Защита корпоративных веб ресурсов

Современное стремительное развитие информационных технологий предъявляет новые требования к хранению, обработке и распространению данных. От традиционных носителей информации и от выделенных серверов компании и частные лица постепенно переходят к дистанционным технологиям, реализованным через глобальную сеть Интернет. Сервисы в Интернет способны стать незаменимыми инструментами функционирования современной, динамично развивающейся компании, к числу которых можно отнести электронную почту; обмен файлами, голосовыми сообщениями и данных с использованием видео-приложений; разработка собственных веб-ресурсов. Однако по мнению многих специалистов предоставление доступа к корпоративным веб-ресурсам требует построения системы эффективной защиты информационной системы предприятия, так как возможна реализация различных угроз (например, вопросы утечки информации по техническим каналам рассмотрены в учебном пособии Техническая защита информации автора Хорев А.А.). Такими угрозами могут стать внедрение вредоносного программного обеспечения от неблагонадежных сайтов, задержка коммуникаций в связи с перегрузкой канала, утечка информации, атаки на вычислительную систему и т.д. Таким образом, вопросы разработки и модификации систем защиты в свете развития сервисов Интернет выходят на первый план и требуют всестороннего анализа. Именно поэтому тема исследования актуальна.
Проблема исследования заключается в большой вероятности угроз и атак злоумышленников на информационную систему предприятия из-за отсутствия комплексной системы защиты при доступе к корпоративным веб-ресурсам.
Объект исследования – системы защиты информации.
Предмет исследования – средства защиты при доступе к корпоративным веб-ресурсам.
Цель исследования – на основе всестороннего анализа рисков и угроз при доступе к ВЕБ-ресурсам разработать рекомендации по созданию системы защиты.
Для достижения цели необходимо решение ряда задач:
1. Провести обзор литературы и Интернет-источников по вопросам организации безопасного доступа и по оптимизации системы защиты при доступе к ВЕБ-ресурсам.
2. Рассмотреть законодательные основы информационной безопасности.
3. Выявить основные проблемы информационной безопасности при доступе к корпоративным веб-ресурсам.
4. Провести анализ рисков и угроз при доступе к веб-ресурсам
5. Провести анализ защищаемой информации.
6. На основе анализа существующих средств информационной безопасности и возможных атак на веб-ресурсы разработать рекомендации по защите при доступе к корпоративным веб-ресурсам.
Вопросам построения систем защиты при доступе к веб-ресурсам посвящены работы таких авторов, как Бородакий В.Ю. (рассматривает вариант безопасного хранения ресурсов средствами облачных технологий); Щеглов А.Ю. (проводит анализ методов и средств защиты компьютерной информации от несанкционированного доступа), Хорев А.А. (анализирует технические меры защиты информации).
Методы исследования: анализ, синтез, изучение источников информации, диагностика.
Диплом состоит из введения, трех глав и заключения. Первая глава – теоретическая, посвящена вопросам правового регулирования информационной безопасности. Вторая глава – аналитическая, содержит анализ возможных атак и оценку рисков. Третья глава – практическая, включает практические предложения по улучшению системы защиты при доступе к веб-ресурсам.

Определения 3
Обозначения и сокращения 4
Введение 5
1 Нормативно-правовые основы информационной безопасности веб-ресурсов 7
1.1 Нормативно-правовые акты Российской Федерации в области информационной безопасности Веб-ресурсов 7
1.2 Стандарты в области информационной безопасности Веб-ресурсов 14
1.3 Модель нарушителя безопасности доступа к Веб-ресурсам 17
2. Анализ проблем информационной безопасности при доступе к корпоративным веб-ресурсам 21
2.1 Особенности размещения корпоративных веб-ресурсов 21
2.2 Анализ возможных атак на корпоративные веб-ресурсы 33
3. Практические рекомендации по организации защиты корпоративных веб-ресурсов 43
3.1 Организационные меры защиты 43
3.2 Технические меры защиты 49
3.2.1 Сетевое экранирование 50
3.2.2 Обнаружение и предотвращение вторжений 53
3.2.3 Системы предотвращения утечки информации 55
3.2.4 Защита от вредоносного программного обеспечения 57
3.2.5 Средства идентификации и аутентификации 61
Заключение 67
Список использованной литературы и источников 69

Вопросы безопасности корпоративных веб-ресурсов остаются актуальными, так как распределенная среда предоставляет широкий круг возможностей реализации атак. Веб-серверы – это современные технологии, основанные на виртуализации и сетецентрическом взаимодействии. При решении о разработке собственных веб-ресурсов и организации доступа к ним руководители предприятий должные обязательно учитывать проблему защиты информации. Значимость данного вопроса обусловлена и критической важностью информационных ресурсов, и необходимость строго соответствия нормативно-правовым актам, регулирующих отношения в этой сфере.
