РАЗРАБОТКА СИСТЕМЫ АУТЕНТИФИКАЦИИ ВЕБ-РЕСУРСОВ ПРЕДПРИЯТИЯ НА ОСНОВЕ ИСПОЛЬЗОВАНИЯ КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛОВ

Список используемых сокращений……………………………………………….....4
Введение…………………………………………………………………………….....5
1. Веб-ресурсы как объекты защиты……..………………………………..............7
1.1. Основные понятия и компоненты веб-ресурсов типового предприятия…7
1.2. Анализ основных угроз для веб ресурсов предприятия…………………..12
1.3. Требования к защите веб ресурсов…………………………………............15
1.4. Основные способы аутентификации веб-ресурсов… ….…………............21
1.4.1. Парольная аутентификация…………………………………………....21
1.4.2. Аутентификация по сертификатам………………………....................22
1.4.3. Аутентификация по одноразовым паролям…..………………………24
1.4.4. Аутентификация по ключам доступа………………..………………..25
1.4.5. Аутентификация по сертификатам………………………....................27
1.4.6. Аутентификация по токенам………………………..............................29
1.4.7. Анализ рассмотренных способов аутентификации веб-ресурсов…..33
1.5. Анализ промышленных средств аутентификации веб-ресурсов…………34
1.5.1. Файрволл (Web Application Firewall - WAF)…………………………34
1.5.2. Secret Net………………………………………………………………..34
1.5.3. Dallas Lock………………………………………………………………37
1.5.4. Сравнительный анализ рассмотренных промышленных средств аутентификации веб-ресурсов………………………………………………..38
1.6. Анализ криптографических протоколов для аутентификации веб- ресурсов………………………………………………………………………………42
1.6.1. Протокол строгой парольной аутентификацией на основе ГОСТ Р 34.11-2012 согласно ГОСТ Р 58833-2020 пункт 6.14………………………………42
1.6.2. Криптографический протокол аутентификации «запрос-ответ» использующий ЭП……………………………………………………………………43
1.6.3. Криптографический протокол аутентификации Фиата-Шамира….45
1.6.4. Криптографический протокол аутентификации Шнорра……………46
1.6.5. Анализ рассмотренных протоколов аутентификации веб-ресурсов...47
1.7 Сетевые протоколы………………………………………………………………49
1.7.1 Сетевой протокол TLS…………………………………………………...49
1.7.2 Сетевой протокол Kerberos………………………………………………54
1.8. Проблема аутентификации веб-ресурсов предприятия и пути её решения…60
2. Разработка системы аутентификации веб-ресурсов предприятия на основе
использования криптографических протоколов..............................................63
2.1. Характеристика типовых веб-ресурсов предприятия…………….63
2.2. Структура и функционал системы аутентификации веб-ресурсов предприятия на основе криптографических и сетевых протоколов……66
2.3. Структура криптографического модуля веб-ресурсов предприятия…………………………………………………………………….68
2.4. Алгоритм работы системы аутентификации веб-ресурсов предприятия……................................................................................................70
3. Программная реализация криптографического модуля системы аутентификации веб-ресурсов предприятия JWT токен на основе протокола аутентификации «запрос-ответ» использующей ЭП и строгая парольная аутентификация согласно ГОСТ Р 58833-2020……………………………………………………………………78
3.1. Выбор языка программирования………………..………………..............78
3.2. Инструкция администратора по конфигурации и настройке системы аутентификации веб-ресурсов предприятия ………………….......................80
3.3. Инструкция пользователя и пример работы программы…………….....84
Заключение…………………………………………………………………………….91
Список литературы…………………………………………………………................92
Приложение А (Криптографический модуль системы аутентификации веб-ресурсов предприятия JWT токен на основе протокола аутентификации «запрос-ответ» использующей ЭП и строгая парольная аутентификация согласно ГОСТ Р 58833-2020)……………………………………………………………………………………96

