Разработка предложений по улучшению системы защиты при доступе к WEB-ресурсам

Современное стремительное развитие информационных технологий предъявляет новые требования к хранению, обработке и распространению данных. От традиционных носителей информации и от выделенных серверов компании и частные лица постепенно переходят к дистанционным технологиям, реализованным через глобальную сеть Интернет. Сервисы в Интернет способны стать незаменимыми инструментами функционирования современной, динамично развивающейся компании, к числу которых можно отнести электронную почту; обмен файлами, голосовыми сообщениями и данных с использованием видео-приложений; разработка собственных Web-ресурсов. Однако по мнению многих специалистов предоставление доступа к Web-ресурсам требует построения системы эффективной защиты информационной системы предприятия, так как возможна реализация различных угроз (например, вопросы утечки информации по техническим каналам рассмотрены в учебном пособии Техническая защита информации автора Хорев А.А.). Такими угрозами могут стать внедрение вредоносного программного обеспечения от неблагонадежных сайтов, задержка коммуникаций в связи с перегрузкой канала, утечка информации, атаки на вычислительную систему и т.д. Таким образом, вопросы разработки и модификации систем защиты в свете развития сервисов Интернет выходят на первый план и требуют всестороннего анализа. Именно поэтому тема исследования актуальна.
Проблема исследования заключается в большой вероятности угроз и атак злоумышленников на информационную систему предприятия из-за отсутствия комплексной системы защиты при доступе к WEB-ресурсам.
Объект исследования – системы защиты информации.
Предмет исследования – средства модификации системы защиты при доступе к WEB-ресурсам.
Цель исследования – на основе всестороннего анализа рисков и угроз при доступе к WEB-ресурсам разработать рекомендации по улучшению системы защиты.
Для достижения цели необходимо решение ряда задач:
1. Провести обзор литературы и Интернет-источников по вопросам организации безопасного доступа и по улучшению системы защиты при доступе к WEB-ресурсам.
2. Рассмотреть законодательные основы информационной безопасности.
3. Выявить основные проблемы информационной безопасности при доступе к WEB-ресурсам.
4. Провести анализ рисков и угроз при доступе к WEB-ресурсам
5. Провести анализ защищаемой информации.
6. На основе анализа существующих средств информационной безопасности и возможных атак на Web-ресурсы разработать рекомендации по защите при доступе к WEB-ресурсам.
Вопросам построения систем защиты при доступе к WEB-ресурсам посвящены работы таких авторов, как Бородакий В.Ю. (рассматривает вариант безопасного хранения ресурсов средствами облачных технологий); Щеглов А.Ю. (проводит анализ методов и средств защиты компьютерной информации от несанкционированного доступа), Хорев А.А. (анализирует технические меры защиты информации).
Методы исследования: анализ, синтез, изучение источников информации, диагностика.
Диплом состоит из введения, трех глав и заключения. Первая глава – теоретическая, посвящена вопросам правового регулирования информационной безопасности. Вторая глава – аналитическая, содержит анализ возможных атак и оценку рисков. Третья глава – практическая, включает практические предложения по улучшению системы защиты при доступе к WEB-ресурсам.

ВВЕДЕНИЕ 3
ГЛАВА 1. НОРМАТИВНО-ПРАВОВЫЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ WEB-РЕСУРСОВ 5
1.1 Нормативно-правовые акты Российской Федерации в области информационной безопасности Web-ресурсов 5
1.2 Стандарты в области информационной безопасности Web-ресурсов 9
1.3 Модель нарушителя безопасности доступа к Web-ресурсам 12
ГЛАВА 2. АНАЛИЗ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ДОСТУПЕ К WEB-РЕСУРСАМ 16
2.1 Особенности размещения Web-ресурсов 16
2.2 Анализ возможных атак на Web-ресурсы 18
2.3 Анализ и оценка рисков при организации доступа к Web-ресурсам 22
2.4 Статистика реализации угроз при доступе к Web-ресурсам 25
ГЛАВА 3. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ ЗАЩИТЫ ПРИ ДОСТУПЕ К WEB-РЕСУРСАМ 27
3.1 Организационные меры защиты при доступе к Web-ресурсам 27
3.2 Технические методы защиты при доступе к Web-ресурсам 30
3.2.1 Сетевое экранирование 31
3.2.2 Обнаружение и предотвращение вторжений 33
3.2.3 Системы предотвращения утечки информации 35
3.2.4 Защита от вредоносного программного обеспечения 37
3.2.5 Средства идентификации и аутентификации 40
ЗАКЛЮЧЕНИЕ 44
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 46

