Защита информации от несанкционированного доступа

Автор работы: Пользователь скрыл имя, 05 Мая 2014 в 18:58, курсовая работа

Описание работы

В данной работе речь пойдет о сайте кафедры №402 «Радиосистемы управления и передачи информации» факультета радиоэлектроники летательных аппаратов МАИ. Основной целью при создании сайта является предоставление в текстовом, графическом и визуальном виде информации о самой кафедре, предлагаемых специальностях, преподавательском составе и научной деятельности сотрудников кафедры. В то же время большинство посетителей также интересуются тем, как проходит учебный процесс и каким образом можно связаться с руководством кафедры.

Содержание работы

Введение
Список используемых сокращений
1. Обзор основных форматов документов, размещаемых на сайте.
1.1 Форматы материалов, размещаемых на сайте.
1.2 Анализ форматов файлов, представленных на сайтах различных институтов.
2. Анализ потенциальных уязвимостей материала, размещенного на сайте.
2.1 Возможные угрозы сайтам.
2.2 Потенциальные уязвимости материалов, публикуемых на сайте.
3. Анализ методов защиты содержимого сайта от несанкционированного использования.
3.1 Защита с помощью специализированного программного кода.
3.2 Защита с использованием методов шифрования.
3.3 Защита с использованием методов стеганографии.
3.4 Сравнительный анализ рассмотренных методов защиты данных, выложенных на сайте.
4. Создание механизмов защиты данных, представленных на сайте.
4.1 Использование водяного знака для защиты изображений.
4.2 Защита динамических изображений и видеофайлов.
4.3 Защита гипертекстовых материалов.
5. Разработка php-скрипта для защиты данных, публикуемых на сайте.
5.1 Создание скрипта для добавления водяного знака на изображение.
5.2 Внедрение скрипта в систему управления содержимого сайта кафедры.
6. Экономическая часть.
7. Охрана труда.
Заключение
Библиография

Файлы: 1 файл

карпухинДиплом_ф.doc

— 3.20 Мб (Скачать файл)

Рис. 2.3 Алгоритм XSS.

 

Сейчас XSS составляют около 15 % всех обнаруженных уязвимостей. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора). На популярном сайте скрипт может устроить DoS-атакy.

Данная уязвимость дает возможность внедрить в HTML-страницу, которая генерируется скриптом (например, РHР), произвольный код путем простого присваивания значения нефильтруемой переменной. Существует два способа осуществления атаки XSS. Первый — использование РOST-запроса, второй — использование GET-запроса. Наиболее простым, но в то же время и «шумным» является второй способ. GET-запрос осуществляется через адресную строку браузера, поэтому особо осторожный пользователь может увидеть в ней незнакомые символы и насторожиться. Использовать РOST немного сложнее, однако он работает независимо от url-скрипта. Для осуществления такого рода необходимо использовать промежуточную страницу, которая вынудит пользователя отправить РOST-запрос уязвимому серверу.

Поскольку в данной работе речь идет о методах защиты содержимого сайта, особое внимание следует уделить возможным угрозам содержимому сайтов. Несанкционированное использование материала является наиболее распространенной угрозой.

 

Приведем классификацию угроз размещаемому на сайте материалу:

  1. по объекту угрозы:

  • конфиденциальные сведения;

  • обще пользовательская информация;

  • интеллектуальная собственность.

  1. по цели реализации угрозы:

  • получение конфиденциальных данных;

  • искажение, подмена данных;

  • несанкционированное использование данных в личных целях.

  1. по возможным последствиям угрозы:

    • компрометация конфиденциальных данных;

    • введение в заблуждение пользователей;

    • нарушение авторских прав собственника информации.

2.2 ПОТЕНЦИАЛЬНЫЕ УЯЗВИМОСТИ  МАТЕРИАЛА, РАЗМЕЩЕННОГО НА САЙТЕ

Предпосылкой возможных угроз материалам, размещаемым на сайте, являются их потенциальные уязвимости. Рассмотрим основные уязвимости материалов, представленных на сайте.

Вся информация, размещенная на сайте (включая статьи, тексты, фотоизображения, видеоматериалы, аудиозаписи, иллюстрации, дизайн сайта, а также подбор, расположение и систематизация) является объектом интеллектуальной собственности и охраняется в соответствии с законодательством Российской Федерации о защите интеллектуальной собственности. Также все содержание сайта охраняется авторским правом, как произведение, созданное творческим трудом в соответствии с законодательством Российской Федерации [5].

