Tải bản đầy đủ (.pdf) (51 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

TỔNG hợp báo cáo AN TOÀN THÔNG TIN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.51 MB, 51 trang )

BÁO CÁO KẾT THÚC HỌC PHẦN
AN TỒN BẢO MẬT THƠNG TIN
TÊN ĐỀ TÀI:

PHÂN TÍCH TÍNH AN TỒN BẢO MẬT
THƠNG TIN WEBSITE BÁN ĐỒ THỜI
TRANG NỮ
Sinh viên Thực hiện :
Hoàng Kim Quyết MSSV: 2034801040017
Hoàng Ngọc Hải
MSSV: 203480104004
Trần Thị Oanh
MSSV: 2034801040013
Lê Khắc Hận
MSSV: 203480104005
Huỳnh Hoa Tiên
MSSV: 2034801040022
Nguyễn Thị Hường MSSV: 203480104006
Ngành: Hệ thống thông tin
Giảng viên hướng dẫn: TS. Nguyễn Minh Sơn


CHƯƠNG 1. TỔNG QUAN VỀ AN NINH MẠNG
1.
Bảo vệ thông tin
1.1. Tính sẵn sàng
Ln ln sẵn sàng khi cần thiết
Có một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối sử
dụng để truy cập nó phải ln hoạt động chính xác
Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh
được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng,


cập nhật, nâng cấp hệ thống…

Có tính sẵn sàng
HỆ THỐNG:
Truy cập hệ thống dễ dàng qua: Fsshop.somee.com
Hệ thống hoạt động chính xác, xuyên suốt


-

Tính sẵn sàng chưa cao, vì hệ thống đang sử dụng gói Free .Net Hosting




Giải pháp: Cần lựa chọn sử dụng các gói dịch vụ Hosting có phí để

nâng cấp hệ thống, băng thơng cao, giúp hệ thống luôn sắn sàng ở mức cao nhất.

CHỨC NĂNG:
Có tính sẵn sàng cao
Tính năng giới thiệu cho khách hàng biết được các dòng sản phẩm cũng như
các hãng hàng và xuất xứ của sản phẩm mà Fs Shop đang bán tại cửa hàng.



+ Tính năng show sản phẩm theo từng nhóm sản phẩm: Túi xách, balo, ví, mắt
kính và giày.







+ Tính năng đăng nhập, đăng kí, đổi mật khẩu, giỏ hàng

+ Tính năng tìm kiếm sản phẩm


+ Tính năng cung cấp thơng tin và bản đồ cửa hàng, và tư vấn trực tuyến



Giải pháp: Cần có thêm các tính năng thanh tốn trực tuyến nhằm đảm

bảo tính sẵn sàng cao hơn nữa
1.2 Tính tồn vẹn


Đảm bảo thông tin và dữ liệu không bị sửa đổi bất hợp pháp. Thơng tin chỉ
được phép xóa hoặc sửa bởi những đối tượng được cho phép và đảm bảo băng thơng
vẫn cịn chính xác khi được lưu trữ hay truyền đi.


Q trình tồn vẹn đảm bảo rằng dữ liệu trong hệ thống là được xác minh,
chính xác và đáng tin cậy. Thơng tin khơng bị thay đổi trong q trình truyền và nhận
tin, thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người không được
phép. Vì vậy điều quan trọng là phải theo dõi các quyền của tệp và quyền truy cập
của người dùng. Một điều quan trọng khác để duy trì tính tồn vẹn của dữ liệu là có
một bản sao lưu an tồn.

* Giải pháp nâng cao tính tồn vẹn :
Giải pháp “Data Integrity” có thể bao gồm thêm việc xác thực nguồn gốc của
thông tin này (thuốc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một
nguồn đáng tin cậy và ta gọi đó là tính “Authenticity” của thông tin.
1.3 Tính riêng tư
Đảm bảo thông tin của người sử dụng không ai được phép truy cập vào dữ liệu
của họ khi khơng được cho phép trừ người có quyền truy cập đã được họ cho phép.


