TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI KHOA CƠNG NGHỆ THƠNG TIN ********** ******* BÁO CÁO TÌM HIỂU ĐỀ TÀI MÔN AN NINH MẠNG Đề tài: Nghiên cứu an ninh mạng phương thức công ứng dụng Web Giảng viên hướng dẫn: Lê Thanh Tấn Lớp: 71DCTM22  Nhóm 13 : Nguyễn Bá Chí Hiếu   Nguyễn Xuân Hải   Nguyễn Sỹ Tuấn Dũng MỤC LỤC Lời nói đầu I An Ninh Mạng gì? 1.1 Khái quát an ninh mạng 1.2 Nguyên tắc để bảo vệ an ninh mạng 1.3 Các biện pháp bảo vệ an ninh mạng 1.4 Các hành vi bị cấm an ninh mạng 1.5 Xử lý vi phạm an ninh mạng .6 II Kỹ thuật công qua ứng dụng Website .6 Cross-Site Scripng (XSS) .6 SQL Injecton XXE  Từ chối dịch vụ phân án (DDoS) Phần mềm độc hại  2.2 Làm thế để bảo vệ chống lại công ứng dụng web?  Tài liệu tham khảo .10 Lời nói đầu Thế kỉ 21 đến đem theo làm gió cơng nghệ thơng tin mạng công nghệ 4.0 dần đổ vào Việt Nam Trong điều kiện xã hội ngày phát triển theo hướng cơng nghiệp hóa-hiện đại hóa, doanh nghiệp, tổ chức dần chuyển hướng sang ứng dụng công nghệ cao vào sản xuất bảo mật thơng tin Cùng với phát triển rộ kẻ gian đánh cắp thông tin liệu hệ thống, gọi tin tặc hacker, gây rủi ro lớn công việc bảo mật thông tin tài liệu quan trọng doanh nghiệp, người dùng Trong số loại hình hệ thống thơng tin phục vụ người dân, doanh nghiệp bị ảnh hưởng nhiều Đây hệ thống trực tiếp hỗ trợ cung cấp dịch vụ trực tuyền, bao gồm công nghệ dịch vụ trực tuyến dịch vụ trực tuyến khác lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục lĩnh vực chuyên ngành khác, đề tài thảo luận tiểu luận tơi Trong chủ đề này, tơi trình bày tìm hiểu hiểu biết hạn chế, thách thức giải pháp khả thi cho hệ thống thông tin phục vụ người dân doanh nghiệp, bên cạnh bàn vai trị lực lượng công an việc nâng cao bảo mật hệ thống I An Ninh Mạng gì? I.1 Khái quát an ninh mạng An ninh mạng đảm bảo hoạt động không gian mạng không gây hại đến quốc gia, trật tự, xã hội, quyền lợi ích quan, tổ chức, cá nhân Bảo vệ an ninh mạng phòng ngừa, phát ngăn chặn, xử lý hành vi xâm phạm an ninh mạng An ninh máy tính: Là tập hợp an ninh mạng Loại bảo mật sử dụng  phần cứng phần mềm để bảo vệ liệu gửi từ máy tính cá nhân thiết bị khác đến hệ thống mạng lưới thơng tin An ninh máy tính thực chức bảo vệ sở hạ tầng công nghệ thông tin chống lại liệu bị chặn,  bị thay đổi đánh cắp tội phạm mạng   1.2 Nguyên tắc để bảo vệ an ninh mạng   Theo quy định Luật An ninh mạng năm 2018 quy định việc bảo vệ an ninh mạng  phải tuân thủ năm quy tắc sau: Thứ nhất: tuân thủ Hiến pháp pháp luật; bảo đảm lợi ích Nhà nước, quyền lợi ích hợp pháp quan, tổ chức, cá nhân; Thứ hai: đặt lãnh đạo Đảng Cộng sản Việt Nam, sựquản lý thống Nhà nước; huy động sức mạnh tổng hợp hệ thống trị tồn dân tộc; phát huy vai trò nòng cốt lực lượng chuyên trách bảo vệ an ninh mạng; Thứ ba: kết hợp chặt chẽ nhiệm vụ bảo vệ an ninh mạng, bảo vệ hệ thống thông tin quan trọng an ninh quốc gia với nhiệm vụ phát triển kinh tế - xã hội, bảo đảm quyền người, quyền công dân, tạo điều kiện cho quan, tổ chức, cá nhân hoạt động không gian mạng; nguy đe dọa an ninh mạng; Thứ năm: triển khai hoạt động bảo vệ an ninh mạng sở hạ tầng không gian mạng quốc gia; áp dụng biện pháp bảo vệ hệ thống thông tin quan trọng an ninh quốc gia      1.3 Các biện pháp bảo vệ an ninh mạng  Thứ tư: chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại hoạt động sử dụng không gian mạng xâm phạm an ninh quốc gia, trật tự, an tồn xã hội, quyền lợi ích hợp pháp quan, tổ chức, cá nhân; sẵn sàng ngăn chặn Luật quy định chi tiết, cụ thể biện pháp bảo vệ an ninh mạng Đây biện