Сайты госорганов: поддержка и безопасность

Сайт должен быть:

• выполнен на современном технологическом уровне;
• управляться самими сотрудниками без привлечения технических специалистов;
• справляться с высокими нагрузками;
• работать стабильно при самых высоких из этих нагрузок.

Дополнительно к этому сайт должен:

• быть безопасным;
• использовать средства для усиления системы безопасности интернет-проекта;
• работать под управлением системы, всегда пребывающей в актуальном состоянии.

И эти перечисленные в последнем пункте составляющие обязательно нужно учесть при создании сайта госоргана. Поэтому нужно знать, какими именно программно-техническими средствами и мерами они достигаются. Какими?

Проактивная защита – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложения на угрозы.

В государственных организациях уделяют особое внимание вопросам информационной безопасности, что понятно и никого не удивляет. Действительно, возьмем сайт какой-то средней компании. Если его взломают, то "починят" через день-другой и пострадает от этого только данная компания – ее имидж и репутация. Вероятно, вы видели, как выглядят сайты после взлома (дефейса) – глупо, нелепо, цинично, похабно. И такое "лицо" совершенно "не личит" госоргану – здесь ситуация взлома является недопустимой!

Сайт после дефейса

Вот почему при выборе CMS (систем для управления сайтами) для сайтов госорганизаций нужно серьезно относиться к вопросам безопасности этих программных продуктов. И давайте посмотрим, как относятся к этим вопросам разработчики в "1С-Битрикс".

Каждое обновление продуктов проверяется на уязвимости штатным отделом информационной безопасности "1С-Битрикс". Дополнительно к этому проводятся регулярные аудиты кода сторонними компаниями. В частности, продукты "1С-Битрикс" 8-й версии были заново проверены и сертифицированы специалистами Positive Technologies - одной из самых известных в России компаний в области веб-безопасности.

Проактивная защита

В этой же, восьмой, версии продуктов появился новый модуль "Проактивная защита", и это стало следующим важным шагом на пути многолетней работы компании по обеспечению безопасности интернет-проектов. Почему? Во-первых, потому, что и сам модуль, и входящий в него "Проактивный фильтр" впервые были включены в сам продукт! В этом важность и ценность события. Во-вторых, наличие модуля позволило принципиально по-новому подойти к концепции веб-безопасности - изменилось само понятие реакции веб-приложения на попытки вторжения. В-третьих, включение проактивной защиты позволило не только существенно усилить защищенность сайтов, но и снизить зависимость клиентов от наиболее частых ошибок веб-разработчиков. Последний момент должен вызвать у вас особый интерес – только вдумайтесь в смысл!

Модуль "Проактивная защита" включает в себя целый комплекс по защите веб-приложений:

• панель безопасности;
• проактивный фильтр (Web Application FireWall);
• технология одноразовых паролей (OTP);
• защита авторизованных сессий;
• контроль активности;
• шифрование канала передачи через SSL;
• журнал вторжений;
• защиту административных разделов по IP;
• стоп-листы;
• контроль целостности;
• рекомендации по настройке безопасности;
• защиту редиректов от фишинга;
• монитор обновлений4
• внешний контроль информационной среды.

Технология одноразовых паролей

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта.

Аппаратные устройства - ключи Aladdin eToken PASS

Модуль "Проактивная защита", о котором мы уже говорили, ценен и тем, что позволяет включить поддержку одноразовых паролей. Включив эту возможность, вы сможете использовать эти пароли выборочно - для любых пользователей на сайте. И особенно рекомендуется задействовать систему одноразовых паролей для администраторов сайтов. Причина? Эта мера сильно повышает уровень безопасности пользовательской группы "Администраторы".

Что вам дает включение одноразовых паролей (One Time Password - OTP)? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряют всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.

Форма авторизации

Для включения системы необходимо использовать аппаратное устройство или соответствующее программное обеспечение, реализующее OTP. Корректно работают с системой "1С-Битрикс: Управление сайтом 8.0" электронные ключи Aladdin eToken PASS. И это подтверждается соответствующим сертификатом компании Aladdin, выданным на основании серии испытаний.

Поддержка поставщика

Технология SiteUpdate позволяет без дополнительных расходов скачивать обновления продукта и новые модули.

Система обновлений SiteUpdate

Здесь нужно подчеркнуть два важных момента. Во-первых, "1С-Битрикс" оказывает всегда и всем техническую поддержку - независимо от того, кто разрабатывал сайт. Во-вторых, обновления не затрагивают публичную часть сайта, полностью исключая потерю данных.

Таким образом, владелец продукта может поддерживать постоянную актуальность системы и оперативно получать новые модули.

Интернет-проекты на "1С-Битрикс"

Проекты с безопасностью работают с высокими нагрузками.

Продукт "1С-Битрикс: Управление сайтом"

У "1С-Битрикс" и ее партнеров очень большой опыт работы с госорганами. Эти организации выбирают продукты компании, и из сказанного выше можно понять, почему выбирают. Потому что, говоря в целом, они получают качественный результат. И как одна из составляющих такого результата – проекты с безопасностью работают с высокими нагрузками.

На "1С-Битрикс: Управление сайтом" уже функционируют и готовятся к выпуску более 28 000 различных веб-проектов в России и около 2000 в странах СНГ. И среди них - сайты государственных и правительственных структур, составляющие вместе внушительный список. Можно перечислить несколько "громких" имен из этого списка:

Федеральная миграционная служба РФ

• федеральная миграционная служба РФ;
• портал исполнительных органов государственной власти Краснодарского края;
• законодательное собрание Кировской области;
• КРО партии "Единая Россия";
• прокуратура Кировской области;
• министерство здравоохранения Омской области;
• министерство сельского хозяйства Ставропольского края;
• министерство здравоохранения Калининградской области;
• министерство торговли и предпринимательства РМ;
• администрации г. Хабаровска;
• министерство экономики и бюджетного планирования Республики Казахстан.

Итак, мы с вами выяснили, что государственные структуры должны создавать свои сайты с использованием серьезных программных продуктов - таких, как у компании "1С-Битрикс". Сайты госорганов должны работать под управлением "правильной" CMS, чтобы полностью соответствовать долгосрочной программе «Информационное общество».