Tất cả thông tin của khách hàng (đối với những khách hàng đã đăng ký) sẽ
được admin quản lý và bảo mật thơng tin trên hệ thống; bên cạnh đó, admin sẽ phân
quyền cho từng user tùy vào mục đích sử dụng: Khách hàng chỉ có xem sản phẩm,
mua sản phẩm. Nhân viên có thể xem sản phẩm, mua sản phẩm, thêm sản phẩm,
chỉnh sửa sản phẩm nhưng không được xóa dữ liệu. Admin có tồn quyền
Nhân viên khơng có quyền xem tài khoản của khách hàng, chỉ có admin mới
có quyền cập nhật, thêm, sửa, xóa user của khách hàng.
Do đó: website có tính riêng tư
1.4 Tính trách nhiệm
Đảm bảo rằng người gửi hay người nhận dữ liệu không thể chối bỏ trách nhiệm
sau khi đã gửi và nhận thông tin.
Thông tin phản hồi của khách hàng được admin quản lý và xử lý thơng qua
mục chăm sóc khách hàng. Có đội ngũ tư vấn, chăm sóc khách hàng thân thiện, luôn
hỗ trợ khách hàng.


Thông tin mua hàng, đặt hàng của khách hàng sẽ được lưu trên CSDL do admin
quản lý, khi muốn mua hàng thì khách hàng bắt buộc phải đăng nhập user của mình,
do đó mọi thơng tin mua hàng sẽ được kiểm soát bởi admin.
Chất lượng sản phẩm được nhập từ những cửa hàng có uy tín, do đó chất lượng
của sản phẩm luôn được đảm bảo.



Do đó: Websit có tính trách nhiệm
1.5

Tính tin cậy

Đối với cá nhân
Chỉ được cung cấp, chia sẻ, thông tin cá nhân của mình cho bên mà mình tin
cậy, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền
Đối với cơ quan , công ty, tổ chức
Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban
đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân
Đối với mỗi khách hàng khi mua hàng thì website sẽ yêu cầu đăng nhập tài
khoản, nếu khách hàng chưa có tài khoản sẽ đăng ký tài khoản, nếu khách hàng đồng
ý các thơng tin thì khách hàng đã tin cậy cửa hàng và chỉ có khách hàng và admin
mới có quyền xem thông tin đã đăng ký, trừ trường hợp khách hàng cho người khác
user và mật khẩu của mình thì người khác mới có thể truy cập được. Admin có quyền
xem thông tin của khách hàng nhưng chỉ với mục đích quản trị, khơng chỉnh sửa bất
kỳ thơng tin của khách hàng cũng như cung cấp tài khoản cho người khác khi chưa
có sự đồng ý của khách hàng.


Ngồi ra, thơng tin khách hàng cịn sử dụng cho việc góp ý hay đánh giá sản
phẩm đối với website.

Do đó: website có tính tinh cậy
1.6 Tính an tồn
Định nghĩa :
- Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp

luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng.
- Cá nhân tự bảo vệ thông tin cá nhân của mình bằng cách tự đăng ký thơng
tin cá nhân theo một tài khoản cố định và mật khẩu có thể thay đổi để bảo mật thơng
tin cá nhân của mình.
- Khi xảy ra hoặc có nguy cơ xảy ra sự cố an tồn thơng tin mạng, tổ chức, cá
nhân xử lý thông tin cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn trong thời
gian sớm nhất.
Sản phẩm có tính an tồn : Cá nhân sử dụng website fsshop sẽ chủ động giữ
thông tin cá nhân. Ví dụ : tài khoản đăng nhập/mật khẩu, sđt, địa chỉ, thông tin mua
hàng. Thông tin cá nhân được lưu trên hệ thống quản trị và giao diện người dùng để
người dùng có thể thay đổi thơng tin.


Website có tính năng đăng ký sử dụng. Người dùng có thể chủ động đăng ký
tài khoản để đăng ký sử dụng theo thông tin cá nhân của khách hàng.

Nếu khách hàng bị sự cố bị đánh cắp hoặc quên mật khẩu thì liên hệ với quản
trị viên để được cung cấp lại mật khẩu.


Một số tính năng có thể cải thiện tăng cường tính an tồn khi sử dụng website
fsshop :
1.

Đặt mật khẩu có tính bảo mật cao, khó đốn.

2.

Xác thực email khi khách hàng đăng ký hoặc lấy lại mật khẩu.


3.