Вопросы безопасности при доступе к Web-ресурсам остаются актуальными, так как распределенная среда предоставляет широкий круг возможностей реализации атак. Web-серверы – это современные технологии, основанные на виртуализации и сетецентрическом взаимодействии. При решении о разработке собственных Web-ресурсов и организации доступа к ним руководители предприятий должные обязательно учитывать проблему защиты информации. Значимость данного вопроса обусловлена и критической важностью информационных ресурсов, и необходимость строго соответствия нормативно-правовым актам, регулирующих отношения в этой сфере.
В рамках дипломного исследования были рассмотрены законодательные основы информационной безопасности в свете организации доступа к Web-ресурсам. Были выделены такие аспекты, как защита персональных данных, охрана интеллектуальной собственности, правоотношения в сфере доменных имен. Проведен обзор стандартов в области информационной безопасности, разработанных в России и за рубежом и построена модель потенциального нарушителя безопасности при доступе к Web-ресурсам, которая определяет возможные угрозы со стороны внутренних и внешних пользователей.
В рамках аналитической части дипломной работы выявлены особенности размещения Web-ресурсов, которые влияют на структуру системы информационной безопасности. Так, определено, что организация хранения данных возможна на виртуальных серверах (тогда обеспечение безопасности становится обязанностью поставщика услуг) или на выделенных корпоративных серверах (в этом случае безопасность ресурсов обеспечивают специалисты компании). Так же рассмотрены возможные атаки на Web-ресурсы и выявлены элементы, являющиеся наиболее уязвимыми. К ним можно отнести канал связи, Web-сервер, клиентские компьютеры, серверы баз данных, корпоративные серверы и т.д. Проведен анализ и оценка рисков при доступе к Web-ресурсам и даны рекомендации по определению областей доверия.
Для разработки предложений по улучшению защиты при доступе к Web-ресурсам проведено тестирование некоторых программных продуктов с целью выбора оптимального решения по защите данных. Объектами экспериментального исследования стали сетевые экраны и антивирусные программы. По результатам тестирования были даны рекомендации по установке Comodo или Bitdefender в качестве брандмауэра и Kaspersky Internet Security, Dr.Web Security Space или Bit Defender Internet Security в качестве антивирусной программы. На основе обзора предлагаемых решений по организации идентификации и аутентификации было внесено предложение о покупке и дальнейшем использовании USB-ключей или смарт-карт eToken. Рассмотрены также принципы построения систем обнаружения и предотвращения вторжений и утечки информации с целью их дальнейшей реализации.
Таким образом, можно сделать вывод о достижении цели и решении задач, определенных во введении.

1. "Гражданский кодекс Российской Федерации (часть четвертая)" от 18.12.2006 N 230-ФЗ
2. «TechNet Magazine», октябрь 2013 [Электронный ресурс]. URL: https://technet.microsoft.com/ru-ru/magazine/default.aspx Дата обращения 20.05.15
3. «Trend Micro» [Электронный ресурс]. URL: http://www.trendmicro.com.ru/ Дата обращения 21.05.15
4. «Журнал сетевых решений/LAN», № 04, 2013 [Электронный ресурс]. URL: http://www.osp.ru/lan/2013/04/13035155/ Дата обращения 1.06.15
5. «Лаборатория Касперского» [Электронный ресурс]. URL: http://www.kaspersky.ru/ Дата обращения 20.04.15
6. «Первая миля», № 04, 2013 [Электронный ресурс]. URL: http://www.lastmile.su/journal/article/3823 Дата обращения 20.05.15
7. «Способ удобного шифрования данных в облаке (собственными средствами)» [Электронный ресурс]. URL: http://habrahabr.ru/post/241720/ Дата обращения 25.05.15
8. «Стандарты информационной безопасности» [Электронный ресурс]. URL: http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html Дата обращения 15.04.15
9. «Юридическая защита сайта и контента (права на контент, дизайн и название)» [Электронный ресурс]. URL: http://www.copyright.ru/ru/documents/zashita_avtorskih_prav/zashchita_kontenta_sayta/ Дата обращения 20.04.15
10. Бабкин С. А. Интеллектуальная собственность в Интернет. — М.: АО "Центр ЮрИнфоР", 2006. — 512 с.
11. Бородакий В.Ю. Практика и перспективы создания защищенного информационно-вычислительного облака на основе МСС ОГВ / В.Ю. Бородакий, А.Ю. Добродеев, П.А. Нащекин // Актуальные проблемы развития технологических систем государственной охраны, специальной связи и специального информационного обеспечения: VIII Всероссийская межведомственная научная конференция: материалы и доклады (Орел, 13–14 февраля 2013 г.). – В 10 ч. Ч.4 / Под общ. ред. В.В. Мизерова. – Орел: Академия ФСО России, 2013.
12. Гражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.11.1994 № 51-ФЗ в ред. от 23.05.2015 г. // Собрание законодательства РФ. - 05.12.1994.
13. Гришина Н. В. Организация комплексной системы защиты информации. -- М.: Гелиос АРВ, 2009. -- 256 с,
14. Информационный портал «Интеллектуальная собственность. Авторское право и смежные права. Патентное право Регистрация прав» [Электронный ресурс]. URL: http://www.copyright.ru/ Дата обращения 15.04.15
15. Исаев А.С., Хлюпина Е.А. «Правовые основы организации защиты персональных данных» – СПб: НИУ ИТМО, 2014. – 106 с.
16. Молдовян A.A., Молдовян А.Н. Безопасность глобальных сетевых технологий. — СПб.: БХВ-Петербург, 2011. — 320 с.
17. Олифер В. Г.,Олифер Н. П. Компьютерные сети. Принципы, технологии, протоколы. — 4-е. — СПб: Питер, 2010. —902с.
18. Панфилов К.М. По ту сторону Web-страницы. - М., 2008.
19. Платонов В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей. Учебное пособие. — М.: Академия, 2007. — 240 с.
20. Попов И., Емельянова Н., Партыка Т. Защита информации в персональном компьютере. — М.: Форум, 2009. — 368 с.
21. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
22. Сергеев А.П. Право интеллектуальной собственности в Российской Федерации : учеб. — 2-е изд., перераб. и доп. — М.: Изд-во Проспект, 2006. — 752 с.
23. Стефаров А.П., Жуков В.Г., Жукова М.Н. Модель нарушителя прав доступа в автоматизированной системе // Прогр. продукты и системы. – 2012. – № 2. – С. 51-54.
24. Федеральный закон от 08.08.2001 N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей"
25. Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»
26. Федеральный закон РФ от 23 мая 2009 г. N 98-ФЗ "О ратификации Сингапурского договора о законах по товарным знакам"
27. Хореев П.В. Методы и средства защиты информации в компьютерных системах. – М.: издательский центр "Академия", 2005. – с. 205.
28. Хорошко В. А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2003г. - 504с.
29. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. — СПб.: Наука и техника, 2014. — 384 с.