Защита информации от несанкционированного доступа

Автор работы: Пользователь скрыл имя, 05 Мая 2014 в 18:58, курсовая работа

Описание работы

В данной работе речь пойдет о сайте кафедры №402 «Радиосистемы управления и передачи информации» факультета радиоэлектроники летательных аппаратов МАИ. Основной целью при создании сайта является предоставление в текстовом, графическом и визуальном виде информации о самой кафедре, предлагаемых специальностях, преподавательском составе и научной деятельности сотрудников кафедры. В то же время большинство посетителей также интересуются тем, как проходит учебный процесс и каким образом можно связаться с руководством кафедры.

Содержание работы

Введение
Список используемых сокращений
1. Обзор основных форматов документов, размещаемых на сайте.
1.1 Форматы материалов, размещаемых на сайте.
1.2 Анализ форматов файлов, представленных на сайтах различных институтов.
2. Анализ потенциальных уязвимостей материала, размещенного на сайте.
2.1 Возможные угрозы сайтам.
2.2 Потенциальные уязвимости материалов, публикуемых на сайте.
3. Анализ методов защиты содержимого сайта от несанкционированного использования.
3.1 Защита с помощью специализированного программного кода.
3.2 Защита с использованием методов шифрования.
3.3 Защита с использованием методов стеганографии.
3.4 Сравнительный анализ рассмотренных методов защиты данных, выложенных на сайте.
4. Создание механизмов защиты данных, представленных на сайте.
4.1 Использование водяного знака для защиты изображений.
4.2 Защита динамических изображений и видеофайлов.
4.3 Защита гипертекстовых материалов.
5. Разработка php-скрипта для защиты данных, публикуемых на сайте.
5.1 Создание скрипта для добавления водяного знака на изображение.
5.2 Внедрение скрипта в систему управления содержимого сайта кафедры.
6. Экономическая часть.
7. Охрана труда.
Заключение
Библиография

Файлы: 1 файл

карпухинДиплом_ф.doc

— 3.20 Мб (Скачать файл)

HTML (HyperText Markup Language)

Данный формат является стандартным языком разметки документов в сети  Интернет. Большинство веб-страниц создаются при помощи языка HTML. В отличие от обычных текстовых документов, они могут содержать в себе ссылки на другие страницы (гиперссылки) или объекты.

HTML является приложением SGML (стандартного  обобщённого языка разметки) и соответствует международному стандарту ISO 8879.

XML (eXtensible Markup Language)

XML текстовый формат, предназначенный  для хранения структурированных  данных (взамен существующих файлов баз данных), для обмена информацией между программами, а также для создания на его основе более специализированных языков разметки (например, XHTML). XML является упрощённым подмножеством языка SGML.

1.1.3. Самыми распространенными  форматами для аудио- и видео- данных является *.mp3, *.avi, *.flv.

MP3 (MPEG I Layer III)

Технология компрессии MPEG I Layer III позволяет сжать звуковую информацию в несколько раз с минимальной потерей качества. Ее появление повлекло за собой возникновение большого количества контрафактных компакт-дисков и специализированных сайтов Интернета, содержащих файлы этого формата.

AVI (Audio Video Interleave)

Формат предназначен для хранения анимаций или видеоинформации. Раньше в формате avi можно было сохранять лишь короткие видеоролики. Сегодня, с появлением новых методик сжатия видеоинформации (MPEG-4), в виде avi-файлов распространяются уже целые фильмы. Воспроизвести их можно с помощью стандартного проигрывателя Windows (Windows Media Player).

FLV (Flash Video File)

Flash-совместимый видео-файл, который содержит короткий заголовок, аудио, видео и метаданные. Формат аудио и видеоданных похож на стандартный формат Flash - .SWF. FLV-файл — это битовый поток, который является вариантом видеостандарта H.263. Звук в FLV, как правило, закодирован в MP3. Формат FLV получил наибольшее распространение в Интернете. Чаще всего в файлах данного формата храниться потоковое видео для затруднения скачивания видеоконтента. Для воспроизведения файлов необходимо установить видеокодеки FLV или использовать программы, предназначенные для просмотра FLV файлов. В настоящее время практически вся медиа информация представлена в данном формате, поскольку он содержит в себе множество кодеков для воспроизведения различных аудио- и  видео- форматов.

