Рынок программного обеспечения предлагает множество готовых и универсальных решений для создания продвинутых по функциональности Web-порталов. Построить на их основе сайт в стиле WEB 2.0 - дело нескольких кликов мышки. Такой функционал и универсальность не может не радовать.
К сожалению, далеко не все производители уделяют должное внимание подготовке демонстрационных материалов, рассказывающих, насколько безопасен их продукт и какие используются технологии для достижения нужного уровня защиты. Компания "1С-Битрикс" всегда открыта и старается предоставить клиентам максимум информации о своем продукте, поэтому такая важная тема, как "безопасность", не оставлена без внимания.
Последствия взлома
Главным требованием при выборе Web-приложения (далее все будет касательно CMS) должна быть именно безопасность, а не только функциональные возможности. Почему же так важно изначально подумать о выборе защищенного решения для Web?
Первое, что нужно четко уяснить: виртуальное представительство вашей компании и сама компания - это одно неделимое звено. Соответственно взлом сайта - это удар по всей вашей компании, а любой удар подразумевает под собой всевозможные убытки, степень которых во многом зависит от деятельности организации. Если ваш сайт служит в качестве "визитки", то убытки скорей обернутся потерей клиентов.
Совсем иные убытки будут у компаний, для которых сайт -это не просто виртуальная визитная карточка, а средство получения прибыли (например, Интернет-магазин). Взлом таких проектов обязательно влечет за собой финансовые потери, а также потерю драгоценных клиентов (причем как новых, так и старых). Для любого покупателя в Интернете важна безопасность. Согласитесь, никому ведь не захочется, чтобы сведения о совершенных покупках или (что гораздо хуже) данные о кредитной карте стали доступны кому-нибудь еще!
Почему многие Web-приложения небезопасны
Перед тем как перейти к рассмотрению системы безопасности "1С-Битрикс", поговорим о защищенности Web-приложений в целом и раскроем предпосылки и ситуации, заставляющие разработчиков создавать небезопасные приложения.
Условно можно выделить пять ключевых проблем:
Сжатые сроки.
Некомпетентность программиста.
Отсутствие beta-тестеров.
Бесконечное изобретение "велосипедов".
Неосведомленность разработчиков.
Учитывая эти факторы, следует сказать, что система управления контентом является более безопасной и эффективной по сравнению с самописной системой.
Знакомьтесь, "1С-Битрикс"
Теперь рассмотрим преимущества программного продукта от отечественного производителя - компании "1С-Битрикс".
Шифрование данных. Обеспечить безопасность передачи конфиденциальных данных от клиента на сервер невозможно без использования шифрования. "1С-Битрикс" поддерживает самый распространенный промышленный стандарт шифрования SSL в рамках протокола HTTPS. Кроме того, для построения защиты Web-pecypca "1С-Битрикс" поддерживает такие алгоритмы шифрования, как ГОСТ Р 34.10-94 и ГОСТ 34.11-94 (используются для создания и проверки цифровой подписи, позволяющей аутентифицировать клиента по TLS-соединению), ГОСТ 28147-89 (обеспечение конфиденциальности и целостность передачи информации по TLS-соединению).
Детальные логи. Система позволяет контролировать абсолютно все действия пользователей. Благодаря этому можно легко определить, кто из пользователей наслаждался изучением вашего ресурса, а кто пытался получить несанкционированный доступ к его содержимому.
Безопасный API для разработчиков. У каждого проекта свои особенности, которые зачастую невозможно реализовать в рамках типового решения. Все CMS позволяют расширять свой функционал за счет новых модулей, которые можно создавать самостоятельно. Несомненно, это правильный подход, но не во всех CMS этот подход качественно реализован. В "1С-Битрикс" эта технология достаточно хорошо отлажена и продумана до мелочей. Разработчику предоставляется специальный набор безопасных функций, классов (API), с помощью которых он может реализовать необходимую логику. Такой подход позволяет упростить разработку и исключить множество ошибок в безопасности.
SiteUpdate. Реализованная технология автоматического обновления позволяет оперативно исправлять всевозможные ошибки, обнаруженные в коде продукта. Допустим, в системе была обнаружена уязвимость и для ее исправления необходимо срочно "пропатчить" некоторые сценарии. В большинстве CMS такого рода задачи обычно приходится решать вручную, в "1С-Битрикс" решение этой задачи настолько просто, что установить обновление сможет любой, даже слабо подготовленный пользователь.
Двухуровневая система разграничения прав. Построенная система разграничения прав доступа пользователей позволяет более качественно установить запреты и дозволения. Первый уровень определяет права доступа к файлам и каталогам, а второй доступ - к модулям и логическим операциям в модулях.
Фильтрация всех данных. "Умный" механизм фильтрации полученных и отправленных данных исключает возможность проведения таких атак, как SQL Injection, XPath Injection, Cross Site Scriptig, RFI и т.п.
Контроль сессий. Тщательная фильтрация и эксклюзивная проверка абсолютно всех данных позволяют забыть о том, что сессия может быть кем-то перехвачена.
Безопасность "1С-Битрикс" -безопасность, подтвержденная специалистами. Компания "1С-Битрикс" - одна из немногих, которая может похвастаться наличием сертификата от известной в области безопасности компании Positive Technologies.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2008