Веб-сайт под защитой

Сегодня веб-сайт является визитной карточкой, которая формирует первое мнение клиента о компании. Если сайт взломан или находится в запустении, то для клиентов это повод задуматься о благонадёжности фирмы. В то же время именно сайты используют конкуренты или посторонние злоумышленники для атаки на информационную систему компании.

Отказ от сайта или поддержание стационарных сайтов-визиток не решает проблемы: информация в интернете должна быть актуальной и динамичной, чего можно добиться только с помощью использования современных систем управления сайтами — CMS.

Динамические сайты, основанные на CMS, оказываются более уязвимы, чем стационарные, поскольку они используют интерпретируемые языки программирования, такие как PHP, Python, Ruby и другие, а также базы данных, основанные на SQL. В результате, такие сайты подвержены нападениям типа SQL- или PHP-инъекций.

Ведущие российские производители CMS заботятся о безопасности своих продуктов. В частности, компания «1С-Битрикс» проводит аудит кода собственного продукта и встраивает в свою CMS «Корпоративный портал» систему защиты, которая позволяет обнаружить и блокировать атаки подобного типа. Взломать такой алгоритм непросто.

Однако система защищена настолько, насколько защищено её самое слабое звено. А в управлении сайтом этим звеном оказывается человек, точнее процедура аутентификации пользователя. Многие по-прежнему используют простые системы аутентификации, основанные на паролях — они уже не соответствуют современным требованиям безопасности. Пароли достаточно легко перехватить, подсмотреть или даже подобрать. Если для простых пользователей это вполне допустимо, то утечка пароля администратора может вызвать серьезные проблемы с сайтом. Поэтому для администраторов и других ключевых ролей рекомендуется использовать более строгую процедуру аутентификации — с помощью цифровых сертификатов и асимметричного шифрования.

Именно такой продукт предлагает компания «Цифровые технологии» в виде Trusted Bitrix, который позволяет подключаться к CMS «Битрикс» с помощью российских криптографических алгоритмов.

Модуль позволяет значительно поднять уровень защиты веб-ресурса благодаря механизму строгой аутентификации и авторизации пользователей корпоративного портала, а также защищенному TLS-протоколу, по которому передается конфиденциальная информация. Владелец ресурса сможет разграничить доступ различных групп пользователей к отдельным разделам и даже страницам сайта, к закрытым для общего пользования электронным документам, отчетности и т.п. Безопасной становится работа с закрытыми разделами сайта тех пользователей (сотрудников, клиентов, партнеров), для которых официально предоставлен доступ.

В основе модуля лежит библиотека компании «КриптоПро», которая использует алгоритмы из серии ГОСТ и сертифицирована ФСБ. Использование стандартного протокола TLS позволяет применять этот продукт вместе с популярными браузерами Internet Explorer, Opera и Firefox. Продукт также предполагает использование ролевой модели, но допускает и индивидуальное назначение методов аутентификации.