pháp hành chính, kỹ thuật chung, vừa bảo vệ an ninh quốc gia, trật tự, an toàn xã hội vừa bảo vệ  bao gồm: = Thẩm định an ninh mạng; = Đánh giá điều kiện an ninh mạng; = Kiểm tra an ninh mạng; = Giám sát an ninh mạng; = Ứng phó, khắc phục cố an ninh mạng; = Đấu tranh, bảo vệ an ninh mạng; = Sử dụng mật mã để bảo vệ thông tin mạng;   Ngăn chặn, yêu cầu tạm ngừng, ngừng cung cấp thông tin mạng; đình chỉ, tạm đình hoạt động thiết lập, cung cấp sử dụng mạng viễn thông, mạng internet, sản xuất sử dụng thiết bị phát, thu phát sóng vơ tuyến theo quy định pháp luật;   Yêu cầu xóa bỏ, truy cập xóa bỏ thông tin trái pháp luật thông tin quốc gia, trật tự, an tồn xã hội, quyền lợi ích hợp pháp quan, tổ chức, cá nhân không gian mạng 1.4Các hành vi bị cấm an ninh mạng   Kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; thông tin có nội dung làm nhục, vu khống người khác; thơng tin có nội dung xâm phạm trật tự quản lý kinh tế; Chiếm đoạt tài sản; tổ chức đánh bạc, đánh bạc qua mạng internet   Những hành vi tổ chức, hoạt động, cấu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử giới, phân biệt chủng tộc; Thông tin sai thật gây hoang mang Nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động quan nhà nước người thi hành công vụ, xâm phạm quyền lợi ích hợp pháp quan, tổ chức, cá nhân khác ….sẽ bị xử lý nghiêm   Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy, tội ác; phá hoại phong, mỹ tục dân tộc, đạo đức xã hội, sức khỏe cộng đồng; Xúi giục, lơi kéo, kích động người khác phạm tội   Thực công mạng, khủng bố mạng, gián điệp mạng, tội phạm mạng; gây cố, công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt  phá hoại hệ thống thông tin quan trọng an ninh quốc gia   Thực công mạng, khủng bố mạng, gián điệp mạng, tội phạm mạng; gây cố, công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt  phá hoại hệ thống thông tin quan trọng an ninh quốc gia   Sản xuất, đưa vào sử dụng công cụ, phương tiện, phần mềm có hành vi cản trở, gây rối loạn hoạt động mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, phương tiện điện tử; phát tán chương trình tin học gây hại cho hoạt động mạng viễn thơng, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý điều khiển thông tin, phương tiện điện tử; xâm nhập trái phép vào mạng viễn thơng, mạng máy tính, hệ thống thông tin, hệ thống xử lý điều khiển thông tin, sở liệu, phương tiện điện tử người khác   Chống lại cản trở hoạt động lực lượng bảo vệ an ninh mạng; công, vơ hiệu hóa trái pháp luật làm tác dụng biện pháp bảo vệ an ninh mạng   Lợi dụng lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền lợi ích hợp pháp quan, tổ chức, cá nhân để trục lợi 1.5 Xử lý vi phạm an ninh mạng   Bên cạnh việc quy định hành vi bị cấm luật an ninh mạng có quy định xử phạt vi phạm an ninh mang tùy thuộc vào mức độ việc vi phạm bị xử phạt hành truy cứu trách nhiệm hình sự;   Thời hiệu xử phạt vi phạm hành lĩnh vực an ninh mạng 01 năm, trừ trường hợp vi phạm hành sản xuất, mua bán, nhập khẩu, cung cấp, khai thác, xuất sản phẩm, dịch vụ an ninh mạng, thời hiệu xử phạt vi phạm hành 02 năm Hình thức xử phạt, biện pháp khắc phục hậu quả: Có thể thấy hành vi vi phạm hành lĩnh vực an ninh mạng, tổ chức, cá nhân phải chịu hình thức xử phạt cảnh cáo phạt tiền II Kỹ thuật công qua ứng dụng Website   2.1 Những hình thức cơng bảo mật ứng dụng Web phổ biến nhất  Cross-Site Scripting (XSS) Theo Precise Security, Cross-Site Scripting (XSS) công mạng phổ biến chiếm khoảng 40% tổng số công XSS nhắm mục tiêu người dùng trang web thay ứng dụng