ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВЕБ-САЙТА

ENSURING THE INFORMATION SECURITY OF THE WEBSITE

Ilya Kulebakin

Student, Department of Automation and Information Systems, Siberian State Industrial University,

Russia, Novokuznetsk

АННОТАЦИЯ

В данной статье рассмотрены основные методы, которые помогут защитить веб-сайт от потенциальных угроз и обезопасить информацию в онлайн-среде. Актуальность данной темы обусловлена развитием информационных технологий, ростом числа интернет-пользователей и киберпреступности.

ABSTRACT

This article discusses the main methods that will help protect a website from potential threats and secure information in an online environment. The relevance of this topic is due to the development of information technology, the growing number of Internet users and cybercrime.

Ключевые слова: информационная защита, информационная безопасность, веб-сайт, средства защиты, информационные технологии, онлайн-среда.

Keywords: information protection, information security, website, security tools, information technology, online environment.

В современном мире, веб-сайты играют значительную роль в обществе. Лучший вариант рассказать о своей компании или продукте — иметь свой веб-сайт. Веб-сайт является визитной карточкой компании, платформой для коммуникации и информационным источником для пользователей по всему миру. Однако, с ростом числа интернет-пользователей и развитием технологий, опасности в онлайн-среде также увеличиваются. Киберпреступники все чаще атакуют веб-сайты с целью получить конфиденциальную информацию, нарушить работу или даже украсть данные о пользователях. В такой сложной ситуации обеспечение информационной безопасности веб-сайта становится важнейшей задачей [1].

Перед тем как говорить о методах защиты информационной безопасности напомним, что из себя представляет обеспечение информационной безопасности. Обеспечение информационной безопасности - это комплекс мер, процессов и инструментов, которые используются для защиты информации от несанкционированного доступа, утечки, изменения и уничтожения [2].

Возвращаясь к вопросу защиты информационной безопасности веб-сайта, рассмотрим небольшой, но важный список конкретных действий, который следует производить каждому со своим веб-ресурсом, чтобы минимизировать риск нарушения работы веб-ресурса. Начнём с того, что следует регулярно обновлять все свои программные решения. CMS (система управления контентом), плагины, расширения или иное ПО необходимо поддерживать в актуальной версии. Помните злоумышленники постоянно ищут различные бреши в защите и активно их используют. Установка обновлений позволяет закрыть известные уязвимости и обеспечить защиту от потенциальных атак [3].

Рисунок 1. Пример уведомления в CMS о доступности обновления

Установите на сайте SSL-сертификат (Secure Sockets Layer), который необходим для обеспечения безопасного соединения между сервером и браузером пользователя. SSL организует надежную защиту данных от подмены и перехвата с третьей стороны, а также позволит защитить владельца сайта и пользователей, посещающий ресурс. SSL необходим для зашифровки данных и идентификации сайта при установлении защищённого соединения по протоколу HTTPS.

Рисунок 2. SSL-сертификат на популярном сайте маркетплейса

Получить и установить SSL-сертификат можно как на страницах управления доменного имени или управления хостингом, так и на сайтах центров сертификации. SSL-сертификаты бывают платные и бесплатные, автоматически продляемые (например, хостингом) или продляемые вручную и самостоятельно. Сроки использования выданных SSL-сертификатов могут составлять от 90 до неограниченного количества дней.

Используйте двухфакторную аутентификацию учетных записей для усиления безопасности. Работать это может следующим образом: после ввода пароля на вашем сайте вам высылается запрос на одноразовый пароль, который вы получаете на контактный номер телефона или электронную почту. Даже если основной пароль был взломан злоумышленником, то ему не удастся войти в аккаунт без доступа к вашему телефону или электронной почте. Подключение двухфакторной аутентификации для входа в административную панель CMS можно организовать с помощью специальных плагинов. Например, на WordPress это Google Authenticator**(По требованию Роскомнадзора информируем, что иностранное лицо, владеющее информационными ресурсами Google является нарушителем законодательства Российской Федерации – прим. ред.) и Clef Two-Factor Authentication [4].

Используйте средства от DDoS-атак. Для защиты от DDoS (Distributed Denial of Service) вам стоит обратиться либо к своему хостеру, либо использовать специальные сервисы, которые пропускают все запросы к вашему сайту через себя и фильтруют мусорный трафик. Однако, есть два основных минуса. Первый, минус скажется на вашей скорости работы сайта, потому что запрос идет не напрямую от пользователя к сайту, а дополнительно проходит через сервера компании, которая фильтрует трафик. Второй минус заключается в том, чтобы фильтровать защищенный SSL сертификатом трафик, нужно его сначала расшифровать. Для этого вам придется передать защитнику ключи шифрования трафика. Таким образом, он сможет увидеть все данные, которые ваши пользователи просматривают или отправляют на ваш сайт. Защита от DDoS актуальна в большей степени для крупных компаний, поскольку масштабный DDoS требует вложения значительных ресурсов со стороны атакующего.

Делайте резервное копирование вашего сайта. Даже при идеальной защите сайта нельзя быть уверенным в том, что он не будет взломан. Чтобы быть готовым к этому, следует создавать резервные копии сайта (бекап), благодаря которым сайт можно будет восстановить. Как часто делать бекапы решать только вам, кто-то делает их ежемесячно, кто-то еженедельно, а кто-то ежедневно, но делать их необходимо обязательно! Копируйте бекап на удаленное хранилище, так в случае, если сгорит сервер или произойдёт что-нибудь иное, ваши бекапы будут в сохранности. Периодически проверяйте, что ваши бекапы делаются и они пригодны для использования (может случиться так, что бекапы создаются, но они повреждены и не могут быть использованы; либо бекапы создаются сильно усеченные, из-за чего полностью восстановить информацию не получится) [5].

Подводя итог информационной безопасности сайта помните, что вы не можете просто создать веб-сайт и забыть о нем. Хотя создание веб-сайтов стало доступнее, чем когда-либо, это не меняет того факта, что необходимо поддерживать обеспечение безопасности веб-сайта. Всегда будьте настороже, когда речь идет о защите данных вашей компании, клиентов или продукта. Независимо от того, что делает ваш сайт, данные не должны попадать в чужие руки.

Список литературы:

1. Крис Митчелл. Артем Конев. Обеспечение безопасности веб-сайтов [Электронный ресурус] // Australia: SophosLabs. – URL: https://yandex.ru/support/webmaster/protecting-sites/ (дата обращения: 18.10.2023).
2. Веб-безопасность: Изучение веб-разработки [Электронный ресурс]. – Режим доступа: https://developer.mozilla.org/ru/docs/Learn/Server-side/First_steps/Website_security (дата обращения: 20.10.2023)
3. SecurityLab: 12 основных советов по укреплению защиты вашего веб-сайта [Электронный ресурс]. – Режим доступа: https://www.securitylab.ru/analytics/534890.php (дата обращения: 21.10.2023)
4. Основы безопасности веб-сайта: Базовые рекомендации по безопасности веб-сайта [Электронный ресурс]. – Режим доступа: https://business-online.su/blog/bazovye-rekomendacii-po-bezopasnosti-sayta/ (дата обращения: 22.10.2023)
5. WEBANTIFRAUD: Требования к надежности и безопасности сайта [Электронный ресурс]. – Режим доступа: https://www.antifraud2.ru/trebovaniya-k-nadezhnosti-i-bezopasnosti-sajta (дата обращения: 17.10.08)