hệ thống kiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ động, nghĩa là, chỉ những traffic phù hợp với chính sách được định nghĩa trong “tường lửa” mới được truy cập vào mạng, mọi traffic khác đều bị từ chối hoặc đưa vào hàng đợi.
Khi sử dụng tường lửa, hệ thống thông tin có thể ưu tiên đến các kết nối từ vùng bên trong ra bên ngoài của hệ thống mạng trong tổ chức, đồng thời ngăn cản những truy cập trái phép xâm phạm vào máy tính hoặc hệ thống mạng của tổ chức. Tường lửa cá nhân còn có tên là Internal firewall theo một cách dễ hiểu thì loại này thường được đặt trên hệ thống hay máy tính cá nhân với chức năng chủ yếu là ngăn chặn trái phép từ máy tính này sang máy tính khác trong cùng một mạng. Đối với các hệ thống không lớn có thể dùng những công dụng của những phần mềm tường lửa có sẵn trong Windows, Linux hay các phần mềm của các hãng bảo mật như Comodo, Symantec, Kaspersky Internet Security, Endpoint Protection,...
Tường lửa thường được cài đặt tại vùng biên ngăn cách giữa hệ thống máy tính hoặc hệ thống mạng của tổ chức với môi trường truyền tin bên ngoài, tường lửa cá nhân sau khi được cài đặt thì sẽ chiếm giữ việc quản lý tất cả các thông tin đi ra hay đi vào máy tính cá nhân của người dùng, đối với System Firewall (tường lửa hệ thống) sẽ được lắp đặt ngay sau thiết bị kết nối WAN, như Router sử dụng các kênh thuê riêng (leased- line), hay Rounter ADSL.
6.4.6. Thường xuyên sao lưu dự phòng
Backup dữ liệu là sao chép dữ liệu máy chủ (hoặc máy tính cá nhân, điện thoại, máy tính bảng, v.v...) rồi lưu trữ ở một nơi khác, phòng khi có sự cố xảy ra như thiên tai, virus, ổ cứng hỏng, v.v... sẽ không bị mất mát dữ liệu. Việc sao lưu dự phòng thường sử dụng các ổ cứng di động, USB hoặc đĩa DVD, VCD để tiến hành backup dữ liệu, tuy nhiên phương pháp đó khá thủ công và mất nhiều thời gian, thêm nữa, tuổi thọ của thiết bị lưu trữ cũng thường khá ngắn. Xu thế hiện nay là sử dụng các dịch vụ lưu trữ đám mây với khả năng tự động backup dữ liệu theo lịch (hàng ngày, hàng tuần, hàng tháng, hàng năm) với sự linh hoạt của hạ tầng đám mây.
Việc sao lưu dữ liệu là vô cùng cần thiết đối với cả cá nhân lẫn các tổ chức, doanh ngiệp, khi sử dụng máy tính để bàn hay máy tính xách tay hoặc đặc biệt là khi điều khiển cả một hệ thống máy chủ cho một tổ chức, doanh nghiệp thì việc bảo mật và bảo vệ dữ liệu cũng luôn là nhiệm vụ tối quan trọng. Trong quá trình sử dụng và vận hành hệ thống không thể tránh được việc gặp phải những sự cố không thể dự đoán trước được, ví dụ có khi chỉ đơn giản chỉ là xóa nhầm, hay định dạng nhầm các thư mục và ổ đĩa làm mất dữ liệu, hoặc gặp một thiên tai bất ngờ như bão, lũ lụt, v.v...
Việc sao lưu dự phòng dữ liệu thường xuyên sẽ giúp cho hệ thống có thể phục hồi dữ liệu khi xảy ra các nguy cơ mất mát, hỏng hóc hoặc bị lỗi khi vận hành, bên cạnh đó, nếu sao lưu dữ liệu còn giúp hệ thống có thể sử dụng bản sao lưu, sao chép ra và sử dụng lại.
6.4.7. Có cơ chế bảo vệ chống lại các nguy cơ
Cuối cùng, để giảm thiểu các rủi ro có thể gặp phải trong quá trình vận hành hệ thống thông tin của các tổ chức, doanh nghiệp cần tối thiểu cài đặt các cơ chế nhằm chống lại các mối đe dọa và phát hiện các lỗ hổng của hệ thống thông tin.
Thứ nhất, các lỗi và sự bỏ sót, cố tình bỏ qua có thể được phát hiện, đây là nguy cơ được xếp vào hàng nguy hiểm nhất, bởi khi lập trình, các cảnh báo và lỗi do trình biên dịch đưa ra thường bị bỏ qua và nó có thể dẫn đến những sự việc không đáng có, ví dụ như tràn bộ đệm, tràn heap, hoặc khi người dùng vô tình (hay cố ý) sử dụng các đầu vào không hợp lý thì chương trình sẽ xử lý sai, hoặc dẫn đến việc bị khai thác, đổ vỡ (crash). Kỹ thuật lập trình đóng vài trò rất quan trọng trong mọi ứng dụng, lập trình viên phải luôn luôn cập nhật thông tin, các lỗi bị khai thác, cách phòng chống, sử dụng phương thức lập trình an toàn. Do đó cần có chính sách “lease privilege - giới hạn quyền tối thiểu” (có nghĩa là cho ít quyền hạn nhất có thể) trong mọi trường hợp để có thể khoanh vùng được các rủi ro này.
Có thể bạn quan tâm!
- Bảo Mật Đối Với Các Cơ Chế Phân Quyền Người Dùng
- Giao Thức Wep (Wired Equivalent Privacy)
- Những Ưu Điểm Và Nhược Điểm Của Tường Lửa
- Sơ Đồ Chứng Thực Số Sử Dụng Hệ Mã Hóa Không Đối Xứng
- Sử Dụng Chứng Thực Số Trong Truyền Tin An Toàn
- Sử Dụng Công Nghệ Của Các Nước Tiên Tiến
Xem toàn bộ 194 trang tài liệu này.
Thứ hai, cần có cơ chế phát hiện việc giả mạo và lấy cắp thông tin
trong tổ chức, doanh nghiệp, do có nhiều công ty bị lộ thông tin từ bên
trong và rất khó phát hiện kẻ tấn công từ bên trong. Việc lấy cắp có thể được thực hiện dưới nhiều hình thức: lấy cắp văn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bên ngoài. Cách tốt nhất để phòng tránh nguy cơ này là: phải có những chính sách bảo mật được thiết kế tốt. Những chính sách có thể giúp người quản lý bảo mật thông tin thu thập thông tin, từ đó điều tra và đưa ra những kết luận chính xác, nhanh chóng.
Thứ ba, có cơ chế phát hiện các kẻ tấn công khi hệ thống bị tấn công, trên thực tế hiện nay có rất nhiều cách kẻ tấn công tấn công hệ thống, mỗi kẻ tấn công đều có những thủ thuật, công cụ, kiến thức, hiểu biết về hệ thống. Để phòng tránh nguy cơ này, các ứng dụng tương tác với người dùng, dữ liệu cần phải giấu đi những thông tin quan trọng (nếu có thể) như phiên bản, loại ứng dụng, các thành phần kèm theo, v.v... Sử dụng các phần mềm phát hiện truy cập trái phép, rà soát hệ thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hợp lý, chính sách truy cập của từng nhóm người dùng, quản lý truy cập...
Thứ tư, có cơ chế kiểm soát hạn chế lây lan mã độc trong hệ thống của tổ chức, trên thực tế hiện nay có rất nhiều loại mã độc có thể kể đến như: virus, sâu máy tính, Trojan horse, logic bomb, v.v... Nguy cơ do chúng gây ra là hoàn toàn rõ ràng và vô cùng phong phú, khi mã độc xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và làm mọi việc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác bàn phím, sử dụng mạng, thông tin đăng nhập, v.v...). Cách tốt nhất để tránh nguy cơ này là luôn cập nhật phần mềm xử lý dữ liệu, hệ điều hành và phần mềm an ninh mạng, diệt virus.
Thứ năm cần có cơ chế dự đoán và phát hiện các vụ tấn công từ chối dịch vụ, tấn công từ chối dịch vụ mặc dù khó thực hiện nhưng mỗi khi xảy ra hệ thống thông tin của tổ chức, doanh nghiệp sẽ bị ảnh hưởng nặng nề.
Cuối cùng là các vấn đề về tấn công phi kỹ thuật hay còn gọi là Social engineering, thuật ngữ này khá phổ biến trong công nghệ thông tin, đây là một kỹ thuật khai thác nhằm vào điểm yếu con người. Con người trực tiếp quản lý phần mềm, hệ thống. Do đó, họ nắm được mọi thông tin quan
trọng nhất, kỹ thuật này ngày càng hữu ích và có độ chính xác tương đối cao, nguy cơ này rất khó phòng tránh và hiện nay được rất nhiều tôi phạm mạng thực hiện.
