Đang tải... (xem toàn văn)
Nội dung chính của đồ án: 1 Kiểm tra lập kế hoạch và quản lý máy chủ web 1.1 Kiểm tra lập kế hoạch cài đặt và phát triển 1.2 Nhân viên quản lý bảo mật 1.2.1 Cán bộ quản lý công nghệ thông tin cấp cao Giám đốc thông tin 1.2.2 Cán bộ quản lý bảo mật các hệ thống thông tin 1.2.3 Cán bộ bảo mật hệ thống thông tin 1.2.4 Cán bộ quản trị mạng và máy chủ web 1.2.5 Nhà phát triển ứng dụng web 1.3 Thực tiễn quản lý 1.4 Kế hoạch bảo mật hệ thống 1.5 Các yêu cầu về nguồn nhân lực 1.6 Kiểm tra những nền tảng máy chủ web 1.6.1 Hệ điều hành tin cậy 1.6.2 Máy chủ web 1.6.3 Máy chủ web và những hệ điều hành cứng hóa 1.6.4 Công nghệ ảo hóa – công nghệ máy ảo 2 Kiêm tra bảo mật máy chủ web 2.1 Kiểm tra hoạt động cài đặt máy chủ web 2.2 Cấu hình kiểm soát truy cập 2.2.1 Kiểm tra cấu hình quyền hạn cho ứng dụng máy chủ web 2.2.2 Cấu hình thư mục có chứa nội dung web bảo mật 2.2.3 URI và Cookies 2.2.4 Kiểm soát tác động của các Bots web trên máy chủ web 3 Bảo mật máy chủ web theo OWASP 3.1 Kiểm tra lỗi XSS cho ứng dụng web 3.2 Kiểm tra lỗi SQL Injection cho dịch vụ web 3.3 Kiểm tra xác thực và quản lý phiên 3.4 Đối tượng tham chiếu thiếu an toàn 3.5 Giả mạo yêu cầu CSRF 3.6 Kiểm tra sai sót cấu hình an ninh 3.7 Lưu trữ mật mã không an toàn 3.8 Sai sót hạn chế truy cập 3.9 Thiếu bảo vệ lớp vận chuyển 3.10 Chuyển hướng và chuyển tiếp thiếu thẩm tra
Mục lục 1 Kiểm tra đảm bảo an ninh, bảo mật cho máy chủ web 1 Kiểm tra lập kế hoạch và quản lý máy chủ web Mục đích kiểm tra: Khía cạnh quan trọng nhất của việc triển khai bảo mật máy chủ Web là lập kế hoạch cẩn thận trước khi cài đặt, cấu hình và triển khai. Kiểm tra lập kế hoạch để đảm bảm rằng máy chủ web bảo mật phù hợp với tất cả các chính sách tổ chức liên quan không. Tìm ra nguyên nhân tại sao máy chủ web hoạt động không hiệu quả 1.1 Kiểm tra lập kế hoạch cài đặt và phát triển Kiểm tra lập kế hoạch cài đặt và phát triển có đúng theo kế hoạch ban đầu không, để cân bằng sự tiện dụng và hiệu năng, rủi ro và kịp thời có những thay đổi phù hợp với khả năng của tổ chức. Một kế hoạch triển khai cho phép các tổ chức duy trì những cấu hình bảo mật và có những trợ giúp trong việc xác định các lỗ hổng bảo mật mà nguyên nhân là do sự sai lệch so với kế hoạch. Danh mục kiểm tra Kết quả Nhận xét Kiểm tra cần xác định được mục đích của máy chủ web o Những loại thông tin sẽ được lưu trữ trên máy chủ web? o Những loại thông tin sẽ được xử lý và được truyền qua máy chủ web? o Những yêu cầu bảo mật cho thông tin? o Bất kỳ thông tin sẽ được khôi phục như thế nào từ nơi lưu trữ trên các máy chủ khác (cơ sở dữ liệu lưu trữ, máy chủ mail)? o Những yêu cầu bảo mật cho bất kỳ máy chủ khác như thế nào? (cơ sở dữ liệu lưu trữ, máy chủ thư mục, máy chủ mail và máy chủ proxy)? o Những dịch vụ nào sẽ được cung cấp bởi máy chủ web? o Những yêu cầu bảo mật cho các dịch vụ được thêm vào? o Những yêu cầu nào cho sự liên tục của dịch vụ được cung cấp bởi các máy chủ web, những quy