Trang 18 Chương 1 Tìm hiểu về các vấn đề an tồn bảo mật thơng tinVì những lí do trên, em tin rằng đề tài “Tìm hiểu về các vấn đề an tồn bảomật thơng tin” sẽ cung cấp các kiến thức cần th
CƠ SỞ LÝ THUYẾT
Tổng quan về an toàn bảo mật thông tin
2.1.1 Khái niệm an toàn thông tin
An toàn thông tin bao gồm các hoạt động bảo vệ hệ thống thông tin và dữ liệu khỏi việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin.
An toàn thông tin là cần thiết để tránh tổ chức và doanh nghiệp trở thành nạn nhân của các vụ tấn công.
Mục đích chính của an toàn thông tin là bảo vệ tài nguyên hệ thống và đảm bảo tính riêng tư.
Phân loại bảo vệ an toàn thông tin
Bảo vệ thông tin về mặt vật lý
Bảo vệ thông tin trước các phần mềm độc hại
Bảo vệ thông tin trước các trường hợp tấn công lỗ hổng bảo mật
2.1.2 Một số thuật ngữ trong an toàn thông tin
Mối đe dọa (threat): Là các nguy cơ tiềm tàng có thể gây ảnh hưởng xấu đến các tài sản và tài nguyên liên quan đến hệ thống Ví dụ: Sử dụng các phần mềm bẻ khóa (crack) mang lại nhiều nguy cơ nguy hiểm cho thiết bị và thông tin trên thiết bị
Lỗ hổng (vulnerability): Là một lỗi hoặc điểm yếu trong hệ thống hoặc mạng có thể bị lợi dụng để gây ra thiệt hại hoặc cho phép kẻ tấn công thao túng hệ thống theo một cách nào đó Ví dụ: SQL Injection là một trong những thuật ngữ phổ biến trong giới bảo mật để tìm ra lỗ hổng truy cập được vào một phần hoặc toàn bộ cơ sở dữ liệu Từ đó có thể đánh cắp thông tin hoặc tìm ra thông tin đăng nhập vào hệ thống.
Tấn công vào hệ thống (attack): Là một số hành động liên quan đến việc khai thác một số lỗ hổng để biến mối đe dọa thành hiện thực Ví dụ: Tấn
Trang 18 công Malware là một trong những hình thức tấn công qua mạng phổ biến nhất hiện nay Malware bao gồm:
+ Spyware (phần mềm gián điệp)
+ Ransomware (mã độc tống tiền)
+ Worm (phần mềm độc hại lây lan với tốc độ nhanh)
Malware sẽ gây ra những hậu quả nghiêm trọng:
+ Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng (Ransomware).
+ Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng.
+ Đánh cắp dữ liệu (Spyware).
+ Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt động.
Cơ chế an toàn bảo mật (security mechanism): Là các công cụ và kỹ thuật được sử dụng để triển khai các chính sách an toàn bảo mật Bao gồm:
+ Bảo vệ vật lý (Physical protection)
+ Sao lưu và khôi phục (Backup and Recovery)
+ Giả lập, ngụy trang (Deception)
+ Gây nhiễu ngẫu nhiên (randomness)
Mô hình CIA (Confidentiality, Integrity, Availability): Là một khái niệm cơ bản trong lĩnh vực an toàn bảo mật thông tin Mô hình này giúp xác định và duy trì các yếu tố chính của an toàn thông tin Mô hình CIA cơ bản có 3 đặc tính, về sau được mở rộng thành 6 đặc tính, gồm
+ Tính bí mật (Confidentiality): Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính…) được cấp phép.
+ Tính toàn vẹn (Integrity): Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa đẩy đủ. + Tính sẵn sàng (Availability): Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn Ví dụ: nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%
+ Tính xác thực (Authenticity): khả năng xác thực, liên quan đến bằng chứng nhận dạng
+ Tính cấp quyền (Authorization): là khả năng cấp quyền cho cá nhân thực hiện chức năng trên hệ thống
+ Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm
Lịch sử an toàn bảo mật thông tin
Máy tính điện tử số ENIMAC đã được thiết kế và ra mắt bởi Giáo sư Mauchly và học trò Eckert tại Đại học Pennsylvania từ năm 1943 và hoàn thành vào năm 1946 Máy tính này có kích thước lớn, dài 20 mét, cao 2,8 mét và rộng vài mét, và có khả năng thực hiện 5.000 phép toán cộng trong một giây Trong giai đoạn này, lịch sử an toàn thông tin bắt đầu với khái niệm an toàn máy tính, và đã xuất hiện nhiều qui trình, phương pháp và cấp độ để đảm bảo an toàn cho thiết bị và bảo mật dữ liệu, tuy nhiên, cấp độ này vẫn còn ở mức độ sơ khai.
Thập niên 1960 là thời kỳ căng thẳng địa chính trị và xung đột giữa Hoa Kỳ và Liên Xô Trong bối cảnh đó, vai trò của thông tin và các hoạt động gián điệp, chạy đua vũ trang đòi hỏi biện pháp an toàn và bảo mật cao hơn ARPA, cơ quan
Hình 2 1: ENIMAC nghiên cứu tiên tiến của Bộ Quốc phòng Mỹ, đã bắt đầu kiểm tra hệ thống liên lạc nối mạng dự phòng để hỗ trợ trao đổi thông tin quân đội Dự án ARPANET do
Larry Roberts phát triển đã được coi là nguồn gốc của Internet Bộ Quốc phòng Hoa
Kỳ là cơ quan đầu tiên sử dụng công nghệ chuyển mạch gói và là cha đẻ của mạng lưới Internet toàn cầu ngày nay
Thập niên 1970 và 1980 chứng kiến sự phổ biến và sử dụng rộng rãi hơn của ARPANET, nhưng cũng đồng nghĩa với việc tăng cường nguy cơ lạm dụng. Robert M Metcalfe đã chỉ ra các vấn đề bảo mật tồn tại trong ARPANET Số lượng máy chủ và người dùng ARPANET tăng nhanh, dẫn đến việc gia tăng các vi phạm an toàn máy tính và gây ra các vấn đề bảo mật mạng cấp bách Báo cáo của RAND Corporation vào năm 1970 đã định rõ các thủ tục kiểm soát và cơ chế cần thiết để bảo vệ hệ thống xử lý dữ liệu máy tính Bảo mật máy tính đã mở rộng để bao gồm bảo vệ dữ liệu, hạn chế truy cập trái phép và sự tham gia của nhân sự từ nhiều cấp bậc trong tổ chức Hệ thống MULTICS đã tích hợp bảo mật vào chức năng cốt lõi của nó, trong khi UNIX không có tính năng bảo mật tương tự Đầu những năm 1980, mạng máy tính, hệ thống xử lý dữ liệu phân tán
Hình 2 2: Dự án ARPANET và khả năng chia sẻ dữ liệu đã trở thành các vấn đề quan trọng khi máy tính cá nhân PC được kết nối với máy tính lớn Giao thức TCP và IP đã được phát triển để sử dụng trên ARPANET, DNS cũng được phát triển và ISP đầu tiên (The World) đã cho phép người dùng gia đình truy cập Internet Trong thập kỷ 1980, các đạo luật được đưa ra để định nghĩa an toàn máy tính và thông tin, cũng như trách nhiệm và hình phạt đi kèm Vào năm 1988, DARPA đã thành lập nhóm CERT để đối phó với vấn đề an ninh mạng.
