- •Понятие информационного ресурса. Ит: определение, способы использования
- •2. Цель, методы и средства создания информационных ресурсов(ир)
- •1. Математические – совокупность моделей разного уровня(от глобальных моделей принятия решения до частных моделей реализации информационных процессов);
- •2. Технические – средства реализации информационных процессов. Сюда входят вычислительные машины и средства на их основе;
- •3. Алгоритмические – алгоритмы реализации математических средств;
- •3. Протоколы tcp/ip применительно к ир
- •4. Сеть, структура сети, маска подсети
- •5. Мосты в сетях tcp/ip. Доменные имена узлов.
- •6. Архитектура mainframe
- •7. Архитектура «Клиент-сервер»
- •Преимущества
- •Недостатки
- •8. Архитектура Intranet.
- •9. Программирование в web: доступ к бд на стороне сервера.
- •10. Программирование в web: доступ к бд на стороне клиента.
- •11. Синтаксис url. Протокол http.
- •12. Передача данных форм. Кодирование в url.
- •13. Стандартный ввод и метод Post.
- •14. Интерфейс Windows cgi. Файлы данных cgi.Интерфейс Windows cgi.
- •15 Файлы данных cgi.
- •15. Обработка результатов на сервере в сети при передаче данных.
- •16. Директивы включения на стороне сервера (ssi).
- •17. Понятие безопасности web-сервера. Принципы безопасности web-сервера.
- •18. Решение вопросов безопасности для web-сервера.
- •19. Характеристики языка Java.
- •20 Байткоды.
- •21 Средства разработки Java.
- •22 Базовая модель Java 1.0.
- •23 Типы данных, переменные и массивы в Java. Преобразование типов в Java. Типы данных
- •Массивы
- •24. Область видимости и время жизни переменных в Java.
- •25. Классы Java. Определение класса в Java. Создание объекта класса.
- •26 Методы Java. Определение методов в Java. Конструкторы Java.
- •27 Перегрузка методов в Java. Перегрузка конструкторов в Java.
- •28 Использование объектов в качестве параметров.
- •29 Использование ключевого слова this
- •30 Механизм финализации в Java. Сбор мусора.
- •31 Апплеты в Java. Характеристики апплетов.
- •32 Структура аплета.
- •33 Тэги апплета.
- •34 Обработка событий апплета, методы апплета.
- •События, генерируемые клавиатурой
- •35 Методы апплетов в Java.
- •36 Модели обработки событий Java 1.0.
- •37 Размещение объектов для графического пользовательского интерфейса. Диспетчера компоновки
- •38 Использование меню. Окна Frame
- •39 Работа с изображениями.
- •40 Динамическая диспетчеризация методов в Java.
- •41 Абстрактные классы в Java.
- •42 Классы Vector и Rectangle.
- •43 Многопоточное программирование в Java.
- •44 Создание потока. Синхронизация потоков в Java
- •45 Классы пакетов java.Io и java.Net.
- •46 Ввод и вывод в Java
- •47 Новые пакеты Java и особенности Java 1.1
- •48 Встроенные классы и интерфейсы в Java
- •49 Классы-члены в Java
- •50 Новый синтаксис для классов-членов
- •51 Локальные классы
- •52 Анонимные классы.
- •53 Модель обработки событий Java 1.1.
- •55. Использование jar-файлов
- •61. Безопасность Ява-программ
- •Защита виртуальной машины Ява. Верификация файлов ява-программ
- •62. Контроль доступа в Ява с использованием технологии «песочницы»
17. Понятие безопасности web-сервера. Принципы безопасности web-сервера.
CGI и API интерфейсы могут полностью поставить под удар безопасность WEB-сервера. Происходит это потому, что через данные интерфейса могут быть запущены любые программы. Для того, чтобы ограничить эту опасность, необходимо:
программы сами по себе должны быть спроектированы и проверены таким образом, чтобы они выполняли только требуемые функции;
CGI и API – программы должны запускаться в ограниченной среде, т.е. если WEB-сервер работает под управлением ОС, в которой есть средства автоматизации доступа, то CGI-программа должна работать как ограниченный в правах пользователь;
различные интерпретаторы – оболочки не должны появляться в директории для CGI-скриптов и они не должны находиться там, откуда могут быть вызваны при помощи запроса к WEB-серверу.
Еще один источник опасности – CGI-скрипты, которые поставляются вместе с WEB-сервером.
