CC BY
63Методы и средства защиты информации
УДК 004.056
КРИТЕРИИ ОЦЕНКИ АСПЕКТОВ БЕЗОПАСНОСТИ ПРИ РАЗРАБОТКЕ ВЕБ-ПРИЛОЖЕНИИ
Д. Д. Кононов
Институт вычислительного моделирования СО РАН Российская Федерация, 660036, Красноярск, Академгородок, 50/44 Е-mail: ddk@icm.krasn.ru
Целью работы является разработка критериев и метода оценки информационной безопасности при создании веб-приложений. Показана актуальность проблемы и недостатки существующих методов. Приведено описание стандарта ASVS и методики оценки безопасности на его основе.
Ключевые слова: безопасность, оценка, критерии, веб.
SECURITY ASPECTS EVALUATION CRITERIA FOR WEB APPLICATION DEVELOPMENT
D. D. Kononov
Institute of Computational Modeling of SB RAS 50/44, Akademgorodok, Krasnoyarsk, 660036, Russian Federation Е-mail: ddk@icm.krasn.ru
This paper describes information security evaluation criteria and method for web applications development. Author shows the problem importance and existing methods shortcomings. The paper describes ASVS standard and security evaluation methodology based on it.
Keywords: security, evaluation, criteria, web.
В настоящее время активно развиваются информационные и телекоммуникационные системы, расширяются возможности интернет-технологий. Современное состояние отрасли диктует необходимость наличия высокого уровня информационной безопасности, которая должна обеспечиваться комплексным подходом при разработке и внедрении информационно-телекоммуникационных систем, в том числе в научно-образовательных сетях [1]. Целью данной работы является разработка критериев и метода оценки безопасности для защищенных веб-приложений.
При разработке защищенных систем важную роль играет оценка информационной безопасности разрабатываемой системы. Существуют методики и стандарты, на основе которых проводится оценка информационной безопасности [2; 3]. Следует отметить, что существующие подходы не всегда предлагают простую и гибкую методику оценки уровня защищенности системы. Помимо этого, некоторые стандарты и методики создавались без учета специфики веб-приложений.
Автором создана методика разработки защищенных веб-приложений, которая может применяться при решении широкого круга задач. Методика использует сервис-ориентированную архитектуру (SOA), которая позволяет разрабатывать сложные приложения, обеспечивая меньшую степень связности компонентов [4]. Также методика включает оригинальную расширенную ролевую модель безопасности на базе RBAC, основанную на иерархии путей [5]. В рамках развития данной методики предлагается метод оценки
информационной безопасности современных веб-приложений.
Существует международный стандарт верификации безопасности приложений ASVS (Advanced Security Verification Standard) [6], разработанный проектом OWASP (Open Web Application Security Project). Стандарт ASVS содержит требования безопасности, применяемые при проектировании, разработке и тестировании современных веб-приложений. В зависимости от типа приложения выделяются три уровня верификации: 1 - оппортунистический, 2 - стандартный и 3 - расширенный. Первый уровень применяется для приложений, которые имеют защиту от наиболее распространенных уязвимостей, например, из списка OWASP Top Ten [7]. Второй уровень подходит для большинства современных приложений и позволяет защищать от целенаправленных атак. Третий уровень используется для приложений, ответственных за жизнь человека и безопасность элементов критически важной инфраструктуры. Чем выше уровень, тем больше критериев необходимо проверить для оценки безопасности системы.
В стандарте ASVS критерии сгруппированы по области применения: 1) архитектура приложения; 2) аутентификация; 3) управление сессиями; 4) контроль доступа; 5) обработка входных данных; 6) криптография; 7) обработка и журналирование ошибок; 8) защита данных; 9) безопасность линий связи; 10) безопасность HTTP; 11) вредоносное управление; 12) бизнес-логика; 13) файлы и ресурсы; 14) мобильные устройства; 15) веб-сервисы; 16) конфигурация системы. Например, в группе «аутентифи-
Решетневские чтения. 2017
кация» приведены критерии для проверки и восстановления паролей, методов аутентификации, разграничения административного доступа. В рамках развития методики разработки защищенных веб-приложений в данный список добавлена группа критериев для проверки модели безопасности, которая включает следующие критерии:
- проверка выбранной модели безопасности на соответствие целям и задачам;
- проверка элементов модели на полноту охвата предметной области;
- проверка элементов модели на непротиворечивость;
- проверка алгоритмов контроля доступа на покрытие тестовыми данными.
