В настоящее время Web-системы все чаще используются для доступа к информационным ресурсам предприятий. Динамическое внедрение Интернет-технологий во все сферы деятельности человека ставит особые требования к обеспечению безопасности Web-систем.
Построение защищенных Web-систем требует проведения анализа нарушения безопасности и выявления причин возникновения уязвимостей. Только знание природы этих причин позволяет оценить способность Web-систем противостоять атакам на ее безопасность, а также понять природу недостатков существующих средств обеспечения безопасности.
Концептуальное определение Web-систем
Под Web-системой понимается распределенная информационная система, владеющая такими свойствами:
-
построение из компонентов, которые могут иметь разных владельцев;
-
независимость одних компонентов от других;
-
имеет способность использовать Web-системы и быть использованной другими Web-системами (быть компонентом иной системы);
-
предполагает возможность появления в системе новых (прежде не определенных) пользователей, анонимных пользователей и доступ других систем как пользователей;
-
физической и логической способностью функционировать как в глобальной, так и в локальной сетевой среде;
-
базируется на использовании технологий гипертекста, мультимедиа, кроссплат-форменных вычислений, распределенных объектных вычислений;
-
является кроссплатформенной относительно использования аппаратных, сетевых и клиентских программных продуктов;
-
является ориентированной на сетевые технологии относительно программных и информационных ресурсов.
Анализ существующих программных продуктов позволяет выделить как наиболее распространенные такие три группы Web-систем:
1. Статические Web-системы. Эти системы предоставляют доступ на чтение пользователям к информационным ресурсам, но при этом не участвуют в процессе обработки информации, делегируя эти функции другим компонентам ВС.
2.Прокси-системы. Обеспечивают доступ пользователей к другим Web-системам, выступая посредником между пользователями и удаленными Web-системами, с целью повышения производительности, уменьшения нагрузки на сеть и обеспечения безопасности.
3. Динамические Web-системы. Представляют собой полноценные системы обработки информации, участвуя в процессе обработки информации на всех этапах ее жизненного цикла.
Наименее не исследованной в области информационной безопасности и подверженной уязвимостям является динамическая Web-система.
В последнее время динамические системы все чаще вытесняют статические. Web-браузер перестал быть просто средством просмотра гипертекста, превратившись в универсальный инструмент обработки информации.
Архитектура построения динамических Web-систем носит индивидуальный характер и зависит от задач, стоящих перед системой, а также технологий, применяемых при ее реализации. В свою очередь можно выделить основные компоненты, присущие большинству существующих систем (табл. 1).
Таблица 1
Компоненты динамической Web-системы
С появлением приложений класса CMS (content management system) Web-приложения престали быть просто оболочками к информационным ресурсам, превратившись в самостоятельные системы обработки информации, реализующие практически все функции, присущие ВС. Но как показывает произведенный анализ существующих систем, в большинстве из них требования к обеспечению безопасности не являются базовыми, а в некоторых просто отсутствуют.
В дальнейшем в качестве Web-системы будет рассматриваться Web-приложение, реализующее функции обработки информации, присущие вычислительным системам, и являющееся Web-системой более низкого уровня абстракции.