В рамках дипломного исследования были рассмотрены законодательные основы информационной безопасности в свете организации доступа к корпоративным веб-ресурсам. Были выделены такие аспекты, как защита персональных данных, охрана интеллектуальной собственности, правоотношения в сфере доменных имен. Проведен обзор стандартов в области информационной безопасности, разработанных в России и за рубежом и построена модель потенциального нарушителя безопасности при доступе к веб-ресурсам, которая определяет возможные угрозы со стороны внутренних и внешних пользователей.
В рамках аналитической части дипломной работы выявлены особенности размещения веб-ресурсов, которые влияют на структуру системы информационной безопасности. Так, определено, что организация хранения данных возможна на виртуальных серверах (тогда обеспечение безопасности становится обязанностью поставщика услуг) или на выделенных корпоративных серверах (в этом случае безопасность ресурсов обеспечивают специалисты компании). Было выяснено, что на базовом предприятии – компании Пармател, организовано удаленное хранение корпоративных информационных ресурсов средствами облачного сервиса Dropbox. Кроме того, у организации есть собственный сайт, в функции которого, в числе прочих, входит оформление заказов на телекоммуникационные услуги. То есть главными ресурсами, нуждающимися в защите, стали данные на «облаке» и информационные потоки сотрудников организации и клиентов.
В работе рассмотрены возможные атаки на веб-ресурсы и выявлены элементы, являющиеся наиболее уязвимыми. К ним можно отнести канал связи, веб-сервер, клиентские компьютеры, серверы баз данных, корпоративные серверы и т.д.
Для разработки предложений по построению системы защиты корпоративных веб-ресурсов проведено тестирование некоторых программных продуктов с целью выбора оптимального решения по защите данных. Объектами экспериментального исследования стали сетевые экраны и антивирусные программы. По результатам тестирования были даны рекомендации по установке Comodo или Bitdefender в качестве брандмауэра и Kaspersky Total Security для бизнеса в качестве антивирусной программы. На основе обзора предлагаемых решений по организации идентификации и аутентификации было внесено предложение о покупке и дальнейшем использовании USB-ключей или смарт-карт eToken. Рассмотрены также принципы построения систем обнаружения и предотвращения вторжений и утечки информации с целью их дальнейшей реализации.
Таким образом, можно сделать вывод о достижении цели и решении задач, определенных во введении.

1. Афанасьев, А.Г. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам. Учебное пособие для вузов/ А.Г. Афанасьев, Э.Р. Газизова и др.. — М.: Горячая линия - Телеком, 2012. — 552 с.
2. Блог о информационной безопасности [Электронный ресурс] Режим доступа - http://itsecblog.ru/fizicheskie-sredstva-zashhity-informacii/
3. Вичугова А. Единое информационное пространство предприятия: миф или реальность [Электронный ресурс]/ А.Вичугова. - Режим доступа - http://blorg.ru/technologies/computers/edinoe-informacionnoe-prostranstvo-predprijatija-mif-ili-realnost/#.ViX_-9LhDGg
4. Глазунов, С. Бизнес в облаках. Чем полезны облачные технологии для предпринимателя [Электронный ресурс]/ С. Глазунов// Электронный журнал «Контур». - Режим доступа - https://kontur.ru/articles/225
5. ГОСТ Р 50922- 2006. Защита информации. Основные термины и определения. - Введ. 2008-02-01. -М.: Стандартинформ, 2007. - 12 с.
6. Гражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.11.1994 № 51-ФЗ в ред. от 23.05.2015 г. // Собрание законодательства РФ. - 05.12.1994.
7. Гришина, Н. В. Организация комплексной системы защиты информации/ Н.В. Гришина. - М.: Гелиос АРВ, 2009. -- 256 с,
8. Джост, М. Безопасность IIS [Электронный ресурс]/ М. Джост, М. Кобб// ИНТУИТ, 2013 г.
9. Доктрина информационной безопасности Российской федерации (утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г., № Пр-1895) («Российская газета» от 28 сентября 2000 г. N 187)
10. Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» (Собрание законодательства Российской Федерации от 13 октября 1997 г., N 41, ст. 4673)
11. Информационный портал «Интеллектуальная собственность. Авторское право и смежные права. Патентное право Регистрация прав» [Электронный ресурс]. – Режим доступа: http://www.copyright.ru/
12. Исаев, А.С. «Правовые основы организации защиты персональных данных»/ А.С. Исаев, Е.А. Хлюпина – СПб: НИУ ИТМО, 2014. – 106 с.
