Kiểm tra các giao thức được sử dụng trên web o Giao thức HTTP o Giao thức HTTPS o Giao thức lưu trữ Internet ICP o Giao thức lưu trữ siêu văn bản HTCP o Giao thức phối hợp lưu trữ web
Trang 1Mục lục
1 Kiểm tra lập kế hoạch và quản lý máy chủ web 3
1.1 Kiểm tra lập kế hoạch cài đặt và phát triển 3
1.2 Nhân viên quản lý bảo mật 5
1.2.1 Cán bộ quản lý công nghệ thông tin cấp cao/ Giám đốc thông tin 5
1.2.2 Cán bộ quản lý bảo mật các hệ thống thông tin 6
1.2.3 Cán bộ bảo mật hệ thống thông tin 7
1.2.4 Cán bộ quản trị mạng và máy chủ web 7
1.2.5 Nhà phát triển ứng dụng web 8
1.3 Thực tiễn quản lý 8
1.4 Kế hoạch bảo mật hệ thống 10
1.5 Các yêu cầu về nguồn nhân lực 11
1.6 Kiểm tra những nền tảng máy chủ web 11
1.6.1 Hệ điều hành tin cậy 12
1.6.2 Máy chủ web 12
1.6.3 Máy chủ web và những hệ điều hành cứng hóa 14
1.6.4 Công nghệ ảo hóa – công nghệ máy ảo 14
2 Kiêm tra bảo mật máy chủ web 15
2.1 Kiểm tra hoạt động cài đặt máy chủ web 15
2.2 Cấu hình kiểm soát truy cập 16
2.2.1 Kiểm tra cấu hình quyền hạn cho ứng dụng máy chủ web 17
2.2.2 Cấu hình thư mục có chứa nội dung web bảo mật 18
2.2.3 URI và Cookies 19
2.2.4 Kiểm soát tác động của các Bots web trên máy chủ web 20
3 Bảo mật máy chủ web theo OWASP 22
3.1 Kiểm tra lỗi XSS cho ứng dụng web 22
3.2 Kiểm tra lỗi SQL Injection cho dịch vụ web 23
3.3 Kiểm tra xác thực và quản lý phiên 23
3.4 Đối tượng tham chiếu thiếu an toàn 24
3.5 Giả mạo yêu cầu CSRF 25
3.6 Kiểm tra sai sót cấu hình an ninh 25
Trang 23.7 Lưu trữ mật mã không an toàn 26
3.8 Sai sót hạn chế truy cập 26
3.9 Thiếu bảo vệ lớp vận chuyển 26
3.10 Chuyển hướng và chuyển tiếp thiếu thẩm tra 26
Trang 3Kiểm tra đảm bảo an ninh, bảo mật cho máy chủ web
1 Kiểm tra lập kế hoạch và quản lý máy chủ web
Mục đích kiểm tra:
Khía cạnh quan trọng nhất của việc triển khai bảo mật máy chủ Web là lập kế hoạch cẩn thận trước khi cài đặt, cấu hình và triển khai Kiểm tra lập kế hoạch để đảm bảm rằng máy chủ web bảo mật phù hợp với tất cả các chính sách tổ chức liên quan không
Tìm ra nguyên nhân tại sao máy chủ web hoạt động không hiệu quả
1.1 Kiểm tra lập kế hoạch cài đặt và phát triển
Kiểm tra lập kế hoạch cài đặt và phát triển có đúng theo kế hoạch ban đầu không, để cânbằng sự tiện dụng và hiệu năng, rủi ro và kịp thời có những thay đổi phù hợp với khả năngcủa tổ chức Một kế hoạch triển khai cho phép các tổ chức duy trì những cấu hình bảo mật và
có những trợ giúp trong việc xác định các lỗ hổng bảo mật mà nguyên nhân là do sự sai lệch
so với kế hoạch
Kiểm tra cần xác định được mục đích của máy chủ
web
o Những loại thông tin sẽ được lưu trữ trên máy chủ
web?
