Безопасность услуг хостинга::Журнал СА 1.2004
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora

ЭКСПЕРТНАЯ СЕССИЯ 2019


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1826
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1887
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1446
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1066
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1636
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Безопасность услуг хостинга

Архив номеров / 2004 / Выпуск №1 (14) / Безопасность услуг хостинга

Рубрика: Безопасность /  Механизмы защиты

 МАКСИМ КОСТЫШИН

Безопасность услуг хостинга

Размещение данных с использованием услуг, предоставляемых хостинг-провайдерами – весьма распространенная и востребованная сегодня возможность. В статье рассматриваются вопросы собственной безопасности для тех, кто воспользовался данной услугой, и то, насколько это безопасно для других членов сообщества Интернет

Возможности сети Интернет для рекламы, публикации необходимой информации или создания собственного интернет-магазина активно используются частными лицами, коммерческими компаниями, государственными организациями. В ряде случаев для организации собственного сайта или отдельной веб-странички в Интернете юридическим и физическим лицам приходится обращаться за помощью в компании, предоставляющие услуги так называемого веб-хостинга. Основная причина – финансовая выгодность решения (не надо держать специально обученный персонал и беспокоиться о поддержании круглосуточного канала в Интернете, обладающего, кроме всего прочего, достаточной пропускной способностью).

Вопросы безопасности в договорных документах на услуги хостинга

Анализ значительного количества договоров (было изучено более двадцати типовых договоров) хостинг-провайдеров (далее по тексту «Провайдеров») как Российской Федерации, так и стран СНГ, по вопросам, связанным с обеспечением безопасности при оказании хостинг-услуг, показал, что в настоящее время эти нюансы практически не оговариваются. Требования по безопасности в основном предъявляются к пользователю услуг хостинга (далее по тексту «Абоненту»).

Абоненту предписывается:

  • ограничивать содержание информации и перечень программного обеспечения, размещаемых на собственном сайте, для того, чтобы не нарушать действующее законодательство;
  • не предпринимать действий, которые могут повлечь за собой нанесение ущерба Провайдеру или иным сетевым ресурсам при использовании доступа в Интернет, включая попытки несанкционированного доступа.

Требования к Провайдеру обычно ограничиваются необходимостью обеспечить конфиденциальность учетных записей Абонента (но даже это не всегда).

В некоторых договорах Провайдер откровенно снимает с себя любую ответственность за риски Абонента, которому он организует все технические составляющие работы с Интернетом. Если попытаться перечислить возможные риски, то основные из них следующие:

  • недополученная прибыль и упущенная выгода, а также любые косвенные убытки, понесенные Абонентом в период использования или не использования услуг Провайдера;
  • задержки, перебои в работе и невозможность полноценного использования собственных ресурсов Абонента, происходящие прямо или косвенно по причине действия или бездействия третьих лиц и/или неработоспособностью транспортно-информационных каналов, находящихся за пределами собственных ресурсов Провайдера;
  • ошибки в программном обеспечении, наличие вредоносных компонентов в используемом на серверах Провайдера и других серверах сети Интернет, если таковое не разработано самим Провайдером.

Ни в одном из проанализированных договоров не предполагается какая-либо материальная или моральная компенсация в случаях нанесения ущерба Абоненту при использовании услуг хостинга, предоставляемого Провайдером. Упоминания об этом, вообще говоря, в договорах встречаются, однако такие моменты не более чем декларация прав Абонента, которые доказать и, естественно, использовать будет весьма проблематично. В некоторых случаях обещания Провайдеров обеспечить необходимые условия безопасности клиентов носят чисто рекламный характер и ни на чем не основываются.

Попытаемся перечислить те вопросы, которые касаются обеспечения определенного уровня безопасности услуг и должны быть подкреплены конкретной, в том числе финансовой, ответственностью, при соглашениях между Провайдером и Абонентом.

  1. Доступность канала для обновления сайта (гарантированная возможность выполнения действий по обновлению Абонентом данных своего сайта).
  2. Конфиденциальность информации учетных записей Абонента (наличие необходимых условий конфиденциальности при выполнении действий по идентификации и авторизации Абонента для случаев обновления данных сайта).
  3. Целостность данных сайта Абонента, а также выполнение Провайдером работ по восстановлению сайта при авариях.
  4. Доступность сайта Абонента из Интернета.
  5. Надежность функционирования сайта Абонента, в том числе с использованием возможностей Провайдера по круглосуточному мониторингу системы.

Кроме того, обеспечение безопасности клиентов подразумевает для Провайдера проработку своих внутренних вопросов, связанных с обеспечением собственной безопасности. В перечень можно включить следующие задачи:

  • Установка и использование средств антивирусной защиты.
  • Проработка решений по обеспечению средствами защиты от сканирования.
  • Возможность выполнения предварительной фильтрации трафика от спама в случае оказания услуги по размещению почтового сервера Абонента.
  • Пресечение возможностей несанкционированного доступа к программному обеспечению и данным, которые в совокупности обеспечивают работу веб-сайтов и/или почтовых серверов клиентов.

При заключении договора услуг хостинга необходимо обращать внимание на дополнительные моменты, такие как:

  • Максимальный срок восстановления работоспособности сайта Абонента в случаях аварий.
  • Возможность проведения Абонентом процедур по тестированию надежности своего сайта.
  • Получение Абонентом (для возможности контроля) достоверной информации о функционировании собственного сайта, а также данных, которые связаны с выполнением сторонами договорных обязательств.

