Аудит и управление ИБ   Безопасность сайтов   Восстановление данных   Защита информации   ИТ-аутсорсинг 
   

  Наши услуги
  Другие ссылки
Проект InfoSecurity.ru
Новости

28.03.2017. Positive Technologies запускает интеллектуальный сервис по противодействию DDoS-атакам

27.03.2017. Обеспечена совместимость продуктов Secret Net Studio и JaCarta

08.02.2017. "Аладдин Р.Д." сообщает о результатах интеграции электронных ключей JaCarta в платформу Duo Security

01.02.2017. Вся линейка продуктов Рутокен ЭЦП работает с isCrypto

19.01.2017. Новое поколение Acronis True Image 2017 New Generation обладает инновационными возможностями, основанными на технологии блокчей

20.12.2017. Прогнозы безопасности от компании WatchGuard на 2017 год

07.12.2016. Доктрина информационной безопасности России

24.10.2016. WatchGuard представляет новую облачную технологию защиты в беспроводных сетях

23.09.2016. Infosecurity Russia vs InfoSecurity Europe: что делать экспонентам?

22.09.2016. WatchGuard назван Визионером в 2016 году в отчете Gartner Magic Quadrant

19.09.2016. Новые вредоносные приложения в Google Play Store

14.09.2016. Cisco предложила глобальным сервис-провайдерам и медийным компаниям всеобъемлющую защиту от видеопиратства и киберугроз

12.09.2016. Власти ужесточат наказание за киберпреступления

07.09.2016. Исследование: подростки ожидают ухудшения ситуации с безопасностью в Интернете

01.09.2016. Зачем нам нужна национальная мобильная платформа: интервью с членами АРСИБ

Безопасность и защита сайтов


Безопасность и защита сайтов — задача, с которой рано или поздно приходится сталкиваться владельцу любого хоть сколь-нибудь ценного ресурса. Вопрос безопасности можно решить максимально плотно уже на этапе разработки веб-сайта, либо насильно вернуться к нему в случае возникших на этапе функционирования проблем.

Основная задача защиты сайтов — разработка ресурса, предельно удовлетворяющего требованиям безопасности, либо приведение уже имеющегося сайта к этим требованиям путем анализа использующихся и потенциально опасных уязвимостей с последующем выполнением ряда работ для их устранения и отсутствия в перспективе. Надо учитывать, что безопасность сайта подразумевает не только безопасность кода и используемого ПО, но и безопасность его администрирования, сохранность паролей, защиту от перегрузок, а также решение ряда организационных и технических вопросов с провайдером.


 Услуги по защите сайтов и Web-проектов +7 (495) 231-4831
 версия для печати   

  О проблеме

  Классы угроз

  Статистика
  Защита сайтов


  1С-Битрикс
Содержание

  Безопасность Web-проекта
    • Web-сервер
    • CMS-система
    • ПК администратора
    • сторонние Web-приложения

  Услуги по защите Web-проекта

Защита сайтов и Web-проектов

Любой сайт или Web-проект является традиционным Web-приложением, которое работает в рамках операционной системы и серверного программного обеспечения, использует сервисные функции операционной системы и других программных продуктов.


Для управления Web-проектом используются компьютеры администраторов и привелегированных пользователей со своими операционными системами, программным обеспечением и уязвимостями. Эти компьютеры, как правило, входят в состав корпоративной информационной системы (КИС) компании, управляющей сайтом.

Рассмотрим составляющие Web-проекта с точки зрения обеспечения его безопасности

  1. Информационная среда Web-сервера
    • операционная система
    • Web-сервер
    • среда программирования
    • база данных
    • средства защиты Web-сервера
  2. Система управления Web-проектом (CMS-система)
  3. Информационная среда администраторов Web-проекта
    • КИС компании, управляющей сайтом
    • система антивирусной защиты КИС
    • средства защиты КИС от атак из Интернет
    • средства защиты КИС от утечек информации
  4. Cторонние Web-приложения

Бытует мнение, что основная проблема безопасности сайтов кроется в программных кодах CMS-системы управления Web-проектом, включающей сам сайт. Это далеко не так. Значительный вклад в комплексную безопасность Web-проекта вносят такие составляющие обеспечения информационной безопасности, как защищенность информационной среды Web-сервера и средства защиты компьютеров, входящих в состав КИС компании, управляющей сайтом.

