Обзор безопасности

Skip to end of metadata
Go to start of metadata
Вы просматриваете старую версию данной страницы. Смотрите текущую версию. Сравнить с текущим  |   просмотр истории страницы

В биллинге произведены все меры, требуемые от Carbon Soft как производителя ПО, по обеспечению безопасности ИС.

Платформа Carbon PL5, а так же поставляемые на её основе продукты Billing, XGE

1. Доступ к веб-интерфейсу возможен только после авторизациии через микрочрут, и создания правила DNAT, поэтому неавторизованный человек не может даже пытаться пробить защиту так как у него нет доступа к веб-интерфейсу на уровне файрвола

2. Кабинет пользователя так же находится в chroot-окружении, и привязан к биллингу через API, доступ к которому так же ограничен. Абонент может получить только информацию о себе и не имеет доступа к БД

Повышение безопасности

Платформа PL5, а так же поставляемые на основе её продукты представляют собой продуманную защищенную информационную систему, изначально поставляемую с упором на безопасность доступа к данным. Тем не менее, для удобства пользователя системы существуют определенные возможность настройки, при редактировании которых рекомендуется следовать следующим правилам:

  • не давать доступ к серверу биллинга из внешней сети, а только доверенным ip-адресам администраторов и техподдержки.
  • выделить в отдельную сеть и отдельный VLAN сегмент сеть операторов биллинга, чтобы сеть не имела прямой связи с сетью абонентов.
  • сменить порт ssh на сервере биллинга и установить хороший пароль всем администраторам биллинга, при необходимости ограничить доступ к справочникам в биллинге.
    
    2016-02-25 Hotfix <hotfix@carbonsoft.ru>
    	* Change python-tools c366d75: SSH порт вынесли в конфиг
    	* Change python-tools 8d5af6f: Конфиг добавлен в исключение
    
    В доке нет. В конфигах тоже не нахжу ни чего похожего.
    
    [root@devel185 ~]# grep ssh /app/*/cfg/config
    /app/asr_cabinet/cfg/config:declare -A ssh
    /app/asr_cabinet/cfg/config:ssh['widget']='menu "Настройки SSH сервера"'
    /app/asr_cabinet/cfg/config:ssh['clients.ip']=''
    /app/asr_cabinet/cfg/config:ssh['clients.name']='Настройка доступа'
    /app/asr_cabinet/cfg/config:ssh['clients.ip.widget']='inputbox "IP-адреса разрешенных компьютеров" "Укажите IP-адреса компьютеров которым разрешен доступ к SSH через пробел"'
    [root@devel185 ~]# grep 22 /app/*/cfg/config
    /app/xge/cfg/config:dhcrelay['dhcp_server_ip']='192.168.122.1'
    
  • настроить firewall на сервере биллинга и на маршрутизаторах, по схеме все, что явно не разрешено, то запрещено.
  • ограничить физический доступ к серверу.
  • прописать регламент безопасности и уровни доступа к информации, к серверу по сети, и к физическому серверу.
  • прописать доп.соглашения к трудовым договорам о коммерческой тайне и тайне ИСПДН.

1. Разделение прав доступа в биллинге по ролям

http://docs.carbonsoft.ru/pages/viewpage.action?pageId=48693373

2. Доступ в биллинг с адресов/изменение портов

http://docs.carbonsoft.ru/pages/viewpage.action?pageId=48693373

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.