Подписка на рассылку

"Управление по целям и KPI"

+7(495)508-56-27
Нет времени объяснять!
Я клиент, срочно мне перезвоните!
Имя.:
Тел.:

Мероприятия

Опрос
  1. Кем Вы являетесь?

    1. Собственник бизнеса - 337 (24.2%)
       
    2. Топ-менеджер, руководитель, отвечающий за оргразвитие - 300 (21.6%)
       
    3. Руководитель подразделения - 267 (19.2%)
       
    4. Сотрудник HR-службы - 185 (13.3%)
       
    5. Студент или преподаватель - 173 (12.4%)
       
    6. Прочее - 130 (9.3%)
       

Программный продукт «1С-Битрикс: Управление сайтом» - это профессиональная система для создания и управления интернет-проектами: • корпоративными сайтами • интернет-магазинами • информационными порталами • интернет-сообществами • социальными сетями и другими сайтами С помощью «1С-Битрикс: Управление сайтом» можно разработать новый веб-проект или перевести существующий на новую систему управления. Продукт рассчитан как на профессиональных веб-разработчиков, так и на обычных пользователей, которые будут управлять готовым сайтом. Создайте свой сайт и управляйте им легко и профессионально без специальных знаний программирования и html-верстки. Управлять сайтом так же просто, как работать с обычным текстовым редактором. Вам не нужно обладать специальными знаниями программирования и html-верстки - техническую часть работы за вас выполнит «1С-Битрикс: Управление сайтом».


Одним из направлений деятельности компании Волгасофт является создание сайтов. Мы выполняем весь комплекс работ по созданию web-сайта: от разработки концепции до информационного наполнения и дальнейшей поддержки в сети Интернет. В компании Волгасофт существует специальный отдел, который занимается созданием и внесением необходимых данных для открытия и работы ресурса.  


Что нового в 8.0?

1С-Битрикс: Управление сайтом 8.0» включает новый модуль «Проактивная защита», который позволяет повысить уровень защищенности сайтов благодаря встроенному в продукт проактивному фильтру (Web Application Firewall).

Важность и ценность события в том, что и сам модуль, и входящий в него «Проактивный фильтр» впервые были включены непосредственно в систему управления сайтом! Существенные изменения произошли и в других модулях системы: Главный модуль, Управление структурой, Поиск, Социальная сеть, Интернет-магазин и Монитор производительности.

Список главных новинок 8.0:

Проактивная защита
Упрощенный визуальный редактор
Персональная настройка главной страницы сайта
Новые платежные системы: Chronopay, RBKMoney
Оформление заказа без перезагрузки

Геотаргетинг баннеров
Статистика по городам и регионам
Улучшенная поддержка Flash
Новые интерфейсы форумов и блогов

Проактивная защита

Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы. Новый модуль «Проактивная защита» сертифицирован Positive Technologies и протестирован Aladdin - лидерами рынка информационной безопасности.

Вот какой комплекс по защите веб-приложений включает в себя модуль:

Панель безопасности с уровнями защищенности
Проактивный фильтр (Web Application FireWall)
Технологию одноразовых паролей (OTP)
Защиту авторизованных сессий
Контроль активности
Защиту редиректов от фишинга *
Внешний контроль инфосреды *

Шифрование канала передачи через SSL *
Журнал вторжений
Защиту административных разделов по IP
Стоп-листы
Контроль целостности скрипта
Рекомендации по настройке *
Монитор обновлений *

Проактивный фильтр (Web Application Firewall)

Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

* Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.

Включение проактивного фильтра
  • защита от большинства известных атак на веб-приложения;
  • экранирование приложения от наиболее активно используемых атак;
  • создание списка страниц-исключений из фильтрации (по маске);
  • распознавание большинства опасных угроз;
  • блокировка вторжений на сайт;
  • защиты от возможных ошибок безопасности;
  • фиксирование попыток атак в журнале;
  • информирование администратора о случаях вторжения;
  • настройка активной реакции - действий системы при попытке вторжения на сайт:
    • сделать данные безопасными;
    • очистить опасные данные;
    • добавить IP адрес атакующего в стоп-лист на ХХ минут;
    • занести попытку вторжения в журнал.
  • обновления вместе с продуктом.

Панель безопасности с уровнями защищенности

Любой веб-проект, работающий под управлением «1С-Битрикс: Управление сайтом», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышенный. При этом система подскажет - выдаст рекомендации - какое действие необходимо установить для каждого параметра на выбранном текущем уровне.

