Bài giảng Thương mại điện tử (E-Commerce): Bài 7

Bài 7

ọ

ố

M i đe d a an ninh trong TMĐT

ươ

ệ

ạ

ử

Th

ng M i Đi n T

Khái niệm về việc bảo vệ

ố ẻ ấ

ẻ

ộ ố ể

ọ  M t s hi m h a ử ế  Các email g i đ n ấ  Truy xu t trái phép các thông tin s ụ  Thông tin th tín d ng r i vào tay k x u  ........

ữ

ậ

 Hai hình th c th c hi n b o v ầ ầ

ự ệ ệ ả

ệ ệ

 V t Lý b o v các thành ph n h u hình  Logic b o v các thành ph n vô hình

ứ ả ả

Khái niệm về việc bảo vệ

ệ ệ ả

ượ ể ằ ự ả

 Các bi n pháp phòng v và tr đũa ứ ậ (b ng hình th c v t lý hay logic) đ c ệ ậ ằ th c hi n nh m nh n di n, gi m thi u ố hay lo i b các m i đe do

ệ ạ ỏ ạ

Các đặc điểm

 Bí m t Secrecy ả

 B o đ m tính chính xác c a d li u và ngăn

ng a các thông tin riêng t

ữ ệ ủ ư ị ế ộ t l

b ti

 C p nh t trái phép các thông tin ??

ậ ứ

ậ ả ừ

ứ

ị

ờ  T ch i hay đáp ng thông tin không k p th i

ừ ??

ẹ  Toàn v n Integrity ậ  Đáp ng Necessity ố

Bản quyền và sở hữu trí tuệ

 B n quy nquy n tác gi

ả

ạ ng, âm nh c

ượ

ng,..

ả

ộ ố ươ  Văn ch ị  K ch, múa ả  Tranh, hình nh, t ệ ả ẩ  S n ph m đi n nh, nghe nhìn,... ệ  Công nghi p âm thanh ế  Ki n trúc  ...........

ề ề ả ự  M t s lĩnh v c

Bản quyền và sở hữu trí tuệ

 S h u trí tu Intellectual property ưở ề th hi n (vô hình hay h u hình) t

ư ng cũng nh các ưở ừ ng đó

các ý t

ệ

ả

ạ

ờ

ị

trong th i gian h n đ nh

ử ụ

ấ

ữ  U.S. Copyright Act 1976 ề  B o v quy n tác gi  Copyright Clearance Center  C p gi y phép s d ng

ệ ở ữ ả ệ  B o v tác quy n cho các ý t ể ệ

Copyright Clearance Center Home Page

Các từ ngữ thường dùng

 copyright  “copyleft”  shareware  freeware  free software  open source code

ề ủ

ị

ặ ớ ấ ừ ả

ế

 Spam (th rác): ng

ư ậ ỗ

ượ ng

ậ ấ ứ

SPAM ườ ử ụ  Ngày nay ng i s d ng Internet ả ố ph i đ i m t v i r t nhi u r i ro ư nh : virus, l a đ o, b theo dõi (gián ắ ữ ệ ị ệ đi p – spyware), b đánh c p d li u, ủ ở ị b đánh phá website (n u là ch s ữ h u website) v.v.... ể ườ i nh n m i ngày có th ụ ư ế nh n vài, vài ch c, đ n vài trăm th rác, gây ấ ờ m t th i gian, m t tài nguyên (dung l ả ề ờ ch a, th i gian t i v ...)

VIRUS

ấ

ệ ầ ộ ả ng trình máy tính có kh

ỏ năng t

 M c đ nghiêm tr ng c a virus dao đ ng khác

ầ  Xu t hi n l n đ u tiên vào năm 1983. ươ  Virus là m t ch ả ự nhân b n và lan t a. ọ ứ ộ ộ

ườ ủ ế t ra virus, ít i vi

ấ

ủ ậ

ế ố ộ ử ơ ọ

ể ư ỏ ặ ủ ủ nhau tùy vào ch ý c a ng nh t virus cũng chi m tài nguyên trong máy tính và làm t c đ x lý c a máy tính ch m đi, nghiêm tr ng h n, virus có th xóa file, format ữ ạ ổ ứ c ng ho c gây nh ng h h ng khác. l i

ỏ

ệ ử c kia virus ch y u lan t a qua vi c s

VIRUS ướ  Tr ụ d ng chung file, đĩa m m...

