Грамотное выполнение в короткие сроки! Спасибо за диплом по информационной безопасности! Обращусь вновь!
Информация о работе
Подробнее о работе
Защита web-приложений от угроз
- 91 страниц
- 2016 год
- 1832 просмотра
- 5 покупок
Гарантия сервиса Автор24
Уникальность не ниже 50%
Фрагменты работ
В современную эпоху обычные приложения начинают постепенно уходить на второй план, уступая своё место более новым стремительно ос-ваиваемым web-приложениям. С каждым днём их появляется всё больше, ровно как и усиливается зависимость от них людей. Интернет магазины, социальные сети, интернет-банкинг и многое другое плотно проникли в ин-формационные сети, постепенно усиливая своё влияние. Разумеется, что с ростом значимости web-приложений постепенно начал расти и список все-возможных угроз, которые могут нанести тот или иной ущерб web-ресурсу.
С каждым годом публикуются всё новые и новые сведения о росте количества случаев реализации угроз на web-приложения, некоторые из которых приводят ошеломительные цифры утверждающие, что 99% всех web-приложений содержит в себе ту или иную уязвимость, а среднее количество уязвимостей на одно web-приложение приравнивается к трём.
Уже несколько лет, как множество компаний стремятся тем или иным образом обеспечить защиту своих web-приложений, и примерно столько же существуют другие компании, которые продают свои решения касающиеся защиты web-приложений. Эти компании и составляют тот костяк, который ежегодно публикует новые сведения о текущем положении дел с защитой web-приложений, пишут классификации угроз и уязвимостей, оценивают риски от реализации той или иной угрозы и объединёнными усилиями повышает осведомлённость данной проблемы в обществе.
Однако, несмотря на всё это, ситуация с web-приложениями в Российской Федерации обстоит из рук вон плохо. Большинство компаний если и использует какую-либо защиту, то лишь потому, что уже когда-то столкнулось с другими уязвимостями на пути своего развития. Это хорошо заметно по расхождениям в публикуемых значениях статистики обнаруженных угроз компанией Positive Technologies и её западными коллегами. Разница некоторых показателей порой отличается больше чем в два раза. Конечно, несправедливо говорить, что данные показатели получаются только из-за низкого уровня развития информационной безопасности в России, тут играет роль количество клиентов и методики анализа, однако даже такое условное сравнение позволяет примерно оценить текущую ситуацию в данном сегменте информационной безопасности. Так же определённый намёк на отсутствие уверенного спроса касаемо угроз web-приложений даёт факт отсутствия рус-скоязычного перевода новой классификации угроз выпущенной в 2010 году членами Web Application Security Consortium (WASC) взамен устаревшей версии 2004-го года, по которой до сих пор ведётся большинство работ по данной области в РФ.
Однако, для снижения вероятности осуществления любой угрозы, возможно применение самых различных методик. В том числе, организационных методик защиты информации, которые будут исследоваться в данной курсовой работе с точке зрения обеспечения надёжной защиты web-приложению.
Темой данной дипломной работы является «Организационные методы защиты информации при использовании web-приложений»
Данная тема была мною выбрана по причине её актуальности и наличия в ней определённой перспективы развития такого аспекта защиты информации, как организационная защита, в области web-приложений. Помимо этого, данная тема открывает новый угол зрения, способствующий пониманию некоторых неявных аспектов действия существующих угроз, при том не только в рамках web-приложений, но и защиты информации в целом. Ведь с каждым новым взглядом, брошенным с разных углов на одну и туже проблему, создаётся всё более полная картина.
.............................................................................................................................................................................................................................................................................................
