Меню

Научная статья на тему - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРИ РАЗРАБОТКЕ ИНТЕРНЕТ-ПРИЛОЖЕНИЙ

 

Аннотация: В последние десятилетия возможности сети Интернет серьёзно расширяются. Этот процесс сопровождается активным развитием IT-технологий, в которых актуальной проблемой современности является обеспечение информационной безопасности пользователей и владельцев информационных сетей. Реализация данной задачи требует комплексного подхода при обучении студентов ВУЗов обеспечению информационной безопасности, при разработке современных Интернет-приложений. Цель нашей исследовательской работы заключается в определении эффективных критериев, методов, способных адекватно оценивать уровень безопасности веб-приложений, защищённых от доступа посторонних лиц, кибератак, вирусов. Создание защищённых систем требует реальной оценки их информационной безопасности, которая базируется на специфических стандартах, методиках. Однако используемые в настоящее время подходы не во всех случаях предполагают простую методику оценки безопасности веб-приложений, способную адаптироваться под требования конкретной ситуации. При этом нужно указать, что отдельные способы оценки информационной безопасности не учитывают особенности некоторых веб-приложений. Данная информация обладает научной новизной, так как подобный анализ выполняется впервые и имеет ценность как научный материал, который может применяться при обучении студентов соответствующих специальностей ВУЗов России.

 

Ключевые слова: обучение студентов ВУЗов, разработка приложений, информационные технологии, Интернет-приложения, информационная безопасность, информационные сети, безопасность пользователей.

 

INFORMATION SECURITY IN THE DEVELOPMENT OF INTERNET APPLICATIONS

 

Abstract: In recent decades, the possibilities of the Internet have been seriously expanding. This process is accompanied by the active development of IT technologies, in which the actual problem of our time is to ensure the information security of users and owners of information networks. The implementation of this task requires an integrated approach in teaching university students to ensure information security, in the development of modern Internet applications. The purpose of our research work is to create effective criteria, methods that can adequately assess the level of security of web applications that are protected from access by unauthorized persons, cyber attacks, viruses. The creation of secure systems requires a real assessment of their information security, which is based on specific standards and methods. However, the approaches currently used do not in all cases imply a simple methodology for assessing the security of web applications that can be adapted to the requirements of a particular situation. At the same time, it should be pointed out that certain methods for assessing information security do not take into account the features of some web applications. This information has a scientific novelty, since such an analysis is performed for the first time and has value as a scientific material that can be used in teaching students of relevant specialties at Russian universities.

 

Keywords: teaching university students, application development, information technology, Internet applications, information security, information networks, user security.

 

Введение

В настоящее время, особенно актуальным направлением, является обучение студентов ВУЗов технологиям разработки Интернет-приложений. Это связано с тем, что многие компании, работающие на Российском и зарубежных рынках, разрабатывают собственные Интернет приложения для развития собственного бизнеса. Но, необходимо так же отметить, что часто оказывается, что данные приложения не безопасны с точки зрения информационное безопасности и сохранности данных. Современный специалист в сфере ИТ, являющийся выпускником ВУЗа, обязан не только уметь разрабатывать Интернет-приложения, но и обеспечивать сохранность данных. В таких приложениях аккумулирован большой объём оцифрованных данных, представляющих конкретную коммерческую ценность и нуждающихся в защите. Поэтому, чтобы свести к минимуму финансовые, репутационные потери, разработчикам приложений, необходимо обеспечить высокий уровень надёжности и безопасности их работы.

 

1. Зачем нужна защита web-приложений?
В данной статье, под безопасностью веб-приложений понимаются меры, препятствующие получению доступа к защищаемой информации посредством нелегитимного доступа к программному обеспечению внутри компании или внешней попыткой взлома.

 

В том случае, если недобросовестным пользователем сетевого приложения окажется инсайдер, его нехарактерное поведение должно оперативно вычисляться, что даст возможность службе безопасности организации принять необходимые меры защиты.