ủ ế ề ơ ườ ng Internet, virus có c

ỏ ộ

ộ h i lan t a r ng h n, nhanh h n. ầ ượ ử

 Ngày nay trên môi tr ơ ơ c g i qua email, n d

i các

 Virus đa ph n đ ử

ẩ ướ ễ

ạ

ộ ộ

ệ

ờ

ả

file g i kèm (attachment) và lây nhi m trong m ng n i b các doanh nghi p, làm doanh ệ nghi p ph i t n kém th i gian, chi phí, hi u qu , m t d li u...

ượ

ụ  Cho đ n nay hàng ch c nghìn lo i virus đã đ

ướ

ả

ạ c c tính m i tháng có kho ng 400

ớ ượ ạ

ậ ạ

ỗ c t o ra.

ả ố ấ ữ ệ ế ạ nh n d ng và lo i virus m i đ

Câu hỏi

ệ  Khái ni m sâu máy tính Worm  Tác h i ?ạ

ở ỗ ậ

WORM  Sâu máy tính (worms): sâu máy tính khác v i ớ ch sâu máy tính không thâm nh p vào ệ ố

ụ ự ả virus ậ file mà thâm nh p vào h th ng.  Ví d : sâu m ng (network worm) t nhân b n

 Sâu Internet t

ạ ệ ố trong toàn h th ng m ng. ự

ạ ự ử ả g i chúng qua nhân b n và t ữ ệ ố h th ng Internet thông qua nh ng máy tính ậ ả b o m t kém.

 Sâu email t

ả ủ ữ

ả ự ử g i nh ng b n nhân b n c a ệ ố chúng qua h th ng email.

Câu hỏi

ệ  Khái ni m Trojan  Tác h iạ  Cách lây nhi mễ

TROJAN

ự

ủ

ề

ế

ặ

 Đ t tên theo truy n thuy t con ng a Trojan c a

ươ

ể

ng trình nguy hi m (malware) ườ

ậ

thành Troy ạ ộ  Là m t lo i ch ể c dùng đ thâm nh p vào máy tính mà ng

ế

ượ đ ử ụ s d ng máy tính không hay bi

ể

ặ

ươ

 Trojan có th cài đ t ch

ng trình theo dõi bàn

ể ư ạ ế

ữ

ồ

i h t nh ng ề ử c gõ r i sau đó g i “báo cáo” v

ỉ

ị

ỉ

phím (keystroke logger) đ l u l ượ phím đã đ ướ ộ ị ượ c quy đ nh tr cho m t đ a ch email đ c ủ ủ ủ ị ườ ng là đ a ch email c a ch nhân c a (th Trojan).

TROJAN

ễ

ườ ử ụ

ả

ắ

ậ

ố ẻ

ọ

ữ

ươ

ể ị  Ng i s d ng máy tính b nhi m Trojan có th ẩ ị b đánh c p m t kh u, tên tài kho n, s th tín ụ d ng và nh ng thông tin quan tr ng khác.  Ph

ể c dùng đ cài ớ ộ

ng pháp thông d ng đ ữ

ượ ẫ ườ ử ụ

ườ

ế

ể ế i nh n email

ờ

ậ i và click thì máy tính c a h s t ố

ủ ọ ẽ ự ộ ư

ả ượ

ụ ử Trojan là g i nh ng email ng u nhiên v i n i ế i s d ng nên click vào dung khuy n cáo ng ấ ộ ườ ng link cung c p trong email đ đ n m t đ ộ m t website nào đó. Và n u ng ị tin l đ ng b cài Trojan. Không gi ng nh virus, Trojan không ự t

