(TIỂU LUẬN) báo cáo đồ án các GIẢI PHÁP để đảm bảo AN TOÀN bảo mật một WEBSITE
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.63 MB, 47 trang )
BỘ TÀI CHÍNH
TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING
KHOA CƠNG NGHỆ THÔNG TIN
BÁO CÁO ĐỒ ÁN
CÁC GIẢI PHÁP ĐỂ ĐẢM BẢO AN TỒN
BẢO MẬT MỘT WEBSITE
GVHD: TS. Trương Thành Cơng
Sinh viên thực hiện: Trần Thị Hồng Ngát
MSSV: 1921006756
Lớp HP: 2111112002702
TP.Hồ Chí Minh, tháng 11, năm 2021
0
0
0
0
LỜI CẢM ƠN
Sau một thời gian thực hiện, đồ án “Các giải pháp để đảm bảo an toàn bảo mật
một website” của em đã hoàn thành. Ngoài sự nỗ lực cố gắng hết mình của bản
thân, em đã nhận được sự hướng dẫn và khích lệ cũng như tạo điều kiện thuận lợi
của của nhà trường và các thầy cô khoa Cơng nghệ thơng tin trường Đại Học Tài
Chính Marketing. Em xin chân thành cảm ơn thầy Trương Thành Công và các thầy
cô trong khoa công nghệ thông tin đã cung cấp tài liệu, tận tình hướng dẫn và đã tạo
điều kiện cho em tìn hiểu, nghiên cứu và học hỏi những kinh nghiệm trong quá trình
học và làm đồ án này.
Do quy mô đề tài, thời gian và kiến thức cịn hạn chế nên khơng tránh khỏi
những sai sót. Kính mong q thầy cơ đóng góp ý kiến để em củng cố, bỏ sung và
hoàn thiện thêm kiến thức cho bản thân.
0
0
NHẬN XÉT CỦA GIẢNG VIÊN TRƯƠNG THÀNH CÔNG
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
......................................................................................................
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
Ý nghĩa
CNTT
Cơng nghệ thơng tin
ATBT TT
An tồn bảo mật thông tin
0
0
DANH MỤC THUẬT NGỮ ANH – VIỆT
Tiếng Anh
Tiếng Việt
Server
Máy chủ
Resquest
Yêu cầu
0
0
DANH MỤC HÌNH ẢNH
Hình 1. Top 15 quốốc gia trên thêố gi i bớ tấốn
ị cống web nhiêều nhấốt....................................................2
Hình 2. Mố hình CIA..........................................................................................................................5
Hình 3. Mố hình OSI........................................................................................................................12
Hình 4. Tấốn cống t ừchốối d ịch vụ Internet DDoS..............................................................................22
Hình 5. Tấốn cống bằềng SQL Injection...............................................................................................25
Hình 6. Tấốn cống bằềng XSS...............................................................................................................27
Hình 7. OWASP ZAP.........................................................................................................................34
Hình 8. Nhập URL để quét web blogtuoitre của OWASP ZAP..........................................................35
Hình 9. Kêốt quả khi quét blogtuoitre bằềng OWASP ZAP ..................................................................35
Hình 10. Nhập URL để quét web testasp của OWASP ZAP...............................................................36
Hình 11. Kêốt quả khi quét testasp bằềng OWASP ZAP......................................................................36
Hình 12. CyStack..............................................................................................................................38
Hình 13. Đằng ký tài khoản CyStack................................................................................................38
Hình 14. Chức nằng Deep Sacn c ủa CyStack....................................................................................39
Hình 15. Quét trang truyenfull.om bằềng CyStack............................................................................39
Hình 16. Kêốt quả quét truyenfull.com bằềng CyStack.......................................................................40
0
0
MỤC LỤC
Table of Contents
CHƯƠ NG I: GIỚ I THIỆU TỔNG QUAN................................................................................................1
1.
Tổng quan vêề đêề tài...............................................................................................................1
CH ƯƠNG II: C ƠS ỞLÝ THUYẾẾT ...........................................................................................................4
2.
3.
4.
1.1.
Khái niệm:......................................................................................................................4
1.2.
Những yêu cấều an toàn b ảo m ật thống tin:...................................................................5
M tộsốố thu ật ngữ:.................................................................................................................9
2.1.
Mốối đe dọa (threat):......................................................................................................9
2.2.
Một lốỗ hổng (vulnerability):...........................................................................................9
2.3.
M ột cu ộc tấốn cống (atack):.........................................................................................10
2.4.
Chính sách an toàn bảo mật (security policy):.............................................................10
2.5.
C ơchêố an toàn bảo mật (security mechanism):..........................................................10
2.6.
ICMP:...........................................................................................................................11
2.7.
HTTP:...........................................................................................................................11
2.8.
Mố hình OSI:................................................................................................................12
2.9.
Hacker:.........................................................................................................................15
M t ộsốố mốối de dọa:.............................................................................................................16
3.1.
Gian l ận và đánh cằốp (Fraud and Thef).......................................................................16
3.2.
Nội gián (Insider Threat)..............................................................................................16
3.3.
Tin tặc (Malicious Hacker)............................................................................................16
3.4.
Mã độ c (Malicious code hay malicious sofware, malware)........................................16
Website:..............................................................................................................................16
4.1.
