关于安全地建设、开发与管理网站的指导意见
ຄຳແນະນຳ ກ່ຽວກັບ ການສ້າງ, ພັດທະນາ ແລະ ຄຸ້ມຄອງເວັບໄຊ ໃຫ້ມີຄວາມປອດໄພ
Guidelines on Safe Construction, Development, and Management of Websites
简介
老挝邮政、电信与通信部部长发布的指导意见,面向建设、开发和管理网站的个人、法人或组织,规定网站规划、域名注册、主机选择、内容管理系统、数据库与密码安全、防攻击措施、应急处置与数据备份等方面的安全要求。 【OCR识别·机器翻译,未经律师终审,以官方PDF为准】
Summary
This guideline issued by the Minister of Posts, Telecommunications and Communications of Laos, addressed to individuals, legal entities or organizations constructing, developing and managing websites, stipulates security requirements for website planning, domain name registration, host selection, content management systems, database and password security, anti-attack measures, emergency response and data backup.
ບົດສະຫຼຸບ
ຄຳແນະນຳຂອງລັດຖະມົນຕີກະຊວງໄປສະນີ, ໂທລະຄົມ ແລະ ການສື່ສານ ສະບັບນີ້ ກຳນົດຂໍ້ກຳນົດດ້ານຄວາມປອດໄພສຳລັບການວາງແຜນເວັບໄຊ, ການຈົດທະບຽນຊື່ໂດເມນ, ການເລືອກໂຮດ, ລະບົບຈັດການເນື້ອຫາ, ຄວາມປອດໄພຂອງຖານຂໍ້ມູນ ແລະ ລະຫັດຜ່ານ, ມາດຕະການປ້ອງກັນການໂຈມຕີ, ການຮັບມືສຸກເສີນ ແລະ ການສຳຮອງຂໍ້ມູນ, ເຊິ່ງແນໃສ່ບຸກຄົນ, ນິຕິບຸກຄົນ ຫຼື ອົງກອນທີ່ກໍ່ສ້າງ, ພັດທະນາ ແລະ ຄຸ້ມຄອງເວັບໄຊ.
条文
第1条
一、目的:本指导意见旨在为建设、改进、开发网站及管理网站托管服务的个人、法人或组织提供指引,以降低网站被攻击、被黑客入侵、网站服务器服务中断及重要数据库泄露的风险,保障向社会提供信息、获取使用信息及提供信息服务的便捷、快速与安全。
二、术语解释:1. 网页(Web Page)指通过互联网以符号、数字、文字、图片、视频、音频及其他形式呈现的电子展示板;2. 网站(Website)指由一个或多个网页构成的信息系统;3. 网址(URL)指互联网上的位置标识符,由用于访问信息的协议名(如 https://)和指定给网站服务器的互联网域名(如 www.example.gov.la)组成;4. 万维网(Web)指可供用户通过 http 协议检索信息的一组网站或计算机;5. 网站服务器(Web Server)指充当服务器并安装有通过网络提供网站信息服务程序的计算机;6. 网站服务软件(Web Server Software)指安装在服务器上、使服务器能够提供网站服务的程序,如 Apache 程序及 IIS(Internet Information Services)for Windows 等;7. 网页浏览器(Web Browser)指用于通过网络从网站服务器调取网站信息的程序;8. 网站应用程序(Web Application)指为通过网页浏览器经计算机网络(如互联网或内联网)调用和访问而开发的应用程序;9. 网站内容管理系统(Content Management System: CMS)指通过接口(Interface)对网站进行管理的程序,便于管理网页及更新各类相关安装项;10. 网站通信数据加密(SSL/TLS):SSL 系 Secure Socket Layer 的缩写,现已发展为 TLS(Transport Layer Security),指为保障服务器与网页浏览器或所用应用程序之间在互联网上通信或传送数据安全而采用的数据加密技术。
ພາສາລາວ (老挝语原文)
1. ຈຸດປະສົງ: ຄຳແນະນຳສະບັບນີ້ມີຈຸດປະສົງເພື່ອໃຫ້ຄຳແນະນຳແກ່ບຸກຄົນ, ນິຕິບຸກຄົນ ຫຼື ອົງກອນທີ່ສ້າງ, ປັບປຸງ, ພັດທະນາເວັບໄຊທ໌ ແລະ ຄຸ້ມຄອງການບໍລິການເຊົ່າເວັບໄຊທ໌, ເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງຕໍ່ການຖືກໂຈມຕີ, ຖືກແຮັກ, ການຂັດຂ້ອງຂອງການບໍລິການເຊີບເວີເວັບໄຊທ໌ ແລະ ການຮົ່ວໄຫຼຂອງຖານຂໍ້ມູນທີ່ສຳຄັນ, ຮັບປະກັນຄວາມສະດວກ, ວ່ອງໄວ ແລະ ປອດໄພໃນການໃຫ້ຂໍ້ມູນຂ່າວສານແກ່ສັງຄົມ, ການເຂົ້າເຖິງ ແລະ ນຳໃຊ້ຂໍ້ມູນ ແລະ ການໃຫ້ບໍລິການຂໍ້ມູນຂ່າວສານ.
2. ຄຳອະທິບາຍຄຳສັບ: 1. ໜ້າເວັບ (Web Page) ໝາຍເຖິງ ກະດານສະແດງຜົນເອເລັກໂຕຣນິກທີ່ນຳສະເໜີຜ່ານອິນເຕີເນັດໃນຮູບແບບສັນຍາລັກ, ຕົວເລກ, ຂໍ້ຄວາມ, ຮູບພາບ, ວິດີໂອ, ສຽງ ແລະ ຮູບແບບອື່ນໆ; 2. ເວັບໄຊທ໌ (Website) ໝາຍເຖິງ ລະບົບຂໍ້ມູນຂ່າວສານທີ່ປະກອບດ້ວຍໜ້າເວັບໜຶ່ງ ຫຼື ຫຼາຍໜ້າ; 3. ທີ່ຢູ່ເວັບ (URL) ໝາຍເຖິງ ຕົວລະບຸຕຳແໜ່ງໃນອິນເຕີເນັດ, ປະກອບດ້ວຍຊື່ໂປຣໂຕຄໍທີ່ໃຊ້ເຂົ້າເຖິງຂໍ້ມູນ (ເຊັ່ນ https://) ແລະ ຊື່ໂດເມນອິນເຕີເນັດທີ່ກຳນົດໃຫ້ເຊີບເວີເວັບໄຊທ໌ (ເຊັ່ນ www.example.gov.la); 4. ເວັບໂລກ (Web) ໝາຍເຖິງ ກຸ່ມເວັບໄຊທ໌ ຫຼື ຄອມພິວເຕີທີ່ຜູ້ໃຊ້ສາມາດຄົ້ນຫາຂໍ້ມູນຜ່ານໂປຣໂຕຄໍ http; 5. ເຊີບເວີເວັບໄຊທ໌ (Web Server) ໝາຍເຖິງ ຄອມພິວເຕີທີ່ເຮັດໜ້າທີ່ເປັນເຊີບເວີ ແລະ ຕິດຕັ້ງໂປຣແກຣມທີ່ໃຫ້ບໍລິການຂໍ້ມູນເວັບໄຊທ໌ຜ່ານເຄືອຂ່າຍ; 6. ຊອບແວບໍລິການເວັບໄຊທ໌ (Web Server Software) ໝາຍເຖິງ ໂປຣແກຣມທີ່ຕິດຕັ້ງໃນເຊີບເວີ ເພື່ອໃຫ້ເຊີບເວີສາມາດໃຫ້ບໍລິການເວັບໄຊທ໌, ເຊັ່ນ ໂປຣແກຣມ Apache ແລະ IIS (Internet Information Services) for Windows ເປັນຕົ້ນ; 7. ບຣາວເຊີເວັບ (Web Browser) ໝາຍເຖິງ ໂປຣແກຣມທີ່ໃຊ້ດຶງຂໍ້ມູນເວັບໄຊທ໌ຈາກເຊີບເວີຜ່ານເຄືອຂ່າຍ; 8. ແອັບພລິເຄຊັນເວັບ (Web Application) ໝາຍເຖິງ ແອັບພລິເຄຊັນທີ່ຖືກພັດທະນາເພື່ອເຂົ້າເຖິງ ແລະ ນຳໃຊ້ຜ່ານບຣາວເຊີເວັບຜ່ານເຄືອຂ່າຍຄອມພິວເຕີ (ເຊັ່ນ ອິນເຕີເນັດ ຫຼື ອິນທຣາເນັດ); 9. ລະບົບຈັດການເນື້ອຫາເວັບໄຊທ໌ (Content Management System: CMS) ໝາຍເຖິງ ໂປຣແກຣມທີ່ຈັດການເວັບໄຊທ໌ຜ່ານອິນເຕີເຟສ (Interface) ເພື່ອຄວາມສະດວກໃນການຈັດການໜ້າເວັບ ແລະ ອັບເດດການຕິດຕັ້ງຕ່າງໆທີ່ກ່ຽວຂ້ອງ; 10. ການເຂົ້າລະຫັດຂໍ້ມູນການສື່ສານເວັບໄຊທ໌ (SSL/TLS): SSL ແມ່ນຄຳຫຍໍ້ຂອງ Secure Socket Layer, ປັດຈຸບັນໄດ້ພັດທະນາເປັນ TLS (Transport Layer Security), ໝາຍເຖິງ ເທັກໂນໂລຢີການເຂົ້າລະຫັດຂໍ້ມູນທີ່ໃຊ້ເພື່ອຮັບປະກັນຄວາມປອດໄພໃນການສື່ສານ ຫຼື ການສົ່ງຂໍ້ມູນລະຫວ່າງເຊີບເວີ ແລະ ບຣາວເຊີເວັບ ຫຼື ແອັບພລິເຄຊັນທີ່ໃຊ້ງານຜ່ານອິນເຕີເນັດ.