Trong thập kỷ 1990, Internet trở nên phổ biến nhưng an toàn thông tin chưa được ưu tiên Giao thức bảo mật IPSEC được phát triển để đảm bảo an toàn trên mạng Tuy nhiên, an toàn vật lý và trung tâm dữ liệu không còn hiệu quả Các công ty lớn bắt đầu tích hợp bảo mật và sản phẩm chống virus trở nên phổ biến.
Từ năm 2000 đến nay, Internet đã kết nối hàng triệu mạng máy tính nhưng cũng tạo ra những mối đe dọa về an toàn thông tin Nhận thức về nhu cầu bảo vệ thông tin ngày càng tăng, đặc biệt trong lĩnh vực quốc phòng Cuộc tấn công mạng ngày càng phổ biến đã tạo ra sự nhận thức về tầm quan trọng của bảo vệ hệ thống máy tính và thông tin cá nhân.
Hình 2 3: Giao thức bảo mật IPSEC
An toàn bảo mật thông tin trên các hệ điều hành và máy tính cá nhân .11
Hệ điều hành (tiếng Anh: Operating System - viết tắt: OS) là một phần mềm hệ thống dùng để điều hành, quản lý toàn bộ tất cả thành phần (bao gồm cả phần cứng và phần mềm) của thiết bị điện tử, có vai trò trung gian trong việc giao tiếp giữa người sử dụng và thiết bị
Mục tiêu của các phương pháp an toàn bảo mật thông tin hệ điều hành: phải thỏa mãn 3 yếu tố sau:
Tính bảo mật: giới hạn các đối tượng có thể được truy cập
Tính toàn vẹn: hạn chế việc ghi, xóa lên các đối tượng
Tính khả dụng: hạn chế các tài nguyên mà các chủ thể có thể sử dụng
2.3.2 Kiểm soát truy cập trong hệ điều hành
Hình 2 4: Hệ điều hành Windows
Khái niệm: Kiểm soát truy cập là quá trình mà trong đó người dùng được nhận dạng và trao quyền truy cập đến các thông tin, các hệ thống và tài nguyên
Có 4 phương pháp/mô hình chính:
Discretionary Access Control (DAC): Kiểm soát truy cập tuỳ chọn
Mandatory Access Control (MAC): Kiểm soát truy cập bắt buộc
Role Based Access Control: Kiểm soát truy cập dựa trên vai trò
Rule-Based Access Control: Kiểm soát truy cập dựa trên luật
2.3.3 Các cơ chế bảo mật trên máy tính
File system bao gồm bộ quyền chứa các quyền trên dữ liệu mà chúng ta có thể thiết lập cho User Các quyền bao gồm:
Read: cho phép user đọc nội dung file.
List folder contents: liệt kê nội dung folder (user có thể mở folder để xem có các file, sub folder nào trong đó).
Hình 2 5: Kiểm soát truy cập
Read and execute: Có thể đọc nội dung các file (file *.docx, *.pptx, *.xlsx,
…) và thực thi các file nếu file đó là chương trình (*.exe, *.bat,…).
Write: chỉnh sửa, tạo mới dữ liệu.
Modify: bằng các quyền ở trên gộp lại và thêm quyền delete (đọc, chỉnh sửa, xóa các đối tượng).
+ Quyền change permission: cho phép thiết lập lại các bộ quyền.
+ Quyền Take Ownership: Cho phép lấy quyền sở hữu file, folder của người khác.
Read Attributes: đọc thuộc tính folder và file (Read only, Hiden,…)
Read Extended Attributes: đọc các thuộc tính mở rộng (Archive, Encrypt). Create file/ Write data: tạo file và ghi, chỉnh sửa dữ liệu.
+ Ghi ghi dữ liệu vào phía cuối file (ghi nối tiếp chứ không xóa), chỉnh sửa phần dữ liệu sẵn có (chỉ áp dụng cho file).
Write Attributes: Cho phép thay đổi các thuộc tính của file, folder (read- only, hiden).
Write Extended Attributes: Cho phép chỉnh sửa các thuộc tính mở rộng của file, folder.
Delete Subfolders and files: Xóa các folder con và các file.
Delete: Cho phép xóa tài nguyên (folder, subfolder, file).
Read permission: cho phép user, group thấy các quyền hạn.
Change permission: Cho phép thay đổi các quyền hạn đối vối file, folder.
User và Group là những thành phần cơ bản để quản lý máy tính và tài nguyên trên máy tính Tùy vào mức độ được cấp quyền mà người dùng có quyền truy xuất vào những tài nguyên nào trên máy tính, hoặc trong hệ thống mạng.
User account là thông tin đối tượng bao gồm thông tin xác định người dùng của hệ điều hành Windows, dùng để đăng nhập vào máy tính, phân quyền sử dụng tài nguyên, áp đặt những chính sách bảo mật
Local user account (người dùng cục bộ): Là tài khoản được lưu trong file SAM (Security Account Manager) và chỉ có giá trị trên máy chứa thông tin tài khoản đó.
Thông tin tối thiểu của User account là User name và Password.
Có hai user account được tạo sẵn (Built-in account) là Administrator và Guest.
Tài khoản Aministrator là tài khoản có quyền cao nhất trong hệ thống.
Tài khoản Guest thường bị Disable.
Group (nhóm người dùng) Là tập hợp những user account có những tính chất nào đó để giúp cho việc phân quyền trở nên dễ dàng hơn.
Local group (nhóm người dùng trên máy cục bộ): Là nhóm chỉ có giá trị trên máy chứa nó và được lưu trữ trong file SAM
Member của group có thể là group hoặc user.
2.3.3.3 Share Permission (Chia sẻ dữ liệu)
Các quyền chia sẻ dữ liệu:
Read: Cho phép người dùng có thể xem và đọc (Read) các folder và file chứa trong thư mục share.
Change: Cho phép user có thể xem/thực thi/ghi/xóa folders/files.
Full control: Cho phép users sử dụng tất cả các quyền của Read, Change, cũng như quyền chỉnh sửa và lấy quyền sở hữu NTFS các tệp (edit permissions and take ownership).
User Account Control (UAC), là một phần trong hệ thống bảo mật Windows. UAC ngăn chặn các ứng dụng thực hiện các thay đổi không mong muốn trên máy tính.
Khi một phần mềm nào đó cố gắng thay đổi hệ thống liên quan đến một phần Registry hoặc các tập tin hệ thống, Windows sẽ hiển thị hộp thoại xác nhận UAC. Nếu muốn thực hiện các thay đổi này người dùng có thể xác nhận.
