Исходный код вики Защита процессинга от внешних атак
Последние авторы
| author | version | line-number | content |
|---|---|---|---|
| 1 | (% class="wikigeneratedid" %) | ||
| 2 | Содержание: | ||
| 3 | |||
| 4 | {{toc depth="4" start="3"/}} | ||
| 5 | |||
| 6 | === Использование капчи === | ||
| 7 | |||
| 8 | Для защиты от взлома авторизация клиента в Личном кабинете на сайте защищена [[невидимой капчей>>doc:Main.Installation_and_configuration.Personal_account_configuration.Invisible_captcha.WebHome]]. Участнику Программы лояльности (ПЛ) нет необходимости вводить какие-то символы из искаженной строки или выставлять флаг «Я не робот», т.к. невидимая капча самостоятельно распознаёт его поведение и, в случае подозрительных действий (например, последовательного ввода неверных авторизационных данных), выдаёт стандартные задания для проверки (распознавание текста, картинок и пр.). | ||
| 9 | |||
| 10 | Данный механизм позволяет защитить Систему от несанкционированного доступа компьютерных ботов и в то же время не доставляет неудобств реальным пользователям. Для настройки капчи достаточно зарегистрировать свой сайт на официальном ресурсе Google и подключить плагин капчи, указав в настройках полученные при регистрации ключи капчи. | ||
| 11 | |||
| 12 | === Лимиты доступа === | ||
| 13 | |||
| 14 | В cистеме Loymax предусмотрен ряд ограничений, блокирующих многократно повторяющиеся действия со стороны пользователей. Данные ограничения позволяют защитить Систему от атак взломщиков и включают: | ||
| 15 | |||
| 16 | * ограничение на количество регистраций и авторизаций в Личном кабинете с одного IP-адреса; | ||
| 17 | * ограничение на количество попыток ввода пароля при идентификации пользователя; | ||
| 18 | * ограничение на количество попыток смены пароля и номера телефона; | ||
| 19 | * ограничение на количество попыток запроса и ввода кода подтверждения; | ||
| 20 | * ограничение на количество попыток замены карты. | ||
| 21 | |||
| 22 | Настройка лимитов доступна в административной панели АРМ. Для каждого лимита можно задать: | ||
| 23 | |||
| 24 | * граничное значение, | ||
| 25 | * период времени, в течение которого ведется подсчёт действий пользователя, | ||
| 26 | * время блокировки с точностью до минут. | ||
| 27 | |||
| 28 | Кроме того, для каждого лимита можно настроить отправку уведомления, информирующего о срабатывании ограничения, чтобы администратор, например, смог своевременно отреагировать на несанкционированные действия в Системе. | ||
| 29 | |||
| 30 | **Список особо важных лимитов представлен в разделе [[Лимиты>>doc:Main.Using.MMP.Admin_panel.Limits.WebHome]].** | ||
| 31 | |||
| 32 | === {{id name="Defense"/}}Защита от DDoS-атак и взлома === | ||
| 33 | |||
| 34 | * Защита на базе платформы **Qrator** ограждает Систему Loymax от атак типа "распределённый отказ в обслуживании", когда злоумышленники выводят из строя систему потоком запросов. | ||
| 35 | * Защита веб-приложений от взлома осуществляется специальным сервисом **AntiBot**, который проводит многофакторный анализ данных о трафике и блокирует любую нежелательную автоматизированную активность. Сервис защищает от парсеров, сканеров уязвимостей, утилит для целевых атак (включая атаки нулевого дня), массовых регистраций, других атак на бизнес‑логику приложений и угроз из списка OWASP Automated Threats to Web Applications. | ||
| 36 | * Ведется постоянный аудит, логирование и мониторинг работы сервера и доступности к сервисам Системы. | ||
| 37 | * Специальный сервис **Центр мониторинга и реагирования на инциденты ИБ** (Security Operation Center) осуществляет постоянный мониторинг и проактивное предотвращение угроз, анализ вторжений и инцидентов безопасности. | ||
| 38 | * Все данные хранятся в дата-центре, соответствующему стандарту **Uptime Institute Tier III: Operational Sustainability** (статус **Silver**), со строгим пропускным режимом и круглосуточной охраной. |