Разработка защищенной автоматизированной системы для информационной поддержки публичных мероприятий

3.4 Методы защиты от актуальных угроз.

• 
  SQL-injection – в качестве защиты от данной атаки была применена технология доступа к данным(EntityFramework), где все данные параметризированы и экранируются .
  

• 
  XSS- защиту от данной атаки предоставляют стандартные средства разработки ASP.NET MVC.
  

• 
  Fingerprinting – В файле конфигурации приложения была отключена передача информации о версии ASP.NET и версии сервера IIS.
  

• 
  CSRF- использование POST запросов при операциях с данными.
  
• 
  DirectoryTraversal – разделение всех пользователей по ролям и жесткое ограничение на доступ к директориям на основании роли пользователя, применен алгоритм авторизации и аутентификации п.2.3 Главы II.
  

• 
  Для возможности контролирования действий пользователей производится логирование всех действий пользователей на уровне триггеров базы данных. Лог представляет информацию о том, кто и когда совершил какое-то действие.
  
• 
  Для доступа в административную панель было выделено два типа пользователей, это администраторы и клиенты(организаторы). Все представления данных в веб-приложения имеют разграничение на основе роли пользователя после авторизации в системе.
  
• 
  Авторизация и аутентификация пользователей происходит по алгоритму описанному в п.2.4 второй главы.
  
• 
  Для возможности усиления защиты доступа в панель администратора создана двухэтапная авторизации через SMS , после ввода правильного логина и пароля на номер пользователя отправляется смс, содержащее код подтверждения для авторизации на втором этапе.
  
• 
  Использование протокола HTTPS дает возможность от одной из актуальных угроз перехвата учетных данных при входе в систему.
  
• 
  Во избежание потери доступа в панель в программном коде и на уровне триггеров базы данных запрещено удалять пользователя с ID=1 и менять его роль в системе как администратора.
  
• 
  Программно запрещено организатору создавать учетные записи с ролью организатора для другого мероприятия, к которому отсутствует доступ.
  
• 
  Физически записи не удаляются, а помечаются флагом isDelete.
  
• 
  Для обеспечения защиты от внутренних нарушителей категорий I,II,III был выбран юридический метод, а именно подписание соглашения о неразглашении данных и составление трудового договора с учетом ответственности за нарушения информационной безопасности ИС.
  

ЗАКЛЮЧЕНИЕ

СПИСОК ЛИТЕРАТУРЫ

1. 
   Omyconf [Электронный ресурс] //URL: http://omyconf.com/ru. (Дата обращения:01.12.13)
   
2. 
   KitApps [Электронный ресурс] //URL: http://attendify.com   (Дата обращения:01.12.13)
   
3. 
   Bizzabo [Электронный ресурс] // URL: www.bizzabo.com (Дата обращения:01.12.13)
   
4. 
   Веб-сервер [Электронный ресурс] // URL:http://en.wikipedia.org/wiki/Web_server (Дата обращения: 15.01.14)
   
5. 
   Сравнение веб-серверов [Электронный ресурс] //URL: http://ru.wikipedia.org/wiki/Сравнение_веб_серверов. (Дата обращения: 15.01.14)
   
6. 
   MVC [Электронный ресурс] //URL:http://habrahabr.ru/post/49718/ mvc.( Дата обращения:01.12.13)
   
7. 
   SOAP [Электронный ресурс] // URL: http://www.rsdn.ru/article/xml/soap.xml. (Дата обращения:15.01.14 )
   
8. 
   REST vs SOAP[Электронный ресурс] // URL: http://habrahabr.ru/post/158605. (Дата обращения:15.01.14 )
   
9. 
   Российские и мировые продажи смарфонов по операционным системам [Электронный ресурс] // URL: http://www.json.ru/poleznye_materialy/free_market_watches/analytics/rossijskie_i_mirovye_prodazhi_smartfonov_po_operacionnym_sistemamm_2011_-_2016/. (Дата обращения:15.01.14 )
   
10. 
    Архитектура ОС Android [Электронный ресурс] // URL:http://android-shark.ru/arhitektura-operatsionnoy-sistemyi-android/. (Дата обращения:15.01.14 )
    
11. 
    iOS [Электронный ресурс] // URL: http://ru.wikipedia.org/wiki/IOS. (Дата обращения:15.01.14 )
    
12. 
    Статистика уязвимостей веб-приложений [Электронный ресурс]// URL: http://www.ptsecurity.ru/download/analitika_web.pdf - (Дата обращения : 15.01.14)
    
13. 
    Об информации, информационных технологиях и о защите информации: Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ
    
14. 
    Информационная безопасность [Электронный ресурс] // URL http://ru.wikipedia.org/wiki/Информационная_безопасность. (Дата обращения:15.01.14)
    
15. 
    Базовая модель угроз ФСТЭК России [Электронный ресурс] // URL:http://fstec.ru/component/attachments/download/289. (Дата обращения:15.01.14 )
    
16. 
    Типовая модель угроз для ЛПУ [Электронный ресурс] // URL:http://www.aksimed.ru/download/center/Model_ugroz_MIS_LPU_2009.pdf. (Дата обращения:15.01.14 )
    
17. 
    Методы и средства обеспечения безопасности. [Электронный ресурс]// URL:http://expert.gost.ru/ID/DOC/17799.pdf (Дата обращения : 15.01.14)
    
18. 
    ServerMisconfiguration [Электронный ресурс]// URL:http://projects.webappsec.org/w/page/13246959/Server%20Misconfiguration//ServerMisconfiguration – (Дата обращения : 15.01.14)
    
19. 
    Методы борьбы с XSS [Электронный ресурс] // URL: http://help.yandex.ru/webmaster/security/xss.xml. (Дата обращения:15.01.14) 
    
20. 
    Настройка службы HTTPS в IIS [Электронный ресурс]. – URL: http://support.microsoft.com/kb/324069/ru (Дата обращения:01.02.14)
    
21. 
    CocoaaControls [Электронный ресурс] // URL: http://www.cocoaacontrols.com. (Дата обращения:15.01.14)
    
22. 
    GitHub [Электронный ресурс] // URL: http://www.github.com. (Дата обращения:15.01.14)
    
23. 
    BitBucket [Электронный ресурс] // URL: http://www.bitbucket.com. (Дата обращения:15.01.14)
    
24. 
    Android Asynchronous Http Client [Электронный ресурс] // URL: http://loopj.com/android-async-http. (Дата обращения:15.01.14)
    
25. 
    AFNetworking [Электронный ресурс] // URL: https://github.com/AFNetworking/AFNetworking. (Дата обращения:15.01.14)
    

26. 
    ORM Lite [Электронный ресурс] URL: http://ormlite.com/sqlite_java_android_orm.shtml. (Дата обращения:15.01.14)
    

ПРИЛОЖЕНИЕ 1

ПРИЛОЖЕНИЕ 2

ПРИЛОЖЕНИЕ 3

ПРИЛОЖЕНИЕ 4