Bảo đảm an ninh nội dung Web

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu một số phương pháp phát hiện thay đổi nội dung trang web (Trang 38 - 39)

Hai thành phần chính của đảm bảo an ninh Web là đảm bảo an ninh ứng dụng máy chủ bên dưới và HĐH, và đảm bảo an ninh nội dung thật sự của Web. Trong số này, bảo đảm an ninh nội dung Web thường bị bỏ qua.

2.2.2.1. Công bố thông tin trên Website công khai

Nhiều tổ chức không có một quy trình hoặc chính sách công khai nội dung web nhằm xác định loại thông tin nào công bố công khai, thông tin nào công bố với truy cập bị giới hạn, và thông tin nào nên được bỏ đi từ bất kỳ kho lưu trữ nào có thể truy cập công khai. Đây là rắc rối bởi vì các website là một trong những nơi đầu tiên mà các thực thể độc hại tìm kiếm thông tin có giá trị.

Một Website công khai không nên chứa các thông tin sau:  Các bản ghi phân loại (classified records).

 Các luật và thủ tục cá nhân nội bộ.

 Thông tin nhạy cảm và riêng tư (có sở hữu).

 Thông tin cá nhân về nhân sự hoặc người dùng của một cơ quan tổ chức.  Số điện thoại, địa chỉ e-mail, hoặc các danh sách chung của nhân viên

trừ khi cần thiết để hoàn thành yêu cầu cơ quan.  Và các thông tin riêng của tổ chức và cá nhân.

2.2.2.2. Theo dõi các quy định về thu thập thông tin cá nhân

Nhiều cơ quan chính phủ đã ban hành các luật và quy định về việc thu thập thông tin về người dùng truy cập vào các Website công khai. Các tổ chức chính phủ và cơ quan nên nhận thức các luật, các quy định, và các hướng dẫn thích hợp có thể áp dụng này cũng như nắm bắt được sự thay đổi các yêu cầu pháp lý, quy định, và hợp đồng.

2.2.2.3. Giảm nhẹ các cuộc tấn công gián tiếp trên nội dung

Các tấn công nội dung gián tiếp là không trực tiếp tấn công vào Webserver hoặc nội dung của nó. Chúng can dự qua các phương tiện trung gian nhằm có được thông tin người dùng, đó là những người thường hay truy cập vào trang Web mà được bảo vệ và duy trì trên webserver đó. Các đề tài phổ biến của các tấn công này là ép buộc người dùng truy cập vào một website độc hại do kẻ tấn công thiết lập và tiết lộ thông tin cá nhân trong niềm tin rằng họ đã truy cập vào trang web hợp pháp. Hai loại tấn công gián tiếp phổ biến được mô tả là phishing và pharming.

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu một số phương pháp phát hiện thay đổi nội dung trang web (Trang 38 - 39)

Tải bản đầy đủ (PDF)

(58 trang)