Періодичне тестування безпеки ОС є важливим способом ідентифікувати уразливості і гарантувати, що існуючі заходи забезпечення безпеки ефективні. Найбільш популярними методами тестування ОС є сканування уязвимостей і тестування проникнення. Зазвичай використовують автоматизовані сканери уязвимостей для сканування уязвимостей застосування, мережі або ОС на хості або групі хостів в мережі. Тестування проникнення є процесом тестування, розробленим для перевірки можливості компрометації мережі, при цьому використовуються інструментальні засоби і методики того, що атакує. Це ітеративний процес тестування, який ідентифікує найбільш слабкі області мережі і використовує їх для отримання доступу до мережі, що залишилася. Результатом зазвичай є компрометація безпеки всієї мережі. Сканування уязвимостей повинне проводитися періодично, принаймні, раз на тиждень або в місяць. Тестування проникнення повинне бути мінімум щорічним. Оскільки обидві ці технології тестування застосовуються також для тестування програм web-сервера, далі вони обговорюватимуться детальніше.
|
|
Список дій для забезпечення безпеки ОС, на якій виконується web-сервер
Складання плану конфігурації і розгортання web-сервера.
· Визначити функції web-сервера;
· Визначити категорії інформації, яка зберігатиметься, оброблятиметься і передаватиметься web-сервером;
· Визначити вимоги безпеки для даної інформації.
· Визначити способи публікації інформації на web-сервері;
· Визначити необхідність мати виділений хост для web-сервера;
· Визначити користувачів і категорії користувачів web-сервера і визначити привілеї кожної категорії користувачів;
· Визначити методи аутентифікації користувачів на web-сервері.
Вибір відповідної ОС для web-сервера.
· Максимальна захищеність від уязвимостей;
· Можливість обмежити діяльність рівня адміністратора або root тільки аутентифікованими і авторизованими користувачами;
· Можливість заборонити доступ до інформації на сервері всім, окрім явно вказаних користувачів;
· Можливість зробити недоступними непотрібні мережеві сервіси, які могли бути вбудовані до ОС або ПО сервера;
· Можливість управління доступом до різних програм, пов'язаних з web-сервером, таким як CGI-скрипты і plug-ins сервера у разі web-сервера.