Khái niệm Website.......................................................................................................16
4.2.
Thành phấền cơ bản của mộ t website...........................................................................16
4.3.
Chức nằng c ơ bản của website....................................................................................18
4.4.
Các dịch vụ và ứng dụng trên nêền website..................................................................18
4.5.
Vấốn đêề bảo mật của website........................................................................................19
CH ƯƠNG III: KYỸ THU ẬT TẤẾN CÔNG WEBSITE CƠ BẢN VÀ GIẢI PHÁP KHẮẾC PHỤC...........................21
1.
M tộ
sốố kyỗ thu tậtấốn cống website:......................................................................................21
1.1.
Tấốn cống t ừchốối d ịch vụ trên internet DDoS: ..............................................................21
1.2.
Tấốn cống bằềng SQL Injection:.......................................................................................25
1.3.
Tấốn cống bằềng XSS.......................................................................................................26
0
0
1.4.
2.
Tấốn cống bằềng CSRF.....................................................................................................29
Giải pháp ngằn chặn............................................................................................................29
2.1.
Gi iảpháp ngằn ch nặ tấốn cống dịch vụ.........................................................................29
2.2.
Giải pháp ngằn chặn SQL Injection..............................................................................30
2.3.
Gi iảpháp ngằn ch nặ tấốn cống XSS...............................................................................31
2.4.
Gi iảpháp ngằn ch nặ tấốn cống CSRF.............................................................................32
CH ƯƠNG IV: MƠ HÌNH HĨA Đ ƠN GI ẢN NGẮN CH ẶN TẤẾN CÔNG WEBSITE....................................33
1.
2.
Quét lốỗ hổng web bằềng cống cụ OWASP ZAP......................................................................33
1.1.
OWASP ZAP là gì ?........................................................................................................33
1.2.
Thực hiện quét lốỗ hổng web bằềng OWASP ZAP...........................................................33
Quét lốỗ hổng bằềng CyStack Scan ..........................................................................................36
2.1.
CyStack Scan là gì ?......................................................................................................36
2.2.
Thực hiện quét lốỗ hổng web bằềng CyStack..................................................................37
CH ƯƠNG V: KẾẾT LU ẬN.....................................................................................................................41
TÀI LIỆU THAM KHẢO:.....................................................................................................................42
0
0
CHƯƠNG I: GIỚI THIỆU TỔNG QUAN
1. Tổng quan về đề tài
Cuộc Cách mạng công nghiệp 4.0 đang diễn ra nhanh chóng với sự phát triển
mạnh mẽ của khơng gian mạng. Sự kết hợp giữa hệ thống ảo và thực tế đã làm thay
đổi cách thức làm việc của con người, từ đó tạo nên “cuộc cách mạng” để thúc đẩy
phát triển kinh tế - xã hội. Bên cạnh những lợi ích to lớn khơng thể phủ nhận thì
việc kết nối tồn cầu với đặc tính khơng biên giới cũng đặt ra nhiều thách thức rất
lớn đối với an ninh, trật tự của các quốc gia trên thế giới, khiến cho an ninh mạng
đã trở thành vấn đề toàn cầu.
Ngày nay, trong kỷ nguyên kỹ thuật số một vấn đề thách thức lớn đối với các
quốc gia và các doanh nghiệp trong bất kỳ lĩnh vực nào đó là đảm bảo an tồn thơng
tin nhất là an tồn thơng tin mạng. Những cuộc tấn cơng mạng, trong đó có tấn cơng
Website xảy ra ngày càng phổ biến đã làm cho nhiều doanh nghiệp gặp những rủi ro
lớn. Vậy đâu là giải pháp đảm bảo an toàn bảo mật một website hiệu quả?
Hiện nay, ngày càng có nhiều các cuộc tấn cơng website tinh vi có tổ chức với
quy mơ lớn hướng đến các doanh nghiệp và tập đoàn lớn. Bất kỳ trang Web của cá
nhân, doanh nghiệp hay tập đoàn lớn nào cũng đều có nguy cơ bị xâm phạm. Khi
Website có lỗ hổng, hacker dễ dàng xâm nhập, tấn cơng và khai thác đữ liệu khiến
Website bị nhiễm độc gây nguy hiểm không chỉ cho chủ sở hữu trang web mà cho
cả những khách truy cập. Phần lớn các vi phạm bảo mật trang web không phải là để
đánh cắp dữ liệu hoặc phá hoại bố cục trang web,, mà là sử dụng máy chủ của trang
để chuyển tiếp email spam hoặc thiết lập máy chủ web tạm thời, thông thường để
phục vụ các file bất hợp pháp.
Hiện trạng website bị tấn công, đánh cắp thông tin dữ liệu đang diễn ra rất phổ
biến. Các tổ chức an ninh cho biết mỗi ngày có khoảng 30.000 website bị các
hacker tấn công trên thế giới. Theo số liệu thống kê tại Việt Nam năm 2019, cứ mỗi
45 phút trôi qua lại có một website tấn cơng. Trong những năm vừa qua, số vụ tấn
cơng vào các website trên tồn cầu có dấu hiệu tăng cao. Theo Báo cáo an ninh
0
0
website năm 2019 từ CyStask, năm 2019 thế giới đã xảy ra hơn 560.000 vụ tấn
công website. Việt Nam đứng thứ 11 trên thế giới với hơn 9.000 trang web bị tấn
cơng. Điều đó cho thấy tình trạng bảo mật website ở Việt Nam chưa thực sự tốt.
