Безопасность и услуги хостинга

Безопасность и услуги хостинга

Под термином "хостинг" ("веб-хостинг", "интернет-хостинг") обычно подразумевается размещение и хранение данных, доступных через Интернет, на сервере провайдера. Основные элементы хостинга — веб-сайты и почтовые серверы. Услуги хостинга включают в себя выделение дискового пространства, поддержку доменного имени сайта, выполнение пользовательских программ (скриптов), работу с базой данных на основе SQL-запросов, доступ к электронной почте.

Размещение данных с использованием услуг, предоставляемых хостинг-провайдерами, — весьма распространенная и востребованная сегодня возможность. Степень обеспечения собственной безопасности для тех, кто воспользовался данной услугой, и то, насколько это безопасно для других членов сообщества Интернет, — вот основные вопросы, рассматриваемые в данной статье.

Возможности Интернет для рекламы, публикации необходимой информации, создания собственного интернет-магазина активно используются частными лицами, коммерческими компаниями и государственными организациями. Наличие своего сайта является обязательной составляющей имиджа любой уважающей себя фирмы. В ряде случаев для организации собственного сайта или отдельной web-странички в Интернет юридическим и физическим лицам приходится обращаться в компании, предоставляющие услуги так называемого web-хостинга. Основная причина — экономическая выгодность решения (не надо держать специально обученный персонал, выделять под это компьютерную технику и беспокоиться о поддержании круглосуточного канала в Интернет, обладающего, кроме всего прочего, достаточной пропускной способностью).
Анализ типовых договоров хостинг-провайдеров (далее по тексту Провайдеров) Республики Беларусь и Российской Федерации (всего было рассмотрено свыше 20 договоров) на предмет согласования договаривающимися сторонами нюансов, связанных с обеспечением безопасности при оказании хостинг-услуг, показал, что эти вопросы в настоящее время практически не оговариваются. Требования по безопасности в основном предъявляются к пользователю услуг хостинга (далее по тексту Абоненту).

Абоненту предписывается:
• ограничивать содержание информации и перечень программного обеспечения, размещаемых на собственном сайте, для того, чтобы не нарушать действующее законодательство;
• не предпринимать действий, которые могут повлечь за собой нанесение ущерба Провайдеру или иным сетевым ресурсам, при использовании доступа в Интернет включая попытки несанкционированного доступа.
Требования к Провайдеру обычно ограничиваются необходимостью обеспечить конфиденциальность учетных записей Абонента (но даже это не всегда).
Кроме того, иногда Провайдер в тексте договора откровенно снимает с себя любую ответственность за риски Абонента, которому он организует все технические составляющие работы с Интернет. Если попытаться перечислить возможные риски, то основные из них следующие:
• недополученная прибыль и упущенная выгода, а также любые косвенные убытки, понесенные Абонентом в период использования или неиспользования услуг Провайдера;
• задержки, перебои в работе и невозможность полноценного использования собственных ресурсов Абонента, происходящие прямо или косвенно по причине действия или бездействия третьих лиц и/или неработоспособности транспортно-информационных каналов, находящихся за пределами собственных ресурсов Провайдера;
• ошибки в программном обеспечении, наличие вредоносных компонентов в используемом на серверах Провайдера и других серверах сети Интернет, если таковое не разработано самим Провайдером.

Анализ содержимого договоров наводит на мысль о том, что определенная предварительная работа со стороны отдельных Провайдеров по изучению вопросов безопасности все же проводится. Так, имеются договора, в которых декларируется право Провайдера защищать Абонентов, равно как и технические ресурсы от неправомерных действий, в том числе от нежелательных почтовых рассылок. Остается только заменить слово "право" на слово "обязанность", и в главный вопрос: кто должен организовывать и отвечать за безопасность Абонента, — будет внесена предельная ясность. Не лишним будет упомянуть про документ "Нормы пользования Сетью" в редакции от 21 мая 2003 года, разработанный Открытым Форумом Интернет-Сервис-Провайдеров (http://ofisp.org/documents/ofisp-008.html), требования которого, согласно большинству договоров российских Провайдеров, обязаны выполнять Абоненты. Однако нормы форума могли быть взяты за основу и другой стороной. При этом вполне логично, чтобы Провайдер также имел обязательства перед Абонентом, которые предусматривали бы защиту клиента от нарушений из сети Интернет.
Ни в одном из проанализированных договоров не предполагается какая-либо материальная или моральная компенсация в случаях нанесения ущерба Абоненту при использовании услуг хостинга, предоставляемого Провайдером. Упоминания об этом, вообще говоря, в договорах встречаются, однако такие моменты не более чем декларация прав Абонента, которые доказать и, естественно, использовать будет весьма проблематично. Для примера ниже приведена редакция одного из подобных обязательств.