Lập kế hoạch sao lưu dữ liệu và bảo mật để thông tin dữ liệu khách hàng

được an tồn, khơng bị đánh cắp và không bán dữ liệu khách hàng cho đối tượng nào
khác.
1.7 Tính dễ mở rộng:
Đối với Website Bán đồ thời trang nữ FS Shop -> có tính mở rộng.
+ Đảm bảo được Website FS Shop vẫn hoạt động bình thường.
+ Website FS Shop có hệ thống Backup dữ liệu. Dữ liệu được Backup định kì
hàng tuần lên host Somee.
+ Bảo mật dữ liệu, phân quyền truy cập: Website có phân quyền cho Admin,
khách hàng, nhân viên.
. Admin: là người quản lý ứng dụng có quyền cao nhất trong hệ thống: quản
lý tài khoản, quản lý thông tin sản phẩm, quản lý khách hàng và đơn khách hàng.
. Khách hàng: chỉ có quyền đăng ký tài khoản, xem thơng tin, tìm kiếm và đặt
hàng.
. Nhân viên: có quyền quản lý thơng tin sản phầm: thêm, sửa, xóa, trả lời tư
vấn khách hàng, quản lý đơn hàng.
Đảm bảo thông tin của người sử dụng không ai được phép truy cập vào dữ liệu
của họ khi không được cho phép trừ người có quyền truy cập đã được họ cho phép.


+ Website FS Shop bảo dưỡng định kỳ 3 tháng 1 lần.
- Tuy nhiên Website FS Shop vẫn chưa có hệ thống dự phịng khi có sự cố về
phần cứng hoặc phần mềm xảy ra.
Giải pháp:
- Sẽ xây dựng hệ thống dự phòng và đồng bộ dữ liệu với các yêu cầu:
+ Xây dựng một hệ thống tương tự có khả năng dự phịng cho hệ thống chính.
+ Xây dựng kịch bản các sự cố có thể gây gián đoạn dịch vụ và quy trình phục

hồi hệ thống tại site dự phịng.
+ Tự động cập nhật khi có thay đổi về mã nguồn ứng dụng.
+ Sử dụng SSL : HTTPS
1.8 Tính quản trị
Sự phát triển mạnh mẽ của mạng máy tính và các hệ thống phân tán làm thay
đổi phạm vi tổ chức xử lý thông tin.
Thông tin được trao đổi giữa các thiết bị xử lý thông qua một khoảng cách vật
lý rất lớn, làm xuất hiện thêm nhiều nguy cơ hơn đối với sự an tồn của thơng tin.
Từ đó xuất hiện yêu cầu bảo vệ sự an toàn của hệ thống mạng (Network 3 Security),
gồm các cơ chế và kỹ thuật phù hợp với việc bảo vệ sự an tồn của thơng tin khi
chúng được trao đổi giữa các thiết bị trên mạng.


CHƯƠNG 2. ĐỊNH VỊ CÁC KẼ HỠ AN NINH THÔNG TIN
2.1. Kẻ hở trong giao thức
- Giao thức SMTP: Trong giao thức chuyển thư điện tử đơn giản SMTP khơng
có cơ chế xác thực , cho nên thư điện tử rất dễ bị kẻ xấu mạo danh


Cách khắc phục: Để khắc phục lỗi này, sử dụng kích hoạt SMTP gmail server
- Giao thức LDAP: Khơng sử dụng
- Giao thức HTTP: Đối với HTTP, vì dữ liệu khơng được xác thực bảo mật
nên sẽ khơng có gì đảm bảo được phiên kết nối của bạn có đang bị “nghe lén” hay
không, hoặc bạn đang cung cấp thông tin cho website thật hay một website giả mạo.
Các khắc phục: Chuyển giao thức HTTP sáng giao thức HTTPS


Bảo mật website hơn: Tránh được tình trạng đánh cắp thơng tin




Các dữ liệu được mã hóa: Giúp dữ liệu an tồn tuyệt đối

Hỗ trợ tăng hạng trong SEO: Tăng độ tin tưởng của google, giúp nhanh
chóng lên TOP


Tăng độ tin tưởng trong mắt người dùng: Giúp người dùng đánh giá
website có đầu tư cũng như quyền lợi của họ được đảm bảo


Và mua chứng thực SSL cho website
2.2. Kẻ hở trong hệ điều hành
Thường xuyên xuất hiện các lỗ hỏng bảo mật: CVE-2021-40469 trong
Windows DNS Server Lỗ hổng có điểm CVSS: 7.8 (cao), ảnh hưởng đến các phiên
bản khác nhau của Windows 7/8.1/10. Để khai thác lỗ hổng này, đối tượng tấn công
cần xác thực để thực thi mã từ xa.
Biện pháp xử lý : Sử dụng hệ điều hành windows server 2012 bản quyền để
làm web server và thường xuyên cập nhật bản vá mới nhất của HĐH. Và hướng dẫn
khách hàng sử dụng web sử dụng hệ điều hành phiên bản cao tránh dùng các hđh củ
như windows xp và dùng hđh bản quyền.
2.3. Kẻ hở trong các ứng dụng


