|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (18)
просмотр истории страницыВ биллинге произведены все меры, требуемые от Carbon Soft как производителя ПО, по обеспечению безопасности ИС. |
{toc} |
h2. Платформа Carbon PL5, а так же поставляемые на её основе продукты Billing, XGE |
1. Доступ к веб-интерфейсу возможен только после [авторизациии через микрочрут|CarbonBilling:Управление пользователями, интерфейс администратора. Авторизация.], и создания правила DNAT, поэтому неавторизованный человек не может даже пытаться пробить защиту так как у него нет доступа к веб-интерфейсу на уровне файрвола |
В биллинге произведены все меры, требуемые от Carbon Soft как производителя ПО, по обеспечению безопасности ИС. |
|
2. Кабинет пользователя так же находится в chroot-окружении, и привязан к биллингу через API, [доступ к которому так же ограничен|CarbonBilling:API]. Абонент может получить только информацию о себе и не имеет доступа к БД |
Все необходимы ограничения на права доступа в соответствии с ТУ на биллинговые системы производитель реализовал в полной мере, и все эти возможности доступны через веб-интерфейс. |
|
h2. Повышение безопасности Платформа PL5, а так же поставляемые на основе её продукты представляют собой продуманную защищенную информационную систему, изначально поставляемую с упором на безопасность доступа к данным. Тем не менее, для удобства пользователя системы существуют определенные возможность настройки, при редактировании которых рекомендуется следовать следующим правилам: |
Также производителем реализована дополнительная защита: |
|
- не давать доступ к серверу биллинга из внешней сети, а только [доверенным ip-адресам администраторов и техподдержки|CarbonBilling:Права доступа. Настройка прав доступа к биллингу. Настройка прав доступа к веб-интерфейсу]. - выделить в отдельную сеть и отдельный VLAN сегмент сеть операторов биллинга, чтобы сеть не имела прямой связи с сетью абонентов. - сменить порт ssh на сервере биллинга и установить хороший пароль всем администраторам биллинга, [при необходимости ограничить доступ к справочникам в биллинге|CarbonBilling:Интерфейсы пользователей биллинга]. - настроить firewall на сервере биллинга и на маршрутизаторах, по схеме все, что явно не разрешено, то запрещено. - ограничить физический доступ к серверу. - прописать регламент безопасности и уровни доступа к информации, к серверу по сети, и к физическому серверу. - прописать доп.соглашения к трудовым договорам о коммерческой тайне и тайне ИСПДН. |
* Доступ к веб-интерфейсу возможен только после [авторизациии через микрочрут|Управление пользователями, интерфейс администратора. Авторизация.], который создает правило DNAT, поэтому неавторизованный человек не может даже пытаться пробить защиту так как у него нет доступа к веб-интерфейсу на уровне файрвола * Кабинет пользователя так же находится в chroot-окружении, и привязан к биллингу через API, [доступ к которому так же ограничен|API]. Абонент может получить только информацию о себе и не имеет доступа к БД * [при необходимости ограничить доступ к справочникам в биллинге|http://docs.carbonsoft.ru/63242257]. |
|
h2. Стандарты безопасности для сетей и серверов |
|
Платформа PL5, а так же поставляемые на основе её продукты представляют собой продуманную защищенную информационную систему, изначально поставляемую с упором на безопасность доступа к данным. Тем не менее нельзя забывать об общепринятых стандартах безопасности следить за которыми должен администратор сети и служба безопасности предприятия. |
|
1. Разделение прав доступа в биллинге по ролям |
- не давать доступ к серверу биллинга из внешней сети, а только [доверенным ip-адресам администраторов и техподдержки|Права доступа. Настройка прав доступа к биллингу. Настройка прав доступа к веб-интерфейсу]. - выделить в отдельную сеть и отдельный VLAN сегмент сеть операторов биллинга, чтобы сеть не имела прямой связи с сетью абонентов и запретить подключения из Интернет в сеть операторов. - [сменить порт ssh|CarbonBaseSystem:Изменение порта SSH] на сервере биллинга и [установить безопасный пароль|CarbonBaseSystem:Изменение пароля]. - настроить firewall на сервере биллинга и на маршрутизаторах, по схеме все, что явно не разрешено, то запрещено. - обязательно ограничить физический доступ к серверу, и выдавать ключ только по записи в журнале. - прописать регламент безопасности и уровни доступа к информации, к серверу по сети, и к физическому серверу. - прописать доп.соглашения к трудовым договорам о коммерческой тайне и тайне ИСПДн. - вынести локальный сайт на отдельный сервер по статье "[Дочерний сервер Billing Slave|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=50660917]" (требуется согласование с отделом продаж) |
|
[http://docs.carbonsoft.ru/pages/viewpage.action?pageId=48693373] |
h2. Человеческий фактор |
|
2. Доступ в биллинг с адресов/изменение портов [http://docs.carbonsoft.ru/pages/viewpage.action?pageId=48693373] |
При следовании рекомендациям предыдущего пункта, взлом сервера биллинга невозможен. Но следует понимать, взлом сервера или использование служебного положения для кражи данных является уголовным преступлением и относится к компетенции правоохранительных органов. Производитель биллинговой системы принял все необходимые и дополнительные меры по защите биллинга и БД, но производитель не может нести юридическую ответственность, за чужие противоправные действия. |