На информационной части описаны три сущности (см. рис. 2.7): новость, статья (материал), категория новости.

Каждая новость должна иметь категорию, поэтому в ER-модели выстраивается отношение многие-к-одному. Краткое описание новости будет использоваться на страницах, где будет отображен список новостей; полное описание соответственно на самой странице новости.

На образовательной части (рисунок 2.8) показаны такие сущности, как: «курс», «лекция», «тема», «тест», «вопрос», «пользователь». Образовательный курс, как было выявлено, должен состоять из тем, которые в свою очередь состоят из лекций и тестов. Тесты должны иметь вопросы, в которых описаны все варианты ответов и указан верный.

Рисунок 2.8 – ER-модель, образовательная часть

Пользователи должны иметь возможность обучаться по различным курсам, соответственно на ER-модели создается связь многие-ко-многим. Эта связь была преобразована в ходе трансляции ER-модели в базу данных за счет введения дополнительной таблицы «пользователи-курсы».

После анализа ER-модели была спроектирована база данных с учетом особенностей программной среды MySQL.

1. Создание интерфейса сайта ДВУНЦ

Для создания дизайна сайта использовалось программное обеспечение Adobe Photoshop CC 2016. На основе диаграмм вариантов использования и карты сайта были продуманы прототипы и разработан дизайн типовых страниц: главной страницы, списка новостей, страницы новости, страницы результатов поиска, страницы профиля, страницы статьи (материала), страницы контактов, страницы подачи заявки, списка курсов, страницы курса, страницы обучения в курсе, страницы авторизации и восстановления пароля, страницы администрирования с большим количеством модальных окон и других интерфейсных решений.

Был выбран основной стиль сайта – минимализм с добавлением современных трендов веб разработки (большие качественные фотографии, сворачивающееся меню, интерактивные элементы). В качестве основного шрифта выделен шрифт «Roboto». На основе логотипа центра были установлены цвета сайта: белый (#FFFFFF), зеленый (#133F26), желтый (#FDB815) и черный (#000000). В качестве иконок было внедрено решение Font Awesome.

Каждая типовая страница разбивалась на три области: верхнюю часть (шапку), контентную часть (содержимое страницы), нижнюю часть (подвал). В верхней части содержаться контакты, логотип, навигация и ссылки для управления личным кабинетом. Была создана уникальная контентная часть для каждой типовой страницы. В нижней части расположена дополнительная навигация, информация о разработке сайта, а также политика безопасности сайта.

Для верстки использовались такие технологии, как: HTML5, CSS3 (LESS), JavaScript (JQuery, AJAX).

HTML5 (англ. HyperText Markup Language, version 5) – язык для структурирования и представления гипертекста. HTML5 позволяет улучшить уровень поддержки мультимедиа-технологий с одновременным сохранением обратной совместимости, удобочитаемости кода для человека и простоты анализа для программного обеспечения.

CSS3 (англ. Cascading Style Sheets 3 – каскадные таблицы стилей третьего поколения) – формальный язык, реализованный с помощью языка разметки. Главной особенностью CSS3 является возможность создавать анимированные элементы без использования JS, поддержка линейных и радиальных градиентов, теней, сглаживания.

jQuery – библиотека JavaScript, фокусирующаяся на взаимодействии JavaScript и HTML. Библиотека jQuery помогает легко получать доступ к любому элементу DOM (элементу HTML разметки), обращаться к атрибутам и содержимому элементов DOM, манипулировать ими.

Модульная сетка и адаптивность для основных разрешений (ширина экрана менее 768px, ширина экрана от 768px до 992px, ширина экрана от 992px до 1200px, ширина экрана более 1200px) реализовалась на основе «Bootstrap 3». В связи с этим верстка сайта была разработана таким способом, что может подстраивать под любое устройство: смартфон, планшетный компьютер или персональный компьютер; без искажений и необходимости увеличения элементов. В качестве программного обеспечения для создания верстки использовалось приложение «Brackets».