1.1.4. Прочие специализированные  форматы.

  1. Прочие форматы *.pdf, *.DjVu, *.rar, *.zip.

PDF (Portable Document Format)

Кроссплатформенный формат электронных документов, созданный фирмой Adobe Systems с использованием ряда возможностей языка PostScript. В первую очередь предназначен для представления в электронном виде полиграфической продукции. Для просмотра можно использовать официальную бесплатную программу Adobe Reader, а также программы сторонних разработчиков. Традиционным способом создания PDF-документов является виртуальный принтер.

PDF с 1 июля 2008 года является открытым стандартом ISO 32000.

DjVu

Данный формат применяет технологию сжатия изображений с потерями, разработанную специально для хранения сканированных документов — книг, журналов, рукописей и прочее, где обилие формул, схем, рисунков и рукописных символов делает чрезвычайно трудоёмким их полноценное распознавание.

DjVu стал основой для нескольких  библиотек научных книг. Огромное количество книг в этом формате доступно в файлообменных сетях.

RAR (Roshal Archiver)

Распространённый проприетарный формат сжатия данных и программа-архиватор. Формат разработан российским программистом Евгением Рошалом Он написал программу-архиватор для упаковки/распаковки RAR, изначально под DOS, затем и для других операционных систем. Версия для ОС Microsoft Windows распространяется в составе многоформатного архиватора с графическим интерфейсом WinRAR.

ZIP

Популярный формат сжатия данных и архивации файлов. Файл в этом формате хранит в сжатом или несжатом виде один или несколько файлов, которые можно из него извлечь путём распаковки с помощью специальной программы.

  1. Обособленно стоит отметить форматы пакета Microsoft Office: *.doc, *.xls, *.ppt.

Стандартный пакет Microsoft Office содержит несколько программных продуктов. Однако на сайтах используются немногие из них. Формат текстовых документов, представленный ПО Microsoft Office Word, был рассмотрен ранее.

Также стоит рассмотреть формат ПО Microsoft Office Excel, предназначено для работы с электронными таблицами. Продукт Microsoft Office Excel предоставляет возможности экономико-статистических расчетов, графические инструменты и язык макропрограммирования VBA (Visual Basic для приложений).

Программное обеспечение Microsoft Office PowerPoint необходимо для создания динамичных и эффектных презентаций. Microsoft Office PowerPoint содержит широкий диапазон функций управления графикой, текстом и стилями, что обеспечивает профессиональный подход к разработке слайдов.

1.2 АНАЛИЗ ФОРМАТОВ ФАЙЛОВ, ПРЕДСТАВЛЕННЫХ  НА САЙТЕ РАЗЛИЧНЫХ ИНСТИТУТОВ

В ходе работы были просмотрены несколько сайтов различных институтов. Среди которых:

  1. МГУ им. Ломоносова М.В (www.msu.ru)
  2. МГИМО (www.mgimo.ru)
  3. МГТУ им. Н.Э. Баумана (www.bmstu.ru)
  4. МФТИ (ГУ) (www.pipt.ru)
  5. МИФИ (www.mephi.ru)
  6. МАИ (ТУ) (www.mai.ru)

Проанализированы форматы представленных на них материалов. Результатом данного анализа может служить рис. 1.1. Более детальное использование форматов представлено в табл. 1.1.

Рис. 1.1 Процентное соотношение типов файлов на сайте

 

Таблица 1.1 Процентное соотношение форматов материалов, размещаемых на сайте.

Формат материала

% использования

Графические

gif

8

jpg

17

png

10

Текстовые

doc

10

txt

10

html

20

Медиа

flv

10

Архивы

rar

8

Электронные книги

pdf

3

DjVu

2

Прочие

2


 

При выборе конкретного формата файла для преставления его на сайте важную роль играет не только критерий привлекательности для пользователя, но и критерий возможности защиты файла. Для рассмотрения данного вопроса необходимо установить основные угрозы, которым может подвергнуться материал, размещенный на сайтах. Этому вопросу посвящена следующая глава.

В первой главе были рассмотрены различные форматы файлов и степени их защищенности с помощью стеганографических методов. Исходя из данного обзора, можно выделить те форматы файлов, размещение которых на сайте позволит обеспечить представление информации в удобном для пользователя виде, а также позволит защитить авторские или имущественные права на цифровые изображения, фотографии или другие оцифрованные произведения, опубликованные на сайте.

