Защита информации

В последнее время все больше внимания уделяется вопросам защиты передаваемой по сети информации. Требования к безопасности ужесточаются по мере роста оборотов коммерческих Интернет приложений. В процессе создания сайтов и Extranet/Intranet приложений мы успешно обеспечиваем различные уровни защиты от несанкционированного доступа. Наиболее полно наши возможности в этом направлении были продемонстрированы при проектировании системы AIM2.

Для обеспечения защищенной, авторизованной работы в подсистеме администрирования (BackOffice) системы AIM2 применяются следующие механизмы защиты:

  • Общение с сервером по протоколу HTTP/SSL (HTTPS) обеспечивает защищенный от прослушивания, утечки и подмены информации канал связи между системой AIM2 и клиентским браузером даже в случае использования публичных сетей передачи данных, например, Internet.
  • Доступ к системе по паре (login/password) обеспечивает авторизацию пользователя без привлечения дополнительных технических средств.
  • Доступ к системе по персональному сертификату является более совершенной заменой доступа по паре (login/password). При этом используется тот же сертификат, что и для авторизации в других системах, а сам сертификат может быть записан, например, на смарт-карту, на токен (USB брелок).
  • Дополнительное ограничение на доступ клиента в систему с определенного IP адреса добавляет еще одну степень защиты.
  • Ролевое распределение доступа к информации обеспечивает ответственность пользователя за производимые действия и защиту от несанкционированного доступа внутри административного интерфейса AIM в случае многопользовательского сопровождения сайта. Пользователям могут быть назначены различные роли, которым соответствуют различные конфигурации разрешенных к выполнению функций, а также доступ к различным компонентам сайта в рамках заданной роли. Роли распределяет администратор сайта.
  • Протоколирование всех действий в подсистеме администрирования позволяет выявить деструктивные действия пользователей, возникающих в процессе сопровождения сайта.

По требованию заказчика, в случае необходимости, могут быть созданы дополнительные уровни доступа к FrontOffice сайта путем ограничения доступа визитеров к зонам сайта, требующим авторизации. К одной части сайта доступ через Internet может быть открытым, а к другим частям через Extranet/Intranet – авторизованный. При этом могут быть реализованы следующие возможности:

  • авторизация может происходить как по паре (login/password) так и по сертификату;
  • имеется возможность наложить дополнительное ограничение на IP адрес клиента;
  • доступ к защищенным зонам сайта можно производить по протоколу SSL.

Критерием безопасности является то, что доступ предоставляется только к тем функциям и ресурсам и в том объеме, в каком это определил администратор сайта.