第2条
安全地建设与管理网站。
一、规划安全地建设与管理网站
1. 网站安全规划,包含以下三个步骤:1.1. 网站建设规划:应选用合适的应用程序及网站开发工具,核查网站服务器的属性,以及网站数据的存储与安全保护政策,以满足建站目的(详见附件第1项链接)。1.2. 威胁风险盘点:网站服务器管理者应对网站资产清单进行盘点,如网站服务器数量、网站应用程序及网站数据,或所有相关网页,连同可能给网站造成的损失价值,作为对威胁风险进行排序的依据(详见附件第2项链接)。1.3. 威胁风险排序:网站服务器管理者应对威胁风险进行排序,以防止网站被攻击、被黑客入侵、服务器系统服务中断,并降低人员配置的困难,包括选用技术、确定与各类威胁相适应的安全标准(详见附件第3项链接)。
2. 互联网域名注册,应按以下要求办理:2.1. 老挝人民民主共和国互联网域名“.la”的注册:注册互联网域名须依照《关于互联网及老挝人民民主共和国互联网域名管理与使用的法令》(编号164/政府,2012年3月23日)规定的步骤和方法办理(详见附件第4项链接)。2.2. 互联网域名账户安全密码的设置:设置安全密码时,应将修改域名设置信息的密码设为复杂难猜,如数字、大小写字母、符号等,规定密码最短长度至少12个字符以上,不宜与邮箱或银行账户使用相同密码,并限制使用期限,以防止数据被窃取。2.3. 注册信息变更的确认:每次变更互联网域名注册信息时,域名服务提供者须告知变更信息的步骤并发出提醒,同时进行身份确认,以防止恶意人员进入更改信息。
3. 网站托管服务提供者的选择:为保障网站安装、设置和更新不致产生可能影响操作系统、网站服务应用程序或网站管理系统的漏洞,应按以下条件考量选择托管服务提供者:3.1. 网站托管服务方式:甲、共享托管(Shared Hosting)费用较低,但用户网站应用程序之间不作访问权限隔离;乙、虚拟托管(VPS Hosting)便于管理,可按需安装应用程序及调整配置,并保证某一服务器损坏不致影响其他服务器;丙、独立服务器托管(Dedicated Server)费用较高,但有助于提升防范因其他网站漏洞而遭受攻击的风险。3.2. 漏洞问题处理:托管服务提供者应有明确的安全政策,以防止因漏洞造成损失。3.3. 数据文件传输(Remote File Transfer):用户与托管服务提供者之间的数据文件传输,宜采用具有加密的安全远程文件传输(SFTP)服务,使文件传输安全。3.4. 网站安全通信(SSL/TLS):应核查托管服务提供者是否提供网站安全通信 SSL/TLS 服务,若不提供,用户须向其他提供者申请电子安全通信证书(SSL Certificate)。3.5. 数据备份与服务器维护:托管服务提供者应对其管理下的服务器数据定期备份。〔本款末句的标题污染源自页脚误并,应为承接3.5款;其后衔接的「关于批准经营互联网信息中心业务的协定(编号590/邮电通信部,2016年5月18日)」为附件第5项引用,详见附件第5项链接〕。3.6. 应急时与托管服务提供者的联络:托管服务提供者应设有专门的联络渠道或负责协调的单位,以便用户需要联络求助、处置其网站突发事件时使用。
4. 网站管理系统(CMS)的选择,应按以下要求办理:4.1. 选择与安全相关的属性:网站管理系统开发者应提供安装说明、安全配置(Security Guideline)文档及按托管服务提供者和用户需求的插件(Plug-in)(详见附件第6项链接)。4.2. 网站管理系统建设方的选择:网站建设开发者应选择质量优良、能定期修补缺陷与漏洞的管理系统建设方。
ພາສາລາວ (老挝语原文)
ການກໍ່ສ້າງ ແລະ ບໍລິຫານຈັດການເວັບໄຊຢ່າງປອດໄພ.
1. ການວາງແຜນກໍ່ສ້າງ ແລະ ບໍລິຫານຈັດການເວັບໄຊຢ່າງປອດໄພ
1.1. ການວາງແຜນກໍ່ສ້າງເວັບໄຊ: ຄວນເລືອກໃຊ້ໂປຣແກຣມປະຍຸກໃຊ້ ແລະ ເຄື່ອງມືພັດທະນາເວັບໄຊທີ່ເໝາະສົມ, ກວດສອບຄຸນສົມບັດຂອງເຊີບເວີເວັບໄຊ, ພ້ອມທັງນະໂຍບາຍການເກັບຮັກສາ ແລະ ປ້ອງກັນຄວາມປອດໄພຂອງຂໍ້ມູນເວັບໄຊ, ເພື່ອໃຫ້ບັນລຸຈຸດປະສົງຂອງການສ້າງເວັບໄຊ (ເບິ່ງລາຍລະອຽດໃນລິ້ງຂໍ້ທີ 1 ຂອງເອກະສານຊ້ອນທ້າຍ).
1.2. ການສຳຫຼວດຄວາມສ່ຽງໄພຄຸກຄາມ: ຜູ້ບໍລິຫານເຊີບເວີເວັບໄຊຄວນສຳຫຼວດບັນຊີລາຍການຊັບສິນເວັບໄຊ, ເຊັ່ນ: ຈຳນວນເຊີບເວີເວັບໄຊ, ໂປຣແກຣມປະຍຸກໃຊ້ເວັບໄຊ ແລະ ຂໍ້ມູນເວັບໄຊ, ຫຼື ໜ້າເວັບທີ່ກ່ຽວຂ້ອງທັງໝົດ, ພ້ອມທັງມູນຄ່າຄວາມເສຍຫາຍທີ່ອາດເກີດຂຶ້ນກັບເວັບໄຊ, ເປັນພື້ນຖານໃນການຈັດລຳດັບຄວາມສ່ຽງໄພຄຸກຄາມ (ເບິ່ງລາຍລະອຽດໃນລິ້ງຂໍ້ທີ 2 ຂອງເອກະສານຊ້ອນທ້າຍ).
1.3. ການຈັດລຳດັບຄວາມສ່ຽງໄພຄຸກຄາມ: ຜູ້ບໍລິຫານເຊີບເວີເວັບໄຊຄວນຈັດລຳດັບຄວາມສ່ຽງໄພຄຸກຄາມ, ເພື່ອປ້ອງກັນການໂຈມຕີເວັບໄຊ, ການບຸກລຸກຂອງແຮກເກີ, ການຂັດຂ້ອງການບໍລິການລະບົບເຊີບເວີ, ແລະ ຫຼຸດຜ່ອນຄວາມຫຍຸ້ງຍາກໃນການຈັດວາງບຸກຄະລາກອນ, ລວມທັງການເລືອກເຕັກໂນໂລຊີ ແລະ ການກຳນົດມາດຕະຖານຄວາມປອດໄພທີ່ເໝາະສົມກັບໄພຄຸກຄາມແຕ່ລະປະເພດ (ເບິ່ງລາຍລະອຽດໃນລິ້ງຂໍ້ທີ 3 ຂອງເອກະສານຊ້ອນທ້າຍ).
2. ການຈົດທະບຽນຊື່ໂດເມນອິນເຕີເນັດ, ຕ້ອງດຳເນີນການຕາມຂໍ້ກຳນົດດັ່ງນີ້:
2.1. ການຈົດທະບຽນຊື່ໂດເມນອິນເຕີເນັດຂອງ ສາທາລະນະລັດ ປະຊາທິປະໄຕ ປະຊາຊົນລາວ ".la": ການຈົດທະບຽນຊື່ໂດເມນອິນເຕີເນັດຕ້ອງປະຕິບັດຕາມຂັ້ນຕອນ ແລະ ວິທີການທີ່ກຳນົດໄວ້ໃນດຳລັດວ່າດ້ວຍການຄຸ້ມຄອງ ແລະ ນຳໃຊ້ອິນເຕີເນັດ ແລະ ຊື່ໂດເມນອິນເຕີເນັດຂອງ ສາທາລະນະລັດ ປະຊາທິປະໄຕ ປະຊາຊົນລາວ (ສະບັບເລກທີ 164/ລັດຖະບານ, ວັນທີ 23 ມີນາ 2012) (ເບິ່ງລາຍລະອຽດໃນລິ້ງຂໍ້ທີ 4 ຂອງເອກະສານຊ້ອນທ້າຍ).
2.2. ການຕັ້ງລະຫັດຜ່ານຄວາມປອດໄພຂອງບັນຊີຊື່ໂດເມນອິນເຕີເນັດ: ເມື່ອຕັ້ງລະຫັດຜ່ານທີ່ປອດໄພ, ຄວນຕັ້ງລະຫັດຜ່ານສຳລັບການແກ້ໄຂຂໍ້ມູນການຕັ້ງຄ່າໂດເມນໃຫ້ມີຄວາມຊັບຊ້ອນ ແລະ ຍາກຕໍ່ການເດົາ, ເຊັ່ນ: ຕົວເລກ, ຕົວອັກສອນໃຫຍ່-ນ້ອຍ, ສັນຍາລັກ ແລະ ອື່ນໆ, ກຳນົດຄວາມຍາວຕ່ຳສຸດຂອງລະຫັດຜ່ານຢ່າງໜ້ອຍ 12 ຕົວອັກສອນຂຶ້ນໄປ, ບໍ່ຄວນໃຊ້ລະຫັດຜ່ານດຽວກັນກັບອີເມວ ຫຼື ບັນຊີທະນາຄານ, ແລະ ຈຳກັດໄລຍະເວລາການນຳໃຊ້, ເພື່ອປ້ອງກັນການລັກເອົາຂໍ້ມູນ.
