Информационная безопасность (ИБ) — дисциплина и практика защиты информации и информационных систем от угроз конфиденциальности, целостности и доступности. Три базовых принципа называют триадой CIA: Confidentiality (конфиденциальность), Integrity (целостность), Availability (доступность). Нарушение любого из трёх — инцидент ИБ.
Ключевые направления ИБ
Сетевая безопасность — защита сетевой инфраструктуры: межсетевые экраны, системы обнаружения вторжений (IDS), сегментация сети через VLAN и DMZ, шифрование трафика через VPN и TLS.
Защита приложений — выявление уязвимостей в коде и конфигурации: OWASP Top 10 покрывает наиболее распространённые риски (SQL-инъекции, XSS, IDOR). Инструменты: WAF (Web Application Firewall), статический и динамический анализ кода (SAST/DAST), регулярный пентест.
Управление доступом — принцип минимальных привилегий: каждый субъект получает ровно те права, которые необходимы для выполнения задачи. Реализуется через IAM (Identity and Access Management), SSH-ключи, многофакторную аутентификацию (MFA).
История
Как формальная дисциплина ИБ оформилась в 1970-х годах с распространением мейнфреймов. В 1983 году Министерство обороны США опубликовало TCSEC («Оранжевая книга») — первый стандарт оценки защищённости систем. В 1996 году появился стандарт ISO/IEC 17799 (позднее ISO 27001), определивший международную базу управления ИБ. С 2000-х государственные регуляторы начали вводить обязательные требования: PCI DSS (2004) для платёжных систем, GDPR (2018) для персональных данных.
ИБ в контексте хостинга
Для серверной инфраструктуры ИБ включает несколько обязательных слоёв. Первый — защита периметра: закрыть все порты кроме необходимых, изменить стандартный SSH-порт 22, ограничить доступ по IP. Второй — аутентификация: отключить root-логин по паролю, использовать только SSH-ключи (RSA 4096-bit или Ed25519). Третий — обновления: уязвимости в ядре Linux (например, Dirty COW, CVE-2016-5195) эксплуатируют в течение часов после публикации, поэтому автоматические обновления безопасности (unattended-upgrades) обязательны.
Шифрование дисков защищает данные при физическом изъятии сервера. Регулярное резервное копирование с проверкой восстановления — защита от ransomware и случайного удаления. Мониторинг через IDS и анализ логов (fail2ban, auditd) позволяет выявлять атаки на ранней стадии.
Ключевые стандарты
- ISO/IEC 27001 — международный стандарт системы управления ИБ (ISMS)
- PCI DSS — требования для обработки платёжных данных
- GDPR — регуляторные требования ЕС по защите персональных данных
- NIST Cybersecurity Framework — американский фреймворк: Identify, Protect, Detect, Respond, Recover
- ГОСТ Р ИСО/МЭК 27001 — российский аналог ISO 27001
Практические меры защиты на уровне хостинга
Модель CIA реализуется через конкретный набор технических мер. Конфиденциальность обеспечивает TLS/SSL для шифрования трафика, шифрование диска (LUKS, BitLocker) для данных в покое, контроль доступа через IAM. Целостность — хэш-суммы (SHA-256) для верификации файлов, цифровые подписи (GPG), атомарные транзакции в базах данных. Доступность — резервное копирование, failover, балансировка нагрузки.
Регуляторные требования
Для российских хостингов и их клиентов ключевые нормативы: ФЗ-152 «О персональных данных» (хранение персданных россиян на серверах в РФ), приказы ФСТЭК России по защите информации, PCI DSS для обработки банковских карт. Нарушение ФЗ-152 — штрафы до 6 млн рублей и блокировка сервиса.
Международные стандарты: ISO/IEC 27001 — стандарт системы менеджмента информационной безопасности (СМИБ), SOC 2 Type II — аудит процессов безопасности и доступности для SaaS-провайдеров. Крупные дата-центры проходят эти аудиты ежегодно.
Угрозы, специфичные для хостинга
- Brute force — перебор паролей SSH, панелей управления. Защита: fail2ban, двухфакторная аутентификация, SSH-ключи.
- SQL injection — внедрение кода через уязвимые веб-приложения. Защита: WAF, параметризованные запросы.
- Supply chain attacks — компрометация зависимостей (npm-пакеты, pip). Защита: проверка хэшей, аудит зависимостей.
- Privilege escalation — получение root-прав через уязвимость ядра. Защита: своевременный patching, SELinux/AppArmor.