6.5. TỔNG KẾT CHƯƠNG 6
Chương 6 trình bày một số mô hình và kiến trúc cũng như giải pháp đảm bảo an toàn cho hệ thống thông tin của tổ chức, doanh nghiệp. Mục tiêu để đảm bảo an toàn cho hệ thống thông tin là dựa trên quy trình chuẩn và xây dựng các chính sách phù hợp với hoạt động của tổ chức. Sau đó áp dụng các kiến trúc an toàn theo chuẩn ISO 27001 cùng các khung an toàn nhằm đảm bảo hệ thống thông tin của tổ chức được bảo vệ nhiều lớp. Trong chương 6 đã trình bày chi tiết một số biện pháp cụ thể như phân quyền người dùng trong hệ thống thông tin và một số biện pháp cho người dùng cuối trong hệ thống thông tin của tổ chức, doanh nghiệp.
CÂU HỎI ÔN TẬP VÀ BÀI TẬP CHƯƠNG 6
I. CÂU HỎI ÔN TẬP
1. Vì sao cần bảo vệ thông tin của hệ thống thông tin bằng nhiều lớp và nhiều phương pháp khác nhau? Hãy giải thích và lấy ví dụ minh họa?
2. Trình bày chi tiết các mức cần bảo vệ cho thông tin trong hệ thống thông tin của tổ chức, doanh nghiệp?
3. Nguyên tắc của ISO 27001 là gì? Vì sao mỗi tổ chức, doanh nghiệp cần khảo sát thực trạng trước khi triển khai quy trình ISO 27001?
4. Thực trạng triển khai ISO 27001 ở Việt Nam và trên thế giới? Vì sao bộ tiêu chuẩn đều có phần tùy chỉnh cho mỗi quốc gia?
5. Hãy trình bày các thành phần trong khung bảo mật NIST?
6. Trình bày các bản đặc biệt của NIST? Lấy ví dụ minh họa?
7. Người dùng là gì? Vì sao phải phân quyền người dùng trong hệ thống thông tin của tổ chức, doanh nghiệp? Hãy giải thích?
8. Có những kiểu người dùng nào trong hệ thống thông tin của doanh nghiệp? Quyền và nghĩa vụ của mỗi nhóm người dùng? Hãy lấy ví dụ minh họa?
9. Bảo mật kênh truyền là gì? Vì sao cần bảo mật kênh truyền? Các cơ chế bảo mật kênh truyền? Lấy ví dụ minh họa?
10. Tường lửa là gì? Vai trò của tường lửa trong đảm bảo an toàn thông tin cho hệ thống thông tin của tổ chức?
11. Có những loại tường lửa nào? Khi nào thì sử dụng tường lửa phần cứng? Khi nào thì sử dụng tường lửa phần mềm? Hãy giải thích?
12. Các nguy cơ đối với thông tin của người dùng cá nhân trong hệ thống thông tin của tổ chức, doanh nghiệp? Hãy lấy ví dụ minh họa?
13. Hãy đề xuất một số giải pháp đảm bảo an toàn cho người dùng cá nhân trong hệ thống thông tin của tổ chức, doanh nghiệp.
II. BÀI TẬP TÌNH HUỐNG
Bài tập 1:
Cho tình huống sau đây:
Thông tin từ Cục An toàn thông tin, Bộ TT&TT cho hay, trong tháng 4/2020, hệ thống của Cục đã ghi nhận 203 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố. Trong đó, có 43 cuộc tấn công lừa đào (Phishing), 89 cuộc tấn công thay đổi giao diện (Deface) và 71 cuộc tấn công cài mã độc (Malware). (Theo https://vietnamnet.vn/ )
Hãy trả lời các câu hỏi sau đây:
1. Trong tình huống này hãy liệt kê các kiểu tấn công mà người dùng có thể gặp phải và giải thích?
2. Xác định các mối đe dọa và các lỗ hổng mà các tổ chức, doanh nghiệp cần kiểm soát? Hãy đề xuất một số giải pháp để kiểm soát các mối đe dọa và các lỗ hổng đó?