1. Безопасность информационной среды Web-сервера

Обеспечение безопасности информационной среды Web-сервера — задача сложная и ответственная. Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно решать данную задачу:
  • поручить задачу обеспечения безопасности информационной среды Web-сервера хостинг-провайдеру или дата-центру
  • регулярно использовать специальные средства для мониторинга защищенности информационной среды Web-сервера
  • периодически проводить независимый комплексный аудит безопасности информационной среды Web-сервера

2. Безопасность CMS-системы управления Web-проектом

В качестве примера, предложим придерживаться следующей архитектуры безопасного Web-приложения, которую использует компания Битрикс в самом защищенном на отечественном рынке продукте «1С-Битрикс. Управление сайтом»
  • единая система авторизации
  • единый бюджет пользователя для всех модулей
  • многоуровневое разграничение прав доступа
  • независимость системы контроля доступа от бизнес-логики страниц
  • возможность шифрации информации при передаче
  • система обновлений
  • журналирование
  • политика работы с переменными и внешними данными
  • методика двойного контроля критически опасных участков кода

3. Безопасность информационной среды администраторов Web-проекта

Обеспечение безопасности информационной среды администраторов Web-проета — задача не менее сложная и ответственная, чем безопасность самого Web-сервера и защищенность CMS-системы управления сайтом. Как правило, управление и администрировние сайтом производится с компьютеров, входящих в состав корпоративной информационной системы компании, выполняющей эти работы. Поэтому защищенность этих компьютеров зависит от защиты корпоративной информационной системы в целом.


Если ваша компания не имеет опыта работ в области обеспечения информационной безопасности корпоративных информационных систем, то разумнее всего поручить решение этой задачи аутсорсинговой компании, спциализируюшей на оказании услуг по технической защите конфиденциальной информации. И уж ни в коем случае не доверяйте эти работы программистам от Web-дизайна. Они знакомы только с "вершиной айсберга".

4. Безопасность сторонних Web-приложений

Под сторонним Web-приложением подразумевается, например, поставленный вами дополнительный Web-форум или какой-нибудь блок, "прикрученный" к вашему сайту от другого производителя. Эта оторванная составляющая не объединена с вашей CMS-системой управления сайтом единой архитектурой, что становится некоторой дополнительной проблемой при эксплуатации Web-проекта.


По большому счету, стороннее Web-приложение можно рассматривать как проект в проекте, и поэтому задача обеспечения безопасности этих Web-приложений базируется на тех же методах и приемах, которые были изложены в предыдущих пунктах.

Услуги по защите сайтов и Web-проектов

  • информационно-консалтинговые услуги по защите и эксплуатации Web-проекта
  • экспресс-анализ уязвимостей Web-проекта на основе отчетов сканера безопасности
  • аудит безопасности Web-проекта
  • разработка и построение системы защиты Web-сервера
  • анализ и устранение уязвимостей в исходных кодаз Web-проекта
  • перевод Web-проекта на защищенную CMS «1С-Битрикс: Управление сайтом»
  • аудит безопасности КИС компании, осуществляющей управление Web-проектом
  • построение системы защиты КИС и ее обслуживание
  • управление информационной безопасностью Web-проекта

Для заказа услуг по защите сайтов и Web-проектов необходимо прислать Запрос в произвольной форме с указанием адреса сайта и описанием возникших проблем с его безопасностью.
  © 2008-2009, ProtectMe  +7 (495) 231-4831  
  «Лаборатория защиты» E-mail: info@protectme.ru