Sembang ICT 88: Mengelak laman web digodam. Utusan Malaysia. 19 November 2012.

Diskusi ICT 65




Saya ada satu soalan, bagaimanakah untuk menghindari daripada berlakunya sesebuah laman web itu digodam oleh seseorang ?



Isha, Seri Menanti



Dalam ruangan Sembang ICT ini, telah banyak dibincangkan secara umum dan spesifik berkenaan dengan pengendalian keselamatan teknologi maklumat. Jadi, boleh merujuknya kembali artikel-artikel yang lepas. Perkara asas dalam keselamatan teknologi maklumat yang perlu diambil kira ialah perimeter, pendidikan dan polisi atau 3P.



Berkenaan dengan keselamatan sesebuah laman web, ada beberapa peringkat yang perlu diteliti iaitu seperti yang tercatit seterusnya.



1. Peringkat aplikasi sesebuah laman web iaitu dari segi laman web itu sendiri, perisian, aplikasi pengurusan kandungan atau Content Management System (CMS), penulisan kod, bahasa pengaturacaraan dan pangkalan data.

2. Peringkat aplikasi storan laman web iaitu aplikasi pelayan web dan pelayan DNS yang diguna pakai.

3. Peringkat komputer pelayan yang digunakan untuk menyediakan kemudahan laman web dan komputer peribadi atau client yang digunakan untuk mencapai fungsi pengurusan laman web tersebut.

4. Peringkat capaian daripada para pengguna terhadap laman web dan sambungannya.



Seterusnya, disediakan panduan keselamatan secara umum bagi pengendalian sesebuah laman web sama ada ia bersifat statik, dinamik atau aplikasi.



1. Aplikasi pelayan DNS yang diguna pakai perlu sentiasa dikemas kini, dikonfigur dengan baik, selamat dan dienkripsi sambungannya. Sila guna aplikasi DNS yang mempunyai fungsi DNS Security Extension (DNSSEC) bagi memberi tahap keselamatan yang tinggi.

2. Sentiasa membuat kemas kini terhadap kesemua perisian dan perkakasan yang digunakan untuk mengendalikan dan membangunkan laman web.

3. Pengunaan kata laluan berserta teknik enkripsi yang kental dan selamat dalam kesemua pengendalian sesebuah laman web.

4. Pastikan keselamatan penggunaan e-mel pentadbir yang digunakan dalam mengendalikan laman web adalah pada tahap yang tinggi. Jangan dedahkannya kepada umum sekiranya tiada berkepentingan.

5. Penggunaan kata laluan yang selamat dan kental pada pangkalan data yang digunakan. Ramai pengguna membiarkan capaiannya tanpa kata laluan.

6. Elakan konfigurasi secara lalai atau default pada mana-mana aplikasi yang digunakan terutama pada pelayan web, pangkalan data, aplikasi pengurusan kandungan, blog, skrip dan sebagainya. Konfigur kesemuanya dengan selamat.

7. Elakan penggunaan aplikasi Telnet, aplikasi FTP dan sambungan Wi-Fi untuk mencapai pengurusan laman web secara jarak jauh kerana ia kurang selamat. Boleh menggunakan aplikasi yang mempunyai fungsi enkripsi seperti Secure FTP (SFTP), VPN dan lain-lain dalam menggunakan aplikasi capaian jarak jauh.

8. Semak kebenaran capaian fail dan direktori agar capaiannya selamat dan terhad oleh pihak yang bertangung jawab sahaja terutama fail dan direktori yang berada dalam aplikasi pelayan web.

9. Tambahkan skrip robot.txt kepada laman web. Ia adalah skrip arahan untuk laman-laman web enjin carian yang akan mengindek fail tertentu sahaja bagi sesebuah laman web yang dicari oleh para pengguna.

10. Pastikan komputer pelayan yang digunakan dikonfigur pada tahap keselamatan yang tinggi. Sentiasa membuat kemas kini dan penyelengaraan bagi perisian dan sistem pengoperasian yang digunakan secara berkala. Elak larikan komputer pelayan dalam mod penuh pentadbir atau Root.

11. Penggunaan perimeter keselamatan pada infrastruktur laman web seperti aplikasi Firewall Web, IDS, IPS, perisian anti-virus dan lain-lain. Konfigur dengan selamat dan sentiasa mengemaskini aplikasi yang digunakan.

12. Sentiasa melakukan pengujian keselamatan bagi laman web dengan menggunakan aplikasi-aplikasi tertentu seperti PHP Security Scanner, Web Security Testing, XSS String Encoder, SQL Encoder dan lain-lain atau secara manual. Ini juga dikenali sebagai Penetration Testing dan Security Audit. Ia boleh diuji kepada kod sumber, perisian, perkakasan dan capaian yang digunakan untuk sesebuah laman web.

13. Pastikan aplikasi pelayan web yang digunakan dikonfigur pada tahap keselamatan yang tinggi. Sentiasa membuat kemas kini dan penyelengaraan secara berkala. Pastikan aplikasi pelayan web menggunakan fungsi enkripsi SSL untuk keselamatan paparan sesebuah laman web.

14. Pastikan pengguna yang mencapai laman web dididik dengan cara penggunaan yang berhemah dan selamat seperti sambungan, penggunaan pelayar yang selamat, penggunaan akaun laman web dengan selamat dan lain-lain.

15. Wujudkan polisi keselamatan bagi capaian laman web secara dalaman atau secara luaran.

16. Penggunaan keselamatan fizikal yang baik untuk storan laman web seperti keadaan bilik yang kondusif dan selamat, teknik penguncian yang baik dan lain-lain.

17. Wujudkan sistem salinan data untuk kembalikan semula keadaan dan data sesebuah laman web ke bentuk asal sekiranya berlaku perkara-perkara yang tidak diingini. Ini dikenali sebagai Bussiness Continuity Plan (BCP).