Ví dụ, trong form đăng nhập, người dùng nhập dữ liệu, trong trường tìm kiếm
người dùng nhập văn bản tìm kiếm, trong biểu mẫu lưu dữ liệu, người dùng nhập dữ
liệu cần lưu. Tất cả các dữ liệu được chỉ định này đều đi vào cơ sở dữ liệu.
Thay vì nhập dữ liệu đúng, kẻ tấn công lợi dụng lỗ hổng để insert và thực thi
các câu lệnh SQL bất hợp pháp để lấy dữ liệu của người dùng… SQL Injection được
thực hiện với ngơn ngữ lập trình SQL. SQL (Structured Query Language) được sử

dụng để quản lý dữ liệu được lưu trữ trong toàn bộ cơ sở dữ liệu.
Tuy nhiên ngày nay chứng ta thường làm việc trên những framework hiện đại.
Các framework đều đã được test cẩn thận để phịng tránh các lỗi, trong đó có SQL
Injection.
Các phần có nguy cơ tấn cơng :
+ Form đăng nhập
+ Form tìm kiếm
+ Liên kết website
Biện pháp khắc phục : Ln kiểm tra kỹ các trường nhập dữ liệu và các bạn
cần ràng buộc thật kỹ dữ liệu người dùng nhập vào. Dùng Regular Expression để loại
bỏ đi các ký tự lạ hoặc các ký tự không phải là số. nên dùng các Framework và hạn
chế dùng code thuần tối đa nếu có thể. Framework ln có cộng đồng hoặc các
chun gia bảo mật giúp tìm lỗi và update liên tục, từ đó chúng ta có thể giảm bớt
thời gian xử lý lỗi để tăng thời gian làm sản phẩm cũng là một điều hay
2.4. Kẻ hở từ nguy cơ internet
Nguy cơ lây nhiễm khi mở để xem thư điện tử được gửi từ một mail lạ khơng
rõ danh tính. Lây nhiễm từ các tập tin chứa virus đính kèm theo thư điện tử qua việc
nhận Email liên hệ từ khách hàng
Biện pháp : Để tránh được các nguy cơ này thì phải biết được các dấu hiệu lừa
đảo qua Email, đồng thời phải xử lý ngăn chặn kịp thời.
2.5. Kẻ hở từ mạng cục bộ
Nguy cơ : Nghe lén các thông tin như tên, mật khẩu người sử dụng, các thông
tin mật chuyển qua mạng.
Biện pháp:
- Đặt mật khẩu phức tạp để tránh các cuộc Tấn cơng Password.
- Bật tính năng xác thực 2 lớp qua tin nhắn.
- Hạn chế sử dụng các mạng wifi cơng cộng bởi chúng có thể khiến thiết bị
nhiễm mã độc.
- Bật tường lửa thông báo.



CHƯƠNG 3: CÁC NGUY CƠ CHỦ YẾU

3.1

Cấy Virus

Website hệ thống sử dụng windows server 2012 nên có thể bị tấn công từ việc
sử dụng mạng LAN và dùng USB không an toàn khi sử dụng thao tác trên máy chủ.
Nếu hacker có thể cấy virus từ mạng LAN, USB thì có thể lây lan virus từ máy chủ
lên web server và có thể bị đánh cắp và chỉnh sửa nội dung dữ liệu.
Hacker lợi dụng phần góp ý khách hàng, gửi các email có chứa các link có
chứa virut với các nội dung về phản hồi về sản phẩm.



Giải pháp: Sử dụng tường lửa, phần mềm antivirus.

3.2 Tấn công DOS


DoS là kỹ thuật tấn công nhằm không cho phép các truy cập hợp lệ truy

cập tới server. Kỹ thuật tấn công này thường xảy ra tại lớp mạng và lớp ứng dụng.
Các hệ thống đích có thể bị tấn cơng DoS:
Người dùng riêng lẻ: quá trình đăng nhập lặp đi lặp lại với tài khoản hợp lệ
nhưng mật khẩu không đúng. Sau nhiều lần đăng nhập sai, hệ thống sẽ khóa tài khoản
hợp lệ này, dẫn đến người dùng hợp lệ sẽ không thể đăng nhập được.
Máy chủ cơ sở dữ liệu: Sử dụng kỹ thuật chèn câu lệnh truy vấn SQL chỉnh
sửa cơ sở dữ liệu, vì thế hệ thống sẽ không thể phục vụ các truy cập từ client.

Máy chủ phục vụ web: Sử dụng kỹ thuật tấn cơng tràn bộ đệm (Buffer
Overflow) để gới các gói truy vấn và làm đổ vỡ các tiến trình tại phía máy chủ phục


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×