В случаях заключения договоров по хостингу дополнительными гарантиями для обеих сторон могут стать моменты, связанные с дополнительной защитой своего бизнеса при использовании услуг страхования.

Обзор нормативной базы

В настоящее время наличие у Провайдеров разрешения на оказание услуг хостинга не требует выполнения каких-либо мероприятий по обеспечению безопасности своих клиентов. В связи с этим, при жесткой конкуренции на рынке хостинг-услуг, Провайдерам экономически не выгодно брать на себя дополнительные риски и в полной мере решать вопросы защищенности. Тем более что мало кто из Абонентов при заключении договора поднимает тему об обеспечении необходимого уровня безопасности, а если такие вопросы и возникают, то речь идет больше о качественной и надежной работе технологического оборудования Провайдера.

7 июля 2003 г. в Российской Федерации был принят закон «О связи», который вступает в силу с 1 января 2004 года и устанавливает правовые аспекты деятельности в области связи. Если в законе «О связи» 1995 года не оговаривались вопросы, связанные с обеспечением безопасности при предоставлении услуг связи, то с 2004 года государством за оператором связи закреплена обязанность обеспечивать защиту средств и сооружений связи. Перечислим только те основные моменты нового закона, которые имеют отношение к тематике публикации.

Статьи 7, 63, 70 обязывают владельцев предусматривать необходимость обеспечивать защиту средств связи и сооружений от несанкционированного доступа к ним. Согласно новому закону операторы связи должны обеспечить соблюдение тайны связи. Кроме того, для услуг связи в пределах мировых информационно-телекоммуникационных сетей на территории Российской Федерации является обязательным «обеспечение экономической, общественной, оборонной, экологической, информационной и иных видов безопасности».

В статьях 25 и 64 закона предусматривается ряд мер по обеспечению оперативно-розыскной деятельности уполномоченных государственных органов, которые накладывают определенные обязательства на операторов связи.

По вопросам оценки уровня безопасности информационных объектов широко применяется практика использования известного международного стандарта ИСО/МЭК 15408:1999 («Общие критерии»). В Российской Федерации этот стандарт (аутентичный перевод) с 2002 года принят в качестве государственного. Вопросы расширения сотрудничества между странами СНГ, в том числе на рынке продуктов защиты информации, тесно связаны с унификацией законодательства стран СНГ. Отметим, к примеру, что в Республике Беларусь документ, аналогичный российскому, действует в качестве предстандарта с 2001 года. Однако отсутствие аутентичности белорусского стандарта подразумевает серьезные сложности для возможности применения механизмов автоматического «доверия» в Беларуси заключениям по безопасности других стран для систем, которые уже прошли проверку (в том числе в России) на соответствие мировому стандарту. Соответственно и производители сертифицированных белорусских продуктов столкнутся с трудностями распространения своих систем безопасности на российском рынке.

Не лишним будет упомянуть в данной статье про Уголовный кодекс Российской Федерации 1996 года. Описанию преступлений в сфере компьютерных технологий в этом документе выделен отдельный раздел. Статьи, касающиеся компьютерных преступлений, могут в различной степени затронуть проблемы недостаточной защищенности сайта клиента хостинг-провайдера при рассмотрении объективной стороны преступления, совершенного при работе в сети Интернет.

На настоящее время имеется много вариантов действий злоумышленников в Интернете, которые могут быть квалифицированы как уголовные преступления против собственности. Множество публикаций сообщают читателям информацию о случаях нарушений систем защиты или нормальной работы ресурсов в Интернете. Сайты и корпоративные сети организаций подвергаются DDoS-атакам с прекращением работы владельца ресурса с Интернетом на значительные сроки; изменяется содержимое сайтов; производится переадресация обращений к сайтам, осуществляющих платежные операции, на контролируемые злоумышленниками ресурсы; имеются факты откровенного вымогательства, когда шантажисты требуют выплату значительных сумм у владельцев интернет-ресурсов за отказ от компьютерной атаки.

При этом при расследовании конкретных компьютерных преступлений, которые произошли с использованием сети Интернет, может устанавливаться лицо, допустившее преступную небрежность или легкомыслие. Если будет доказано, что объективной стороной преступления стали деструктивные действия, исходившие с сайта Абонента, то лицом, которое устанавливает правосудие, может оказаться Провайдер либо Абонент (а возможно, и обеих договаривавшихся сторон), что повлечет за собой определенные серьезные последствия.

Заключение

Обеспечение безопасной работы с Интернетом является серьезной задачей, однако внимание к этому вопросу на уровне услуг, предоставляемых операторами связи, пока недостаточное. Необходимые задачи по обеспечению защиты информации при хостинг-услугах могут быть решены только усилиями и желанием Провайдеров.

Принятие нового закона «О связи» Российской Федерации в 2004 году должно подтолкнуть российских интернет-провайдеров, а затем и провайдеров других стран СНГ к цивилизованному решению вопросов защиты информации и ресурсов своих клиентов, а также предусматривает контроль за исполнением необходимых требований со стороны государства.

Серьезное влияние на положительные сдвиги в области защиты информации при работе с Интернетом могут оказать также те, кто пользуется услугами хостинга, так как наличие на рынке спроса на безопасный хостинг может заставить провайдеров предпринять более активные шаги в вопросах обеспечения безопасности своих клиентов.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru