Безопасность web-серверов

В современных условиях развития ИКТ необходимо обеспечение защиты данных различными путями.

Защищая сервер, администратор не всегда задумывается о том, как будет работать эта защита, а ведь именно от этого зависит безопасность информации. Интернет уже давно перестал быть просто сетью из html-страниц. Сегодня это еще и сложные приложения, скрипты, транспортные сети, телеконференции, электронная почта и многое другое, значит и система безопасности сервера также должна становиться более сложной и совершенной.

Основными причинами растущей уязвимости информационных систем сегодня являются: регулярная смена конфигурации сетей (особенно характерно для развивающихся организаций); большое число лиц, имеющих root или администраторский доступ к серверу; использование как пиратского, так и лицензионного программного обеспечения (ПО) и др. Из вышеизложенного очевидно, что защита сервера сводиться к управлению рисками.

Сегодня иерархию защиты делят на шесть уровней. На первом уровне главный инструмент защиты – firewall. Второй уровень подразумевает конфигурацию ОС, под управлением которой работает сервер. Третий уровень – защита сети, оснащение датчиками атаки сетевого оборудования и ПО провайдера. Четвертый уровень – установка ПО на уровне хостинга (на этом уровне, как правило, возникает множество проблем). Пятый уровень принято делить на два подуровня: А и В. На уровне А устанавливается специальное ПО, которое играет роль прослойки между ОС сервера и всеми приложениями, на уровне В устанавливается ориентированные на конкретные приложения firewall и/или прокси-серверы. Шестой уровень – своеобразная вершина безопасности. Этот уровень предполагает использование ОС и приложений, разработанных специально для данной компании.

Уровень защиты сервера необходимо выбирать исходя из потребностей и финансовых возможностей организации. Однако существуют и общие, наиболее простые правила, которые необходимо соблюдать для обеспечения безопасности. Так, например, размещение сервера в демилитаризованной зоне (DMZ); блокирование firewall входящих соединений со всеми портами, например, кроме http и https; предварительное планирование расширения сети и обозначения сегментов сети, способных к расширению; использование лицензионного ПО, желательно одного производителя; периодическое сканирование серверов для проверки отсутствия на нем уязвимых мест и др. И наиболее простой способ — это внимательное чтение лицензионных соглашений к программам, которые устанавливаются на компьютерах, подключенных к серверу.

Безопасность на должном уровне всегда требует больших затрат, тем не менее, с точки зрения эффективности, эти затраты себя в полной мере окупают.

Приблизительные оценки расчета затрат для крупных компаний указывают на то, что возврат средства окупаются в объеме 145% за три года. Но это субъективные и теоретические оценки. Многие компании, организующие безопасность, сегодня предлагают специальную услугу — проверку сервера на устойчивость к атакам хакеров, т. е. определение наличия рисков. А при помощи онлайн-формы можно оценить ROI от внедрения системы безопасности для вашего собственного предприятия.

ROI (Return Of Investment) — это количественная оценка прибыли на инвестированный капитал. Необходимо четко знать следующие данные: количество обращений в службу сервиса в месяц, число рабочих мест, требующих установки ПО, стоимость таких действий как вызов, оборудование защитой различных уровней, уменьшение числа обращений в службу сервиса на каждом из уровней и ряд других. В форме по умолчанию предложены определенные показатели, которые считаются образцовыми для предприятий.

Безопасность детерминирована такими категориями как: люди, процессы, программы. Это непрерывный поиск уязвимых мест системы, налаженная структура ликвидации угрозы и контроль над исполняемыми приложениями.

Литература:
1. А. Ефремов. Иерархия защиты веб-серверов / А. Ефремов – К: Белый лист, 2007. – 112 c.
2. А.М. Федотов. Проблемы безопасности информации в www информационных системах / А.М. Федотов – К: Академия, 2005. – 145 с.
3. В.В. Петров. Как выбрать www-сервер / В.В. Петров – К: МК-Пресс, 2004. – 96 с.
4. М.С. Казеннов. Безопасность www-серверов / М.С. Казеннов — К: — КНД, 2006. – 344 с.
5. М. Фленов. Web-сервер глазами хакера / М. Фленов — К: МК-Пресс, 2006. – 155 с.
6. С. В. Бормотов, С. В. Бондаренко. Системное администрирование на 100 % / С. В. Бормотов, С. В. Бондаренко. – К: Москва, 2007. – 162 с.
7. И. Д. Медведовский, П. В. Семьянов, В. В. Платонов. Атака через INTERNET / И. Д. Медведовский, П. В. Семьянов, В. В. Платонов – К: Метропресс, 2006. – 13 с.