Windows Defender là một phần mềm diệt virus cung cấp một loạt các tính năng bảo mật quan trọng tích hợp sẵn với hệ điều hành Windows 10 (đối với Windows 7/8 có thể tải về từ Website của Microsoft).
Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát luồng thông tin vào, ra khỏi hệ thống Firewall tạo thành một rào cản giữa mạng tin cậy và mạng không đáng tin cậy.
Hình 2 6: Các quyền chia sẻ dữ liệu
Firewall là phương pháp hiệu quả để bảo vệ hệ thống hoặc mạng lưới hệ thống cục bộ khỏi các mối đe dọa bảo mật khi truy cập vào thế giới bên ngoài thông qua mạng diện rộng và Internet
Hardware firewall: là các phần cứng chuyên dụng, thiết kế để làm chức năng Firewall.
Software firewall: là các phần mềm đóng vai trò bảo vệ hệ thống.
Group policy là các nhóm chính sách áp dụng dụng cho tài khoản người dùng và máy tính trong hệ thống mạng Windows Group policy cung cấp cho người quản trị khả năng cấu hình và quản lý một cách tập trung về hệ điều hành, ứng dụng, và các thiết lập trên user.
Group Policy được chia làm hai phần, được áp dụng cho hai đối tượng là User và Computer, hai phần này là độc lập và không ảnh hưởng đến nhau Các Group Policy áp dụng cho User thì sẽ không ảnh hưởng đến đối tượng là Computer và ngược lại.
Hình 2 7: Firewall Để thiết lập các chính sách trên Local Group Policy thì user thực hiện phải là user thuộc nhóm Admin trên chính máy tính đó Trên Local Group Policy, chỉ có thể thiết lập một chính sách duy nhất trên máy tính Mọi user khi truy cập đều sẽ bị chi phối bởi chính sách này.
An toàn bảo mật thông tin trên mạng máy tính
Bảo mật mạng máy tính (network security) là phạm trù rộng hơn bảo mật máy tính (computer security) Bảo mật mạng máy tính liên quan đến việc tạo ra một môi trường trong đó mạng máy tính, tài nguyên, dữ liệu và người dùng của nó được bảo mật Bảo mật mạng máy tính liên quan đến giao thức mã hóa (cryptographic protocols), truyền thông(communication), lưu lượng dữ liệu (traffic) và trao đổi thông tin (exchange).
2.4.2 Một số khái niệm về mạng
Mạng (Network): Hai hoặc nhiều máy tính hoặc thiết bị kết nối với nhau để chia sẻ tài nguyên.
Mạng Internet (Internet network): Mạng Internet là một hệ thống mạng dựa trên giao thức (protocol) TCP/IP giữa các máy tính với nhau với quy mô toàn cầu. Các thiết bị cơ bản trong mạng Internet:
Router: là một thiết bị mạng có trách nhiệm chia mạng và truyền dữ liệu giữa các mạng với nhau.
Switch: là một thiết bị mạng được dùng để kết nối các thiết bị trong cùng 1 mạng lại với nhau.
2.4.2.2 LAN, WLAN, MAN, WAN, Intranet, Extranet và địa chỉ MAC
LAN: Mạng LAN (Local Area Network) hay còn được gọi là mạng nội bộ.
Một mạng LAN là một tập hợp của các thiết bị có khả năng kết nối mạng ví dụ như smartphones, tablets, laptop, pc, v.v trong vòng bán kính từ nhỏ ở một địa chỉ xác định.
WLAN: Mạng WLAN (Wireless Local Area Network) hay còn được gọi là
Mạng nội bộ không dây.
MAN: Mạng MAN (Metropolitan Area Network) được cấu thành từ các mạng LAN trong phạm vi một thành phố hoặc một khu vực địa lí rộng lớn có thể là tập hợp của nhiều thành phố miễn là khu vực này nằm trong bán kính từ 5 – 50 km.
WAN: Mạng WAN (Wide Area Nework) được cấu thành từ các mạng MAN cũng như các mạng LAN nằm trên một khu vực có bán kính lớn hơn 50 km Mạng WAN có thể bao trùm nhiều quốc gia thậm chí là châu lục.
Intranet: Khái niệm Intranet hay được dùng để chỉ mạng riêng của một công ty, một doanh nghiệp, tập đoàn hay xí nghiệp Bản chất của Intranet là một mạng LAN Mạng Intranet được thiết kế theo kiểu chỉ có những nhân viên của công ty được quyền sử dụng máy tính được kết nối mạng Intranet của công ty.
Extranet: Mạng Extranet là một phần của một mạng Intranet Mạng Extranet được dùng để cấp quyền truy cập giới hạn và an toàn cho những cá nhân ở bên ngoài có quyền truy cập vào những thông tin được lưu trữ bên trong mạng Intranet. Địa chỉ MAC: Địa chỉ MAC (Media Access Control) hay còn gọi được gọi là Physical Address (địa chỉ vật lý) được xem như là số chứng minh nhân dân của một thiết bị mạng Địa chỉ MAC của một thiết bị được xem là duy nhất trên toàn thế giới Căn cứ vào địa chỉ MAC chúng ta có thể xác định được nhà sản xuất của thiết bị mạng đó.
Mô hình TCP/IP cũng chia một hệ thống mạng ra thành các lớp, nhưng khác mô hình OSI ở chỗ TCP/IP dựa trên chức năng của những protocols để phân chia các lớp
IP (Internet Protocol) là giao thức thuộc lớp Networking đảm nhận nhiệm vụ truyền gói tin dữ liệu từ điểm đầu đến điểm đích dựa vào địa chỉ IP Địa chỉ IP được cấp cho máy thật chất là được cấp cho card mạng hoặc network interfaces trên máy tính Nhờ đó một máy có thể có nhiều địa chỉ IP.
Có 3 hình thức mà một host có thể chọn để truyền dữ liệu đó là: unicast, multicast, broadcast.
Network ports (cổng mạng) được dùng để cung cấp một dịch vụ mạng nhất định nào đó thông qua một giao thức được chỉ định hoạt động tại network port đó.