Уровни безопасности
  • начальный уровень безопасности - получают проекты на базе Bitrix Framework без установленного модуля «Проактивная защита»;
  • стандартный уровень – в проекте задействованы стандартные инструменты проактивной защиты продукта;
  • проактивный фильтр (на весь сайт без исключений);
  • ведется журнал вторжений за последние 7 дней;
  • включен контроль активности;
  • повышенный уровень безопасности для группы администраторов;
  • использование CAPTCHA при регистрации;
  • режим вывода ошибок (только ошибки).
  • высокий уровень – рекомендованный уровень защиты, получают проекты, выполнившие требования стандартного уровня, и дополнительно включившие:
  • журналирование событий главного модуля;
  • защита административной части;
  • хранение сессий в базе данных;
  • смена идентификатора сессий.
  • повышенный уровень – специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей, для интернет-магазинов, для тех, кто работает с критичной информацией.Дополнительно к высокому уровню:
  • включение одноразовых паролей;
  • контроль целостности скрипта контроля.

Журнал вторжений

В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.

Журнал вторжений
  • оперативная регистрация всех событий в системе;
  • в случае срабатывания Проактивного фильтра запись в Журнале в одной из категорий атак:
    • попытка внедрения SQL;
    • попытка атаки через XSS;
    • попытка внедрения PHP.
  • отбор злонамеренных событий по фильтру;
  • просмотр и анализ событий в реальном времени;
  • немедленная реакция - ответная мера на событие;
  • профилактика и предупреждение событий на основе их анализа;

Одноразовые пароли

Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте. Однако особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы».

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.

Что вам дает такая технология? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.

Включение использования одноразовых паролей
  • усиление системы безопасности интернет-проекта;
  • использование аппаратных устройств;
  • использование ПО, реализующего OTP;
  • расширенная аутентификация с одноразовым паролем - при авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль;
  • авторизация только с использованием имени (login) и составного пароля;
  • заполнение при инициализации двух последовательно сгенерированных одноразовых паролей, полученных с устройства;
  • восстановление синхронизации в случае нарушения синхронизации счетчика генерации в устройстве и на сервере.

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выяснения - вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

Контроль целостности файлов

  • отслеживание изменений в файловой системе;
  • проверка целостности ядра;
  • проверка системных областей;
  • проверка публичной части продукта.


  • Проверка целостности скрипта контроля

    Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».

    Контроль целостности скрипта
  • проверка скрипта контроля на наличие изменений;
  • защита целостности скрипта ключом - символьным паролем.

  • Защита административного раздела

    Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается - задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой.

    Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.

    Защита административной части
    • ограничение доступа к административной части всех IP адресов, кроме указанных;
    • автоматическое определение системой IP адреса пользователя;
    • ручной ввод разрешенного IP адреса;
    • установка диапазона IP адресов, с которых разрешен доступ к административной части.

    Защита сессий

    Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальные.

    Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

    Включение механизма хранения данных сессий
    • защита сессий несколькими способами:
      • время жизни сессии (минуты);
      • смена идентификатора сессии раз в несколько минут;
      • маска сети для привязки сессии к IP;
      • хранение данных сессий в таблице модуля.
    • исключение ошибок конфигурирования виртуального хостинга;
    • исключение ошибок настройки прав доступа во временных каталогах;
    • исключение проблем настройки операционной среды;
    • разгрузка файловой системы;
    • бесполезность похищения сессий злоумышленниками.

    Контроль активности

    Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).

    * Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.

    Включение контроля активности
    • защита от чрезмерно активных пользователей;
    • защита от программных роботов;
    • защита от некоторых категорий DDoS-атак;
    • отсекание попыток подбора паролей перебором;
    • установка максимальной активности пользователей для сайта (нормальной для человека);
    • фиксирование превышения лимита активности пользователя в Журнале вторжений;
    • блокирование пользователя, превысившего количество запросов в заданный временной интервал;
    • вывод для заблокированного пользователя специальной информационной страницы.

    Стоп лист

    Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.


    Стоп-лист
    • перенаправление посетителей, параметры которых содержатся в стоп-листе;
    • блокировка пользователей по IP адресам из стоп-листа;
    • ручное пополнение стоп-листа новыми записями;
    • учет статистики пользователей, которым запрещен доступ к сайту ;
    • установка периода действия запрета на доступ к сайту для пользователя, IP-сети, маску сети, UserAgent и ссылку, по которой пришел пользователь;
    • изменяемое сообщение, которое будет показано пользователю при попытке доступа к сайту.

    * Начиная с версии 8.0 модуль «Проактивная защита» по умолчанию включен в продукт «1С-Битрикс: Управление сайтом» (кроме редакции «Старт»), а также в продукт «1С-Битрикс: Корпоративный портал». Все текущие клиенты ( у которых активны обновления и техподдержка) бесплатно загрузят и установят этот модуль по технологии SiteUpdate, и модуль автоматически выставит в проекте параметры, соответствующие уровню безопасности Стандартный.