На главной странице используется анимированная сцена, которая реализована с помощью плагина «Revolution Slider». На некоторых страницах были использованы методы «Parallax Scrolling» (технология, когда фоновое изображение в перспективе двигается медленнее, чем элементы переднего плана). Для реализации форм обратной связи с отображением ошибок и уведомлений применялся плагин «Contact Form 7».

При написании верстки сайта учитывалась поддержка несколькими основными браузерами (то есть отображение сайта не зависит от браузера, и везде является идентичным), а именно проводились тесты на следующих программных обеспечениях:

• Internet Explorer (11.0 версия и выше);

• Opera (12 версия и выше);

• Mozilla Firefox (26 версия и выше);

• Google Chrome (17 версия и выше);

• Safari (6.0.5 версия и выше).

1. Программирование сайта ДВУНЦ

Сайт был разработан на основе языка программирования PHP 5.6. PHP (англ. PHP: Hypertext Preprocessor – «PHP: препроцессор гипертекста»; первоначально Personal Home Page Tools – «Инструменты для создания персональных веб-страниц») – скриптовый язык общего назначения, интенсивно применяемый для разработки веб-приложений. В настоящее время поддерживается подавляющим большинством хостинг-провайдеров и является одним из лидеров среди языков, применяющихся для создания динамических веб-сайтов.

В основе системы управления содержимым использовалось программное обеспечение с открытой лицензией GPL «WordPress 4.7.4». Система управления содержимым (англ. Content management system, CMS) – компьютерная программа, используемая для обеспечения и организации совместного процесса создания, редактирования и управления содержимым, иначе – контентом (от английского content). Основные функции CMS:

• предоставление инструментов для создания содержимого;

• управление содержимым: хранение, контроль версий, управление потоком документов;

• публикация содержимого;

• представление информации в виде, удобном для навигации, поиска.

Из сверстанных HTML страниц был создан PHP шаблон (структурированная директория, содержащая более 20 файлов с исходным PHP кодом, таблицы каскадных стилей CSS и скрипты JS). Для разработки шаблона использовалось программное обеспечение «PhpStorm 2017.1». Данный шаблон был интегрирован в систему WordPress.

Был подключен плагин для дистанционного обучения «LearnPress». В данный плагин были внесены изменения, а также была подключена разработанная ранее MySQL база данных.

1. Наполнение сайта ДВУНЦ

Для наполнения сайта использовались материалы, информация и фотографии со старой версии сайта Дальневосточного учебно-научного центра по информационной безопасности http://dvunc.ru.

Для демонстрации был наполнен образовательный курс переподготовки «Информационная безопасность» тремя дисциплинами с 3 лекциями в каждой и одним тестом («Понятие информационной безопасности»):

• документоведение с лекциями: «Офисная деятельность», «Направления обеспечения безопасности информационных ресурсов», «Аналитическая работа в сфере безопасности информационных ресурсов»;

• технические средства и методы защиты информации с лекциями: «Введение», «Технические каналы утечки информации», «Демаскирующие признаки объектов»;

• основы криптографии с лекциями: «Исторический очерк развития криптографии», «Основные понятия», «Классификация шифров по различным признакам».

1. Размещение сайта

В рамках демонстрации дипломной работы было создано доменное имя http://microais.beget.tech, на котором был развернут подготовленный сайт и реализована база данных.

Для размещения сайта была выбрана компания ООО «Бегет», которая является одним из крупнейших хостинг-провайдеров России. Был выбран тарифный план, который включает следующие технические характеристики:

• наличие пяти гигабайт места на SSD;

• поддержка PHP 4/5/7, Perl 5, Python, Zend, phpMyAdmin;

• поддержка SSH, sFTP/FTP доступ;

• поддержка POP3, IMAP, SMTP для работы с почтой;

• автоматическое резервное копирование;

• управление журналами веб-сервера.

