Защита сайтов и их безопасность

Любой сайт или Web-проект является традиционным Web-приложением, которое работает в рамках операционной системы и серверного программного обеспечения, использует сервисные функции операционной системы и других программных продуктов.

Для управления Web-проектом используются компьютеры администраторов и привилегированных пользователей со своими операционными системами, программным обеспечением и уязвимостями. Основной вклад в комплексную безопасность Web-проекта вносят такие составляющие обеспечения информационной безопасности, как защищенность информационной среды Web-сервера и средства защиты компьютеров, управляющих сайтом.

1. Безопасность информационной среды Web-сервера

Обеспечение безопасности информационной среды Web-сервера — задача сложная и ответственная.
Для обеспечения высокого уровня безопасности интернет-проектов необходимо комплексно решать данную задачу:
- поручить задачу обеспечения безопасности информационной среды Web-сервера хостинг-провайдеру или дата-центру
- установить антивирусную защиту на сайт, защиту от внешнего доступа и SQL-вливаний
- регулярно использовать специальные средства для мониторинга защищенности информационной среды Web-сервера
- периодически проводить независимый комплексный аудит безопасности информационной среды Web-сервера

2. Безопасность CMS-системы управления Web-проектом

В качестве примера, предложим придерживаться следующей архитектуры безопасного Web-приложения:
- единая система авторизации
- многоуровневое разграничение прав доступа
- система обновлений
- журналирование
- методика двойного контроля критически опасных участков кода

3. Вопросы защиты сайтов

Сейчас Web-сайты являются одним из основных средсты представления и передачи информации. Они заняли широкую нишу не только как электронные средства массовой информации, но и как источники научной, учебной, коммерческой и другой информации. Используются они и в сферах связанных с деньгами и конфиденциальной информацией, например в банковской сфере, при построении и выполнении функции Интернет магазинов, секретных службах, службах государственного управления и др. Обеспечивают Web-интерфейс и offline, и online связь с клиентами.

К безопасности сайта можно отнести:
• отсутствие перебоев в его работе и устойчивость к перегрузкам;
• защищенность от взломов, диверсий, вредоносных программ специальным программным обеспечением;
• защищенность от несанкционированного доступа к служебным и/или закрытым разделам сайта;
• сохранность находящейся на сайте информации, баз данных и т.п.

Технические аспекты безопасности сайта:
• безопасность используемых на сайте скриптов, программ;
• в ряде случаях - использование защищенных протоколов передачи данных;
• безопасность и надежность хостинга, на котором размещен сайт;
• наличие в системе управления сайтом возможности "откатить", отменить внесенные изменения; восстановить случайно удаленную информацию и т.п.;
• регулярное резервное копирование;

Нетехнические аспекты безопасности сайта (человеческий фактор):
• разделение прав доступа сотрудников, работающих с сайтом;
• регулярная смена логинов и паролей доступа к сайту сотрудников ответственных за его наполнение;
• запрет на хранение паролей на компьютере, подключенном к Internet;
• установка на компьютеры всех сотрудников, работающих с сайтом (в том числе домашние) последних версий антивирусных программ, «фаерволов» - фильтров поступающей из сети на компьютер информации и т.д.

Блокировка сайтов хостинг-провайдером. В каких случаях блокируется сайт?

1. По стороннему заявлению — только в случае явных нарушений законодательства и/или правил предоставления услуг: фейки известных сервисов, порно, варез — продукты, условия распространения которых известны: MS, Adobe, Corel и т.п.

2. Сайты, сделанные на пиратской или нелицензионной версии коммерческой CMS — будут заблокированы при наличии подтверждённой жалобы от разработчика.

3. Блокируется спам, хакинг, крэкинг, распространение вредоносного ПО, создание паразитного трафика, другие незаконные действия в сети Интернет. Технические службы дата-центров и хостинг-провайдеры взаимодействуют в этих вопросах и предпринимают все меры для противодействия. Сайты превышающие средне-допустимую нагрузку (5% от CPU и 10% RAM), могут быть заблокированы если предварительно ситуация не будет решена с Клиентом в лучшую сторону (смена тарифного плана на более высокий или удаление/оптимизация скриптов вызывающих сильную нагрузку).

4. На сайтах запрещено размещать любые материалы противоречащие законам Украины (порнографию, или пропагандирующие насилие, убийство, расовую ненависть). В случаях размещения порноматериалов или 'эротики' поскольку четкой границы между ними определить невозможно - такая ситуация решается на усмотрение Администрации!

5. Категорически запрещено использовать разного рода php-шлюзы, gate и proxy.

6. Запрещено использовать скрипты, выкачивающие файлы с файлобменников

7. Запрещена установка IRC-серверов и IRC-ботов

8. Запрещено размещать (хранить) на своем дисковом пространстве компьютерные вирусы любых типов

За нарушение указанных правил сайт в лучшем случае блокируется до устранения проблемы, в худшем, или если проблема не устранена, удаляется вместе с хостинг-аккаунтом (без возврата оплаченных денежных средств).

Плохо ли это? Для Клиентов, чьи сайты не нарушают законодательство и условий использования хостинга — такая позиция провайдера выгодна, она гарантирует стабильность работы сервисов, взаимодействие сайтов и других размещенных на хостинг-аккаунтах ресурсов с поисковыми системами и почтовыми серверами.