২০ অক্টোবর ২০১৮  ঢাকা, বাংলাদেশ  
শেষ আপডেট এই মাত্র    
ADS

ওয়েবসাইট ও ওয়েব সার্ভারের নিরাপত্তায় করণীয়

  • কায়সার আল ফারুক

বর্তমান সময়ে ওয়েবসাইটের নিরাপত্তা একটি চরম গুরুত্বপূর্ণ বিষয় হয়ে দাঁড়িয়েছে। ওয়েব সার্ভারগুলো হয়ে দাঁড়িয়েছে সাইবার অপরাধীদের আকর্ষণীয় লক্ষ্য। সাইবার অপরাধীরা প্রতিনিয়তই চেষ্টা করে, দুর্বল নিরাপত্তার ওয়েবসাইটগুলোকে আক্রমণ করতে, আর গ্রাহকরা চায় ওয়েবসাইটের নিরাপত্তার বিষয়টি সর্বোচ্চ গুরুত্ব পাক। কাজেই ওয়েব সার্ভার ও আনুষঙ্গিক কাঠামোসমূহের নিরাপত্তা নিশ্চিত করা, সময়ের একটি বড় চ্যালেঞ্জ। নিরাপত্তা ব্যত্যয়ের ফলাফল হতে পারে ভয়াবহ: আর্থিক ক্ষতি, সুনামের ক্ষতি, আইনী জটিলতা , গ্রাহকের বিশ্বাসভঙ্গ ইত্যাদি নানা জটিলতা দেখা দিতে পারে। ওয়েব সার্ভার, ওয়েব সার্ভারের অপারেটিং সিস্টেম এবং সক্রিয় উপাদানসমূহের ওপর অবৈধ নিয়ন্ত্রণ প্রতিষ্ঠার জন্য সাইবার অপরাধীগণ সাধারণত সফট্্ওয়্যার বাগ ব্যবহার করে থাকে। যে সকল ফাইল/ফোল্ডার সর্বসাধারণের জন্য উন্মুক্ত নয়, সে সকল ফাইল/ফোল্ডারের ওপর নিয়ন্ত্রণ প্রতিষ্ঠা, সার্ভারে কমান্ড এক্সি্িকউট করার সক্ষমতা অর্জন অথবা ক্ষতিকর সফট্ওয়্যার ইনস্টল করা ইত্যাদি হতে পারে অবৈধ অনুপ্রবেশের দৃষ্টান্ত। সেবাপ্রদানে অক্ষমতা প্রকাশ জাতীয় আক্রমণে লক্ষ্য হতে পারে আপনার ওয়েব সার্ভার অথবা এর আনুষঙ্গিক কাঠামো। এর মাধ্যমে ইমেইল ব্যবহার, ওয়েব ব্রাউজিং, অনলাইন লেনদেন ইত্যাদি বাধাগ্রস্ত হতে পারে। ওয়েব সার্ভারে রক্ষিত স্পর্শকাতর তথ্য, অননুমোদিত ব্যবহারকারী দ্বারা পড়া অথবা পরিবর্তন/পরিবর্ধনের সুযোগ থেকে যায়। ব্যাক এ্যান্ড তথ্যভা-ারের যে সকল স্পর্শকাতর তথ্য ওয়েব এপ্লিকেশনের আন্তঃক্রিয় উপাদানসমূহকে সহায়তা করে; সেসব তথ্য, অননুমোদিত সফট্ওয়ার আদেশের মাধ্যমে বিকৃত করার সুযোগ থেকে যায়। উদাহরণস্বরূপ বলা যেতে পারে- এসকিউএল ইনজেকশন, লাইট্ওয়েট ডিরেকটরি এক্সেস প্রটোকল ইনজেকশন, ক্রস সাইট স্ক্রিপ্টিং ইত্যাদি। স্পর্শকাতর তথ্য যদি কোন কারণে সংকেতায়ন করা ছাড়া, সার্ভার থেকে ওয়েব ব্রাউজারে পাঠানো হয়, সেক্ষেত্রে তা হ্যাকারের হাতে পড়ার সম্ভাবনা থাকে। অসৎ উদ্দেশ্যে ওয়েব সার্ভার রক্ষিত তথ্য বিকৃত করা হতে পারে। ওয়েবসাইটের চেহারা পরিবর্তন (্ওয়েব সাইটে প্রদর্শিত তথ্য, চিত্র ইত্যাদি) একটি সাধারণ আক্রমণ। সার্ভারে একটি সাফল্যম-িত আক্রমণের মাধ্যমে সাইবার অপরাধীগণ কোন কোন ক্ষেত্রে নেটওয়ার্কের অন্যত্র রক্ষিত কোন কাঠামো/সুবিধা/যন্ত্রাংশের ওপর অবৈধ নিয়ন্ত্রণ প্রতিষ্ঠায় সক্ষম হতে পারে। ওয়েব সার্ভারে অবৈধ নিয়ন্ত্রণ প্রতিষ্ঠা করা গেলে এর মাধ্যমে সাইবার অপরাধগণ উক্ত সার্ভারের সাথে সংযুক্ত যেকোন সিস্টেমের নিরাপত্তা দুর্বলতার সুযোগ নিয়ে সাইবার আক্রমণ শাণাতে পারে। যেমন- দখলকৃত সার্ভারে এমন ক্ষতিকর সফট্ওয়্যার, ভাইরাস রাখা হলো যা উক্ত সার্ভাও ভিজিটকারী সকল ব্রাউজারে নিরাপত্তা ত্রুটি বিশ্লেষণ করবে। অধিকৃত সার্ভারটিকে সাইবার অপরাধীগণ, সাইবার আক্রমণের উপাদান, পর্নোগ্রাফি, পাইরেটেড সফট্ওয়ার ইত্যাদি বিতরণের কেন্দ্র হিসেবে ব্যবহার করতে পারে। এককথায় বললে বলা যায়, অধিকৃত সার্ভারটি হয়ে যায়, সাইবার আক্রমণকারীদের একটি স্ট্রাটেজিক ঘাঁটি।

