English

Безопасность

Наиболее часто возникающий у наших клиентов вопрос — это вопрос безопасности. Многие спрашивают, если система "смотрит" в интернет и доступна через браузер в любой точке мира, не означает ли это, что при желании злоумышленника конфиденциальные данные могут быть раскрыты. И не безопаснее бы было держать систему на диске домашнего или рабочего компьютера под надежной защитой бронированных дверей, службы безопасности, системного администратора, ЧОПа и т.д.

Давайте разберемся. Какие риски несанкционированного доступа к данным существуют? Рассмотрим два типичных случая:

Популярная бухгалтерская система устанавливается на личном компьютере главного бухгалтера организации (или сервере) и доступна через толстый клиент с 2-3 персональных компьютеров в локальной сети организации.

Второй случай: система управления отношениями с клиентами (CRM). Система устанавливается на сервере организации и доступна через тонкий клиент (браузер).

Согласно статистике, большинство утечек информации, атак и прочего происходит изнутри организации. А подойти к компьютеру главного бухгалтера и взять оттуда все, что нужно, гораздо проще, чем сделать то же самое с сервером, который, как правило, находится в запертой и охраняемой серверной комнате.

Далее, большинство протоколов толстых клиентов не шифруют информацию, передающуюся к серверу, а проверяют аутентичность сервера вообще единицы. Это означает, что подслушать трафик или устроить атаку man-in-the-middle становится очень просто, в отличии от того же HTTPS протокола.

Для всех бизнес-систем мы используем в качестве рабочего протокола HTTPS. Сам по себе протокол HTTPS является достаточно сильной защитой информации. Использование этого протокола гарантирует, что все данные передаются по сети в зашифрованном виде. И даже при наличии «подслушивающих устройств» на пути между браузером клиента и сервером компании, не удастся расшифровать и интерпретировать передаваемую информацию.

Далее, разумеется, для доступа к конфиденциальным данным требуется аутентификация. Аутентификация — это процедура проверки соответствия некоего лица и его учетной записи в системе. В большинстве случаев — это логин и пароль. Мы разрабатываем системы, которые включают продуманную политику паролей, проверяющую их длину, подборостойкость и контролирующую политику их обновления.

Иногда (довольно часто) требуется защита более высокого уровня, работающая в условиях возможной утечки паролей. Например, некоторые заказчики считают (и правильно делают), что их пользователи могут случайно терять (раскрывать) пароли, и система должна быть защищена от таких случаев. Мы предлагаем воспользоваться системами "сильной аутентификации" на основе электронных ключей — физических устройств, которые с одной стороны своим наличием подтверждают аутентичность пользователя, с другой стороны сами требуют некой информации от пользователя (например, pin-кода) для своей работы. В этом случае, если пользователь и потеряет это устройство, им не сможет воспользоваться злоумышленник.

Мы строго следим за тем, чтобы наши приложения были написаны без утечек памяти, race-conditions, не допускаем XSS и injections. Мы ставим наши приложения на защищенное оборудование и используем только самые безопасные операционные системы (если, конечно, у заказчика нет своих соображений на этот счет).

Мы понимаем толк в безопасности и применяем свои знания всегда и везде.

Схема проездаЗакрыть
Адрес: 119021, Москва, Пуговишников переулок, д.11, офис №4
Парк культуры, Фрунзенская
Задать вопросЗакрыть
Ваше имя
Эл. почта
Ваш вопрос

Заполните капчу
Отправить