Эффективно работающие веб-приложения имеют серьёзную финансовую привлекательность для бизнеса. Вместе с этим они становятся привлекательными и тем, кто желает в корыстных целях воспользоваться данными, которыми оперирует ресурс. С каждым годом количество атак на такие приложения постоянно растёт. Различают угрозы в виде нарушений конфиденциальности и доступности информации. [9, с. 237]


Чаще всего угроза безопасности заключается в уязвимости веб-приложения. А если они становятся популярными в сети, то многократно увеличивается риск DDoS-атак. Чтобы получить доступ к информации или вывести из рабочего состояния web-приложение, используются различные инструменты. Например, системы сканирования программного обеспечения с целью определения его уязвимых мест. Это самый простой для злоумышленников способ, реализуемый при помощи специальных утилит. Администратор имеет возможность увидеть такие действия по увеличению числа ошибок 404 и запросам страниц приложения с одного и того же IP-адреса. Именно поэтому для обеспечения безопасности сайтов и программ необходимо организовать их постоянный мониторинг.


Защиту веб-приложений необходимо организовать по всем направлениям, и в первую очередь, внутри компании с её филиалами, другими структурами. В крупных организациях доступ к сетевым ресурсам имеют не только сотрудники офиса, но и специалисты, работающие удалённо. Они пользуются программным обеспечением с личных гаджетов, обходя технологии защиты VPN. Поэтому без организации постоянного мониторинга запросов, ответов, обращённых к сетевым программам, высок риск несанкционированного доступа к конфиденциальным данным. [2, с. 328]


Риски утечки данных бывают финансовые, репутационные.
Примером таких рисков может стать утечка базы потенциальных клиентов из системы CRM, доступ к которым получил недобросовестный сотрудник компании с целью перепродажи конкурентам или с конкретной целью, подорвать доверие к организации.


Поэтому, эксплуатация веб-приложений, обеспечивающих сбор, обработку, хранение информации, должна быть защищена от всех типов внешних и внутренних угроз с использованием предиктивного подхода к организации информационной безопасности.


Для реализации этой задачи принято использовать комплексные механизмы, технологии. Безопасность сетевого ресурса в классическом виде обеспечивается следующим образом: [5, с. 358]

- индивидуальный подход к предоставлению доступа;

- постоянный мониторинг уязвимости приложения;

- защита информации;

- изменение технологий, обеспечивающих стабильность функционирования сервера.


Способы защиты веб-приложений
Начиная с этапа разработки веб-приложения необходимо начинать тестировать его на предмет поиска уязвимости. Кроме того, такое тестирование должно стать регулярной мерой в течение всего периода эксплуатации сайта. На практике данное мероприятие объединяет в себе наблюдение за системой в непрерывном режиме и оперативное устранение обнаруженных уязвимостей и угроз.

 

Контроль доступа, один из эффективных способов частичного решения проблемы обеспечения информационной безопасности. Под ним понимают проверку тестируемой системы на несанкционированный доступ пользователя к тем или иным функциям программы, которые не соответствуют его специализации или предоставленной роли.

 

К популярным сервисам проверки контроля доступа относят программу Magento, исследующую функционал назначенных пользователям прав. Программа проверяет: [11, с. 92]

1. Аутентификацию, то есть даёт возможность убедиться в том, что воспользоваться программой, сайтом без регистрации, авторизации будет невозможно. Дополнительно аутентификация позволит удостовериться в корректности управления данными, размещёнными в приложении и исключить саму возможность воспользоваться не по назначению информацией о пользователях;

2. Валидацию для определения некорректных значений вводных данных, алгоритмов работы веб-платформы;

3. Криптографию для обнаружения проблем с подлинностью сетевых протоколов, шифрованием, дешифрованием, работой временных файлов, файлов cookies и т.п.;

4. Способы работы с ошибками, в том числе наличие системных ошибок web-приложения, указывающих на раскрытие степени защищённости сетевой платформы;

5. Конфигурацию сервера с целью определения ошибок в процессах, вводные данные которых доступны для других приложений;

6. Интеграцию с различными сервисами для исключения возможности манипулировать информацией, циркулирующей между приложением и другими системами. Например, платёжным онлайн-терминалом;

7. Сопротивляемость к Dos/DDos атакам. В данном случае изучается качество самого приложения работать в условиях повышенных нагрузок и перерабатывать информацию в большом объёме. Если с этой задачей приложение не справляется, оно может выйти из строя.


