Article Options
Biztonsági Termékek és Szolgáltatások
Fedezze fel az IT Biztonsági Termékek és Szolgáltatások Magyarország Blogot, mely a biztonsági termékekkel és szolgáltatásokkal kapcsolatos tanácsokkal és technológiai trendek elemzésével hív aktív párbeszédre.

E-közigazgatási rendszerek és alkalmazások sebezhetőségi vizsgálata -Bevezetés- Krasznay Csaba

krasznay| February 28, 2011
Post a Comment
0

Absztrakt
 A programozási hibák kiszűréséhez körültekintő tesztelésre van szükség. Amíg azonban a funkcionális és terheléses teszteknek kifinomult módszertana van, a biztonsági hibák felderítésére csak az elmúlt években kezdtek eljárásokat kidolgozni.
Jelen tanulmány célja, hogy bemutassa azokat a releváns szabványokat és ajánlásokat, melyek segítségével az e-közigazgatási rendszerek fejlesztői szisztematikus módon tudják a legfontosabb biztonsági hibákat webes alkalmazások esetén kiszűrni.
 A sebezhetőség-vizsgálati módszertanok széles skálájának ismertetése és a Common Criteria behatolás-tesztelési követelményei segítenek meghatározni az elvárt ellenőrzési mélységet. A tipikus hibák ismertetése után célunk ezekből kiindulva egy olyan tesztelési követelményrendszer összeállítása, mely tetszőleges internetes alkalmazás esetén személyre szabható, és segít a támadási felületek csökkentésében az elektronikus közigazgatási környezetben.

 

 

Bevezetés
e_szem.jpgAz elektronikus közigazgatás kialakulásával párhuzamosan fókuszba kerül az ezt megvalósító alkalmazások biztonsága is. Miután döntően olyan rendszerekről beszélünk, melyek közvetve vagy közvetlenül interneten keresztül is elérhetők, ráadásul az adatcserék miatt akár több, egymástól független szervezet megoldásai is szoros kapcsolatban állnak egymással, a külső informatikai támadások elleni védelem alapvető tervezési kérdés kell, hogy legyen.

Az e-kormányzati rendszerek stabil működésének egyik legfontosabb kihívását a köznyelvben hackerként elterjedt támadók jelentik. Módszereik jellemzően tisztán informatikaiak, melyek a hálózati réteget, az operációs rendszereket, az alapszoftvereket és magát az alkalmazást célozzák meg, melynek eredménye az adatszivárgástól kezdve a szolgáltatás ellehetetlenítéséig terjed.

 A magyar központi közigazgatás informatikai rendszerei kielégítőnek mondható hálózati védelemmel rendelkeznek, melyet a Nemzeti Hálózatbiztonsági Központ működése is elősegít, de az alkalmazási réteg felé haladva egyre több kockázattal szembesülhetünk. Különösen igaz ez a böngészőn keresztül elérhető portálokra, melyek sebezhetőségeit szinte észrevétlenül fel lehet deríteni, és ezeket kihasználva akár a védettnek gondolt adatbázisokig vagy belső hálózatokig is el lehet jutni. Egy nem kellő körültekintéssel megírt alkalmazás tehát akár olyan erőforrásokat is veszélybe sodorhat, melyekről az üzemeltető ezt nem is gondolná.

A tesztelési forgatókönyv végrehajtása nem garantálja minden távoli támadás sikeres kivédését, de nagymértékben csökkenti az automatizálható és kevesebb hozzáértést igénylő hibák kihasználásának kockázatát. Mivel magyar nyelven ilyen jellegű módszertan nem érhető el, jelen dokumentum célja hiánypótló módon segíteni a közigazgatási fejlesztők és megrendelők munkáját a behatolás-tesztelés területén.

 

Források

Tags: Common Criteria| elektronikus közigazgatás| OWASP| sebezhetőség-vizsgálat
Leave a Comment

We encourage you to share your comments on this post. Comments are moderated and will be reviewed
and posted as promptly as possible during regular business hours

To ensure your comment is published, be sure to follow the community guidelines.
Be sure to enter a unique name. You can't reuse a name that's already in use.
Be sure to enter a unique email address. You can't reuse an email address that's already in use.
Type the characters you see in the picture above.Type the words you hear.
 
Search
turn on suggestions Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.

About Channel HP Subscribe

Connect with technologists and business leaders from across HP and around the world. Channel HP brings you blogs about a variety of subjects, written by the people at HP. Please read our community guidelines here and legal information here.

Follow Us