Phân tích chi tiết về các vấn đề và giải pháp trong lĩnh vực an toàn và bảo mật thông tin sẽ được thực hiện để đảm bảo sự hiệu quả và tính toàn diện của nghiên cứu.... Những khái niệm cơ
CƠ SỞ LÝ THUYẾT
Căn bản về an toàn và bảo mật thông tin
2.1.1 Những khái niệm cơ bản
An toàn và bảo mật thông tin (ATBM TT) là quá trình đảm bảo sự an toàn của thông tin và các yếu tố liên quan, bao gồm hệ thống, phần cứng, và dữ liệu trong quá trình sử dụng, lưu trữ, và truyền tải thông tin Để hiệu quả, cần sử dụng chính sách, nhận thức, đào tạo, giáo dục, và công nghệ
Các thuật ngữ quan trọng bao gồm mối đe dọa, lỗ hổng, cuộc tấn công, rủi ro, và các cơ chế an toàn bảo mật như mật mã, xác định, xác thực, và kiểm toán
Chính sách bảo mật định nghĩa cách tổ chức bảo vệ thông tin và đặt ra quy định về mức độ an toàn, đào tạo nhân viên, và sử dụng công cụ bảo mật như mật mã, tường lửa, và phần mềm diệt virus
Mô hình CIA (Confidentiality, Integrity, Availability) là cơ sở cho an toàn bảo mật thông tin, đảm bảo tính bảo mật, toàn vẹn, và sẵn sàng của thông tin
Các cấp độ an toàn và bảo mật thông tin có thể áp dụng cho chương trình, hệ điều hành, mạng, và hệ thống thông tin
2.1.2 Quy trình ATBM thông tin
Hinh 2 1 Quy trình an toàn bảo mật thông tin
Xác định mối đe dọa: Các mối đe dọa an toàn bảo mật (security threats) là những sự kiện có ảnh hưởng đến an toàn của hệ thống thông tin.
Phân loại mối đe dọa bao gồm xem thông tin bất hợp pháp, chỉnh sửa thông tin bất hợp pháp, và từ chối dịch vụ
Một số mối đe dọa phổ biến:
❖ Gian lận và đánh cắp: Có thể do nhân viên nội bộ hoặc bên ngoài
❖ Nội gián: Nhân viên mối đe dọa nội bộ đối với tổ chức vì họ quen thuộc với hệ thống và ứng dụng
❖ Tin tặc: Cá nhân hoặc nhóm sử dụng hiểu biết về hệ thống để truy cập bất hợp pháp
❖ Mã độc (Malicious Code): Phần mềm tạo ra để xâm nhập, gây thiệt hại hoặc lấy cắp thông tin
Xây dựng chính sách an toàn bảo mật thông tin: tổng hợp các chỉ thị, quy định, quy tắc và thông lệ quy định cách một tổ chức quản lý, bảo vệ và phân phối thông tin Cần có những chính sách bảo mật riêng cho những yêu cầu bảo mật khác nhau Ví dụ: chính sách truy cập Internet
Các thành phần cơ bản của chính sách ATBMTT
• Standards, guidelines, and procedures (tiêu chuẩn, hướng dẫn và quy trình)
• Compliance/ Enforcement : Sự tuân thủ
• Review and revision (Đánh giá và sửa đổi)
2.1.3 Phát triển hệ thống ATBM TT
• Điều tra khảo sát (investigation)
• Phân tích yêu cầu (Analysis)
• Bảo trì (Maintenance and Change)
->Các giai đoạn được thực hiện tuần tự, có sự phản hồi của giai đoạn sau tới giai đoạn trước
Một số nguyên tắc(8 nguyên tăc)
2.1.4 Công cụ mô hình hóa mối đe dọa
Mô hình hóa mối đe dọa là gì ?
Mô hình hóa mối đe dọa là một phương pháp đánh giá an toàn bằng cách xác định các lỗ hổng, mục tiêu và phát triển các biện pháp đối phó để ngăn chặn hoặc giảm thiểu tác động của các cuộc tấn công Quá trình này bắt đầu với bước thu thập yêu cầu, trong đó các bên liên quan xác định và đồng ý về những gì hệ thống cần làm và đưa ra yêu cầu bảo mật
Các phương pháp mô hình hóa phổ biến
- STRIDE và các biến thể: Được Microsoft phát triển, dễ áo dụng nhưng tốn nhiều thời gian
- PASTA (Process for Attack Simulation and Threat Analysis): Là một khung mô hình hóa mối đe dọa tập trung vào rủi ro được phát triển vào năm 2012 bởi Tony
Uceda Vélez: Nó bao gồm bảy giai đoạn, mỗi giai đoạn có nhiều hoạt động khác nhau
- CVSS (Common Vulnerability Scoring System): Giúp nắm bắt các đặc điểm chính của lỗ hổng và tạo ra điểm số để đánh giá mức độ nghiêm trọng, thường được kết hợp với các phương pháp mô hình hóa khác
Các bước lập mô hình mối đe dọa
B.2 Có các mối đe dọa nào ?
B.3 Nên làm gì với những môi đe dọa đó ?
An toàn và bảo mật thông tin trên máy tính cá nhân
2.2.1 Giới thiệu tổng quan hệ điều hành
Hệ điều hành (Operating System - OS) là một phần mềm hệ thống chịu trách nhiệm điều hành và quản lý toàn bộ hệ thống máy tính, kết nối và quản lý cả phần cứng và phần mềm Vai trò chính của HĐH là làm trung gian giữa người sử dụng và các thành phần của thiết bị điện tử
Mục tiêu chính của ATBM HĐH là đảm bảo:
❖ Tính Bảo Mật: Hạn chế việc truy cập các đối tượng, giới hạn quyền của các chủ thể
❖ Tính Toàn Vẹn: Hạn chế việc sửa đổi, xóa dữ liệu trên các đối tượng
❖ Tính Khả Dụng: Hạn chế sử dụng tài nguyên của hệ thống
Kiểm soát truy cập là quá trình mà trong đó người dùng được nhận dạng và trao quyền truy cập đến các thông tin, các hệ thống và tài nguyên
Có 4 phương pháp/mô hình chính:
- Discretionary Access Control (DAC): Kiểm soát truy
- Mandatory Access Control (MAC): Kiểm soát truy cập bắt buộc
- Role Based Access Control: Kiểm soát truy cập dựa trên
- Rule-Based Access Control: Kiểm soát truy cập dựa trên
2.2.3 Các biện pháp ATBM trên hệ điều hành
An toàn và bảo mật thông tin trên mạng máy tính
- Mạng (Network): Hai hay nhiều máy tính hoặc thiết bị kết nối với nhau để chia sẻ tài nguyên
- Mạng Internet (Internet network): Mạng Internet là một hệ thống mạng dựa trên giao thức (protocol) TCP/IP giữa các máy tính với nhau với quy mô toàn cầu TCP/IP có nhiệm vụ cấp địa chỉ IP cho thiết bị tham gia vào mạng
- OSI viết tắt của Open Systems Interconnection (Kết nối hệ thống mở)
- Mô hình OSI chia các khía cạnh/chức năng của networking thành 7 lớp riêng biệt, Mỗi một lớp sẽ có một chức năng nhất định, kèm theo quy định những phần cứng, giao thức dùng ở mỗi lớp
2.3.3 Các điểm yếu mạng máy tính
- Lỗi thiết kế (design flaws)
- Quản lý bảo mật kém (Poor Security Management)
- Triển khai hệ thống không chính xác (Incorrect Implementation)
- Lỗ hổng của công nghệ Internet (Internet TechnologyVulnerability)
- Việc thay đổi các công nghệ và hoạt động của tin tặc
- Khó khăn trong việc khắc phục các hệ thống dễ bị tổn thương
- Hiệu quả của các giải pháp phản ứng bị giới hạn
- Lừa đảo thông qua Social Engineering
2.3.4 ATBM trong mạng nội bộ Intranet
Mạng nội bộ hiện đại là các trung tâm dữ liệu tập trung chứa thông tin và tài sản thuộc về công ty Là mục tiêu của các cuộc tấn công mạng Tuy nhiên các cuộc tấn công mạng không phải là mối đe dọa lớn nhất đối với intranet
Các mối đe dọa với Intranet :
Tác nhân bên trong : Lỗi hoặc sơ suất của nhân viên, vô tình lộ thông tin mạng nội bộ, nội gián
Tác nhân bên ngoài : Trộm cắp vật lý, chặn dữ liệu trong quá trình truyền, lấy cắp dữ liệu
Các biện pháp đảm bảo ATBM Intranet :
- Thiết lập chính sách Bảo mật toàn diện
- Tăng cường bảo mật các giao thức đăng nhập
- Bật kiểm soát truy cập
- Đáp ứng các tiêu chuẩn bảo mật toàn cầu
- Chọn một nền tảng mạng nội bộ hiện đại
Cookie là các file tạm được tự động tạo ra trong máy tính mỗi khi truy cập một trang Web nào đó, nó sẽ lưu những thông tin cá nhân của người dùng như thiết bị đang sử dụng, tài khoản cá nhân, v.v… và lấy lại nó để sử dụng cho những lần sau Nó giúp việc truy cập Website của người dùng nhanh hơn, tiện lợi hơn, giúp doanh nghiệp theo dõi được hành vi người dùng Là mục tiêu của tội phạm khi máy tính xâm nhập
Các thiết lập ATBM trên Web broswer
Các kẻ tấn công thường tập trung vào khai thác các lỗ hổng trong hệ thống phía máy khách, nhất là trong trình duyệt web, để cài đặt phần mềm độc hại hoặc lấy cắp thông tin của người dùng Đây là một phương pháp hiệu quả và chi phí thấp cho các kẻ tấn công
- Bảo mật tài khoản quản trị viên website
- Bảo vệ website khỏi tấn công DDOS
- Bảo vệ dữ liệu website và thông tin khách hàng
- Sao lưu website định kỳ
- Cập nhật bản vá bảo mật cho website
- Kiểm tra đánh giá an ninh website
- Đào tạo kiến thức và quản lý nhân viên
- Những thói quen tốt giúp bảo mật website
Wifi (Wireless Fidelity) là công cụ kết nối không thể thiếu trên điện thoại, laptop, máy tính bảng và một số thiết bị thông minh khác như smartwatch
Một số biện pháp tăng cường bảo mật Wifi
- Thay đổi tên mạng (SSID)
- Thay đổi tên người dùng và mật khẩu (Chọn mật khẩu mạnh)
- Sử dụng mã hóa mạnh để bảo mật wifi (WPA2)
- Thay đổi mật khẩu thường xuyên
- Vô hiệu hóa mạng khách (guest)
- Tắt WPS (Wi-Fi Protected Setup)
- Sử dụng Firewall của Router
- Quản lý firmware của bộ định tuyến
- Tắt quản lý từ xa/ dịch vụ không cần thiết
IP (Internet Protocol Security) là một bộ giao thức mật mã bảo vệ lưu lượng dữ liệu qua mạng Internet Protocol (IP)
Mạng IP – bao gồm cả World Wide Web – thiếu khả năng mã hoá và bảo vệ quyền riêng tư VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp một framework cho việc giao tiếp được mã hóa và riêng tư trên web
Cách thức hoạt động của IP:
- Header và trailer của packet
Công nghệ bảo mật và an toàn cơ sở dữ liệu
2.4.1 Lí do cần bảo mật CSDL
Cơ sở dữ liệu ngày nay đã trở thành một khía cạnh quan trọng trong cuộc sống hàng ngày của chúng ta, nhưng cũng khiến chúng ta dễ bị tấn công Điều này khiến an toàn bảo mật cơ sở dữ liệu trở thành một vấn đề toàn cầu cần giải quyết để giảm thiểu rủi ro và đối phó với các mối đe dọa tiềm năng
Bảo mật cơ sở dữ liệu là tập hợp các quy trình, tiêu chuẩn, chính sách và công cụ được áp dụng để bảo vệ dữ liệu tránh khỏi các hành vi đánh cắp, sử dụng sai mục đích và các cuộc xâm nhập, hoạt động, tấn công không mong muốn
2.4.2 Các cơ chế an toàn trong hệ quản trị cơ sở dữ liệu
SQL Injection là lỗ hổng bảo mật cho phép hackers toàn quyền truy cập và thay đổi cơ sở dữ liệu của hệ thống nạn nhân thông qua việc thay đổi câu lệnh SQL đang được hệ thống sử dụng.
An toàn và bảo mật thông tin qua chữ ký số
2.5.1 ATBM thông tin trên tài liệu, chứng từ điện tử
Bảo vệ thông tin trên tài liệu điện tử
- Sử dụng phần mềm bảo mật
- Sử dụng mật khẩu (Mức khẩu phức tạp, đổi khẩu thường xuyên)
- Cập nhật phần mềm, sao lưu thường xuyên
- Tăng cường giao dục an toàn thông tin
- Giới hạn quyền truy cập
Công cụ và dịch vụ bảo mật trên chứng từ điện tử
- Chứng chỉ số (Digital Certificates): Chứng chỉ số được cấp phát bởi các cơ quan uy tín và được sử dụng để xác định danh tính của người gửi và người nhận chứng từ
- Chữ ký số (Digital Signatures) : Giúp đảm bảo rằng tài liệu không bị sửa đổi sau khi đã ký và được đính kèm trực tiếp vào tài liệu điện tử
- Mã hóa Dữ liệu (Encryption): Bảo vệ chứng từ điện tử bằng cách biến đổi thông tin thành dạng không đọc được
- Quản Lý Quyền Truy Cập: Hạn chế quyền truy cập để chỉ những người được phép truy cập tài liệu điện tử
- Xác Thực Đa Yếu Tố (MFA): Sử dụng nhiều yếu tố xác thực để tăng cường bảo mật thông tin
- Dịch Vụ Lưu Trữ Đám Mây: Lưu trữ tài liệu điện tử an toàn trên máy chủ đám mây, hỗ trợ mã hóa và sao lưu định kỳ
2.5.2 ATBM thông tin dựa trên mã hóa
Một hệ mã hóa gồm 2 khẩu: Mã hóa (encryption) và giải mã (decryption) Ứng dụng của mã hóa:
- Dịch vụ xác thực (Kerberos, RADIUS,…)
- Các công cụ đánh giá và phân tích logs
- Các sản phẩm quản lý ATTT
- Các công cụ cho đảm bảo an toàn cho truyền thông không dây
- Các nền tảng bảo mật như PKI, PGP
- Các giao thức bảo mật như SSL/TLS, SSH, SET, IPSec
- Các hệ thống như VPN
2.5.3 Chữ ký số và chứng thực số
- Chữ ký số (digital signature) là dữ liệu đính kèm với văn bản để xác minh tác giả và kiểm tra toàn vẹn nội dung
- Chứng thực số (digital certificate) là kỹ thuật xác minh danh tính trên mạng và đảm bảo an toàn trong truyền tải thông tin
2.5.4 ATBM thanh toán điện tử
- Lựa chọn hình thức thanh toán
- Thường xuyên kiểm tra và theo dõi tình trạng tài khoản
- Kích hoạt xác thực 2 yếu tố cho tất cả các giao dịch trực tuyến
- Không lưu trữ thông tin thẻ tín dụng trực tuyến
- Vô hiệu hóa tính năng tự động điền thông tin (Autofill) trên trình duyệt
- Không thực hiện các giao dịch tài chính qua mạng wifi côngcộng
- Cảnh giác với các trang web lừa đảo
- Cảnh giác với những lời đề nghị khó tin
- Sử dụng mật khẩu an toàn
- Hợp tác với một đơn vị thanh toán online
- Theo dõi các giao dịch đáng ngờ
- Xác thực địa chỉ đối với mọi giao dịch
- Mã hóa để Bảo mật thanh toán
- Bảo mật thanh toán bằng Giao thức SSL
- Sử dụng giao thức HTTPS
- Tiêu chuẩn Giao dịch Điện tử An toàn (SET)
- Tuân thủ Tiêu chuẩn An ninh Dữ liệu Thẻ (PCI DSS)
- Màn hình đăng nhập an toàn
CHƯƠNG 3: KẾT QUẢ NGHIÊN CỨU
Căn bản về an toàn và bảo mật thông tin
3.1.1 Tóm tắt lại lịch sử ATTT
*Giai đoạn Thế chiến II:
• An ninh thông tin bắt đầu với xuất hiện của máy tính mainframe để giải mã tin nhắn từ máy mã hóa đối phương
• An ninh chủ yếu liên quan đến vật lý và phân loại tài liệu
• Mối đe dọa chính là mất trộm thiết bị, gián điệp và phá hoại
• Xuất hiện các vấn đề an ninh mới, như lỗi phần mềm làm rò rỉ tệp mật khẩu
*Giai đoạn1960 đến 1970: Trong thời Chiến tranh Lạnh, nhiều máy tính mainframe được kết nối trực tuyến để thực hiện các nhiệm vụ phức tạp hơn, và để giải quyết việc truyền thông dễ dàng hơn, ARPA đã phát triển ARPANET vào năm 1968
• Robert M Metcalfe nhận thức vấn đề an ninh trên ARPANET
• Báo cáo RAND R-609 mở rộng nghiên cứu về an ninh máy tính
• UNIX và MULTICS đóng vai trò quan trọng trong nghiên cứu an ninh máy tính
• Máy tính cá nhân (PC) và mạng máy tính phát triển
• Sự xuất hiện của sản phẩm chống vi-rút và lĩnh vực an ninh thông tin độc lập
• Internet đưa vào liên tục giao tiếp hàng triệu mạng máy tính
• Tăng cường nhận thức về cần cải thiện an ninh thông tin, đặc biệt trong quốc phòng
• Mối đe dọa từ cuộc tấn công mạng và chiến tranh thông tin tăng lên
• Luật Sarbanes-Oxley và các luật về quyền riêng tư ảnh hưởng đến an ninh máy tính
• Thay đổi lập pháp liên quan đến an ninh máy tính sau vụ tấn công vào Trung tâm Thương mại Thế giới vào năm 2001
3.1.2 Tìm hiểu các thuật ngữ
• Attack: Một cuộc tấn công vào hệ thống là một số hành động liên quan đến việc khai thác một số lỗ hổng để biến mối đe dọa thành hiện thực
• Risk(Rủi ro): rủi ro, xác suất xảy ra sự cố không mong muốn, chẳng hạn như một sự kiện bất lợi hoặc tổn thất
• Access (Truy cập): Quyền và khả năng truy cập vào thông tin hoặc tài nguyên nào đó trong hệ thống
• Asset (Tài sản): Bất cứ yếu tố nào có giá trị đối với tổ chức và cần được bảo vệ
• Exploit (Khai thác): Sử dụng một lỗ hổng hoặc yếu điểm trong hệ thống để tận dụng và tạo ra một tình huống không mong muốn
• Exposure (Tiếp xúc): Tình trạng khi một tài sản hoặc thông tin quan trọng có thể bị tiếp xúc với nguy cơ hoặc mối đe dọa
• Loss (Mất mát): Tình trạng mất mát về thông tin hoặc tài sản có giá trị
• Protection Profile (Hồ sơ bảo vệ): Một tài liệu mô tả yêu cầu bảo mật cụ thể cho một hệ thống, sản phẩm hoặc dịch vụ
• Security Posture (Tư thế bảo mật): Tổng thể về mức độ đề phòng và khả năng chống lại các mối đe dọa bảo mật Bao gồm cả các biện pháp bảo mật, chính sách, và các hoạt động quản lý rủi ro
• Threat Event (Sự kiện Đe dọa) ~ Attack (Tấn công): Sự kiện hoặc hành động gây nguy cơ đối với an toàn thông tin Một sự kiện đe dọa có thể dẫn đến một cuộc tấn công nếu không có biện pháp phòng ngừa
• Control, Safeguard, or Countermeasure (Kiểm soát, Biện pháp An toàn hoặc
Phương tiện Ngăn chặn): Các biện pháp hoặc quy trình được thực hiện để giảm thiểu rủi ro và bảo vệ hệ thống hoặc thông tin khỏi các mối đe dọa và tấn công