Bảng 2 1: Một số port phổ biến
2.4.2.7 Một số giao thức phổ biến
ICMP (Internet Control Message Protocol): lệnh ping
ARP (Address Resolution Protocol): tìm địa chỉ MAC của thiết bị khi biết địa chỉ IP
DHCP (Dynamic Host Configuration Protocol): cấp IP tự động
NAT (Network Address Translation): chuyển IP private sang public
TCP (Tranmission Control Protocol): coi trọng kết nối, thường dùng cho unicast
UDP (User Datagram Protocol): tốc độ nhanh, không coi trọng kết nối, thường dùng cho multicast và broadcast
FTP (File Transfer Protocol): giao thức trao đổi file giữa client và server SSH (Secure Shell): giao thức cho phép truy cập máy chủ từ xa với đường truyền mã hóa
Telnet: dùng để kết nối từ máy client tới máy chủ server, cho phép quản trị viên hệ thống có thể truy cập để điều hành hệ thống từ xa
POP3 (Post Office Protocol version 3): giao thức nhận email một chiều do nó chỉ có một chiều tương tác từ server đến máy client
IMAP (Internet Message Access Protocol): là một giao thức nhận email 2 chiều và sử dụng giao thức TCP
SMTP (Simple Mail Transfer Protocol): giao thức SMTP được dùng để gửi email từ người gửi đến SMTP mail server của người nhận nhờ vào việc sử dụng một phần mềm được gọi là Message Transfer Agent (MTA)
HTTP (Hypertext Transfer Protocol): giao thức nền tảng của Internet, dùng để tải nội dung của một website từ server chứa website đó lên client
HTTPS (Hypertext Transfer Protocol Secure): Trao đổi dữ liệu giữa client và server, tuy nhiên HTTPS sẽ mã hóa toàn bộ thông tin trước khi được truyền đi, làm giảm thiểu việc lộ thông tin HTTPS sử dụng một giao thức được gọi là Transport Laye Security (TLS) hay trước đây còn được gọi là Secure Sockets Layer (SSL) để mã hóa đường truyền.
Hệ thống DNS: Dịch từ tên miền ra địa chỉ IP được dùng để gán cho tên miền đó.
2.4.3 An toàn bảo mật thông tin trong mạng nội bộ Intranet
Mạng nội bộ Intranet là các trung tâm dữ liệu tập trung chứa thông tin và tài sản thuộc về công ty Chính vì thế chúng là mục tiêu của các cuộc tấn công mạng Tuy nhiên các cuộc tấn công mạng không phải là mối đe dọa lớn nhất đối với intranet.
2.4.3.2 Các mối đe dọa với Intranet
Các tác nhân bên trong gây ra đe dọa đối với mạng nội bộ:
Lỗi hoặc sơ suất của nhân viên
Vô tình lộ thông tin mạng nội bộ
Chặn dữ liệu trong quá trình truyền
2.4.3.3 Các biện pháp an toàn bảo mật Intranet
Thiết lập Chính sách Bảo mật Toàn diện:
+ Xem xét các chính sách đảm bảo rằng chúng cũng bảo vệ nơi làm việc kỹ thuật số từ xa của nhân viên
+ Vạch ra một kế hoạch với các bước để phản ứng nhanh nếu xảy ra vi phạm dữ liệu.
Tăng cường bảo mật các giao thức đăng nhập: Sử dụng các giao thức an toàn hơn như:
+ Lightweight Directory Access Protocols (LDAP)
An toàn bảo mật thông tin trong cơ sở dữ liệu
Bảo mật cơ sở dữ liệu là tập hợp các quy trình, tiêu chuẩn, chính sách và công cụ được áp dụng để bảo vệ dữ liệu tránh khỏi các hành vi đánh cắp, sử dụng sai mục đích và các cuộc xâm nhập, hoạt động, tấn công không mong muốn Bảo mật cơ sở dữ liệu liên quan đến quyền truy cập và quyền sử dụng cấu trúc dữ liệu và dữ liệu chứa trong nó.
Bảo mật cơ sở dữ liệu là một vấn đề quan trọng ảnh hưởng đến mọi người trong thời đại mạng lưới toàn cầu Mặc dù không thể đạt được bảo mật 100%, nhưng phải nỗ lực giảm thiểu rủi ro và đứng trước các mối đe dọa tiềm năng.
Hậu quả của một cuộc tấn công có thể gây ra tác động thảm khốc trên nhiều mức độ, vì vậy chúng ta cần luôn cải thiện hệ thống bảo mật của mình để đối phó với các hình thức tấn công đang ngày càng tinh vi hơn.
Hình 2 9: Cách thức hoạt động của IPSec
2.5.2 Các vi phạm đến an toàn cơ sở dữ liệu
Các vi phạm an toàn CSDL bao gồm: đọc, sửa, xoá dữ liệu trái phép Hậu quả của việc vi phạm này là:
Khai thác dữ liệu trái phép, làm lộ, mất thông tin.
Sửa đổi dữ liệu trái phép, ngay cả khi người thay đổi có thể không cần biết đến nội dung của dữ liệu.
Hệ thống từ chối dịch vụ hợp pháp của người dùng vào CSDL
2.5.3 Các công cụ bảo mật cơ sở dữ liệu
Các công cụ để bảo vệ cơ sở dữ liệu thường được tích hợp và cấu hình trong các gói phần mềm cơ sở dữ liệu đã được cài đặt theo nhà sản xuất (ví dụ như Oracle, MySQL, Microsoft SQL Server).
Các tính năng của từng nhà sản xuất có thể khác nhau nhưng thường tuân theo những cơ chế chung sau:
Xác thực (Authentication) Ủy quyền (Authorization)
Mức độ chi tiết và tính năng của từng nhà sản xuất có thể khác nhau Một số nhà sản xuất cũng cung cấp các gói phần mềm bổ sung được tùy chỉnh để bảo vệ các ứng dụng quản lý cơ sở dữ liệu của họ.
Ngoài các tính năng đã có sẵn của từng hệ quản trị cơ sở dữ liệu, chúng ta có thể áp dụng một số biện pháp chung để bảo mật cơ sở dữ liệu như:
Bảo vệ chống truy cập trái phép
Bảo vệ chống suy diễn
Bảo vệ toàn vẹn CSDL
Khả năng lưu vết và kiểm tra
An toàn và bảo mật thông tin thông qua chữ ký số
2.6.1 Chữ ký số và chứng thực số
Chữ ký số (digital signature) là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả (người ký văn bản) của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc.
Chứng thực số (digital certificate): Chứng thực số là một loại kỹ thuật được sử dụng để xác minh danh tính của người dùng trên mạng và đảm bảo rằng thông tin được truyền tải an toàn và bảo mật.
Hình 2 10: Quy trình tạo chữ ký số
Tổ chức chứng thực điện tử (Certification Authority) là một bên thứ 3 được cả hai bên gửi và nhận tin cậy đứng ra chứng nhận đảm bảo chữ ký số và chứng thực số.
Chức năng của của tổ chức chứng thực điện tử là chứng thực nhận dạng người ký thông qua hình thức cấp chứng chỉ số chứa khóa công khai của người ký, và duy trì cơ sở dữ liệu về chứng chỉ số.
Hình 2 11: Quy trình kiểm tra chữ ký số
Hình 2 12: Quy trình chứng nhận đảm bảo chữ ký số/chứng thực số
2.6.2 An toàn thông tin dựa trên mã hoá
Mã hóa thông tin là quá trình chuyển đổi dữ liệu này sang một dữ liệu khác với ý nghĩa khác với dữ liệu ban đầu Mục đích nhằm chỉ cho phép một số người, đối tượng nhất định đọc, hiểu được dữ liệu ban đầu thông qua quá trình giải mã dữ liệu sau khi đã được biến đổi Hiểu một cách đơn giản, mã hóa thông tin chính là chuyển dữ liệu ban đầu A thành dữ liệu B Để đọc được dữ liệu A, người đọc phải giải mã được dữ liệu B về A.
