Роман Овчинников - Корпоративный веб-сайт на 100%. Требуйте от сайта большего!

♦ Правильные методы идентификации и авторизации (система логинов и паролей). Пароли обязательно должны быть «стойкими», то есть состоять из 6–8 символов – букв в разном регистре с использованием цифр и пересылаться только в зашифрованном виде, а количество попыток авторизации на сайте должно быть ограничено

♦ Использование шифрования и системы цифровых подписей при передаче конфиденциальной информации. В качестве метода шифрования обычно используется SSL и особый протокол передачи данных – не HTTP, а HTTPS

♦ Защита от всех известных на данный момент угроз . Прежде всего, это угрозы клиенту сайта – формирование обманных HTTP-запросов: подмена содержимого сайта, межсайтовое выполнение сценариев, расщепление HTTP-запроса

Какая угроза к нам придет – та от рук сисадмина и «погибнет»!

Требования к программно-аппаратной платформе

♦ Использование последних стабильных версий серверного программного обеспечения

♦ Размещение на сервере только программного обеспечения, необходимого для работы сайта (минимальная правильная конфигурация сервера)

♦ Безопасная настройка всех сервисов , защищающая от распространенных угроз

♦ Установка необходимых и достаточных прав на файлы и директории на веб-сервере

♦ Защита папок от просмотра содержимого

Требования к администрированию сайта

♦ Наличие системы технического аудита (журналирование событий на всех уровнях системы: операционной системы сервера, веб-сервера, системы управления сайтом и базы данных), а также информационного аудита – для отслеживания событий, связанных с безопасностью информации

♦ Наличие системы создания резервных копии системы для быстрого развертывания системы на другом сервере в случае, если в результате отказа веб-системы от какой-либо угрозы она не может быть восстановлена быстро с используемого сервера

Человеческий фактор

Несмотря на огромное количество видов и типов технических угроз, основную опасность для сайта представляют люди, управляющие им. До 98 % проблем возникает из-за их некомпетентности или банальной безответственности команды поддержки. Это самая сложноустранимая угроза, справиться с которой не всегда позволяют даже сертификация персонала и введение регламентов поддержки.

87. Тестовая версия

Тестовая версия сайта – это копия внешнего («боевого») сайта, создаваемая с целью опробования различных нововведений (например, изменения дизайна страниц, введения новых функциональностей и т. д.). Часто она размещается в локальной сети компании.

Важность создания тестовой версии часто недооценивается. В результате целый ряд новых идей по модернизации сайта может отклоняться в силу страха перед внесением изменений непосредственно на внешний сайт.

Только у тестовой версии есть право на ошибку!

Тестовая версия снимает эти опасения, а также позволяет более гибко согласовывать все нововведения. Например, новая версия баннера может быть размещена вначале на тестовой версии, согласована с отделом маркетинга и только после этого вынесена на внешний сайт.

Из разговора программистов: «Ну, ты перенеси изменения с девелопмента на продакшн и протестируй в реале»

Таким образом, вы можете использовать тестовую версию сайта для решения следующих задач:

♦ Тестирование новых идей

♦ Обучение редакторов, публикаторов, менеджеров, дизайнеров и программистов

♦ Внедрение новых функциональностей и сервисов

♦ Видоизменение дизайна сайта и/или отдельных его страниц

88. Резервные копии

Резервное копирование (Backup)  – необходимая и самая надежная мера защиты сайта, уменьшающая угрозу его потери в результате сбоев оборудования, умышленных или неумышленных действий пользователей, форс-мажорных обстоятельств и т. д.

Обычно резервное копирование проводится для следующих видов информации:

♦ Статическая информация в файловой системе (неизменяющиеся файлы, «постоянный» контент, программные файлы)

♦ Конфигурация системного программного обеспечения (файлы настроек операционной системы, веб-сервера и т. д.)

♦ Динамическая информация в базах данных (информация, находящаяся под управлением СУБД)

♦ Служебная информация (логи)

Наибольшую ценность представляет динамическая информация, которая должна копироваться регулярно, как правило, раз в день. Статическая информация обновляется редко и обычно резервируется по факту изменения. Логи наименее значимы, их копирование не является обязательным.

Временная информация в файловой системе (кэш, файлы с результатами промежуточных вычислений и т. п.) не требуют резервирования.

Для осуществления копирования необходимо выбирать периоды времени, в которые нагрузка на сайт минимальна. Обычно это ночное время, когда создание резервной копии может происходить в автоматическом режиме.

Виды резервирования

Существует несколько стандартных видов резервирования, которые могут быть применены на вашем корпоративном сайте:

♦ Метод отображающего дублирования диска

♦ Дифференциальное резервирование

♦ Полное резервирование

♦ Пофайловый метод

♦ Добавочное резервирование

О том, какой из методов резервирования используется на вашем сайте, важно поинтересоваться у хостинг-провайдера.

Проблема непротиворечивости резервной копии

Проблема непротиворечивости резервных копий возникает, если процесс резервного копирования идет параллельно с функционированием сайта и изменением на нем копируемой информации.

В результате информация в резервной копии и на сайте может быть логически не согласована . Решают эту проблему одним из следующих способов:

♦ Запрещение на время резервного копирования действий, вызывающих изменение динамической информации

♦ Использование специальных утилит , обеспечивающих непротиворечивость информации

Управление резервными копиями

Для защиты резервных копий рекомендуются следующие действия:

♦ Резервные копии должны быть максимально защищены и физически выведены из-под воздействия факторов основной системы (то есть, как минимум, храниться на другом жестком диске и, желательно, в другом городе)