Simson Garfinkel и Euguene H.Spafford в статье «Безопасное CGI и API - программирование» выделили несколько правил, которых необходимо придерживаться, чтобы избежать проблем с безопасностью в CGI-программах:
тщательно проектируйте программы перед тем, как их запустить;
проверьте все значения, вводимые пользователем;
проверьте аргументы, которые передаете в функции операционной системы;
ведите журнальные файлы с временем запуска программы; значения, передаваемые в программу; host, с которого пришел запрос; ошибки и т.д.;
делайте ответственные части программы маленькими и простыми;
всегда используйте полные пути для имен файлов;
установите ограничение на время, используемое CGI-скриптом после запуска;
не требуйте, чтобы пользователь посылал пароль, который он потом будет использовать в текстовом формате через сеть для аутентификации;
где возможно заимствуйте код.
18. Решение вопросов безопасности для web-сервера.
Web-сайты представляют собой мощный инструмент, позволяющий коммерческим, правительственным и общественным организациям, а также гражданам обмениваться информацией и вести дела в сети Интернет. По этой же причине они то и дело становятся мишенью злоумышленников.
Методы защиты:
1. Модернизация программного обеспечения
Это один из наиболее простых, но вместе с тем наиболее эффективных способов уменьшения рисков.
2. Использование узкоспециализированных серверов
Выделение отдельного ресурса (компьютер) под каждую задачу. В противном случае ошибка в системе безопасности может нарушить работу сразу нескольких сервисов.
3. Удаление лишних приложений
4. Внешний Firewall
Установка межсетевого экрана между корпоративной (внутренней) сетью и Web-серверами общего доступа позволяет предотвратить проникновение "левых" пакетов в сеть организации.
5. Удаленное администрирование
Поскольку управлять сервером с физической консоли зачастую не слишком удобно, системные администраторы устанавливают на Web-серверы программное обеспечение, позволяющее осуществлять удаленное администрирование. В тех случаях, когда удаленное администрирование неизбежно, его необходимо сопровождать следующими действиями: шифровать трафик удаленного администрирования, использовать фильтрацию пакетов, поддерживать для этой конфигурации более высокий уровень безопасности, не использовать фильтрацию пакетов вместо шифрования.
6. Ограничение использования скриптов
Большинство сайтов содержат скрипты (маленькие программы), которые запускаются при переходе на особую страницу. Скрипты не должны запускать случайные команды или посторонние (опасные) программы, позволять пользователям выполнение определенных узкоспециализированных задач, а также ограничивать количество параметров входящего потока.
7. Маршрутизаторы с фильтрацией пакетов
Маршрутизаторы устанавливают для того, чтобы отделить Web-серверы от остальной части сети. Обычно маршрутизаторы удаляют все пакеты, которые не идут на Web-сервер или к портам, использующимся при удаленном администрировании. Для повышения степени безопасности можно составить перечень пакетов, подлежащих пропуску.
8. Разделение привилегий
Каждый пользователь может запускать только определенные программы. Поэтому хакер, проникнувший в сеть по скомпрометированным данным отдельного пользователя, сможет нанести системе лишь ограниченный вред. В целях повышения уровня безопасности для пользователей, обладающих правами записи, можно создать личные поддиректории.
9. Аппаратные решения
Одним из наиболее доступных способов защиты от этой угрозы является запрет режима записи на внешние жесткие диски, магнитооптические диски и т. д. Часто используется режим "только чтение".
10. Внутренние межсетевые экраны
Современные Web-серверы часто работают с распределенными системами, они могут взаимодействовать с другими хостами, получать или передавать данные. В этом случае существует большой соблазн разместить эти компьютеры за межсетевым экраном внутри сети организации, обеспечив тем самым безопасность хранимых на них данных. Необходимо отделить системы, общающиеся с Web-сервером, от остальной сети внутренним межсетевым экраном.
11. Сетевые системы обнаружения вторжений
Важно получать оперативную информацию о происшествиях, для минимизации последствий атаки или быстрого восстановления работоспособности сервиса. Для получения такой информации используют сетевые средства обнаружения вторжений. Они сканируют весь трафик сети и выявляют несанкционированную активность, нарушение защиты или блокирование сервера. Современные IDS создают отчет обо всех выявленных нарушениях, одновременно уведомляя о них администраторов путем вывода сообщений на пейджер, электронный почтовый ящик или монитор. Типовые автоматизированные отчеты включают в себя также сбои сетевых соединений и список блокированных IP-адресов.
12. Системы обнаружения вторжений, размещаемые на серверах (хостах)
Системы обнаружения вторжений, размещаемые на серверах, лучше справляются с задачей определения состояния сети, чем сетевые IDS. Обладают более высоким уровнем доступа к состоянию Web-сервера. Недостаток – если хакер проникнет на Web-сервер, он сможет отключить серверные IDS, блокировав тем самым получение сообщений об атаке администратором.