Защита веб-сервера

Все большее число фирм среднего и крупного бизнеса включают в свои бизнес-процессы использование корпоративного веб сервера. Глобально можно выделить два варианта его использования. Первый - внутреннего применения. Снижение затрат на разработку и поддержку, обуславливает перенос внутрифирменного программного обеспечения (системы CRM, базы знаний, учетные и бухгалтерские программы и т.д.) на веб платформу. Второй - для предоставления информационных услуг внешним клиентам. Здесь могут быть самые разнообразные варианты, начиная от сервисов заказов и проверки наличия товаров на складе до системы технической поддержи продукции компании. Обычно, один и тот же веб сервер используется для этих двух вариантов одновременно.
По своему определению, веб приложения доступны множеству пользователей и являются целью для атак злоумышленниками. Сам по себе факт взлома сайта фирмы, нанесет вред ее репутации. Если же в результате действий злоумышленника будет скомпрометирована коммерческая информация предприятия или, еще хуже, конфиденциальные данные о клиенте, фирма понесет весьма ощутимый урон. Поэтому вопрос обеспечения безопасности данного сегмента сети является крайне важным.
Как правило, выделяются два типа злоумышленников – внутренний и внешний. Так как сама архитектора HTTP не выделяет, каких либо привилегированных пользователей, то внутренний и внешний злоумышленники будут иметь фактически одинаковые возможности.
При этом надо отметить несколько особенностей, влияющих на подходы к обеспечению безопасности.
Требования бизнеса постоянно меняются, поэтому, очевидно, веб приложения призванные удовлетворять данным требованиям, будут также постоянно подвергаться доработкам силами локальных разработчиков или сторонних организаций. Несомненно, концепция изначального создания безопасного кода, должна была бы присутствовать в самом процессе разработки программного обеспечения. Однако на деле, в условие сжатых сроков и ограниченных ресурсов, разработчики не уделяют надлежащие...

Важным аспектом общей надежности является безопасность сети, то есть способность системы защитить данные от несанкционированного доступа. В распределенной системе это сделать гораздо сложнее, чем в централизованной. В сетях сообщения передаются по линиям связи, часто проходящим через общедоступные помещения, в которых могут быть установлены средства прослушивания линий. Другим уязвимым местом могут стать оставленные без присмотра персональные компьютеры. Кроме того, всегда имеется потенциальная угроза взлома защиты сети от неавторизованных пользователей, если сеть имеет выходы в глобальные общедоступные сети.
Поэтому организация, использующая компьютерные сети должна уделить большое внимание политики информационной безопасности. Информационная безопасность не является залогом безопасности компании, информации и компьютерных систем. К сожалению, обеспечить надежную защиту "по взмаху волшебной палочки" нельзя. Но реализовать ее на должном уровне вполне реально, хотя концепции, лежащие в ее основе, не очень-то и просты.
Информационная безопасность - это система, позволяющая выявлять уязвимые места организации, опасности, угрожающие ей, и справляться с ними. К сожалению, известно много примеров, когда продукты, считающиеся "лекарством на все случаи жизни", на самом деле уводили в сторону от выработки надлежащих способов эффективной защиты. Свою лепту вносили их производители, заявляющие о том, что именно их продукт решает все проблемы безопасности.