2015-09-07
256
Відповідна практика управління є критичною для функціонування і підтримки безпечного web-сервера. Необхідно визначити вимоги до розгортання, документування і реалізації політик, стандартів, процедур і керівництва, яке гарантує конфіденційність, цілісність і доступність інформаційних ресурсів.
Для гарантування безпеки web-сервера і підтримки мережевої інфраструктури повинні бути розглянуті і реалізовані наступні основні моменти:
· Політика безпеки інформаційної системи організації;
· Принципи управління і контролю конфігурації і її змін;
· Аналіз ризику і певні підходи до управління ризиком;
· Стандартні конфігурації ПО, які задовольняють політиці безпеки інформаційної системи;
· Необхідний об'єм знань і тренінги, що забезпечують необхідний об'єм знань;
· Способи відновлення після раптових збоїв;
· Відповідна сертифікація і акредитація.
Слід гарантувати, що ОС, на якій виконується web-сервері, розгорнена, конфігурована і управляється відповідно до вимог безпеки.
|
|
|
Першим кроком в забезпеченні безпеки web-сервера є безпека лежачої в основі ОС. Більшість доступних web-серверів виконуються на ОС загального призначення. Багатьох проблем безпеки можна уникнути, якщо ОС, лежача в основі web-сервера, конфігурована відповідним чином. Конфігурації за умовчанням для апаратури і ПО зазвичай встановлюються виробниками, при цьому, як правило, робиться упор на використання можливостей, функціональності початкового ПО, а також на простоту використання можливостей, пов'язаних з безпекою. Також слід розуміти, що виробники не знають вимог безпеки кожної організації, тому web-адміністратор повинен конфігурувати нові сервери відповідно до вимог безпеки і переконфігурувати їх кожного разу при зміні цих вимог. Забезпечення безпеки ОС як мінімум повинна включати наступні кроки:
· виконання patch-ей і upgrade-ів ОС;
· видалення або заборона непотрібних сервісів і програм;
· конфігурація управління ресурсами;
· тестування безпеки ОС.
Слід гарантувати, що ПО web-сервера розгорнений, конфігуровано і управляється відповідно до вимог безпеки, визначених в організації.
У багатьох аспектах інсталяція і конфігурація безпеки ПО web-сервера аналогічна процесу інсталяції і конфігурації ОС. Головним принципом, як і раніше, є інсталяція мінімального числа необхідних сервісів web-сервера і видалення всіх відомих уязвимостей за допомогою patche-ей і upgrade-ів. Якщо інсталяційна програма встановлює якісь непотрібні програми, сервіси або скрипти, вони повинні бути видалені негайно після завершення процесу установки. Забезпечення безпеки web-сервера як мінімум повинне включати наступні кроки:
· виконання patch-ів і upgrade-ів ПО web-сервера – видалення або заборона непотрібних сервісів, програм і прикладів вмісту;
· конфігурація аутентифікації користувачів web-сервера;
· конфігурація управління ресурсами web-сервера;
· тестування безпеки застосування web-сервера і конкретного вмісту web-сервера.