Một hệ mã hóa gồm 2 khâu: mã hóa (encryption) và giải mã (decryption).
2.6.2.2 Vai trò của mã hoá trong an toàn bảo mật thông tin
Mã hoá thông tin có thể được sử dụng để đảm bảo an toàn thông tin trên đường truyền với các thuộc tính:
Bí mật (confidentiality): đảm bảo chỉ những người có thẩm quyền mới có khả năng truy nhập vào thông tin
Toàn vẹn (integrity): đảm bảo dữ liệu không bị sửa đổi bởi các bên không có đủ thẩm quyền
Xác thực (authentication): thông tin nhận dạng về các chủ thể tham gia phiên truyền thông có thể xác thực
Không thể chối bỏ (non-repudiation): cho phép ngăn chặn một chủ thể chối bỏ hành vi hoặc phát ngôn đã thực hiện
2.6.2.3 Các tiêu chuẩn đánh giá hệ mã hoá Độ an toàn (level of security): thường được đánh giá thông qua số lượng tính toán để có thể phá được hệ mã hoá
Hiệu năng (performance): có thể được đo bằng tốc độ mã hoá (bits/giây) Tính năng (functionality): hệ thống có thể được sử dụng cho nhiều mục đích bảo mật.
Chế độ hoạt động (modes of operation): cung cấp các tính năng khác nhau theo chế độ hoạt động Độ dễ cài đặt (ease of implementation): độ khó của việc cài đặt thuật toán trong thực tế trên phần cứng hoặc phần mềm
2.6.2.4 Ứng dụng của mã hoá
Dịch vụ xác thực (Kerberos, RADIUS,…) Điều khiển truy nhập
Các công cụ đánh giá và phân tích logs
Các sản phẩm quản lý ATTT
Các công cụ cho đảm bảo an toàn cho truyền thông không dây
Các nền tảng bảo mật như PKI, PGP
Các giao thức bảo mật như SSL/TLS, SSH, SET, IPSec
Các hệ thống như VPN.
2.6.3 An toàn thông tin trên tài liệu, chứng từ điện tử
Tài liệu điện tử là một thuật ngữ tổng quát dùng để chỉ các tài liệu được tạo ra, xử lý, lưu trữ và truyền tải dưới dạng điện tử thay vì dạng giấy truyền thống Các tài liệu điện tử bao gồm các loại tài liệu như văn bản, hình ảnh, video, âm thanh
Chứng từ điện tử: chỉ các tài liệu chứng từ được tạo ra, xử lý, lưu trữ và truyền tải dưới dạng điện tử Những tài liệu này thường được sử dụng để chứng minh sự tồn tại của một giao dịch hoặc một sự kiện quan trọng VD: hóa đơn điện tử, chứng từ tài chính điện tử…
2.6.3.2 Các nguy cơ ATTT đối với tài liệu điện tử
Phát tán thông tin không mong muốn
Tấn công phần mềm độc hại
Tấn công từ chối dịch vụ
2.6.3.3 Bảo vệ thông tin trên tài liệu điện tử
Một số cách bảo vệ thông tin trên tài liệu điện tử:
+ Kiểm tra xác thực thông tin trước khi cung cấp thông tin quan trọng hay khi truy cập vào các tài liệu điện tử.
+ Tránh lừa đảo và giả mạo thông tin.
Cập nhật phần mềm, sao lưu thường xuyên:
+ Cập nhật phần mềm và bảo mật thường xuyên để giảm thiểu nguy cơ bị tấn công.
+ Tạo bản sao lưu các tài liệu điện tử quan trọng để phòng tránh mất mát dữ liệu.
Tăng cường giáo dục an toàn thông tin:
+ Giúp nhân viên nhận biết các nguy cơ ATTT và cách phòng chống.
+ Quản lý và bảo vệ thông tin quan trọng trong tài liệu điện tử.
Giới hạn quyền truy cập: Giới hạn quyền truy cập đối với các tài liệu điện tử quan trọng để hạn chế nguy cơ bị truy cập trái phép từ bên ngoài hoặc bên trong tổ chức.
Các công cụ và dịch vụ bảo mật trên chứng từ điện tử
Chứng chỉ số (Digital Certificates)
Chữ ký số (Digital Signatures)
Mã hoá dữ liệu (Encryption)
Hệ thống quản lý quyền truy cập: Hệ thống quản lý quyền truy cập giúp hạn chế quyền truy cập vào các tài liệu điện tử và đảm bảo rằng chỉ có những người được phép truy cập mới có thể truy cập vào tài liệu.
Công nghệ xác thực đa yếu tố: Công nghệ xác thực đa yếu tố sử dụng nhiều yếu tố xác thực khác nhau để đảm bảo tính bảo mật của thông tin trên chứng từ điện tử
Các dịch vụ lưu trữ điện toán đám mây: Các dịch vụ lưu trữ điện toán đám mây cho phép lưu trữ tài liệu điện tử trên các máy chủ được quản lý bởi các nhà cung cấp dịch vụ Các dịch vụ này thường có các tính năng bảo mật như mã hóa dữ liệu và sao lưu định kỳ để bảo vệ tài liệu khỏi mất mát và các mối đe dọa khác.
2.6.4 An toàn bảo mật thanh toán điện tử
Hiện nay nhiều cách thức thanh toán điện tử mới đang được triển khai đến mọi người Tuy nhiên, đi kèm với những ứng dụng công nghệ mới luôn là những rủi ro, nguy cơ bảo mật đe dọa người dùng.
2.6.4.2 Một số phương thức bảo mật trong thanh toán điện tử
Từ góc độ người dùng:
Lựa chọn hình thức thanh toán
Thường xuyên kiểm tra và theo dõi tình trạng tài khoản
Kích hoạt xác thực 2 yếu tố cho tất cả các giao dịch trực tuyến
Không lưu trữ thông tin thẻ tín dụng trực tuyến
Vô hiệu hóa tính năng tự động điền thông tin (Autofill) trên trình duyệt Không thực hiện các giao dịch tài chính qua mạng wifi công cộng
Cảnh giác với các trang web lừa đảo
Cảnh giác với những lời đề nghị khó tin
Sử dụng mật khẩu an toàn
Từ góc độ doanh nghiệp:
Hợp tác với một đơn vị thanh toán online
Theo dõi các giao dịch đáng ngờ
Xác thực địa chỉ đối với mọi giao dịch
Mã hóa để Bảo mật thanh toán
Bảo mật thanh toán bằng Giao thức SSL
Sử dụng giao thức HTTPS
Sử dụngTiêu chuẩn Giao dịch Điện tử An toàn (SET)
Tuân thủ Tiêu chuẩn An ninh Dữ liệu Thẻ (PCI DSS)
Sử dụng chữ ký điện tử
KẾT QUẢ NGHIÊN CỨU
Kiểm tra các thành phần bảo mật trên Win 10
Chức năng này giúp quét tìm các mối đe dọa trên thiết bị của mình Bạn cũng có thể chạy các loại quét khác nhau, xem kết quả quét virus và mối đe dọa trước đó và nhận được sự bảo vệ mới nhất mà Microsoft cung cấp.
Microsoft Account: chức năng đăng nhập bằng tài khoản Microsoft
Windows Hello: chức năng bảo mật thiết bị bằng nhận diện khuôn mặt Dynamic lock: chức năng giúp tự động khóa thiết bị khi thiết bị đang kết nối vượt ngoài tầm
Hình 3 1: Chức năng Virus & threat protection
Chức năng bật/tắt tường lửa
Chức năng App & browser control giúp bảo vệ ứng dụng và trình duyệt
Hình 3 2: Chức năng Account protection
Hình 3 3: Chức năng bật/tắt tường lửa
Chức năng Device security giúp bảo vệ thiết bị ngay khi thiết bị được khởi động.
Hình 3 4: Chức năng App & browser control
Hình 3 5: Chức năng Device security
Chức năng Device performance & health giúp kiểm tra hiệu năng và tình trạng của thiết bị.
Chức năng Ransomware Protection giúp ngăn chặn những phần mềm đáng ngờ.
Hình 3 6: Chức năng Device performance & health
Hình 3 8: Chức năng Ransomware Protection: tắt
Thực hành sử dụng Virus total
Virustotal là công cụ dành cho người dùng hệ điều hành Windows có công dụng quét và phân tích các tập tin hay đường link (URL) để xem chúng có chứa mã độc hay virus không, từ đó đưa ra các đánh giá chính xác về mức độ an toàn cho máy tính của bạn.
3.2.1 Sử dụng Virus total để kiểm tra file
Nội dung kiểm tra: file test.docx
Kết quả: không có mối đe doạ nào
3.2.2 Sử dụng Virus total để kiểm tra url
Nội dung kiểm tra: kiểm tra url http://0-i-fdik.000webhostapp.com/
Kết quả: url được xác định là mối đe doạ bởi 8 trình bảo vệ
Thực hành sử dụng Windows Defender
Hình 3 9: Kiểm tra file bằng Virus total
Hình 3 10: Kiểm tra url bằng Virus total
Sử dụng Command line để quản lý User và Group
Các câu lệnh quản lý user:
Net user: xem thông tin chi tiết của người dùng
Net help user: cung cấp các trợ giúp liên quan đến người dùng
Hình 3 11: Kết quả Quick scan
Hình 3 12: Kết quả Full scan
Net user /add: lệnh thêm user mà không có mật khẩu
Net user /add: lệnh thêm user với mật khẩu là
Net user * /add: lệnh thêm user với mật khẩu được nhập từ bàn phím
Net user : thay đổi mật khẩu của user thành
Net user < user1> /delete: xóa user có tên
Net user user2 /active:no: vô hiệu hóa user có tên user2
Net user user3 /active:yes: kích hoạt user có tên user3
Các câu lệnh quản lý group:
Net localgroup administrators: có 2 user thuộc nhóm administrator gồm: user và Administrator
Net localgroup nhom1 /add: tạo nhóm có tên nhom1
Net localgroup nhom1 user1 /add: lệnh thêm user có tên user1 vào nhóm nhom1
Net localgroup nhom1 user1 /del: lệnh xóa user có tên user1 khỏi nhóm nhom1
Net localgroup developers /del: xóa nhóm có tên developers
Thực hành sử dụng Firewall
3.5.1 Sử dụng Firewall thông qua giao diện
Hình 3 14: Giao diện Firewall nâng cao
3.5.2 Sử dụng Firewall thông qua Command line netsh advfirewall set allprofiles state off: tắt tường lửa netsh advfirewall set allprofiles state on: bật tường lửa
Hình 3 16: Giao diện tắt Firewall Hình 3 15: Giao diện bật Firewall
Tìm hiểu các chức năng an toàn bảo mật trên trình duyệt
Các chức năng an toàn bảo mật của Microsoft Edge gồm:
Tracking Prevention (Ngăn chặn theo dõi): Ngăn chặn các trang web từ việc theo dõi bạn qua các công nghệ theo dõi, giúp bảo vệ thông tin cá nhân của bạn và giảm mức độ quảng cáo được tùy chỉnh dựa trên hành vi duyệt web của bạn.
InPrivate Browsing (Duyệt ẩn danh): Chế độ duyệt không lưu lịch sử, cookie và dữ liệu trang web, giúp giữ thông tin cá nhân của bạn không lưu trữ trên máy tính sau khi bạn đóng tab.
SmartScreen Filter: Bảo vệ chống lại các trang web có nội dung độc hại, phần mềm độc hại và lừa đảo bằng cách kiểm tra các trang web bạn truy cập.
Password Monitor: Cảnh báo bạn nếu tài khoản mật khẩu của bạn đã bị rò rỉ trên Internet và đề xuất thay đổi mật khẩu.
Secure DNS (DNS an toàn): Bảo vệ khỏi các cuộc tấn công DNS thông qua việc sử dụng các dịch vụ DNS an toàn.
Biometric Authentication (Xác thực sinh trắc học): Cho phép bạn sử dụng xác thực sinh trắc học (ví dụ: vân tay hoặc nhận diện khuôn mặt) để truy cập trình duyệt hoặc các trang web đã lưu trữ mật khẩu.
Microsoft Defender SmartScreen: Bảo vệ chống lại các tải xuống có thể độc hại bằng cách kiểm tra tệp tin bạn muốn tải và cảnh báo nếu phát hiện nguy cơ.
Cập nhật tự động: Tự động cập nhật trình duyệt để bảo vệ chống lại các lỗ hổng bảo mật mới và giữ cho bạn luôn sử dụng phiên bản an toàn nhất của trình duyệt Edge.
Các chức năng an toàn bảo mật của Mozila Firefox gồm:
Enhanced Tracking Protection (Ngăn chặn theo dõi nâng cao): Ngăn chặn các trang web và bên thứ ba khác từ việc theo dõi bạn khi bạn duyệt web, giúp bảo vệ quyền riêng tư của bạn.
Private Browsing (Duyệt ẩn danh): Cung cấp một chế độ duyệt không lưu lịch sử, cookie và dữ liệu trang web để giữ cho hoạt động duyệt web của bạn không bị lưu lại.
Password Manager (Quản lý mật khẩu): Lưu trữ và quản lý mật khẩu để bạn không cần phải nhớ mọi mật khẩu riêng lẻ.
HTTPS - Only Mode (Chế độ chỉ sử dụng HTTPS): Tự động chuyển đổi các trang web sang kết nối an toàn bằng HTTPS để bảo vệ dữ liệu truyền tải.
Clear Recent History (Xóa lịch sử gần đây): Cho phép bạn xóa lịch sử duyệt web, cookie, cache và dữ liệu khác theo khoảng thời gian bạn chọn.
Content Blocking: Cho phép người dùng kiểm soát cách Firefox chặn nội dung không mong muốn, như quảng cáo, theo các cấp độ khác nhau.