2.3. ການຢືນຢັນການປ່ຽນແປງຂໍ້ມູນການຈົດທະບຽນ: ທຸກຄັ້ງທີ່ມີການປ່ຽນແປງຂໍ້ມູນການຈົດທະບຽນຊື່ໂດເມນອິນເຕີເນັດ, ຜູ້ໃຫ້ບໍລິການຊື່ໂດເມນຕ້ອງແຈ້ງຂັ້ນຕອນການປ່ຽນແປງຂໍ້ມູນ ແລະ ອອກການເຕືອນ, ພ້ອມທັງດຳເນີນການຢືນຢັນຕົວຕົນ, ເພື່ອປ້ອງກັນບໍ່ໃຫ້ບຸກຄົນທີ່ມີເຈດຕະນາຮ້າຍເຂົ້າມາປ່ຽນແປງຂໍ້ມູນ.
3. ການເລືອກຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊ: ເພື່ອຮັບປະກັນວ່າການຕິດຕັ້ງ, ການຕັ້ງຄ່າ ແລະ ການອັບເດດເວັບໄຊຈະບໍ່ເຮັດໃຫ້ເກີດຊ່ອງໂຫວ່ທີ່ອາດສົ່ງຜົນກະທົບຕໍ່ລະບົບປະຕິບັດການ, ໂປຣແກຣມປະຍຸກໃຊ້ບໍລິການເວັບໄຊ ຫຼື ລະບົບບໍລິຫານຈັດການເວັບໄຊ, ຄວນພິຈາລະນາເລືອກຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊຕາມເງື່ອນໄຂດັ່ງນີ້:
3.1. ຮູບແບບການໃຫ້ບໍລິການເຊົ່າເວັບໄຊ: ກ. ການເຊົ່າແບບແບ່ງປັນ (Shared Hosting) ມີຄ່າໃຊ້ຈ່າຍຕ່ຳ, ແຕ່ບໍ່ມີການແຍກສິດເຂົ້າເຖິງລະຫວ່າງໂປຣແກຣມປະຍຸກໃຊ້ເວັບໄຊຂອງຜູ້ໃຊ້; ຂ. ການເຊົ່າແບບເຊີບເວີສະເໝືອນ (VPS Hosting) ສະດວກໃນການບໍລິຫານຈັດການ, ສາມາດຕິດຕັ້ງໂປຣແກຣມປະຍຸກໃຊ້ ແລະ ປັບປຸງການຕັ້ງຄ່າຕາມຄວາມຕ້ອງການ, ແລະ ຮັບປະກັນວ່າຄວາມເສຍຫາຍຂອງເຊີບເວີໜຶ່ງຈະບໍ່ສົ່ງຜົນກະທົບຕໍ່ເຊີບເວີອື່ນ; ຄ. ການເຊົ່າແບບເຊີບເວີເອກະຊົນ (Dedicated Server) ມີຄ່າໃຊ້ຈ່າຍສູງ, ແຕ່ຊ່ວຍເພີ່ມຄວາມສາມາດໃນການປ້ອງກັນຄວາມສ່ຽງຈາກການຖືກໂຈມຕີຜ່ານຊ່ອງໂຫວ່ຂອງເວັບໄຊອື່ນ.
3.2. ການຈັດການບັນຫາຊ່ອງໂຫວ່: ຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊຕ້ອງມີນະໂຍບາຍຄວາມປອດໄພທີ່ຊັດເຈນ, ເພື່ອປ້ອງກັນຄວາມເສຍຫາຍທີ່ເກີດຈາກຊ່ອງໂຫວ່.
3.3. ການສົ່ງຕໍ່ໄຟລ໌ຂໍ້ມູນ (Remote File Transfer): ການສົ່ງຕໍ່ໄຟລ໌ຂໍ້ມູນລະຫວ່າງຜູ້ໃຊ້ ແລະ ຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊ, ຄວນໃຊ້ບໍລິການສົ່ງຕໍ່ໄຟລ໌ແບບປອດໄພທີ່ມີການເຂົ້າລະຫັດ (SFTP), ເພື່ອເຮັດໃຫ້ການສົ່ງຕໍ່ໄຟລ໌ມີຄວາມປອດໄພ.
3.4. ການສື່ສານທີ່ປອດໄພຂອງເວັບໄຊ (SSL/TLS): ຄວນກວດສອບວ່າຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊມີການໃຫ້ບໍລິການ SSL/TLS ຫຼື ບໍ່, ຖ້າບໍ່ມີ, ຜູ້ໃຊ້ຕ້ອງຂໍໃບຢັ້ງຢືນການສື່ສານທີ່ປອດໄພທາງອີເລັກໂທຣນິກ (SSL Certificate) ຈາກຜູ້ໃຫ້ບໍລິການອື່ນ.
3.5. ການສຳຮອງຂໍ້ມູນ ແລະ ການບຳລຸງຮັກສາເຊີບເວີ: ຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊຕ້ອງສຳຮອງຂໍ້ມູນຂອງເຊີບເວີທີ່ຢູ່ພາຍໃຕ້ການບໍລິຫານຂອງຕົນເປັນປະຈຳ. [ການປົນເປື້ອນຂອງຫົວຂໍ້ໃນຕອນທ້າຍຂອງຂໍ້ນີ້ເກີດຈາກການລວມຜິດຈາກສ່ວນທ້າຍໜ້າ, ຄວນເປັນການສືບຕໍ່ຂອງຂໍ້ 3.5; ສ່ວນທີ່ຕິດຕໍ່ມາຄື "ຂໍ້ຕົກລົງວ່າດ້ວຍການອະນຸມັດການດຳເນີນທຸລະກິດສູນຂໍ້ມູນອິນເຕີເນັດ (ສະບັບເລກທີ 590/ກະຊວງໄປສະນີ ໂທລະຄົມມະນາຄົມ, ວັນທີ 18 ພຶດສະພາ 2016)" ເຊິ່ງເປັນການອ້າງອີງເອກະສານຊ້ອນທ້າຍຂໍ້ທີ 5, ເບິ່ງລາຍລະອຽດໃນລິ້ງຂໍ້ທີ 5 ຂອງເອກະສານຊ້ອນທ້າຍ].
3.6. ການຕິດຕໍ່ກັບຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊໃນກໍລະນີສຸກເສີນ: ຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊຄວນມີຊ່ອງທາງການຕິດຕໍ່ສະເພາະ ຫຼື ໜ່ວຍງານທີ່ຮັບຜິດຊອບປະສານງານ, ເພື່ອໃຫ້ຜູ້ໃຊ້ສາມາດຕິດຕໍ່ຂໍຄວາມຊ່ວຍເຫຼືອ ຫຼື ຈັດການເຫດການສຸກເສີນທີ່ເກີດຂຶ້ນກັບເວັບໄຊຂອງຕົນ.
4. ການເລືອກລະບົບບໍລິຫານຈັດການເວັບໄຊ (CMS), ຕ້ອງດຳເນີນການຕາມຂໍ້ກຳນົດດັ່ງນີ້:
4.1. ການເລືອກຄຸນສົມບັດທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພ: ຜູ້ພັດທະນາລະບົບບໍລິຫານຈັດການເວັບໄຊຄວນໃຫ້ຄຳແນະນຳການຕິດຕັ້ງ, ເອກະສານການຕັ້ງຄ່າຄວາມປອດໄພ (Security Guideline) ແລະ ປລັກອິນ (Plug-in) ຕາມຄວາມຕ້ອງການຂອງຜູ້ໃຫ້ບໍລິການເຊົ່າເວັບໄຊ ແລະ ຜູ້ໃຊ້ (ເບິ່ງລາຍລະອຽດໃນລິ້ງຂໍ້ທີ 6 ຂອງເອກະສານຊ້ອນທ້າຍ).
4.2. ການເລືອກຜູ້ສ້າງລະບົບບໍລິຫານຈັດການເວັບໄຊ: ຜູ້ພັດທະນາການກໍ່ສ້າງເວັບໄຊຄວນເລືອກຜູ້ສ້າງລະບົບບໍລິຫານຈັດການທີ່ມີຄຸນນະພາບດີ ແລະ ສາມາດສ້ອມແປງຂໍ້ບົກພ່ອງ ແລະ ຊ່ອງໂຫວ່ໄດ້ເປັນປະຈຳ.
