Проблема защиты сайта вуза от хакерских атак

Ежегодно российские вузы сталкиваются с атаками на их официальные сайты, пик которых приходится на период приемной кампании. Текущий год не стал исключением, уже 20 июня большинство сайтов образовательных организаций либо перестали работать, либо открывались с большой задержкой, не выдерживая шквала DDoS.  Но кроме атак с целью вызвать отказ в обслуживании, многие сайты были попросту взломаны. Большинство инцидентов со взломами сайтов вузов не было расследовано, но эксперты утверждают, что в подавляющем количестве случаев причина была в ошибках, допущенных администраторами сайтов. Первая тройка ошибок администрирования не меняется уже длительное время, вспомним их:

1. отсутствие установленных обновлений безопасности системы управления контентом (CMS);
2. отсутствие установленных обновлений безопасности веб-сервера и операционной системы;
3. неправильно настроенные права и полномочия пользователей.

С первой и второй проблемами бороться помогает дисциплина. Самые распространенные и потому очень популярные у хакеров CMS, которые используют вузы для построения сайтов, это бесплатные WordPress, Jumla и Drupal, а также коммерческая система «1С-Битрикс». Администратору сайта необходимо подписаться на бюллетени безопасности установленной CMS, а также операционной системы, где развернут веб-сервер.

Третья проблема больше организационная: необходимо периодически производить смену паролей, а также производить инструктаж по безопасности пользователей, которые имеют расширенный доступ к редактированию разделов сайта.

Кроме названных проблем важным вопросом является сетевая инфраструктура веб-сервера. Очень часто встречается ситуация, когда сервер, на котором работает сайт вуза, размещен во внутренней компьютерной сети образовательной организации, а внешние запросы обрабатываются путем переадресации трафика. При такой архитектуре хакерская атака не ограничивается взломом сайта, чаще после вторжения на веб-сервер атака распространяется по внутренней сети с целью завладения ресурсами других серверов и рабочих станций.

Правильная организация работы сайта вуза должна включать вынесение веб-сервера за периметр сетевой инфраструктуры учебного заведения. Достаточно экономным решением будет аренда виртуального сервера VPS. Если ознакомиться с тарифами на указанную услугу на сайте хостинг-провайдера https://hoster.ru/vps, то мы можем отметить, что во все тарифы уже включена защита сайта от DDoS-атак.

Работа сайта вуза на внешнем VPS имеет ряд преимуществ:

• Повышенная безопасность: сервер находится в сети хостинг-провайдера и не контактирует с внутренней компьютерной сетью вуза, обновлением операционной системы и системного программного обеспечения занимаются специалисты хостинг-провайдера.
• Защита от DDoS-атак и повышение скорости отклика сайта на запросы пользователей: веб-сервер находится в сети хостинг-провайдера, которая имеет широкие каналы связи с сетью Интернет, а также узлами обмена трафиком (IX); защита от атак типа «отказ в обслуживании» на 2 и 3-х сетевых уровнях обеспечивается поставщиком услуги. Не надо также забывать, что DDoS-атака на сайт в случае размещения его на внешнем VPS не будет нарушать работу сети вуза и мешать преподавателям и обучающимся получать доступ к сети Интернет.
• Повышенная надежность: хостинг-провайдеры имеют резервированные каналы связи, источники электропитания, круглосуточный технический персонал. Многие центры обработки данных имеют сертификацию Tier Standard.
• Хорошая масштабируемость производительности: вуз может менять тарифные планы по мере увеличения или снижения нагрузки на сайт, что позволит выделять для работы веб-сервера необходимое количество ресурсов. Например, можно переходить на более дорогой тариф в период приемной кампании для обеспечения стабильной работы сайта вуза.
• Снижение капитальных затрат на оборудование и программное обеспечение: вуз может сэкономить средства для создания и поддержания работы собственного центра обработки данных. Приобретение серверов, коммутационного оборудования, источников бесперебойного питания, лицензий программное обеспечение в случае аренды не требуется.

К недостаткам архитектуры с размещением сайта во внешнем ЦОД можно отнести только необходимость настройки безопасного и эффективного (по объему трафика и количеству запросов) взаимодействия с информационными системами вуза, если на сайте представляются срезы данных или функционируют «личные кабинеты» обучающихся.