Таким образом, приложения, доступные через Интернет, привлекательны для различного вида злоупотреблений. Злоумышленники, желающие получить скрытые в них данные, используют для этого современные методы и технологии.


Существует классический способ обезопасить веб-приложения посредством брандмауэра. Есть ещё один распространённый вариант, это межсетевой экран. Например, для большинства интернет-платформ подходит программа Web Application Firewall. Однако, когда речь идёт о серьёзных коммерческих базах данных, рекомендуется воспользоваться брандмауэром Database Firewall. Данный инструмент эффективно защищает информацию от большинства видов угроз. [1, с. 15]


Web-приложения станут работать бесперебойно и надёжно, если они будут защищены от нештатных воздействий различного класса опасности. Для этого используют комплексные решения, с помощью которых удаётся своевременно обнаружить атаку на прикладном, сетевом уровне, устранить её, или свести к минимуму негативное воздействие.


Задачей межсетевого экрана является блокировка атаки злоумышленников, направленной на получение информации из веб-приложения или организации сбоя в его работе. Данный инструмент даёт возможность выявить нелегетимных пользователей, желающих воспользоваться возможностями приложения.


К основным мерам защиты относят: [4, с. 103]

- проверка протокола;

- контроль трафика;

- контроль доступа;

- поиск и идентификация вирусов;

- защита от уязвимости типа SQL;

- блокировка атак внедрения вредоносного кода (XSS).

 

Польза ПА-комплексов заключается в том, что они значительно снижают вероятность доступа к важной информации, требующей защиты от несанкционированного использования, эксплуатации программного обеспечения сайта с уязвимостями. Кроме этого, необходимость использовать подобные инструменты информационной безопасности объясняется юридическими нормами, защищающими персональные данные граждан, юридических лиц, организаций. Стандарты, рекомендации Банка России, требования PCI DSS так же указывают на необходимость серьёзной работы над обеспечением безопасности электронных баз данных.


Защита web-приложения посредством профессиональных систем даёт возможность оперативно выявлять несанкционированные действия, как вне самой компании, так и внутри неё, независимо от величины и сложности структуры.


Защита от внешних и внутренних атак с помощью их блокировки не даёт полную гарантию безопасности. Дополнительно требуется постоянно проводить мониторинг состояния сетевых ресурсов, баз данных, соотнося их с поведение пользователей, других систем, работающие в комплексе с приложением. Подобные функции берёт на себя система DAM. [6, с. 37]


Как известно, веб-приложения сегодня защищаются аппаратно-программным комплексом DAM, программой DBF. Это два класса защиты. Так как сетевые приложения работают с программами, предназначенными для управления базами данных, потоками информации, то атаки для них могут стать критичными. Проникнув к содержимому скрытого ресурса, злоумышленник имеет возможность изменить его работу, извлечь конфиденциальную информацию. В результате компания, работающая с данным приложением, теряет репутацию, реальные деньги.


Российский разработчик программ безопасности «Гарда Технологии» проводила исследование, на основании которого был сделан вывод, что во многих случаях, страховые, финансовые организации теряют базы данных по причине того, что их электронные системы подключены к приложениям. В некоторых случаях потери от сторонних атак оцениваются миллиардами рублей. Кроме того, на такие компании налагаются большие штрафы органами государственного контроля за разглашение персональных данных. Нельзя не указать и на значительные репутационные потери.


Поэтому, самым необдуманным шагом будет отказ от информационной защиты web-приложений.