• Subjects and Objects (Chủ thể và Đối tượng):
- Chủ thể: Thực thể thực hiện các hành động trong hệ thống, thường là người dùng hoặc các thành phần của hệ thống
- Đối tượng: Các yếu tố mà chủ thể tác động lên hoặc nhận tác động từ, chẳng hạn như dữ liệu, tài nguyên hệ thống, hoặc các thành phần khác
3.1.3 Cho biết từng điều nào sau đây là vi phạm tính bảo mật, toàn vẹn, sẵn có, hoặc một số kết hợp của chúng o John chép bài tập về nhà của Mary: Điều này là vi phạm tính toàn vẹn và sẵn có của thông tin John trái với tính toàn vẹn của thông tin bằng cách sao chép bài tập của Mary mà không có sự cho phép hoặc ủy quyền o Paul đánh sập hệ thống của Linda: Điều này là vi phạm tính bảo mật và tính toàn vẹn của hệ thống Paul tấn công hệ thống của Linda để gây hỏng hoặc làm hỏng nó và đe dọa tính bảo mật của hệ thống o Carol thay đổi số tiền thanh toán của Angelo từ 100 đô la thành 1.000 đô la: Điều này là vi phạm tính toàn vẹn và tính bảo mật của dữ liệu tài chính Carol thay đổi thông tin thanh toán của Angelo một cách trái phép, gây ảnh hưởng đến tính toàn vẹn của thông tin và an ninh tài chính o Gina giả mạo chữ ký của Roger trên chứng thư: Điều này là vi phạm tính bảo mật và tính toàn vẹn của chứng thư hoặc giấy tờ quan trọng Gina giả mạo chữ ký của Roger để làm cho tài liệu trở nên không đáng tin cậy và có thể gây hại cho tính toàn vẹn của dữ liệu o Rhonda đăng ký tên miền “AddisonWesley.com” và từ chối cho nhà xuất bản mua hoặc sử dụng tên miền đó: Điều này là vi phạm tính sẵn có của tên miền và có thể bao gồm cả vi phạm tính toàn vẹn (nếu Rhonda thực hiện gian lận để đăng ký tên miền này) Rhonda ngăn cản nhà xuất bản mua hoặc sử dụng tên miền
3.1.4 Tìm và tóm tăt 3 Luật và 3 văn bản dươi luật liên quan đến ATTT
➢ Luật An toàn thông tin mạng: Luật này quy định các yêu cầu về an toàn thông tin mạng và quản lý gửi thông tin trên mạng Các điểm chính bao gồm:
- Yêu cầu không giả mạo nguồn gốc thông tin gửi trên mạng
- Nghiêm túc tuân thủ quy định pháp luật liên quan
- Điều chỉnh việc gửi thông tin thương mại mà người tiếp nhận đã từ chối
- Quy định trách nhiệm của các doanh nghiệp viễn thông và công nghệ thông tin về bảo vệ thông tin và an toàn mạng
➢ Luật Phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại: Luật này đề cập đến các biện pháp liên quan đến phần mềm độc hại, bao gồm:
- Trách nhiệm của cơ quan, tổ chức và cá nhân trong việc phòng ngừa và ngăn chặn phần mềm độc hại
- Triển khai hệ thống kỹ thuật để phát hiện và xử lý phần mềm độc hại
- Yêu cầu doanh nghiệp cung cấp dịch vụ truyền thông và Internet có hệ thống lọc phần mềm độc hại
- Phối hợp giữa các bộ ngành để xử lý phần mềm độc hại đe dọa quốc phòng và an ninh quốc gia
➢ Luật Bảo đảm an toàn tài nguyên viễn thông: Luật này tập trung vào bảo đảm an toàn tài nguyên viễn thông và bao gồm các quy định sau:
- Áp dụng biện pháp quản lý và kỹ thuật để ngăn chặn mất an toàn thông tin mạng
- Trách nhiệm của doanh nghiệp cung cấp dịch vụ Internet trong việc quản lý và phối hợp ngăn chặn mất an toàn thông tin mạng
- Bộ Thông tin và Truyền thông chịu trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống máy chủ tên miền quốc gia Việt Nam
3.1.5 Tóm tắt các nội dung của quy trình xây dựng hệ thống ATTT Software
B1: Điều tra khảo sát (investigation):
▪ Xác định nhu cầu và mục tiêu của hệ thống
▪ Thu thập thông tin từ các bên liên quan
▪ Đánh giá khả năng và chi phí của dự án
B2: Phân tích yêu cầu (Analysis):
▪ Phân tích chi tiết yêu cầu của người dùng và hệ thống
▪ Xác định chức năng và yêu cầu kỹ thuật
▪ Lập bản đặc tả yêu cầu chi tiết
▪ Xây dựng kiến trúc hệ thống dựa trên yêu cầu
▪ Tạo ra các thiết kế chi tiết về cơ sở dữ liệu, giao diện người dùng, và các thành phần phần mềm khác
▪ Đảm bảo rằng thiết kế đáp ứng các yêu cầu và mục tiêu đã đặt ra B4: Cài đặt (Implementation):
▪ Viết mã và triển khai hệ thống dựa trên thiết kế đã được xác nhận
▪ Thực hiện kiểm thử đơn vị để đảm bảo tính đúng đắn của mã nguồn
▪ Kết hợp các thành phần và thực hiện kiểm thử tích hợp
B5: Bảo trì (Maintenance and Change):
▪ Quản lý và giám sát hoạt động của hệ thống
▪ Tiếp tục hỗ trợ và bảo trì để đảm bảo tính ổn định và hiệu suất
▪ Thực hiện các cải tiến và điều chỉnh dựa trên phản hồi và yêu cầu mới
→Các giai đoạn được thực hiện tuần tự, có sự phản hồi của giai đoạn sau tới giai đoạn trước: o Initiation o Development/Acquisition o Implementation/Assessment o Operations and Maintenance o Disposal
3.1.6 Lập bảng so sánh 03 phương pháp: STRIDE, PASTA và CVSS
Bảng 3 1 Bảng so sánh 03 phương pháp: STRIDE, PASTA và CVSS
Người sáng lập Koren Kohnfelder và
Tony Uceda Vélez NIAC Độ phức tạp 3 bậc (chậm, thoải mái, nhanh)
Không phân rõ cấp bậc
4 bậc (thấp, trung, cao, quan trọng)
Mức độ sử dụng Được biết đến rộng rãi và vẫn được áp dụng vì nó dễ đồng hóa
Không được sử dụng rộng rãi và mất nhiều thời gian để thực hiện Được áp dụng rộng rãi, bao gồm cả các nhóm chính phủ như Cơ quan an ninh cơ sở hạ tầng
21 và an ninh mạng của Bộ An ninh Nội địa
Tìm ra các mối đe dọa đến vấn đề bảo mật và ngăn chặn chúng để xây dựng một ứng dụng hoặc hệ thống an toàn
Xác định các mối đe dọa tiềm ẩn trong phạm vi đối tượng của mình Đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật hệ thống máy tính
Môi trường hoạt động Ứng dụng, hệ thống, bối cảnh CNTT hoặc quy trình kinh doanh
Thực hiện trên các ứng dụng (di động, web, Internet, và các hệ thống công nghệ thông tin
Môi trường công nghệ thông tin, các hệ thống kết nối internet Ưu điểm - Dễ hiểu và dễ dạy giúp áp dụng phương pháp STRIDE giữa các thành viên nhóm phi bảo mật và phi kỹ thuật
- Nhanh chóng xác định các mối đe dọa cấp cao có thể ảnh hưởng đến hệ thống mà bạn đang lập mô hình
- Thực hiện tương đối nhanh
- Kết quả mang đến là rất toàn diện
- Có thể được tích hợp với các hoạt động kinh doanh khác
- Nhận đầu vào tự động
- Khắc phục điểm yếu như một tính năng
- Cung cấp một cách để nắm bắt các đặc điểm chính của lỗ hổng và tạo ra một điểm số phản ánh mức độ nghiêm trọng của nó
Khuyết điểm - Có thể không xác định được nhiều mối đe dọa chi tiết (tiềm ẩn) – nghĩa là các mối đe dọa bị bỏ sót
- Không gồm cơ chế tính đến các khung tiêu chuẩn như NISTCSF, yêu cầu ứng dụng,
- Phải làm quen với tư duy và khả năng của kẻ tấn công
- CNTT càng phát triển nên việc bị tấn công càng dễ xảy ra nên việc sử dụng phương pháp này này cần linh hoạt nhiều hơn
- Không cho thấy được rủi ro thực sự, và lỗ hổng đó có thể ảnh hưởng như thế nào đến môi trường của công ty
- Làm nảy sinh các vấn đề nghiêm trọng khi đối mặt với các mối đe dọa an ninh mạng
3.1.7 Vẽ mô hình sau bằng Microsoft Threat Modeling Tool
Hình 3 1 Mô hình Microsoft Modeling Tool
Bảng 3 2 Bảng liệt kê Threat 1
Bảng 3 3 Bảng liệt kê threat 2
1 Spoofing of Destination Data Store SQL Database [State: Not Started] [Priority: High]
SQL Database may be spoofed by an attacker and this may lead to data being written to the attacker's target instead of SQL Database Consider using a standard authentication mechanism to identify the destination data store
Mô tả: Cơ sở dữ liệu SQL có thể bị kẻ tấn công giả mạo và điều này có thể dẫn đến việc dữ liệu được ghi vào mục tiêu của kẻ tấn công thay vì Cơ sở dữ liệu SQL Cân nhắc sử dụng cơ chế xác thực tiêu chuẩn để xác định điểm đến của kho dữ liệu
2 Spoofing of An adversary can spoof the target web application due to insecure TLS certificate configuration [State: Not Started] [Priority: High]
Bảng 3 4 Bảng liệt kê threat 3
