Безопасность в Интернете
<<  Медиабезопасность в школе и дома Безопасность пользователей Интернет как часть корпоративной социальной ответственности оператора связи: практические шаги  >>
Безопасность интернет-проектов: основные проблемы разработки и пути
Безопасность интернет-проектов: основные проблемы разработки и пути
Сайты сегодня – набор запчастей
Сайты сегодня – набор запчастей
О безопасности сайта думают в последнюю очередь
О безопасности сайта думают в последнюю очередь
Хостинг часто не защищен
Хостинг часто не защищен
Безопасность сайта
Безопасность сайта
1С-Битрикс: FrameWork
1С-Битрикс: FrameWork
Цикл разработки
Цикл разработки
Психология хакера и разработчика
Психология хакера и разработчика
Категории хакеров
Категории хакеров
Платный аудит безопасности
Платный аудит безопасности
Комплекс «Проактивная защита» Инструменты безопасности
Комплекс «Проактивная защита» Инструменты безопасности
Безопасность: Панель безопасности
Безопасность: Панель безопасности
Проактивный фильтр Web Application FireWall
Проактивный фильтр Web Application FireWall
Технология одноразовых паролей
Технология одноразовых паролей
Технология защиты авторизованных сессий
Технология защиты авторизованных сессий
Контроль активности
Контроль активности
Шифрование данных
Шифрование данных
Журнал вторжений
Журнал вторжений
Защита административных разделов по IP
Защита административных разделов по IP
Стоп-листы
Стоп-листы
Контроль целостности системы
Контроль целостности системы
Защита от фишинга
Защита от фишинга
Групповые политики безопасности
Групповые политики безопасности
Регистрация и авторизация
Регистрация и авторизация
Журнал событий
Журнал событий
Модуль «Проактивная защита» включен в состав программных продуктов
Модуль «Проактивная защита» включен в состав программных продуктов
Следите за нами
Следите за нами
Спасибо за внимание
Спасибо за внимание

Презентация на тему: «Безопасность интернет-проектов: основные проблемы разработки и пути решений». Автор: Natalia Grikhina. Файл: «Безопасность интернет-проектов: основные проблемы разработки и пути решений.ppt». Размер zip-архива: 8020 КБ.

Безопасность интернет-проектов: основные проблемы разработки и пути решений

содержание презентации «Безопасность интернет-проектов: основные проблемы разработки и пути решений.ppt»
СлайдТекст
1 Безопасность интернет-проектов: основные проблемы разработки и пути

Безопасность интернет-проектов: основные проблемы разработки и пути

решений

ФИО должность компания

2 Сайты сегодня – набор запчастей

Сайты сегодня – набор запчастей

Большая часть современных сайтов - набор запчастей

низкий уровень стандартной разработки отсутствие единой концепции безопасности несколько аккаунтов для одного пользователя не обновляемое ПО, особенно после модификации

3 О безопасности сайта думают в последнюю очередь

О безопасности сайта думают в последнюю очередь

Индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить за безопасность интернет-проектов подразумевается, что разработчик должен этим заниматься, но у него не остается ни времени, ни бюджета

4 Хостинг часто не защищен

Хостинг часто не защищен

Зачастую уровень администрирования серверов и хостинга критически низкий редко используются системы автоматического мониторинга

5 Безопасность сайта

Безопасность сайта

Веб-сайт - часть корпоративной инфраструктуры. Взлом корпоративного сайта - это удар по репутации и имиджу компании. Очень неприятное в подобных событиях - огласка происшествия. Но потеря данных с сайта, информации о клиентах – это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда. Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта.

6 1С-Битрикс: FrameWork

1С-Битрикс: FrameWork

Платформа «1С-Битрикс» - это комплексное решение с единой системой безопасности:

единая политика безопасности единая система авторизации; единый бюджет пользователя для всех модулей трехуровневая система разграничения прав доступа независимость системы контроля доступа от бизнес-логики страницы смена пароля запомнить авторизацию возможность шифрования информации при передаче система обновлений SiteUpdate независимое журналирование выполняемых страниц в модуле Статистики политика работы с переменными и внешними данными методика двойного контроля критически опасных участков кода политика работы с пластиковыми картами

7 Цикл разработки

Цикл разработки

Разработчики работают в компании по 5-8 лет, но все равно допускают ошибки в безопасности. Почему?

Перед выпуском модуля идет обязательное тестирование разработчиками на внутренних серверах с разными базами данных, операционными системами и версиями PHP Отдел тестирования проверяет на соответствие бизнес-функциональности и наличие ошибок Отдел безопасности проверяет на наличие уязвимостей Модуль поступает в бета-тестирование клиентам и партнерам

8 Психология хакера и разработчика

Психология хакера и разработчика

Психология хакера и разработчика принципиально отличаются

Профессиональным веб-разработчик становится только через 3-5 лет и при активном контроле со стороны специалиста по веб-безопасности

Как мыслит разработчик…

… И как мыслит хакер

9 Категории хакеров

Категории хакеров

Соотношение разработчиков к хакерам 1:100

Студенты, ИТ специалисты начального уровня

Профессиональные специалисты

Пробуют силы на первых попавшихся сайтах нет понимания последствий для жертвы нет осознания юридической личной ответственности редко зарабатывают на хакерстве как на бизнесе

Прекрасный технический багаж никогда не светятся в тусовках, не кривляются делают только на заказ и только за деньги активно работают на службы безопасности крупных компаний

