§4. Безпека та спеціальні засоби Web-сайту
Короткий опис проблеми
Публічні Web-сервери продовжують залишатися об’єктами атак хакерів, які хочуть за допомогою цих атак завдати шкоди репутації організації або добитися будь-яких політичних цілей, не кажучи вже про сумнівний “спорт” по несанкціонованому доступу до комп’ютерів у мережі. Надійні захисні заходи зможуть захистити сайт від тих неприємностей, які може мати організація у разі успішної атаки на неї.
Можлива різна шкода – від простого блокування роботи серверу до заміни його змісту порнографічним матеріалом, політичними лозунгами або винищення груп файлів, а також розміщення на сервері програм, що забезпечують несанкціонований доступ третіх осіб (наприклад, троянських коней).
Рекомендації для забезпечення безпеки WWW-серверів:
1. Необхідно розташувати Web-сервер у демілітаризованій зоні (DMZ). Сконфігуруйте міжмережний екран таким чином, щоб він блокував з’єднання, що входять до Web-серверу з усіма портами, крім http (порт 80) або https (порт 443).
2. Вилучіть всі непотрібні сервіси з Web-серверу. Кожен непотрібний, але залишений сервіс може стати помічником хакера при організації їм атаки.
3. Відключіть всі засоби віддаленого адміністрування, якщо вони не використовують шифрування всіх даних сеансів або одноразових паролів.
4. Обмежте кількість осіб, які мають повноваження адміністратора.
5. Протоколюйте всі дії користувачів.
6. Проводьте регулярні перевірки системних журналів на предмет виявлення підозрілої активності.
7. Вилучіть всі непотрібні файли.
8. Встановіть усі необхідні нові виправлення програм на Web-сервері, що стосуються безпеки.
Якщо Ви станете об’єктом атаки, і цих засобів виявиться замало, слід звернутися до послуг спеціалізованих фірм (багато провайдерів Інтернет надають ці послуги).
Підрахунок кількості відвідувачів
Адміністратори офіційного Web-сайту завжди бажають дізнатися, скільки людей відвідало їх сторінку (чи користується популярністю, чи майже не відвідується). Якщо Web-сторінка розміщується на власному Web-сервері або у дружнього провайдера, можна отримати цю інформацію, просто зробивши запит. Програма забезпечення Web-серверу автоматично відслідковує таку статистику.
Для гарантії отримання цієї інформації треба самим потурбуватися про визначення кількості відвідувачів. Існує декілька засобів створення на офіційній Web-сторінці диференційного лічильника. Кожного разу, коли хто-небудь відвідує Web-сторінку, такі лічильники збільшують значення числа, що зберігається, на одиницю.
Існує декілька служб, які дозволяють розробникам офіційних сторінок застосовувати на своїх Web-сайтах диференційні лічильники. Адміністратори Web-сторінки можуть завести собі його за допомогою звичайного Web-посилання. Такий лічильник не вимагає ані довгого часу на створення і підтримку, ані знання складних HTML-кодів.
Кожного разу після вводу посилання на лічильник його значення буде збільшуватись на одиницю, коли сторінку хто-небудь відвідав. Офіційна сторінка може містити посилання на базу даних, у якій і відбувається підрахунок кількості відвідувачів. Кожен може використовувати такий власний лічильник на своїй Web-сторінці.
Розміщуйте посилання лічильника ближче до кінця документа. Броузери завантажують Web-сторінку зверху вниз. На те, щоб зв’язатися зі сторінкою лічильника і повернути його з поточною кількістю відвідувачів, вимагається декілька додаткових секунд. Якщо лічильник знаходиться внизу сторінки, відвідувачам не доведеться чекати, вони у цей час зможуть розглядати решту інформації на сторінці.
Реєстрація Web-сайтів (Web-серверів)
Реєстрація Web-сайтів органів ДПС відбувається в три етапи.
Реєстрація доменного імені
Для реєстрації домену необхідно:
1. Вияснити, чи вільне доменне ім’я, яке потрібно зареєструвати.
Переглянути лист зареєстрованих доменів зони .ua (Україна) або
http://meta-ukraine.com/tree.asp
Переглянути листи зареєстрованих доменів зон .com, .net і .gov (загальні домени всесвітньої мережі Інтернету, урядові організації) можна на сторінці http://www.RuNIC.ru/On-Line/MiniCheck
2. Настроїти DNS (Domain Name Server) Web-серверу для домену (primary і secondary nameservers). Рекомендації стосовно настройки DNS викладені в документації операційної системи. За допомогою можна звернутися до системного адміністратора Web-серверу.
Обов’язково майте на увазі, що primary і secondary nameservers повинні лежати у різних мережах класу С.
Якщо виникають проблеми з розміщенням зони, рекомендуємо звернутися з цим питанням до Інтернет-сервіс-провайдера.
3. Надішліть заявку з формою для реєстрації домену за адресою Інтернет-провайдера. Для складання заявки зручно користуватися інтерфейсом WWW для реєстрації доменів.