o Những loại thông tin sẽ được xử lý và được truyền
qua máy chủ web?
o Những yêu cầu bảo mật cho thông tin?
o Bất kỳ thông tin sẽ được khôi phục như thế nào từ
nơi lưu trữ trên các máy chủ khác (cơ sở dữ liệu lưu
trữ, máy chủ mail)?
o Những yêu cầu bảo mật cho bất kỳ máy chủ khác
như thế nào? (cơ sở dữ liệu lưu trữ, máy chủ thư
mục, máy chủ mail và máy chủ proxy)?
o Những dịch vụ nào sẽ được cung cấp bởi máy chủ
web?
o Những yêu cầu bảo mật cho các dịch vụ được thêm
vào?
o Những yêu cầu nào cho sự liên tục của dịch vụ
được cung cấp bởi các máy chủ web, những quy
định trong liên tục các kế hoạch hoạt động và kế
Trang 4hoạch khôi phục sau thiệt hại.?
o Kiểm tra vị trí đặt máy chủ web trong mạng có
đúng vị trí chưa (có trong miền DMZ không)?
Kiểm tra các giao thức được sử dụng trên web
o Giao thức HTTP
o Giao thức HTTPS
o Giao thức lưu trữ Internet (ICP)
o Giao thức lưu trữ siêu văn bản (HTCP)
o Giao thức phối hợp lưu trữ web (WCCP)
o SOCKS
o Các dịch vụ cơ sở dữ liệu (kết nối cơ sở dữ liệu mở
ODBC)
Kiểm tra quyền hạn cho từng loại người dùng trên
máy chủ web và máy chủ hỗ trợ
Kiểm tra cách quản lý máy chủ web (ví dụ, cục bộ,
điều khiển từ xa mạng nội bộ, mạng bên ngoài)
Kiểm tra xác thực các tài khoản như thế nào và dữ
liệu xác thực sẽ được bảo vệ theo cách nào
Kiểm tra ứng dụng máy chủ web phù hợp với các
yêu cầu của tổ chức
Mục đích của việc kiểm tra máy chủ có thể đưa ra
bảo mật tốt hơn, mặc dù có ít chức năng trong một số
trường hợp
o Kiểm tra chi phí
o Kiểm tra tính tương thích với cơ sở hạ tầng đã tồn
tại
o Kiểm tra kiến thức của các nhân viên hiện tại
o Kiểm tra mối quan hệ sản xuất đã có
o Kiểm tra lịch sử điểm yếu trong quá khứ
o Kiểm tra chức năng
Kiểm tra các hình thức bảo vệ an ninh vật lý có thích
hợp không?
o Khóa
o Truy nhập bằng công cụ đọc thẻ
o Nhân viên bảo vệ
o Các công cụ phát hiện xâm nhập vật lý IDSs (cảm
biến, camera giám sát)
Kiểm tra nhiệt độ, độ ẩm của môi trường có phù hợp
Trang 5 Kiểm tra có nguồn điện dự phòng? Sẽ cung cấp
được nguồn điện là bao lâu?
Kiểm tra khả năng sẵn sàng cao, có kết nối mạng đến
ít nhất 2 nhà cung cấp dịch vụ không ?
Kiểm tra vị trí đặt của máy chủ web, nếu vị trí đặt
máy chủ web tại những nơi thiên tai thì có đủ độ
cứng để chống lại thảm họa thiên tai không hoặc có
một trang web dự phòng bên ngoài không?
1.2 Nhân viên quản lý bảo mật
Mục đích kiểm tra:
Kiểm tra vai trò chung, ý thức trách nhiệm của từng cá nhân liên quan đến máy chủ web Đối với từng tổ chức thì vai trò trách nhiệm của từng cá nhân cũng khác nhau.