nhân b n đ

Câu hỏi

ứ ấ ệ  Khái ni m Phishing  Tác h iạ  Hình th c t n công

ổ ứ ợ ụ

ườ

ấ

ườ

ả

i nào c tin và cung c p

ế  N u ng

ả

PHISHING ệ ừ ấ  Xu t hi n t năm 1996 ữ ả ạ  Gi ch c h p pháp d ng nh ng t ị ư nh ngân hàng, d ch v thanh toán ạ ể ử ạ qua m ng... đ g i email hàng lo t ậ ầ yêu c u ng i nh n cung c p thông tin cá nhân và thông tin tín d ng.ụ ấ ẻ ừ ả ẽ thông tin thì k l a đ o s dùng ề ừ ể ấ thông tin đó đ l y ti n t

tài kho n.

i

ỏ

ưở

ậ

ả

i th

PHISHING ặ ừ ả ộ ạ  M t d ng l a đ o hay g p khác là ườ ạ ế ử ữ nh ng email g i hàng lo t đ n ng ậ ố ườ ậ i nh n đã may nh n, tuyên b ng ưở ấ ớ ả ắ ng r t l n, và m n trúng gi i th ộ ố ề ậ ử ườ ầ i nh n g i m t s ti n yêu c u ng ủ ỹ ể nh (vài nghìn dollar M ) đ làm th ệ ụ ng (vài tri u dollar t c nh n gi M ).ỹ

ở

ệ

ạ  Đã có n n nhân

Vi

t Nam.

ầ ệ ề

ộ ữ ẻ ừ ả ạ

ị ụ ữ ư ậ ạ

ể ạ ự

ụ ữ

PHISHING ấ ơ  M t nguy c khác xu t hi n nhi u g n đây là nh ng k l a đ o t o ra nh ng website bán hàng, bán d ch v “y nh th t” trên m ng và ố ư i u hóa chúng trên Google đ “n n nhân” t t ị ấ tìm th y và mua hàng/d ch v trên nh ng website này. ự ế

 Th c t

ọ

ạ ầ ủ ẻ ấ

ậ ượ ẽ ị ụ ị c hàng/d ch v đã

ộ ị

ẻ ả ế ẫ ụ , khi n n nhân đã ch n hàng/d ch v và cung c p đ y đ thông tin th tín d ng, ụ ạ n n nhân s không nh n đ ắ mua mà b đánh c p toàn b thông tin th tín ị ấ ề ụ d ng, d n đ n b m t ti n trong tài kho n.

Các loại khác

 MALWARE  SPYWARE  ADWARE  DEMOWARE  NAGWARE

http://en.wikipedia.org/wiki

Câu hỏi

ị

ườ ạ ả ệ ệ ố ả ị i qu n tr ph i ti n

ệ ằ  Theo anh ch , nh m b o v h th ng ả ế m ng máy tính, ng hành công vi c gì ?

Chính sách bảo mật

ả ụ ể

ả

c th (văn b n) chính sách b o

ả  Ph i mô t m tậ

ị

ả

ạ

ả

ầ

 Tài s n nào c n b o v ? t

i sao? Ai ch u

ệ

ậ ạ

ề

ậ

ặ

ụ

ồ

ệ ậ trách nhi m? các truy c p nào cho phép/ngăn c mấ  An ninh v t lý Physical security  An ninh m ng Network security  Quy n truy c p Access authorizations  Ngăn ch n vi rút Virus protection  Ph c h i thông tin Disaster recovery

Mô tả các thành phần trong chính sách

 Xác th c Authentication

ấ

 Nh ng ai đang truy xu t vào website?

 Quy n truy c p Access Control

ự

ấ

ữ ề ữ  Nh ng ai đ

ậ c phép đăng nh p và truy xu t

 B o mât Secrecy

ạ

c phép xem các thông tin nh y

thông tin trong website ả ượ ữ  Nh ng ai đ ậ ả c m, bí m t

ậ ượ

Mô tả các thành phần trong chính sách

 Toàn v n d li u Data integrity

ữ ệ

c quy n c p nh t thông tin, d li u

 Ai đ ể

ậ ố

ậ  Ki m traTheo dõiTh ng kê (Audit)

ệ ố

ữ

ậ  Nh ng ai đã truy c p vào h th ng? khi

ậ

nào? bao lâu ? ử ụ

 NSD đã s d ng và truy nh p các tài nguyên

nào ?

