Безопасность
| Веб-сайт является частью корпоративной инфраструктуры и не удивительно, что компании большое внимание уделяют вопросам безопасности.
По данным компании Positive Technologies:
|
Когда сайт - это имидж и репутация
Взлом корпоративного сайта - это удар по репутации и имиджу компании. Очень неприятное в подобных событиях - огласка происшествия. Но потеря данных с сайта, информации о клиентах – это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда. Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта.
Обеспечение информационной безопасности веб-систем - процесс сложный и кропотливый, в котором участвуют разные поставщики услуг и программных продуктов. С большой уверенностью можно утверждать, что нельзя создать безопасную систему и прекратить работу по обеспечению информационной безопасности. Создавая систему, вы должны непрерывно следить за безопасностью информационной среды и за безопасностью веб-приложений.
Использование продукта «1С-Битрикс: Управление сайтом», получившего сертификат «Безопасное веб-приложение» от компании Positive Technologies, проводившей аудит информационной безопасности системы, позволяет с уверенностью утверждать, что современные корпоративные сайты могут быть надежно защищены.
В качестве независимых экспертов для подготовки материалов данного раздела привлечены специалисты компании Positive Technologies.
Безопасность «1С-Битрикс: Управление сайтом»
При проектировании программного продукта «1С-Битрикс: Управление сайтом» вопросам безопасности продукта уделялось особое значение на всех этапах разработки и тестирования.
- политика безопасности - набор правил, ограничивающих возможность авторизации пользователей в целях обеспечения определенного уровня безопасности сайта;
- единая система авторизации - все права в системе распределяются исключительно для групп пользователей;
- единый бюджет пользователя для всех модулей;
- двухуровневая система разграничения прав доступа;
- независимость системы контроля доступа от бизнес-логики страницы;
- Смена пароля;
- Запомнить авторизацию;
- возможность шифрования информации при передаче;
- система обновлений SiteUpdate;
- независимое журналирование выполняемых страниц в модуле Статистики;
- политика работы с переменными и внешними данными;
- методика двойного контроля критически опасных участков кода;
- политика работы с пластиковыми картами;
Шифрование данных
Использование алгоритмов шифрования позволяет исключить целый класс потенциальных рисков, связанных с возможностью перехвата информации в канале передачи.
Промышленным стандартом для защиты веб-приложений является SSL-шифрования в рамках протокола HTTPS. Данный протокол поддерживается всеми браузерами и не требует установки дополнительных компонент для клиентов. Сертификат может быть получен на сайте компании Verisign http://www.verisign.com/
В России сертификат SSL можно оформить через компанию провайдера или в компании RBC http://ssl.rbc.ru/
В качестве сертифицированных ГОСТ алгоритмов, на основе которых строится защита веб-ресурса, используются российские стандарты шифрования данных:
- ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94 — операции создания и проверки электронной цифровой подписи (ЭЦП) для аутентификации клиента, а также авторизация и обеспечение юридической значимости электронных документов при обмене ими по TLS соединению;
- ГОСТ 28147-89 — операции шифрования данных и имитозащита для обеспечения конфиденциальности и контроля целостности передаваемой информации по TLS соединению.
Дополнительные материалы относительно механизмов шифрации по ГОСТ алгоритмам можно получить на сайтах компаний DIGT и "Крипто Про"