02 мая 2018 | 14:50

Как защитить сайт от хакеров, рассказали в МОАП РК

Иллюстративное фото: pexels.com

Министерство оборонной и аэрокосмической промышленности РК (МОАП РК) после распространения информации об уязвимостях казахстанских сайтов обнародовало рекомендации по борьбе с угрозами информационной безопасности, передает Tengrinews.kz.

ПОДЕЛИТЬСЯ
Иконка комментария блок соц сети

Министерство оборонной и аэрокосмической промышленности РК (МОАП РК) после распространения информации об уязвимостях казахстанских сайтов обнародовало рекомендации по борьбе с угрозами информационной безопасности, передает Tengrinews.kz.

Основа обеспечения информационной безопасности интернет-ресурса - это обеспечение максимального уровня безопасности сервера, на котором он размещается. Веб-сервер формируется комплексным составом программного обеспечения, каждое из которых подвержено разнообразным способам атаки.

Реклама
Реклама

Отмечается, что атаки в отношении веб-серверов можно разделить на две категории: локальные и глобальные. Локальные атаки обычно направлены на кражу информации или перехват управления на отдельном веб-сервере. Глобальные атаки обычно направлены на несколько веб-сайтов и ставят своей целью заражение всех их посетителей. Даже в случае, когда вредоносная программа не может быть запущена на самом сервере, она все же может передаваться под видом обычного контента посетителям веб-сайтов, поскольку злоумышленники зачастую загружают такие программы с помощью PHP или ASP, что исключает необходимость заражения операционной системы веб-сервера.

Для обеспечения безопасности веб-сервера, прежде всего, предлагается:

- систематически устанавливать последние обновления системы безопасности для операционной системы;

- регулярно обновлять все программное обеспечение, работающее на веб-сервере;

- использовать сертификат SSL для работы с ресурсом только через HTTPS;

- удалить программное обеспечение, не относящееся к необходимым компонентам функционирования интернет-ресурса;

- отключить неиспользуемые службы, устанавливаемые по умолчанию (например, FTP или SMTP) и все неиспользуемые серверные расширения;

- отключить функцию просмотра каталогов, если она не является необходимой, поскольку она позволяет посетителям видеть, какие файлы используются системой;

- отключить доступ к ресурсам по умолчанию, включив только необходимую функциональность ресурсов.

- вести журнал всех обращений и проводить его периодический анализ, желательно с настройкой автоматических уведомлений о выявлении подозрительной активности;

- установить межсетевой экран.

Для приложений, функционирующих на сервере в качестве компонентов интернет-ресурса, предлагается соблюдать следующие требования:

- не запускать приложения и сервисы (в том числе системные) с правами администратора;

- задать разрешения доступа (списки управления доступом) ко всем ресурсам, необходимым приложению;

- использовать настройки с минимальным уровнем разрешений (например, сделать файлы доступными только для чтения, если это приемлемо для приложения)

- хранить файлы веб-приложения в папке под корнем приложения;

- запретить пользователям задавать пути доступа к файлам приложения, что позволит избежать получения пользователями доступа к корню сервера.

Для среды исполнения скриптовой части интернет-ресурса (PHP или ASP) следует придерживаться следующих рекомендаций:

- установить переменную register_globals в значение off;

- установить переменную safe_mode в значение on;

- в переменной open_basedir следует указать базовый каталог;

- установить переменную display_errors в значение off;

- установить переменную log_errors в значение on;

- установить переменную allow_url_fopen в значение off.

Применительно к остальным компонентам интернет-ресурса (CMS, сервисы, приложения) следует руководствоваться общими рекомендациями к обеспечению защиты на уровне программного обеспечения.

Вместе с тем МОАП РК напоминает, что согласно законодательству владельцы, собственники объектов информатизации, а также пользователи обязаны принимать меры по защите объектов информатизации. Кроме того, о произошедших инцидентах информационной безопасности необходимо информировать РГП "Государственная техническая служба".

Вопрос от редакции
Что вы об этом думаете?
news135
Отправить
Комментарии проходят модерацию редакцией
Показать комментарии

Читайте также
Реклама
Реклама
Join Telegram Последние новости
Лого TengriNews мобильная Лого TengriSport мобильная Лого TengriLife мобильная