একটি ওয়েব সার্ভার নিরাপদে রক্ষণাবেক্ষণ ও পরিচালনার জন্য উপযুক্ত ব্যবস্থাপনা কৌশলসমূহের অনুশীলন আবশ্যক। একটি তথ্য ব্যবস্থার সম্পদসমূহ চিহ্নিতকরণ এবং উন্নয়ন, নথিসমূহ, গোপনীয়তা নিশ্চিতকল্পে প্রণীত বাস্তবায়ন নীতিমালা ও নির্দেশমালাসমূহ, তথ্য ব্যবস্থার সম্পদসমূহের প্রাপ্যতা ও একনিষ্ঠতা ইত্যাদি বিষয়সমূহ নিরাপত্তা কৌশলের অন্তর্ভুক্ত। এক্ষেত্রে সাধারণত নিম্নলিখিত বিষয়সমূহ পরামর্শ দেয়া হয়ে থাকে: প্রতিষ্ঠানওয়ারী নিরাপত্তা নীতিমালা, সার্ভারে কনফিগারেশন করা অথবা পরিবর্তন করা নিয়ন্ত্রণ ও ব্যবস্থাপনা, ঝুঁকি পর্যালোচনা ও ব্যবস্থাপনা, নিরাপত্তা নীতিমালা অনুযায়ী মানসম্পন্ন সফট্ওয়্যারের ব্যবহার, নিরাপত্তা সচেতনতা ও প্রশিক্ষণ, কন্টিনজেন্সি পরিকল্পন, দুর্যোগ উত্তরণ পরিকল্পনা ও সিস্টেম সচল রাখার পরিকল্পনা, সনদায়ন ও প্রত্যয়ন ইত্যাদি।