ẹ ượ ữ ệ ề

Câu hỏi

ậ ả

 Theo anh ch , chính sách b o m t không ữ ế ố t có th d n đ n nh ng tác h i gì trong t ở ữ ề ệ vi c b o v quy n s h u trí tu ?

ị ể ẫ ệ ạ ệ ả

Mối đe dọa với sở hữu trí tuệ

ạ

 M ng Internet : tác nhân lôi kéo tình tr ng ệ ề ả (m i đe d a) v n đ b o v s h u trí tu ả  D dàng thu th p và “tái t o”các thông tin, s n

ệ ở ữ ọ

ề

ị

ủ

ề

ạ

ả ứ  NSD không có ý th c v các qui đ nh b n quy n cũng nh không có ch ý vi ph m

ạ ố ễ ẩ ấ ậ ấ ph m,.. tìm th y trên Internet

The Copyright Website Home Page

Mối đe dọa với sở hữu trí tuệ

 Cybersquatting (b t h p pháp)

ủ

ệ

 Đăng ký 1 tên mi n v i th

ng hi u c a 1

ươ cá nhân hay 1 công ty khác

ủ ể

ươ

ệ

ạ

ọ  Cybersquatters : hy v ng ch nhân các công ty ẽ ả ề ng hi u s tr ti n đ mua l i các URL

hay th này

ạ

ệ

ng hi u

ụ

ừ

ằ

ạ

ủ ươ  Vài Cybersquatters m o danh ch th ố nh m m c đích xuyên t c, l a d i

ấ ợ ớ ề

Câu hỏi

 Máy c a NSD có th b “t n công” b ng

ể ị ấ ủ ằ

ườ các “con đ ng” nào ?

Các mối đe dọa

 Phía máy NSD  Active Content

 Java applets, Active X controls, JavaScript, và

ứ

ệ

 Các ch

ng trình ch a các mã l nh thi hành, mã

VBScript ươ ị

ượ

ố ượ

c nhúng vào các đ i t

ng t

ả ề i v

thông d ch đ ộ ố ộ

ồ ấ

 M t s n i dung active có ý đ x u nhúng vào các

ạ trang web có v vô h i

ẩ

ậ

ả

i tên tài kho n, m t kh u và các ả

ẻ ư ạ  Cookies : l u l thông tin tham kh o khác

Java, Java Applets, và JavaScript

ấ ượ c

ở ể

ữ ậ  Java : ngôn ng l p trình c p cao đ phát tri n b i Sun Microsystems  Mã Java có th ‘nhúng’ vào các thi ạ ộ ể ể ề ể

ủ

ế ị t b ụ gia d ng đ đi u khi n các ho t đ ng c a thi ứ ế ị t b ụ ể ượ ạ  Các ng d ng d ng applets có th đ c

i vả ề

 Đ c l p v i n n ph n c ng và h đi u

nhúng vào trang web và t ứ ớ ề ộ ậ ệ ề ầ

hành

ụ

ọ

Ví d minh h a 1 Java Applet

Sun’s Java Applet Page

Java, Java Applets, và JavaScript

 Java sandbox

ồ

ắ

 Bao g m các qui t c cùng 1 c ch đ các ả

ườ

ạ

ế ể ng hoàn toàn đ m

ả

applet ho t trong 1 môi tr b o an toàn

ượ

ộ

c xác th c tính an toàn ế

ự ướ ơ

bu c ph i ho t đ ng d

i c ch này

ể

 Ch ký đi n t

c nhúng trong applet đ xác

ữ ậ

ư  Các applet ch a đ ả ạ ộ  Signed Java applets ệ ử ượ đ ự nh n tính xác th c

ể

ượ ụ ự ệ ề ọ ng”, còn g i là “đi u ộ ng trình, các thu c ế ệ c thi t

ActiveX Controls ố ượ  ActiveX : là 1 “đ i t ươ ứ khi n” ch a các ch tính, th c hi n các nhi m v đã đ kế

