В системе управления контентом RBC Contents данные для аутентификации пользователей хранятся в защищенном виде (хеширование по алгоритму MD5). Система позволяет настроить дополнительные меры по обеспечению безопасности:
- Ограничения доступа по IP-адресам, если пользователи администраторской части RBC Contents работают исключительно из подсети Компании;
- Доступ к администраторскому интерфейсу при помощи защищенного соединения с использованием SSL-сертификатов;
- Альтернативные способы проведения аутентификации, например, при помощи LDAP или с использованием USB-ключей с электронной цифровой подписью.
Применяемая в RBC Contents иерархическая ролевая модель разделения доступа гарантирует гибкое управление правами пользователей сайта на совершение различных операций. В системе предусматривается три основные категории административных функций с различными схемами управления доступом:
- работа с системными функциями;
- управление структурой сайта;
- управление содержанием.
При этом разграничение прав доступа также возможно и внутри этих категорий.
В RBC Contents ведется учет всех операций, осуществленных через администраторский интерфейс системы, с возможностью просматривать журналы операций с фильтрацией по времени, типу операции или администратору.
Современные методы обеспечения безопасности предполагают регулярный мониторинг наличия уязвимостей в продукте. При обнаружении уязвимости в RBC Contents специалисты РБК СОФТ оперативно выпускают обновление, которое предоставляется владельцам RBC Contents через систему обновлений.
В процессе разработки специалисты РБК СОФТ используют специальные инструменты для валидации программного обеспечения, такие как сканер безопасности XSpider, а также применяют стандарты кодирования, исключающие появление уязвимостей, подобных SQL-injection и cross-site scripting.