Выше было указано, защита сетевого программного обеспечения при наличии современных угроз требует комплексного подхода. Необходимо использовать для этих целей защиту в виде сигнатурных средств, DAM, DBF, WAF, а так же другие решения.


Если рассматривать исключительно пару DAM-DBF, то она выполняет следующие функции: [7, с. 79]

- определение недостатков, уязвимости баз данных;

- проверка обезличенной информации по всем системам;

- блокировка внешнего несанкционированного доступа;

- обнаружение неучтённых защищённых данных;

- обнаружение подозрительной активности;

- остановка нетипичных действий, запросов от неавторизированных пользователей;

- расследование подозрительных действий;

- полный контроль входящих запросов на работу с большим объёмом информации;

- определение профиля пользователя, вошедшего в систему для скачивания базы данных.


Отдельно стоит рассмотреть комплекс «Гарда БД», являющийся первой отечественной разработкой программного обеспечения для повышения безопасности веб-приложений, созданную компанией «Гарда Технологии».


Первоначально главной функцией «Гарда БД» считалась защита веб-приложений, включая информационные базы. Её кейсы взаимодействовали с АБС, CRM и другими программами, предназначенными для выполнения повседневной работы с информацией.


Таким образом, данная система производила анализ сетевых действий и блокировку подозрительных операций при работе с базами данных. Мониторинг в онлайн режиме позволял выявлять угрозы и атаки любого уровня сложности в реальном времени. [10, с. 182]


Объединяя разные технологические возможности, «Гарда БД» обеспечивала комплексную безопасность сетевым приложениям, архивировала запросы, отклики для их анализа в любое время, осуществляла поиск неконтролируемых информационных поводов, работала с поведенческими факторами, выявляла отход от технологий информационной безопасности, автоматически формировала оповещение о выявленных аномалиях.


«Гарда БД» способна анализировать трафик со скоростью более 10 Гбит/сек. Исследование поведенческих факторов было направлено на анализ поведения сотрудников и программного обеспечения с целью выявления отклонений от нормы. В отчете указывались логины, количество авторизаций с одного IP-адреса, запросы, неудачные попытки входа в приложение. Преимуществом АПК «Гарда БД» является способность определять и блокировать угрозы по самым первым признакам. Программу можно протестировать в бесплатном режиме. С первых дней работы такая система доказывает свою эффективность.

 

Создание авторской методики практической реализации машинного обучения в weft-приложение.
Машинное обучение – это технология, задачей которой является обучение компьютеров без использования специальных программ и чётких инструкций. Для того, чтобы данную технологий внедрить в конкретную информационную систему, используют методику, обеспечивающую реализацию этого процесса в несколько этапов.


В первую очередь изучается содержание и принцип работы приложений с искусственным интеллектом типа Mei, с целью повышения их информационной безопасности. Далее определяются функции и особенности Mei-приложения, рассматриваемые с позиции определения уязвимости в плане информационной безопасности и недопустимых действий.


Второй этап – это изучение цели и задач машинного обучения, инструментов измерения, по которым будет оцениваться эффективность работы модели машинного обучения. Дополнительно необходимо выявить возможные угрозы, источники несанкционированного доступа. [3, с. 28]


Третий этап – выбор метода машинного обучения путём отсечения вариантов, представляющих потенциальные угрозы. Например, определяя слабые места в мей-приложении, дают обоснование выбранных критериев метода обучения разрабатываемой модели.


Четвёртый этап полностью отдан сбору статистических данных. Для этого нужно изучить свойства информационной среды, её основные параметры, опираясь на которые администратор получает возможность выявить действия, не соответствующие норме. Например, аккумуляция данных о пользователе должна включать такую статистику: учётная запись, история посещения, время работы в приложении, ТР-адрес, наличие права доступа.


Пятый этап – обработка собранной информации, её нормализация с целью использования для будущей классификации. Так, если данные представляют собой таблицу, необходимо обработать пропуски, обозначить поля, свести данные в единый формат, провести математическую обработку и т.п.