第3条
安全地管理网站。
1. 服务器程序配置:1.1. 定期更新服务器上各类程序;1.2. 设定不让系统的错误提示或错误信息(Error Message)显示在网站上,因恶意人员可能利用该提示信息作为攻击服务器系统的基础数据;1.3. 对数据文件、网页、操作系统、服务器程序及其他程序进行分组或归档,设定文件组或文件夹的访问权限,以便于检索和安全核查;1.4. 复查并删除所有未使用的程序、数据文件、用户账户及服务器安装过程中使用的账户;1.5. 复查并更改服务器自带的文件组或文件夹名、文件名、文件位置及密码的默认值;1.6. 为用户指定专门的互联网地址号或域名以访问服务器;1.7. 关闭不必要的远程服务器控制访问,如 Remote Desktop、FTP、SSH、Telnet 等。
2. 网站管理系统配置:2.1. 须恰当地设定各类数据文件的使用权限(Permission)和访问控制(Access Control);2.2. 应删除或卸载不必要、未使用的插件;2.3. 定期跟踪和更新网站管理系统;2.4. 仅从开发者网站下载数据文件并更新管理系统;2.5. 删除、更改管理系统初装时自带的用户账户名及密码;2.6. 更改管理系统安装期间数据库自带的表前缀(Table Prefix)。例如:WordPress 管理系统中默认使用以 wp_ 开头的表前缀,应改为其他名称,以防止恶意人员了解结构并破坏数据库。
3. 数据库系统配置:3.1. 设定仅允许相关应用程序和服务器访问数据库系统;3.2. 设定数据库安全配置,以控制数据库访问,防止一般用户访问数据库,如防护系统(Firewall)等;3.3. 复查并关闭数据库系统中不必要或未使用的服务;3.4. 按规定期限复查并删除数据库系统中未使用的用户账户;3.5. 关闭或更改数据库初装时自带的用户账户密码;3.6. 配置数据库系统,不允许无密码的账户使用;3.7. 复查并删除数据库安装期间产生的临时文件(Temporary File);3.8. 为提高数据库程序的安全性,须将该程序更新至最新版本;3.9. 恰当地设定用户账户权限及数据库访问控制;3.10. 存储于数据库的密码须以难猜的加密方式保存。
4. 服务器端脚本引擎(Server-Side Script Engine)配置:4.1. 正确设定数据文件、文件组或文件夹的访问权限;4.2. 设定服务器端脚本引擎不在 HTTP Header 中显示版本信息(Version);4.3. 设定服务器端脚本引擎不显示详细数据信息或错误信息(Error Message),仅显示必要信息;4.4. 须将服务器端脚本引擎更新至最新版本(Version)。
5. 密码的设定与保管:5.1. 设定密码应复杂难猜,如数字、字母(大小写)及符号等,至少12位以上;5.2. 应至少每3个月更换一次密码;5.3. 不在服务器上保存未加密的密码;5.4. 如必须保存密码,应按安全标准规定以加密形式保存(详见附件第7项链接)。
ພາສາລາວ (老挝语原文)
ການຈັດການເວັບໄຊທ໌ຢ່າງປອດໄພ.
1. ການຕັ້ງຄ່າໂປຣແກຣມເຊີບເວີ: 1.1. ປັບປຸງໂປຣແກຣມຕ່າງໆ ໃນເຊີບເວີເປັນປະຈຳ; 1.2. ກຳນົດບໍ່ໃຫ້ຂໍ້ຄວາມຜິດພາດ ຫຼື ຂໍ້ມູນຜິດພາດ (Error Message) ຂອງລະບົບສະແດງຢູ່ເວັບໄຊທ໌ ເພາະຜູ້ບໍ່ຫວັງດີອາດໃຊ້ຂໍ້ມູນນັ້ນເປັນພື້ນຖານໃນການໂຈມຕີລະບົບເຊີບເວີ; 1.3. ຈັດກຸ່ມ ຫຼື ຈັດເກັບໄຟລ໌ຂໍ້ມູນ, ໜ້າເວັບ, ລະບົບປະຕິບັດການ, ໂປຣແກຣມເຊີບເວີ ແລະ ໂປຣແກຣມອື່ນໆ ກຳນົດສິດເຂົ້າເຖິງຂອງກຸ່ມໄຟລ໌ ຫຼື ໂຟນເດີ ເພື່ອຄວາມສະດວກໃນການຄົ້ນຫາ ແລະ ກວດສອບຄວາມປອດໄພ; 1.4. ກວດສອບ ແລະ ລຶບໂປຣແກຣມ, ໄຟລ໌ຂໍ້ມູນ, ບັນຊີຜູ້ໃຊ້ ແລະ ບັນຊີທີ່ໃຊ້ໃນລະຫວ່າງການຕິດຕັ້ງເຊີບເວີທີ່ບໍ່ໄດ້ໃຊ້ງານທັງໝົດ; 1.5. ກວດສອບ ແລະ ປ່ຽນແປງຊື່ກຸ່ມໄຟລ໌ ຫຼື ໂຟນເດີ, ຊື່ໄຟລ໌, ຕຳແໜ່ງໄຟລ໌ ແລະ ລະຫັດຜ່ານທີ່ຕັ້ງມາແຕ່ເດີມຂອງເຊີບເວີ; 1.6. ກຳນົດເລກທີ່ຢູ່ອິນເຕີເນັດ ຫຼື ຊື່ໂດເມນສະເພາະໃຫ້ຜູ້ໃຊ້ເພື່ອເຂົ້າເຖິງເຊີບເວີ; 1.7. ປິດການເຂົ້າເຖິງການຄວບຄຸມເຊີບເວີທາງໄກທີ່ບໍ່ຈຳເປັນ ເຊັ່ນ Remote Desktop, FTP, SSH, Telnet ແລະ ອື່ນໆ.
2. ການຕັ້ງຄ່າລະບົບຈັດການເວັບໄຊທ໌: 2.1. ຕ້ອງກຳນົດສິດການໃຊ້ງານ (Permission) ແລະ ການຄວບຄຸມການເຂົ້າເຖິງ (Access Control) ຂອງໄຟລ໌ຂໍ້ມູນຕ່າງໆ ຢ່າງເໝາະສົມ; 2.2. ຄວນລຶບ ຫຼື ຖອນການຕິດຕັ້ງປລັກອິນທີ່ບໍ່ຈຳເປັນ ແລະ ບໍ່ໄດ້ໃຊ້ງານ; 2.3. ຕິດຕາມ ແລະ ປັບປຸງລະບົບຈັດການເວັບໄຊທ໌ເປັນປະຈຳ; 2.4. ດາວໂຫຼດໄຟລ໌ຂໍ້ມູນ ແລະ ປັບປຸງລະບົບຈັດການຈາກເວັບໄຊທ໌ຂອງຜູ້ພັດທະນາເທົ່ານັ້ນ; 2.5. ລຶບ, ປ່ຽນແປງຊື່ບັນຊີຜູ້ໃຊ້ ແລະ ລະຫັດຜ່ານທີ່ຕັ້ງມາແຕ່ເດີມໃນລະຫວ່າງການຕິດຕັ້ງລະບົບຈັດການ; 2.6. ປ່ຽນແປງຄຳນຳໜ້າຕາຕະລາງ (Table Prefix) ທີ່ຕັ້ງມາແຕ່ເດີມຂອງຖານຂໍ້ມູນໃນລະຫວ່າງການຕິດຕັ້ງລະບົບຈັດການ. ຕົວຢ່າງ: ໃນລະບົບຈັດການ WordPress ໃຊ້ຄຳນຳໜ້າຕາຕະລາງທີ່ຂຶ້ນຕົ້ນດ້ວຍ wp_ ເປັນຄ່າເລີ່ມຕົ້ນ ຄວນປ່ຽນເປັນຊື່ອື່ນ ເພື່ອປ້ອງກັນຜູ້ບໍ່ຫວັງດີເຂົ້າໃຈໂຄງສ້າງ ແລະ ທຳລາຍຖານຂໍ້ມູນ.
3. ການຕັ້ງຄ່າລະບົບຖານຂໍ້ມູນ: 3.1. ກຳນົດໃຫ້ມີພຽງແຕ່ແອັບພລິເຄຊັນ ແລະ ເຊີບເວີທີ່ກ່ຽວຂ້ອງເທົ່ານັ້ນທີ່ສາມາດເຂົ້າເຖິງລະບົບຖານຂໍ້ມູນ; 3.2. ກຳນົດການຕັ້ງຄ່າຄວາມປອດໄພຂອງຖານຂໍ້ມູນ ເພື່ອຄວບຄຸມການເຂົ້າເຖິງຖານຂໍ້ມູນ ປ້ອງກັນບໍ່ໃຫ້ຜູ້ໃຊ້ທົ່ວໄປເຂົ້າເຖິງຖານຂໍ້ມູນ ເຊັ່ນ ລະບົບປ້ອງກັນ (Firewall) ແລະ ອື່ນໆ; 3.3. ກວດສອບ ແລະ ປິດການບໍລິການທີ່ບໍ່ຈຳເປັນ ຫຼື ບໍ່ໄດ້ໃຊ້ງານໃນລະບົບຖານຂໍ້ມູນ; 3.4. ກວດສອບ ແລະ ລຶບບັນຊີຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ໃຊ້ງານໃນລະບົບຖານຂໍ້ມູນຕາມໄລຍະເວລາທີ່ກຳນົດ; 3.5. ປິດ ຫຼື ປ່ຽນແປງລະຫັດຜ່ານບັນຊີຜູ້ໃຊ້ທີ່ຕັ້ງມາແຕ່ເດີມໃນລະຫວ່າງການຕິດຕັ້ງຖານຂໍ້ມູນ; 3.6. ຕັ້ງຄ່າລະບົບຖານຂໍ້ມູນ ບໍ່ໃຫ້ອະນຸຍາດໃຊ້ບັນຊີທີ່ບໍ່ມີລະຫັດຜ່ານ; 3.7. ກວດສອບ ແລະ ລຶບໄຟລ໌ຊົ່ວຄາວ (Temporary File) ທີ່ເກີດຂຶ້ນໃນລະຫວ່າງການຕິດຕັ້ງຖານຂໍ້ມູນ; 3.8. ເພື່ອເພີ່ມຄວາມປອດໄພຂອງໂປຣແກຣມຖານຂໍ້ມູນ ຕ້ອງປັບປຸງໂປຣແກຣມນັ້ນໃຫ້ເປັນຮຸ່ນຫຼ້າສຸດ; 3.9. ກຳນົດສິດບັນຊີຜູ້ໃຊ້ ແລະ ການຄວບຄຸມການເຂົ້າເຖິງຖານຂໍ້ມູນຢ່າງເໝາະສົມ; 3.10. ລະຫັດຜ່ານທີ່ເກັບໄວ້ໃນຖານຂໍ້ມູນຕ້ອງຖືກເກັບໄວ້ໃນຮູບແບບການເຂົ້າລະຫັດທີ່ຍາກຕໍ່ການເດົາ.
