27.04.2018, 12:39 12443

МОАП РК опубликовал рекомендации по обеспечению информационной безопасности интернет-ресурсов

Всего в казахстанском сегменте зарегистрировано более 120 000 доменных имен.
Астана. 27 апреля. Kazakhstan Today - Министерство оборонной и аэрокосмической промышленности РК (МОАП РК) опубликовало рекомендации по обеспечению информационной безопасности интернет-ресурсов, передает Kazakhstan Today.

В связи с распространением в СМИ сведений о выявленных уязвимостях казахстанских интернет-ресурсов, министерство рекомендует принимать своевременные меры противодействия угрозам информационной безопасности.

Так, основа обеспечения информационной безопасности интернет-ресурса - это обеспечение максимального уровня безопасности сервера, на котором он размещается. Веб-сервер формируется комплексным составом программного обеспечения, каждое из которых подвержено разнообразным способам атаки. Атаки веб-серверов можно разделить на две категории: локальные и глобальные. Локальные атаки обычно направлены на кражу информации или перехват управления на отдельном веб-сервере. Глобальные атаки обычно направлены на несколько веб-сайтов и ставят своей целью заражение всех их посетителей. Даже в случае, когда вредоносная программа не может быть запущена на самом сервере, она все же может передаваться под видом обычного контента посетителям веб-сайтов, поскольку злоумышленники зачастую загружают такие программы с помощью PHP или ASP, что исключает необходимость заражения операционной системы веб-сервера", - отметили в ведомстве.


Для обеспечения безопасности веб-сервера прежде всего предлагается: систематически устанавливать последние обновления системы безопасности для операционной системы; регулярно обновлять все программное обеспечение, работающее на веб-сервере; использовать сертификат SSL для работы с ресурсом только через HTTPS; удалить программное обеспечение, не относящееся к необходимым компонентам функционирования интернет-ресурса; отключить неиспользуемые службы, устанавливаемые по умолчанию (например, FTP или SMTP) и все неиспользуемые серверные расширения; отключить функцию просмотра каталогов, если она не является необходимой, поскольку она позволяет посетителям видеть, какие файлы используются системой; отключить доступ к ресурсам по умолчанию, включив только необходимую функциональность ресурсов; вести журнал всех обращений и проводить его периодический анализ, желательно с настройкой автоматических уведомлений о выявлении подозрительной активности; установка межсетевого экрана.

Для приложений функционирующих на сервере в качестве компонентов интернет-ресурса предлагается соблюдать следующие требования: не запускать приложения и сервисы (в том числе - системные) с правами администратора; задать разрешения доступа (списки управления доступом) ко всем ресурсам, необходимым приложению; использовать настройки с минимальным уровнем разрешений (например, сделать файлы доступными только для чтения, если это приемлемо для приложения); хранить файлы веб-приложения в папке под корнем приложения; запретить пользователям задавать пути доступа к файлам приложения, что позволит избежать получения пользователями доступа к корню сервера.

Для среды исполнения скриптовой части интернет-ресурса (PHP или ASP) следует придерживаться следующих рекомендаций: установить переменную register_globals в значение off; установить переменную safe_mode в значение on; в переменной open_basedir следует указать базовый каталог; установить переменную display_errors в значение off; необходимо установить переменную log_errors в значение on; установить переменную allow_url_fopen в значение off.

Применительно к остальным компонентам интернет-ресурса (CMS, сервисы, приложения) следует руководствоваться общими рекомендациями к обеспечению защиты на уровне программного обеспечения.

Вместе с тем МОАП РК напоминает, что, согласно действующему законодательству, владельцы, собственники объектов информатизации, а также пользователи обязаны осуществлять меры по защите объектов информатизации.

Кроме того, при произошедших инцидентах информационной безопасности необходимо информировать РГП "Государственная техническая служба".

В ведомстве отметили, что всего в казахстанском сегменте зарегистрировано более 120 000 доменных имен.

Нашли ошибку в тексте?

Выделите ошибку и одновременно нажмите Ctrl + Enter


Если Вы располагаете информацией по теме данного материала, отправляйте нам видео или новости на почту.

новости по теме

Читаемое

Новости RT

    Новости Китая

      Ваше мнение

      Казахстанцы жалуются на плохое содержание спортивных объектов, в особенности высокогорного комплекса “Медеу”. Считаете ли вы, что “Медеу” и другие спортобъекты, которые переданы в управление частным компаниям, необходимо вернуть в госуправление?