140 likes | 233 Vues
Sistemas de Información en entorno Web. 13 de Mayo de 2004. Fernando Alonso Blázquez. Índice. ¿Qué es un Sistema de Información en entorno Web? Ventajas y desventajas Control de acceso Autenticación y Autorización Seguridad Amenazas deliberadas a la seguridad de la información
E N D
Sistemas de Información en entorno Web 13 de Mayo de 2004 Fernando Alonso Blázquez
Índice • ¿Qué es un Sistema de Información en entorno Web? • Ventajas y desventajas • Control de acceso • Autenticación y Autorización • Seguridad • Amenazas deliberadas a la seguridad de la información • Ejemplos de Sistemas de Información • Diseño de Sistemas de Información
¿Qué es un S.I. en entorno Web? Máquina Servidor HTTP SERVIDOR WEB BD SERVIDOR DE SERVLETS BD externa HTTP Otros procesos
Ventajas y desventajas • Ventajas • No es necesaria ninguna instalación en el cliente (aplicaciones, drivers, ...) • Accesible desde cualquier lugar • Sólo es necesario un navegador • Desventajas • Lentitud de Internet • Calidad de las interfaces de usuario • Menos posibilidades que las ofrecidas por las aplicaciones cliente tradicionales • Vulnerabilidad de la información • Importancia de la Seguridad: Encriptación, protocolo seguro HTTPS
Control de acceso • Protege la entrada a un Sistema de Información completo o a funcionalidades concretas de éste • Consta generalmente de dos pasos • Autenticación: que identifica al usuario o a la máquina que trata de acceder a los recursos, protegidos o no • Autorización: que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como crearlos, leerlos, modificarlos, etc. • Establecimiento de Roles
Control de acceso • Tres tipos básicos de control de acceso: • Por dirección IP, nombre de host o dominio • Se puede configurar el servidor web de manera que ciertos recursos sean accesibles sólo por ordenadores que posean determinada dirección IP, cierto nombre de host o pertenezcan a un dominio dado • Por nombre de usuario y contraseña • Se requiere al usuario que introduzcan un nombre y una contraseña como medio de asegurar su identidad • Por certificados • El usuario simplemente instala el certificado en su navegador y posteriormente, cuando se conecte al servidor, sólo tiene que presentarlo para que se produzca la autenticación
Seguridad • Se entiende por amenaza • Una condición del entorno del sistema de información (persona, máquina, suceso o idea) • que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad • Violación de la seguridad • Confidencialidad, integridad, disponibilidad o uso legítimo • Categorias generales de amenazas o ataques • Interrupción, intercepción, modificación y fabricación • Los ataques pueden clasificarse a su vez • Pasivos y activos
Ataques pasivos • El atacante no altera la comunicación, sino que únicamente la escucha o monitoriza • Muy difíciles de detectar • Objetivos • Obtención del origen y destinatario de la comunicación • Leyendo las cabeceras de los paquetes monitorizados. • Control del volumen de tráfico intercambiado entre las entidades monitorizadas • Obteniendo así información acerca de actividad o inactividad inusuales. • Control de las horas habituales de intercambio de datos entre las entidades de la comunicación • Para extraer información acerca de los períodos de actividad
Ataques activos • Implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo • Tipos • Suplantación de identidad • el intruso se hace pasar por una entidad diferente • Reactuación • uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado • Modificación de mensajes • una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado • Degradación fraudulenta del servicio • impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones • Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.
Ejemplos de Sistemas de Información • Automatrícula de la Escuela • Gestión Académica • Profesores • Introducción de calificaciones, consulta de datos • Alumnos • Consulta de expediente académico • Gestión de Programas de Intercambio • Gestores: Administración • Alumnos: Consulta de situación • Comercio Electrónico • Amazon • Sistemas de Información Empresarial
Diseño de Sistemas de Información • Transparencia • La organización debe ser fácil de entender para los usuarios • Información accesible fácilmente • Diseñar una estructura de ficheros que permita a los usuarios obtener la información con el menor número de clicks • Uso de estándares • Que todas las páginas de una web compartan un formato visual similar • El uso de un formato estándar mejora en gran manera el aspecto y “feeling” de una web • Una vez que el usuario entiende el formato común, encuentra más fácil el uso de la web
Diseño de Sistemas de Información • Mantenimiento • Diseñar el sitio web con el objetivo claro de que su mantenimiento sea fácil • Prestaciones • Cada día más, la gente demanda de los sitios web un valor añadido más allá del puro “anuncio” • Motores de búsqueda • Cuando los sitios web son muy grandes hay que poner a disposición un motor de búsqueda • Usuarios • Conocer quiénes son, que sistemas usan y desarrollar una estrategia para servir eficientemente a los diferentes grupos de usuarios
Diseño de Sistemas de Información • Seguridad • Tener presente la seguridad desde el diseño • Web logs • Permiten obtener información sobre usuarios • Tipo de organización de la que provienen • Tipo de sistema operativo y navegador que usan • Cómo llegaron a tu página web • Qué les resultó de utilidad • Diseño visual • Diseñar la página principal para que cuadre en un monitor de 15” con el menor scrolling posible • No usar archivos de figuras grandes • incrementan el tiempo de carga • Usar fondos lisos con fuentes de texto que tengan suficiente contraste con el fondo
¿Cuál es la clave del éxito? Valor añadido + Diseño visual amigable