4. ການຕັ້ງຄ່າເຄື່ອງຈັກສະຄຣິບຝັ່ງເຊີບເວີ (Server-Side Script Engine): 4.1. ກຳນົດສິດເຂົ້າເຖິງຂອງໄຟລ໌ຂໍ້ມູນ, ກຸ່ມໄຟລ໌ ຫຼື ໂຟນເດີ ຢ່າງຖືກຕ້ອງ; 4.2. ກຳນົດໃຫ້ເຄື່ອງຈັກສະຄຣິບຝັ່ງເຊີບເວີບໍ່ສະແດງຂໍ້ມູນຮຸ່ນ (Version) ໃນ HTTP Header; 4.3. ກຳນົດໃຫ້ເຄື່ອງຈັກສະຄຣິບຝັ່ງເຊີບເວີບໍ່ສະແດງຂໍ້ມູນລາຍລະອຽດ ຫຼື ຂໍ້ຄວາມຜິດພາດ (Error Message) ສະແດງພຽງແຕ່ຂໍ້ມູນທີ່ຈຳເປັນເທົ່ານັ້ນ; 4.4. ຕ້ອງປັບປຸງເຄື່ອງຈັກສະຄຣິບຝັ່ງເຊີບເວີໃຫ້ເປັນຮຸ່ນຫຼ້າສຸດ (Version).
5. ການກຳນົດ ແລະ ເກັບຮັກສາລະຫັດຜ່ານ: 5.1. ກຳນົດລະຫັດຜ່ານໃຫ້ຊັບຊ້ອນ ຍາກຕໍ່ການເດົາ ເຊັ່ນ ຕົວເລກ, ຕົວອັກສອນ (ໃຫຍ່ ແລະ ນ້ອຍ) ແລະ ສັນຍາລັກ ຢ່າງໜ້ອຍ 12 ຕົວຂຶ້ນໄປ; 5.2. ຄວນປ່ຽນລະຫັດຜ່ານຢ່າງໜ້ອຍທຸກໆ 3 ເດືອນ; 5.3. ບໍ່ເກັບຮັກສາລະຫັດຜ່ານທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດໄວ້ໃນເຊີບເວີ; 5.4. ຖ້າຈຳເປັນຕ້ອງເກັບຮັກສາລະຫັດຜ່ານ ຕ້ອງເກັບໄວ້ໃນຮູບແບບການເຂົ້າລະຫັດຕາມມາດຕະຖານຄວາມປອດໄພ (ເບິ່ງລາຍລະອຽດເພີ່ມເຕີມໃນລິ້ງຂໍ້ທີ 7 ຂອງເອກະສານຊ້ອນທ້າຍ).
第4条
防止网站攻击的措施。
一、防止网站攻击的措施
1. 防止 SQL Injection 形式的攻击:恶意人员通过网页上的输入框(Input Form)发送 SQL 指令,从而能通过 SQL 指令在数据库系统中执行各种操作,如 Insert、Update、Delete 或关闭数据库的指令。防止 SQL Injection 攻击应:1.1 将指令与计算处理相分离(详见附件第8项链接);1.2 在实际处理前核查所收到的数据,是安全开发网站的重要且必要的方法;1.3 来自外部的数据应在带入计算处理前进行 encoding 或 validation(详见附件第9项链接)。
2. 防止 Session Hijacking 形式的攻击:2.1 对含有用户身份认证信息的 Session ID 进行加密;2.2 在适当时限内设定 Session Timeout,以防 Session Hijacking 攻击;2.3 设定难猜且不重复的 Session ID 时限与值;2.4 设定加密发送 Session ID,如通过 HTTPS 协议发送数据,以防数据被截取(详见附件第10项链接)。
3. 防止 Cross-Site Scripting(XSS)形式的攻击:3.1 在数据真正发送处理前核查网站的数据输入(Input Validation),须设定仅允许上传(Upload)扩展名为 .jpg、.docx、.xlsx、.pdf 或按需要指定的文件;3.2 核查异常的指令集(Script)数据接收,对网站具危害性,对特殊符号标记如 < > ? & # 等先转为 HTML Entity,如小于号「<」应改为「&lt;」等;3.3 核查数据输出显示(Output Validation),以防显示错误信息(Error Message);3.4 设定 HTTP Only Cookie Flag,以防止访问网站的 Cookie 值。
4. 防止 Cross-Site Request Forgery(CSRF)形式的攻击:4.1 设定使用唯一 Token 及/或核查 Referer,结合通过表单发送数据或指令,以核查真正来自用户的数据;4.2 设定使用 Captcha 以验证用户身份。
5. 防止机密信息泄露(Sensitive Data Exposure)攻击:5.1 不应为访问网站管理后台页面设定易猜的网址(Administration Control Panel Page),如 /admin.php 或 /login.php 等;5.2 设计并控制不显示警示信息或错误信息(Notification or Error Message),因恶意人员可能利用该提示信息作为攻击网站系统的基础数据;5.3 在网站重要表单(如注册表单或金融交易表单等)中禁用 Autocomplete。
6. 网站通信数据加密(SSL/TLS):在 SSL/TLS 协议中,应选择安全的网站数据加密,以下列重要基础为准:1)验证服务器身份;2)验证用户身份;3)加密网站收发所用数据。
7. 电子证书(Certificate Authentication)的使用,应:7.1 选择经过最新安全更新与修补的 SSL/TLS 版本(Version);7.2 安装电子证书以保障网站数据安全;7.3 设定与 SSL/TLS 相关的配置以核查电子证书的有效性;7.4 维护电子证书应做到:定期核查电子证书的使用期限,临近到期时立即续期,并经常核查电子证书提供者信息。
二、网站威胁的监测与应对
1. 网站安全监测,应:1.1 选用可信程序或遵循计算机应急响应中心的建议;1.2 将漏洞核查程序更新至最新版本以检测新漏洞;1.3 每次使用漏洞核查程序前备份数据,以防对服务器产生影响;1.4 使用两个以上程序进行漏洞核查,以比对网站核查结果(详见附件第11项链接)。
2. 网站威胁应对:网站突发事件的应对与处置分为3种情形:2.1 网站被入侵与控制(Intrusions):应对时应:1)切断网站连接;2)复制与入侵相关的数据用于分析,如 Web Log、Source Code、Database;3)核查网站存在的攻击渠道与漏洞;4)建立临时静态(Static)网页并安装到新服务器上,以告知状况、网站正在维护停更,并由系统管理者继续处置问题;5)更改服务器配置以降低风险,并防止影响旧服务器上的各类数据;6)恢复被入侵前与网站数据及数据库相关的所有应用程序;7)核查网站被攻击前的漏洞,以修补网站漏洞;8)记录所有发生的事件与处置步骤,作为防范及与计算机应急响应中心协调处置的数据。2.2 网站遭受 DoS(Denial of Service)及 DDoS(Distributed Denial of Service)形式的攻击:应:1)切断网站连接;2)复制相关数据用于分析,如 Web Log 或 Network Log;3)核查异常向服务器发送数据的可疑 IP 号;4)封锁来自该 IP 号的访问,并通知互联网服务提供者,在本单位防护设备无法承受大量数据时采取应对措施;5)记录所有发生的事件与处置步骤,作为防范数据,并提交计算机应急响应中心协助处置。2.3 互联网域名被盗(Domain Hijacking):应:1)收集所有发生的证据,如域名数据被更改时的年、月、日;2)就域名变更情况向域名注册商核查;3)通知域名注册商知悉域名数据被盗情况;4)取回域名管理权后,核查用于身份验证的数据并更改密码;5)记录所有发生的事件与处置步骤,作为防范数据,并在必要时与有关单位协调。
ພາສາລາວ (老挝语原文)
ມາດຕະການປ້ອງກັນການໂຈມຕີເວັບໄຊທ໌.