1.2.1 Cán bộ quản lý công nghệ thông tin cấp cao/ Giám đốc thông tin
Kiểm tra cán bộ quản lý công nghệ thông tin cấp
cao/ Giám đốc thông tin (CIO) có thực hiện trách
nhiệm đảm bảo an ninh cho tổ chức không
o Kiểm tra hoạt động phối hợp các hoạt động phát
triển và duy trì các chính sách, thủ tục, tiêu chuẩn
an toàn thông tin cho tổ chức
o Kiểm tra hoạt động phối hợp các hoạt động phát
triển và duy trì kiểm soát các thay đổi và quản lý
thủ tục của tổ chức
o Kiểm tra hoạt động phối hợp với các cấp lãnh đạo
cấp trên và xử lý, các vấn đề công cộng và các nhân
viên khác liên quan để giảm thiểu các chính sách
chung và quá trình công bố thông tin cho website
và đảm bảm chính sách được thực thi
1.2.2 Cán bộ quản lý bảo mật các hệ thống thông tin
Kiểm tra cán bộ quản lý bảo mật các hệ thống thông
tin (ISSPM) giám sát việc triển khai và tuân thủ các
tiêu chuẩn, quy tắc, quy định trong chính sách bảo
mật của tổ chức không Kiểm tra trách nhiệm của
những cán bộ liên quan đến những khía cạnh sau:
o Đảm bảo các thủ tục bảo mật được phát triển và
triển khai
o Đảm bảo các chính sách, tiêu chuẩn, quy tắc và yêu
Trang 6cầu được thực thi
o Đảm bảo tất cả các hệ thống quan trọng được xác
định và lập kế hoạch dự phòng, kế hoạch khôi phục
sau thiệt hại, và tính liên tục trong việc thực thi các
kế hoạch triển khai cho các hệ thống quan trọng
o Đảm bảo tất cả các hệ thống quan trọng được xác
định và lập kế hoạch kiểm tra bảo mật định kỳ theo
các yêu cầu chính sách bảo mật với hệ thống tương
ứng
1.2.3 Cán bộ bảo mật hệ thống thông tin
Kiểm tra trách nhiệm giám sát của cán bộ bảo mật hệ thống thông tin cho tất cả cáckhía cạnh của bảo mật thông tin với đối tượng cụ thể, đảm bảo rằng các hoạt động bảomật thông tin của tổ chức phù hợp với các chính sách, tiêu chuẩn thủ tục của từngphòng ban Các ISSO có trách nhiệm với các hoạt động sau mà có liên quan đến máychủ web:
Hợp tác trong việc triển khai và phát triển các công cụ bảo mật, cơ chế, và côngnghệ đơn giản
Duy trì các thông tin cấu hình chuẩn của máy chủ web và hỗ trợ hạ tầng mạngđược kiểm soát bởi tổ chức, nhưng không giới hạn đến các hệ điều hành, tườnglửa, định tuyến và các ứng dụng máy chủ web
Duy trì tính toàn vẹn của hệ thống bằng cách tiến hành các kiểm tra bảo mật vàlập lịch kiểm tra cho các hệ thống quan trọng
1.2.4 Cán bộ quản trị mạng và máy chủ web
Kiểm tra trách nhiệm của cán bộ quản trị máy chủ web đối với thiết kế chung, triểnkhai, duy trì cho máy chủ web Cán bộ quản trị mạng có trách nhiệm với thiết kếchung, triển khai, duy trì cho một mạng Hàng ngày, cán bộ quản trị mạng và máy chủweb thực hiện các yêu cầu bảo mật cho hệ thống mà họ phải chịu trách nhiệm quản trị.Những giải pháp và vấn đề bảo mật có thể bắt nguồn từ những nguyên nhân bên ngoài(bản vá lỗi và sửa lỗi bảo mật từ những nhà sản xuất hoặc các nhóm ứng cứu sự cố