Ensure that TLS certificate parameters are configured with correct values
Mô tả: Đảm bảo rằng các tham số chứng chỉ TLS được định cấu hình với các giá trị chính xác
3 Spoofing of An adversary can steal sensitive data like user credentials [State: Not Started] [Priority: High]
Attackers can exploit weaknesss in system to steal user credentials Downstream and upstream componets are often accessed by using credentials store in configuration stores Attackers may steal the upstream componet credentials Attackers may steal credentials if, Credential are stored and in clear text, Weak input validation coupled with dynamic sql queries, Password retrieval mechanism are poor
An toàn và bảo mật thông tin trên máy tính cá nhân
Bước 1: Nhấn phím Windows + R , hộp thoại Run xuất hiện, nhập netplwiz rồi
OK of proper auditing and logging controls, it would become impossible to implement any accoundtability in a system
Mô tả: Việc ghi nhật ký đúng cách tất cả các sự kiện bảo mật và hành động của người dùng sẽ xây dựng khả năng truy nguyên trong hệ thống và ngăn chặn mọi vấn đề từ chối có thể xảy ra Trong trường hợp không có biện pháp kiểm soát ghi nhật ký và kiểm tra thích hợp, sẽ không thể triển khai bất kỳ trách nhiệm giải trình nào trong hệ thống
10 Information Disclosure of an adversary can reverse weakly encrypted or hashed content [State: Not Started] [Priority: High]
An adversary can reverse weakly encrypted or hashed content
Mô tả: Kẻ thù có thể đảo ngược nội dung được mã hóa hoặc băm yếu
Hình 3 2 Hộp thoại login win 10
Bước 2: Xuất hiện hộp thoại User Accounts, kiểm tra dòng Users must enter a user name and password to use this computer
Hình 3 3 Hộp thoại User Accounts login win 10
Chức năng "User must enter a user name and password to use this computer" (Người dùng phải nhập tên người dùng và mật khẩu để sử dụng máy tính này) có nhiệm vụ xác định và bảo vệ tính riêng tư của máy tính cá nhân Khi tính năng này được kích hoạt, người dùng sẽ phải cung cấp thông tin đăng nhập, bao gồm tên người dùng và mật khẩu, để truy cập và sử dụng máy tính
Bước 2: Click Personalization -> Click Lock screen
Hình 3 6 Chức năng Personnalization Lock screen
Bước 3: Tìm mục Screen saver setting
Hình 3 7 Hộp thoại Screen saver setting
Screensaver (hay còn gọi là màn hình chờ, màn hình nghỉ) là một chương trình máy tính hiển thị các hiệu ứng đồ họa hoặc hình ảnh khi máy tính ở trạng thái không sử dụng
Screensaver có một số tác dụng như tiết kiệm năng lượng (chẳng hạn màn hình chờ là hình nền màu đen), bảo mật máy tính (nếu sử dụng chế độ đăng nhập lại bằng mật khẩu) và có thể tạo ra hiệu ứng đẹp mắt giúp người sử dụng thư giãn trong lúc nghỉ ngơi
Nút checkbox “On resume, display logon screen“ có chức năng là yêu cầu người dùng đăng nhập lại nếu tiếp tục sử dụng máy tính sau màn hình chờ
3.2.3 Kiểm tra các thành phần an toàn bảo mật trên Win 10
Bước 1: Vào Settings, chọn Update & Security
Bước 2: Vào mục Windows security
Hình 3 10 Thành phần Windows security
Mô tả từng thành phần:
1.Virus threat protectione: giúp bạn quét các mối đe dọa trên thiết bị của mình Bạn cũng có thể chạy các kiểu quét khác nhau, xem kết quả quét mối đe dọa và vi-rút trước đó cũng như nhận được sự bảo vệ mới nhất
Hình 3 11 Chức năng Virus threat protectione
2 Account protection: Điều này giúp bạn bảo vệ danh tính Windows của mình với các tùy chọn đăng nhập Windows Hello, cài đặt tài khoản và khóa động
3.Firewall and Network Protection: Phần này cho phép bạn giám sát và định cấu hình mạng và kết nối internet cũng như các cài đặt Tường lửa khác nhau
Hình 3 13 Firewall and Network Protection
4 App and Browser Control: Trong phần này, bạn có thể kiểm soát các cài đặt bảo vệ dựa trên danh tiếng (SmartScreen), duyệt riêng biệt và khai thác Điều này cho phép bạn bảo vệ thiết bị và dữ liệu của mình trước các ứng dụng, file, trang web và nội dung tải xuống có thể nguy hiểm
Hình 3 14 App and Browser Control
5 Device Security: Tại đây, bạn có thể xem lại các tính năng bảo mật như Bộ xử lý bảo mật (TPM) và Secure Boot được tích hợp trong phần cứng của thiết bị để bảo vệ máy tính khỏi các mối đe dọa và tấn công
6 Device performance and health: Windows Security thường xuyên quét máy tính và hiển thị báo cáo tình trạng và hiệu suất của thiết bị trên trang này
Hình 3 16 Device performance and health
7 Family Options: Phần này giúp bạn theo dõi các thiết bị trong gia đình và theo dõi các hoạt động online của trẻ bằng tài khoản Microsoft
8 Protection history: Phần cuối cùng cho phép bạn xem và quản lý các đề xuất và hành động bảo vệ mới nhất từ Windows Security
3.2.4 Kiểm tra chức năng Ransomware Protection
Hình 3 19 chức năng Ransomware Protection
Ransomware là phần mềm độc hại mã hóa các tệp của bạn hoặc ngăn bạn sử dụng máy tính cho đến khi bạn trả tiền (tiền chuộc) để chúng được mở khóa
Vậy Ransomware Protection nó là một chức năng giúp bảo mật thiết bị của người dùng trước các cuộc tấn công Ransomware Tuy nhiên, theo mặc định, tính năng bảo vệ chống ransomware này bị tắt trên tất cả các thiết bị của Microsoft vậy nên chúng ta nên bật nó lên để tránh các cuộc tấn công Ransomware
Hình 3 20 Kiểm tra Tamper Protection
Tamper Protection có chức năng ngăn cài đặt Windows Security và Windows Defender bị thay đổi bởi các chương trình, công cụ dòng lệnh Windows, thay đổi Registry hoặc chính sách nhóm Khi bật, nó ngăn chặn phần mềm độc hại thay đổi cài đặt Bảo mật Windows Điều này giúp ngăn chặn tấn công từ vi-rút và Trojan horse( là virus máy tính)
Nếu Tamper Protection tắt, vi-rút có thể thay đổi cài đặt mà không gặp trở ngại Khi bật, nó ngăn chặn những thay đổi không hợp lệ này Tuy nhiên, quản trị viên vẫn có thể thay đổi cài đặt từ ứng dụng, và tính năng này không kiểm soát được phần mềm chống vi-rút của bên thứ ba
3.2.6 Kiểm tra Reputation-based protection
Hình 3 21 Kiểm tra Reputation-based protection
Cài đặt Reputation-based protection cho phép bạn kiểm soát tính năng Windows
Defender SmartScreen giúp bảo vệ thiết bị khỏi các ứng dụng, file, trang web và nội dung tải xuống độc hại và có khả năng không mong muốn
Check apps and files – Công tắc này bật / tắt Microsoft Defender SmartScreen để giúp bảo vệ máy tính bằng cách kiểm tra danh tiếng của các ứng dụng và file bạn có thể tải xuống từ web
SmartScreen cho Microsoft Edge – Cài đặt này giúp đánh giá và bảo vệ máy tính khỏi các trang web hoặc nội dung tải xuống độc hại Nếu bạn cố gắng truy cập các trang web lừa đảo hoặc phần mềm độc hại trên Edge, nó sẽ cảnh báo bạn về mối đe dọa tiềm ẩn từ các trang web đó Ngoài ra, nếu bạn cố gắng tải xuống các file không được công nhận, file đáng ngờ hoặc chương trình độc hại, Microsoft Edge sẽ cho bạn cơ hội dừng tải xuống
Tính năng Remote Desktop có thể hiểu đơn giản là một chương trình hỗ trợ bạn có thể điều khiển máy tính từ xa một cách dễ dàng dù bạn ở bất kì nơi đâu Với mục đích chính là chạy các ứng dụng hay thực hiện một lệnh nào đó trên máy tính từ xa
Khi tắt tính năng Remote Desktop (off), điều quan trọng nhất là máy tính sẽ không thể được điều khiển từ xa bằng cách sử dụng Remote Desktop Điều này đảm bảo tính bảo mật và quyền riêng tư của máy tính, ngăn chặn truy cập không ủy quyền từ xa Nó cũng giúp đảm
Hình 3 22 Kiểm tra Remote desktop
49 bảo rằng máy tính của ta không trở thành một mục tiêu dễ bị tấn công từ xa từ các mối đe dọa mạng
- 1: Kiểm tra 1 file , chọn biểu tượng File, sau đó tải tệp lên bằng cách bấm Choose File, sau đó bấm Scan it!