"Провайдер отвечает за ущерб, понесенный Абонентом явно или косвенно в результате использования или неиспользования услуг/работ Провайдера (полного или частичного), только если доказана прямая вина самого Провайдера и в размере, пропорциональном доле абонентской платы за период простоя, либо в случае подключения Абонента к техническим ресурсам Провайдера с повременным доступом — за вычетом сумм по оплате работ/услуг, которыми Абонент воспользовался с момента начала абонентского месяца, в котором произошли события, подпадающие под данный пункт настоящего Договора, а также банковской комиссии при перечислении в безналичной форме".
В некоторых случаях при рекламе своих услуг обещания Провайдера обеспечить условия безопасности Абонента приводится перечень стандартных фраз на тему защищенности. Например: "любой программный компонент, установленный на наших серверах, прошел САМУЮ ТЩАТЕЛЬНУЮ проверку на надежность. Опыт и профессионализм наших системных администраторов ГАРАНТИРУЕТ вам сохранность любых ваших данных — от сайта до электронной почты", и, наконец, встречаются просто ничем не подкрепленные, но красивые высказывания по безопасности: "все данные наших клиентов НАДЕЖНО ЗАЩИЩЕНЫ от несанкционированного проникновения".

Перечислим с некоторыми пояснениями те вопросы, которые касаются обеспечения определенного уровня безопасности услуг хостинга и должны быть подкреплены конкретной, в том числе финансовой, ответственностью при соглашениях между Провайдером и Абонентом:
1. Обеспечение возможности выполнения действий по обновлению Абонентом информации своего сайта.
Что требуется от Провайдера: Изучение ситуации по механизмам, которые предполагает использовать Абонент для обновления сайта. Предоставление надежных решений, обеспечивающих гарантированную работу Абонента со своим сайтом. Выработка рекомендаций для выполнения необходимых действий Абонентом и Провайдером в кризисных ситуациях (при авариях или попытках деструктивных действий злоумышленников).

2. Обеспечение конфиденциальности при выполнении действий по обновлению Абонентом информации сайта.
Что требуется от Провайдера: Использование программных продуктов, реализующих необходимый уровень защиты операций идентификации, авторизации и обмена данными при выполнении Абонентом обновления информации сайта. При этом предполагается использование механизмов шифрования передаваемой информации и операций с электронной цифровой подписью.

3. Обеспечение целостности данных сайта Абонента, предусматривающее выполнение Провайдером восстановления из резервной копии в случаях аварий.
Что требуется от Провайдера: Включение механизмов по формированию механизмов сохранения данных о текущем состоянии данных сайта Абонента с отслеживанием событий нарушения целостности информации (в том числе с использованием криптографических алгоритмов хэширования и работы с электронной цифровой подписью). Проведение ежедневного резервного копирования информации для возможности ее восстановления в случае аварии. Разработка механизмов для оптимального выполнения работ по восстановлению доступности хостинг-услуг для клиентов при различных кризисных ситуациях.

4. Обеспечение доступности сайта Абонента из Интернет.
Что требуется от Провайдера: Построение системы безопасности, предусматривающей защиту от атак из Интернет (обычные, распределенные DoS-атаки и т.п.). Повышение надежности работы оборудования и программ, обеспечивающих функционирование сайта Абонента.

5. Обеспечение надежной работы сайта Абонента с использованием возможностей Провайдера по круглосуточному мониторингу.
Что требуется от Провайдера: Использование серверов необходимого уровня надежности, обладающих достаточными техническими показателями, а также аппаратурой, обеспечивающей коммутацию каналов связи. Обеспечение бесперебойного электропитания от UPS и резервных генераторов. Ведение круглосуточного мониторинга для отслеживания стабильной работы серверов и всех подсистем через системы мониторинга и балансировки нагрузки.

Следует добавить, что в договор по услугам хостинга необходимо включать информацию о максимальном сроке восстановления Провайдером работоспособности сайта Абонента в случаях аварий. Эта процедура может оказаться очень непростой и потребовать замены оборудования, переустановки и настройки программного обеспечения системы, восстановления информационного наполнения сайта Абонента.
Прозрачность взаимоотношений между сторонами в договоре может закрепляться возможностью проведения Абонентом процедур по тестированию безопасности и надежности работы сайта Абонента. При этом вполне естественно, что вся конкретика, связанная со сроками и предполагаемыми для тестирования механизмами, должна подлежать предварительному согласованию обеими сторонами.
Очень важными являются договоренности получения Абонентом от Провайдера достоверной информации о функционировании собственного сайта, а также других данных, которые связаны с выполнением сторонами договорных обязательств. Это может быть информация лог-файлов работы системы Провайдера и другие данные.
В случаях заключения договоров по хостингу дополнительными гарантиями для обеих сторон могут стать моменты, связанные с дополнительной защитой бизнеса при использовании услуг страхования.