1. ມາດຕະການປ້ອງກັນການໂຈມຕີແບບ SQL Injection: ຜູ້ບໍ່ຫວັງດີສົ່ງຄຳສັ່ງ SQL ຜ່ານກ່ອງປ້ອນຂໍ້ມູນ (Input Form) ໃນເວັບໄຊທ໌, ເຊິ່ງສາມາດດຳເນີນການຕ່າງໆ ໃນລະບົບຖານຂໍ້ມູນຜ່ານຄຳສັ່ງ SQL ເຊັ່ນ Insert, Update, Delete ຫຼື ຄຳສັ່ງປິດຖານຂໍ້ມູນ. ການປ້ອງກັນການໂຈມຕີ SQL Injection ຄວນ: 1.1 ແຍກຄຳສັ່ງອອກຈາກການປະມວນຜົນ (ເບິ່ງລາຍລະອຽດໃນຂໍ້ທີ 8 ຂອງເອກະສານຊ້ອນທ້າຍ); 1.2 ກວດສອບຂໍ້ມູນທີ່ໄດ້ຮັບກ່ອນການປະມວນຜົນຕົວຈິງ, ເປັນວິທີທີ່ສຳຄັນ ແລະ ຈຳເປັນສຳລັບການພັດທະນາເວັບໄຊທ໌ທີ່ປອດໄພ; 1.3 ຂໍ້ມູນຈາກພາຍນອກຄວນຖືກ encoding ຫຼື validation ກ່ອນນຳເຂົ້າສູ່ການປະມວນຜົນ (ເບິ່ງລາຍລະອຽດໃນຂໍ້ທີ 9 ຂອງເອກະສານຊ້ອນທ້າຍ).
2. ມາດຕະການປ້ອງກັນການໂຈມຕີແບບ Session Hijacking: 2.1 ເຂົ້າລະຫັດ Session ID ທີ່ມີຂໍ້ມູນຢືນຢັນຕົວຕົນຂອງຜູ້ໃຊ້; 2.2 ກຳນົດ Session Timeout ພາຍໃນເວລາທີ່ເໝາະສົມ ເພື່ອປ້ອງກັນການໂຈມຕີ Session Hijacking; 2.3 ກຳນົດເວລາ ແລະ ຄ່າຂອງ Session ID ທີ່ຍາກຕໍ່ການເດົາ ແລະ ບໍ່ຊ້ຳກັນ; 2.4 ກຳນົດການສົ່ງ Session ID ແບບເຂົ້າລະຫັດ, ເຊັ່ນ ການສົ່ງຂໍ້ມູນຜ່ານໂປຣໂຕຄອນ HTTPS, ເພື່ອປ້ອງກັນການດັກຈັບຂໍ້ມູນ (ເບິ່ງລາຍລະອຽດໃນຂໍ້ທີ 10 ຂອງເອກະສານຊ້ອນທ້າຍ).
3. ການປ້ອງກັນການໂຈມຕີແບບ Cross-Site Scripting (XSS):
3.1 ກວດສອບຂໍ້ມູນທີ່ປ້ອນເຂົ້າ (Input Validation) ກ່ອນທີ່ຈະສົ່ງຂໍ້ມູນໄປປະມວນຜົນ, ຕ້ອງກຳນົດໃຫ້ອະນຸຍາດອັບໂຫຼດ (Upload) ໄຟລ໌ທີ່ມີນາມສະກຸນ .jpg, .docx, .xlsx, .pdf ຫຼື ຕາມທີ່ກຳນົດເທົ່ານັ້ນ;
3.2 ກວດສອບການຮັບຂໍ້ມູນຊຸດຄຳສັ່ງ (Script) ທີ່ຜິດປົກກະຕິ, ເຊິ່ງອາດເປັນອັນຕະລາຍຕໍ່ເວັບໄຊ, ແລະ ປ່ຽນສັນຍາລັກພິເສດເຊັ່ນ < > ? & # ໃຫ້ເປັນ HTML Entity ກ່ອນ, ເຊັ່ນ ເຄື່ອງໝາຍນ້ອຍກວ່າ «<» ຄວນປ່ຽນເປັນ «&lt;» ເປັນຕົ້ນ;
3.3 ກວດສອບການສະແດງຜົນຂໍ້ມູນ (Output Validation) ເພື່ອປ້ອງກັນການສະແດງຂໍ້ຄວາມຜິດພາດ (Error Message);
3.4 ກຳນົດ HTTP Only Cookie Flag ເພື່ອປ້ອງກັນການເຂົ້າເຖິງຄ່າ Cookie ຂອງເວັບໄຊ.
4. ການປ້ອງກັນການໂຈມຕີແບບ Cross-Site Request Forgery (CSRF):
4.1 ກຳນົດໃຫ້ໃຊ້ Token ທີ່ເປັນເອກະລັກ ແລະ/ຫຼື ກວດສອບ Referer, ຮ່ວມກັບການສົ່ງຂໍ້ມູນ ຫຼື ຄຳສັ່ງຜ່ານແບບຟອມ ເພື່ອກວດສອບວ່າຂໍ້ມູນມາຈາກຜູ້ໃຊ້ຈິງ;
4.2 ກຳນົດໃຫ້ໃຊ້ Captcha ເພື່ອຢືນຢັນຕົວຕົນຂອງຜູ້ໃຊ້.
5. ການປ້ອງກັນການໂຈມຕີການຮົ່ວໄຫຼຂອງຂໍ້ມູນທີ່ອ່ອນໄຫວ (Sensitive Data Exposure):
5.1 ບໍ່ຄວນກຳນົດ URL ທີ່ງ່າຍຕໍ່ການເດົາສຳລັບໜ້າບໍລິຫານເວັບໄຊ (Administration Control Panel Page) ເຊັ່ນ /admin.php ຫຼື /login.php ເປັນຕົ້ນ;
5.2 ອອກແບບ ແລະ ຄວບຄຸມບໍ່ໃຫ້ສະແດງຂໍ້ຄວາມເຕືອນ ຫຼື ຂໍ້ຄວາມຜິດພາດ (Notification or Error Message) ເພາະຜູ້ບໍ່ຫວັງດີອາດໃຊ້ຂໍ້ມູນນີ້ເປັນພື້ນຖານໃນການໂຈມຕີລະບົບເວັບໄຊ;
5.3 ປິດການໃຊ້ງານ Autocomplete ໃນແບບຟອມສຳຄັນຂອງເວັບໄຊ (ເຊັ່ນ ແບບຟອມລົງທະບຽນ ຫຼື ແບບຟອມທຸລະກຳການເງິນ ເປັນຕົ້ນ).
6. ການເຂົ້າລະຫັດຂໍ້ມູນການສື່ສານຂອງເວັບໄຊ (SSL/TLS):
ໃນໂປຣໂຕຄໍ SSL/TLS ຄວນເລືອກການເຂົ້າລະຫັດຂໍ້ມູນເວັບໄຊທີ່ປອດໄພ ໂດຍອີງໃສ່ພື້ນຖານສຳຄັນດັ່ງນີ້:
1) ກວດສອບຕົວຕົນຂອງເຊີບເວີ;
2) ກວດສອບຕົວຕົນຂອງຜູ້ໃຊ້;
3) ເຂົ້າລະຫັດຂໍ້ມູນທີ່ເວັບໄຊສົ່ງ ແລະ ຮັບ.
7. ການນຳໃຊ້ໃບຢັ້ງຢືນອີເລັກໂທຣນິກ (Certificate Authentication) ຄວນ:
7.1 ເລືອກໃຊ້ SSL/TLS ລຸ້ນ (Version) ທີ່ຜ່ານການອັບເດດຄວາມປອດໄພ ແລະ ການແກ້ໄຂຫຼ້າສຸດ;
7.2 ຕິດຕັ້ງໃບຢັ້ງຢືນອີເລັກໂທຣນິກເພື່ອປົກປ້ອງຄວາມປອດໄພຂອງຂໍ້ມູນເວັບໄຊ;
7.3 ກຳນົດການຕັ້ງຄ່າທີ່ກ່ຽວຂ້ອງກັບ SSL/TLS ເພື່ອກວດສອບຄວາມຖືກຕ້ອງຂອງໃບຢັ້ງຢືນອີເລັກໂທຣນິກ;
7.4 ການບຳລຸງຮັກສາໃບຢັ້ງຢືນອີເລັກໂທຣນິກຄວນເຮັດດັ່ງນີ້: ກວດສອບອາຍຸການນຳໃຊ້ຂອງໃບຢັ້ງຢືນອີເລັກໂທຣນິກເປັນປະຈຳ, ຕໍ່ອາຍຸທັນທີເມື່ອໃກ້ໝົດອາຍຸ, ແລະ ກວດສອບຂໍ້ມູນຜູ້ໃຫ້ບໍລິການໃບຢັ້ງຢືນອີເລັກໂທຣນິກເປັນປະຈຳ.
ສອງ, ການຕິດຕາມ ແລະ ຕອບສະໜອງຕໍ່ໄພຄຸກຄາມຂອງເວັບໄຊ
1. ການຕິດຕາມຄວາມປອດໄພຂອງເວັບໄຊ ຄວນ:
1.1 ເລືອກໃຊ້ໂປຣແກຣມທີ່ເຊື່ອຖືໄດ້ ຫຼື ປະຕິບັດຕາມຄຳແນະນຳຂອງສູນຕອບສະໜອງສຸກເສີນທາງຄອມພິວເຕີ;
1.2 ອັບເດດໂປຣແກຣມກວດສອບຊ່ອງໂຫວ່ໃຫ້ເປັນລຸ້ນຫຼ້າສຸດ ເພື່ອກວດຫາຊ່ອງໂຫວ່ໃໝ່;
1.3 ສຳຮອງຂໍ້ມູນກ່ອນການໃຊ້ໂປຣແກຣມກວດສອບຊ່ອງໂຫວ່ທຸກຄັ້ງ ເພື່ອປ້ອງກັນຜົນກະທົບຕໍ່ເຊີບເວີ;
1.4 ໃຊ້ໂປຣແກຣມກວດສອບຊ່ອງໂຫວ່ຢ່າງໜ້ອຍສອງໂປຣແກຣມຂຶ້ນໄປ ເພື່ອປຽບທຽບຜົນການກວດສອບເວັບໄຊ (ເບິ່ງລາຍລະອຽດເພີ່ມເຕີມໃນລິ້ງຂໍ້ທີ 11 ຂອງເອກະສານຊ້ອນທ້າຍ).