Hình 3 24 Sử dụng Virus Total
An toàn và bảo mật thông tin trên mạng máy tính
3.3.1 An toàn bảo mật trên Web browser Internet explorer
➢ *Google: khảo sát phần Privacy & Security :
Hình 3 89 khảo sát phần Privacy & Security của gg
Safety check: có chức năng kiểm tra các lĩnh vực quan trọng như bảo mật mật khẩu, tiện ích mở rộng và cài đặt duyệt web an toàn, cảnh báo về các lỗ hổng tiềm ẩn hoặc các vấn đề có thể ảnh hưởng đến sự an toàn trực tuyến.
Clear browsing data: có chức năng kiểm soát lịch sử và các dữ liệu duyệt web khác
Bạn có thể xóa tất cả dữ liệu của mình hoặc chỉ một số dữ liệu từ một thời điểm cụ thể Cách thực hiện :
1 Trên máy tính, hãy mở Chrome
2 Ở trên cùng bên phải, hãy nhấp vào biểu tượng Thêm Nhiều hơn.
3 Nhấp vào Công cụ và sau đó khác Xóa dữ liệu duyệt web
4 Chọn một khoảng thời gian, chẳng hạn như Giờ trước hoặc Từ trước đến nay
5 Chọn loại thông tin bạn muốn xóa
6 Nhấp vào Xóa dữ liệu
Cookies and other site data
➢ Cookies: Lưu trữ thông tin về các trang web bạn đã truy cập, giúp duyệt web trở nên thuận tiện
➢ Site data: Bao gồm các dữ liệu khác như cache và dữ liệu lưu tạm của các trang web bạn đã truy cập
➢ Safe browsing: Chức năng này bật cảnh báo về các trang web có thể đe dọa an toàn của bạn, như trang web chứa phần mềm độc hại
➢ Advanced: Cung cấp các tùy chọn bảo mật nâng cao như cấu hình kết nối an toàn và quản lý chứng chỉ
Site settings: Site settings trong Google Chrome là một tính năng cho phép bạn kiểm soát cách các trang web hoạt động trên trình duyệt của mình Bạn có thể sử dụng tính năng này để chặn hoặc cho phép các trang web truy cập vào các tính năng trên máy tính của mình, chẳng hạn như vị trí, máy ảnh, micro, v.v
➢ Recent activity: hiển thị lịch sử hoạt động gần đây trên các trang web Chúng ta có thể sử dụng thông tin này để xem các trang web đã truy cập gần đây và xóa dữ liệu duyệt web của mình
➢ Permission: cho phép bạn kiểm soát cách các trang web truy cập vào các tính năng trên máy tính của mình
➢ Content: cho phép bạn kiểm soát nội dung hiển thị trên các trang web như là quảng cáo, hình ảnh,…
Mozila Firefox: khảo sát phần Privacy & Security :
Hình 3 90 Khảo sát phần Privacy & Security Mozila Firefox
❖ Enhanced Tracking Protection (Bảo vệ Theo dõi Nâng cao): Chức năng này giúp ngăn chặn các trình theo dõi và quảng cáo liên quan đến quyền riêng tư khi bạn duyệt web Bạn có thể cấu hình cài đặt để chặn các nỗ lực theo dõi
❖ Cookies and Site Data (Cookies và Dữ liệu trang web): Tại đây, bạn có thể quản lý cài đặt liên quan đến cookies và dữ liệu trang web Bạn có thể chọn để chặn cookies từ các trang web cụ thể hoặc xóa dữ liệu duyệt web đã lưu
❖ Forms & Passwords (Biểu mẫu & Mật khẩu): Cho phép bạn quản lý các mật khẩu đã lưu và cài đặt tự động điền biểu mẫu
❖ History (Lịch sử): Cho phép bạn xem và xóa lịch sử duyệt web của bạn
❖ Permissions (Quyền truy cập): Cho phép bạn quản lý các quyền truy cập mà các trang web cụ thể có đối với máy tính của bạn, chẳng hạn như quyền truy cập máy ảnh, microphone và vị trí
❖ Security (Bảo mật): Bạn có thể xem các chứng chỉ bảo mật và cấu hình các cài đặt liên quan đến trình duyệt an toàn
❖ Certificates (Chứng chỉ): Cho phép bạn quản lý các chứng chỉ bảo mật và xác thực
❖ Notifications (Thông báo): Tại đây, bạn có thể quản lý cài đặt liên quan đến thông báo từ các trang web và ứng dụng
❖ Deceptive Content and Dangerous Software Protection (Bảo vệ Nội dung Đánh lừa và Phần mềm Nguy hiểm): Firefox tự động kiểm tra các trang web để ngăn chặn trang web đánh lừa hoặc chứa phần mềm nguy hiểm
❖ Certificates View (Xem Chứng chỉ): Cho phép bạn xem danh sách các chứng chỉ đã được cài đặt
3.3.2 Thiết lập cơ chế an toàn BM trên mạng xã hội(ví dụ : Fackebook)
1 Đăng nhập vào tài khoản Facebook của bạn
2 Nhấp vào Cài đặt & Quyền riêng tư
Hình 3 91 Tính năng bảo mật trên facebook
4 Chuyển đến Mật khẩu và bảo mật
Hình 3 92 Các tùy chọn bảo mật trên facebook
Các tùy chọn bảo mật:
➢ Đổi Mật Khẩu: Cho phép bạn thay đổi mật khẩu đăng nhập vào tài khoản, giúp bảo vệ tài khoản khỏi việc truy cập trái phép
➢ Xác Minh Hai Yếu Tố (2FA): Cung cấp lớp bảo mật bổ sung bằng cách yêu cầu mã xác minh hoặc thông báo xác minh qua điện thoại di động khi đăng nhập từ thiết bị mới
➢ Thông Tin Đăng Nhập Đã Lâu: Cho phép xem và quản lý các thiết bị đã đăng nhập vào tài khoản, đồng thời cung cấp thông tin về thời gian hoạt động
➢ Nơi Bạn Đăng Nhập: Hiển thị danh sách các địa điểm và thiết bị bạn đã sử dụng để đăng nhập vào tài khoản Facebook
➢ Cảnh Báo Đăng Nhập: Nhận cảnh báo khi có hoạt động đăng nhập từ thiết bị hoặc địa điểm mới
➢ Email Gần Đây: Xác nhận và quản lý địa chỉ email sử dụng để bảo mật tài khoản
➢ Kiểm Tra Bảo Mật: Tổng hợp các tùy chọn khác nhau để kiểm tra và cập nhật cài đặt bảo mật của tài khoản
3.3.3 Lab thiết lập các tùy chọn bảo mật cho Wifi Router
• Thay đổi tên mạng (SSID) :Truy cập vào link trên chọn TL - WDR3500 → chọn
Wireless 2.4GHz hoặc 5 GHz → chọn Wireless Settings → ở mục Wireless Network Name nhập tên wifi bạn muốn thay đổi → chọn nút Save → chọn Systems Tools → chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
Hình 3 93 Thay đổi tên mạng (SSID)
• Thay đổi tên người dùng và mật khẩu: Truy cập vào link trên chọn TL -
WDR3500 → chọn Wireless 2.4GHz hoặc 5 GHz → chọn Wireless Security → ở mục WPA/WPA2 – Personal (Recommended) → nhập mật khẩu bạn muốn thay đổi ở mục PSK Password → chọn nút Save → chọn Systems Tools → chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
Hình 3 94 Thay đổi tên người dùng và mật khẩu
• Sử dụng mã hóa mạnh để bảo mật wifi (WPA2): Truy cập vào link trên chọn TL -
WDR3500 → chọn Wireless 2.4GHz → chọn Wireless Security → ở mục WPA/WPA2 thiết lập những phần sau
❖ Version: chọn là WPA-PSK hoặc WPA2-PSK
❖ Encryption: chọn TKIP hoặc AES Sau đó chọn nút Save → chọn Systems Tools → chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
Hình 3 95 Sử dụng mã hóa mạnh để bảo mật wifi (WPA2)
• Vô hiệu hóa mạng khách (guest): Truy cập vào link trên chọn TL - WDR3500 → chọn Wireless 2.4GHz hoặc 5 GHz → chọn Wireless MAC Filtering → ở mục
Wireless MAC Filtering thay đổi thành Disabled → ở mục Filtering Rules chọn Deny
→ chọn Systems Tools → chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
Hình 3 96 Vô hiệu hóa mạng khách (guest)
