Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

загрози безпеці

  1. Як виглядає ваш сайт після «дефейса» (злому):
  2. інформаційне середовище
  3. Сторонні веб-додатки
  4. Забезпечення безпеки Інформаційної середовища

Інтернет-сайт є традиційним програмним додатком, яке працює в рамках операційної системи і серверного програмного забезпечення, використовує сервісні функції операційної системи та інших програмних продуктів.

Загрози безпеці для веб-сайту можна класифікувати за трьома напрямками:

  • загрози злому Інформаційної середовища;
  • загрози злому «Бітрікс: Управління сайтом»;
  • загрози злому Сторонніх веб-додатків.

Як виглядає ваш сайт після «дефейса» (злому):

Це може бути зловісно
Це може бути зловісно ...

забавно
... забавно ...

може бути мило
... може бути мило ...

або навіть пікантно
... або навіть пікантно ...

Результат "дефейса" один - компанія втрачає обличчя в прямому і переносному сенсі.

інформаційне середовище

Розглянемо список додатків, що становлять Інформаційну середу, в якій працює програмний продукт «Бітрікс: Управління сайтом»:

  • Операційна система. Найчастіше це UNIX системи (Linux, FreeBSD, SunOS, HP- UX та інші) або Windows системи (Windows 2003 Server, Windows 2000 Server, Windows NT, Windows XP і інші). В операційній системі можуть бути встановлені серверні програмні продукти, які не мають прямого відношення до роботи веб-сайту і програмного продукту «Бітрікс: Управління сайтом», але які обов'язково треба враховувати при складанні реєстру об'єктів для моніторингу на предмет безпеки. Найчастіше це такі продукти: поштовий сервер SMTP / POP3 / IMAP, DNS, FTP, SSH, Telnet і інші.
  • Веб-сервер - серверний програмний продукт, що забезпечує безпосереднє функціонування веб-додатків, обробку запитів, видачу графічних файлів і HTML-сторінок користувачам. Найчастіше використовуються веб-сервера Apache версій 1.3.ХХ і 2.ХХ або IIS фірми Microsoft та інші. Іноді, на додаток до веб-сервера, встановлюються проксірующіе сервера SQUID, OOPS, Oracle Application Server Web Cache і інші. У нашому огляді ми будемо розглядати цей клас програм спільно з веб-сервером, так як додатки виконують допоміжну роль. До додатків веб-сервера будуть ставитися модулі, що підтримують роботу механізмів шифрування SSL (OpenSSL і інші).
  • Середовище програмування - мова програмування PHP і бібліотеки функцій, які забезпечують роботу бізнес логіки програмного продукту «Бітрікс: Управління сайтом» і клієнтських додатків. Можна відзначити, що PHP є модулем для веб-сервера і дуже тісно з ним взаємодіє. Але ми виділяємо PHP в окремий об'єкт розгляду, з огляду на його значення для роботи веб-сайту.
  • База даних - сховище інформації і система обробки SQL-запитів. Найчастіше це MySQL 3.хх, 4.хх, 4.1 або Oracle 9i, 10g

Представлені чотири компоненти забезпечують роботу Інформаційної середовища для програмного продукту «Бітрікс: Управління сайтом».

Сторонні веб-додатки

Здебільшого для роботи веб-сайту не потрібно встановлювати сторонні програмні веб-додатки або скрипти, так як «Бітрікс: Управління сайтом» забезпечує рішення більшості завдань, пов'язаних з управлінням корпоративними веб-сайтом. Але якщо на вашому сайті працюють додатки, розроблені іншими компаніями або створені для інших мов програмування (Perl, ASP,. NET, JSP або CGI скрипти, написані на інших мовах програмування), вам необхідно скласти їх реєстр і враховувати при оцінці загальної безпеки системи.

Найчастіше на веб-серверах бувають встановлені скрипти управління CPanel, Plesk і інші, незалежні форуми, аналізатори логів, лічильники та інші. Іноді ці програми вже не використовуються історично після установки «Бітрікс: Управління сайтом», але скрипти залишаються розташованими на сервері і можуть використовуватися для злому веб-сайту. Ми визначимо дані додатки як Сторонні веб-додатки при розгляді питань інформаційної безпеки.

Ступінь загроз можна розділити на три рівні ризику:

  • Мінімальний - отримання доступу до НЕ конфіденційної інформації, до якої не санкціонований доступ, можливість створення косметичних проблем і перешкод в роботі проекту.
  • Середній рівень - отримання часткового доступу до конфіденційної інформації, частковий обхід системи авторизації розширює повноваження.
  • Високий рівень - повний обхід системи авторизації, отримання необмеженого доступу до системи або додатку, можливість запуску несанкціонованих програм, можливість перегляду або підміни конфіденційної інформації.

Забезпечення безпеки Інформаційної середовища

Великий відсоток зломів відноситься до уязвимостям Інформаційної середовища, в якому функціонує веб-сервер. Наприклад, використовуючи не оновлене програмне забезпечення поштового сервера, FTP-сервера або іншого серверного продукту зловмисник може отримати повні адміністративні права до операційної системи і, відповідно, до веб-сервера, виконати будь-які дії на сервері і більш того, приховати свою присутність на сервері.

Існує цілий список англомовних і російськомовних ресурсів, на яких публікується інформація про уразливість серверних програмних продуктів. У Росії найбільш популярним ресурсом з даної тематики є сайт www.securitylab.ru компанії Positive Technologies.

Відповідальними співробітниками за забезпечення безпеки Інформаційної середовища є системні адміністратори компанії. Забезпечення безпеки Інформаційної середовища - завдання дуже непросте, так як в роботі сервера задіяно багато програмних продуктів.

Існує цілий клас програмних продуктів, які дозволяють автоматизувати процедури моніторингу Інформаційної середовища і виключити помилки конфігурації та затримки в оновленні серверних програмних комплексів:

Одним з найбільш вдалих варіантів забезпечення безпеки Інформаційної середовища є співпраця зі спеціалізованими компаніями, які забезпечують хостинг, захист, моніторинг та оновлення всього оточення Інформаційної середовища. До таких компаній можна віднести DATAFORT , Мастерхост та інших провайдерів.

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.