Шестой этап непосредственно классификация обработанных данных. Составляется смеха модели.


Седьмой этап – это создание работающей на инструкции взаимосвязанных входных данных классификационной модели, способной дать реальную оценку ситуации.


Восьмой этап – выбор инструментов, с помощью которых будет разрабатываться модель. Например, языка программирования, методов обработки данных. Потребуется так же установить библиотеки машинного обучения. Рекомендуется на этом этапе воспользоваться методом спиральной модели.


Девятый этап – тестирование разработанной модели в реальных условиях, для чего организуют целенаправленные атаки на приложение, пытаются войти в программу в обход регистрации, обойти установленные правила безопасности, выполняют другие запрещённые действия. По результатам тестирования организуют доработку модели машинного обучения, добавив случаи, которые не были сразу учтены. Такие действия повысят качество прогнозирования. [8, с. 91]


Информационная безопасность, как часть информационных технологий, даёт возможность изучать атаки на сетевые программы, сайты, приложения, вырабатывая эффективные методы противодействия им. В то же время, злоумышленники постоянно совершенствуют способы получения информации, используя для этого вредоносные программы, социальный инжиниринг, черви и др.


Поэтому мы выбрали целью своей работы создание системы, обеспечивающей безопасность веб-приложений.


В ходе работы были решён ряд задач:

- обоснована необходимость защиты сетевых приложений;

- определены направления развития безопасности веб-приложений;

- поставлены задачи машинного обучения, отобраны критерии этого метода.


Машинное обучение позволяет существенно улучшить информационную защиту путём мониторинга сетевой системы. Машинное обучение рекомендовано к использованию в тех случаях, когда ясно сформулирована цель применения его модели, имеются чёткие критерии отбора данных и определена точность предсказаний.


Логические выводы должны стать основой для выбора модели обучения. При этом модель требуется постоянно совершенствовать. Необходимо учитывать и тот факт, что присутствие человека всё же обязательно даже при машинном обучении, так как искусственный интеллект не может всегда верно оценивать ситуацию, оперируя только входными данными.

 

Список литературы

 

1. Владимиров, С. А. Разработка интеллектуальных сервисных интернет-приложений для управляющих CRM-систем / С. А. Владимиров, Д. К. Исланова // Информационные технологии и телекоммуникации. – 2019. – Т. 7, № 1. – С. 10-20.

2. Герлинг, Е. Ю. Обеспечение информационной безопасности при разработке web-приложений / Е. Ю. Герлинг, С. Е. Горлов, Д. И. Кириллов // Санкт-Петербург: Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича, 2020. – С. 326-331.

3. Ершов, М. А. Разработка методов обеспечения информационной безопасности веб-приложений / М. А. Ершов // Студенческий. – 2022. – № 41-1(211). – С. 26-29.

4. Зуева, А. С. Разработка физической модели элементов, используемых системой аналитики при извлечении данных из интернет-магазинов мобильных приложений / А. С. Зуева, Ю. А. Леонов // Анапа: ООО «Научно-исследовательский центр экономических и социальных процессов» в Южном Федеральном округе, 2019. – С. 101-105.

5. Карамышева, М. А. Проблема обеспечения информационной безопасности при разработке WEB-приложений / М. А. Карамышева, Л. Г. Орлова // Ростов-на-Дону – Таганрог: Южный федеральный университет, 2022. – С. 354-359.

6. Карнута, Д. С. Обоснование актуальности обеспечения информационной безопасности сетей Интернета вещей посредством разработки методов машинного обучения / Д. С. Карнута // Вопросы защиты информации. – 2021. – № 3(134). – С. 34-39.

7. Разработка методики внедрения машинного обучения для повышения информационной безопасности web-приложения / М. М. Ковцур, Д. И. Кириллов, А. В. Михайлова, П. А. Потемкин // Техника средств связи. – 2020. – № 4(152). – С. 74-86.