Trang 7bảo mật máy tính) hoặc bên trong tổ chức (phòng an ninh) Các cán bộ quản trị cótrách nhiệm với các hoạt động sau có liên quan đến máy chủ web:
Kiểm tra cài đặt và cấu hình các hệ thống phù hợp với chính sách và tiêu chuẩnbảo mật tổ chức và phù hợp với những cấu hình mạng hệ thống
Kiểm tra duy trì hệ thống quản lý bảo mật, bao gồm cả sao lưu thường xuyên và
Kiểm tra nhà phát triển ứng dụng web có trách nhiệm xem xét, chức năng, hiệu năng,
và bảo mật nội dung web và các ứng dụng trên web mà họ tạo ra Các mối đe dọa sẽgia tăng hướng vào những ứng dụng web thay vì các phần mềm và hệ điều hành máychủ web Kiểm tra cụ thể theo từng khía cạnh sau:
Kiểm tra cơ chế xác thực để đảm bảo xác thực không thể vượt qua khi mộtngười dùng mã độc giả mạo dữ liệu của người dùng hệ thống gửi đến ứngdụng, bao gồm các yêu cầu HTTP, thông tin, các chuỗi truy vấn, cookie từ cáctrường điền thông tin và các trường ẩn
Kiểm tra cơ chế xử lý lỗi một cách bảo mật không dẫn đến tiếp xúc với cácthông tin triển khai nhạy cảm
Kiểm tra quy trình bảo vệ bảo vệ, lưu trữ thông tin nhạy cảm bằng ứng dụng.Bảo vệ không đầy đủ có thể cho phép dữ liệu giả mạo và truy cập đến cácthông tin bí mật như tên người dùng, mật khẩu số tài khoản thẻ tín dụng
Kiểm tra việc duy trì các bản ghi ứng dụng cụ thể của bản thân Trong nhiềutrường hợp, thiếu ghi nhật ký máy chủ web sẽ không theo dõi được hoạt độngcủa từng người dùng tại từng mức độ ứng dụng Ghi log nhật ký kông đầy đủ
Trang 8có thể dẫn đến thiếu thông tin về xâm nhập có thể xẩy ra và thiếu sẵn sàng khixác minh hành động người sử dụng (cả hợp pháp và trái phép)
1.3 Thực tiễn quản lý
Kiểm tra các hoạt động thực tiễn quản lý nhằm xác định các tài sản hệ thống thông tin
và sự phát triển, tài liệu hóa, triển khai các chính sách, tiêu chuẩn, thủ tục và hướngdẫn nhằm đảm bảo tính toàn vẹn, sẵn sàng, bí mật của các tài nguyên hệ thống thôngtin
Để đảm bảo bảo mật cho máy chủ web và hỗ trỡ cho cơ sở hạ tầng mạng, các tổ chứccần phải triển khai kiểm tra các hoạt động sau:
Kiểm tra chính sách bảo mật hệ thống thông tin tổ chức có hoạt động theo cácnguyên lý cơ bản, quy tắc bảo mật và mục đích theo kế hoạch đã đề ra ban đầuhay không Các chính sách cần đưa ra trách nhiệm cụ thể từng khu vực của hệthống thông tin (triển khai, thực hiện kiểm toán và soát xét) Các chính sáchphải được thực thi một cách nhất quán trong tổ chức sao cho có hiệu quả
Kiểm tra quản lý và kiểm soát thay đổi/cấu hình – quy trình kiểm soát thay đổithiết hệ thống, phần cứng, chương trình, phần mềm nhằm đảm bảo hệ thống cóthể chống lại những thay đổi không hợp lệ trước, trong khi và sau khi triển khai
hệ thống Kiểm soát cấu hình theo chính sách bảo mật hệ thống thông tin Kiểmsoát cấu hình theo phương pháp truyền thống được giám sát theo bảng kiểmsoát cấu hình là quyền hạn cuối cùng về tất cả các thay đổi đề xuất đến hệ thốngthông tin
