Business Maker Partner Bizmaker더 나은 세상을 위해 함께 노력합니다.
부탁드립니다. |
2007-01-16 | |
|---|---|---|
| 교육청에서 해킹방지요령 공문이 왔는데 어떻게 해야 할지 몰라서 내용을 올려드리오니 해결을 부탁드립니다. <공문지시 사항> 국가정보원에서 최근 문제로 부각된‘구글’검색을 통한 자료유출 방지를 위해 국가정보원이 보안관제 서비스중인 국가․공공기관 홈페이지(go.kr, ac.kr)에 대해 1.22부터 자료유출 위험성 등을 탐지하여 통보하는 서비스를 할 예정이라고 알려온 바, 3. 각급 기관(학교)에서는 붙임 자료를 참고하여 홈페이지 보안관리를 강화, 피해를 방지할 수 있도록 하여 주시기 바랍니다. 붙임 : 2.‘구글’해킹관련 홈페이지 자료유출 탐지 서비스 내용 1.‘구글’검색기능 악용 해킹피해 방지요령. 끝. 1. <구글 검색기능 악용 해킹피해 방지요령> 1. Robots.txt 파일을 이용한 검색 프로그램 접근 제한 설정 o Robots.txt 파일을 생성, 루트 폴더에 저장 o Robots.txt 파일 설정방법 - 특정 폴더內 내용 검색 제한(예 : admin 폴더) * User-Agent : Googlebot, Disallow : /admin 2. 'Meta' 태그를 이용한 검색 프로그램 접근 제한 설정 o 특정 웹페이지內 내용 검색을 제한하기 위해 웹페이지 헤더부분에 'Meta' 태그 설정 o 'Meta' 태그 설정방법 * 3. 광범위하게 사용하는 폴더 및 파일명 변경 o 해커가 추정하기 쉽고 민감한 폴더 및 파일명 사용 배제 * /root/, admin.cgi, login_ok.php 등 4. 2단계 도메인 적용 검토 o 국가⋅공공기관을 쉽게 인지할 수 있는 3단계 도메인명을 2단계 도메인으로 변경 * www.korea.go.kr → www.korea.kr ※ 자세한 내용은 www.google.com/remove.html 참조하여 조치 2.<‘구글’ 해킹관련 홈페이지 자료유출 탐지 서비스 내용> 1. 요 지 ‘구글’의 검색옵션 가운데 홈페이지 해킹 및 문서절취에 활용 가능한 옵션(10개)과 유형(14개)ㆍ항목(1,468개)을 적절히 조합, 주기적 검색을 실시하고 취약점 발견시 該 기관에 통보 2. 세부내용 o 검색 옵션 유형검색옵션검색형태 제한 (5)cache, link, related, info(id), filetype(ext)검색내용 제한 (5)site, allintitle, intitle, allinurl, inurl o 유형별 항목 유형항목 수발표된 취약점 정보 악용215에러메시지68계정/패스워드 정보 미포함한 이외정보230패스워드 정보135계정정보15웹서버 정보21로그인페이지 정보232방화벽, 허니팟, IDS등의 로그정보59웹디렉토리 정보61온라인 거래정보9온라인 디바이스(웹카메라, 프린트 등) 정보201취약파일57특정 취약점에 노출된 웹서버48특정 웹어플리케이션 정보72 바쁘실텐데 부탁드립니다. 감사합니다. | ||
고객센터