Безопасность и защита сайтов


Безопасность и защита сайтов — задача, с которой рано или поздно приходится сталкиваться владельцу любого хоть сколь-нибудь ценного ресурса. Вопрос безопасности можно решить максимально плотно уже на этапе разработки веб-сайта, либо насильно вернуться к нему в случае возникших на этапе функционирования проблем. Основная задача защиты сайтов — разработка ресурса, предельно удовлетворяющего требованиям безопасности, либо приведение уже имеющегося сайта к этим требованиям путем анализа использующихся и потенциально опасных уязвимостей с последующем выполнением ряда работ для их устранения и отсутствия в перспективе. Надо учитывать, что безопасность сайта подразумевает не только безопасность кода и используемого ПО, но и безопасность его администрирования, сохранность паролей, защиту от перегрузок, а также решение ряда организационных и технических вопросов с провайдером.
 Услуги по защите сайтов и Web-проектов +7 (495) 231-4831
 версия для печати   
  Защита сайтов

Защита сайтов и Web-проектов

Любой сайт или Web-проект является традиционным Web-приложением, которое работает в рамках операционной системы и серверного программного обеспечения, использует сервисные функции операционной системы и других программных продуктов.

Для управления Web-проектом используются компьютеры администраторов и привелегированных пользователей со своими операционными системами, программным обеспечением и уязвимостями. Эти компьютеры, как правило, входят в состав корпоративной информационной системы (КИС) компании, управляющей сайтом.

Рассмотрим составляющие Web-проекта с точки зрения обеспечения его безопасности

  1. Информационная среда Web-сервера
    • операционная система
    • Web-сервер
    • среда программирования
    • база данных
    • средства защиты Web-сервера
  2. Система управления Web-проектом (CMS-система)
  3. Информационная среда администраторов Web-проекта
    • КИС компании, управляющей сайтом
    • система антивирусной защиты КИС
    • средства защиты КИС от атак из Интернет
    • средства защиты КИС от утечек информации
  4. Cторонние Web-приложения

Бытует мнение, что основная проблема безопасности сайтов кроется в программных кодах CMS-системы управления Web-проектом, включающей сам сайт. Это далеко не так. Значительный вклад в комплексную безопасность Web-проекта вносят такие составляющие обеспечения информационной безопасности, как защищенность информационной среды Web-сервера и средства защиты компьютеров, входящих в состав КИС компании, управляющей сайтом.

1. Безопасность информационной среды Web-сервера

Обеспечение безопасности информационной среды Web-сервера — задача сложная и ответственная. Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно решать данную задачу:
  • поручить задачу обеспечения безопасности информационной среды Web-сервера хостинг-провайдеру или дата-центру
  • регулярно использовать специальные средства для мониторинга защищенности информационной среды Web-сервера
  • периодически проводить независимый комплексный аудит безопасности информационной среды Web-сервера

2. Безопасность CMS-системы управления Web-проектом

В качестве примера, предложим придерживаться следующей архитектуры безопасного Web-приложения, которую использует компания Битрикс в самом защищенном на отечественном рынке продукте «1С-Битрикс. Управление сайтом»
  • единая система авторизации
  • единый бюджет пользователя для всех модулей
  • многоуровневое разграничение прав доступа
  • независимость системы контроля доступа от бизнес-логики страниц
  • возможность шифрации информации при передаче
  • система обновлений
  • журналирование
  • политика работы с переменными и внешними данными
  • методика двойного контроля критически опасных участков кода

3. Безопасность информационной среды администраторов Web-проекта

Обеспечение безопасности информационной среды администраторов Web-проета — задача не менее сложная и ответственная, чем безопасность самого Web-сервера и защищенность CMS-системы управления сайтом. Как правило, управление и администрировние сайтом производится с компьютеров, входящих в состав корпоративной информационной системы компании, выполняющей эти работы. Поэтому защищенность этих компьютеров зависит от защиты корпоративной информационной системы в целом.

Если ваша компания не имеет опыта работ в области обеспечения информационной безопасности корпоративных информационных систем, то разумнее всего поручить решение этой задачи аутсорсинговой компании, спциализируюшей на оказании услуг по технической защите конфиденциальной информации. И уж ни в коем случае не доверяйте эти работы программистам от Web-дизайна. Они знакомы только с "вершиной айсберга".

4. Безопасность сторонних Web-приложений

Под сторонним Web-приложением подразумевается, например, поставленный вами дополнительный Web-форум или какой-нибудь блок, "прикрученный" к вашему сайту от другого производителя. Эта оторванная составляющая не объединена с вашей CMS-системой управления сайтом единой архитектурой, что становится некоторой дополнительной проблемой при эксплуатации Web-проекта.

По большому счету, стороннее Web-приложение можно рассматривать как проект в проекте, и поэтому задача обеспечения безопасности этих Web-приложений базируется на тех же методах и приемах, которые были изложены в предыдущих пунктах.

Услуги по защите сайтов и Web-проектов

  • информационно-консалтинговые услуги по защите и эксплуатации Web-проекта
  • экспресс-анализ уязвимостей Web-проекта на основе отчетов сканера безопасности
  • аудит безопасности Web-проекта
  • разработка и построение системы защиты Web-сервера
  • анализ и устранение уязвимостей в исходных кодаз Web-проекта
  • перевод Web-проекта на защищенную CMS «1С-Битрикс: Управление сайтом»
  • аудит безопасности КИС компании, осуществляющей управление Web-проектом
  • построение системы защиты КИС и ее обслуживание
  • управление информационной безопасностью Web-проекта

Для заказа услуг по защите сайтов и Web-проектов необходимо прислать Запрос в произвольной форме с указанием адреса сайта и описанием возникших проблем с его безопасностью.

  © 2008-2009, ProtectMe  +7 (495) 231-4831  
  «Лаборатория защиты» E-mail: info@protectme.ru