Введение 3
Глава 1. Описание основных угроз web–приложениям 7
1.1. Описание и перечень основных угроз web-приложениям 7
1.2. Современная статистика реализации различных угроз web-приложениям 44
1.3. Методы, противодействия основным угрозам web-приложений 50
Выводы 58
Глава 2. Реализация противодействия угрозам web-приложений 59
2.1. Характеристика исходного состояния web-ресурса 59
2.2. Оценка риска нанесения ущерба от еализации угроз web-приложения 69
2.3. Применение организационных мероприятий для обеспечения защиты информации web-приложения 75
Выводы 81
Глава 3. Оценка эффективности проведённых мероприятий 82
3.1. Оценка эффективности работы web-приложения после проведённых мероприятий 82
3.2. Переоценка возможного ущерба web-приложению после ввода организационных методик защиты информации 84
3.3. Рекомендации по дальнейшей эксплуатации web-ресурса 85
Выводы 88
Заключение 89
Литература 91
В данной дипломной работе был произведён анализ рабочего web-приложения, на основе которого был выработан комплекс организационных мероприятий направленных на обеспечение его защиты от наиболее актуальных угроз.
1. ГОСТ Р 51624—2000 Государственный стандарт Российской Федерации, Защита информации автоматизированные системы в защищённом исполнении. «Общие требования».
2. «WASC THREAT CLASSIFICATION» (Отчёт) 2010.
3. http://codex.wordpress.org/Brute_Force_Attacks «Brute Force Attacks»
4. http://habrahabr.ru/post/167013/, «Заметки о безопасности. Восста-новление пароля».
5. https://www.owasp.org, «The Open Web Application Security Project».
6. http://www.maravis.com/library/session-fixation-attack/ «Session Fixation Attack»
7. http://www.webappsec.org/projects/articles/071105.shtml «[DOM Based Cross Site Scripting or XSS of the Third Kind] Web Security Articles - Web Application Security Consortium»
8. http://www.xakep.ru/post/24084/ «HTTP Response Splitting: разделяй и властвуй»
9. http://cwe.mitre.org/data/definitions/601.html «CWE - CWE-601: URL Redirection to Untrusted Site ('Open Redirect') (2.4)»
10. http://www.codenet.ru/progr/asm/overflow.php «Переполнение буфера»
11. http://www.styler.ru/styler/ldap-injection/ «LDAP Injection (LDAP Инъекция). Styler.ru»
12. http://forum.antichat.ru/thread232773.html «Вся правда о (Local|Remote) File Inclusion»
13. http://searchsecurity.techtarget.com/answer/Stop-hackers-from-finding-data-during-Web-application-fingerprinting «Stop hackers from finding data during Web application fingerprinting»
14. Глава 28 Уголовный Кодекс Российской Федерации «Преступления в сфере компьютерной информации»
15. http://projects.webappsec.org/w/page/13246962/SOAP Array Abuse « The Web Application Security Consortium / SOAP Array Abuse»
16. http://simpla.ru «Повышение уровня безопасности».
17. Cenzic Application Vulnerability Trends Report 2013(Отчёт).
18. Positive Technologies статистика уязвимостей web-приложений за 2010-2011 годы (Отчёт).
19. Whitehat Security Website Statistics Report (Отчёт) 2012.
20. http://msdn.microsoft.com/ru-ru/library/f13d73y6(v=vs.90).aspx, «Общие сведения об угрозах безопасности веб-приложений».
21. http://habrahabr.ru/post/149152/, «Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью».
22. http://habrahabr.ru/post/148701/, «Защита от SQL-инъекций в PHP и MySQL».
23. http://www.veracode.com/security/insufficient-transport-layer-protection, «Insufficient Transport Layer Protection Tutorial: Learn About Insufficient Transport Layer Protection Vulnerabilities and Prevention».
24. «Web Application Security Statistics» (Отчёт).
25. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса (П.В. Плетнев, В.М. Белов) июнь 2012.
26. Алгебраический подход к оценке информационной безопасности (П.В. Плетнёв, И.В. Лёвкин) 2010г.
27. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
28. Лекции по дисциплине «Организационная защита информации».
29. http://chrono.terumforum.com/t260-topic «Принятые правила Хронофорума».
30. http://itband.ru/2010/07/msecurity/ «Безопасность в продуктах Microsoft глазами IT-специалиста»
Форма заказа новой работы
Не подошла эта работа?
Закажи новую работу, сделанную по твоим требованиям