định trong liên tục các kế hoạch hoạt động và kế hoạch khôi phục sau thiệt hại.? o Kiểm tra vị trí đặt máy chủ web trong mạng có đúng vị trí chưa (có trong miền DMZ không)? Kiểm tra các giao thức được sử dụng trên web o Giao thức HTTP 2 o Giao thức HTTPS o Giao thức lưu trữ Internet (ICP) o Giao thức lưu trữ siêu văn bản (HTCP) o Giao thức phối hợp lưu trữ web (WCCP) o SOCKS o Các dịch vụ cơ sở dữ liệu (kết nối cơ sở dữ liệu mở ODBC) Kiểm tra quyền hạn cho từng loại người dùng trên máy chủ web và máy chủ hỗ trợ Kiểm tra cách quản lý máy chủ web (ví dụ, cục bộ, điều khiển từ xa mạng nội bộ, mạng bên ngoài) Kiểm tra xác thực các tài khoản như thế nào và dữ liệu xác thực sẽ được bảo vệ theo cách nào Kiểm tra ứng dụng máy chủ web phù hợp với các yêu cầu của tổ chức Mục đích của việc kiểm tra máy chủ có thể đưa ra bảo mật tốt hơn, mặc dù có ít chức năng trong một số trường hợp. o Kiểm tra chi phí o Kiểm tra tính tương thích với cơ sở hạ tầng đã tồn tại o Kiểm tra kiến thức của các nhân viên hiện tại o Kiểm tra mối quan hệ sản xuất đã có o Kiểm tra lịch sử điểm yếu trong quá khứ o Kiểm tra chức năng Kiểm tra các hình thức bảo vệ an ninh vật lý có thích hợp không? o Khóa o Truy nhập bằng công cụ đọc thẻ o Nhân viên bảo vệ o Các công cụ phát hiện xâm nhập vật lý IDSs (cảm biến, camera giám sát) Kiểm tra nhiệt độ, độ ẩm của môi trường có phù hợp không? Kiểm tra có nguồn điện dự phòng? Sẽ cung cấp được nguồn điện là bao lâu? Kiểm tra khả năng sẵn sàng cao, có kết nối mạng đến ít nhất 2 nhà cung cấp dịch vụ không ? Kiểm tra vị trí đặt của máy chủ web, nếu vị trí đặt máy chủ web tại những nơi thiên tai thì có đủ độ cứng để chống lại thảm họa thiên tai không hoặc có một trang web dự phòng bên ngoài không? 1.2 Nhân viên quản lý bảo mật Mục đích kiểm tra: 3 Kiểm tra vai trò chung, ý thức trách nhiệm của từng cá nhân liên quan đến máy chủ web. Đối với từng tổ chức thì vai trò trách nhiệm của từng cá nhân cũng khác nhau. 1.2.1 Cán bộ quản lý công nghệ thông tin cấp cao/ Giám đốc thông tin Danh mục kiểm tra Kết quả Nhận xét Kiểm tra cán bộ quản lý công nghệ thông tin cấp cao/ Giám đốc thông tin (CIO) có thực hiện trách nhiệm đảm bảo an ninh cho tổ chức không. o Kiểm tra hoạt động phối hợp các hoạt động phát triển và duy trì các chính sách, thủ tục, tiêu chuẩn an toàn thông tin cho tổ chức o Kiểm tra hoạt động phối hợp các hoạt động phát triển và duy trì kiểm soát các thay đổi và quản lý thủ tục của tổ chức o Kiểm tra hoạt động phối hợp với các cấp lãnh đạo cấp trên và xử lý, các vấn đề công cộng và các nhân viên khác liên quan để giảm thiểu các chính sách chung và quá trình công bố thông tin cho website và đảm bảm chính sách được thực thi 1.2.2 Cán bộ quản lý bảo mật các hệ thống thông tin Kiểm tra cán bộ quản lý bảo mật các hệ thống thông tin (ISSPM) giám sát việc triển khai và tuân thủ các tiêu chuẩn, quy tắc, quy định trong chính sách bảo mật của tổ chức không. Kiểm tra trách nhiệm của những cán bộ liên quan đến những