Каждый критерий может использовать разные шкалы, однако для работы с критериями необходимо их нормализовать в интервале [0, 1], где 0 - полное невыполнение требований критерия, а 1 - полное соответствие требованиям критерия. Далее для каждой группы критериев строится вектор из нормализованных значений критериев К,, = (ка,k¡2,...,ктщ), где
- количество критериев внутри ¡-й группы, п -число групп критериев. Определим О = (g1,g2,...,gn) как вектор групповых оценок критериев. Для подсчета групповых оценок будем использовать квадрат Евклидового расстояния между нулевым вектором 0 и К,, в пространстве размерностью ш1 с нормализацией в интервале [0,1]:
т I
g^ = Е к1 т.
Чем дальше вектор К,, отстоит от нулевого вектора 0, тем ближе полученное значение g¡ к 1 и тем больше критериев внутри группы удовлетворяют заданным требованиям. На основе вектора групповых оценок безопасности можно строить интегральные оценки безопасности, например, с использованием средневзвешенного значения:
п
1,
¡=1
п
где Ею =1
¡=1
Коэффициенты ю, назначаются экспертами для каждой группы критериев, что позволяет увеличить или уменьшить вес определенной группы в итоговой оценке. Данный подход обеспечивает гибкость при оценке безопасности различных информационных систем, в которых компоненты могут вносить разные веса в итоговую оценку.
Разработанный метод оценки безопасности позволяет повысить уровень защищенности современных веб-приложений. Приведенные критерии оценки могут применяться в различных областях, в том числе в информационно-телекоммуникационных системах.
Библиографические ссылки
1. Исаев С. В. Кибербезопасность научного учреждения - активы и угрозы // Информатизация и связь. 2015. № 1. С. 53-57.
2. Шубин А. Н. Оценка свойств информационных систем в стандартах по информационной безопасности // Известия ТулГУ. 2013. Вып. 3. С. 336-344.
3. Пугин В. В., Губарева О. Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия // T-Comm: Телекоммуникации и транспорт. 2012. № 6. С. 54-57.
4. Кононов Д. Д. Сервис-ориентированная архитектура защищенных веб-приложений муниципального управления // Решетневские чтения. 2016. Т. 2, № 20. С. 214-215.
5. Кононов Д. Д., Исаев С. В. Расширенная ролевая модель безопасности, основанная на иерархии путей // Вопросы защиты информации. 2016. № 4. С. 13-17.
6. Application Security Verification Standard [Электронный ресурс]. URL: https://www.owasp.org/in-dex.php/Category:OWASP_Application_Security_Verific ation_Standard_Project (дата обращения: 15.09.2017).
7. Open Web Application Security Project. Top Ten Project [Электронный ресурс]. URL: https:// www.owasp.org/index.php/Category:OWASP_Top_Ten_ Project (дата обращения: 15.09.2017).
References
1. Isaev S. V. [Scientific institutions cybersecurity -assets and threats]. Informatizatsiya i svyaz [Informatization and communication]. 2015. Vol. 1. P. 53-57. (In Russ.)
2. Shubin A. N. [Evaluation of the properties of information systems information security standards]. Izvestiya TulGU. 2013. № 3. P. 336-344. (In Russ.)
3. Pugin V. V., Gubareva O. Yu. [Overview of risk analysis methods of information security enterprise information systems]. T-Comm: Telecommunikatsii i transport. 2012. № 6. P. 54-57. (In Russ.)
4. Kononov D. D. [Service-oriented architecture for secure municipal web applications]. Reshetnevskie chteniya [Reshetnev reading]. 2016. Vol. 2, № 20. P. 214215. (In Russ.)
5. Kononov D. D., Isaev S. V. [Extended path-based role access control security model]. Voprosy zaschity informatsii [Information protection issues]. 2016. № 4. P. 13-17. (In Russ.)
6. Application Security Verification Standard. Available at: https://www.owasp.org/index.php/Cate-gory:OWASP_Application_Security_Verification_Standa rd_Project (accessed: 15.09.2017).
7. Open Web Application Security Project. Top Ten Project. Available at: https://www.owasp.org/index. php/ Category :OWASP_Top_Ten_Project (accessed: 15.09.2017).
© Кононов Д. Д., 2017
