Tổng trang web an ninh đề phòng

1. Chính sách bảo mật hệ thống chính thức.

Một trong những cách hiệu quả nhất để tăng cường an ninh trang Web là không kỹ thuật. Mặc dù đầu vào được yêu cầu từ Web Masters và quản trị mạng, quản trị hệ thống, hoặc người có trách nhiệm tổng thể cho dữ liệu bảo mật, nên thiết lập một chính sách an ninh mạng đó là tài liệu chính thức và duy trì, và là một cách siêng năng tập luyện. Như một chính sách an ninh mạng nên nhà nước rõ ràng và ngắn gọn:

– Ai được phép truy cập vào hệ thống;
– Khi truy cập được phép để những người sử dụng;
– Trường hợp được phép truy cập. Các lĩnh vực truy cập nên thay đổi tùy theo các nhóm thành viên;
– Những nhiệm vụ mà họ được phép thực hiện, ví dụ, đọc, viết, tạo ra, thay đổi, xóa, vv Điều này sẽ thay đổi tùy theo chức năng công việc trong nhóm thành viên;
– Làm thế nào truy cập vào các hệ thống được cấp cho họ;
– Những trường hợp mà theo đó quyền truy cập của họ bị từ chối hoặc thậm chí bị thu hồi, ví dụ, về việc chấm dứt việc làm;
– Tiêu chuẩn để sử dụng chấp nhận được, ví dụ như, một số loại trang web có thể bị cấm hoặc cho là không phù hợp;
– Thủ tục đăng nhập vào và ra, địa phương và từ xa;
– Tiêu chuẩn để định nghĩa và tính toàn vẹn của mật khẩu, và các phương pháp để thu hồi của mình nếu bị mất;
– Thủ tục giám sát hệ thống, ví dụ như, việc sử dụng các tập tin đăng nhập;
– Thủ tục xử lý vi phạm bị nghi ngờ về an ninh.

Các hệ thống chính sách bảo mật tài liệu không cần phải được diễn đạt trong thuật ngữ cao cả, nhưng cần được, về cơ bản, một bản tóm tắt về cách tổ chức thông tin của chức năng hệ thống trong vòng ràng buộc của nó quản lý và công nghệ.

Một hệ thống chính sách bảo mật chính thức cung cấp nhiều lợi ích:

– Mọi người đều biết chính xác những gì và những gì không được phép trên hệ thống. Web Masters và đặc biệt là quản trị viên mạng phải có một sự hiểu biết rõ ràng về những gì được phép, để họ có thể chắc chắn liệu có được một sự vi phạm hay không.

– Mọi người đều hiểu tầm quan trọng của chính sách bảo mật hệ thống. Một tài liệu chính thức tăng nhận thức về bảo mật, và là một điểm tham chiếu tiêu chuẩn.

– Các tài liệu chính nó có thể hoạt động như một đặc tả các yêu cầu chống lại được những thay đổi có thể có kỹ thuật có thể được đánh giá. Tiền bạc và thời gian có thể được cứu nếu các giải pháp phải được thực hiện trong các trường hợp đầu tiên, thay vì mua một giải pháp với hy vọng rằng nó sẽ phù hợp hoặc có thể được điều chỉnh để phù hợp với hệ thống.

– Các chính sách bảo mật hệ thống có thể hỗ trợ một trường hợp pháp luật trong trường hợp cần thiết phải truy tố về vi phạm an ninh hệ thống.

2. Các biện pháp phòng ngừa.

Phần lớn các máy chủ web chạy trên nền tảng Unix hoặc Windows NT. Để được tư vấn chi tiết về các biện pháp đề phòng an ninh hệ thống, xem bài khác trong loạt bài này. Dưới đây là phác thảo một:

– Về cơ bản, giữ cho mọi thứ đơn giản nhất có thể. Không giữ những gì bạn không sử dụng.

– Bất kỳ dịch vụ không sử dụng nên được loại bỏ khỏi hệ thống. Tất cả các phần mềm không cần thiết phải được gỡ bỏ. Các “siêu máy chủ” tập tin / etc / inetd.conf (Unix) hoặc Trung tâm dịch vụ hệ thống quản lý (Windows NT) cần được kiểm tra để xem liệu có bất kỳ máy chủ không cần thiết đang hoạt động, và những người không được sử dụng sẽ bị ngừng hoạt động.

– Tất cả thông dịch ngôn ngữ không cần thiết và các chương trình bao nên được gỡ bỏ hoặc, ít nhất, người tàn tật.

– Đăng nhập tài khoản nên được giới hạn ở mức tối thiểu trên mỗi máy. Người dùng trở nên không hoạt động nên bị xóa ngay lập tức.

– Chính sách mật khẩu sẽ được thực hiện nghiêm túc.

– Quyền phải được đặt chính xác trên hệ thống tập tin và thư mục để được hiển thị, đọc, chỉnh sửa, viết hay xóa. Các máy chủ Web cấu hình tập tin hay thư mục tài liệu cấu trúc có thể thay đổi tình cờ bởi một người dùng địa phương, từ đó tạo ra một lỗ hổng bảo mật. Tập tin cho phép nên được đặt trong thư mục máy chủ gốc và tài liệu, để thay đổi có thể được thực hiện chỉ bởi tin cậy người dùng địa phương.

– Cả hai các tập tin đăng nhập Web và các tập tin đăng nhập hệ thống nên được xem xét thường xuyên các dấu hiệu của hoạt động đáng ngờ.