WikiPrint - from Polar Technologies

Wytyczne dla uzyskania wysokiego poziomu bezpieczeństwa serwera aplikacyjnego

W zakresie bezpieczeństwa aplikacji webowych korzystamy z naszego kilkunastoletniego doświadczenia w tworzeniu aplikacji webowych (jako firma BetaSoft na rynku aplikacji webowych od 2003 r.), a kompetencje naszych pracowników potwierdzone są indywidualnymi certyfikatami uzyskiwanymi podczas szkoleń m.in. współpraca z firmą Niebezpiecznik.pl i konferencji (od początku powstania jesteśmy corocznym sponsorem PHPCon - największej konferencji poświęconej PHP).

Wdrożenia realizowane przez naszą firmę objęte są udokumentowanymi metodykami Agile i Prince, a pracownicy je wykonujący posiadają odpowiednie certyfikaty: Agile / Prince Foundation / Practitioner. Dzięki temu jesteśmy w stanie zachować najwyższe standardy bezpieczeństwa, nie tylko w odniesieniu do aplikacji i systemu operacyjnego, ale również w zakresie realizowanych usług. Potwierdzeniem naszych kompetencji są udane i referencyjne wdrożenia w wymagającym pod tym względem sektorze publicznym i obronnym.

W celu zapewnienia bezpieczeństwa i ciągłości działania systemu eDokumenty, w tym udostępnienie usługi w sieci publicznej, zalecane jest wprowadzenie poniższych zasad.

1. Bezpieczeństwo fizyczne (nie dotyczy wirtualnych maszyn)

2. Bezpieczeństwo systemu operacyjnego Linux

3. Polityka haseł

4. Zabezpieczenia sieci

4.1 Firewall

4.2 Zdalny dostęp przez SSH

5. Logowanie zdarzeń

6. Kopie bezpieczeństwa

7. Dodatkowe zabezpieczenia

8. Zabezpieczenie oprogramowania serwera aplikacyjnego

conf-enabled/security.conf

ServerSignature Off
Header set X-Content-Type-Options: "nosniff"
Header set X-Frame-Options: "sameorigin"
Header always set Referrer-Policy "same-origin"

9. Zabezpieczenia aplikacji eDokumenty/Ready_™

10. Weryfikacja checklisty OWASP

Kluczowe wytyczne standardu bezpieczeństwa OWASP zostały zebrane są w formie checklisty, wg której weryfikowane są tworzone komponenty systemu. Checklista w swoim zakresie w większości odpowiada obecnemu standardowi OWASP Level 2.

Przydatne linki

Zabezpieczanie serwera - wybrane skrypty