8. Ростунцев, С. Д. Разработка интернет-приложений: Учебное пособие / С. Д. Ростунцев, Е. Г. Сысолетин, Л. Г. Доросинский. – 1-е изд. – Москва: Издательство Юрайт, 2019. – С. 85-93.

9. Сергеев, М. Ю. Подход к разработке информационных систем для интернет- и мобильных приложений / М. Ю. Сергеев, А. С. Коробкин // Информационные технологии моделирования и управления. – 2020. – Т. 120, № 3. – С. 234-240.

10. Топилина, А. В. Анализ рисков информационной безопасности при разработке клиентской части веб-приложения / А. В. Топилина // Москва: Московский авиационный институт (национальный исследовательский университет), 2022. – С. 173-185.

11. Шелухин, О. И. Фильтрация нежелательных приложений Интернет-ресурсов в целях информационной безопасности / О. И. Шелухин, М. А. Смычек, А. Г. Симонян // Наукоемкие технологии в космических исследованиях Земли. – 2018. – Т. 10, № 2. – С. 87-98.

 

References

 

1. Vladimirov, S. A. Development of intelligent service Internet applications for managing CRM systems / S. A. Vladimirov, D. K. Islanova // Information technologies and telecommunications. - 2019. - V. 7, No. 1. - P. 10-20.

2. Gerling, E. Yu. Ensuring information security in the development of web applications / E. Yu. Gerling, S. E. Gorlov, D. I. Kirillov // St. Petersburg: St. Petersburg State University of Telecommunications. prof. M.A. Bonch-Bruevich, 2020. - P. 326-331.

3. Ershov, M. A. Development of methods for ensuring information security of web applications / M. A. Ershov // Student. - 2022. - No. 41-1(211). - P. 26-29.

4. Zueva, A. S. Development of a physical model of the elements used by the analytics system when extracting data from online stores of mobile applications / A. S. Zueva, Yu. A. Leonov // Anapa: Scientific Research Center for Economic and Social processes” in the Southern Federal District, 2019. – P. 101-105.

5. Karamysheva, M. A. The problem of ensuring information security in the development of WEB applications / M. A. Karamysheva, L. G. Orlova // Rostov-on-Don - Taganrog: Southern Federal University, 2022. - P. 354- 359.

6. Karnuta, D.S. Substantiation of the relevance of ensuring the information security of Internet of Things networks through the development of machine learning methods / D.S. Karnuta // Information security issues. - 2021. - No. 3 (134). - P. 34-39.

7. Kovtsur M. M., Kirillov D. I., Mikhailova A. V., Potemkin P. A. Development of a technique for implementing machine learning to improve the information security of a web application // Telecommunications Technique. - 2020. - No. 4 (152). - P. 74-86.

8. Rostuntsev, S. D. Development of Internet applications: Textbook / S. D. Rostuntsev, E. G. Sysoletin, L. G. Dorosinsky. - 1st ed. - Moscow: Yurayt Publishing House, 2019. - P. 85-93.

9. Sergeev M. Yu., Korobkin A. S. Approach to the development of information systems for Internet and mobile applications // Information technologies of modeling and management. - 2020. - T. 120, No. 3. - P. 234-240.

10. Topilina, A. V. Information security risk analysis in the development of the client part of a web application / A. V. Topilina // Moscow: Moscow Aviation Institute (National Research University), 2022. - P. 173-185.

11. Shelukhin, O. I., Smychek M. A., Simonyan A. G. Filtering unwanted applications of Internet resources for information security // Science-intensive technologies in space research of the Earth. - 2018. - T. 10, No. 2. - P. 87-98.

 

Наши контакты

 

Позвонить менеджеру по номеру:

+7 (987) 772-22-22

WatsApp Telegram Viber по номеру: 

+7 (987) 772-22-22

Написать письмо нашему менеджеру на адрес: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.

Оформить заявку, перейдя в следующий раздел сделать заявку

Задать вопрос