2. ການຮັບມືກັບໄພຄຸກຄາມເວັບໄຊຕ໌: ການຮັບມື ແລະ ດຳເນີນການກັບເຫດການສຸກເສີນຂອງເວັບໄຊຕ໌ ແບ່ງອອກເປັນ 3 ກໍລະນີ:
2.1 ເວັບໄຊຕ໌ຖືກບຸກລຸກ ແລະ ຄວບຄຸມ (Intrusions): ເມື່ອຮັບມື ຄວນ: 1) ຕັດການເຊື່ອມຕໍ່ເວັບໄຊຕ໌; 2) ສຳເນົາຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບການບຸກລຸກເພື່ອວິເຄາະ ເຊັ່ນ Web Log, Source Code, Database; 3) ກວດສອບຊ່ອງທາງ ແລະ ຊ່ອງໂຫວ່ທີ່ເວັບໄຊຕ໌ຖືກໂຈມຕີ; 4) ສ້າງໜ້າເວັບສະຖິດ (Static) ຊົ່ວຄາວ ແລະ ຕິດຕັ້ງໃສ່ເຊີບເວີໃໝ່ ເພື່ອແຈ້ງສະຖານະການ ແລະ ການບຳລຸງຮັກສາເວັບໄຊຕ໌ທີ່ຢຸດຊົ່ວຄາວ ໂດຍໃຫ້ຜູ້ບໍລິຫານລະບົບສືບຕໍ່ດຳເນີນການແກ້ໄຂ; 5) ປ່ຽນແປງການຕັ້ງຄ່າເຊີບເວີເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງ ແລະ ປ້ອງກັນຜົນກະທົບຕໍ່ຂໍ້ມູນຕ່າງໆໃນເຊີບເວີເກົ່າ; 6) ຟື້ນຟູແອັບພລິເຄຊັນທັງໝົດທີ່ກ່ຽວຂ້ອງກັບຂໍ້ມູນເວັບໄຊຕ໌ ແລະ ຖານຂໍ້ມູນກ່ອນຖືກບຸກລຸກ; 7) ກວດສອບຊ່ອງໂຫວ່ກ່ອນຖືກໂຈມຕີ ເພື່ອສ້ອມແປງຊ່ອງໂຫວ່ຂອງເວັບໄຊຕ໌; 8) ບັນທຶກເຫດການທີ່ເກີດຂຶ້ນທັງໝົດ ແລະ ຂັ້ນຕອນການດຳເນີນການ ເພື່ອເປັນຂໍ້ມູນປ້ອງກັນ ແລະ ປະສານງານກັບສູນຕອບສະໜອງສຸກເສີນທາງຄອມພິວເຕີ.
2.2 ເວັບໄຊຕ໌ຖືກໂຈມຕີແບບ DoS (Denial of Service) ແລະ DDoS (Distributed Denial of Service): ຄວນ: 1) ຕັດການເຊື່ອມຕໍ່ເວັບໄຊຕ໌; 2) ສຳເນົາຂໍ້ມູນທີ່ກ່ຽວຂ້ອງເພື່ອວິເຄາະ ເຊັ່ນ Web Log ຫຼື Network Log; 3) ກວດສອບທີ່ຢູ່ IP ທີ່ສົງໄສທີ່ສົ່ງຂໍ້ມູນຜິດປົກກະຕິໄປຍັງເຊີບເວີ; 4) ສະກັດກັ້ນການເຂົ້າເຖິງຈາກທີ່ຢູ່ IP ນັ້ນ ແລະ ແຈ້ງໃຫ້ຜູ້ໃຫ້ບໍລິການອິນເຕີເນັດຮັບຊາບ ເມື່ອອຸປະກອນປ້ອງກັນຂອງໜ່ວຍງານບໍ່ສາມາດຮອງຮັບຂໍ້ມູນຈຳນວນຫຼາຍໄດ້ ໃຫ້ດຳເນີນມາດຕະການຮັບມື; 5) ບັນທຶກເຫດການທີ່ເກີດຂຶ້ນທັງໝົດ ແລະ ຂັ້ນຕອນການດຳເນີນການ ເພື່ອເປັນຂໍ້ມູນປ້ອງກັນ ແລະ ສົ່ງໃຫ້ສູນຕອບສະໜອງສຸກເສີນທາງຄອມພິວເຕີຊ່ວຍດຳເນີນການ.
2.3 ຊື່ໂດເມນອິນເຕີເນັດຖືກລັກ (Domain Hijacking): ຄວນ: 1) ເກັບກຳຫຼັກຖານທີ່ເກີດຂຶ້ນທັງໝົດ ເຊັ່ນ ປີ, ເດືອນ, ວັນທີ່ຂໍ້ມູນໂດເມນຖືກປ່ຽນແປງ; 2) ກວດສອບການປ່ຽນແປງຊື່ໂດເມນກັບຜູ້ລົງທະບຽນໂດເມນ; 3) ແຈ້ງໃຫ້ຜູ້ລົງທະບຽນໂດເມນຮັບຊາບວ່າຂໍ້ມູນໂດເມນຖືກລັກ; 4) ຫຼັງຈາກໄດ້ຮັບສິດຄຸ້ມຄອງໂດເມນຄືນ ໃຫ້ກວດສອບຂໍ້ມູນທີ່ໃຊ້ຢືນຢັນຕົວຕົນ ແລະ ປ່ຽນລະຫັດຜ່ານ; 5) ບັນທຶກເຫດການທີ່ເກີດຂຶ້ນທັງໝົດ ແລະ ຂັ້ນຕອນການດຳເນີນການ ເພື່ອເປັນຂໍ້ມູນປ້ອງກັນ ແລະ ປະສານງານກັບໜ່ວຍງານທີ່ກ່ຽວຂ້ອງເມື່ອຈຳເປັນ.
第5条
网站交互数据的备份与保存。
一、网站交互数据的备份与保存
1. 网站数据备份:网站服务器管理者应依照美国国家标准与技术研究院(NIST)标准定期备份服务器数据,如下:1)符合法律要求;2)符合合同义务;3)符合组织的相关政策方针;4)确定操作规范的目的与范围;5)相关人员的权利与义务;6)与操作规范相关的服务器;7)法律与技术专门术语的定义;8)数据备份的定期性;9)核实所备份数据已得到妥善维护与保护的步骤;10)核实数据在不再需要使用时已被销毁或妥善保存的步骤;11)核实所备份数据在有请求时能正确取出使用的步骤;12)参与数据保存、保护及清除人员的责任;13)注明各类数据的保存期限;14)组织设有该项工作负责人时,数据备份者的责任(详见附件第12项链接)。
2. 计算机交互数据的保存:计算机交互数据或网站访问数据的保存,须依照《关于电子数据保护法》(编号25/国会,2017年5月12日)执行。
ພາສາລາວ (老挝语原文)
ການສຳຮອງ ແລະ ເກັບຮັກສາຂໍ້ມູນການໂຕ້ຕອບຂອງເວັບໄຊທ໌.
ໜຶ່ງ. ການສຳຮອງ ແລະ ເກັບຮັກສາຂໍ້ມູນການໂຕ້ຕອບຂອງເວັບໄຊທ໌.
1. ການສຳຮອງຂໍ້ມູນເວັບໄຊທ໌: ຜູ້ຈັດການເຊີບເວີເວັບໄຊທ໌ ຄວນດຳເນີນການສຳຮອງຂໍ້ມູນເຊີບເວີ ເປັນປະຈຳ ຕາມມາດຕະຖານຂອງສະຖາບັນມາດຕະຖານ ແລະ ເຕັກໂນໂລຊີແຫ່ງຊາດອາເມລິກາ (NIST) ດັ່ງນີ້: 1) ສອດຄ່ອງກັບຂໍ້ກຳນົດທາງກົດໝາຍ; 2) ສອດຄ່ອງກັບພັນທະຕາມສັນຍາ; 3) ສອດຄ່ອງກັບນະໂຍບາຍ ແລະ ແນວທາງຂອງອົງກອນ; 4) ກຳນົດຈຸດປະສົງ ແລະ ຂອບເຂດຂອງລະບຽບການປະຕິບັດງານ; 5) ສິດ ແລະ ໜ້າທີ່ຂອງບຸກຄະລາກອນທີ່ກ່ຽວຂ້ອງ; 6) ເຊີບເວີທີ່ກ່ຽວຂ້ອງກັບລະບຽບການປະຕິບັດງານ; 7) ຄຳນິຍາມຂອງຄຳສັບທາງກົດໝາຍ ແລະ ເຕັກນິກ; 8) ຄວາມເປັນປະຈຳຂອງການສຳຮອງຂໍ້ມູນ; 9) ຂັ້ນຕອນການກວດສອບວ່າຂໍ້ມູນທີ່ສຳຮອງໄວ້ ໄດ້ຮັບການບຳລຸງຮັກສາ ແລະ ປົກປ້ອງຢ່າງເໝາະສົມ; 10) ຂັ້ນຕອນການກວດສອບວ່າຂໍ້ມູນໄດ້ຖືກທຳລາຍ ຫຼື ເກັບຮັກສາໄວ້ຢ່າງເໝາະສົມ ເມື່ອບໍ່ຈຳເປັນຕ້ອງໃຊ້ງານອີກ; 11) ຂັ້ນຕອນການກວດສອບວ່າຂໍ້ມູນທີ່ສຳຮອງໄວ້ ສາມາດດຶງອອກມາໃຊ້ງານໄດ້ຢ່າງຖືກຕ້ອງ ເມື່ອມີການຮ້ອງຂໍ; 12) ຄວາມຮັບຜິດຊອບຂອງຜູ້ທີ່ເຂົ້າຮ່ວມໃນການເກັບຮັກສາ, ປົກປ້ອງ ແລະ ລຶບຂໍ້ມູນ; 13) ລະບຸໄລຍະເວລາເກັບຮັກສາຂອງຂໍ້ມູນແຕ່ລະປະເພດ; 14) ເມື່ອອົງກອນມີຜູ້ຮັບຜິດຊອບວຽກງານນີ້, ຄວາມຮັບຜິດຊອບຂອງຜູ້ສຳຮອງຂໍ້ມູນ (ເບິ່ງລາຍລະອຽດເພີ່ມເຕີມໃນລິ້ງຂໍ້ທີ 12 ຂອງເອກະສານຊ້ອນທ້າຍ).
