Đăng ký

Đảm bảo an ninh hệ điều hành Webserver

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu xây dựng hệ thống giám sát sự thay đổi nội dung website (Trang 44 - 45)

2.1. Một số phương pháp đảm bảo an ninh Website

2.1.1. Đảm bảo an ninh hệ điều hành Webserver

Tất cả các Webserver phổ biến hiện nay đều hoạt động trên một hệ điều hành (HĐH) có mục đích chung. Nhiều vấn đề bảo mật có thể tránh được nếu các HĐH của những Webserver đó được cấu hình thích hợp. Bởi vì các nhà sản xuất không biết hết các nhu cầu an ninh của mỗi cơ quan, nên mỗi quản trị viên Webserver phải cấu hình các máy chủ mới để phản ánh các yêu cầu an ninh của cơ quan mình và cấu hình lại chúng theo sự thay đổi những yêu cầu đó.

5 bước cơ bản cần thiết để duy trì an ninh HĐH cơ bản:

 Lập kế hoạch cài đặt và triển khai của HĐH máy chủ và các thành phần khác cho Webserver đó.

 Vá và cập nhật HĐH máy chủ theo yêu cầu.

 Hardening (cứng hóa) và cấu hình HĐH máy chủ để giải quyết tương xứng vấn đề an ninh.

 Cài đặt và cấu hình các kiểm sốt bảo mật bổ sung (additional security controls), nếu cần thiết.

 Kiểm tra HĐH máy chủ để đảm bảo rằng bốn bước trước đó giải quyết đầy đủ tất cả các vấn đề an ninh.

2.1.1.1. Cài đặt và cấu hình hệ điều hành

- Gỡ bỏ (remove) hoặc vơ hiệu hóa (disable) các dịch vụ (services) và ứng dụng (applications) không cần thiết.

- Cấu hình xác thực người dùng HĐH.

- Cấu hình kiểm sốt tài ngun (Resource Controls) thích hợp.

- Cài đặt và cấu hình kiểm sốt anh ninh bổ sung (Additional Security Controls).

2.1.1.2. Kiểm tra an ninh hệ điều hành

Kiểm tra an ninh định kỳ HĐH là cách quan trọng để nhận biết các lỗ hổng và để đảm bảo rằng các biện pháp phòng ngừa an ninh đang tồn tại là hiệu quả. Các phương pháp phổ biến để kiểm tra các HĐH bao gồm quét (scanning) lỗ hổng và thử nghiệm thâm nhập. Quét lỗ hổng thường đòi hỏi sử dụng một máy quét (scanner) lỗ hổng tự động để quét một host hoặc một nhóm các host trên một mạng máy tính nhằm phát hiện các lỗ hổng ứng dụng, các lỗ hổng mạng, và các lỗ hổng hệ điều hành. Thử nghiệm thâm nhập là một quá trình thử nghiệm được thiết kế nhằm làm tổn thương một mạng (network) sử dụng các công cụ và các phương pháp học của một kẻ tấn cơng. Nó can dự một cách lặp đi lặp lại nhận biết và khai thác những khu vực yếu nhất của mạng này nhằm để đạt được quyền truy cập vào các phần còn lại của mạng, cuối cùng làm hại an ninh tổng thể của mạng đó.

Việc kiểm tra an ninh HĐH của Webserver nên được thực hiện trên một hệ thống riêng biệt.

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu xây dựng hệ thống giám sát sự thay đổi nội dung website (Trang 44 - 45)

Tải bản đầy đủ (PDF)

(88 trang)