическая безопасность логическая безопасность Контрмера - процедура, физическая или логическая, которая распознает, уменьшает или уничтожает угрозу.

4 Классификация угроз и контрмер Низкая вероятность Высокая вероятность Слабые последствия (стоимость) Сильные последствия (стоимость) Отслеживать и управлять Предотвращать Игнорировать Страхование или план восстановления

5 Аспекты безопасности Secrecy - секретность - защита против неавторизованного доступа, идентификация источника Integrity - целостность - защита против неавторизованного изменения информации Necessity - необходимость - защита против задержки при доставке данных или удаления их

6 Отдельные проблемы безопасности Интеллектуальная собственность. Причины нарушения: легкость доступа к информации -чтение и копирование; незнание законов, невежество. Cybersquatting - практика регистрации доменного имени, которое является торговой маркой какой-либо организации, с целью продажи этого имени за большую сумму.

7 Политика безопасности Любая организация должна иметь инструкцию, или свод правил безопасности, в которых четко определяется: что защищать, почему, кто ответственный, кто к чему имеет доступ, и т.п. Главные аспекты политики безопасности: физическая безопасность, сетевая безопасность, авторизация доступа, защита от вирусов, восстановление информации в случае сбоев.

8 Угрозы безопасности Рассмотрим «electronic commerce chain» - путь информации от клиента до сервера. Безопасность этого пути = безопасности самого слабого звена в нем. Классификация угроз: угрозы на стороне клиента угрозы при передаче информации через Интернет угрозы на стороне сервера

9 Клиентские угрозы Active content (активное содержимое), может содержать скрытые опасные команды: Java - объектно-ориентированный язык, разработанный Sun Microsystem (раннее название - OAK), его приверженцы верят, что это язык будущего, и java-программы будут встраиваться в микрочипы на бытовой технике (и тостер в 7.30 утра будет будить кофеварку). Плюсы: платформонезависимость «разрабатываем однажды, применяем везде» Java-applets. Специальная модель безопасности - «Java sandbox», применяется для всех untrusted applets (запрещаются ввод- вывод, удаление файлов). Trusted и Signed applets

10 Клиентские угрозы JavaScript -производный от Java язык, разработанный Netscape, может также содержать опасные инструкции, разрушительные для компьютера и нарушающие секретность. ActiveX (только в Windows) - написанные на ООЯ программы (C++, VB), заключенные в соответствующую оболочку (dll, exe). Графика и plug-ins attachments. Cookies

11 Угрозы при передаче информации Интернет по своей сути не является безопасной сетью. Любое сообщение проходит через цепочку маршрутизаторов, и эта цепочка не всегда одна и та же. Угрозы секретности: Sniffer-программы - подслушивающие" программы, способные копировать информацию, проходящую через маршрутизаторы от источника к месту назначения. Другая опасность возникает если, например, мы набрали конфиденциальную информацию, отослали ее, затем переместились на другой сайт. Если этот сайт собирает информацию о предыдущих страницах, то он сможет прочитать наши конфиденциальные данные.

12 Угрозы при передаче информации Anonomizer.com - портал анонимности, работает как firewall. Ставит свой адрес перед любым URL, исключая тем самым вышеуказанную угрозу. Угрозы целостности: Cyber vandalism - злонамеренное уничтожение существующих Web-страниц и целых сайтов. Masquerading или spoofing (маскировка) - претензия быть чем-то или кем-то, кем вы на самом деле не являетесь (например, отправление почтового сообщения от чужого имени или подмена настоящего Web-сайта ложным). Угрозы необходимости Задержка или отказ в доставке данных (1 Интернет-час = 10 секундам реального времени)

13 Серверные угрозы Главная проблема - ошибки и дыры в системе безопасности. Уровни доступа. Super User. Web-сервер не должен иметь высокий уровень доступа. Любой программе, выполняемой на сервере, нужно давать минимальные права, необходимые для ее работы. Index.html (или другой файл по умолчанию), доступ к каталогам. Логины и пароли - как их передавать, как их хранить. Серверные сценарии (ASP, Perl, PHP и т.п.) Buffer overflow (переполнение буфера оперативной памяти) Mail bomb (почтовые атаки)