Hình 1. Top 15 quốốc gia trên thêố gi i bớ tấốn
ị cống web nhiêều nhấốt
Vì vậy, website của bạn khơng hề an tồn nếu như khơng có các biện pháp bảo
mật tốt. Với sự phổ biến của Internet, các dữ liệu cần lưu và bảo tồn trên mạng ngày
càng nhiều, nhu cầu bảo mật trang web cũng càng ngày càng được quan tâm. Để
giúp website hoạt động hiệu quả và tránh được những rủi ro như mất dữ liệu, bị
hack, các nhà quản trị mạng cần quan tâm hơn đến các phương pháp bảo mật
website cũng như các công cụ bảo mật trang web hiệu quả. Báo cáo này của tơi sẽ
tìm hiểu kỹ hơn về nguyên nhân cũng như giải pháp an toàn để bảo mật một website
hiệu quả.
2. Phạm vi của đề tài
Vì là đề tài nghiên cứu của sinh viên nên phạm vị nghiên cứu của đề tài chỉ
mang tầm vi mô, giới hạn trong một thời gian ngắn. Cụ thể, đề tài “ Các giải pháp
để đảm bảo an toàn bảo mật một website” tập trung nghiên cứu tìm hiểu về website,
0
0
tình hình an tồn bảo mật thơng tin của website, các mối đe dọa về vấn đề an tồn
thơng tin phổ biến hiện nay như SQL Injection, Local Attack,…nhằm đưa ra giải
pháp an tồn và bảo mật thơng tin cho website.
0
0
CHƯƠNG II: CƠ SỞ LÝ THUYẾT
1. An toàn bảo mật hệ thống thơng tin:
1.1.
Khái niệm:
An tồn và bảo mật thơng tin (Informationsecurity) là q trình bảo vệ tính ní
mật, tính tồn vẹn và tính sẵn có của dữ liệu khỏi việc vơ tình hoặc cố ý sử dụng sai
mục đích.
Dữ liệu (Data) là các giá trị của thông tin định lượng hoặc định tính của các sự
vật, hiện tượng trong cuộc sống. Trong tin học, dữ liệu được dùng như một cách
biểu diễn hình thức hóa của thơng tin về các sự kiện, hiện tượng thích ứng với các
yêu cầu truyền nhận, thể hiện và sử lý bằng máy tính.
Thơng tin (Information) là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mục
đích hiểu rõ hơn sự vật, sự việc, hiện tượng theo một góc độ nhất định.
Hệ thống thông tin (Information System): Một hệ thống thồn tin bao gồm phần
cứng, hệ điều hành và phần mềm ứng dụng hoạt động cùng nhau để thu thập, xử lý
và lưu trữ dữ liệu cho cá nhân và tổ chức.
An tồn hệ thống thơng tin (Information System Security) là tập hợp các hoạt
động bảo vệ hệ thống thông tin và dữ liệu chống lại việc truy cập, sử dụng, chỉnh
sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống.
Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ hệ thống
thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián
đoạn thông tin và hoạt động của hệ thống một cách trái phép.
Tại sao an tồn bảo mật thơng tin là quan trọng?
Tấn cơng an tồn bảo mật thơng tin tác động tiêu cực tới:
-
An tồn thân thể mỗi cá nhân
-
Sự bí mật thơng tin cá nhân và tổ chức
-
Tài sản của cá nhân và tổ chức
0
0
-
Sự phát triển của một tổ chức
-
Nền kinh tế của một quốc gia
-
Tính an tồn của một quốc gia
Vấn đề đảm bảo an tồn cho các hệ thống thơng tin là một vấn đề quan trọng
cần cân nhắc trong suốt q trình thiết kế, thi cơng, vận hành và bảo dưỡng thơng
tin. Có thể hiểu một cách đơn giản, bảo mật thông tin là từ chỉ những cách làm giúp
duy trì sự an tồn, bí mật, tính tồn vẹn và sẵn sàng cho tất cả các thông tin được
lưu trữ.
1.2.
Những u cầu an tồn bảo mật thơng tin:
Đảm bảo được tính bí mật, tính tồn vẹn và tính khả dụng của hệ thống thông
tin khỏi việc truy cập hoặc sửa đổi trái phép thơng tin trong q trình lưu trữ, xử lý
và chuyển tiếp. Tam giác CIA (Confidenttiality, integrity, availability) là khái niệm
cơ bản, cốt lõi của an tồn thơng tin.
Hình 2. Mố hình CIA
0
0
Ba đặc trưng này được liên kết lại xem như là một mơ hình tiêu chuẩn của các
hệ thống thơng tin bảo mật, là thành phần cốt yếu của một hệ thống thông tin bảo
mật và được gọi tắt là mơ hình CIA.
1.2.1. Tính bí mật của thơng tin (Confidentiality):
Tính bí mật của thơng tin là tính giới hạn về đối tương được quyền truy xuất
đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm,
kể cả phần mềm phá hoại như virus, worm, spware,…Thông tin là duy nhất, không
tùy tiện biết, những người phải được cho phép, có quyền truy cập thì mới có thể
xem được thơng tin đó.
Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố không thể tách
rời: sự tồn tại của thông tin và nội dung của thơng tin đó. Đơi khi, tiết lộ sự tồn tại
của thơng tin có ý nghĩa cao hơn tiết lộ nội dung của nó. Ví dụ: chiến lược kinh
doanh bí mật mang tính sống cịn của một công ty đã bị tiết lộ cho một công ty đối
thủ khác. Việc nhận thức được rằng có điều đó tồn tại sẽ quan trong hơn nhiều so
với việc biết cụ thể về nội dung thông tin, chẳng hạn nhưu ai đã tiết lộ, tiết lộ cho
đối thủ nào và tiết lộ những thơng tin gì,...Chính vì thế, trong một số hệ thống xác
thực người dùng như đăng nhập vào hộp thư điện tử hoặc các dịch vụ khác trên
mạng, khi người sử dụng cung cấp một tên người dùng (user-name) sai, thya vì
thơng báo tên người dùng sai thì một số hệ thống sẽ thông báo mật khẩu (password)
sai hoặc “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ).
Dụng ý đằng sau thông báo này là để từu chối việc xác nhận sự tồn tại của tên người
dùng, gây khó khăn cho người muốn đăng nhập hệ thơng một cách bất hợp pháp.
Các cơng cụ chính phục vụ cho tiêu chí "bảo mật":
- Mã hóa (Encryption): Mã hóa là một phương pháp chuyển đổi thơng tin
khiến dữ liệu trở nên không thể đọc được đối với người dùng trái phép bằng cách sử
dụng thuật toán. Sử dụng khóa bí mật (khóa mã hóa) để dữ liệu được chuyển đổi,
chỉ có thể được đọc bằng cách sử dụng một khóa bí mật khác (khóa giải mã).
0
0
- Kiểm soát quyền truy cập (Access Control): Đây là cơng cụ xác định các quy
tắc và chính sách để giới hạn quyền truy cập vào hệ thống hoặc các tài nguyên, dữ
liệu ảo/vật lý. Kiểm soát quyền truy cập bao gồm quá trình người dùng được cấp
quyền truy cập và một số đặc quyền nhất định đối với hệ thống, tài nguyên hoặc
thông tin.
- Xác thực (Authentication): Xác thực là một q trình đảm bảo và xác nhận
danh tính hoặc vai trị của người dùng. Cơng cụ này có thể được thực hiện theo một
số cách khác nhau, nhưng đa số thường dựa trên sự kết hợp với: một thứ gì đó mà
cá nhân sở hữu (như thẻ thơng minh hoặc khóa radio để lưu trữ các khóa bí mật),
một thứ gì đó mà cá nhân biết (như mật khẩu) hoặc một thứ gì đó dùng để nhận
dạng cá nhân (như dấu vân tay).
- Cấp quyền (Authorization): Đây là một cơ chế bảo mật được sử dụng để xác
định quyền hạn (privilege) một người nào đó đối với các tài ngun như các chương
trình máy tính, tệp tin, dịch vụ, dữ liệu và tính năng ứng dụng.
- Bảo mật vậy lý (Physical Security): Đây là các biện pháp được thiết kế để
ngăn chặn sự truy cập trái phép vào các tài sản công nghệ thông tin như cơ sở vật
chất, thiết bị, nhân sự, tài nguyên và các loại tài sản khác nhằm tránh bị hư hại.
1.2.2. Tính tồn vẹn của thông tin (Integrity):
Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự
thay đổi thơng tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị
hoặc phần mềm. Tính tồn vẹn đảm bảo cho thơng tin hồn chỉnh, tồn diện, khơng
thể lấy cắp, đánh mất một phần nào đó, thơng tin khơng bị đánh tráo, những thơng
tin đưa ra đầy đủ, không đươc phép sai lệch hay vi phạm bản quyền. Tính tồn vẹn
được xét trên 2 khía cạnh là tính ngun vẹn của nội dung thơng tin và tính xác thực
của nguồn gốc thơng tin. Sự tồn vẹn về nguồn gốc thơng tin trong một số ngữ cảnh
có ý nghĩa tương đương với sự đảm bảo tính khơng thể chối cãi của hệ thống thơng
tin.
0
0
Ví dụ: một ngân hàng nhận được lệnh thanh tốn của một người tự xưng là
chủ tài khoản vưới đầy đủ những thông tin cần thiết. Nội dung thông tin được bảo
tồn vì ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúng
như người xưng là chủ tài khoản gửi đi). Tuy nhiên, nếu lệnh thanh tốn khơng phải
do chính chủ tài khoản đưa ra mà do một người m-nào khác nhờ biết được thông tin
bí mật về tài khoản đã mạo danh chủ tài khoản để đưa ra, ta nói nguồn gốc của
thơng tin đã khơng được bảo tồn.
Các cơng cụ chính phục vụ cho tiêu chí "tồn vẹn":
- Sao lưu (Backups): Sao lưu là lưu trữ dữ liệu định kỳ. Đây là một quá trình
tạo lập các bản sao của dữ liệu hoặc tệp dữ liệu để sử dụng trong trường hợp khi dữ
liệu gốc hoặc tệp dữ liệu bị mất hoặc bị hủy.