Для объективного освещения вопросов, связанных с безопасностью хостинга, необходимо отметить, что в настоящее время наличие у Провайдеров лицензии на указанные виды услуг, позволяющие размещать на своих площадях чужие сайты, не требует выполнения каких-либо мероприятий для обеспечения безопасности своих клиентов. В связи с этим при жесткой конкуренции на рынке хостинг-услуг Провайдерам экономически невыгодно брать на себя дополнительные риски и в полной мере решать вопросы защищенности. Тем более, что мало кто из Абонентов при заключении договора поднимает тему об обеспечении необходимого уровня безопасности, а если такие вопросы и возникают, то речь идет больше о качественной и надежной работе технологического оборудования Провайдера.

В отношении ситуации в Республике Беларусь заметим, что для того, чтобы иметь право декларировать в договоре с клиентом решение вопросов безопасности при оказании хостинг-услуг, Провайдеру необходимо будет получить лицензию на следующие работы и услуги: "сервисное обслуживание… защищенных технических средств обработки информации, программно-аппаратных средств защиты информации и контроля ее защищенности, средств криптографической защиты информации (либо выборка из указанного перечня средств)".
Система безопасности может иметь действительно серьезные решения, только если обеспечивается комплексный подход к задаче, рассматривающий как программные, аппаратные, так и организационные меры защиты. В связи с этим следует обратить внимание на ситуацию, сложившуюся в Республике Беларусь в отношении информации о проверенных и разрешенных для использования на территории государства программных, аппаратных и программно-аппаратных комплексах, назначением которых является решение вопросов безопасности. В настоящее время список продуктов, которые прошли экспертизу, сертифицированы и одобрены государством для решения вопросов защиты информации, недоступен широкому кругу потребителей. Это касается антивирусных продуктов, межсетевых экранов, так называемых систем обнаружения и предотвращения атак. В то же время в Российской Федерации открытость такой информации упрощает коммерческим фирмам и государственным структурам решение необходимых вопросов по проектированию и реализации систем защиты, а разработчикам — позволяет своевременно корректировать акценты при создании элементов систем защиты информации.

Рассмотрим нормативную базу, которая имеется в Российской Федерации и Республике Беларусь для решения вопросов, связанных с обеспечением определенного уровня безопасности при работе с Интернет. У каждого государства имеются свои законы "О связи" (в РФ закон принят в 1995 году, в РБ — в 1994 году), устанавливающие правовые аспекты деятельности в области связи. Этими законами не предусмотрены вопросы, связанные с обеспечением безопасности при предоставлении услуг связи. Однако в России с 1 января 2004 г. вступает в силу новый Федеральный закон Российской Федерации "О связи", в котором закреплена обязанность оператора связи обеспечивать защиту "средств связи и сооружений связи". В указанном документе определены необходимые термины и сформулированы правовые основы деятельности в области связи, определяющие полномочия органов государственной власти, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи. В связи с доступностью этого закона приведем только основные моменты, которые имеют отношение к данной публикации.

Статьи 7, 63, 70 нового российского закона обязывают предусматривать при создании и необходимость обеспечения владельцами защиты средств связи и сооружений от несанкционированного доступа к ним. Согласно закону операторы связи обязаны обеспечить соблюдение тайны связи. Кроме того, для услуг связи в пределах мировых информационно-телекоммуникационных сетей на территории Российской Федерации является обязательным "обеспечение экономической, общественной, оборонной, экологической, информационной и иных видов безопасности".
Отметим, в статьях 25 и 64 предусматривается ряд мер по обеспечению оперативно-разыскной деятельности уполномоченных государственных органов, которые накладывают определенные обязательства на операторов связи.

При рассмотрении документов, которые связаны с тематикой статьи, следует упомянуть про документ "Инструкция по сетям и службам передачи данных", утвержденный постановлением Министерства связи Республики Беларусь от 3.03.2001 №7. Достаточно подробно вопросы оценки надежности и безопасности передачи данных изложены в разделе VI "Качество обслуживания в службах передачи данных, показатели качества обслуживания и функционирования сети передачи данных". Содержание документа может быть интересно специалистам при изучении аспектов обеспечения безопасности в сетях передачи данных. К сожалению, инструкция не содержит перечня каких-либо конкретных обязательств для оператора службы передачи данных по вопросам качества, так как при изложении раздела основная ставка сделана на детальное теоретическое изучение понятия "качество". Для рассмотрения вопросов защиты данных в инструкции выделена отдельная глава 29 "Безопасность в сетях передачи данных". В ней даются общие представления о стандарте ИСО/МЭК 15408: 1999 "Критерии оценки безопасности информационных технологий" и детально описывается содержание каждой из трех частей.

Касательно вопросов оценки уровня безопасности широко применяется практика использования известного международного стандарта ИСО/МЭК 15408:1999 (больше известного под названием "Общие критерии"), упомянутого выше. В Российской Федерации этот стандарт (аутентичный перевод) с 2002 года принят в качестве государственного. В Республике Беларусь документ аналогичного характера, но не являющийся аутентичным переводом, действует в качестве предстандарта с 2001 года. Отсутствие аутентичности белорусского стандарта подразумевает серьезные сложности для возможности применения механизмов автоматического "доверия" в Республике Беларусь заключениям по безопасности других стран для систем, которые уже прошли проверку на соответствие мировому стандарту (например, в России).
Список документов, которые влияют на подходы к рассмотрению вопросов безопасности при использовании услуг хостинга, не будет полон, если не упомянуть уголовные кодексы Республики Беларусь (1999 г.) и Российской Федерации (1996 г.). Описанию преступлений в сфере компьютерных технологий в этих документах отведены отдельные разделы. Статьи, касающиеся компьютерных преступлений, могут в различной степени затронуть проблемы недостаточной защищенности сайта клиента хостинг-провайдера при рассмотрении объективной стороны преступления, совершенного при работе в сети Интернет.

Рассмотрим ситуации, когда из-за ошибок при построении системы безопасности (соглашусь с мнением тех, кто посчитает, что приведенный ниже пример является несколько надуманным, однако возможность такого варианта вряд ли кто-нибудь станет отрицать) полный контроль над сайтом Абонента перешел к злоумышленникам. При этом сайт стал одним из источников так популярной сейчас DDoS-атаки или с IP-адреса, специально выделенного для сайта, произошел зафиксированный несанкционированный доступ, последствиями которого были блокирование или модификация некой серьезной, например, финансовой информации одного из влиятельных банков. Так как в ходе проведения технико-криминалистических экспертиз протоколы работы системного и отдельного специального программного обеспечения станут доступными компетентным органам, то может быть юридически корректно доказан факт того, что деструктивные действия исходили действительно с сайта клиента хостинг-провайдера. Встанет вопрос: кто должен отвечать за последствия? При расследовании конкретного преступления ситуация может рассматриваться как результаты преступной небрежности или легкомыслия и повлечет за собой определенные серьезные последствия. Очевидно, что тем лицом, в отношении которого будут рассматриваться варианты небрежности или легкомыслия, станут либо Провайдер, либо Абонент (а, возможно, и обе договаривавшиеся стороны).
Можно также рассматривать ситуацию, когда по причине взлома содержание некоторых страниц сайта Абонента было изменено. Действия по несанкционированному доступу к компьютерной информации, сопровождающиеся нарушением системы защиты, являются преступлениями, статьи о которых внесены в уголовный кодекс и должны рассматриваться в соответствии с действующим законодательством.

Заключение
Обеспечение безопасной работы с Интернет является серьезной задачей, однако внимание к этому вопросу на уровне услуг, предоставляемых операторами связи, пока недостаточное. Необходимые задачи по обеспечению защиты информации при хостинг-услугах могут быть решены только усилиями и желанием Провайдеров.
Принятие нового закона "О связи" Российской Федерации в 2004 году должно подтолкнуть российских интернет-провайдеров, а затем и провайдеров Беларуси и других стран СНГ к цивилизованному решению вопросов защиты информации и ресурсов своих клиентов, а также предусматривает контроль за исполнением необходимых требований со стороны государства.
Серьезное влияние на положительные сдвиги в области защиты информации при работе с Интернет могут оказать также те, кто пользуется услугами хостинга, так как наличие на рынке спроса на безопасный хостинг может заставить провайдеров предпринять более активные шаги в вопросах обеспечения безопасности своих клиентов.

М.Костышин, Maxim_Kostyshin@mail.ru


Компьютерная газета. Статья была опубликована в номере 01 за 2004 год в рубрике безопасность :: разное

©1997-2024 Компьютерная газета