Весь текст будет доступен после покупки

В настоящее время главным объектом всей деятельности человека является информация. Есть мнение, что информация сейчас – это основная международная валюта. Однако, сетевые технологии уязвимы и подвержены атакам. Причем такие атаки могут производиться откуда угодно, что из страны, что из ее пределов. Вопрос безопасности веб-ресурсов никогда не был более актуальным, чем сейчас [3].
Актуальность угроз безопасности информации требует строгого отношения к ее защите. Двадцать лет назад задача обеспечения безопасности информации разрешалась при помощи средств криптографической защиты, установления межсетевых экранов, разграничения доступа. Сейчас этих технологий недостаточно, любая информация, имеющая финансовую, конкурентную, военную или политическую ценность, подвергается различным угрозам информационной безопасности.
Исследование, проведенное в Университете Мэриленда, является одним из первых, в котором была проведена количественная оценка практически непрерывных атак на компьютеры с доступом в Интернет - в среднем каждые 39 секунд [1].
Многие особо прибыльные бизнесы сегодня полностью интегрированы в сетевые технологии, а значит особенно уязвимыми. Любой веб-ресурс уязвим, независимо от размера и коммерциализации. Защита веб-ресурса от атак посредством закрытия брешей(уязвимостей) поможет сохранить финансы, репутацию и что не менее важно конфиденциальные данные пользователей. В соответствии с первым пунктом ФЗ “О персональных данных” [6, 9].

Весь текст будет доступен после покупки

1. Веб-ресурсы как объект защиты
1.1. Основные понятия и компоненты веб-ресурсов типового предприятия
Все сайты сети Интернет хранятся на серверах. Чтобы получить страницу сайта, браузер посылает запросы на сервер. В ответ на запрос возвращаются файлы, необходимые для формирования интернет-страницы в браузере.
Схема взаимодействия наглядно продемонстрирована на рисунке 1.1



Рисунок 1.1 - Взаимодействие клиента и веб-сервера

Веб-ресурс обычно состоит из трех компонентов: HTML (язык гипертекстовой разметки), CSS (каскадные таблицы стилей) и скриптов. Каждый фрагмент кода вносит ценный вклад в то, чтобы веб-сайт выглядел и работал так, как необходимо. Куда больший интерес представляет серверная часть ресурса, именно здесь решаются проблемы безопасности и практически весь функционал ресурса.
Уточним причины, по которым компании и организации создают веб-ресурсы для своих предприятий и какие цели они посредством них выполняют.
Обычно ресурсы коммерческих компаний создаются, преследуя одну из трех целей [22]:
• Деловые цели. Привлечение новых клиентов, увеличение количества продаж. Повышение узнаваемости бренда и лояльности аудитории.
• Операционные задачи. Такие задачи выражаются в информации для клиентов или сотрудников компании, в обучении персонала веб-администрированию.

Весь текст будет доступен после покупки

1. Цукиер М. Хакеры атакуют каждые 39 секунд// Вестник университета Мэрилэнда. 2017. С. 1-3.
2. Соколин Д.Д., Тимохович А.С. Методы комплексного обеспечения безопасности сервера от атак типа инъекции //Журнал «Academy» 2017. C. 1-3
3. Сафонов Л. Защита сайта от хакерских атак //тематический коллективный блог Хабр [Электронный ресурс]: URL: habr.com/ru/company/pentestit/blog/282860/
4. Рассел Р., Защита от хакеров коммерческого сайта / Рассел Р. и др., пер. с англ. - М. : ДМК Пресс. - 552 с. (Серия Информационная Безопасность) - ISBN 5-94074-201-7 - Текст : электронный // ЭБС «Консультант студента» : [сайт]. - URL : studentlibrary.ru/book/ISBN5940742017.html
5. Форристал Д., Защита от хакеров Web-приложений /Джефф Форристал, Крис Брумс, Дрю Симонис, Брайн Бегнолл, Майкл Дайновиц, Джей Д. Дайсон, Джо Дьюлэй, Майкл Кросс, Эдгар Даниелян, Дэвид Г. Скабру ; Пер. с англ. В. Зорина. - М.: ДМК Пресс, 2008. - 496 с. (Серия «Информационная безопасность».) - ISBN 5-94074-258-0 - Текст: электронный // URL: studentlibrary.ru/book/ISBN5940742580.html
6. ФЗ «О персональных данных» от 27.07.2006 года № 152-ФЗ.// ФСТЭК России Федеральная служба по техническому экспортному
контролю [Электронный ресурс]. Режим доступа: fstec.ru/normotvorcheskaya/poisk-po-dokumentam
7. CVE Common Vulnerabilities and Exposures //База данных общеизвестных уязвимостей информационной безопасности [Электронный ресурс] Режим доступа: cve.mitre.org/
8. Бивисов К. «Об организации отдела информационной безопасности»

Весь текст будет доступен после покупки