Безопасность системы управления сайтом HostCMS

Существуют основные принципы, которым должна соответствовать информационная безопасность вцелом и сайт как часть системы:

1. Целостность данных - такое свойство, в соответствии с которым информация сохраняет свое содержание и структуру в процессе ее передачи и хранения. Создавать, уничтожать или изменять данные может только пользователь, имеющий право доступа.

2. Конфиденциальность — свойство, которое указывает на необходимость ограничения доступа к конкретной информации для обозначенного круга лиц. Таким образом, конфиденциальность дает гарантию того, что в процессе передачи данных, они могут быть известны только авторизованным пользователям

3. Доступность информации - это свойство характеризует способность обеспечивать своевременный и беспрепятственный доступ полноправных пользователей к требуемой информации.

4. Достоверность – данный принцип выражается в строгой принадлежности информации субъекту, который является ее источником или от которого она принята.

Безопасность сайтов под управлением HostCMS

С точки зрения основных приципов обеспечения безопасности сайт, который спроектирован и построен на базе HostCMS обеспечивает максимальный уровень безопасности:

1. Целостность данных HostCMS обеспечивается уникальной схемой базы данных и файловой структуры.

2. Конфиденциальность HostCMS обеспечивается на уровне ядра системы, а не внешних модулей, как это устроено в других CMS.

3. Доступность информации HostCMS при грамотной настройке и выборе хостинга — выше всяких похвал. Даже высоконагруженные системы на базе HostCMS легко справляются с задачей.

4. Достоверность HostCMS обеспечивается интеграцией с SSL и сервисами проверки подлинности контента.

Меры обеспечения безопасности

Система управления использует расширенные методы обеспечения безопасности:

  • Единая система авторизации и контроля прав доступа на уровне ядра системы.
  • Доступ по защищенному протоколу HTTPS (SSL/TLS).
  • Ограничение времени активности сессии применяется для пользователей центра администрирования и пользователей сайтов.
  • Привязка сессии к IP-адресу исключает использование сессии при перехвате её идентификатора злоумышленником.
  • Хранение сессий в базе данных исключает получение сессии из общего каталога хранения сессий виртуального хостинга.
  • Хранение паролей в виде хэш-кода1 исключает восстановление пароля в первоначальном виде.
  • Журналирование действий, осуществляемых в центре администрирования, событий и ошибок системы управления.
  • Минимальное ограничение на длину пароля пользователя центра администрирования составляет 5 символов.

Права пользователей центра администрирования

В системе управления применяется мандатная политика безопасности, при которой права доступа к разделам системы устанавливаются для групп пользователей.

Группа пользователей имеет два уровня прав:

  1. права доступа к модулям;
  2. права доступа к действиям форм  (например, действие  «Удалить» формы  «Информационные системы»), содержащихся в модулях.

Суперпользователи  (пользователи с флагом  «Привилегированный») имеют максимальные права и доступ ко всем действиям всех сайтов, поддерживаемых экземпляром системы управления.

Пользователь с установленным атрибутом «Доступ только к созданным пользователем элементам» имеют право действий только над теми элементами, которые он создал сам или над элементами, не имеющими владельца. Атрибут «Доступ только к созданным пользователем элементам» не действует на привилегированных пользователей.

Права доступа к модулям позволяют разграничить управление модулями каждого сайта. Например, редакторам сайта нет необходимости иметь доступ к разделу  «Типовые динамические страницы» или  «SQL-запросы».

Права доступа к действиям позволяют провести тонкую настройку прав на выполнение действий форм. Администратор имеет возможность предоставить пользователям доступ ко всем действиям формы как с помощью групповых операций  «Разрешить все действия» и  «Запретитьвсе действия», так и с помощью подробной настройки прав.


1Хэш-код — результат преобразования данных произвольной длины в строку фиксированной длины, при которых изменение входных данных приводит к непредсказуемому изменению выходных данных. Однозначное соответствие между исходными данными и хэш-кодом отсутствует.