Слід використовувати аутентифікацію, засновану на криптографічних технологіях, для забезпечення відповідного захисту чутливих даних

Публічні web-сервери зазвичай підтримують широкий спектр технологій ідентифікації і аутентифікації користувачів і визначення різних привілеїв для доступу до інформації. Деякі з цих технологій засновані на криптографічних функціях, які можуть забезпечувати той або інший тип зашифрованого каналу між клієнтом web-браузера і web-сервером. Web-сервери можуть бути конфігуровані для використання різних криптографічних алгоритмів, що забезпечують різні рівні безпеки.

Без наявності аутентифікації користувачів немає можливості забезпечити розмежування доступу до чутливої інформації. Без наявності сильних механізмів аутентифікації вся інформація, яка розташована в web-просторі сервера, може стати доступною будь-кому. Крім того, без процесу аутентифікації сервера користувачі не мають можливості визначити, що сервер є потрібним, а не підробленим, створеним вороже настроєним учасником для перехоплення конфіденційної інформації про користувача.

Слід забезпечувати безпеку мережевої інфраструктури для захисту web-серверів.

Мережева інфраструктура, в якій функціонує web-сервер, грає важливу роль в забезпеченні безпеки web-сервера. Багато в чому мережева інфраструктура є першою лінією оборони web-сервера. Проте тільки ретельне проектування мережі не є достатнім для захисту web-сервера. Частота і варіанти web-атак, що здійснюються сьогодні, говорять про те, що безпека web-серверів може бути забезпечена тільки з використанням різних і розташованих на різних рівнях механізмів оборони (так звана “оборона углиб”).

Слід гарантувати постійне функціонування системи забезпечення безпеки.

Підтримка безпечного функціонування web-сервера вимагає постійних зусиль і наявності достатньої кількості ресурсів. Підтримка безпеки web-сервера зазвичай включає наступні кроки:

· своєчасне застосування patch-ей і upgrade-ів;

· конфігурація, захист і аналіз лог файлів;

· часте виконання back up-а критичної інформації;

· підтримка захищених копій web-вмісту;

· визначення процедур відновлення при компрометації і проходження ним при виявленні проникнення;

· періодичне тестування безпеки.

Розглянемо загальні принципи, які застосовні до всіх систем.