Безопасность

«1С−Битрикс: Корпоративный портал» обеспечивает максимальную защиту от самых разнообразных угроз безопасности.

Безопасность платформы разработки проверена на тысячах веб-сайтов, работающих в интернете и представляющих лицо самых разных компаний: от имиджевых корпоративных сайтов до крупнейших интернет-магазинов и  информационных порталов.

Работа собственного отдела информационной безопасности и аудит продуктов внешними компаниями предоставляют клиентам «1С−Битрикс» полную уверенность в  сохранности конфиденциальной информации.

Составляющие безопасности корпоративного портала

При разработке «1С−Битрикс: Корпоративный портал» мы обеспечили поддержку всех составляющих безопасного веб-приложения.

1. Продуманная архитектура безопасности и  разграничения доступа
   
   «1С−Битрикс: Корпоративный портал» обеспечивает эффективную политику разграничения доступа пользователей и групп пользователей к материалам и  сервисам, которая гибко определяет права и полномочия каждого сотрудника.
   
2. Защищенность программного кода от  уязвимостей
   
   Программный код продукта  «1С−Битрикс: Корпоративный портал» проверен, а  обновления постоянно тестируются внутренней службой информационной безопасности на стойкость к известным угрозам. Кроме этого, был проведен аудит архитектуры системы безопасности и ее программной реализации. Аудит выполнен Positive Technologies — ведущей российской компанией в области информационной безопасности.
   
3. Безопасность информационной среды
   
   Корпоративный портал работает на веб-сервере, который в свою очередь функционирует в операционной системе. Для хранения данных используется СУБД, для работы скриптов — интерпретатор PHP. Также задействована масса других программ и сервисов, связанных с правильной работой всех функций портала. Ведь любой компонент данной сложной инфраструктуры может являться слабым звеном с  точки зрения безопасности, а, значит, быть потенциальным источником угроз.
   
   Мы даем рекомендации по настройке серверного программного обеспечения (для Windows и Unix/Linux платформ), и кроме этого поставляем специальный пакет «Битрикс: Веб-окружение», представляющий собой пакет серверного ПО, правильно подобранного и сконфигурированного для обеспечения безопасной работы продукта «1С−Битрикс: Корпоративный портал» под Windows.

Внутренний аудит

Наш внутренний отдел информационной безопасности производит постоянный мониторинг нового программного кода, генерируемого разработчиками. Он  заключается в моделировании угроз безопасности, различных классах атак, попытках реализации технического взлома портала различными приемами и  экспериментами.

Это кропотливая и сложная работа, требующая превосходного знания нашей программной платформы, работы браузеров и веб-серверов, PHP и различных СУБД. Данные специалисты не участвуют в разработке функционала, поскольку на практике практически невозможно одновременно разрабатывать функционал и учитывать все аспекты надежности программного кода к  взлому.

Это отдельный технологический цикл, и мы считаем его обязательным для общего процесса разработки.

Как бы не был востребован новый функционал, как бы не хотелось его скорее выпустить и предоставить нашим клиентам и партнерам, окончательное решение по  включению его в систему обновлений дают специалисты по безопасности.

Внешний аудит

Несмотря на то, что компания «1С−Битрикс» уделяет важнейшее значение вопросам безопасности в программном продукте и безопасной разработке веб-приложений, для обеспечения нового уровня защищенности и предоставления большей уверенности для клиентов было решено провести независимый аудит защищенности наших продуктов.

Компания Positive Technologies провела полномасштабное тестирование  платформы Битрикс.Framework, на которой реализованы продукты «1С−Битрикс: Управление сайтом» и «1С−Битрикс: Корпоративный портал», располагая исходными текстами продукта и консультационной поддержкой технических специалистов компании «Битрикс».