Обеспечение безопасности веб-сайта

Раздел будет полезен для разработчиков и заказчиков сайтов, которые заботятся о информационной безопасности веб-сайте и его пользователей, а также для людей интересующихся способами обеспечения информационной безопасности.

Международная статистика говорит о том, что если Вы ведёте бизнес в сети интернет и Ваш сайт по какой-либо причине неделю отсутствовал, например, сервер перестал работать, то в 90% случаев бизнес может разориться. При планировании бюджета на разработку сайта очень редко даже разговор заходит о его безопасности, часто траты денежных средств на безопасность сайта кажутся лишними. В большинстве случаев потребность в обеспечении безопасности сайта возникает, когда уже есть факт реализованной угрозы, которая нанесли реальный или потенциальный ущерб.

Для обеспечения безопасности сайта требуется:

1. Обеспечение бесперебойной работы веб-сайта. Постоянная доступность сайта в сети интернет важна не только для посетителей и владельцев сайта, но и для поисковых систем, особенно при продвижении сайта. Поисковые системы Яндекс и Google очень плохо относятся к сайтам, которые не доступны для посещения и отдают 4хх либо 5хх ошибки, они рекомендуют ответственно подходить к выбору хостинга (серверов) и следить за их работоспособностью. Если сайт продвигается в поисковых системах, то очень важно постоянно следить за состоянием сайта, потому что поисковые системы могут удалить из индекса недоступные страницы, следовательно, понизить или убрать видимость сайта по части запросов – сайт в этом случае потеряет позиции по ключевым запросам, которые приносят прибыль для компании.
2. Защита критически важных данных веб-сайта от раскрытия. Критически важные данные – данные сайта, которые включают конфигурационные файлы и другую информацию, раскрытие которой может быть критичным, создав вероятность возникновения угрозы для веб-сайта.
3. Защита персональных данных пользователя, зарегистрированного в административной панели веб-сайта. Персональные данные включают в себя любую информацию, которая может прямо или косвенно относиться к субъекту персональных данных. Федеральный закон «О персональных данных» обязует применять организационные и технических меры по обеспечению безопасности персональных данных при их обработке и хранении.
4. Ненарушение целостности веб-сайта. Целостность файлов системы управления, базы данных, шаблонов и страниц сайта является очень важным для работы сайта, а нарушение их целостности может привести к самым непредсказуемым последствиям.

Основные требования

При возникновении и/или реализации угрозы связанной с сайтом требуется:

1. Определить что произошло – определить угрозу.
2. Найти уязвимость (причину произошедшего).
3. Найти способ решения проблемы – способ устранения найденной уязвимости.
4. Внести изменений в СБ сайта – устранить все найденные уязвимости.

На этапе проектирования сайта нужно заранее позаботиться о его безопасности, смоделировав угрозы, которые могут возникнуть. Слабые места на сайте можно заранее определить ещё при построении проекта сайта.

Технологии для обеспечения безопасности сайта:

1. Криптографические алгоритмы
2. SSL/TLS
3. Аутентификация и авторизация пользователя
4. Ограничение доступа к важным объектам
5. Использование технологии средств защиты (базовые, которые уже встроены в CMS)

Какие данные критичные к раскрытию:

1. Доступы для авторизации к базе данных (логин и пароль).
2. Данные учетные для доступа к внешним ресурсам.
3. Ключи шифрования криптографические
4. И т.д.