Для предоставления информации на сайтах я рекомендую использовать следующие форматы:

  1. Графические данные: *.gif, *.png и *.jpg.
  2. Текстовые данные: *.doc, *.html.
  3. Аудио-, видео- данные: *.flv.
  4. Прочие форматы представлять в архивах: *.rar.

 

ГЛАВА 2

Анализ потенциальных уязвимостей размещенных на сайте материалов

При проектировании любого сайта необходимо учитывать потенциальные угрозы на него и уязвимости его содержимое. Данная информация позволит разработать эффективную систему защиты web-ресурса.

2.1 ВОЗМОЖНЫЕ УГРОЗЫ САЙТАМ

Атаки на сайт могут производиться различными способами, с разными мотивами. Можно выделить основные цели атак:

  • выведение web-ресурса из нормального рабочего состояния;
  • получение конфиденциальной информации;
  • несанкционированное использование материалов, выложенных на сайте, в личных целях.

Возможные способы взлома сайта можно разделить на три группы.

а) Захват контроля над web-сервером, на котором расположен сайт.

Если сайт размещен на условиях хостинга, то при таком способе взлома угрозе подвергаются все ресурсы, расположенные на данном хостинге. Однако вероятность подобного взлома невысока, поскольку компании, предоставляющие подобные услуги, обычно хорошо прорабатывают вопросы безопасности своих ресурсов.

Примером данного атак данной группы может служить DoS атака.

DoS-атака (от англ. Denial of Service — «отказ в обслуживании») и DDoS-атака (Distributed Denial of Service — «распределённый отказ обслуживания») — это разновидности атак злоумышленника на компьютерные системы. Целью этих атак является создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Разница же между обычным (DoS) отказом в обслуживании и распределённым (DDoS) состоит в географии трафика: обычный DoS (трафик, приводящий к отказу) приходит с одного компьютера, распределённый — из множества. Схема DoS атаки показана на рис. 2.1.

Рис2.1 Схема DoS атаки.

 

Простейший тип DoS – лавинная рассылка пакетов (packet flooding). Атакующий или группа атакующих посылают серверу управляющие пакеты Internet Control Message Packets (ICMP), требуя ответа. Сервер начинает посылать ответы на эти запросы. Если запросы поступают чаще, чем сервер успевает их обработать, скапливаются необработанные запросы, что приводит к существенному замедлению работы сервера или полному его отказу. Часто стоит потратить немного средств и времени, чтобы уменьшить риск подобной атаки.

б) Получение авторизационных данных для доступа к сайту (логин и пароль к FTP-аккаунту или к управляющей панели).

Злоумышленник может воспользоваться ими в целях изменения сайта или похищения с него информации. При этом никакие системы безопасности самого ресурса не смогут ему воспрепятствовать, т.к. для них действия злоумышленника будут абсолютно законными (выполняются после легального прохождения авторизации). Логины и пароли для работы с сайтом можно получить как с помощью социальной инженерии, так и с помощью атаки на те компьютеры, где эти данные могут быть сохранены или перехвата передаваемых данных.

Одной из разновидностью такой атаки является фишинг (phishing).

Фишинг — вид интернет - мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинами паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее. Схема фишинга приведена на рис. 2.2.

Рис. 2.2 Схема фишинга.

 

в) Получение доступа к сайту посредством уязвимостей в программном обеспечении.

Если на сайте установлены какие-либо программные пакеты, код которых выполняется на web-сервере (например, CMS, форум или чат, картинная галерея, интернет-магазин), то они всегда потенциально опасны с точки зрения взлома. Если в программном комплексе есть уязвимость, то взломщик с помощью правильно составленного запроса к сайту может узнать пароли для управления сайтом или форумом или разместить на сайте свою программу, которая позволит загружать на сайт свои файлы, удалять и менять любые данные.

Против каждой из этих угроз есть своя защита, которую нужно грамотно применять.

Примерами таких атак на сайты может служить Межсайтовый скриптинг (Сross Site Sсriрting).

XSS («межсайтовый скриптинг») — тип уязвимости интерактивных информационных систем в Web. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента. Алгоритм XSS показан на рис. 2.3.

Информация о работе Защита информации от несанкционированного доступа