Вся информация данного хостинг-провайдера хранится в аккредитованном центре обработки данных ООО «Селектел». Центр «Селектел» соответствует международному стандарту Tier III и требованиям безопасности банков, платежных систем и предприятий электронной коммерции. Центр оснащен современными системами защиты и предотвращения несанкционированного доступа как в здание, так и в серверное помещение. На входе в центр и на входе в серверное помещение расположен круглосуточный пост вооруженной охраны. Более 100 камер видеонаблюдения следят за входом, периметром здания и каждым помещением.

1. Создание элементов защиты сайта ДВУНЦ. Руководство по эксплуатации

Как было установлено ранее, сайт ДВУНЦ должен обладать элементами защиты (согласно постановлению Правительства РФ №582 пункта 10, Федеральным законов №98 «О коммерческой тайне» и Федеральным законом №149 «Об информации, информационных технологиях и о защите информации» статьей 9 пунктом 2). Для создания защиты были использованы меры, рассмотренные в методическом документе ФСТЭК «Меры защиты информации в государственных информационных системах» от 11.02.2014 г.

Методический документ применяется для выбора и реализации организационных и (или) технических мер защиты информации в информационных системах, направленных на исключение [19]:

• неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

• неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

• неправомерного блокирования информации (обеспечение доступности информации).

Настоящий методический документ может применяться для защиты информации, содержащейся в негосударственных информационных системах.

Достаточно широком смысле трактует понятие информационной системы Федеральный закон РФ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».

Информационная система может содержать сайт, как составную часть целого. В соответсвие с приказом ФСТЭК России 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации [9]. Так как в данном дипломном проекте рассматривается только сайт, то объектами защиты информации являются:

• сервер, на котором физически хранится сайт;

• программное обеспечение сервера;

• программное обеспечение сайта в виде системы управления содержимым (WordPress);

• база данных (информация в базе данных).

Сервер, на котором будет хранится сайт, находится за пределами территории ДВУНЦ. Данный сервер принадлежит ООО «Селектел». Данная компания обеспечивает защиту сервера от несанкционированного доступа (см. раздел 2.7). Соответственно были рассмотрены только угрозы безопасности и меры для программного обеспечения сайта и базы данных.

Для определения угроз сайта и модели нарушителя были рассмотрены открытые источники в виде статистики в этой сфере известных предприятий в области информационной безопасности («Лаборатория Касперского», «Positive Technologies», «SoftLine») [17].

На основе деятельности центра, его положения на рынке, была выявлена модель нарушителя. Нарушителем может являться физическое лицо, которое пытается осуществить несанкционированный доступ в программное обеспечение сайта или базу данных с помощью сети «Интернет», а также сотрудник организации, которая предоставляет сервер для размещения сайта.

Были выделены следующие угрозы:

• угроза выявления паролей;

• угроза несанкционированного доступа к программному обеспечению сайта (превышение прав доступа);

• угроза внедрения на сайт вредоносных алгоритмов;

• угроза несанкционированного доступа к базе данных.

Чтобы обеспечить целостность и доступность информации на сайте ДВУНЦ и нейтрализовать угрозы от первой до третьей были предусмотрены такие меры, как:

• идентификация и аутентификация субъектов доступа и объектов доступа;

• управление доступом субъектов доступа к объектам доступа;

• регистрация событий безопасности;

• антивирусная защита;

• дополнительные меры, связанные с уязвимостями WEB технологий.

Чтобы обеспечить конфиденциальность информации ограниченного доступа (нейтрализовать четвертую угрозу) применялись традиционные методы и способы защиты информации конфиденциального характера в том числе с применением шифрования информации в базе данных с помощью алгоритма, который описан в ГОСТ 28147-89 (это российский стандарт симметричного блочного шифрования, принятый в 1989 году).

Для управления содержимым (контентом) сайта и элементов защиты (управление пользователями и группами пользователей, настройками сайта, событиями безопасности, антивирусной защиты) была модернизирована на основе «WordPress» административная панель (личный кабинет администрации сайта) как показано на рисунке 3.1.