• Tắt WPS (Wi-Fi Protected Setup): Truy cập vào link trên chọn TL - WDR3500 → chọn Wireless 2.4GHz hoặc 5 GHz → chọn WPS → nếu bạn chưa có thiết bị thì nhân vào nút button “Add device” sau đó nhấn nút button “Connect” → nhấn vào nút button
“Disable WPS” → chọn Systems Tools → chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
Hình 3 97 Tắt WPS (Wi-Fi Protected Setup)
• Sử dụng Firewall của Router: Truy cập vào link trên chọn TL - WDR3500 → chọn
Security, ở đây chỉnh các thông số bạn muốn → chọn Systems Tools → chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
Hình 3 98 Sử dụng Firewall của Router
• Quản lý firmware của bộ định tuyến: Truy cập vào link trên chọn TL - WDR3500
→ chọn Systems Tools → chọn Firmware Upgrade → chọn button “Choose File” → chọn button “Upgrade”
Hình 3 99 Quản lý firmware của bộ định tuyến
• Tắt quản lý từ xa/ dịch vụ không cần thiết: Truy cập vào link trên chọn TL -
WDR3500 → chọn Security → chọn Remote Management → nhập địa chỉ IP muốn điều khiển → chọn nút Save
Hình 3 100 Tắt quản lý từ xa/ dịch vụ không cần thiết
Tải Wireshark tại Wireshark ã Download Để bắt được gói tin, Wireshark phải được cài đặt trên máy tính có kết nối mạng (LAN, mạng ảo, Internet…v.v) đang hoạt động và Wireshark phải được chạy trước, trước khi quá trình trao đổi dữ liệu diễn ra
➢ Thực hiện lệnh ping (ping địa chỉ IP) tới một máy tính khác Ví dụ: ping tới địa chỉ IP của máy google.com
- Thực hiện lệnh ping (ping địa chỉ IP) tới một máy tính khác
- Ví dụ: ping tới địa chỉ IP của máy google.com (192.168.1.1)
Hình 3 101 ping tới địa chỉ IP của máy google.com
- Quan sát kết quả ở cửa sổ “Danh sách các gói tin” của chương trình Wireshark, trả lời các câu hỏi sau:
➢ Tìm ra các dòng thể hiện quá trình ping vừa thực hiện, gồm các dòng nào (số thứ tự)?
Hình 3 102 Các dòng thể hiện quá trình ping
Số 1: Gói tin ping từ máy tính của bạn tới máy tính google.com
Số 2: Gói tin trả lời từ máy tính google.com tới máy tính của bạn
➢ Lệnh ping sử dụng giao thức gì? Tên đầy đủ của giao thức đó?
Lệnh ping sử dụng giao thức ICMP (Internet Control Message Protocol) Tên đầy đủ của giao thức này là Internet Control Message Protocol
➢ Hai loại gói tin (message) của lệnh ping?
- ICMP Echo Request (8): Gói tin yêu cầu phản hồi
- ICMP Echo Reply (0): Gói tin phản hồi
➢ Trong cửa sổ “Danh sách các gói tin” chỉ chứa địa chỉ nguồn và đích của 2 máy bạn vừa thực hiện lệnh ping, có đúng không? Nếu không thì tại sao?
Trong cửa sổ “Danh sách các gói tin” chỉ chứa địa chỉ nguồn và đích của 2 máy bạn vừa thực hiện lệnh ping Điều này là đúng
➢ Vào menu File, chọn mục Close, chọn Continue without Saving để đóng cửa sổ kết quả Để đóng cửa sổ kết quả, vào menu File, chọn mục Close, chọn Continue without Saving
3.3.5 Nghe lén sử dụng Wireshark
• Mở Wireshark lên và bạn thực hiện như sau:
Hình 3 104 Mở Mở Wireshark chọn wifi
Công nghệ bảo mật và đảm bảo an toàn cơ sở dữ liệu
3.4.1 Tìm hiểu về SQL Injection
SQL injection là một cuộc tấn công trong đó mã độc được chèn vào các chuỗi mà sau đó được chuyển đến một phiên bản của SQL Server để phân tích cú pháp và thực thi Bất kỳ quy trình nào xây dựng các câu lệnh SQL nên được xem xét các lỗ hổng tiêm vì SQL Server sẽ thực hiện tất cả các truy vấn hợp lệ về mặt cú pháp mà nó nhận được
Ví dụ: trên website https://www.hacksplaining.com/exercises/sql-injection
Bước 1: Truy cập vào địa chỉ trên và thực hiện theo hướng dẫn, chọn để hiện các hướng dẫn tiếp theo
Hình 3 110 Mở SQL injection Injection
Bước 2: Nhập Email và Password theo hướng dẫn → Log in
Hình 3 111 Nhập mật khẩu và password trong SQL injection
Bước 3: Web sẽ báo lỗi không tìm thấy tài khoản này, yêu cầu nhập thêm ký tự ‘
Hình 3 112 SQL injection thông báo lỗi không tìm thấy tài khoản
Bước 4: Web vẫn hiện lỗi không tìm thấy, đây là một cách để có thể tạo ra đoạn code giả để xâm nhập vào web
Hình 3 113 Hiển thị lỗi để để có thể tạo ra đoạn code giả để xâm nhập vào web
Bước 5: Người dùng sẽ tiếp tục được gợi ý một password khác để nhập vào như hình bên dưới:
Hình 3 114 Nhập password ký tự đặc biệt
Bước 6: Đã đăng nhập thành công
Hình 3 115 Đăng nhập thành công khi nhập kí tự đặc biệt
**Nêu ra các bước bảo vệ:
▪ Lọc đầu vào cơ sở dữ liệu: Phát hiện và lọc ra mã độc từ đầu vào của người dùng
▪ Hạn chế mã cơ sở dữ liệu: Ngăn chặn các truy vấn và thăm dò cơ sở dữ liệu ngoài ý muốn bằng cách giới hạn các thủ tục và mã cơ sở dữ liệu
▪ Hạn chế quyền truy cập cơ sở dữ liệu: Ngăn chặn truy cập trái phép, rò rỉ hoặc xóa dữ liệu thông qua các hạn chế kiểm soát truy cập
▪ Duy trì các ứng dụng và cơ sở dữ liệu: Giữ cho cơ sở dữ liệu được vá và cập nhật đầy đủ Nâng cấp khi có thể
▪ Giám sát đầu vào và truyền thông ứng dụng và cơ sở dữ liệu: Giám sát giao tiếp để phát hiện và chặn các nỗ lực SQL độc hại
3.4.2 Tìm hiểu các cơ chế bảo mật của Microsoft SQL Server
✓ Luôn Mã Hóa (Always Encrypted):
- Mã hóa dữ liệu khi lưu trữ và truyền dữ liệu qua mạng
- Giải mã chỉ được thực hiện bởi thư viện máy khách, giữ cho máy chủ không thể truy cập dữ liệu rõ ràng
- Sử dụng mã hóa ngẫu nhiên để cải thiện hiệu suất
✓ Mặt Nạ Dữ Liệu Động (Dynamic Data Masking - DDM):
- Sử dụng để xáo trộn dữ liệu ở cấp cột khi Always Encrypted không khả dụng
- DDM có thể sử dụng như một phương pháp bổ sung, tuy không tương thích hoàn toàn với Always Encrypted
- Cấp quyền ở cấp cột cho hàm bảng, dạng xem hoặc bảng có giá trị
- Chỉ cấp quyền SELECT, REFERENCES, and UPDATE trên một cột
- Lưu ý rằng DENY cấp bảng không ưu tiên hơn GRANT cấp cột
✓ Bảo mật Cấp Hàng (Row-Level Security - RLS):
- RLS là cơ chế cho phép kiểm soát quyền truy cập vào các hàng trong cơ sở dữ liệu bằng cách tận dụng ngữ cảnh thực thi của người dùng
- Logic nghiệp vụ được quản lý trong các hàm có giá trị bảng, được điều khiển bởi chính sách bảo mật
✓ Chính Sách Bảo Mật với Vị Ngữ FILTER và BLOCK:
- Sử dụng chính sách bảo mật để quản lý vị ngữ FILTER và BLOCK ràng buộc với các bảng mà RLS hoạt động
- Kết hợp RLS với Always Encrypted hoặc DDM để tối đa hóa vị thế bảo mật
Mã hóa dữ liệu minh bạch (TDE)
✓ TDE giúp bảo vệ dữ liệu ở cấp độ tệp bằng cách cung cấp mã hóa khi dữ liệu đang ở trạng thái nghỉ
✓ Bảo vệ dữ liệu trước khi lưu trữ vật lý và khi đang chuyển đổi giữa trạng thái mã hóa và trạng thái rõ ràng