Kiểm tra quản lý và đánh giá rủi ro – đánh giá rủi ro là quy trình phân tích vàlàm rõ rủi ro Quy trình này bao gồm xác định phạm vi đánh giá, phương phápthực hiện, thu thập và phân tích các dữ liệu có liên quan và làm rõ những kếtquả phân tích rủi ro Thu thập và phân tích dữ liệu rủi ro yêu cầu xác định cáctài sản, mối đe dọa, điểm yếu, biện pháp an toàn, hậu quả và các khả năng xảy
ra tấn công thành công
Kiểm tra cấu hình chuẩn – Các tổ chức cần phải phát triển các cấu hình bảo mậtchuẩn trong phạm vi lớn sử dụng nhiều ứng dụng, hệ điều hành, nhằm cung cấp
Trang 9các cho các nhà quản trị mạng và máy chủ web cách cấu hình hệ thống 1 cáchbảo mật và đảm bảo tuân thủ theo chính sách bảo mật của tổ chức
Kiểm tra thực hành lập trình bảo mật – các tổ chức cần phải thông qua chủtrương phát triển ứng dụng bảo mật để đảm bảo những ứng dụng web của hộđược bảo mật một cách đầy đủ
Kiểm tra về đào tạo và nhận thức về bảo mật – Một chương trình đào tạo bảomật là vô cùng quan trọng đối với an toàn thông tin chung của tổ chức Làm chongười dùng và quản trị viên nhận thức ý thức trách nhiêm bảo mật của họ vàgiảng dạy cho họ các thực hiện hợp lý phù hợp với thực tiễn tốt nhất cho bảomật
Kiểm tra kế hoạch khôi phục sau thảm họa, liên tục các hoạt động, phục hồikhẩn cấp nhằm thiết lập tính năng nâng cao cho phép một tổ chức hoặc cơ sở đểduy trì các hoạt động khi sự kiện bị gián đoạn
Kiểm tra chứng nhận và công nhận – chứng nhận trong bối cảnh bảo mật các hệthống thông tin có nghĩa là hệ thống đó đã được phân tích để xác định đã phùhợp với tất cả các yêu cầu của tổ chức Công nhận xảy ra khi quản lý của tổchức chấp nhận khi hệ thống phù hợp với các yêu cầu bảo mật của tổ chức
1.4 Kế hoạch bảo mật hệ thống
Kiểm tra đối tượng của kế hoạch bảo mật hệ thống là kiểm tra phương pháp cải tiếnbảo vệ cho các tài nguyên hệ thống thông tin Mục đích kiểm tra lập kế hoạch an toàn
hệ thống là cung cấp tổng quan về các yêu cầu bảo mật và riêng tư của hệ thống và mô
tả các biện pháp tại nơi đó hoặc kế hoạch phù hợp với các yêu cầu Kế hoạch bảo mật
hệ thống cũng cần phải đưa ra trách nhiệm và hành động mong muốn của tất cả các cánhân truy cập vào hệ thống Kế hoạch bảo mật hệ thống cần phải được soát xét 1 cáchđầy đủ tài liệu hóa các quy trình cấu trúc của kế hoạch, chi phí để bảo vệ bảo mật cho
1 hệ thống Kế hoạch cần phải phản ánh đầu vào từ các nhà quản lý khác nhau vớitrách nhiệm liên quan đến hệ thống, bao gồm cả chủ sở hữu thông tin, chủ sở hữu hệthống và ISSPM
Nói chung, một kế hoạch bảo hệ thống cần bao gồm các điều sau:
Trang 10 Xác định hệ thống – cung cấp những thông tin cơ bản về hệ thống Kế hoạch cócác thông tin chung như là có đầu mối liên hệ với hệ thống, mục đích của hệthống và mức độ nhạy cảm của hệ thống và môi trường mà hệ thống được triểnkhai.