khía cạnh sau: o Đảm bảo các thủ tục bảo mật được phát triển và triển khai o Đảm bảo các chính sách, tiêu chuẩn, quy tắc và yêu cầu được thực thi o Đảm bảo tất cả các hệ thống quan trọng được xác định và lập kế hoạch dự phòng, kế hoạch khôi phục sau thiệt hại, và tính liên tục trong việc thực thi các kế hoạch triển khai cho các hệ thống quan trọng o Đảm bảo tất cả các hệ thống quan trọng được xác định và lập kế hoạch kiểm tra bảo mật định kỳ theo các yêu cầu chính sách bảo mật với hệ thống tương ứng 1.2.3 Cán bộ bảo mật hệ thống thông tin Kiểm tra trách nhiệm giám sát của cán bộ bảo mật hệ thống thông tin cho tất cả các khía cạnh của bảo mật thông tin với đối tượng cụ thể, đảm bảo rằng các hoạt động bảo 4 mật thông tin của tổ chức phù hợp với các chính sách, tiêu chuẩn thủ tục của từng phòng ban. Các ISSO có trách nhiệm với các hoạt động sau mà có liên quan đến máy chủ web: • Hợp tác trong việc triển khai và phát triển các công cụ bảo mật, cơ chế, và công nghệ đơn giản • Duy trì các thông tin cấu hình chuẩn của máy chủ web và hỗ trợ hạ tầng mạng được kiểm soát bởi tổ chức, nhưng không giới hạn đến các hệ điều hành, tường lửa, định tuyến và các ứng dụng máy chủ web • Duy trì tính toàn vẹn của hệ thống bằng cách tiến hành các kiểm tra bảo mật và lập lịch kiểm tra cho các hệ thống quan trọng 1.2.4 Cán bộ quản trị mạng và máy chủ web Kiểm tra trách nhiệm của cán bộ quản trị máy chủ web đối với thiết kế chung, triển khai, duy trì cho máy chủ web. Cán bộ quản trị mạng có trách nhiệm với thiết kế chung, triển khai, duy trì cho một mạng. Hàng ngày, cán bộ quản trị mạng và máy chủ web thực hiện các yêu cầu bảo mật cho hệ thống mà họ phải chịu trách nhiệm quản trị. Những giải pháp và vấn đề bảo mật có thể bắt nguồn từ những nguyên nhân bên ngoài (bản vá lỗi và sửa lỗi bảo mật từ những nhà sản xuất hoặc các nhóm ứng cứu sự cố bảo mật máy tính) hoặc bên trong tổ chức (phòng an ninh). Các cán bộ quản trị có trách nhiệm với các hoạt động sau có liên quan đến máy chủ web: Kiểm tra cài đặt và cấu hình các hệ thống phù hợp với chính sách và tiêu chuẩn bảo mật tổ chức và phù hợp với những cấu hình mạng hệ thống Kiểm tra duy trì hệ thống quản lý bảo mật, bao gồm cả sao lưu thường xuyên và áp dụng những bản vá lỗi 1 cách kịp thời Kiểm tra giám sát tính toàn vẹn hệ thống, các cấp độ bảo vệ và các sự kiện bảo mật liên quan Theo dõi phát hiện những bất thường về an ninh liên quan đến hệ thống thông tin Tiến hành kiểm tra bảo mật theo yêu cầu 1.2.5 Nhà phát triển ứng dụng web Kiểm tra nhà phát triển ứng dụng web có trách nhiệm xem xét, chức năng, hiệu năng, và bảo mật nội dung web và các ứng dụng trên web mà họ tạo ra. Các mối đe dọa sẽ 5 gia tăng hướng vào những ứng dụng web thay vì các phần mềm và hệ điều hành máy chủ web. Kiểm tra cụ thể theo từng khía cạnh sau: Kiểm tra cơ chế xác thực để đảm bảo xác thực không thể vượt qua khi một người dùng mã độc giả mạo dữ liệu của người dùng hệ thống gửi đến ứng dụng, bao gồm các yêu