На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 5 сентябрь-октябрь 2005 г.
Тема номера: БЕЗОПАСНОСТЬ ERP-СИСТЕМ


ИНСТРУМЕНТАЛЬНЫЕ СРЕДСТВА АУДИТА БЕЗОПАСНОСТИ ERP-СИСТЕМ

С. А. Петренко, д. т. н.


Предыдущая статьяСледующая статья

В начале 2005 года на отечественном рынке средств защиты информации появились принципиально новые сканеры безопасности, которые позволяют оценить уровень защиты систем класса ERP. В основе работы таких сканеров лежат оригинальные методы оценивания безопасности прикладного уровня и используются обширные базы знаний по уязвимостям распространенных приложений. Далее мы расскажем об использовании на практике одного из таких решений.

Сканер безопасности ERP-систем и приложений AppDetective компании Appsecurity представляет собой программный продукт для оценки уязвимости прикладных систем класса Enterprise Resource Planning (ERP). Основное назначение AppDetective – комплексная проверка безопасности ERP-систем, включая выявление существующих возможностей для проведения внешних и внутренних атак. В целом сканер AppDetective позволяет оценивать безопасность следующих приложений.

   1. Oracle – Oracle EBS, Oracle 11, Oracle10i, Oracle9i, Oracle8i, Oracle8, Oracle7 (Unix, Linux, Microsoft Windows).

   2. MS SQL Server – Microsoft SQL Server Versions 6.x, 7.0, 2000; (Microsoft Windows NT/2000).

       MSDE 1.0 и MSDE 2000 (Microsoft Windows XP/NT/2000/ME/98/95);

   3. MySQL – All Versions (All Supported Operating Systems).

   4. Sybase – Sybase Versions 11.0, 11.5, 11.9.2, 12.0, 12.5 (Windows NT, Windows 2000, Unix, Linux, Solaris).

   5. IBM DB2 – IBM DB2 Version 8.1, 7.2, 7.1, 6.1 (Windows NT, Windows 2000, Unix, Linux, Solaris).

   6. Lotus Notes/Domino – Lotus Notes/Domino v 4.5 до 6.x.

   7. Web Applications – Discovery, Pen-Testing, Audit и отчеты по уязвимости для HTTP/HTTPS web-services: (ports 80 & 443).

Примерная схема проверки безопасности приложений класса ERP представлена на рис. 1.

Подготовка к инструментальному обследованию заключается в подключении к ЛВС стенда АПК, состоящего из ноутбука и ПО AppDetective, и его настройка для функционирования в условиях данной АС, например, как показано на рис. 2.

В процессе инструментального обследования используется два основных метода проверок: инструментальное обследование «извне» и «изнутри». При этом инструментальное обследование проводится в следующем порядке. Сначала определяются границы исследования и идентифицируются проверяемые приложения и базы данных, а затем проводятся тесты на проникновение и комплексная оценка защищенности приложений ERP-систем. Рассмотрим этапы проведения инструментального обследования подробнее.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100