Các biện pháp – mô tả các biện pháp đo lường đánh giá để phù hợp với các yêucầu bảo vệ của hệ thống thông tin Các biện pháp nhìn chung rơi vào 3 loại sau:
o Các biện pháp quản lý, tập trung vào quản lý hệ thống bảo mật máy tính vàquản lý rủi ro cho 1 hệ thống
o Các biện pháp điều hành, đây là những biện pháp được triển khai chính vàđược thực thi bởi mọi người Các biện pháp này đòi hỏi chuyên môn đặcbiệt hoặc kỹ thuật cao và thường dựa vào các hoạt động quản lý cũng nhưcác biện pháp kỹ thuật
o Các biện pháp kỹ thuật, là những cơ chế bảo mật hệ thống máy tính sửdụng Các biện pháo có thể cung cấp bảo vệ tự động từ những truy cập, lạmdung trái phép, tạo điều kiện phát hiện các hành vi vi phạm bảo mật, và hỗtrợ các yêu cầu bảo mật cho ứng dụng và dữ liệu Việc triển khai các biệnpháp kỹ thuật, tuy nhiên đòi hỏi cần nhắc các hoạt động quan trọng và phùhợp với quản lý bảo mật trong tổ chức
1.5 Các yêu cầu về nguồn nhân lực
Nguồn nhân lực là tài sản vô cùng quan trọng của tổ chức trong việc duy trì và pháttriển tổ chức Nguồn nhân lực phù hợp và đầy đủ là khía cạnh quan trọng ảnh hưởngđến bảo mật máy chủ web Các tổ chức cần phải xem xét trên thực tế, nói chung giảipháp kỹ thuật không thể thay thế cho kỹ năng và kinh nghiệm của cá nhân
Khi xem xét đến những tác động của nguồn nhân lực và triển khai một máy chủ, các tổchức cần phải xem xét các vấn đề sau:
Kiểm tra yêu cầu của nhân viên về hệ thống mạng của nhân viên, tổ chức cóđáp ứng đầy đủ không? Điều này sẽ bao gồm các vị trí như quản trị hệ thống vàquản trị máy chủ web, chủ trang web, quản trị mạng
Trang 11 Kiểm tra các kỹ năng cần thiết của nhân viên: những kỹ năng cần thiết nào đểhoàn thành đầy đủ kế hoạch, phát triển và duy trì máy chủ web? Ví dụ bao gồm
cả quản trị hệ điều hành, quản trị mạng, nội dung hoạt động chuyên môn, lậptrình
Kiểm tra tổ chức có những nguồn nhân lực sẵn sàng nào? Thêm vào đó, các kỹnăng hiện tại là gì và các kỹ năng này có đủ để hỗ trợ cho máy chủ web không
1.6 Kiểm tra những nền tảng máy chủ web
Mặc dù nhiều tổ chức quản lý máy chủ web hoạt động trên những hệ điều hành đanăng, đây là những trường hợp mà tổ chức có thể sử dụng trong những trường hợp cầnthiết Mặc dù có nhiều công nghệ liên quan đến khu vực máy chủ web, và đều dựa trêncông nghệ mạnh và bắt đầu sử dụng rộng rãi hơn trong môi trường máy chủ web
1.6.1 Hệ điều hành tin cậy
Những hệ điều hành tin cậy là những hệ điều hành có đảm bảo về độ bảo mật bao gồmcác cơ chế bảo mật bổ sung mà không tìm thấy trong hầu hết các hệ điều hành đanăng Những hệ điều hành này cung cấp chính sách kiểm soát rộng rãi về bảo mật baogồm các quyền truy cập, khả năng kiểm toán Nhiều hệ điều hành tin cậy được xácnhận 1 cách độc lập để đảm bảo chúng phù hợp với các yêu cầu trong hướng dẫn thiếtkế
Những hệ điều hành tin cậy được sử dụng trong các ứng dụng mà bảo mật là khía cạnhquan trọng, bao gồm tài nguyên mạng, người sử dụng, quy trình và bộ nhớ Đặc biệt lànhững hệ điều hành có thể giới hạn truy cập đến tài nguyên hệ thống
Kiểm tra nền tảng web cần chú ý đến những vấn đề như sau:
Kiểm tra bảo mật ở tình trạng như thế nào ?
Tổ chức có cần chuyên gia trong lĩnh vực quản trị hệ điều hành tin cậy không?
Có thêm chi phí mua và hỗ trợ hệ điều hành tin cậy?
Hệ điều hành tin cậy có tương thích với những ứng dụng web đã tồn tại của tổchức không?
Trang 12 Hệ điều hành tin cậy có tương thích với những ứng dụng và máy chủ khác của
tổ chức không?
