Upload
vkolesnikov-akkamal
View
938
Download
5
Embed Size (px)
DESCRIPTION
Безопасность WEB-Приложений средствами программного комплекса "Ak Kamal e-Security Suite"
Citation preview
г.Алматы
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»Безопасность Интернет-Банкинга
и других web-приложений
Ak Kamal e-Security SuiteAk Kamal e-Security Suite
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
WEB-приложенияWEB-приложения• Ключевая составляющая информационных
систем• Будущее традиционных приложений• Основа современного Интернета• Новые угрозы безопасности• Непрерывное развитие• Необходимость постоянной защиты
10.04.2023 2
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Опасности WEB-приложенийОпасности WEB-приложений
10.04.2023 3
• Атаки на пароли пользователей• Подмена URL• Подмена содержимого• Предсказуемое расположение ресурса
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Оценки экспертовОценки экспертов• 90% web-приложений уязвимы• 75% атак приходится на web-приложения• 10% затрат на безопасность web-приложений• Более 40% паролей не безопасны
10.04.2023 4
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Статистика используемых паролейСтатистика используемых паролей
10.04.2023 5
Данные основываются на анализе более чем 185 тысяч паролей пользователей
(http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf).
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
РискиРиски
• Перехват трафика• Подмена серверов• Утеря отправленных данных• Изменение данных в процессе пересылки
10.04.2023 6
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Разработка WEB-приложенийРазработка WEB-приложений• Первостепенно функциональность• Второстепенно безопасность• HTTP простой протокол• Готовые системы управления контентом
10.04.2023 7
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
ЗащититьЗащитить• Дистанционное банковское обслуживание• Интернет-магазин• Дистанционное обучение• Электронное правительство• Электронный документооборот
10.04.2023 8
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Ak Kamal e-Security SuiteAk Kamal e-Security Suite• Специально для казахстанского рынка• Защита WEB-приложений в короткие сроки• Сертифицированные средства ЭЦП• Соответствие закону РК• Соответствие требованиям национального
банка РК• Простота использования
10.04.2023 9
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»Надежная защитаНадежная защита
10.04.2023 10
Минимум усилийМинимум усилий ++
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Решаемые задачи e-Security SuiteРешаемые задачи e-Security Suite
10.04.2023 11
• Защита и контроль доступа к WEB-приложениям
• Юридическая значимость транзакций
• Целостность• Неотказуемость• Аудит
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Постановка ЭЦППостановка ЭЦПЭлектронная
цифровая подпись• Это специальный
реквизит электронного документа
Назначение• Контроль целостности• Защита от изменений• Обеспечение
неотказуемости
10.04.2023 12
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
ТокеныТокены
• KAZTOKEN
• SafeNet eToken
• Feitian Token
Можно использовать любой токен, поддерживающий работу по спецификации pkcs11
10.04.2023 13
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Ak Kamal e-Security Suite обеспечивает Ak Kamal e-Security Suite обеспечивает
10.04.2023 14
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Область примененияОбласть применения• Интернет-банкинг• Электронная коммерция• Дистанционное обучение• Электронный документооборот• Электронное правительство• Обычные сайты
10.04.2023 15
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Организация безопасностиОрганизация безопасности
10.04.2023 16
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Начало работыНачало работы
10.04.2023 17
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
10.04.2023 18
ПрименениеПрименение
Перехват данных
Потеря данных
Получение измененных данных
Недовериеweb-приложениям
Недовериепользователям
Несанкционированные изменения
Отправка данных по незащищенным каналам связи
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
10.04.2023 19
ПрименениеПрименение
WEB-1
WEB-2
WEB-3
Иванов
Петров
СидоровНедоступность для злоумышленников
Довериеweb-приложениям
Довериепользователям
Защита открытых каналов связи
Защита web-приложений от прямого доступа из открытых сетей
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
10.04.2023 20
ПрименениеПрименение
WEB-1
WEB-2
WEB-3
Иванов
Петров
Сидоров
Постановка ЭЦП
Отправление данных по защищенным каналам связи
Однозначное достижение данных пользователя до места назначения в неизменном виде
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
ПреимуществаПреимущества• Следование требованиям законов и
Национального Банка Республики Казахстан• Легкость и простота• Техническая поддержка от разработчика• Динамичное развитие• Конкурентная стоимость• Выполнение требований PCI DSS
10.04.2023 21
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
ОсобенностиОсобенности• Многоязычный интерфейс (KZ, RU, EN и др.)• Кроссплатформенность• Кроссбраузерность• Автоматизированное управление
сертификатами пользователей
10.04.2023 22
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
+ WEB-приложение+ WEB-приложение
Гибкость WEB
• Установка ПО автоматизировано
• Централизованное автоматизированное обновление
• Не требует наличие дополнительного ПО
• Доступно в любом месте
Качество традиционного клиент-серверного решения
• Надежная защита канала связи
• Безопасное управление сертификатами
• Не требуется импортировать сертификаты в браузер
10.04.2023 23
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Автоматизированные процессыАвтоматизированные процессы
• Получение сертификатов• Регистрация сертификатов• Перевыпуск сертификатов• Отзыв сертификатов
10.04.2023 24
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
ВнедрениеВнедрение
• Простая установка и интеграция в короткие сроки
• Функционирование на отдельной аппаратной платформе
• Не требуется существенных изменений WEB-приложения
• Не требует настройки рабочего места пользователя
10.04.2023 25
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Техническая поддержкаТехническая поддержка• Помощь во внедрении и обновлении• Быстрое реагирование на обращения• Участие разработчиков• Взаимодействие с удостоверяющим центром
КЦМР
10.04.2023 26
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
Это простоЭто просто• Нет проблем взаимодействия с
удостоверяющими центрами• Просто для пользователей• Нет проблем управления сертификатами• Прозрачная реорганизация
Безопасность – это просто
10.04.2023 27
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
ЗаключениеЗаключение• Уязвимость не свойство Интернет-проекта• Безопасность должна быть:
– Разумная– Комплексная– Простая в использовании
• Безопасность – это непрерывный процесс
«Лучше быть в безопасности, чем потом сожалеть»
10.04.2023 28
© 2
011
ТО
О «
Ak
Kam
al S
ecur
ity»
10.04.2023 29
Спасибо за вниманиеСпасибо за внимание
Колесников В.А.
www.e-security.kz