cầu HTTP, thông tin, các chuỗi truy vấn, cookie từ các trường điền thông tin và các trường ẩn Kiểm tra cơ chế xử lý lỗi một cách bảo mật không dẫn đến tiếp xúc với các thông tin triển khai nhạy cảm Kiểm tra quy trình bảo vệ bảo vệ, lưu trữ thông tin nhạy cảm bằng ứng dụng. Bảo vệ không đầy đủ có thể cho phép dữ liệu giả mạo và truy cập đến các thông tin bí mật như tên người dùng, mật khẩu số tài khoản thẻ tín dụng Kiểm tra việc duy trì các bản ghi ứng dụng cụ thể của bản thân. Trong nhiều trường hợp, thiếu ghi nhật ký máy chủ web sẽ không theo dõi được hoạt động của từng người dùng tại từng mức độ ứng dụng. Ghi log nhật ký kông đầy đủ có thể dẫn đến thiếu thông tin về xâm nhập có thể xẩy ra và thiếu sẵn sàng khi xác minh hành động người sử dụng (cả hợp pháp và trái phép) 1.3 Thực tiễn quản lý Kiểm tra các hoạt động thực tiễn quản lý nhằm xác định các tài sản hệ thống thông tin và sự phát triển, tài liệu hóa, triển khai các chính sách, tiêu chuẩn, thủ tục và hướng dẫn nhằm đảm bảo tính toàn vẹn, sẵn sàng, bí mật của các tài nguyên hệ thống thông tin Để đảm bảo bảo mật cho máy chủ web và hỗ trỡ cho cơ sở hạ tầng mạng, các tổ chức cần phải triển khai kiểm tra các hoạt động sau: Kiểm tra chính sách bảo mật hệ thống thông tin tổ chức có hoạt động theo các nguyên lý cơ bản, quy tắc bảo mật và mục đích theo kế hoạch đã đề ra ban đầu hay không. Các chính sách cần đưa ra trách nhiệm cụ thể từng khu vực của hệ thống thông tin (triển khai, thực hiện. kiểm toán và soát xét) . Các chính sách phải được thực thi một cách nhất quán trong tổ chức sao cho có hiệu quả. Kiểm tra quản lý và kiểm soát thay đổi/cấu hình – quy trình kiểm soát thay đổi thiết hệ thống, phần cứng, chương trình, phần mềm nhằm đảm bảo hệ thống có thể chống lại những thay đổi không hợp lệ trước, trong khi và sau khi triển khai 6 hệ thống. Kiểm soát cấu hình theo chính sách bảo mật hệ thống thông tin. Kiểm soát cấu hình theo phương pháp truyền thống được giám sát theo bảng kiểm soát cấu hình là quyền hạn cuối cùng về tất cả các thay đổi đề xuất đến hệ thống thông tin. Kiểm tra quản lý và đánh giá rủi ro – đánh giá rủi ro là quy trình phân tích và làm rõ rủi ro. Quy trình này bao gồm xác định phạm vi đánh giá, phương pháp thực hiện, thu thập và phân tích các dữ liệu có liên quan và làm rõ những kết quả phân tích rủi ro. Thu thập và phân tích dữ liệu rủi ro yêu cầu xác định các tài sản, mối đe dọa, điểm yếu, biện pháp an toàn, hậu quả và các khả năng xảy ra tấn công thành công Kiểm tra cấu hình chuẩn – Các tổ chức cần phải phát triển các cấu hình bảo mật chuẩn trong phạm vi lớn sử dụng nhiều ứng dụng, hệ điều hành, nhằm cung cấp các cho các nhà quản trị mạng và máy chủ web cách cấu hình hệ thống 1 cách bảo mật và đảm bảo tuân thủ theo chính sách bảo mật của tổ chức. Kiểm tra thực hành lập trình bảo mật – các tổ chức cần phải thông qua chủ trương phát triển ứng dụng bảo mật để đảm bảo những ứng dụng web của hộ được bảo mật một cách đầy đủ Kiểm tra về