1.6.2 Máy chủ web
Hệ điều hành đơn giản cải tiến bảo mật bằng cách giảm thiểu những chức năng, dịch
vụ, tính năng không cần thiết Ứng dụng máy chủ web trên những hệ thống thường đãđược làm cứng hóa và được cấu hình sẵn để bảo mật
Yếu điểm lớn nhất của những hệ thống này là không phù hợp với những website đalớp, phức tạp và lớn, và có thể hỗ trợ cho J2EE, NET, PHP Một công cụ có thể vừa lànơi chứa cơ sở dữ liệu vừa là giao diện web Cuối cùng, sẽ rất khó để cấu hình cáccông cụ của những nhà sản xuất khác nhau hoạt động tốt cùng nhau
Ngoài các công cụ máy chủ web, cũng có một số càng công cụ bảo mật có sẵn cho cácmáy chủ web Các hệ thống này làm tăng thêm cơ chế bảo mật trên máy chủ web đó.Trong một số trường hợp, các hệ thống có thể ngăn chăn tấn công đến máy chủ web.Kiểm tra xem máy chủ web có sử dụng những công cụ phổ biến như:
Kiểm tra xem việc xác thực người dùng qua những cơ chế nào, và điều khiểnđến đúng URL trên chính mảy chủ web đó
Khi mua một thiết bị web cần chú ý đến một số vấn đề sau:
Kiểm tra hệ điều hành cơ sở có những tính năng gì và kiểm tra bảo mật ở tìnhtrạng như thế nào ?
Làm thế nào để thiết bị riêng của mình ở tình trang kiểm tra bảo mật (Chú ý đếncác tùy chọn cấu hình của các thiết bị web bị hạn chế, do đó 1 thiết bị web sẽchỉ thường bảo mật với cấu hình cài đặt chuẩn)
Trang 13 Kiểm tra các thiết bị máy chủ web của tổ chức làm việc tốt với nhau?
Kiểm tra các tùy chọn mở rộng vốn có trong thiết bị này có thể chấp nhận cho
tổ chức không?
Kiểm tra cấu hình thiết bị thì có khó khăn như thế nào? Thiết bị có đủ linh hoat
để đáp ứng nhu cầu của tổ chức ?
Kiểm tra mức độ đáp ứng của các nhà sản xuất và cung cấp các bản vá lỗi chocác lỗ hổng tiềm ẩn nhanh như thế nào?
Kiểm tra có phần mềm cơ bản sử dụng trên thiết bị độc quyền, mã nguồn mở,hoặc kết hợp cả hai không?
Kiểm tra xem thời gian hỗ trợ của nhà sản xuất là bao nhiêu thời gian
1.6.3 Máy chủ web và những hệ điều hành cứng hóa
Những hệ điều hành cứng hóa dựa trên những hệ điều hành đa năng đã được sửa đổihoặc đóng gói cứng (ví dụ Linux, Unix, Windows) là những phân phối được thiết kế
để hỗ trợ cho máy chủ web bảo mật Ứng dụng máy chủ web cũng thường dựa trênnhững ứng dụng máy chủ web đã được đóng gói và sửa đổi (Apache, IIS) Những góinày đều có nhiều tùy chọn bảo mật hơn và được thiết kế để dễ cấu hơn bằng những mãtrước biên dịch và giao diện người dùng đồ họa (GUI) Mặc dù mỗi gói khác nhau,nhưng chúng đều dựa vào một hoặc nhiều tùy chọn bảo mật sau
Kiểm tra máy chủ web và những hệ điều hành cứng hóa cần quan tâm đến những vấn
đề sau:
Kiểm tra cấu hình mặc định ban đầu bảo mật
Kiểm tra các phần mềm máy chủ web và hệ điều hành cứng hóa
Kiểm tra khả năng giám sát mở rộng
Kiểm tra các gói ứng dụng
Kiểm tra hệ thống phát hiện xâm nhập IDS, có phát hiện kịp thời các xâm nhậphay không