- Tổng kiểm tra (Checksums): Tổng kiểm tra là một giá trị số được sử dụng để
xác minh tính tồn vẹn của tệp hoặc dữ liệu được truyền đi. Nói cách khác, đó là sự
tính tốn của một hàm phản ánh nội dung của tệp thành một giá trị số.
- Mã chỉnh dữ liệu (Data Correcting Codes): Đây là một phương pháp để lưu
trữ dữ liệu theo cách mà những thay đổi nhỏ nhất cũng có thể dễ dàng được phát
hiện và tự động điều chỉnh.
1.2.3. Tính khả dụng của thơng tin (Availability):
Tính khả dụng của thơng tin là tính sẵn sàng của thông tin cho các nhu cầu
truy xuất hợp lệ. Đây là mộ yêu cầu rất quan trọng của hệ thống, bởi vì một hệ
thống tồn tại nhưng khơng sẵn sàng cho sử dụng thì cũng giống như không tồn tại.
Một hệ thống khả dụng là một hệ thống làm việc trơi chảy và hiệu quả, có khả năng
phục hồi nhanh chóng nếu có sự cố xảy ra.
Ví dụ: các thông tin về quản lý nhân sự của một cơng ty được lưu trên máy
tính, được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin bị tiết lộ
hay thay đổi. Tuy nhiên, khi người quản lý cần những thơng tin này thì lại khơn
gtruy xuất được vì lỗi hệ thống. Khi đó, thơng tin hồn tồn khơng sử dụng được và
ta nói tính khả dụng của thông tin không được đảm bảo.
0
0
Các cơng cụ chính phục vụ cho tiêu chí "sẵn có":
- Bảo vệ vật lý (Physical Protections): Có nghĩa là giữ thơng tin có sẵn ngay cả
trong trường hợp phải đối mặt với thách thức về vật chất. Đảm bảo các thông tin
nhạy cảm và công nghệ thông tin quan trọng được lưu trữ trong các khu vực an
tồn.
- Tính tốn dự phịng (Computational Redundancies): Được áp dụng nhằm bảo
vệ máy tính và các thiết bị được lưu trữ, đóng vai trị dự phịng trong trường hợp
xảy ra hỏng hóc.
Một số hướng nghiên cứu đang đưa ra các mơ hình mới cho việc mơ tả các hệ
thống an tồn. Theo đó, mơ hình CIA khơng mơ tả được đầy đủ các yêu cầu an toàn
của hệ thống mà cần phải định nghĩa lại một mơ hình khác với các đặc tính của
thơng tin cần được đảmm bảo như:
+ Tính khả dụng (Availability) là đảm bảo tính sẵn sàng của thơng tin
+ Tính quy trách nhiệm (Accountability) là khả năng truy vết lại các hoạt động
trên hệ thống để quy trách nhiệm cho cá nhân
+ Tính tồn vẹn (Integrity) là ngăn chặn việc sửa đổi trái phép thơng tin
+ Tính xác thực (Authenticity) là khả năng xác thực, liên quan đến bầng chứng
nhận dạng
+ Tính bảo mật (Confidentiality) là ngăn chặn việc tiết lộ thơng tin trái phép
+ Tính chống thối thác (Non – repudiation) là khả năng ngăn chặn việc từ
chối một hành vi đã làm
2. Một số thuật ngữ:
2.1.
Mối đe dọa (threat):
Mối đe dọa đối với hệ thống là các nguy cơ tiềm tàng có thể gây ảnh hưởng xấu
đến các tài sản và tài nguyên lên quan đến hệ thống.
0
0
2.2.
Một lỗ hổng (vulnerability):
Một lỗ hổng của hệ thống là một lỗi hoặc điểm yếu trong hệ thống hoặc mạng
có thể bị lợi dụng để gây ra thiệt hại hoặc cho phép kẻ tấn công thao túng hệ thống
theo một cách nào đó.
2.3.
Một cuộc tấn cơng (attack):
Một cuộc tấn cơng vào hệ thống là một số hành động liên quan đến việc khai
thác một số lỗ hổng để biến mối đe dọa thành hiện thực.
2.4.
Chính sách an tồn bảo mật (security policy):
Chính sách an tồn bảo mật là tài liệu xác định các quy tắc và thủ tục cho tất
cả các cá nhân truy cập và sử dụng tài sản và tài nguyên công nghệ thông tin của tổ
chức.
- Chủ thể Hành vi phải thực hiện/ được phép/ không được phép
- Tài nguyên
- Là cơ sở để xây dựng hạ tầng ATBM TT
- Phục vụ cho quản trị ATBM TT
2.5.
Cơ chế an toàn bảo mật (security mechanism):
Cơ chế an toàn bảo mật là các công cụ và kỹ thuật được sử dụng để triển khai
các chính sách an tồn bảo mật. Bao gồm:
Bảo vệ vật lý (Physical protection)
Mật mã học (Cyptography)
Định danh (Identification)
Xác thực (Authentication)
ủy quyền (Authenrization)
Nhật ký (Logging)
Kiểm toán (Auditting)
0
0
Sao lưu và khôi phục (Backup and Recovery)
Dự phòng (Redunancy)
Giả lập, ngụy trang (Deception)
Gây nhiễu, ngẫu nhiên (Randomness)
2.6.
