Освіта у Львівській політехніці

Інформаційна система забезпечення конфіденційності інформації

Автор: Кахній Роман Назарович

Кваліфікаційний рівень: магістр

Спеціальність: Інформаційні системи та технології

Інститут: Інститут комп'ютерних наук та інформаційних технологій

Форма навчання: денна

Навчальний рік: 2024-2025 н.р.

Мова захисту: українська

Анотація: Веб-програмування – розділ програмування орієнтований на розробку динамічних Інтернет додатків. Скрипти веб-програмування поділяються на 2 групи: клієнтські та серверні. Серверні скрипти виконуються сервером за запитом, що посилається клієнтським додатком (у даному випадку браузером). Клієнтські, відповідно - самим клієнтським додатком. Сторінки веб-сайтів описуються за допомогою мови гіпертекстової розмітки - html. Але оскільки ця мова відповідає всього лише за оформлення веб-сторінок, то задати з його допомогою яку-небудь динамічну дію неможливо. Саме для подібних випадків і існують клієнтські скрипти - спеціальні веб-сценарії, які дають можливість змінювати вміст html-сторінки без перезавантаження самої сторінки із сервера. Часто клієнтські скрипти вбудовуються прямо в html код сторінки і для їхнього виконання не потрібна установка якого-небудь додаткового програмного забезпечення. Все що потрібно - це браузер з підтримкою клієнтських скриптів. Всі сучасні інтернет-браузери (крім деяких старих версій) підтримують виконання розповсюджених клієнтських скриптів. До скриптів веб-програмування, призначених для створення клієнтських скриптів відносять Javascript, VBScript, ActionScript, що використовується в технології flash і SilverLight. Серверні скрипти виконуються сервером за запитом, що посилається клієнтським додатком (браузером). Без цих скриптів неможливо уявити собі гостьові книги, опитування Content management systems або інші програмні компоненти, які активно взаємодіють із базами даних. Припустимо на сайті є деяка захищена область, доступ до якої є тільки в деяких категорій користувачів, наприклад, адміністраторів. Для того щоб зайти в таку область, необхідно вказати свої дані: ім’я користувача й пароль, тобто авторизуватися. Тоді зміст, доступний авторизованому користувачеві, буде відрізнятися від змісту, видимого всім іншим. Як це відбувається? При натисканні кнопки «Увійти» на формі авторизації відбувається формування запиту веб-серверу. Сервер віддає керування серверному скрипту, що звертається до бази даних, знаходить там відповідний клієнтському запиту запис і обробляє його відповідно до сценарію. Таким чином, скрипт формує вміст сторінки залежно від отриманих даних, тобто динамічно, а користувач одержує тільки результат виконання скрипта - сформовану сторінку. До технологій веб-програмування, призначених для створення серверних скриптів відносять Php, Perl, ASP.NET, Ruby. Але як серверні так і клієнтські скрипти мають свої вразливі ділянки, тому задача створення інтелектуальної інформаційної системи захисту динамічних веб-сайтів є актуальною. Традиційні методи зниження уразливості безпеки програмного забезпечення, як правило, використовується після процесу розробки програмного забезпечення. Замість цього, це може бути зроблено на ранніх стадіях розвитку за допомогою методології Security Development Lifecycle (SDL безпеки). На стадії кодування життєвого циклу програмного забезпечення (SDLC), цикл розробки безпеки від Microsoft (SDL) рекомендує три практики в межах своєї фази реалізації. • Практика SDL 8: Використання затверджених засобів Команда розробників повинна вибрати і погодити перелік засобів та їх версій, які повинні бути використані в процесі розвитку. • Практика SDL 9: Відмова від небезпечних функцій Команда розробників не повинна використовувати небезпечні функції в їх програмному забезпеченні. Це відноситься до функцій, які були застарілими в мові програмування. • Практика SDL 10: Статичний аналіз Команда розробників повинна виконати статичний аналіз коду їх програмного забезпечення для того, щоб виявити потенційні уразливості. Метою магістерської кваліфікаційної роботи є розробка інтелектуальної системи системи захисту коду веб-сайтів від найбільш відомих на наш час вразливостей, які можуть відкрити доступ до конфіденційних даних. Для досягнення вищевказаної мети необхідно вирішити такі задачі: - проаналізувати основні види загрози безпеці веб-сайтів; - проаналізувати вимоги до системи та здійснити її проектування; - розробити систему, яка буде виявляти вразливості в заданому коді; - здійснити тестування системи; Об’єктом дослідження є процес функціонування інформаційної системи захисту для забезпечення надійної та безпечної роботи веб ресурсу. Предметом дослідження є методи забезпечення конфіденційності інформації в веб додатках. Результатом виконання магістерьскої роботи є завершена та готова до використання інтелектуальна система захисту веб-ресурсу від найбільш поширених типів вразливостей веб-сайтів. Практична цінність роботи полянає у розробленні інтелектуальної інформаційної системи захисту динамічних веб-сайтів