Обзор СЗИ «WebGard 2.0»

Образ современной системы представляет из себя Single page application (SPA или одностраничное приложение). Это вариант приложения, когда используются бэкенд и фронтенд. С помощью их взаимодействия создаются приложения, которые работают без перезагрузок страницы в браузере. Или в упрощенном варианте, когда переходы между разделами вызывают перезагрузки, но любые действия в разделе обходятся без них.

Когда в приложении обрабатывается информация ограниченного доступа, то оно не может обойтись без функционала авторизации пользователя (наделение его теми или иными правами в приложении). Когда приложение получает статус ИСПДн или ГИС, перед разработчиками встает вопрос, как выполнить требования регулятора (ФСТЭК России) касательно требований по управлению доступом субъектов доступа к объектам доступа (УПД).

На этом этапе у разработчиков возникает два пути:

1. Сертифицировать механизмы разграничения доступа в приложении.

2. Использовать наложенное, сертифицированное средство защиты информации.

Первый вариант позволяет более гибко управлять доступом внутри системы, но требует квалифицированных специалистов, немалого времени и значительных расходов на сертификацию.

Второй вариант не всегда применим из-за выбора технологий аутентификации пользователей разработчиками, но лишен большинства недостатков первого.

Для большинства web-приложений в качестве наложенного СЗИ от НСД подойдет «WebGard 2.0».

– разграничение доступа администраторов к подсистеме администрирования;

– система разграничения доступа пользователей к системе;

– фильтрация HTTP и SQL запросов пользователей;

– аудит HTTP и SQL запросов пользователей;

– аудит действий администраторов;

– регистрация событий безопасности;

– синхронизация прав пользователей с защищаемым приложением.

Рассмотрим некоторые функции «WebGard 2.0» подробнее.

В WebGard 2.0 реализована система разграничения доступа.

Администратор контролирует создание новых пользователей, их редактирование и доступ к защищаемому сайту.

Для контроля функций сайта создаются отдельный модули с доступными пользователям функциями.

Пользователям возможно задать роли, прикрепив к ним модули с доступными функциями.

WebGard 2.0 позволяет настроить безопасность сайта по требуемым регулятором параметрам.

Администратор может выбрать режим работы по белому или черному списку. В зависимости от режима работы и определенной роли, пользователям ограничивается или предоставляется доступ к определенным разделам защищаемого приложения.

Имеется возможность создания новых администраторов, которые могут редактировать параметры пользователей. Возможность редактирования самих администраторов имеет только супер администратор, который имеет доступ к базе данных.

Также каждому пользователю привязывается ряд параметров, которые можно редактировать для предоставления более гибкой системы разграничения.

Любое действие не остается незамеченным. WebGard 2.0 ведет аудит действий пользователя и аудит действий администратора.

В аудит пользователя вносятся данные пользователя, отправленный запрос, информация откуда, когда и какой был отправлен запрос, статус запроса и был ли он реализован, имя сервера.

В аудите администратора вносятся данные администратора, совершенное действие, информация откуда, когда и какая была реализована функция, результат действия и комментарий к записи аудита.

В заключении хочется выделить основные преимущества программы «WebGard 2.0»:

– включен в Единый реестр российских программ № 6834;

– работает на отечественных ОС (Астра Линукс, Альт Линукс и др.);

– имеет лицензию ФСТЭК России № 4460 от 05.10.2021.

Подробную информацию о продукте, а также тестовый образец можно получить на сайте разработчика (https://vrca.ru).

До встречи в следующих обзорах!

Автор: Закиров Амир, ООО "Поволжский Удостоверяющий Центр"