 ActiveX : ch ho t đ ng trong môi tr

ườ ạ ộ ng

ể ề i v , các đi u khi n ActiveX

ộ  M t khi đ ạ ộ ề

ỉ Windows 95, 98,2K,XP,... ượ ả ề c t ươ ư ho t đ ng nh 1 ch ng trình : có toàn ấ quy n truy xu t các tài nguyên trên máy tính

ActiveX Warning Dialog box

ả ệ

ả ồ ọ

ể ự ườ

Hình ảnh,các Plug-ins, và thông tin đính kèm theo E-mail ặ  Kh năng cài đ t các mã l nh trong các ạ nh đ h a gây h i máy tính!! ử ụ ng đ

 Plugins : th

c s d ng đ th c

ệ

ả ố ượ

ớ

ệ

đ i t

ượ hi n các thông tin multimedia (audiovisual clips, animated graphics) ạ ứ  Có kh năng ch a các đo n mã l nh bên trong ấ ụ ng v i m c đích x u

 Các thông tin đính kèm Email có kh năng

ả

ủ ứ ệ ch a các macro h y di t bên trong

Netscape’s Plugins Page Figure 57

Hiểm họa từ các kênh truyền thông

ả

 Secrecy Threats ả  Privacy : b o đ m thông tin riêng t

ị không b

t lế ộ ti

ắ

ạ

ả

 Đánh c p các thông tin nh y c m, các thông

ị

ỉ

ườ

ị ộ

tin cá nhân  Đ a ch IP th

ng b l

ệ khi duy t Web

Hiểm họa từ các kênh truyền thông

 Anonymizer

ấ

ộ ả

ứ

ớ ạ

 Cung c p 1 m c đ b o m t có gi

i h n khi

ậ ậ ử ụ s d ng nh 1 portal truy c p Internet  http://www.anonymizer.com

ệ

ộ

hành đ ng nghe tr m đi n

 T

 Toàn v n thông tin Integrity Threats ộ ự tho i(wiretapping)

ổ ượ

ử ề

ề

ổ ữ ệ  Thay đ i d li u trái phép ụ Ví d thay đ i l

ng ti n g i/ti n rút

ẹ ươ ng t ạ

Anonymizer’s Home Page Figure 58

Hiểm họa từ các kênh truyền thông

ọ ủ

ủ

 Đáp ng yêu c u Necessity Threats  Còn g i là delay/denial threats , DoS  Phá h y quá trình x lý c a MTĐT

ử ử

ậ

ừ ử

ị

ề ừ

ả

ố ế  T ch i ti n trình x lý ấ  X lý r t ch m!!!! ỏ ậ  Xóa b t p tin hay xóa thông tin trong 1 giao ậ d ch/t p tin ể  Chuy n ti n t

tài kho n này sang 1 tài kho n

khác !!!!

ầ ứ

Câu hỏi

ư ộ ị

 Anh ch hãy đ a ra m t vài bi n pháp nh m b o v NSD khi truy c p Internet

ệ ậ ệ ả ằ

ự

 xóa b h t ỏ ế ấ ỳ ườ

ạ An toàn m ng dành cho cá nhân t ả ệ b o v mình ậ  Khi nh n spam  Không click vào b t k đ

ng link nào trong

ử

ừ i nh ng email spam

ở  Không m lên các file g i kèm trong email. ả ờ ữ  Đ ng tr l ả ứ  Ngay c ch c năng “T ch i nh n”

i d ng đ ng

ậ ị ợ ụ ệ ữ ủ ể ườ ả ể

ừ ố i (Unsubscription) cũng đã b l ử g i spam ki m tra tính hi n h u c a tài kho n email,

ươ ấ ớ ng trình ch ng virus m i nh t,

 Cài nh ng ch ậ c p nh t ch

ữ ậ ươ ố ườ ng trình th ng xuyên.