Firefox Monitor: Cung cấp cảnh báo nếu tài khoản email của bạn xuất hiện trong các vụ việc rò rỉ dữ liệu.
Smart card support (Hỗ trợ thẻ thông minh): Cho phép sử dụng các thiết bị bảo mật như thẻ thông minh để xác thực.
Các chức năng an toàn bảo mật của Google Chomre gồm:
Safe Browsing (Duyệt An toàn): Bảo vệ chống lại các trang web độc hại, lừa đảo và tải xuống không an toàn thông qua cảnh báo và chặn trang web có nguy cơ.
Enhanced Safe Browsing (Duyệt An toàn Nâng cao): Nâng cao tính năng
Duyệt An toàn bằng cách cung cấp bảo vệ chống lại các mối đe dọa mới và sử dụng phân tích học máy để phát hiện các trang web có khả năng gây nguy hiểm.
Site Isolation (Cách ly trang web): Tăng cường an ninh bằng cách cách ly các trang web khác nhau trong quá trình duyệt, giảm rủi ro từ các tấn công như Spectre.
Automatic Updates (Cập nhật tự động): Chrome tự động cập nhật để giữ cho trình duyệt luôn an toàn với các bản vá bảo mật mới nhất.
Incognito Mode (Chế độ ẩn danh): Tương tự như chế độ ẩn danh trong các trình duyệt khác, Chrome's Incognito Mode không lưu lịch sử duyệt, cookie hoặc dữ liệu trang web.
Privacy and Security Settings (Cài đặt Quyền riêng tư và Bảo mật):
Cung cấp nhiều tùy chọn cho người dùng để quản lý cài đặt liên quan đến quyền riêng tư và bảo mật, bao gồm quản lý mật khẩu, quản lý cấp phép và nhiều hơn nữa.
Password Manager (Quản lý mật khẩu): Chrome có tính năng quản lý mật khẩu tích hợp giúp lưu trữ và tự động điền mật khẩu.
Content Settings (Cài đặt Nội dung): Cho phép người dùng kiểm soát cách
Chrome xử lý nội dung như cookie, hình ảnh và tiếp xúc với trang web.
Thiết lập cơ chế an toàn bảo mật trên tài khoản mạng xã hội Facebook 47
Có 2 cơ chế bảo mật tài khoản trên mạng xã hội facebook là xác thực 2 yếu tố và cảnh báo đăng nhập.
Hình 3 17: Tính năng xác thực 2 yếu tố
Hình 3 18: Tính năng cảnh báo đăng nhập
Thực hành mô phỏng thiết lập các cơ chế bảo mật cho Router Wifi
Vào trang https://www.tp-link.com/us/support/emulator/
Hình 3 19: Thay đổi tên mạng
Hình 3 21: Sử dụng mã hoá bảo mật mạnh
Hình 3 22: Vô hiệu hoá mạng khách
Thực hành sử dụng Wireshark
Hình 3 25: Bắt gói ping bằng Wireshark
Sau khi thực hiện lệnh ping đến địa chỉ google.com và quan sát Wireshark, kết quả như sau:
Quá trình ping bắt đầu từ dòng 3911 đến 3916
Lệnh ping sử dụng giao thức ICMP (Internet Control Message Protocol)
Có 2 loại gói tin là request và replay
Cửa sổ “Danh sách gói tin” chứa địa chỉ nguồn và đích của 2 máy
Mở Wireshark và thực hiện bắt gói tin Đăng nhập vào trang http://www.techpanda.org/ với email đăng nhập là admin@google.com và mật khẩu là Passwork2010
Quan sát Wireshark và thu được kết quả sau:
Hình 3 26: Kết quả nghe lén bằng Wireshark
SQL Injection
3.10.1 Thực hành mô phỏng tấn công SQL Injection
Truy cập vào địa chỉ https://www.hacksplaining.com/exercises/sql-injection để thực hành mô phỏng tấn công SQL Injection.
Hình 3 27: Đăng nhập với tài khoản và mật khẩu
Chương 3 Tìm hiểu về các vấn đề an toàn bảo mật thông tin
Hình 3 29: Hệ thống crash do exception
Hình 3 30: Từ thông báo trên cửa sổ LOGS, ta có thể suy ra phần code behind
Hình 3 31: Ta có thể thấy khi thêm ký tự ‘ vào sau password thì code điều kiện LIMIT 1 bị nhập vào chuỗi password, từ đó sinh ra exception
3.10.2 Một số cách bảo vệ khỏi SQL Injection
Sử dụng câu lệnh Prepared Statements hoặc Parameterized Queries: Đây là phương pháp khuyến nghị để thực hiện các truy vấn SQL Sử dụng các tham số thay vì chèn trực tiếp dữ liệu người dùng vào câu lệnh SQL sẽ giúp tránh việc người dùng có thể chèn mã độc hoặc thực hiện các cuộc tấn công SQL injection.
Kiểm tra và lọc dữ liệu đầu vào: Trước khi thực hiện truy vấn SQL, hãy kiểm tra và lọc dữ liệu đầu vào từ người dùng Loại bỏ các ký tự đặc biệt và các câu lệnh SQL từ dữ liệu người dùng để đảm bảo rằng nó không thể tạo ra các câu lệnh SQL nguy hiểm.
Sử dụng hàm bảo vệ dữ liệu: Sử dụng các hàm bảo vệ dữ liệu như addslashes() hoặc mysqli_real_escape_string() để tránh việc người dùng chèn các ký tự đặc biệt vào câu lệnh SQL.
Giới hạn quyền truy cập cơ sở dữ liệu: Đảm bảo rằng người dùng chỉ có quyền truy cập và thực hiện các thao tác cần thiết trên cơ sở dữ liệu Hạn chế quyền truy cập của người dùng sẽ giúp giảm nguy cơ bị tấn công SQL injection.
Cập nhật và sử dụng phiên bản mới nhất của hệ quản trị cơ sở dữ liệu: Đảm bảo rằng bạn đang sử dụng phiên bản mới nhất của hệ quản trị cơ sở dữ liệu và các công cụ phụ trợ Các phiên bản cũ có thể chứa các lỗ hổng bảo mật đã được khắc phục trong các phiên bản mới hơn.
Sử dụng công cụ bảo mật: Sử dụng các công cụ bảo mật như Web
Application Firewall (WAF) để giám sát và chặn các cuộc tấn công SQL injection.
Tìm hiểu các cơ chế bảo mật của các hệ quản trị cơ sở dữ liệu
Xác thực và ủy quyền: Sử dụng chính sách xác thực mạnh mẽ để đảm bảo chỉ người dùng được ủy quyền mới có thể truy cập vào cơ sở dữ liệu Hạn
Trang 70 chế quyền truy cập theo nguyên tắc lượng tối thiểu, chỉ cung cấp quyền cần thiết cho người dùng.
Mã hóa dữ liệu: Sử dụng mã hóa để bảo vệ dữ liệu quan trọng Cung cấp mã hóa cả trong quá trình truyền và lưu trữ dữ liệu Sử dụng các thuật toán mã hóa mạnh để ngăn chặn việc đánh cắp thông tin.