ICMP:
Internet Control Message Protocol (viết tắt là ICMP), là một giao thức gói
Internet Protocol. Giao thức này được các thiết bị mạng như rouer dùng để gửi đi
các thông báo lỗi chỉ ra một dịch vụ có tồn tại hay khơng, hoặc một địa chỉ host hay
router có tồn tại hay khơng, thơng báo các lỗi có thể xảy ra trong q trình truyền
tin của các gói dữ liệu qua mạng. Chúng còn được sử dụng để thăm dò cũng như
quản lý quá trình hoạt động của mạng Internet.
Tuy nhiên bạn cũng không nên nhầm lẫn ICMP là giao thức truyền tải gửi dữ
liệu giữa các hệ thống với nhau. ICMP cũng có thể được sử dụng để chuyển tiếp các
thông điệp truy vấn. Chúng chỉ được xem như bộ định tuyến. Ngay sau khi người
dùng phát hiện ra lỗi thì ICMP sẽ ngay lập tức tạo và gửi thông báo tới địa chỉ IP
nguồn. Đối với trường hợp gặp các sự cố mạng ngăn chặn việc phân phối các địa
chỉ IP packages hay một gateway không thể nào truy cập Internet được.
Giao thức ICMP không được dùng thường xuyên trong các ứng dụng dành cho
người dùng cuối. Nó chỉ được sử dụng bởi các nhà quản trị mạng với mục đích khắc
phục các kết nối Internet trong các tiện ích chuẩn đốn (diagnostic utilities) gồm
ping và traceroute.
2.7.
HTTP:
HTTP (Hyper Text Tranfer Protocol – giao thức truyền tải siêu văn bản) là một
giao thức ứng dụng được sử dụng thường xuyên nhất trong bộ các giao thức TCP/IP
(gồm một nhóm các giao thức nền tảng Internet).
HTTP hoạt động dựa trên mơ hình Client (máy khách) - Server (máy chủ). Các
máy tính của người dùng sẽ đóng vai trị làm máy khách (Client). Sau một thao tác
0
0
nào đó của người dùng, các máy khách sẽ gửi yêu cầu đến máy chủ (Server) và chờ
đợi câu trả lời từ những máy chủ này.
HTTPS là phiên bản an toàn của HTTP (Hyper Text Tranfer Protocol Secure –
giao thức truyền tải siêu văn bản bảo mật), giao thức mà qua đó dữu liệu được gửi
giữa trình duyệt và trang web bạn đang kết nối.
2.8.
Mơ hình OSI:
Mơ hình OSI (Open system interconnection – Mơ hình kết nối các hệ thống
mở) là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu tượng kỹ
thuật kết nối truyền thơng giữa các máy vi tính và thiết kế giao thức mạng giữa
chúng. Mơ hình này được phát triển thành một phần trong kế hoạch OSI (Open
Systems Interconnection), nó cịn được gọi là Mơ hình bảy tầng của OSI.
Mơ hình OSI được tạo ra với mục đích là cho phép sự tương giao
(interoperability) giữa các hệ máy (platform) đa dạng được cung cấp bởi các nhà
sản xuất khác nhau. Mô hình cho phép tất cả các thành phần của mạng hoạt động
hòa đồng, bất kể thành phần ấy do ai tạo dựng.
Mơ hình OSI gồm có 7 tầng như Hình 3. Mơ hình OSI
Hình 3. Mố hình OSI
0
0
- Tầng 1: Tầng vật lý (Physical Layer) định nghĩa tất cả các đặc tả về điện và
vật lý cho các thiết bị. Trong đó bao gồm bố trí của các chân cắm (pin), các hiệu
điện thế, và các đặc tả về cáp nối (cable). Các thiết bị tầng vật lý bao gồm Hub, bộ
lặp (repeater), thiết bị chuyển đổi tín hiệu (converter), thiết bị tiếp hợp
mạng (network adapter) và thiết bị tiếp hợp kênh máy chủ (Host Bus Adapter) (HBA dùng trong mạng lưu trữ Storage Area Network). Chức năng và dịch vụ căn
bản được thực hiện bởi tầng vật lý bao gồm:
Thiết lập hoặc ngắt mạch kết nối điện (electrical connection) với một môi
trường truyền dẫn phương tiện truyền thơng (transmission medium).
Tham gia vào quy trình mà trong đó các tài ngun truyền thơng được chia sẻ
hiệu quả giữa nhiều người dùng. Chẳng hạn giải quyết tranh chấp tài
nguyên (contention) và điều khiển lưu lượng.
Điều chế (modulation), hoặc biến đổi giữa biểu diễn dữ liệu số (digital data)
của các thiết bị người dùng và các tín hiệu tương ứng được truyền qua kênh truyền
thông (communication channel).
Cáp (bus) SCSI song song hoạt động ở tầng cấp này. Nhiều tiêu chuẩn khác
nhau của Ethernet dành cho tầng vật lý cũng nằm trong tầng này; Ethernet nhập
tầng vật lý với tầng liên kết dữ liệu vào làm một. Điều tương tự cũng xảy ra đối với
các mạng cục bộ như Token ring, FDDI và IEEE 802.11.
- Tầng 2: Tầng liên kết dữ liệu (Data-Link Layer) cung cấp các phương tiện
có tính chức năng và quy trình để truyền dữ liệu giữa các thực thể mạng (truy cập
đường truyền, đưa dữ liệu vào mạng), phát hiện và có thể sửa chữa các lỗi trong
tầng vật lý nếu có. Cách đánh địa chỉ mang tính vật lý, nghĩa là địa chỉ (địa chỉ
MAC) được mã hóa cứng vào trong các thẻ mạng (network card) khi chúng được
sản xuất. Hệ thống xác định địa chỉ này khơng có đẳng cấp (flat scheme). Chú ý: Ví
dụ điển hình nhất là Ethernet. Những ví dụ khác về các giao thức liên kết dữ liệu
(data link protocol) là các giao thức HDLC; ADCCP dành cho các mạng điểm-tớiđiểm hoặc
mạng chuyển
mạch
0
gói (packet-switched
0
networks)
và
giao
thức Aloha cho các mạng cục bộ. Trong các mạng cục bộ theo tiêu chuẩn IEEE 802,
và một số mạng theo tiêu chuẩn khác, chẳng hạn FDDI, tầng liên kết dữ liệu có thể
được chia ra thành 2 tầng con: tầng MAC (Media Access Control - Điều khiển Truy
nhập Đường truyền) và tầng LLC (Logical Link Control - Điều khiển Liên kết
Logic) theo tiêu chuẩn IEEE 802.2.
Tầng liên kết dữ liệu chính là nơi các thiết bị chuyển mạch (switches) hoạt
động. Kết nối chỉ được cung cấp giữa các nút mạng được nối với nhau trong nội bộ
mạng.
- Tầng 3: Tầng mạng (Network Layer) cung cấp các chức năng và quy trình
cho việc truyền các chuỗi dữ liệu có độ dài đa dạng, từ một nguồn tới một đích,
thơng qua một hoặc nhiều mạng, trong khi vẫn duy trì chất lượng dịch vụ (quality of
service) mà tầng giao vận yêu cầu. Tầng mạng thực hiện chức năng định tuyến.
Các thiết bị định tuyến (router) hoạt động tại tầng này - gửi dữ liệu ra khắp mạng
mở rộng, làm cho liên mạng trở nên khả thi (cịn có thiết bị chuyển mạch (switch)
tầng 3, còn gọi là chuyển mạch IP). Đây là một hệ thống định vị địa chỉ lôgic
(logical addressing scheme) – các giá trị được chọn bởi kỹ sư mạng. Hệ thống này
có cấu trúc phả hệ. Ví dụ điển hình của giao thức tầng 3 là giao thức IP.
- Tầng 4: Tầng giao vận (Transport Layer) cung cấp dịch vụ chuyên dụng
chuyển dữ liệu giữa các người dùng tại đầu cuối, nhờ đó các tầng trên khơng phải
quan tâm đến việc cung cấp dịch vụ truyền dữ liệu đáng tin cậy và hiệu quả. Tầng
giao vận kiểm soát độ tin cậy của một kết nối được cho trước. Một số giao thức có
định hướng trạng thái và kết nối (state and connection orientated). Có nghĩa là tầng
giao vận có thể theo dõi các gói tin và truyền lại các gói bị thất bại. Một ví dụ điển
hình của giao thức tầng 4 là TCP. Tầng này là nơi các thơng điệp được chuyển sang
thành các gói tin TCP hoặc UDP. Ở tầng 4 địa chỉ được đánh là address ports, thông
qua address ports để phân biệt được ứng dụng trao đổi.
- Tầng 5: Tầng phiên (Session layer) kiểm sốt các (phiên) hội thoại giữa các
máy tính. Tầng này thiết lập, quản lý và kết thúc các kết nối giữa trình ứng dụng địa
phương và trình ứng dụng ở xa. Tầng này cịn hỗ trợ hoạt động song cơng (duplex)
0
0
hoặc bán song công (half-duplex) hoặc đơn công (Simplex) và thiết lập các quy
trình đánh dấu điểm hồn thành (checkpointing) - giúp việc phục hồi truyền thơng
nhanh hơn khi có lỗi xảy ra, vì điểm đã hồn thành đã được đánh dấu - trì hỗn
(adjournment), kết thúc (termination) và khởi động lại (restart). Mơ hình OSI uỷ
nhiệm cho tầng này trách nhiệm "ngắt mạch nhẹ nhàng" (graceful close) các phiên
giao dịch (một tính chất của giao thức kiểm sốt giao vận TCP) và trách nhiệm
kiểm tra và phục hồi phiên, đây là phần thường không được dùng đến trong bộ giao
thức TCP/IP.
- Tầng 6: Tầng trình diễn (Presentation layer) hoạt động như tầng dữ liệu trên
mạng. Tầng này trên máy tính truyền dữ liệu làm nhiệm vụ dịch dữ liệu được gửi từ
tầng ứng dụng sang địng dạng chung. Và tại máy tính nhận, lại chuyển từ định dạng
chung sang định dạng của tầng ứng dụng. Tầng thể hiện thực hiện các chức năng
sau:
Dịch các mã ký tự từ ASCII sang EBCDIC.
Chuyển đổi dữ liệu, ví dụ từ số interger sang số dấu phảy động.