ự

ọ

ả ệ ỏ

ề

ừ ả

ế ấ ả ệ

ị

ụ

ầ

ờ

yêu c u thông tin “nh y c m” qua m ng

ạ ạ ả ả

ế

ổ ứ

ậ

ch c đó,

ứ

ủ website c a chính t ề s://) ẻ

 N u cá nhân có th tín d ng và có mua qua

ụ ỹ ừ

ả

ả ượ

ệ

t kê trong hóa đ n ngân hàng

ệ ự ố ế

ể c li ờ

ạ An toàn m ng dành cho cá nhân t b o v mình ấ ầ  B qua m i email yêu c u cung c p thông tin cá ặ ầ nhân. H u h t t t c đó đ u là trò l a đ o ho c ư có âm m u gián đi p (spyware) hay virus. Ngân hàng hay d ch v thanh toán qua m ng không ạ bao gi ầ Internet. N u có yêu c u thì đó ph i là form ừ nh p thông tin t ớ v i giao th c truy n an toàn (http ế ạ m ng thì ph i ki m tra k t ng kho n chi tiêu ỗ m i tháng đ ử ề ể ị g i v đ k p th i phát hi n s c n u có.

ự

ả ệ

ừ ườ ạ ớ ữ

ạ An toàn m ng dành cho cá nhân t b o v mình  Khi nh n đ

v i

ng ả ấ ẩ ậ ượ ử i l ậ ữ c nh ng email t nh ng file g i kèm thì ph i r t c n th n.

 Trong khi l

ệ ấ ấ t web n u th y xu t hi n nh ng

ướ ề ặ

ị ọ ỹ ễ ọ

ữ ế thông báo đ ngh cài đ t hay thông báo nào khác thì nên đ c k , không d dàng ch n “OK” hay “Yes”.

ự

ả ệ

ạ An toàn m ng dành cho cá nhân t b o v mình

ả

ả ậ ọ ớ

 Sau khi truy c p vào tài kho n email hay tài kho n quan tr ng nào khác thì nh Logoff ể ỏ đ thoát hoàn toàn ra kh i trang web, tránh ườ i khác dùng máy tính đó trong vài phút ng sau có th truy c p vào đ

ượ ể ậ c.

 N u ph i dùng máy tính dùng chung thì ứ

ế ả

ớ không nên dùng ch c năng “Nh Password”.

Câu hỏi

 Anh ch th đ a ra 1 vài bi n pháp b o ụ

ị ử ư ệ ả

ụ ệ v cho máy ph c v

ề ạ ầ

ặ ả ề

Các mối đe dọa với máy phục vụ  Các ph n m m cài đ t càng m nh, càng ỗ i nhi u tính năng thì kh năng phát sinh l càng nhi uề

 Máy ph c v th

ụ ườ ạ ộ ở ấ ng ho t đ ng các c p

ề

ấ

ụ ề

ẻ

ủ ề

ầ ể

ể truy xu t và tính uy n chuy n,m m d o ả

ấ ấ

ấ

ệ  C p th p nh t : cung c p 1 hàng rào b o v

ấ ươ

ạ

ng trình đang ho t

(logic) xung quanh ch đ ngộ

ặ đ c quy n khác nhau  C p cao nh p : cung c p đ y đ các quy n

Các mối đe dọa với máy phục vụ

 Danh sách các th m c c a máy ph c

ư ụ ụ

ủ ệ ấ ệ ụ

ả ệ ị  Qu n tr site c n t

ọ

v xu t hi n trên trình duy t !!!! ầ ắ t tính năng hi n danh ể ằ sách các folder nh m tránh hi m h a ệ ớ ự ả  Truy n/phát các cookies v i s b o v

ề nghiêm ng tặ

ệ

ấ

ụ Danh m c các folder xu t hi n trên trình duy tệ

Các mối đe dọa với máy phục vụ

ữ ọ

ộ ượ ư ữ ụ

 M t trong nh ng thông tin quan tr ng c l u tr trên máy ph c v web : đ thông tin tài kho n NSD và m t kh u

ụ ậ ẩ ả

 Ng

ả ả ị

ườ ệ ả

ọ ị i qu n tr web ph i ch u trách ữ ậ nhi m b o m t nh ng thông tin này và các thông tin quan tr ng khác

Câu hỏi

 Doanh nghi p th c hi n TMĐT c n quan

ệ ự ả ự ệ ầ ệ ư ế b o v nh th nào ??? tâm và t

Bảo vệ phía doanh nghiệp

 Hacking: doanh nghi p nên th

ườ ng

ể

ủ ể ị ủ ệ

ủ

ặ

ệ ạ ủ ữ ườ ớ ệ ạ ộ xuyên ki m tra ho t đ ng c a website ự ố ờ c a mình đ k p th i phát hi n s c ề ệ (website không hi n lên, gõ tên mi n ấ đúng mà không th y website c a mình hi n lên ho c hi n lên nh ng thông tin ạ l ệ ...). V i ba lo i r i ro th ặ ng g p:

ố

ụ

ừ

ườ

 B t n công t

ế

ụ

ị ấ ợ

ị

ầ

ụ

ề

ử ả

qu n lý password

Bảo vệ phía doanh nghiệp ụ ch i ph c v (DoS: Denial of Service): tr ị ệ h p này n u doanh nghi p thuê d ch v host thì doanh ấ nghi p yêu c u nhà cung c p d ch v host x lý. ể ự p tên mi n: doanh nghi p có th t ấ

ụ

ặ

ả

ị ế

ữ ệ

ặ

ề ậ ụ

ấ

ầ ứ

ử

ụ

ả

ứ

ị

ng th c x lý, ph c h i khi ườ ng là nhà cung c p d ch

ị ụ ự ố ả ị

ủ

ỳ

ữ ệ ấ

ấ

ả

ụ ự ố

ể ế

ể

ệ ệ ị ướ  B c ủ c a tên mi n ho c giao cho nhà cung c p d ch v qu n lý. ệ ị  B xâm nh p host ho c d li u trái phép: n u doanh nghi p ệ thuê d ch v host thì doanh nghi p yêu c u nhà cung c p ị ồ ươ d ch v host x lý ph i nêu rõ ph ấ ặ g p s c này. Cách th c thông th ụ v ph i đ nh k backup (sao l u) các file, d li u c a ị website, và nhà cung c p d ch v ph i có ít nh t hai host cùng lúc đ n u host này có s c thì chuy n sang host kia.

ế

Bảo vệ phía doanh nghiệp ệ  T b o v password

ọ ả ự ả ữ

ớ ấ ả

ạ ụ ử ả ị ả

ạ ả

ế

ữ t. Khi nhân viên n m tài

ổ

ả ệ : n u doanh nghi p có nh ng tài kho n quan tr ng trên m ng (tài kho n v i nhà cung c p d ch v x lý thanh toán qua m ng, tài kho n qu n lý ề ả tên mi n, tài kho n qu n lý host...) thì càng ủ ườ t password c a nh ng tài i bi ít ng ố ả ắ kho n này càng t ỉ ệ ả kho n này ngh vi c thì nên thay đ i ủ password c a tài kho n.

Bảo vệ phía doanh nghiệp

ệ

ạ

 An toàn m ng n i b

ệ

ử ụ

ị

ộ

ưở

ả

ố ễ ộ ộ ị ậ ng, gây h u qu gián

ộ ạ ạ ộ

ạ

ộ ộ : n u doanh nghi p có m ng ạ ế ả ượ ộ ộ ạ ộ ộ c n i b thì an toàn trong m ng n i b cũng ph i đ ạ ị ư l u ý. Doanh nghi p nên có quy đ nh s d ng m ng ộ ộ n i b , quy đ nh an toàn, phòng ch ng virus v.v... Vì ạ ế n u m t máy con trong m ng n i b b nhi m virus thì toàn b m ng s b nh h đo n ho t đ ng, m t d li u v.v...

ọ

ẽ ị ả ấ ữ ệ ữ ệ  An toàn d li u, thông tin ầ ạ

ữ ề ặ ư

ụ

ả

: nh ng thông tin quan ẻ ườ i thì không tr ng không c n chia s cho nhi u ng ộ ộ ư ữ nên l u trên m ng n i b , ho c l u trong nh ng th ệ ả m c có password b o v , nên có b n backup (sao ư l u) l u trên đĩa CD v.v...