Kiểm tra và giám sát: Thiết lập hệ thống giám sát để theo dõi hoạt động của
SQL Server Kiểm tra các nhật ký, sự kiện và cảnh báo để phát hiện và phản ứng nhanh chóng với các sự cố bảo mật.
Tạo sao lưu và khôi phục: Thực hiện sao lưu định kỳ của cơ sở dữ liệu để đảm bảo rằng bạn có thể khôi phục lại dữ liệu trong trường hợp xảy ra sự cố. Thử nghiệm quy trình khôi phục để đảm bảo tính hiệu quả.
Quản lý quyền truy cập: Theo dõi và quản lý quyền truy cập của người dùng Loại bỏ quyền truy cập không cần thiết và theo dõi các quyền truy cập đặc biệt để ngăn chặn việc lạm dụng quyền hạn.
Sử dụng tính năng bảo mật tích hợp: Tận dụng tính năng bảo mật tích hợp của SQL Server như Tường lửa Windows và Chứng chỉ SSL để tăng cường bảo mật.
Quản lý người dùng và quyền truy cập: Oracle cho phép quản lý người dùng và quyền truy cập thông qua các tài khoản người dùng và vai trò. Người quản trị có thể xác định quyền truy cập cụ thể cho từng người dùng hoặc vai trò, như truy cập vào bảng, thực hiện truy vấn, thêm, sửa đổi hoặc xóa dữ liệu.
Mã hóa dữ liệu: Oracle hỗ trợ mã hóa dữ liệu để bảo vệ dữ liệu quan trọng khỏi việc truy cập trái phép Các cơ chế mã hóa bao gồm mã hóa cột, mã hóa dữ liệu trên đĩa và mã hóa dữ liệu trên kết nối mạng.
Kiểm soát truy cập mạng: Oracle cung cấp các tính năng bảo mật mạng như kiểm soát truy cập vào cơ sở dữ liệu từ xa, xác thực người dùng, và mã hóa dữ liệu trên kết nối mạng.
Kiểm soát truy cập ứng dụng: Oracle cho phép quản lý và kiểm soát truy cập vào các ứng dụng của họ thông qua các tính năng như kiểm tra xác thực, kiểm soát phiên, và kiểm soát truy cập dựa trên vai trò.
Giám sát và kiểm tra dữ liệu: Oracle cung cấp các công cụ giám sát và kiểm tra dữ liệu để phát hiện và ngăn chặn các hành vi bất thường hoặc đe dọa bảo mật Các công cụ này bao gồm ghi nhật ký, kiểm tra hệ thống, phân tích bảo mật, và theo dõi sự kiện hệ thống.
Bảo vệ dữ liệu trong bộ nhớ: Oracle cung cấp các tính năng bảo vệ dữ liệu trong bộ nhớ, bao gồm kiểm soát truy cập bộ nhớ, mã hóa dữ liệu trong bộ nhớ, và kiểm soát truy cập đến bộ nhớ tạm.
Xác thực người dùng: MySQL sử dụng hệ thống xác thực người dùng để kiểm tra danh tính của người dùng trước khi cho phép truy cập vào cơ sở dữ liệu Người dùng phải cung cấp tên người dùng và mật khẩu chính xác để xác thực
Quyền và vai trò: MySQL cho phép quản trị viên cấp quyền cho người dùng và xác định vai trò của họ trong hệ thống Các quyền và vai trò có thể được tùy chỉnh để giới hạn quyền truy cập và thao tác trên cơ sở dữ liệu.
Mã hóa mật khẩu: MySQL lưu trữ mật khẩu người dùng dưới dạng mã hóa, không lưu trực tiếp mật khẩu gốc Điều này giúp bảo vệ mật khẩu của người dùng khỏi việc bị đánh cắp hoặc truy cập trái phép.
Kết nối an toàn: MySQL hỗ trợ các giao thức kết nối an toàn như SSL
(Secure Sockets Layer) và TLS (Transport Layer Security) để đảm bảo rằng dữ liệu được truyền giữa máy chủ MySQL và khách hàng được mã hóa và bảo mật.
Kiểm tra và giới hạn truy cập: MySQL cho phép quản trị viên thiết lập các quy tắc kiểm tra và giới hạn truy cập vào cơ sở dữ liệu Ví dụ, quản trị viên có thể thiết lập các quy tắc kiểm tra địa chỉ IP hoặc tên máy chủ để chỉ cho phép kết nối từ các nguồn đáng tin cậy.
Thực hành tạo chữ ký số sử dụng Gpg4win
Hình 3 38: Tạo chữ ký số cho file
Tìm hiểu về các công nghệ bảo mật thanh toán
SSL (Secure Sockets Layer) và TLS (Transport Layer Security) là các giao thức xác thực và mã hóa dữ liệu trên Internet Bảo mật các giao dịch bằng giao thức SSL nhằm đảm bảo rằng thông tin nhạy cảm được mã hóa và chỉ người nhận mới có thể truy cập được.
3D Secure là một phương pháp xác thực được thiết kế để ngăn chặn việc sử dụng trái phép thẻ và bảo vệ nhà cung cấp thương mại điện tử khỏi các khoản bồi thường trong trường hợp có giao dịch gian lận Người bán hàng, tổ chức cung cấp dịch vụ mạng thẻ thanh toán và tổ chức tài chính chia sẻ thông tin để xác thực giao dịch.
Khi người dùng thực hiện thanh toán cho một giao dịch mua sắm trực tuyến, công nghệ 3D Secure sẽ đánh giá xem có cần bảo vệ an toàn thêm hay không nhằm đảm bảo rằng người dùng đó chính là chủ sở hữu thẻ hợp pháp Nếu đúng là người sở hữu, người dùng sẽ được chuyển đến trang 3D Secure và được yêu cầu nhập mật
Hình 3 39: Mã hoá một đoạn tin nhắn sang hệ thập lục phân khẩu hoặc mã PIN Đồng thời, ngân hàng của người dùng đó sẽ thực hiện tạo mã PIN một lần và gửi đến điện thoại thông qua SMS Đây là mã PIN mà người dùng cần nhập trước khi có thể hoàn tất giao dịch
Hiện nay, tất cả những nhà cung cấp dịch vụ ở châu Âu phải tuân thủ luật mới của để đảm bảo tính xác thực mạnh cho khách hàng sử dụng và 3D Secure là một cách hiệu quả để thực hiện công việc này Thanh toán thẻ trực tuyến thông thường có thể được xử lý bằng cách nhập thông tin trên thẻ như số thẻ tín dụng và ngày hết hạn Tuy nhiên, bằng cách áp dụng phương thức 3D Secure, mật khẩu chỉ do chính người dùng biết sẽ được yêu cầu để xác thực ngoài thông tin trên thẻ Do đó, nó sẽ ngăn chặn các hành vi gian lận như giả mạo khi bị đánh cắp dữ liệu thẻ tín dụng.