web Hacker chèn đoạn mã code vào trang web có lỗ hổng bảo mật, sau mã code thực thi khách truy cập trang web Mã xâm phạm tài khoản người dùng sửa đổi nội dung trang web để lừa người dùng cung cấp thông tin cá nhân SQL Injection SQL injection công ứng dụng web phổ biến thập kỷ qua Trong công SQL injection, hacker đẩy lệnh SQL tới máy chủ web để truy cập, sửa đổi lấy cắp liệu lưu trữ máy chủ Những kẻ cơng xâm phạm web form, cookie HTTP post máy chủ “lừa” chúng đẩy mã độc vào trình duyệt người dùng Trình duyệt tự động thực thi mã độc coi mã đến từ nguồn đáng tin cậy Lúc này, kẻ cơng truy cập trình duyệt người dùng tiến hành thu thập thông tin nhạy cảm họ XXE  XXE (hay XML external entity), lỗ hổng bảo mật web cho phép kẻ cơng can thiệp vào q trình xử lý liệu XML ứng dụng Trong công này, hacker truy cập tệp filesystem máy chủ ứng dụng tương tác với hệ thống backend hệ thống bên mà thân ứng dụng truy cập Trong số trường hợp, kẻ cơng leo thang công XXE để xâm phạm máy chủ bên sở hạ tầng backend khác, cách tận dụng lỗ hổng XXE để thực cơng giả mạo u cầu phía máy chủ (SSRF) Từ chối dịch vụ phân tán (DDoS) Từ chối dịch vụ phân tán (DDoS) công làm phá vỡ lưu lượng truy cập bình thường máy chủ, dịch vụ mạng nhằm mục đích làm tắc nghẽn hệ thống khiến ứng dụng trang web bị ngoại tuyến tạm thời vĩnh viễn DDoS thường sử dụng làm bình phong cho công độc hại khác, tin tặc đánh lạc hướng hệ thống bảo mật dễ dàng khai thác lỗ hổng Khảo sát Kaspersky Lab cho  biết, cơng DDoS gây thiệt hại trung bình cho doanh nghiệp nhỏ 123.000 USD 2,3 triệu USD cho doanh nghiệp lớn Phần mềm độc hại Phần mềm độc hại thuật ngữ chung dùng để phần mềm/chương trình độc hại mà kẻ cơng dùng để khai thác ứng dụng phục vụ lợi ích Phần mềm độc hại có nhiều loại khác ransomware, spyware, Trojan, worm virus Phần mềm độc hại sử dụng kỹ thuật để lừa người dùng, thiết bị biện pháp kiểm soát bảo mật cài đặt chương trình độc hại 2.2 Làm để bảo vệ chống lại công ứng dụng web? Đối mặt với mối đe dọa trên, việc tăng cường bảo mật cho ứng dụng web mức độ cao yêu cầu cần thiết cấp bách Tuy nhiên, nhiệm vụ không dễ dàng  bởi:   Tường lửa SSL không bảo vệ chống lại cơng ứng dụng web, đơn giản quyền truy cập vào trang web phải public Tất hệ thống sở liệu đại (ví dụ: Microsoft SQL Server, Oracle MySQL) truy cập thơng qua cổng cụ thể (ví dụ: cổng 80 443) thử kết nối trực tiếp đến sở liệu mà bỏ qua chế bảo mật hệ điều hành sử dụng cách hiệu Các cổng mở phép giao tiếp với lưu lượng truy cập người dùng thật tạo thành lỗ hổng lớn Các ứng dụng web thường có quyền truy cập trực tiếp vào liệu backend sở liệu khách hàng đó, kiểm sốt liệu có giá trị khó bảo mật nhiều  Những người khơng có quyền truy cập có số dạng tập lệnh cho phép thu thập truyền liệu Nếu kẻ công nhận thức điểm yếu tập lệnh vậy, chúng dễ dàng định tuyến lại lưu lượng truy cập khơng chủ ý đến vị trí khác thu thập thông tin cá nhân cách bất hợp pháp    Việc kiểm tra sửa lỗi bảo mật mã nguồn ứng dụng địi hỏi phải có đội ngũ nhân viên chuyên môn phụ trách riêng biệt, tạo thêm gánh nặng nhân tài Kiểm tra lỗi thủ công công cụ tự động khơng thể rà sốt hết lỗ hổng Các trang web ứng dụng web phải hoạt động 24/7 để cung cấp dịch vụ cần thiết cho khách hàng, nhân viên bên liên quan khác Tài liệu tham khảo Giáo trình an ninh mạng máy tính UTT https://bizflycloud.vn/tin-tuc/top-10-cuoc-tan-cong-ung-dung-web pho-bien-va-giai-phap-tang-cuong-bao-mat-hieu-qua-cho-doanhnghiep-20221229161751299.htm https://aws.amazon.com/vi/what-is/cybersecurity/ https://cand.com.vn/Cong-nghe/