В связи с этим устанавливаются правила использования опубликованных на сайте данных:

  • Пользователь вправе загружать (скачивать) материалы, размещенные на сайте исключительно для личного некоммерческого использования.
  • Цитирование текстов (статей), размещенных на сайте возможно исключительно при условии указания сайта как источника и размещении гиперссылки на сайт, гиперссылка должна располагаться в начале воспроизводимого текста (статьи).
  • Использование любых других материалов размещенных на сайте, (включая, но не ограничиваясь, фотоматериалами, иллюстрациями, графическими изображениями, аудио и видео материалами) не допускается без соблюдения авторского права.

Любое иное использование статей, фотографий, иллюстраций и всех других материалов сайта, в том числе копирование (включая запись на носители информации), воспроизведение (включая воспроизведение на узлах сети Интернет для любых целей, включая обзоры), переработка, распространение, передача в эфир, сообщение по кабелю для всеобщего сведения, доведение до всеобщего сведения через сеть Интернет любым иным способом запрещено (считается несанкционированным) и влечет ответственность, предусмотренную законодательством Российской Федерации о защите интеллектуальной собственности.

При наполнении сайта данными необходимо удостовериться в их уникальности. Уникальный контент – это написанный вашими словами текст, нигде ранее не публиковавшийся, то есть, по-настоящему авторское изложение на какую-либо тему. Уникальные тексты, в первую очередь, необходимы для наиболее успешного и достаточно быстрого продвижения сайта. Во-вторых, благодаря уникальному контенту на сайте заметно увеличивается трафик.

Благодаря высокой уникальности страницы сайта будут быстрее и лучше индексироваться поисковыми системами. Т.о. сайт появится в верхних строчках поисковых выдач, что также способствует увеличению числа посетителей, ведь большая их часть приходит именно с поисковых систем. В обратном случае происходит снижение позиций сайта в выдаче по поисковым запросам. В связи с этим, необходимо воспрепятствовать незаконному копированию информации с сайта. Для  данных целей существуют различные методы защиты содержимого сайта от несанкционированного использования.

При публикации любых материалов на сайте, необходимо заранее разместить на них определенный опознавательный знак. Данное действие производиться в целях:

  • подтверждения (указания) принадлежности данного материала данному сайту;
  • возможности выявления несанкционированного использования данного материала посторонними людьми.

В данной главе были рассмотрены наиболее распространенные угрозы сайтам. Их цели и способы реализации. Также были определены потенциальные уязвимости размещенного на сайте материала. Обозначены основные мероприятия, способствующие предотвращению реализации данных угроз.

Основной угрозой материалу сайта является его незаконное копирование. В результате чего данные перестают быть уникальными. От уровня уникальности содержимого зависит, насколько хорошо будет индексироваться сайт поисковыми системами, а значит, посещаемость и дальнейшее развитие ресурса.

В связи с этим следует позаботиться о защите содержимого сайта от несанкционированного использования посторонними лицами.

ГЛАВА 3

Анализ методов защиты содержимого сайта от несанкционированного использования

В последние годы в связи с интенсивным развитием мультимедийных технологий очень остро встал вопрос защиты авторских прав и интеллектуальной собственности, представленной в цифровом виде. Особенно актуальной эта проблема стала с развитием общедоступных компьютерных сетей, в частности, сети Интернет.

В данной главе будут рассмотрены основные способы защиты содержимого сайта от несанкционированного использования. Также будет произведен сравнительный анализ этих методов.

3.1  ЗАЩИТА С ПОМОЩЬЮ СПЕЦИАЛИЗИРОВАННОГО ПРОГРАММНОГО КОДА

В вопросе защиты содержимого сайта от копирования существует несколько отличных друг от друга подходов. Самым простым вариантом является использование возможностей JavaScript для блокирования функций выделения и копирования как графических, так и текстовых элементов web-страницы. Это не самый надежный, но при этом самый доступный вариант для большинства вебмастеров и серверов. В большей мере все эти подходы служат лишь для защиты от начинающих злоумышленников и от людей, малознакомых с подобными технологиями.

3.1.1 Запрет на кэширование страницы

Большинство специалистов по безопасности считают это первым шагом на пути к полноценной защите сайта от копирования. Для запрета на кэширование необходимо вставить между тегами <head>… </head> следующее:

<META HTTP-EQUIV="Pragma" CONTENT="no-cache">

или:

<META HTTP-EQUIV="no-cache">

или:

<META HTTP-EQUIV=Cache-Control content=no-cache>

3.1.2 Защита от копирования элементов страницы

  1. Запрет на копирование картинок с сайта

Для защиты изображений от копирования можно оформить код картинки следующим образом:

<span oncontextmenu ="return false;" ondragstart = "return false"; ><img src = "picture.jpg" galleryimg="no"></span>.