    Другие новинки 8.0

    • персональная настройка главной страницы сайта - пользователь может вынести на главную страницу веб-портала те блоки информации, которые ему чаще всего нужны и расположить их так, как ему удобно для повседневной работы;
    • новые интерфейсы форумов и блогов, настраиваемые шаблоны и возможность добавлять видео в сообщение;
    • в интернет-магазине оформить заказ теперь можно на одной странице - без перезагрузки с использованием технологии AJAX. Это стало возможным благодаря добавлению нового компонента - bitrix:sale.order.ajax. К слову, у этого компонента есть скрытый параметр DELIVERY2PAY_SYSTEM, который позволяет задать соответствие Службы доставки Платежной системе;
    • также в интернет-магазине доступны две новые платежные системы: Chronopay и RBKMoney. При этом обновлены и «старые» платежные системы: Assist, Authorize.net, Payflow Pro, Roboxchange, WebMoney, Яндекс.Деньги.
    • в модуле «Реклама» добавлен таргетинг баннеров по городам и регионам;
    • в модуле «Веб-аналитика» учитывается статистика по городам и регионам;
    • выпущен упрощенный визуальный редактор - переработанная версия визуального редактора с облегченными возможностями и ускоренным быстродействием.

    Упрощенный визуальный редактор

    Новый редактор, как уже видно из названия, представляет собой облегченный элемент управления. Содержит редактор средства минимального редактирования различных текстовых данных. Однако одновременно с такой упрощенностью, новинка отличается и ускоренным быстродействием. Реализован упрощенный HTML редактор как отдельный служебный компонент, который вы сможете встроить в любую форму, в том числе и в публичном разделе. Просто киньте желтую «таблетку» компонента в нужное место страницы во «взрослом» редакторе, - и потом сможете здесь править ссылки, добавлять сюда графику и даже загружать видео! Никаких сложностей с управлением, поскольку в составе редактора только две вещи: поле для ввода текста и Панель инструментов. Кстати, панель эта «плавает» - легко перемещается мышью по экрану.


    Облегченный, но быстрый редактор!
    • упрощенная функциональность редактора - им легко управлять;
    • ускоренное быстродействие - быстрое изменение данных;
    • «плавающая» панель инструментов - перетащите по экрану;
    • настройка внешнего вида, ширины, высоты и отображения тулбара;
    • изменение набора и порядка следования кнопок;
    • задание шрифтов, размеров, и заголовков;
    • правка текста ссылок, или создание ссылки без выделения текста;
    • вставка видео с заданием размеров и сохранением пропорций;
    • модернизированный колорпикер с расширенным набором популярных web-цветов;
    • контекстное меню для элементов: ссылка, рисунок, видео
    • уверенная работа в IE7, FF3, Opera 9.5, Google Chrome, Safari.

    Приятные мелочи

    В версии 8.0 множество других новинок - пусть и не главных, но приятных и значительно облегчающих работу ее пользователей. Возьмем для примера редактор. Теперь он не «запортит» JS код, который поместили на страницу. Вставка текста из MS Word в редакторе снова работает в Firefox 3, и алгоритм очистки вставляемого кода доработан.

    А как теперь работает функция очистки HTML кода? Просто чистит пустые, незначащие теги, вложенные друг в друга. Те самые, что могут ничего не портить, кроме внешнего вида кода страницы, а могут и негативно влиять на отображение документа. Список обрабатываемых тегов: 'b', 'em', 'font', 'h*', 'i', 'li', 'ol', 'p', 'small', 'span', 'strong', 'u', 'ul'.


    Диалоговое окно настройки параметров компонента
    • новый способ редактирования параметров компонентов;
    • корректное сохранение фрагментов Javascript-кода;
    • улучшенная функция очистки HTML кода;
    • вставка текста из MS Word (только в браузерах Mozilla Firefox 3.х);
    • доработанный алгоритм очистки кода в MS Word;
    • удобный ввод времени с использованием часов;
    • форма поиска по карте в настройках начальной позиции Яndex.Карт;
    • компоненты для работы с картами Google Maps;
    • в сообщение форума можно вставлять видеоролики;
    • отправка группового сообщение «друзьям», последним контактам;
    • отправка сообщения группе получателей в структуре компании.
    Уверены, что вам понравится и новый способ редактирования параметров компонентов. До сих пор это делалось в редакторе только через Панель свойств. Теперь достаточно двойного щелчка по иконке компонента на странице, чтобы открылось полное диалоговое окно с параметрами этого компонента. Версия 8.0 стала не только более безопасной и функциональной, но при этом и очень удобной!

    Возврат к списку