2. ການເກັບຮັກສາຂໍ້ມູນການໂຕ້ຕອບທາງຄອມພິວເຕີ: ການເກັບຮັກສາຂໍ້ມູນການໂຕ້ຕອບທາງຄອມພິວເຕີ ຫຼື ຂໍ້ມູນການເຂົ້າເຖິງເວັບໄຊທ໌ ຕ້ອງປະຕິບັດຕາມ ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນທາງເອເລັກໂຕຣນິກ (ສະບັບເລກທີ 25/ສພຊ, ວັນທີ 12 ພຶດສະພາ 2017).
第6条
突发事件时的协调。
一、协调
计算机应急响应中心是国内外应对计算机系统突发事件、受理报告并就网站服务器、网站及其他威胁问题处置提供技术专业咨询的中央协调中心,联络协调渠道如下:
1. 向老挝 LaoCERT 报告威胁事件的渠道:1)座机:+856-21-254508;2)传真:+856-21-254508;3)手机:+856-30-5764222;4)邮箱:report@laocert.gov.la;5)网站 https://www.laocert.gov.la/incident;6)老挝 LaoCERT 应用程序(Application LaoCERT)。
2. 向 LaoCERT 报告威胁者的重要信息:1)姓与名;2)报告人所属单位或组织;3)报告人联络电话号码;4)报告人联络邮箱。
3. 所报告威胁的详情:1)依威胁类型,可注明一种以上类型,因一次威胁事件可能包含多种威胁类型;2)报告威胁的年、月、日及时间;3)受影响设备的信息,设备详情包括 IP 号、设备用途、操作系统及设备上安装的各类软件;4)可核查并展示的肇事设备详情,如 IP 号、域名注册人姓名、肇事设备所在地及肇事设备状态;5)注明所发现或另行收到报告的威胁详情,上述01-04项之外的内容。
ພາສາລາວ (老挝语原文)
ການປະສານງານໃນເວລາເກີດເຫດການສຸກເສີນ.
ໜຶ່ງ. ການປະສານງານ
ສູນຕອບສະໜອງເຫດການສຸກເສີນທາງຄອມພິວເຕີ ແມ່ນສູນປະສານງານກາງພາຍໃນ ແລະ ຕ່າງປະເທດ ໃນການຕອບສະໜອງເຫດການສຸກເສີນຂອງລະບົບຄອມພິວເຕີ, ຮັບລາຍງານ ແລະ ໃຫ້ຄຳປຶກສາດ້ານວິຊາການດ້ານເຕັກນິກກ່ຽວກັບການຈັດການບັນຫາເຊີບເວີເວັບໄຊ, ເວັບໄຊ ແລະ ໄພຄຸກຄາມອື່ນໆ, ຊ່ອງທາງການຕິດຕໍ່ປະສານງານດັ່ງນີ້:
1. ຊ່ອງທາງການລາຍງານເຫດການໄພຄຸກຄາມຕໍ່ LaoCERT ລາວ: 1) ໂທລະສັບຕັ້ງໂຕະ: +856-21-254508; 2) ແຟັກ: +856-21-254508; 3) ໂທລະສັບມືຖື: +856-30-5764222; 4) ອີເມວ: report@laocert.gov.la; 5) ເວັບໄຊ https://www.laocert.gov.la/incident; 6) ແອັບພລິເຄຊັນ LaoCERT ລາວ (Application LaoCERT).
2. ການລາຍງານຂໍ້ມູນສຳຄັນຂອງຜູ້ກໍ່ໄພຄຸກຄາມຕໍ່ LaoCERT: 1) ຊື່ ແລະ ນາມສະກຸນ; 2) ໜ່ວຍງານ ຫຼື ອົງກອນທີ່ຜູ້ລາຍງານສັງກັດ; 3) ເບີໂທລະສັບຕິດຕໍ່ຂອງຜູ້ລາຍງານ; 4) ອີເມວຕິດຕໍ່ຂອງຜູ້ລາຍງານ.
3. ລາຍລະອຽດຂອງໄພຄຸກຄາມທີ່ລາຍງານ: 1) ຕາມປະເພດໄພຄຸກຄາມ, ສາມາດລະບຸຫຼາຍກວ່າໜຶ່ງປະເພດ, ເພາະເຫດການໄພຄຸກຄາມໜຶ່ງຄັ້ງອາດມີຫຼາຍປະເພດໄພຄຸກຄາມ; 2) ລາຍງານປີ, ເດືອນ, ວັນ ແລະ ເວລາຂອງໄພຄຸກຄາມ; 3) ຂໍ້ມູນຂອງອຸປະກອນທີ່ຖືກກະທົບ, ລາຍລະອຽດອຸປະກອນລວມມີ ເລກ IP, ຈຸດປະສົງການນຳໃຊ້ອຸປະກອນ, ລະບົບປະຕິບັດການ ແລະ ຊອບແວຕ່າງໆທີ່ຕິດຕັ້ງຢູ່ໃນອຸປະກອນ; 4) ລາຍລະອຽດຂອງອຸປະກອນທີ່ກໍ່ເຫດທີ່ສາມາດກວດສອບ ແລະ ສະແດງໄດ້ ເຊັ່ນ ເລກ IP, ຊື່ຜູ້ຈົດທະບຽນໂດເມນ, ສະຖານທີ່ຕັ້ງຂອງອຸປະກອນທີ່ກໍ່ເຫດ ແລະ ສະຖານະຂອງອຸປະກອນທີ່ກໍ່ເຫດ; 5) ລະບຸລາຍລະອຽດໄພຄຸກຄາມທີ່ພົບເຫັນ ຫຼື ໄດ້ຮັບລາຍງານເພີ່ມເຕີມ, ນອກເໜືອຈາກຂໍ້ 01-04 ຂ້າງເທິງ.
第7条
最后一条。
1. 组织实施:委托计算机应急响应中心会同相关部门及地方各级政府,对本指导意见进行宣传、推广、指导、培训并组织实施,以取得良好效果。在老挝人民民主共和国境内创建、更新、开发和管理网站的个人、法人或组织应充分认识并适当组织实施。
2. 生效:本指导意见自签署之日起生效,并在政府公报刊登之日起十五日后施行。部长。[签署人姓名因OCR损坏不完整,需核实]
ພາສາລາວ (老挝语原文)
ມາດຕາສຸດທ້າຍ.
1. ການຈັດຕັ້ງປະຕິບັດ: ມອບໃຫ້ສູນຕອບສະໜອງສຸກເສີນທາງຄອມພິວເຕີ ຮ່ວມກັບພາກສ່ວນທີ່ກ່ຽວຂ້ອງ ແລະ ອຳນາດການປົກຄອງທ້ອງຖິ່ນ ຈັດການເຜີຍແຜ່, ສົ່ງເສີມ, ຊີ້ນຳ, ຝຶກອົບຮົມ ແລະ ປະຕິບັດຕາມຄຳແນະນຳສະບັບນີ້ ເພື່ອໃຫ້ໄດ້ຜົນດີ. ບຸກຄົນ, ນິຕິບຸກຄົນ ຫຼື ອົງກອນທີ່ສ້າງ, ປັບປຸງ, ພັດທະນາ ແລະ ຄຸ້ມຄອງເວັບໄຊທ໌ ພາຍໃນສາທາລະນະລັດ ປະຊາທິປະໄຕ ປະຊາຊົນລາວ ຄວນຮັບຮູ້ ແລະ ຈັດຕັ້ງປະຕິບັດຢ່າງເໝາະສົມ.
2. ການມີຜົນບັງຄັບໃຊ້: ຄຳແນະນຳສະບັບນີ້ ມີຜົນບັງຄັບໃຊ້ນັບແຕ່ວັນທີ່ລົງນາມ ແລະ ຈະປະຕິບັດໄດ້ພາຍຫຼັງສິບຫ້າວັນ ນັບແຕ່ວັນທີ່ລົງພິມໃນຈົດໝາຍເຫດຂອງລັດຖະບານ. ລັດຖະມົນຕີ. [ຊື່ຜູ້ລົງນາມບໍ່ຄົບຖ້ວນຍ້ອນ OCR ເສຍຫາຍ, ຕ້ອງກວດສອບ]