ওয়েব সার্ভার কে নিরাপদ রাখার প্রথম পদক্ষেপটিই হলো এর অপারেটিং সিস্টেমটিকে নিরাপদ রাখা। অনেক ক্ষেত্রেই দেখা যায় যে, ওয়েব সার্ভারে সাধারণ কাজে ব্যবহারযোগ্য অপারেটিং সিস্টেম ব্যবহার করা হয়। অপারেটিং সিস্টেমটিকে সঠিকভাবে কনফিগার করা হলে অনেক জটিলতাই এড়ানো সম্ভব। কম্পিউটার প্রস্তুতকারী প্রতিষ্ঠানসমূহ সাধারণত ডিফল্ট হার্ডওয়্যার ও সফটওয়্যার কনফিগারেশন এমনভাবে করে, যেন তা তাদের পণ্যের সক্ষমতা, ব্যবহারযোগ্যতা ও গ্রহণযোগ্যতা গ্রাহকের কাছে বৃদ্ধি করে। কিন্তু তা করতে গিয়ে অনেক ক্ষেত্রেই নিরাপত্তার নিষয়টি উপেক্ষিত থেকে যায়। তাছাড়া, আপনার প্রতিষ্ঠানে কি ধরনের নিরাপত্তা ব্যবস্থা প্রয়োজন, তা অনেক ক্ষেত্রেই প্রস্তুতকারকের জানার সুযোগ থাকে না। সুতরাং প্রত্যেক ওয়েব সার্ভার প্রশাসকেরই উচিত হবে, তার সিস্টেমের প্রয়োজন অনুযায়ী অপারেটিং সিস্টেমটিকে কনফিগার করে নেয়া। কনফিগার করার ক্ষেত্রে নিম্নরিখিত বিষয়সমূহ অনুসরণ করা যেতে পারে: অপারেটিং সিস্টেমটিকে প্যাচ ও আপগ্রেড করে নেযা, সকল ডিফল্ট পাস্ওয়ার্ড পরিবর্তন করা। অপ্রয়োজনীয় সফট্ওয়্যার সরিয়ে ফেলা/ অকার্যকর করা ব্যবহারকারী প্রত্যয়ন ব্যবস্থা কনফিগার করা, সম্পদ নিয়ন্ত্রন ব্যবস্থা কনফিগার করা,অতিরিক্ত নিরাপত্তা ব্যবস্থা সংযোজন ও কনফিগার,্অপারেটিং সিস্টেমের নিরাপত্তা পরীক্ষা সম্পাদন।

যে সকল স্থানে সাইবার অপরাধীরা গুরুত্বপূর্ণ তথ্য খোঁজে, ওয়েবসাইট তার মধ্যে প্রথম। তারপরও, কোন তথ্যসমূহ উন্মুক্তভাবে প্রদর্শিত হবে? কোন তথ্যসমূহ সীমিতভাবে প্রদর্শিত হবে? কেন তথ্যসমূহ একেবারেই উন্মুক্তভাবে প্রদর্শিত হবে না? এসব বিষয়ে কোন নীতিমালা নেই, এমন অনেক প্রতিষ্ঠানই রয়েছে। যে সকল বিষয় একেবারেই সকলের জন্য উন্মুক্ত করে দেয়া উচিত নয়, অথবা অন্ততপক্ষে পরীক্ষা-নিরীক্ষার মাধ্যমে উন্মুক্ত করা উচিত, সে সকল বিষয়ের একটি তালিকা নিম্নে তুলে ধরা হলো- ক্লাসিফাইড ও ব্যক্তিগত গোপনীয় তথ্য, প্রতিষ্ঠানের নিরাপত্তায় স্পর্শকাতর তথ্য, মেডিকেল রেকর্ড, প্রতিষ্ঠানের বস্তুগত ও তথ্যগত নিরাপত্তা রক্ষাকবচ, ব্যবসায়িক যোগাযোগ ও তথ্য ব্যবস্থার অপকাঠামো সংক্রান্ত তথ্য যে সকল তথ্য, বস্তুগত নিরাপত্তার দুর্বলতা উন্মোচন করে, কোন প্রতিষ্ঠানের নকশা, মানচিত্র, আলোকচিত্র যা, প্রতিষ্ঠানের বস্তুগত নিরাপত্তাকে দুর্বল করে, ব্যক্তির যে কোন স্পর্শকাতর তথ্য প্রকাশ, যা প্রতিষ্ঠানকে জাতীয়/আন্তর্জাতিক আইনে অভিযুক্ত করে।