Sistemas de Información
en entorno Web
13 de Mayo de 2004
Fernando Alonso Blázquez
Índice
• ¿Qué es un Sistema de Información en
entorno Web?
• Ventajas y desventajas
• Control de acceso
– Autenticación y Autorización
• Seguridad
– Amenazas deliberadas a la seguridad de la
información
• Ejemplos de Sistemas de Información
• Diseño de Sistemas de Información
¿Qué es un S.I. en entorno Web?
Máquina Servidor
HTTP
SERVIDOR
WEB
BD
HTTP
SERVIDOR
DE
SERVLETS
BD
externa
Otros
procesos
Ventajas y desventajas
• Ventajas
– No es necesaria ninguna instalación en el cliente
(aplicaciones, drivers, ...)
– Accesible desde cualquier lugar
– Sólo es necesario un navegador
• Desventajas
– Lentitud de Internet
– Calidad de las interfaces de usuario
• Menos posibilidades que las ofrecidas por las
aplicaciones cliente tradicionales
– Vulnerabilidad de la información
• Importancia de la Seguridad: Encriptación,
protocolo seguro HTTPS
Control de acceso
• Protege la entrada a un Sistema de
Información completo o a funcionalidades
concretas de éste
• Consta generalmente de dos pasos
– Autenticación: que identifica al usuario o a la
máquina que trata de acceder a los recursos,
protegidos o no
– Autorización: que dota al usuario de privilegios
para poder efectuar ciertas operaciones con los
datos protegidos, tales como crearlos, leerlos,
modificarlos, etc.
• Establecimiento de Roles
Control de acceso
• Tres tipos básicos de control de acceso:
– Por dirección IP, nombre de host o dominio
• Se puede configurar el servidor web de manera
que ciertos recursos sean accesibles sólo por
ordenadores que posean determinada dirección IP,
cierto nombre de host o pertenezcan a un dominio
dado
– Por nombre de usuario y contraseña
• Se requiere al usuario que introduzcan un nombre
y una contraseña como medio de asegurar su
identidad
– Por certificados
• El usuario simplemente instala el certificado en su
navegador y posteriormente, cuando se conecte al
servidor, sólo tiene que presentarlo para que se
produzca la autenticación
Seguridad
• Se entiende por amenaza
– Una condición del entorno del sistema de
información (persona, máquina, suceso o idea)
– que, dada una oportunidad, podría dar lugar a que
se produjese una violación de la seguridad
• Violación de la seguridad
– Confidencialidad, integridad, disponibilidad o uso
legítimo
• Categorias generales de amenazas o ataques
– Interrupción, intercepción, modificación y
fabricación
• Los ataques pueden clasificarse a su vez
– Pasivos y activos
Ataques pasivos
• El atacante no altera la comunicación, sino
que únicamente la escucha o monitoriza
– Muy difíciles de detectar
• Objetivos
– Obtención del origen y destinatario de la
comunicación
• Leyendo las cabeceras de los paquetes
monitorizados.
– Control del volumen de tráfico intercambiado
entre las entidades monitorizadas
• Obteniendo así información acerca de actividad o
inactividad inusuales.
– Control de las horas habituales de intercambio de
datos entre las entidades de la comunicación
• Para extraer información acerca de los períodos de
actividad
Ataques activos
• Implican algún tipo de modificación del flujo de
datos transmitido o la creación de un falso flujo
• Tipos
– Suplantación de identidad
• el intruso se hace pasar por una entidad diferente
– Reactuación
• uno o varios mensajes legítimos son capturados y
repetidos para producir un efecto no deseado
– Modificación de mensajes
• una porción del mensaje legítimo es alterada, o los
mensajes son retardados o reordenados, para producir
un efecto no autorizado
– Degradación fraudulenta del servicio
• impide o inhibe el uso normal o la gestión de recursos
informáticos y de comunicaciones
• Entre estos ataques se encuentran los de denegación de
servicio, consistentes en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.
Ejemplos de Sistemas de Información
• Automatrícula de la Escuela
• Gestión Académica
– Profesores
• Introducción de calificaciones, consulta de datos
– Alumnos
• Consulta de expediente académico
• Gestión de Programas de Intercambio
– Gestores: Administración
– Alumnos: Consulta de situación
• Comercio Electrónico
– Amazon
• Sistemas de Información Empresarial
Diseño de Sistemas de Información
• Transparencia
– La organización debe ser fácil de entender para
los usuarios
• Información accesible fácilmente
– Diseñar una estructura de ficheros que permita a
los usuarios obtener la información con el menor
número de clicks
• Uso de estándares
– Que todas las páginas de una web compartan un
formato visual similar
– El uso de un formato estándar mejora en gran
manera el aspecto y “feeling” de una web
– Una vez que el usuario entiende el formato
común, encuentra más fácil el uso de la web
Diseño de Sistemas de Información
• Mantenimiento
– Diseñar el sitio web con el objetivo claro de que
su mantenimiento sea fácil
• Prestaciones
– Cada día más, la gente demanda de los sitios web
un valor añadido más allá del puro “anuncio”
• Motores de búsqueda
– Cuando los sitios web son muy grandes hay que
poner a disposición un motor de búsqueda
• Usuarios
– Conocer quiénes son, que sistemas usan y
desarrollar una estrategia para servir
eficientemente a los diferentes grupos de usuarios
Diseño de Sistemas de Información
• Seguridad
– Tener presente la seguridad desde el diseño
• Web logs
– Permiten obtener información sobre usuarios
• Tipo de organización de la que provienen
• Tipo de sistema operativo y navegador que usan
• Cómo llegaron a tu página web
• Qué les resultó de utilidad
• Diseño visual
– Diseñar la página principal para que cuadre en un
monitor de 15” con el menor scrolling posible
– No usar archivos de figuras grandes
• incrementan el tiempo de carga
– Usar fondos lisos con fuentes de texto que tengan
suficiente contraste con el fondo
¿Cuál es la clave del éxito?
Descargar

No Slide Title