Moderna komunikacija donela je nove izazove u oblasti zaštite poslovnih podataka…
U današnje vreme, gotovo je nemoguće zamisliti poslovanje bez upotrebe računarskih tehnologija. Internet je uzeo toliki zamah, da mnogi svoje funkcionisanje zasnivaju na upotrebi raznih web aplikacija, počev od ERP softvera, preko DMS‑a, CRM‑a itd. Ovakva situacija je, nažalost, doprinela i razvoju kriminala, gde pojedinci novim, moćnim sredstvima nastoje da izvrše razne pronevere i uzrokuju gubitak sredstava.
To za sobom povlači dosta pitanja, kao što su: bezbednost kompanijskih informacija, sigurnost informacija klijenata nekog preduzeća, kako sve te informacije najbolje zaštititi… Iz tih razloga, bezbednosne mere u komunikaciji putem računarske tehnologije dobijaju na značaju, kako u poslovnom, tako i u privatnom sektoru.
Pretnje i zaštita
Kada se govori o zaštiti web aplikacija, obično se odmah pomisli na hakere koji napadaju web sajtove ili kradu brojeve kreditnih kartica, ili na viruse, trojance i crve. To su tipovi problema koji dobijaju najviše pažnje, jer predstavljaju neke od češćih pretnji sa kojima su web aplikacije suočene. Međutim, one su samo deo problema.
Neki drugi problemi, ništa manji, prečesto su potcenjeni. Unutrašnje pretnje, koje nastaju nemarom administratora ili namernim delovanjem nezadovoljnih zaposlenih, kao i slučajne greške običnih korisnika u postupanju sa osetljivim podacima, takođe predstavljaju veliki problem. Zaštita web aplikacija podrazumeva mnogo više od tehnologije. To je jedan neprestani proces, koji uključuje ljude i praksu.
Za zaštitu web aplikacija može se reći da je to put, a ne destinacija. Kao što se analiziraju aplikacije i infrastruktura koju one koriste, tako je potrebno identifikovati i analizirati moguće pretnje i klasifikovati ih kao određeni stepen rizika. To znači da zaštita podrazumeva bavljenje kontrolom rizika i primenu kontramera.
Nemoguće je napraviti potpuno bezbednu web aplikaciju ukoliko nisu poznate sve moguće pretnje. Shodno tome, veoma dobar pristup je njihovo modelovanje. Nakon identifikovanja i analize pretnji, mnogo je lakše razviti bezbednu aplikaciju, koristeći principe zaštite koji su propisani za određeni tip pretnje.
Zaštita tri nivoa
Bezbednost web aplikacije zahteva sveobuhvatni pristup i podrazumeva zaštitu tri nivoa: mreže, servera i aplikacije.
Nekada je zaštita dokumentacije i drugih podataka funkcionisala po principu „katanac i ključ“. Danas se većina tih podataka nalazi u elektronskom formatu, što svakako zahteva drugačiji pristup.
Uzmimo za primer jedan DMS sistem, koji je neophodan za poslovanje u gotovo svakoj kompaniji, i razmotrimo bezbednost i zaštitu tog sistema iz nekoliko aspekata.
Većina DMS sistema koristi kao bazu podataka SQL server, tako da je, pored zaštite web aplikacije, potrebno ispravno konfigurisati i zaštititi server na kome se nalazi baza. Manje organizacije uglavnom instaliraju SQL server i DMS aplikaciju na istom serveru, kako bi smanjile troškove. Sa stanovišta zaštite i performansi sistema, ovo nije ušteda. Jedan od osnovnih koncepata IT zaštite je minimizirati površinu mogućeg napada servera. Ako su SQL server i web aplikacija na istom serveru, on će imati veću površinu za napad, tako da je prva preporuka da se SQL server čuva na posebnoj mašini. Takođe, preporučujemo i virtuelizaciju, koja na isti način omogućava zaštitu aplikacije.
Što se tiče mreže, potrebno je konfigurisati HTTP saobraćaj između servera i krajnjih korisnika tako da koristi SSL enkripciju (HTTPS). Kod same web aplikacije, u ovom slučaju DMS sistema, pri korišćenju alata koje aplikacija nudi treba voditi računa o autentifikaciji i autorizaciji. Potrebno je pažljivo definisati strukturu podataka, kao i privilegije koje se dodeljuju korisnicima. Sve ovo doprinosi boljoj zaštiti jednog DMS sistema.
Sveobuhvatan pristup
Ne postoji potpuno bezbedna web aplikacija. Koliko god se neko trudio da napravi baš takvu, isto toliko će se neko na drugoj strani truditi da njenu bezbednost naruši. Međutim, postoje neki osnovni principi čijom se primenom može doći do bezbedne aplikacije, koja će omogućiti zaštitu i svrsishodnost podataka.
Potrebno je identifikovati i analizirati pretnje kroz modelovanje, posmatrati zaštitu web aplikacije kao jedan neprekidan proces. Neophodno je shvatiti da web aplikacija ne može da bude bezbedna sama od sebe, već je potrebno primeniti holistički pristup i zaštititi tri sloja: mrežu, serversku infrastrukturu i web aplikaciju. Milovan Blagojević
OSNOVNI CILJEVI MERA BEZBEDNOSTI
- Autentifikacija
Proces koji jedinstveno identifikuje korisnike aplikacija i servisa. - Autorizacija
Upravlja resursima i operacijama kojima autentifikovani korisnik ima pristup - Integritet
Obezbeđuje konzistentnost podataka, sprečavajući neovlašćeno generisanje, promenu i brisanje. - Dostupnost
Obezbeđuje da ovlašćeni korisnici uvek mogu da koriste servise i da pristupe informacijama.
0 komentara