đào tạo và nhận thức về bảo mật – Một chương trình đào tạo bảo mật là vô cùng quan trọng đối với an toàn thông tin chung của tổ chức. Làm cho người dùng và quản trị viên nhận thức ý thức trách nhiêm bảo mật của họ và giảng dạy cho họ các thực hiện hợp lý phù hợp với thực tiễn tốt nhất cho bảo mật. Kiểm tra kế hoạch khôi phục sau thảm họa, liên tục các hoạt động, phục hồi khẩn cấp nhằm thiết lập tính năng nâng cao cho phép một tổ chức hoặc cơ sở để duy trì các hoạt động khi sự kiện bị gián đoạn Kiểm tra chứng nhận và công nhận – chứng nhận trong bối cảnh bảo mật các hệ thống thông tin có nghĩa là hệ thống đó đã được phân tích để xác định đã phù hợp với tất cả các yêu cầu của tổ chức. Công nhận xảy ra khi quản lý của tổ chức chấp nhận khi hệ thống phù hợp với các yêu cầu bảo mật của tổ chức. 1.4 Kế hoạch bảo mật hệ thống Kiểm tra đối tượng của kế hoạch bảo mật hệ thống là kiểm tra phương pháp cải tiến bảo vệ cho các tài nguyên hệ thống thông tin. Mục đích kiểm tra lập kế hoạch an toàn hệ thống là cung cấp tổng quan về các yêu cầu bảo mật và riêng tư của hệ thống và mô 7 tả các biện pháp tại nơi đó hoặc kế hoạch phù hợp với các yêu cầu. Kế hoạch bảo mật hệ thống cũng cần phải đưa ra trách nhiệm và hành động mong muốn của tất cả các cá nhân truy cập vào hệ thống. Kế hoạch bảo mật hệ thống cần phải được soát xét 1 cách đầy đủ tài liệu hóa các quy trình cấu trúc của kế hoạch, chi phí để bảo vệ bảo mật cho 1 hệ thống. Kế hoạch cần phải phản ánh đầu vào từ các nhà quản lý khác nhau với trách nhiệm liên quan đến hệ thống, bao gồm cả chủ sở hữu thông tin, chủ sở hữu hệ thống và ISSPM. Nói chung, một kế hoạch bảo hệ thống cần bao gồm các điều sau: • Xác định hệ thống – cung cấp những thông tin cơ bản về hệ thống. Kế hoạch có các thông tin chung như là có đầu mối liên hệ với hệ thống, mục đích của hệ thống và mức độ nhạy cảm của hệ thống và môi trường mà hệ thống được triển khai. • Các biện pháp – mô tả các biện pháp đo lường đánh giá để phù hợp với các yêu cầu bảo vệ của hệ thống thông tin. Các biện pháp nhìn chung rơi vào 3 loại sau: o Các biện pháp quản lý, tập trung vào quản lý hệ thống bảo mật máy tính và quản lý rủi ro cho 1 hệ thống o Các biện pháp điều hành, đây là những biện pháp được triển khai chính và được thực thi bởi mọi người. Các biện pháp này đòi hỏi chuyên môn đặc biệt hoặc kỹ thuật cao và thường dựa vào các hoạt động quản lý cũng như các biện pháp kỹ thuật o Các biện pháp kỹ thuật, là những cơ chế bảo mật hệ thống máy tính sử dụng. Các biện pháo có thể cung cấp bảo vệ tự động từ những truy cập, lạm dung trái phép, tạo điều kiện phát hiện các hành vi vi phạm bảo mật, và hỗ trợ các yêu cầu bảo mật cho ứng dụng và dữ liệu. Việc triển khai các biện pháp kỹ thuật, tuy nhiên đòi hỏi cần nhắc các hoạt động quan trọng và phù hợp với quản lý bảo mật trong tổ chức 1.5 Các yêu cầu về nguồn nhân lực Nguồn nhân lực là tài sản vô cùng quan trọng của tổ chức trong việc duy trì và phát triển tổ chức. Nguồn nhân