Zmiany pomiędzy wersją 8 and wersją 9 dla AdminGuide/SecurityGuidelines

Pokaż
Ignoruj:
Data i czas:
05/07/20 14:41:34 (5 years temu)
Autor:
JP (IP: 83.144.106.170)
Komentarz:

--

Legend:

Bez zmian
Dodane
Usunięte
Zmienione

  • AdminGuide/SecurityGuidelines

    v8 v9  
    1 = Wytyczne bezpieczeństwa = 
     1= Wytyczne dla uzyskania wysokiego poziomu bezpieczeństwa serwera aplikacyjnego = 
    22 
    3 W zakresie bezpieczeństwa aplikacji korzystamy z naszego kilkunastoletniego doświadczenia w tworzeniu aplikacji webowych (jako firma BetaSoft na rynku aplikacji webowych od 2003 r.), a kompetencje naszych pracowników potwierdzone są indywidualnymi certyfikatami uzyskiwanymi podczas szkoleń m.in. współpraca z firmą Niebezpiecznik.pl i konferencji (od początku powstania jesteśmy corocznym sponsorem PHPCon - największej konferencji poświęconej PHP). 
     3W zakresie bezpieczeństwa aplikacji webowych korzystamy z naszego kilkunastoletniego doświadczenia w tworzeniu aplikacji webowych (jako firma BetaSoft na rynku aplikacji webowych od 2003 r.), a kompetencje naszych pracowników potwierdzone są indywidualnymi certyfikatami uzyskiwanymi podczas szkoleń m.in. współpraca z firmą Niebezpiecznik.pl i konferencji (od początku powstania jesteśmy corocznym sponsorem PHPCon - największej konferencji poświęconej PHP). 
    44 
    55Wdrożenia realizowane przez naszą firmę objęte są udokumentowanymi metodykami Agile i Prince, a pracownicy je wykonujący posiadają odpowiednie certyfikaty: Agile / Prince Foundation / Practitioner.  
    66Dzięki temu jesteśmy w stanie zachować najwyższe standardy bezpieczeństwa, nie tylko w odniesieniu do aplikacji i systemu operacyjnego, ale również w zakresie realizowanych usług. Potwierdzeniem naszych kompetencji są udane i referencyjne wdrożenia w wymagającym pod tym względem sektorze publicznym i obronnym. 
    77 
    8 W celu zapewnienia bezpieczeństwa i ciągłości działania systemu eDokumenty jest zalecane jest wprowadzenie polityk bezpieczeństwa: 
    9     * polityki bezpieczeństwa serwera 
    10     * polityki zarządzania kopiami bezpieczeństwa 
    11     * polityki haseł 
    12     * polityki zabezpieczenia sieci 
     8W celu zapewnienia bezpieczeństwa i ciągłości działania systemu eDokumenty, w tym udostępnienie usługi w sieci publicznej, zalecane jest wprowadzenie poniższych zasad. 
    139 
    14 = Kluczowe wymagania bezpieczeństwa środowiska aplikacyjnego = 
    15  
    16 == 1. Bezpieczeństwo fizyczne == 
     10== 1. Bezpieczeństwo fizyczne (nie dotyczy wirtualnych maszyn) == 
    1711    * Dostęp do BIOS'u (Basic Input/Output System) serwera powinien być zabezpieczony hasłem. 
    1812    * Możliwość uruchamiania systemu z urządzeń innych niż wewnętrzny dysk twardy (np. USB, CD-ROM, floppy drive) powinna być zablokowana. 
     
    3630    === 4.1 Firewall === 
    3731     * Dostęp do serwera przez sieć powinien być zabezpieczony firewall'em, jeśli to możliwe serwer powinien znajdować się w DMZ 
    38      * Usługa SSH powinna być dostępna tylko dla ograniczonej liczby adresów IP. 
     32     * Usługa SSH powinna być dostępna tylko dla ograniczonej liczby adresów IP lub wyłącznie dla połączeń VPN. 
    3933     * Dostęp do HTTPS powinien być ograniczony dla wybranych prefiksów adresów IP (geolokalizacja adresów IP). 
    4034     * Protokół IPv6 jeśli nie jest używany powinien być wyłączny. 
    4135     * Przekazywanie pakietów między interfejsami sieciowymi powinno być wyłączone (IP forwarding). 
     36    
    4237    === 4.2 Zdalny dostęp przez SSH === 
    4338     * Domyślny port 22 powinien być zmieniony na inny np. 2134. 
     
    6358  * Komunikacja sieciowa serwera może być dodatkowo zabezpieczona za pomocą systemów IPS/IDS (np. Snort). 
    6459 
     60== 8. Zabezpieczenie oprogramowania serwera aplikacyjnego == 
     61   * Apache ... 
     62   * PHP 
    6563 
    66 = Kluczowe wymagania bezpieczeństwa aplikacji = 
     64== 9. Zabezpieczenia aplikacji eDokumenty/Ready_™ == 
    6765 
    68 W celu zapewnienia bezpieczeństwa aplikacji, podczas jej tworzenia stosowane są w praktyce zasady bezpieczeństwa wynikające z najnowszych standardów i wypracowane w trakcie wieloletnich doświadczeń w tworzeniu webowych systemów zarządzania informacjami.  
     66    * Opcje do włączenia/sprawdzenia w config.inc 
    6967 
    70 Bezpieczeństwo danych zapewnione jest na kilku poziomach. Na poziomie platformy za pomocą ściśle przestrzeganych zasad tworzenia aplikacji webowych i restrykcyjnych ustawień serwera. Wszystkie zasady zebrane są w formie rozbudowanej checklisty, wg której weryfikowane są tworzone komponenty systemu. Checklista w swoim zakresie w większości odpowiada obecnemu standardowi OWASP Level 2. 
     68== 10. Weryfikacja checklisty OWASP == 
     69 
     70Kluczowe wytyczne standardu bezpieczeństwa OWASP zostały zebrane są w formie checklisty, wg której weryfikowane są tworzone komponenty systemu. Checklista w swoim zakresie w większości odpowiada obecnemu standardowi OWASP Level 2. 
    7171 
    7272