13. Килясханов, И.Ш. Информационное право в терминах и понятиях: учебное пособие/ И.Ш. Килясханов, Ю.М. Саранчук . – М.: Юнити-Дана, 2011 г. - 135 с.
14. Коноплева, И.А. Информационные технологии: учебное пособие/ И.А. Коноплева, О.А. Хохлова. - М.: ПРОСПЕКТ, 2010. – 315С.
15. Конституция Российской Федерации : принята всенар. голосованием 12 дек. 1993 г.– М.: Юрид. лит., 2000.– 61с.
16. Криницкая А. Copy.com: Облачный сейф [Электронный ресурс]/ А. Криницкая// Мир информационных технологий. - Режим доступа - http://www.it-world.ru/reviews/soft/47072.html
17. Курбатов, В. А. Руководство по защите от внутренних угроз информационной безопасности/ В.А. Курбатов, В.Ю. Скиба. - СПб, Питер, 2011 г.- 320 с.
18. Лаборатория Касперского [Электронный ресурс]. – Режим доступа: http://www.kaspersky.ru/
19. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра/ С.В. Лебедь. - М.: Издательство Московского технического университета им. Баумана, 2012. - 304 с.
20. Молдовян, A.A. Безопасность глобальных сетевых технологий/ А.А. Молдовян, А.Н. Молдовян. — СПб.: БХВ-Петербург, 2011. — 320 с.
21. Панфилов, К.М. По ту сторону Веб-страницы/ К.М. Панфилов. - М.: Академия, 2012. – 346с.
22. Платонов, В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей. Учебное пособие/ В.В. Платонов. — М.: Академия, 2012. — 240 с.
23. Поляничко М.А. Внутренние угрозы информационных систем на транспорте/ М.А. Поляничко // Интеллектуальные системы на транспорте: материалы I международной научно-практической конференции «ИнтеллектТранс-2011». — 2011. —с. 369-372.
24. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
25. Риз Дж. Облачные вычисления. – СПб.: БХВ-Петербург, 2011. – 288с.
26. Сайт компании «Trend Micro» [Электронный ресурс]. URL: http://www.trendmicro.com.ru/
27. Сайт компании NIST Cloud Computing Reference Architecture [Электронный ресурс] Режим доступа - http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505
28. Смирнов Н. Системы хранения: методики определения ценности данных [Электронный ресурс]/ Н. Смирнов// Стратегический партнер Крок. - Режим доступа - http://www.osp.ru/iz/violin-forum/articles/13042942
29. Стандарты информационной безопасности [Электронный ресурс] Режим доступа - http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html
30. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 31.12.2014) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.09.2015) (Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3448)
31. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) (Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451)
32. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) «О коммерческой тайне» (Собрание законодательства Российской Федерации от 9 августа 2004 г. N 32 ст. 3283)
33. Федеральный закон от 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (Собрание законодательства Российской Федерации от 13 августа 2001 г., N 33 (Часть I), ст. 3431)
34. Федеральный закон РФ от 23 мая 2009 г. N 98-ФЗ «О ратификации Сингапурского договора о законах по товарным знакам» (Собрание законодательства Российской Федерации от 25 мая 2009 г. N 21 ст. 2497)
35. Хореев, П.В. Методы и средства защиты информации в компьютерных системах/ П.В. Хореев. – М.: Издательский центр «Академия», 2010. – 205с.
36. Хорошко, В. А. Методы и средства защиты информации/ В.А. Хорошко, А.А. Чекатков. - К.: Юниор, 2013г. - 504с.
37. Шаньгин, В.Ф. Защита информации и в компьютерных системах и сетях/ В.Ф. Шаньгин. – М.: Издательство ДМК, 2012. – 255с.
38. Шрамко В. Комбинированные системы идентификации и аутентификации IIPCWeek. — №459., Выпуск 45. — дек. 2014.
39. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа/ А.Ю. Щеглов. — СПб.: Наука и техника, 2014. — 384 с.
40. Юридическая защита сайта и контента (права на контент, дизайн и название) [Электронный ресурс]. Режим доступа: http://www.copyright.ru/ru/documents/zashita_avtorskih_prav/zashchita_kontenta_sayta/
41. Ященко, В.В. Введение в Криптографию/ В.В. Ященко. - М: МЦНМО, 2015г. – 288с.