информационная безопасность Intranet-портала.
А.Н. Подобрий
Одними из основных задач предприятий
являются задачи повышения эффективности производства и качества выпускаемой
продукции, а также обеспечения нового качества управляемости за счет создания
единого информационного пространства предприятия. Данная проблема решается
путем создания веб-портала - единой «точки входа» для всех пользователей,
предоставляющий персонифицированный и безопасный доступ ко всей совокупности
информации, необходимой для выполнения повседневных обязанностей сотрудника[1].
"Система управления
сайтом", или CMS - в последнее время один из самых распространенных
способов администрирования Web портала. Все большее число студий web-дизайна предлагают создание
сайтов на различных CMS. Многие существующие CMS не гарантируют безопасность Web сервера даже для масштабов среднего бизнеса. Каждая
компания имеет проблемы с безопасностью корпоративного сайта, и прежде всего
эти проблемы связаны с уязвимостью системы управления содержимым.
К современным CMS можно отнести Joomla, Drupal, 1c-bitrix, Wordpress и т.д. Все эти системы, несомненно, имеют много
плюсов, но не все позволяют максимально защитить информацию, а также
проинформировать пользователя о найденной ошибке или взломе системы. Это связано
с отсутствием у этих систем детального разграничения прав доступа в разрезе
субъектов и объектов корпоративной информационной системы, а также ведение
журнала разграничения прав доступа сотрудников и, последующего анализа данных с
оповещением администратора. К одними из основных недостатков и уязвимостей
современных систем управления содержанием можно отнести атаки SQL-injection и XSS.
Атаки
SQL-injection. Внедрение SQL-кода - один из распространенных средств
взлома сайтов и программ, работающих с базами данных. Средство основано на
внедрении в запрос произвольного SQL-кода.
Атаки
XSS. XSS - тип уязвимости интерактивных информационных систем. XSS возникает, когда в страницы, которые
генерирует сервер, по какой либо причине попадают скрипты пользователей.
Проведенный
анализ современных систем управления содержанием и механизмов реализации атак
позволяет выработать требования, которым должна удовлетворять безопасная CMS. Прежде всего система управления должна
быть полностью защищена от модификации строки запроса. Это позволит полностью
избежать довольно широкого класса атак SQL-injection.[2].
Таким
образом, задача разработки максимально защищённой системы управления стоит
сегодня особенно остро и, на основании поставленных проблем можно выделить
основные критерии информационной безопасности веб портала на современном
предприятии: грамотная настройка серверного ПО; однозначная идентификация
сотрудника; возможность объединять разные самостоятельные веб ресурсы и
подсистемы; ведение детализированного журнала активности пользователя; ведение
журнала разграничения прав доступа пользователей; проведение анализа данных на
основании активности пользователя и журнала прав доступа.
Исходя
из выше перечисленных критериев информационной безопасности веб портала, можно спроектировать
следующую структуру (рис 1): безопасность на уровне веб – сервера, безопасность
на уровне sql – сервера, ведение журнала
активности веб – сервера и sql – сервера, анализ
данных.
Рис. 1 Схема информационной безопасности веб портала
Безопасность на уровне веб – сервера
достигается с помощью IIS сервера,
доменной службы Active Directory (AD) и
Корпоративной информационной системы (КИС). Данный пункт реализуется путем
настройки веб-точек на IIS сервере, а также
связывания IIS сервера и AD. Этот пункт осуществляет аутентификацию и
идентификацию пользователей, контроль уровня доступа к веб-точке, контроль
уровня доступа пользователей к каталогам, а также ведение журнала активности[4].
Безопасность на уровне sql – сервера достигается путем контроля прав доступа
выбранного пользователя за счет объединения AD и КИС, а также базы прав доступа пользователей. Под
механизмом стыковки AD и КИС понимается определение
идентификатора сотрудника (табельный номер) на основании учетной записи
пользователя.
Ведение журнала активности веб – сервера и
sql – сервера необходимо для сбора информации о всех
событиях, действиях пользователя. Для сохранения всей выше указанной информации
каждый ресурс необходимо зарегистрировать (описать) в базе данных, с
присвоением им внутреннего идентификатора и
списка всех операций данного ресурса.
Журнал активности веб-сервера и sql-сервера включает в себя:
1)
Фиксация подключений
пользователей к веб серверу (журнал log);
2)
Фиксация посещения
ресурсов в соответствии с идентификаторами ресурсов, учетной записью
пользователя, операции и времени посещения;
3)
Фиксация выполнения sql – запросов. В моем случае, с использование Microsoft SQL Server, данная операция
реализуется с помощью технологии Try/Catch и метода Execute.
Анализ данных необходим для контроля
уровня доступа, поиска ошибок, поиск перспективы развития ресурсов. Хранение
автоматизированного журнала системы анализа в виде xml данных позволяет создать не только иерархию данных
внутри отчета, но и вести хронологический перечень всех результирующих данных
со статусом их выполнения. Кроме того, на основании данной структуры, возможно
проводить поиск уязвимостей и недостатков системы в целом за любой промежуток
времени в разрезе любого субъекта или объекта, входящих в состав ресурсов.
На основании вышеизложенного, следует
отметить, что представленная структура информационной безопасности позволяет покрыть
в полной мере все поставленные задачи. Она основана на использовании
современных, общедоступных языках программирования высокого уровня. Позволяет
настраивать права доступа в разрезе субъектов и объектов КИС, отслеживать
поведение сотрудников и проводить самостоятельный мониторинг данных.
Данная схема
реализуется с помощью веб сервера IIS, либо Apach
- язык
программирования php, подключенный как модуль ISAPI либо LDAP
- Корпоративная
Информационная Система
- SQL
сервер.
Таким образом, приведенные ранее
распространенные ошибки безопасности решаются путем детального разграничения
прав доступа на разных уровнях предложенной модели, а также постоянного
мониторинга и анализа собранной информации касаемо активности пользователей.
Система анализа данных проводит постоянный
аудит, который необходим как для сбора всей отчетности, так и для поиска и
информирования об атаках и разных недочетах информационной системы. Данная
система позволяет самостоятельно принимать решение о блокировке пользователя
или ресурса, для предотвращения дальнейшей ошибки или атаки.
1.
Официальный сайт
компании “Interface Ltd.”
2. Официальный сайт компании “ CMSList.ru”
3.
«Модель доступа к веб-порталу на современном предприятии» Известия Самарского
Научного центра Российской академии наук.- научно-технический журнал (ВАК)
–Самара, 2011; 4 выпуск, 475с
4. Электронное издание
«Архитектура «клиент-сервер»» Зеленков Ю.А.