  1. Запрет на выделение текста на сайте

Обычно для копирования текст надо сначала выделить, а потом копировать комбинацией клавиш Ctrl+C или через контекстное меню. Так вот можно запретить это самое выделение специальным скриптом. Для этого просто скопируйте код скрипта, представленного ниже, и вставьте его между тегами <head> и </head>.

<script language = "JavaScript1.2">

function disableselect(e){return false;}

function reEnable(){return true;}

//if IE4+

document.onselectstart = new Function ("return false");

//if NS6

if (windows.sidebar){

document.onmousedown = disableselect;

document.onclick = reEnable;

}

</script>

Есть второй способ запретить выделение текста на сайте. Для этого к тегу <body> пропишите как атрибут, чтобы в итог получилось так:

<body onselectstart = "return false">.

  1. Запрет на копирование клавишами Ctrl + C

Для того чтобы запретить копирование выделенного фрагмента с сайта комбинацией клавиш Ctrl + C, надо сразу после тега <body> приписать скрипт:

<script language = JavaScript>

document.ondragstart = test;

//запрет на копирование

document.onselectstart = test;

//запрет на выделение

document.ontextmenu = test;

//запрет на выделение контекстного меню

function test(){return false;}

</script>

Или к тегу <body> приписываем атрибут, чтобы получилось так:

<body oncopy = "return false">.

  1. Запрет на вызов контекстного меню на сайте

В некоторых случаях может быть полезен запрет на вызов контекстного меню правой кнопкой мыши. То есть так вы зароете доступ к пункту меню «Копировать». Для этого вставьте код следующего скрипта сразу после тега <body>.

<script language = JavaScript>

<!—

var message = "***";

/////////////////////////////

function clickIE() {if (document.all) {alert(message);return false;}}

function clickNS(e) {

if (document.layers || (document.getElementById&&!document.all)) {

if (e.which==2||e.which==3) {alert(message); return false;}}}

if (document.layers) {

document.captureEvents(Event.MOUSEDOWN);

document.onmousedown=clickNS;}

else {document.onmouseup = clickNS; document.onmousedown =clickNS;}

else {document.onmouseup = clickNS;

         document.oncontextmenu =clickIE;}

document.oncontextmenu = new Function ("return false");

//-->

</script>

Приведенные скрипты являются наиболее распространенными в Web программировании. Однако существует еще множество различных скриптов, позволяющих защитить плоды интеллектуального труда от копирования, дублирования и несанкционированного использования.

Анализируя данные методы защиты, можно отметить:

  1. Не смотря на то, что указанные способы защиты хорошо работают, опытные пользователи смогут обойти ограничения либо за счет отключения JavaScript, либо за счет сборки HTML-страниц в сниффере.
  2. Если мы хотим, чтоб наши статьи и изображения распространялись (с учетом защиты авторского права и рекламы сайта) – данные методы защиты нам не подходят.

3.2  ЗАЩИТА С ИСПОЛЬЗОВАНИЕМ МЕТОДОВ ШИФРОВАНИЯ

Сейчас существует множество способов получения информации компьютера, поэтому необходимо защищать информацию от несанкционированного доступа.

Распространенным методом защиты документов является шифрование с доступом по паролю. При сохранении файла в некоторых форматах возможно использовать защиту паролем и средства безопасности, тем самым не только ограничивая круг лиц, которые смогут открыть файл, но и, определяя, кто имеет право копировать или извлекать содержимое, печатать документ и т.д.

  1. Файлы Microsoft Office

Существует несколько способов ограничения доступа к файлам приложений Microsoft® Office Excel, Microsoft Office Word и Microsoft Office PowerPoint с помощью паролей или шифрования данных. Эти меры по обеспечению безопасности применяются к отдельным файлам и не связаны с параметрами безопасности операционной системы.

Самый простой способ защитить свой документ - это задать пароль на открытие файла и/или на его изменение. Если задать пароль на открытие документа, то собственно при попытке открыть этот документ будет выведено окошко запроса пароля. Такое же окошко будет выведено и в случае, если вы задали пароль на внесение изменений в файл, правда с одним отличием - возможно открыть документ, но лишь в режиме "только для чтения".

В данном методе ключевую роль играет сложность пароля. Можно усложнить задачу потенциальному злоумышленнику, усилив защиту документа шифрованием пароля. По умолчанию используется простой алгоритм шифрования, но можно выбрать более сложный и совершенный тип шифрования.

Для создания, просмотра и редактирования документов формата *.doc существует несколько программных продуктов (Microsoft Word Viewer, Open Office, DocViewer, Valon.Doc и др.). При защите документов паролем возникает вопрос совместимости в различных версиях программ просмотра документа. В ходе работы было протестировано использование пароля в различных программах, что позволило сделать вывод: при защите файлов формата *.doc такой проблемы не возникает.

Информация о работе Защита информации от несанкционированного доступа