Các mối đe dọa với CSDL

 Các thông in riêng t : gây nh ng thi

ị ế ể ị ế ư t , có giá tr n u b ti ắ ệ ạ t h i không th bù đ p

 B o m t th c hi n thông qua quy n h n

ề ạ ữ ộ l cho công ty ự ậ

ệ ả ử ụ s d ng qui đ nh ề ị ề ầ

ậ ủ ự ả ậ

ả  Nhi u ph n m m CSDL không có tính b o m t cao và phó thác vào s b o m t c a website

Oracle Security Features Page

Các mối đe dọa khác

ế

ử ụ

ọ ừ Common Gateway

ọ

ườ

ươ

ố ng l u trú nhi u n i

 Các ch

ng trình CGI th ấ

ế

ấ

ầ

ệ

ể

ươ ng ề ẩ ữ trình CGIs cũng là nh ng m i đe d a ti m n ơ ề trên Website và r t khó theo dõi , l n d u v t đ phát hi n các sai sót

ạ ộ

 CGI scripts không ho t đ ng nh JavaScript

ớ ơ

ế (v i c ch sandbox)

ố  Các m i đe d a t Interface (CGI)  N u không s d ng đúng cách, các ch

ồ các ch ng trình bao g m:

ươ ạ ộ ng trình ho t đ ng trên server ộ ệ ạ

Các mối đe dọa khác ọ ừ  Các đe d a t ươ  Các ch ỗ  L i tràn b đ m(Buffer overruns)  Gây tình tr ng “Runaway code segments”

 Sâu Internet (Internet Worm) là 1 hình thái c a ủ

runaway code segment

ấ

ừ

ấ ợ

ạ

ậ

 T n công t

các đo n mã xâm nh p b t h p

ạ

ượ

ụ

ể

ế

c xác

pháp t o tình tr ng”Buffer overflow” : chúng tìm ề cách chi m d ng các đi u khi n đã đ th cự

ạ

ấ

T n công d ng Buffer Overflow

Computer Emergency Response Team (CERT)

ệ ặ ạ ị

ề ấ

 G i các c nh báo (

 Đ t t i Carnegie Mellon University ả ệ  Ch u trách nhi m theo dõi, phát hi n, c nh báo,... các v n đ an toàn , an ninh trên m ngạ ử ồ

ả

CERT alerts) đ n c ng ọ ế ả ề ố ộ ậ đ ng Internet v các m i đe d a b o m t

CERT Alerts

Một vài đề nghị

ệ

ữ

ụ

ế ư  Thuê d ch v hosting (l u tr web), nhà cung c p

ị

ề ệ

ườ

ệ

ấ ng

 N u là doanh nghi p ị ụ ẽ ạ

ọ

ủ

ả

d ch v s ch u trách nhi m v vi c tăng c an toàn m ng, an toàn thông tin cho h , và có nghĩa là cho c website c a ta.

ệ ố ụ

ạ i

ử ụ

ị ả

ự

ệ

ạ

ộ

ể ả

ử

ạ

ả ậ  Sau khi login (đăng nh p) vào h th ng qu n lý ấ website (do nhà cung c p d ch v bàn giao l cho b n s d ng), luôn ph i th c hi n đ ng tác ả ượ ả logout (thoát) đ đ m b o các c a ngõ ph i đ khóa l

i ngay sau khi thoát ra.

Một vài đề nghị

 N u là ng

ườ

ệ ố

ử ụ

ộ

ữ

 Không m nh ng email có file g i kèm

ừ

ậ ườ ử

ươ

ủ

ậ

ả

ể ừ

máy tính công c ng. ử ở ạ ẻ ườ ử i g i có v nh xa l (attachment) mà ng ữ Th m chí đ ng tin nh ng email mang tên ự ng t i g i là Microsoft, Yahoo hay t ng ủ ể ở b i vì đây có th là th thu t gi danh c a hacker đ l a .

i mua ậ ế  Không truy c p vào h th ng khi s d ng