✓ Sử dụng khóa mã hóa cơ sở dữ liệu (DEK) để thực hiện mã hóa và giải mã dữ liệu
Kiểm tra và báo cáo
✓ Tạo chính sách kiểm tra ở cấp độ máy chủ hoặc cơ sở dữ liệu để đảm bảo tuân thủ bảo mật
✓ Kiểm tra định kỳ các bảng và cột chứa dữ liệu nhạy cảm để đảm bảo áp dụng đúng các biện pháp bảo mật
Danh tính và xác thực
✓ Sử Dụng Vai Trò Đặc Quyền Tối Thiểu: Thực hiện chiến lược bảo mật dựa trên vai trò với quyền tối thiểu để quản lý bảo mật hiệu quả
✓ Tận Dụng Bảo Mật Active Directory (AD): Đặt người dùng AD trong nhóm AD và cấp quyền theo vai trò SQL Server để tận dụng bảo mật nhóm
✓ Sử Dụng Xác Thực Đa Yếu Tố (MFA):Áp dụng MFA cho các tài khoản cấp máy để bảo vệ chống lại việc xâm phạm thông tin đăng nhập
✓ Yêu Cầu Mật Khẩu Mạnh: Đặt yêu cầu về mật khẩu mạnh và thường xuyên cập nhật mật khẩu theo chính sách AD
3.4.3 Tìm hiểu các cơ chế bảo mật của Oracle
Oracle Advanced Security: Bao gồm nhiều tính năng như mã hóa dữ liệu, chứng thực mạnh mẽ, và quản lý khóa để cung cấp bảo mật cho dữ liệu cả trong quá trình truyền và lưu trữ
Oracle Label Security (OLS): Cho phép bạn thực hiện kiểm soát truy cập dựa trên nhãn
(label) của dữ liệu, giúp quản lý và bảo vệ thông tin phân loại cấp cao
Oracle Virtual Private Database (VPD): Cho phép tạo các quy tắc mặt định để kiểm soát quyền truy cập vào dữ liệu dựa trên điều kiện xác định, giúp tăng cường bảo mật cấp dữ liệu
Oracle Database Vault: Cung cấp các tính năng bảo mật mạnh mẽ như kiểm soát quyền truy cập, ghi nhật ký chi tiết và các quy tắc kiểm soát quyền tùy chỉnh để ngăn chặn việc truy cập trái phép vào dữ liệu nhạy cảm
Oracle Audit Vault and Database Firewall: Giúp theo dõi và bảo vệ dữ liệu bằng cách tự động kiểm soát, ghi lại và báo cáo các hoạt động không mong muốn và xâm phạm
Oracle Transparent Data Encryption (TDE): Mã hóa dữ liệu trong cơ sở dữ liệu và các tệp sao lưu để bảo vệ thông tin nhạy cảm khỏi việc truy cập trái phép
Oracle Network Security: Sử dụng SSL/TLS để bảo vệ thông tin trong quá trình truyền từ client đến server và giữa các server
Oracle Database Firewall: Kiểm soát truy cập đến cơ sở dữ liệu bằng cách theo dõi và ngăn chặn các truy cập không mong muốn hoặc độc hại
Oracle Database Security Assessment Tool (DBSAT): Cung cấp kiểm tra tự động về các lỗ hổng bảo mật trong cơ sở dữ liệu Oracle và đưa ra khuyến nghị để cải thiện bảo mật
Oracle Data Masking and Subsetting: Cho phép che giấu thông tin nhạy cảm trong cơ sở dữ liệu và tạo ra bản sao dữ liệu có kích thước nhỏ để sử dụng trong môi trường thử nghiệm mà vẫn giữ được tính riêng tư
Oracle Security Inside Out (SOX): Cung cấp nhiều công cụ và phương pháp để tối ưu hóa bảo mật trong các cơ sở dữ liệu Oracle
3.4.4 Tìm hiểu các cơ chế bảo mật của MySQL
Authentication and User Management (Xác thực và Quản lý Người dùng):
- Các phương thức xác thực mạnh mẽ
- Quản lý người dùng và phân quyền chi tiết
- Hỗ trợ SSL/TLS để bảo vệ kết nối giữa máy chủ và máy khách
- Mã hóa cột dữ liệu để bảo vệ thông tin nhạy cảm
Audit Logging (Ghi nhật ký Kiểm tra): Khả năng ghi lại các sự kiện quan trọng và hoạt động trong cơ sở dữ liệu
Access Control (Kiểm soát truy cập): Tích hợp với các tường lửa và kiểm soát truy cập
Secure Installation and Configuration (Cài đặt và Cấu hình An toàn): Hướng dẫn chi tiết về cách cài đặt và cấu hình MySQL một cách an toàn
Backup and Recovery Security (Bảo mật Sao lưu và Khôi phục): Các chiến lược và biện pháp an toàn liên quan đến việc sao lưu và khôi phục dữ liệu
Security Plugins (Plugin Bảo mật): Sử dụng các plugin để mở rộng tính năng bảo mật
Latest Security Updates (Cập nhật Bảo mật Mới nhất): Thông tin về các bản cập nhật bảo mật mới nhất để duy trì tính an toàn của hệ thống.
An toàn và bảo mật thông tin qua chữ ký số
3.5.1 Thực hiện khảo sát các tính năng bảo vệ tài liệu điện tử trong Word, Excel,
PowerPoint Tạo chữ ký số trong file tài liệu điện tử
Bảo vệ tài liệu điện tử trong Word
▪ Đặt mật khẩu bảo vệ File: Ngăn chặn người khác mở tài liệu mà không có mật khẩu
B3: Chọn “Protect Document”-> chọn Encrypt with Password
Hình 3 116 Đặt mật khẩu bảo vệ File word
▪ Chèn chữ ký số: Ký tài liệu để xác nhận tính toàn vẹn và nguồn gốc
B3: Chọn nơi bạn muốn chèn chữ ký
B4:Trong thanh menu, chọn "Insert" và sau đó chọn "Signature Line." B5:Nhập thông tin yêu cầu cho chữ ký và lựa chọn "OK."
B6:Bạn có thể thêm hình ảnh hoặc viết tay chữ ký nếu cần
Hình 3 117 Chữ ký số trong file word
▪ Chứng thực: Đảm bảo rằng tài liệu chưa được sửa đổi từ khi được tạo chứng thực
B2: Điều hướng đến "File" > "Info."
B3: Chọn "Protect Document" và sau đó "Add a Digital Signature."
B4: Làm theo hướng dẫn để tạo chứng thực
Hình 3 118 Chứng thực trong file word
▪ Kiểm Soát Quyền Truy Cập RMS (Rights Management Service): Xác định ai có thể xem, chỉnh sửa, sao chép hoặc in tài liệu
B1: Mở tài liệu và điều hướng đến "File" > "Info."
B2: Chọn "Protect Document" > "Restrict Access."
B3: Chọn "Restrict permission to this document" và cấu hình quyền truy cập
Hình 3 119 Kiểm Soát Quyền Truy Cập RMS trong file word
Bảo vệ tài liệu điện tử trong Excel
▪ Bảo vệ Ô và Tế bào: Ngăn chặn việc chỉnh sửa nội dung của một ô hoặc tế bào cụ thể
B1: Mở tài liệu Excel và chọn phạm vi ô hoặc tế bào bạn muốn bảo vệ B2: Điều hướng đến tab "Review" trên thanh đối tượng
B3: Chọn "Protect Sheet" hoặc "Protect Workbook" và nhập mật khẩu để bảo vệ
Hình 3 120 Bảo vệ Ô và Tế bào trong excel
▪ Kiểm soát Dữ liệu Bảo mật: Xác nhận người dùng: Yêu cầu người dùng xác nhận để mở tài liệu
B1: Mở tài liệu Excel và chọn "File" > "Info."
B2: Chọn "Protect Workbook" > "Protect Workbook Structure."
B3: Nhập mật khẩu và xác nhận
Hình 3 121 Kiểm soát Dữ liệu Bảo mật trong excel
▪ Tính Năng Duyệt Tài liệu: Chỉ cho phép xem tài liệu và không thể sao chép nội dung
B1: Mở tài liệu Excel và chọn "File" > "Info."
B2: Chọn "Protect Workbook" > "Mark as Final."
B3: Xác nhận để đánh dấu tài liệu là chỉ để xem và không thể chỉnh sửa
Hình 3 122 Tính năng duyệt tài liệu trong excel
Bảo vệ tài liệu điện tử trong PowerPoint
▪ Mật khẩu Bảo vệ: Mật khẩu Mở và Sửa đổi: Tương tự như Word, ngăn chặn việc mở và chỉnh sửa tài liệu
▪ Trình Chiếu An Toàn: Chỉ trình chiếu trên màn hình cụ thể: Ngăn chặn việc trình chiếu trên màn hình khác nếu có nhiều màn hình
B1: Mở tài liệu PowerPoint và chọn tab "Slide Show."