Nén dữ liệu để giảm lượng dữ liệu truyền trên mạng.
Mã hoá và giải mã dữ liệu để đảm bảo sự bảo mật trên mạng.
- Tầng 7: Tầng ứng dụng (Application layer) là tầng gần với người sử dụng
nhất. Nó cung cấp phương tiện cho người dùng truy nhập các thông tin và dữ liệu
trên mạng thơng qua chương trình ứng dụng. Tầng này là giao diện chính để người
dùng tương tác với chương trình ứng dụng, và qua đó với mạng. Một số ví dụ về các
ứng dụng trong tầng này bao gồm HTTP, Telnet, FTP (giao thức truyền tập tin) và
các giao thức truyền thư điện tử như SMTP, IMAP, X.400 Mail.
2.9.
Hacker:
Hacker (còn gọi là tin tặc) là người hiểu rõ hoạt động của hệ thống máy tính,
mạng máy tính, có thể viết hay chỉnh sưả phần mềm, phần cứng máy tính để làm
thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau. Cơng việc của hacker
bao gồm lập trình, quản trị mạng và bảo mật.
0
0
3. Một số mối de dọa:
3.1.
Gian lận và đánh cắp (Fraud and Theft)
Có thể do nhân viên nội bộ bên trong hoặc bên ngoài, gồm những người dùng
giả mạo hoặc những người dùng có ý đồ xấu.
3.2.
Nội gián (Insider Threat)
Nội gián là những nhân viên trong nội bộ, là mối đe dọa nội bộ đối với một tổ
chức do họ đã quen thuộc với các hệ thống và ứng dụng.
3.3.
Tin tặc (Malicious Hacker)
Tin tặc là một thuật ngữ được sử dụng để mơ tải một cá nhân hoặc một nhóm
sử dụng sự hiểu biết về hệ thống, mạng và lập trình để truy cập bất hợp pháp vào hệ
thống, gây ra thiệt hại hoặc đánh cắp thông tin.
3.4.
Mã độc (Malicious code hay malicious software, malware)
Mã độc là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí
mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông tin, làm gián
đoạn, tổn hại tới tính bí mật, tính tồn vẹn và tính sẵn sàng của máy tính nạn nhân.
4. Website:
4.1.
Khái niệm Website
Website, cịn gọi là trang web hoặc trang mạng, là một tập hợp các trang web
con thường nằm chung trong một tên miền hoặc tên miền phụ. Mỗi trang web con
bao gồm các văn bản, hình ảnh, video,…được sắp xếp có trình tự và theo cấu trúc
của người lập trình viên tạo rat rang web đó. Các ví dụ đáng chú ý là các website
như wikipedia.org, google.com, amazon.com,…
4.2.
Thành phần cơ bản của một website
Một website gồm nhiều webpage (trang con) nhưu đã đề cập phía trên. Đó là
các tập tin dạng html hoặc xhtml, được lưu trữ tại một máy tính có chức năng là
0
0
máy chủ (web server). Thơng tin trên đó có nhiều dạng: văn bản, âm thanh, hình
ảnh, video,...
Các máy tính ở các nơi khác nhau (gọi là máy trạm) sử dụng ứng dụng gọi là
trình duyệt web, thơng qua đường truyền internet để lấy tập tin nêu trên từ máy chủ
về hiển thị lên cho người dùng có thể đọc được.
Hiện nay, để một website có thể vận hành trên mơi trường mạng, chúng bắt
buộc phải có ba thành phần chính:
Domain name – tên miền: Là địa chỉ chính sách của một website, mà bất kỳ
website nào muốn hoạt động đều phải có. Tên miền này chỉ tồn tại một và duy nhất
trên mạng internet. Để truy cập một website, bạn sẽ gõ địa chỉ đó vào thanh địa chỉ
của trình duyệt web và truy cập.
Hosting: là nơi lưu trữ tồn bộ dữ liệu của trang web, từ thơng tin, email, dữ
liệu, hình ảnh,...Đồng thời, đây cũng là nơi diễn ra tất cả các hoạt động trao đổi
thông tin giữa người dùng và đơn vị cung cấp dịch vụ thông qua mạng internet và
các phần mềm hỗ trợ tự động. Nếu khơng có thành phần này, website đó vĩnh viễn
không được xuất hiện trên internet, đến với người tiêu dùng.
Source code: Hay còn gọi là mã nguồn của website. Đó là nội dung, chức
năng hiển thị lên cho người dùng xem, đọc, truy cập. Nội dung, chức năng của
website có những gì là do người lập trình viên viết ra câu lệnh để yêu cầu web
server chạy các câu lệnh đó. Người dùng sẽ khơng thể xem được các câu lệnh mà
người lập trình viết, họ chỉ xem được nội dung do web server hiển thị ra trình duyệt
web.
Để website hiển thị và tương tác với người dùng, chúng sẽ được hiển thị trên
một phầm mềm gọi là “Trình duyệt Web” (một ứng dụng cho phép người dùng xem
và tương tác với các thông tin trên một trang web bất kỳ). Tại đây, các văn bản, hình
ảnh, đoạn phim, đoạn nhạc, trị chơi và các thơng tin khác sẽ được hiển thị ở trên
một trang web của một địa chỉ web trên mạng toàn cầu hoặc mạng nội bộ.
0
0