lực phù hợp và đầy đủ là khía cạnh quan trọng ảnh hưởng đến bảo mật máy chủ web. Các tổ chức cần phải xem xét trên thực tế, nói chung giải pháp kỹ thuật không thể thay thế cho kỹ năng và kinh nghiệm của cá nhân. Khi xem xét đến những tác động của nguồn nhân lực và triển khai một máy chủ, các tổ chức cần phải xem xét các vấn đề sau: 8 • Kiểm tra yêu cầu của nhân viên về hệ thống mạng của nhân viên, tổ chức có đáp ứng đầy đủ không? Điều này sẽ bao gồm các vị trí như quản trị hệ thống và quản trị máy chủ web, chủ trang web, quản trị mạng • Kiểm tra các kỹ năng cần thiết của nhân viên: những kỹ năng cần thiết nào để hoàn thành đầy đủ kế hoạch, phát triển và duy trì máy chủ web? Ví dụ bao gồm cả quản trị hệ điều hành, quản trị mạng, nội dung hoạt động chuyên môn, lập trình • Kiểm tra tổ chức có những nguồn nhân lực sẵn sàng nào? Thêm vào đó, các kỹ năng hiện tại là gì và các kỹ năng này có đủ để hỗ trợ cho máy chủ web không 1.6 Kiểm tra những nền tảng máy chủ web Mặc dù nhiều tổ chức quản lý máy chủ web hoạt động trên những hệ điều hành đa năng, đây là những trường hợp mà tổ chức có thể sử dụng trong những trường hợp cần thiết. Mặc dù có nhiều công nghệ liên quan đến khu vực máy chủ web, và đều dựa trên công nghệ mạnh và bắt đầu sử dụng rộng rãi hơn trong môi trường máy chủ web 1.6.1 Hệ điều hành tin cậy Những hệ điều hành tin cậy là những hệ điều hành có đảm bảo về độ bảo mật bao gồm các cơ chế bảo mật bổ sung mà không tìm thấy trong hầu hết các hệ điều hành đa năng. Những hệ điều hành này cung cấp chính sách kiểm soát rộng rãi về bảo mật bao gồm các quyền truy cập, khả năng kiểm toán. Nhiều hệ điều hành tin cậy được xác nhận 1 cách độc lập để đảm bảo chúng phù hợp với các yêu cầu trong hướng dẫn thiết kế. Những hệ điều hành tin cậy được sử dụng trong các ứng dụng mà bảo mật là khía cạnh quan trọng, bao gồm tài nguyên mạng, người sử dụng, quy trình và bộ nhớ. Đặc biệt là những hệ điều hành có thể giới hạn truy cập đến tài nguyên hệ thống. Kiểm tra nền tảng web cần chú ý đến những vấn đề như sau: • Kiểm tra bảo mật ở tình trạng như thế nào ? • Tổ chức có cần chuyên gia trong lĩnh vực quản trị hệ điều hành tin cậy không? • Có thêm chi phí mua và hỗ trợ hệ điều hành tin cậy? • Hệ điều hành tin cậy có tương thích với những ứng dụng web đã tồn tại của tổ chức không? 9 • Hệ điều hành tin cậy có tương thích với những ứng dụng và máy chủ khác của tổ chức không? 1.6.2 Máy chủ web Hệ điều hành đơn giản cải tiến bảo mật bằng cách giảm thiểu những chức năng, dịch vụ, tính năng không cần thiết. Ứng dụng máy chủ web trên những hệ thống thường đã được làm cứng hóa và được cấu hình sẵn để bảo mật. Yếu điểm lớn nhất của những hệ thống này là không phù hợp với những website đa lớp, phức tạp và lớn, và có thể hỗ trợ cho J2EE, .NET, PHP. Một công cụ có thể vừa là nơi chứa cơ sở dữ liệu vừa là giao diện web. Cuối cùng, sẽ rất khó để cấu hình các công cụ của những nhà sản xuất khác nhau hoạt động tốt cùng nhau. Ngoài các công cụ máy chủ web, cũng có một số càng công cụ bảo mật có sẵn cho các máy chủ web. Các hệ thống này làm tăng thêm cơ chế bảo mật trên máy chủ web đó. Trong một số trường hợp, các hệ thống có thể ngăn chăn tấn công đến máy chủ web. Kiểm tra xem máy chủ web có sử dụng những công cụ phổ biến như: • Có sử dụng SSL không? • Kiểm tra bảo mật cổng, giám sát các luồng thông tin vào ra từ máy chủ web để phát hiện tấn công tiềm ẩn • Kiểm tra lọc nội dung, giám sát các luồng thông tin vào ra từ máy chủ web để phát hiện những dữ liệu không phù hợp hoặc nhạy cảm, đưa ra hành đồng khi cần thiết • Kiểm tra xem việc xác thực người dùng qua những cơ chế nào, và điều khiển đến đúng URL trên chính mảy chủ web đó Khi mua một thiết bị web cần chú ý đến một số vấn đề sau: • Kiểm tra hệ điều hành cơ sở có những tính năng gì và kiểm tra bảo mật ở tình trạng như thế nào ? • Làm thế nào để thiết bị riêng của mình ở tình trang kiểm tra bảo mật (Chú ý đến các tùy chọn cấu hình của các thiết bị web bị hạn chế, do đó 1 thiết bị web sẽ chỉ thường bảo mật với cấu hình cài đặt chuẩn) • Kiểm tra các thiết bị máy chủ web của tổ chức làm việc tốt với nhau? • Kiểm tra các tùy chọn mở rộng vốn có trong thiết bị này có thể chấp nhận cho tổ chức không? 10 [...]... trợ cho máy chủ web bảo mật Ứng dụng máy chủ web cũng thường dựa trên những ứng dụng máy chủ web đã được đóng gói và sửa đổi (Apache, IIS) Những gói này đều có nhiều tùy chọn bảo mật hơn và được thiết kế để dễ cấu hơn bằng những mã trước biên dịch và giao diện người dùng đồ họa (GUI) Mặc dù mỗi gói khác nhau, nhưng chúng đều dựa vào một hoặc nhiều tùy chọn bảo mật sau Kiểm tra máy chủ web và những... độc lập Mỗi hệ điều hành và phần mềm máy chủ web liên quan càn phải được cấu hình và duy tri theo những khuyến ở những nội dung tiếp theo 2 Kiêm tra bảo mật máy chủ web Trước khai bắt đầu cài đặt phần mềm máy chủ web cần phải đọc tài liệu của các nhà sản xuất máy chủ web trước và hiểu được các tùy chọn khác nhau trong suốt quá trình cài đặt 2.1 Kiểm tra hoạt động cài đặt máy chủ web Nguyên tắc chung đầu... cập để xác định thông tin nào từ máy chủ web có thể được truy cập sử dụng các kiểm soát truy cập vào trang web công cộng Phần mềm máy chủ web có thể bao gồm các cơ chế để cung cấp các điều khiển truy cập vào vào các tài nguyên, thiết bị và các tập tin Điều quan trọng là thiết lập các quyền hạn giống hệt nhau cho cả hệ điều hành và ứng dụng máy chủ web Quản trị máy chủ web cần phải xem xét cách tốt nhất... những nội dung web công khai • Kiểm tra những quy trình được ủy quyền cho người quản trị máy chủ web mới có quyền ghi các tập tin nội dung web • Ứng dụng máy chủ web có thể ghi vào những tập tin nhật ký máy chủ web, nhưng những tập tin nhật ký không được đọc bởi những ứng dụng máy chủ web Chỉ những quy trình mức siêu quyền/hệ thống/quản trị có quyền đọc những tập tin nhật ký máy chủ web • Những tập... đảm bảo các máy chủ web có đủ tài nguyên để xử lý tình huống 1 cách hợp lý • Cấu hình