B2: Chọn "Set Up Slide Show" trong nhóm "Start Slide Show."
B3: Dưới phần "Multiple monitors," chọn "Display Slide Show on" và chọn màn hình cụ thể
B4: Bạn cũng có thể chọn "Browsed by an individual (window)" để giữ trình chiếu trên màn hình cụ thể
▪ Chế độ Bảo vệ trình chiếu: Kiểm soát Trình chiếu: Xác định ai có quyền trình chiếu và theo dõi trình chiếu từ xa
B1: Mở tài liệu PowerPoint và chọn tab "Slide Show."
B2: Chọn "Slide Show Settings" trong nhóm "Start Slide Show."
B3: Chọn "Use Presenter View" để sử dụng chế độ bảo vệ trình chiếu
B4: Trong chế độ này, bạn có thể xác định ai có quyền trình chiếu và theo dõi trình chiếu từ xa
Tạo chữ kỹ số trong file word:
Hình 3 123 Tạo chữ kỹ số trong file word
Hình 3 124 Kết quả Tạo chữ kỹ số trong file word
3.5.2 Cho một tập tin bất kỳ, hãy tạo một chữ ký số sử dụng phần mềm tạo chữ ký số miễn phí như Gpg4win hoặc Kleopatra
Bước 2: Mở ứng dụng và chọn New Key Pair
Hình 3 125 Mở ứng ứng Kleopatra
Bước 3: Hiện bảng Create OpenPGP – Kleopatra Điền thông ti, chọn ô Advanced sau đó chọn RSA và 2,048 bits Nhấn Ok sau khi chọn xong
Hình 3 126 Hộp thoại Create OpenPGP – Kleopatra
Hình 3 127 Hộp thoại Advanced setting
Bước 4: Click phải chọn Export sau đó chọn nơi lưu trữ Click phải lần nữa chọn backup secret Keys và save
Hình 3 129 Chọn thư mục lưu sử dụng Kleopatra
Bước 5: Mở file vừa lưu ở Bước 4 Ta có thể tạo mới file bất kì hoặc đã có vào cùng một thư mục
Hình 3 130 Tạo mới file bất kì hoặc đã có vào cùng một thư mục
Bước 6: Chọn Sign/Encrypt Sau đó chọn file cần mã hóa Sau đó hiện trang tên
Sign/Encrypt Files – Kleopatra và nhấn nút Sign/Encrypt cuối gốc phải Chạy xong mã hóa ta nhấn finish
Hình 3 132 Thao tác mã hóa file
Bước 7: Để mở file mã hóa ta vào Import chọn file cần mã hóa Sau đó nhấn
Decrypt/Verify chọn file vừa Import
Hình 3 133 Chọn import để mã h
3.5.3 Thực hiện một mã hóa đơn giản bằng cách sử dụng công cụ mã hóa trực tuyến như CyberChef hoặc Cryptii
Bước 1: Truy cập CyberChef (gchq.github.io)
Bước 2: Nhập vào ô input 1 đoạn tin nhắn bí mật
Hình 3 134 Tạo chữ bất kì trong input CyberChef
Bước 3: Sau khi nhập vào input xong sau đó chọn kiểu mã hóa tại ô Operation và kéo thả vào ô Recipe:
Hình 3 135 Chọn kiểu mã hóa
Bước 4: Kết quả tại ô Output
Hình 3 137 Kết quả sau khi tạo ở khung Output
3.5.4 Tìm hiểu về các hình thức thanh toán trực tuyến như thẻ tín dụng, ví điện tử và chuyển khoản ngân hàng
Thanh toán trực tuyến bằng thẻ tín dụng
➢ Thẻ tín dụng là một công cụ thanh toán giúp người sử dụng mua sắm mà không cần phải có số dư trước, dựa vào hạn mức tín dụng được ngân hàng cấp
➢ Hạn mức thẻ tín dụng: Được xác định dựa trên hồ sơ và uy tín cá nhân của người đăng ký, đây là số tiền tối đa có thể sử dụng Việc vượt quá hạn mức có thể gây phí phạt
➢ Rủi ro và biện pháp an toàn:
- Bảo mật CVV: Người dùng cần giữ bí mật số CVV để tránh rủi ro mất thông tin tài khoản
- Bảo vệ thẻ: Ghi nhớ CVV và sử dụng băng dính hoặc xước dải số để tránh lộ thông tin khi nhận thẻ
- Cẩn trọng khi chia sẻ thông tin: Tránh chia sẻ thông tin thẻ quá mức và hạn chế việc cho người khác mượn thẻ
➢ Tính an toàn và bảo mật: Được bảo vệ bởi các biện pháp an toàn như mã bảo mật, bảo hiểm giao dịch, và kiểm soát hạn mức
Thanh toán trực tuyến bằng ví điện tử
➢ Ví điện tử là một tài khoản trực tuyến giúp người dùng chuyển và nhận tiền, thanh toán cho hàng hóa và dịch vụ qua các ứng dụng như MoMo, VNPay, Viettel Pay
➢ Chức năng của ví điện tử:
- Chuyển và nhận tiền: Thực hiện giao dịch chuyển và nhận tiền một cách nhanh chóng
- Thanh toán hóa đơn: Cung cấp tính năng thanh toán hóa đơn điện, nước, mạng, và nhiều dịch vụ khác
- Lưu trữ tiền trực tuyến: Giảm sự sử dụng tiền mặt và giúp tránh rủi ro lạm phát
➢ Tính ao toàn và bảo mật: Tùy thuộc vào ứng dụng, đa dạng biện pháp bảo mật như mã PIN, xác minh hai yếu tố, và mã OTP
Liên kết với ngân hàng: Người dùng có thể liên kết ví điện tử với tài khoản ngân hàng để nạp tiền và thực hiện các giao dịch thuận lợi
➢ Tính an toàn và bảo mật: Cung cấp mức độ bảo mật cao với mã PIN, mã OTP, và quy trình xác thực cẩn thận từ ngân hàng
3.5.5 Tìm hiểu về các công nghệ bảo mật thanh toán như SSL/TLS, mã hóa dữ liệu và 3D Secure
SSL (Lớp Cổng Bảo Mật) và TLS (Bảo Mật Lớp Vận Chuyển):
- SSL và TLS là giao thức mật mã giúp đảm bảo tính an toàn trong giao tiếp qua mạng
- TLS là phiên bản hiện đại và an toàn hơn của SSL
- Mục đích chính bao gồm bảo mật thông tin, toàn vẹn dữ liệu và xác thực người tham gia giao tiếp
- Sử dụng mật mã đối xứng và bất đối xứng để đảm bảo an toàn trong quá trình truyền tải dữ liệu
Quy trình Bắt Tay SSL/TLS:
- Trình duyệt gửi thông báo "ClientHello" đến máy chủ, đề cập đến khả năng và tùy chọn SSL/TLS của nó
- Máy chủ phản hồi thông báo "ServerHello", chọn mức mã hóa cao nhất được hỗ trợ
- Máy chủ gửi chứng chỉ kỹ thuật số của mình để xác thực
- Trình duyệt xác minh chứng chỉ và tạo khóa phiên ngẫu nhiên
- Khóa phiên được truyền giữa trình duyệt và máy chủ để mã hóa dữ liệu
- 3D Secure là giao thức xác thực cho thanh toán trực tuyến, hỗ trợ an toàn giao dịch thẻ tín dụng và ghi nợ
- Bổ sung lớp xác minh, yêu cầu người mua nhập mật khẩu hoặc mã một lần để xác nhận định danh chủ thẻ
▪ Người mua nhập chi tiết thẻ và thông tin bình thường
▪ Cửa sổ bật lên yêu cầu mật khẩu hoặc gửi mã xác minh đến thiết bị di động
▪ Người mua xác nhận bằng cách nhập mật khẩu hoặc mã, chứng minh họ là chủ thẻ hợp pháp
▪ Giao dịch được xử lý sau khi xác minh
➔ Cách Các Công Nghệ Giúp Bảo Vệ Thông Tin Cá Nhân và Giảm Thiểu Rủi Ro:
- Mã Hóa Dữ Liệu: Cả hai công nghệ sử dụng mã hóa để ngăn chặn thông tin cá nhân bị đánh cắp khi truyền tải qua mạng
- Xác Thực Người Dùng: Bằng cách yêu cầu mật khẩu hoặc mã xác minh bổ sung, cả SSL/TLS và 3D Secure đảm bảo rằng người sử dụng là chủ thẻ hợp pháp
- Bảo Mật Giao Tiếp: SSL/TLS đảm bảo an toàn trong quá trình truyền tải dữ liệu giữa người dùng và máy chủ
- Xác Minh Chứng Chỉ (SSL/TLS): Trong quá trình bắt tay SSL/TLS, chứng chỉ kỹ thuật số được sử dụng để xác minh độ tin cậy của máy chủ
- Giảm Rủi Ro Giao Dịch Gian Lận (3D Secure): Cung cấp lớp xác minh bổ sung giúp giảm thiểu khả năng gian lận trong giao dịch thanh toán.