«Проактивная защита» - новый подход к веб-безопасности в новой версии «1С-Битрикс: Управление сайтом 8.0»

08.04.2009 |

Александр Абрамов.

Новая версия продукта «1С-Битрикс: Управление сайтом 8.0», включающая модуль «Проактивная защита», позволяет повысить уровень защищенности сайтов благодаря встроенному в продукт проактивному фильтру (Web Application Firewall). Новый модуль «Проактивная защита» сертифицирован Positive Technologies и протестирован компанией Aladdin - лидерами рынка информационной безопасности.

Компания «1С-Битрикс» объявляет о выходе новой версии «1С-Битрикс: Управление сайтом 8.0», главной особенностью которой является наличие модуля «Проактивной защиты», существенно повышающего уровень защищенности сайтов, созданных на базе продукта.

Новый модуль «Проактивная защита» включает в себя:

проактивный фильтр (Web Application Firewall), обеспечивающий защиту от большинства известных атак на веб-приложения. Проактивный фильтр распознает опасные угрозы и блокирует вторжения на сайт. Это наиболее эффективный способ защиты от возможных ошибок, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других);
технологию одноразовых паролей (One Time Password - OTP) реализована на базе электронных ключей Aladdin eToken PASS для обеспеч аутентиф польз-ля при доступе на сайт, которая позволяет быть однозначно уверенным, что на сайте авторизуется именно тот человек, которому выдали брелок;
панель безопасности с оценкой уровней безопасности веб-проекта;
защиту авторизованных сессий с хранением сессий в базе данных и регулярной сменой идентификатора, привязкой к IP;
контроль активности, который позволяет защититься от DDoS атак на веб-приложение и выделить автоматизированные скрипты и заблокировать их работу на установленное время;
журнал вторжений, в котором ведется запись попыток внедрения SQL, атак через XSS и внедрения PHP;
защиту административных разделов по IP с простым интерфейсом, который позволяет указать список IP-адресов или диапазоны адресов, с которых можно управлять сайтом;
стоп-листы для блокировки доступа пользователей к сайту;
контроль целостности, который проверяет скрипт контроля целостности системы на наличие изменений;
рекомендации по настройке системы безопасности.

Сергей Рыжиков, генеральный директор компании «1С-Битрикс»:
«Проактивная защита» - это принципиально новый подход к концепции веб-безопасности, при котором меняется само понятие реакции веб-приложения на попытки вторжения. Выпуск «Проактивной защиты» является продолжением многолетней работы компании по обеспечению безопасности интернет-проектов. Но впервые нам удалось настолько существенно усилить защищенность сайтов и снизить зависимость клиентов от наиболее частых ошибок веб-разработчиков».

В новой версии продукта предусмотрена возможность использования технологии аутентификации по одноразовым паролям, генерируемым с помощью специального устройства eToken PASS. При нажатии кнопки на корпусе eToken PASS дисплей устройства отображает одноразовый пароль (OTP PIN). Данный пароль действует только в течение одного сеанса связи, а значит пользователь может не беспокоится о том, что пароль будет подсмотрен или перехвачен. Технология OTP усиливает стандартную систему авторизации продукта, повышая уровень защиты интернет-проектов на базе продукта. Корректность работы электронных ключей eToken PASS для системы «1С-Битрикс: Управление сайтом 8.0» подтверждается соответствующим сертификатом компании Aladdin, выданным на основании серии испытаний.

Сергей Груздев, генеральный директор Aladdin, комментирует:
«Использование eToken PASS - это удобный и легкий способ обеспечить безопасный доступ к ресурсам портала или веб-сайта из любой точки мира: продукт не требует установки драйверов, работает с любой операционной системой и при этом без подключения к компьютеру. Мы высоко оцениваем достигнутые результаты технологического сотрудничества с «1С-Битрикс»: комплексный подход партнера к вопросам безопасности является отражением тенденции роста спроса среди заказчиков на продукты с усиленными функциями защиты».

Компания Positive Technologies осуществила аудит эффективности новых функций безопасности «1С-Битрикс: Управление сайтом». Тестирование встроенных механизмов защиты продукта подтвердило их соответствие требованиям Web Application Firewall Evaluation Criteria международной организации Web Application Security Consortium, о чем свидетельствует выданный сертификат. Качество реализации защитных механизмов «1С-Битрикс: Управление сайтом 8» позволяет пользователю системы быть уверенным не только в надежности ядра системы, но и в безопасности решения на его основе, с учетом надстроек и доработок, выполненных партнерами компании.

Как отметил Юрий Максимов, генеральный директор компании Positive Technologies: «Опыт анализа безопасности Web-приложений показывает, что, несмотря на постоянные заявления об актуальности этой темы, защита большинства серьезных веб-проектов осуществляется по остаточному принципу. Тем полезней для заказчика веб-приложения наличие высокоэффективной встроенной функции проактивной защиты, позволяющей предотвратить последствия возможных ошибок, допущенных при разработке и эксплуатации портала, а также своевременно обнаружить атаки».

Новый модуль «Проактивная защита» включен во все редакции «1С-Битрикс: Управление сайтом», кроме редакции «Старт»), а также в продукт «1С-Битрикс: Корпоративный портал».
В новую версию продукта также включены: персональная настройка главной страницы сайта, новые интерфейсы форумов и блогов, таргетинг баннеров по городам и регионам, упрощенный визуальный редактор. В интернет-магазине оформление заказа теперь возможно на одной странице без перезагрузки с использованием технологии AJAX, а также доступны две новые платежные системы: Chronopay и RBKMoney.

Новые функциональные возможности продукта можно бесплатно протестировать в виртуальной лаборатории: 1c-bitrix.ru/products/cms/demo.php

Пользователи текущей версии продукта «1С-Битрикс: Управление сайтом», у которых активны обновления и техподдержка, бесплатно получают все обновления новой версии продукта по технологии SiteUpdate.

Вы можете скачать полнофункциональную ознакомительную версию продукта «1С-Битрикс: Управление сайтом» и бесплатно использовать ее в течение 30 дней:1c-bitrix.ru/products/cms/demo.php#tab-demo-link