МЕТОД ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ВЕБ-САЙТОВ

METHOD FOR PROVIDING SAFETY WEBSITES

Zhuldyz Sydykova

master of Saint Petersburg National Research University of Information Technologies, Mechanics and Optics,

Russia, Saint Petersburg

Shynar Mussiraliyeva

candidate of Engineering Sciences, Associate Professor at the Department of Information Systems of Al-Farabi Kazakh National University,

Kazakhstan, Almaty

АННОТАЦИЯ

В статье предлагается общий обзор обеспечения безопасности сайтов. Определены актуальные проблемы безопасности современных веб-сайтов. Особое внимание уделяется рассмотрению системы защиты сайтов. Проведен анализ распространенных видов интенсивных запросов.

ABSTRACT

The general review for providing safety websites is offered in the article. Identified current security problems of modern websites. The special attention is paid to the protection of sites. The analysis of widespread types of intensive queries is conducted.

Ключевые слова: безопасность веб-сайтов, методы защиты, интенсивные запросы, система защиты, защита сайтов.

Keywords: website security, protection methods, intensive queries, system of protection, the protection of sites.

Развитие технологий приводит к тому, что с каждым днем растет количество веб-сайтов, разных веб-приложений и т. д. Таким образом, потребность в веб-сайтах растет и они являются значимыми ресурсами. Поэтому для многих сайтов необходимо обеспечить безопасность и сохранность всех ресурсов [3].

Чтобы обеспечить безопасность веб-сайта, прежде всего нужно обеспечить безопасность сервера, на котором размещается сам сайт. Основа любого сервера – это операционная система. Обеспечить ее безопасность сравнительно просто:

• Не устанавливайте ненужные компоненты. Любой компонент несет с собой отдельную угрозу; чем их больше, тем выше суммарный риск.
• Своевременно устанавливайте обновления системы безопасности для операционной системы и приложений.
• Используйте антивирус, включите автоматическую установку обновлений и регулярно проверяйте правильность их установки.

Также можно отметить основные причины заражения сайта:

• рабочий компьютер;
• прямой подбор логина и пароля к файловой системе сервера или CMS;
• уязвимость в шаблонах и плагинах популярных платформ – WordPress, Joomla и др.
• человеческий фактор (халатность системного администратора или владельца хостинга, неправильное хранение паролей или передача их третьим лицам);
• пользователи сайта (ненамеренно или умышленно посетители могут оставить на сайте вредоносный контент, например, загрузить файл или прописать ссылки).

Проанализировав основные причины заражения сайтов можно дать базовые рекомендации, которые помогут предотвратить вероятность заражения сайтов:

• надежно храните логины и пароли;
• делайте резервное копирование файлов;
• используйте безопасное соединение FTP;
• используйте надежное программное обеспечение;
• обновляйте CMS и серверное ПО;
• регулярно проводите аудирование безопасности сайта.

Проблемы с безопасностью сайта приводит к снижению трафика. В Интернете существует проблема медленной работы сайтов, связанная с частыми обращениями к ним. Эта проблема может коснуться как крупных порталов с высокой посещаемостью, так и небольших сайтов, так как даже при малой посещаемости сайт может подвергаться высокой нагрузке [4]. При этом работа сайта может сильно замедлиться, или он вообще может оказаться недоступным. Для того чтобы выбрать и разработать систему защиты, которая будет наиболее эффективно снижать нагрузку, нужно проанализировать распространенные виды интенсивных запросов.

Интенсивные запросы – это случайные (частое обновление страницы) или злонамеренные многочисленные запросы (флуд), создающиеся со стороны пользователей в короткий промeжуток времeни на различные страницы сайта. Теперь рассмотрим наиболее распространенные виды интенсивных запросов и методы защиты сайта от них:

1. Случайные интенсивные запросы.

Метод защиты:

Установить временную задержку между запросами, исходящими от одного пользователя.

2. Подбор пользовательских паролей.

Методы защиты:

• Установить временную задержку между запросами, исходящими от одного пользователя;
• Установить временную блокировку учетной записи пользователя в случае обнаружения нескольких подряд неудачных попыток авторизации;
• Принудить пользователей менять свои пароли время от времени.

3. Флуд со стороны пользователей.

Методы защиты:

• Установить временную задержку между отправкой сообщений, исходящих от одного и того же пoльзователя;
• Запретить отправку абсолютно одинаковых сoобщений от одного пользователя;
• Предоставить возмoжности отправки сообщений лишь зарегистрированным пользователям.

4. Атака на отказ в обслуживании.

Методы защиты:

• Установить временную задержку между запросами, исходящими от одного пользователя;
• IP-адреса пользователей, постоянно отправляющих запросы к сайту необходимо блокировать.

5. Индексация сайта поисковыми роботами.

Методы защиты:

• Установить в файле robots.txt временную задержку загрузки страницы сайта;
• Внести в файл sitemap.xml информацию о частоте обновления страницы, о дате ее последней модификации.

Анализируя вышeсказанное, можно сказать, что наиболее эффeктивным методом противодействия всем видам интенсивных запросов является установка временной задержки между различными запросами, исходящими от одного пользователя. Это позволит существенно замедлить создание интенсивных запросов, к страницам сайта, а также, данный метод не будет создавать существенных неудобств для многочисленных простых пользователей. При идентификации пользователя основной упор делается на IP-адрес, потому что файлы cookie могут быть легко удалены. Следует учесть и то, что на часть IP-адресов не должны накладываться ограничения (например, на IP-адрес администратора сайта). A IP-адреса злонамеренных пользователей, должны быть заблокированы и внесены в «черный список».

Использовать сложные и дорогие системы для защиты сайта от интенсивных запросов не имеет смысла ввиду их дороговизны, сложности настройки и высокой ресурсоемкости. Как показало исследование, данный метод защиты сайта следует реализовать путем написания php-скрипта.

В работе была разработана система на основе php-сценария по защите сайта от интенсивных запросов. Использование такого скрипта обеспечит защищенность всех страниц сайта от различных видов интенсивных запросов, что снижает нагрузку на оборудование веб-сервера. Преимущества написания подобного скрипта в том, что такой способ решения проблем будет недорогим, простым в использовании и результативным.

Список литературы:

1. Алешин И.В. Информационно-безопасные системы. Анализ проблемы. – СПб.: Изд-во СПбГТУ, 1996.
2. Арсентьев М.В. К вопросу о понятии «информационная безопасность». // Информационное общество. – 1997. – № 4-6.
3. Владимирова Т.В. Информационная безопасность: к методологическим основаниям анализа вопроса. // Информационное общество. – 2012. – № 5.
4. Расторгуев С.П. Основы информационной безопасности / Учеб. пособие для студ. высших учебных заведений. – М.: Издательский центр «Академия», 2009. 192 с.