УВАГА! Якщо проведення процедури реєстрації домену доручається провайдеру і при цьому є бажання, щоб домен був зареєстрований на податковий орган, а не на провайдера, для запобігання можливих ускладнень необхідно попередньо обговорити з ним це питання. Внесіть цю умову у Договір з провайдером.
4. Після закінчення реєстрації домену і його делегування податковий орган, вказаний як платник по домену (в полі «bill-o»), має укласти з Інтернет-провайдером Договір про реєстрацію і технічну підтримку домену та оплатити виставлений рахунок.
Надсилання офіційного листа
Після реєстрації доменного імені Web-сайт стає доступним в Інтернеті. Податковий орган має надіслати офіційного листа до ДПА України з повідомленням про відкриття нового Web-сайту, вказавши його доменне ім’я в Інтернеті.
Реєстрація у пошукових системах
Зроблена перша версія офіційного сайту, він з’явився в Інтернеті, але до нього практично ніхто не звертається, за виключенням розробника та його знайомих. А сторінка, можливо, цікава і іншим особам. Така ситуація складається тоді, коли не проведене розкручування сайту. Все просто – про нього ніхто нічого не знає. У разі, коли сайт є офіційною публікацією податкового органу, то треба зробити все необхідне, щоб інші могли ним користуватися.
Треба зайнятися його рекламою – збільшенням щоденної кількості відвідувачів. Є декілька засобів досягнення цього:
• реєстрація у пошукових системах;
• банерообмінні мережі;
• згадування сайту у Web-огляді;
• друкована реклама в газетах і журналах;
• сповіщення про появу сайту у відповідній телеконференції;
• обмін посиланнями з родинними сайтами;
• згадування адреси сайта при листуванні та ін.
Найпростіший, але ефективний засіб розкручування – реєстрація у пошукових системах і каталогах. Є пошукові системи і є Інтернет-каталоги.
Пошукова система – дуже велика база даних, яка зберігає повні тексти всіх зареєстрованих сайтів. Необхідним компонентом пошукової системи є роботи.
Робот – це невеличка програма, що ходить за посиланнями на сайті та індексує всі сторінки, які зустрічаються на шляху. Для реєстрації необхідно повідомити роботу адресу свого сайту. Пошукові системи досить завантажені роботою, адже щоденно надходять десятки тисяч запитів. З цієї причини після подання запиту на реєстрацію пройде майже 1-2 тижні, перш ніж сайт реально проіндексується пошуковим роботом.
Інтернет-каталоги – списки ресурсів, що розподілені за категоріями. Бувають спеціалізовані і загальні. Основна відмінність їх від пошукових систем полягає в тому, що всі запити проглядаються людьми, які оцінюють значущість сайту, вибирають для нього категорію у каталозі і коректують наданий опис.
Найпростіший і найшвидний засіб оголосити свій офіційний Web-сайт – відвідати сайт Submit It! Заповнивши тільки одну форму цього рекламного вузла, ви внесете ваш офіційний Web-сайт у 15 найбільш популярних пошукових систем і каталогів Web-сайтів (в тому числі у Yahoo!, Lycos, WebCrawler та Official WWW Yellow Pages).
Сайт Submit It! розташований за адресою http://free.submit-it.com.
Опинившись на сайті Submit It!, ви заповнюєте форму. Автоматично інформація про ваш офіційний Web-сайт розсилається на всі пошукові машини і каталоги WWW, які перелічені у списку Submit It! Кожний з цих вузлів зчитує запит і визначає, як внести вас до списку.
Вузол Submit It! дає можливість за один раз внести Web-сайт у цілій ряд Web-каталогів. На жаль, у Submit It! є недолік. Ви не будете знати, у які каталоги внесена та чи прийнята інформація. Доведеться самим перевірити більшу частину цих служб і продивитись, чи є ви у списку. Проте Submit It! завдяки його простоті можна розглядати як перший крок.
Перед тим, як реєструвати сайт, потрібно трохи підготуватися – надалі це зекономить час. Починати необхідно з пошуку ключових слів і складання зрозумілого опису сайта.
Ключові слова
До підбору ключових слів слід підходити серйозно. Правильний їх вибір дозволяє дуже посилити позицію сайту при запитах. Необхідно підібрати близько 20-30 ключових слів. А потім перевірити їх, набравши у пошуковій системі. Список яких сайтів повертається? Чи пов’язані вони з тематикою заданого сайту? Якщо так, то добре, і це означає, що вже підібрані більш-менш основні слова. Для власної перевірки прогляньте, які ключові слова використовуються на знайдених сторінках.
Опис сайту
Опис має бути лаконічним, ємним, зрозумілим з першого погляду. У пошуковій системі інформація виводиться невеликими порціями про кожен знайдений сайт, і просто нема місця більш ніж на один невеликий абзац. При складанні опису не потрібно вказувати назву сайту, вона і так буде проіндексована. Також необхідно уникати загальних фраз типу: «Тут Вам буде цікаво», «На цьому сайті є все» і т.ін. Необхідно подати саме зміст. А відвідувач сам розбереться, на яку сторінку йому необхідно піти. Кожному сайту потрібен не просто відвідувач, а саме Його відвідувач.
