fernando alonso blázquez
DESCRIPTION
Sistemas de Información en entorno Web. 13 de Mayo de 2004. Fernando Alonso Blázquez. Índice. ¿Qué es un Sistema de Información en entorno Web? Ventajas y desventajas Control de acceso Autenticación y Autorización Seguridad Amenazas deliberadas a la seguridad de la información - PowerPoint PPT PresentationTRANSCRIPT
Fernando Alonso Blázquez
Sistemas de Información
en entorno Web13 de Mayo de 2004
Índice
• ¿Qué es un Sistema de Información en entorno Web?
• Ventajas y desventajas• Control de acceso
– Autenticación y Autorización
• Seguridad– Amenazas deliberadas a la seguridad
de la información
• Ejemplos de Sistemas de Información
• Diseño de Sistemas de Información
¿Qué es un S.I. en entorno Web?
Máquina Servidor
SERVIDORDE
SERVLETSBD
externa
BD
Otros proceso
s
HTTP
HTTP
SERVIDORWEB
Ventajas y desventajas
• Ventajas– No es necesaria ninguna instalación en el
cliente (aplicaciones, drivers, ...)– Accesible desde cualquier lugar– Sólo es necesario un navegador
• Desventajas– Lentitud de Internet– Calidad de las interfaces de usuario
• Menos posibilidades que las ofrecidas por las aplicaciones cliente tradicionales
– Vulnerabilidad de la información• Importancia de la Seguridad: Encriptación,
protocolo seguro HTTPS
Control de acceso
• Protege la entrada a un Sistema de Información completo o a funcionalidades concretas de éste
• Consta generalmente de dos pasos– Autenticación: que identifica al usuario o a
la máquina que trata de acceder a los recursos, protegidos o no
– Autorización: que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como crearlos, leerlos, modificarlos, etc.• Establecimiento de Roles
Control de acceso
• Tres tipos básicos de control de acceso:– Por dirección IP, nombre de host o
dominio• Se puede configurar el servidor web de manera
que ciertos recursos sean accesibles sólo por ordenadores que posean determinada dirección IP, cierto nombre de host o pertenezcan a un dominio dado
– Por nombre de usuario y contraseña• Se requiere al usuario que introduzcan un
nombre y una contraseña como medio de asegurar su identidad
– Por certificados • El usuario simplemente instala el certificado en
su navegador y posteriormente, cuando se conecte al servidor, sólo tiene que presentarlo para que se produzca la autenticación
Seguridad
• Se entiende por amenaza– Una condición del entorno del sistema de
información (persona, máquina, suceso o idea) – que, dada una oportunidad, podría dar lugar a
que se produjese una violación de la seguridad
• Violación de la seguridad – Confidencialidad, integridad, disponibilidad o
uso legítimo
• Categorias generales de amenazas o ataques– Interrupción, intercepción, modificación y
fabricación• Los ataques pueden clasificarse a su vez
– Pasivos y activos
Ataques pasivos
• El atacante no altera la comunicación, sino que únicamente la escucha o monitoriza– Muy difíciles de detectar
• Objetivos– Obtención del origen y destinatario de la
comunicación• Leyendo las cabeceras de los paquetes
monitorizados. – Control del volumen de tráfico intercambiado
entre las entidades monitorizadas• Obteniendo así información acerca de
actividad o inactividad inusuales. – Control de las horas habituales de
intercambio de datos entre las entidades de la comunicación• Para extraer información acerca de los
períodos de actividad
Ataques activos
• Implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo
• Tipos– Suplantación de identidad
• el intruso se hace pasar por una entidad diferente– Reactuación
• uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado
– Modificación de mensajes• una porción del mensaje legítimo es alterada, o los
mensajes son retardados o reordenados, para producir un efecto no autorizado
– Degradación fraudulenta del servicio• impide o inhibe el uso normal o la gestión de
recursos informáticos y de comunicaciones • Entre estos ataques se encuentran los de
denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.
Ejemplos de Sistemas de Información
• Automatrícula de la Escuela• Gestión Académica
– Profesores• Introducción de calificaciones, consulta de
datos– Alumnos
• Consulta de expediente académico
• Gestión de Programas de Intercambio– Gestores: Administración– Alumnos: Consulta de situación
• Comercio Electrónico– Amazon
• Sistemas de Información Empresarial
Diseño de Sistemas de Información• Transparencia
– La organización debe ser fácil de entender para los usuarios
• Información accesible fácilmente– Diseñar una estructura de ficheros que
permita a los usuarios obtener la información con el menor número de clicks
• Uso de estándares– Que todas las páginas de una web compartan
un formato visual similar– El uso de un formato estándar mejora en gran
manera el aspecto y “feeling” de una web– Una vez que el usuario entiende el formato
común, encuentra más fácil el uso de la web
Diseño de Sistemas de Información• Mantenimiento
– Diseñar el sitio web con el objetivo claro de que su mantenimiento sea fácil
• Prestaciones– Cada día más, la gente demanda de los sitios
web un valor añadido más allá del puro “anuncio”
• Motores de búsqueda– Cuando los sitios web son muy grandes hay que
poner a disposición un motor de búsqueda
• Usuarios– Conocer quiénes son, que sistemas usan y
desarrollar una estrategia para servir eficientemente a los diferentes grupos de usuarios
Diseño de Sistemas de Información• Seguridad
– Tener presente la seguridad desde el diseño
• Web logs– Permiten obtener información sobre usuarios
• Tipo de organización de la que provienen• Tipo de sistema operativo y navegador que usan• Cómo llegaron a tu página web• Qué les resultó de utilidad
• Diseño visual– Diseñar la página principal para que cuadre en
un monitor de 15” con el menor scrolling posible
– No usar archivos de figuras grandes • incrementan el tiempo de carga
– Usar fondos lisos con fuentes de texto que tengan suficiente contraste con el fondo
¿Cuál es la clave del éxito?