Bài tập 2:
Cho tình huống sau đây:
Trong công văn cảnh báo gửi các đơn vị chuyên trách về CNTT các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; các Sở TT&TT; các tập đoàn, tổng công ty nhà nước, ngân hàng thương mại cổ phần, tổ chức tài chính và hệ thống các đơn vị chuyên trách an toàn thông tin ngày 5/5/2020, Cục An toàn thông tin - Bộ TT&TT cho biết: Cục phát hiện thời gian gần đây, lợi dụng tình hình dịch bệnh, nhiều nhóm APT đang tích cực hoạt động, để thực hiện tấn công vào hệ thống thông tin của nhiều quốc gia trên thế giới, trong đó có Việt Nam. Theo đánh giá của Cục An toàn thông tin, các nhóm APT vẫn bắt đầu cuộc tấn công bằng thủ đoạn đính kèm mã khai thác điểm yếu, lỗ hổng vào các tập tin tài liệu và phát tán tập tin này qua thư điện tử. Tuy nhiên, tài liệu lợi dụng để phát tán mã độc thường ở mỗi thời điểm được lựa chọn kỹ lưỡng, thường là tài liệu được nhiều người quan tâm hoặc người dùng mục tiêu quan tâm như: văn bản, tài liệu của các cơ quan tổ chức, gần đây là các tài liệu liên quan đến phòng chống dịch bệnh. (Theo https://vietnamnet.vn/)
Hãy trả lời các câu hỏi sau đây:
1. Trong tình huống này hãy liệt kê các nguy cơ mà các tổ chức, doanh nghiệp cần kiểm soát? Hãy đề xuất một số giải pháp để kiểm soát các mối đe dọa và các lỗ hổng đó?
2. Hãy trình bày các giải pháp nhằm hạn chế các nguy cơ này?
Chương 7
AN TOÀN DỮ LIỆU TRONG THƯƠNG MẠI ĐIỆN TỬ
Thương mại điện tử đã mang đến rất nhiều lợi ích cho các tổ chức, doanh nghiệp, từ cải thiện tốc độ mua hàng cho đến khả năng tiếp cận khách hàng mọi lúc mọi nơi mà chi phí hoạt động thấp hơn, giúp khách hàng có nhiều trải nghiệm hơn, rút ngắn thời gian và tiếp cận được với nhiều nhóm khách hàng hơn. Tuy nhiên khi thương mại điện tử phát triển thì kèm theo đó vấn đề an toàn cho dữ liệu trong thương mại điện tử cũng được quan tâm không kém với các lợi ích mà thương mại điện tử mang lại.
Trong chương này sẽ trình bày một số nội dung về các công cụ và ứng dụng được sử dụng nhằm phòng tránh các vấn đề mất an toàn trong các giao dịch thương mại điện tử bao gồm: Chữ ký số, chứng thực số, các giải pháp đảm bảo an toàn cho thanh toán điện tử, các vấn đề về bảo mật cho website và một số giải pháp đảm bảo an toàn cho người dùng trên các phương tiện truyền thông xã hội.
7.1. CHỮ KÝ SỐ
7.1.1. Tổng quan về chữ ký số
7.1.1.1. Khái niệm
Cũng giống như chữ ký tay trong các giao dịch trên giấy tờ thông thường, chữ ký điện tử (hay chữ ký số - Digital Signature) được sử dụng để xác nhận tính hợp pháp của một văn bản hay hợp đồng trong các giao dịch điện tử.
Khái niệm về chữ ký số bắt đầu được đưa ra vào năm 1976 bởi hai nhà khoa học Diffie và Hellman. Theo quan điểm của hai ông thì chữ ký số căn bản phải có các thuộc tính giống như của chữ ký tay, tuy nhiên lại
mang bản chất tin học là một chuỗi các bit nhị phân có thể được sao chép, được hiểu bởi máy tính và có thể truyền đi trên mạng Internet.
Luật giao dịch điện tử của Quốc hội nước Cộng hoà xã hội chủ nghĩa Việt Nam ngày 29/11/2005 định nghĩa “Chữ ký số được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký” (Điều 21, Khoản 1).
7.1.1.2. Tính chất của chữ ký số
Mang đầy đủ thuộc tính của chữ ký thông thường đồng thời chữ ký số gắn liền với thông tin mà nó “ký”, nên chữ ký số phải chứng minh được tính tin cậy của thông tin, nghĩa là:
(1) Có khả năng kiểm tra được người ký và thời gian ký,
(2) Có khả năng xác thực các nội dung tại thời điểm ký, nghĩa là có thể cho phép khẳng định được thông tin đúng là do một người gửi chứ không phải do người thứ ba mạo danh và thông tin không bị sửa đổi,
(3) Các thành viên thứ ba có thể kiểm tra chữ ký để giải quyết các tranh chấp (nếu có).
Như vậy, chữ ký số bao hàm cả chức năng xác thực.
7.1.1.3. Yêu cầu đối với chữ ký số
Với các tính chất đặc thù nêu trên, một hệ thống chữ ký số cần đạt được những yêu cầu sau:
(1) Phải là một mẫu bit phụ thuộc chặt chẽ vào văn bản được ký,
(2) Việc tạo ra chữ ký phải đơn giản, thuận tiện, dễ dàng,
(3) Dễ dàng cho việc kiểm tra: Người nhận có thể dễ dàng kiểm định chữ ký để xác thực tính hợp lệ của thông tin nhận được,