10 Платный аудит безопасности

Платный аудит безопасности

Индивидуальная проверка проектов специалистами по веб-безопасности Большой объем работы Постоянные изменения вносимые в интернет-проекты Нехватка специалистов Отсутствие сформированной практики аудитов

11 Комплекс «Проактивная защита» Инструменты безопасности

Комплекс «Проактивная защита» Инструменты безопасности

Web Application Firewall (Проактивный фильтр защиты от атак) Веб-антивирус Аутентификация и система составных паролей Технология защиты сессии пользователя Активная реакция на вторжение Контроль целостности системы Защита от фишинга Шифрование данных Групповые политики безопасности Защита при регистрации и авторизации Журнал событий

12 Безопасность: Панель безопасности

Безопасность: Панель безопасности

Оценка уровней безопасности веб-проекта

13 Проактивный фильтр Web Application FireWall

Проактивный фильтр Web Application FireWall

Распознает большинство опасных угроз и блокирует вторжения на сайт

XSS - cross site scripting (СSS) SQL инъекции PHP Including часть атак, связанных с обходом каталогов

Экранирует приложение от наиболее активно используемых атак Фиксирует попытки атаки в журнале Информирует администратора о случаях вторжения

14 Технология одноразовых паролей

Технология одноразовых паролей

Технология одноразовых паролей (One Time Password - OTP) с использованием брелков Aladdin eToken PASS позволяет быть однозначно уверенным, что на сайте авторизуется именно тот человек, которому выдали брелок.

Корректность работы электронных ключей eToken PASS для системы «1С-Битрикс: Управление сайтом 8.0» подтверждается соответствующим сертификатом компании Aladdin, выданным на основании серии испытаний.

15 Технология защиты авторизованных сессий

Технология защиты авторизованных сессий

Сессия пользователя – это ключевой объект атаки на веб-сайт с целью получения сессии авторизованного пользователя В повышенных режимах безопасности сессия будет полностью меняться раз в несколько минут (в зависимости от настройки) Механизм хранения сессий в базе данных для исключения ошибок конфигурирования виртуального хостинга, ошибок настройки прав доступа в временным каталогам и ряда других проблем настройки операционной среды

16 Контроль активности

Контроль активности

Обеспечивает защиту от DDoS атак на веб-приложения, от автоматизированных роботов, которые извлекают контент, спамят и всячески подстраиваются под посетителей

17 Шифрование данных

Шифрование данных

Полная поддержка работы по SSL. Один из ключевых вариантов обеспечения защищенности проекта – шифрование данных и сессионных значений при передаче между пользователем и сайтом. Зачастую разделяются режимы работы пользователей и администратора. Новые параметры позволят использовать несколько режимов работы с сайтом для пользователей при установленном SSL сертификате.

18 Журнал вторжений

Журнал вторжений

В журнале вторжений ведется запись попыток внедрения SQL, атак через XSS и внедрения PHP.

19 Защита административных разделов по IP

Защита административных разделов по IP

Защита позволяет строго регламентировать сети, которые считаются безопасными и из которых сотрудникам разрешается администрировать сайт

20 Стоп-листы

Стоп-листы

Стоп-лист ограничивает доступ посетителей к содержимому сайта. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.

21 Контроль целостности системы

Контроль целостности системы

Механизм расчета контрольных сумм всего проекта Раздельное вычисление для статических страниц и кода с возможностью видеть, когда менял обычный пользователь и когда менял веб-разработчик Пароль проверки не хранится на сайте Файл контрольных сумм можно отдельно сохранить у себя для проверки

В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта

22 Защита от фишинга

Защита от фишинга

Фишинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей (Facebook, ВКонтакте), банков (Ситибанк, Альфа-банк), прочих сервисов (Rambler, Mail.ru) Фишинг — одна из разновидностей социальной инженерии, основанной на незнании пользователями основ сетевой безопасности При включенной защите все ссылки с сайта через редиректы защищаются дополнительным параметром индивидуальным для сайта и для этого перехода. Внешние переходы не будут работать

23 Групповые политики безопасности

Групповые политики безопасности

Выполняется проверка на длину пароля и на вхождение в пароль определенных групп символов (латинские буквы, цифры, знаки препинания)

24 Регистрация и авторизация

Регистрация и авторизация

Подтверждение регистрации по email Поддержка авторизации OpenID и LiveID Детальная настройка CAPTCHA Вывод CAPTCHA после N неуспешных авторизаций

25 Журнал событий

Журнал событий

В журнал заносятся события, связанные с авторизацией и регистрацией пользователей. Детально настраиваются фиксируемые события.

26 Модуль «Проактивная защита» включен в состав программных продуктов

Модуль «Проактивная защита» включен в состав программных продуктов

«1С-Битрикс: Управление сайтом» (все редакции, кроме «Старт») «1С-Битрикс: Корпоративный портал»

27 Следите за нами

Следите за нами

www.1c-bitrix.ru

twitter.com/1C_Bitrix

facebook.com/1CBitrix

28 Спасибо за внимание

Спасибо за внимание

Вопросы?

«Безопасность интернет-проектов: основные проблемы разработки и пути решений»
http://900igr.net/prezentacija/informatika/bezopasnost-internet-proektov-osnovnye-problemy-razrabotki-i-puti-reshenij-174494.html
cсылка на страницу

Безопасность в Интернете

15 презентаций о безопасности в Интернете
Урок

Информатика

130 тем
Слайды
900igr.net > Презентации по информатике > Безопасность в Интернете > Безопасность интернет-проектов: основные проблемы разработки и пути решений