tối đa các kết nối mạng hoặc quy trình máy chủ web mà máy chủ web có thể cho phép 2.2.2 Cấu hình thư mục có chứa nội dung web bảo mật Không sử dụng các liên kết, bí danh hoặc các biểu tượng (shortcut) trong cây thư mục tập tin có chứa nội dung web công khai mà trỏ đến những thư mục hay tập tin trên hệ thống máy chủ hay. .. mềm máy chủ web theo các liên kết và các bí danh Các tập tin cấu hình và nhật ký máy chủ web phải được đặt ở bên ngoài những thư mục tập tin web công khai Các bước sau đây là bắt buộc để hạn chế quyền truy cập vào cây thư mục tập tin có chưa nội dụng web cụ thể: 15 • Dành riêng một phân vùng logic hay ổ cứng cho nội dung web và thiết lập các thư mục con có liên quan đến các tập tin nội dung máy chủ web, ... những liên kết cứng hay các liên kết mềm • Xác định một ma trận truy cập nội dung web hoàn chỉnh Xác định thư mục và tập tin trong tài liệu máy chủ web nên được giới hạn và có thể truy cập Đa số các nhà cung cấp phần mề máy chủ web đều cung cấp những lệnh cho phép người quản trị web có thể giới hạn người dùng truy cập đến cá tập tin có chứa nội dung máy chủ web Ví dụ, phần mềm máy chủ web Apache cung cấp... được tạo ra bởi ứng dụng máy chủ web, có thể được sinh ra những trang web động hoặc người dùng đưa thông tin lên, những tập tin này cần phải xác định bảo vệ phù hợp • Việc truy cập đến bất kỳ tập tin tạm thời nào được tạo ra bởi ứng dụng máy chủ web bị giới hạn đến những quy trình máy chủ web 14 Điều này cần thiết để đảm bảo ứng dụng máy chủ web không thể lưu lại (hoặc, trong một vài trường hợp, đọc) tập... quản trị viên Webmaster của các máy chủ của họ vì: • Các máy chủ web thường chứa các thư mục không cần được chỉ mục • Các tổ chức có thể không mong muốn một phần trong trang web của họ xuất hiện trong công cụ tìm kiếm • Máy chủ web thường chứa các trang web tạm thời mà không cần phải được lập chỉ mục • Các tổ chức thực hiện máy chủ web đang trả tiền cho bằng thông và muốn loại trừ robot và spider mà... khách và ứng dụng máy chủ web, những bản lưu này cho phép được khôi phục nếu xảy ra tấn công Máy chủ web, hệ điều hành khách của nó, máy chủ hệ điều hành và phần mềm ảo cần phải được vá lỗi một cách kịp thời Điều quan trọng cần phải lưu ý là nếu ứng dụng hay hệ điều hành khách bị thỏa hiệp thì máy ảo khách có thể bị lây nhiễm sang các máy chủ khác trong mạng như thế nó là một máy chủ vật lý độc lập . lục 1 Kiểm tra đảm bảo an ninh, bảo mật cho máy chủ web 1 Kiểm tra lập kế hoạch và quản lý máy chủ web Mục đích kiểm tra: Khía cạnh quan trọng nhất của việc triển khai bảo mật máy chủ Web là lập kế. trên các máy chủ khác (cơ sở dữ liệu lưu trữ, máy chủ mail)? o Những yêu cầu bảo mật cho bất kỳ máy chủ khác như thế nào? (cơ sở dữ liệu lưu trữ, máy chủ thư mục, máy chủ mail và máy chủ proxy)? o. các máy chủ web. Các hệ thống này làm tăng thêm cơ chế bảo mật trên máy chủ web đó. Trong một số trường hợp, các hệ thống có thể ngăn chăn tấn công đến máy chủ web. Kiểm tra xem máy chủ web có