Cách bảo mật cho ứng dụng web Điều kiện bảo mật Một hệ thống mạng bảomật luôn phải đảm bảo các mục tiêu như: Cho phép hoặc cấm những dịchvụ truycập rangoài;Cho phép hoặc cấm những dịch vụ từ ngoài truycập vào trong; Theo dõi luồng dữ liệumạng giữa Internet và Intranet (mạng nộibộ); Kiểm soátvàcấm địa chỉ truy nhập; Kiểm soát người sử dụng và việc truy cập của người sử dụng; Kiểm soát nội dungthôngtin lưu chuyểntrên mạng. Với nhữngyêu cầu và mục tiêu doDNđặt ra,các nhà tích hợp hệ thống sẽ tư vấn vàxâydựng một hệ thống mạng hoàn chỉnh: + Kết nối bên ngoàibao gồm cácthiếtbị định tuyến kếtnối ADSL, Lease- line… cùng các thiết bị cân bằngtải. + Kết nối bảo mật: Cácthiết bị tường lửa (Firewall),các hệ thống phòng chống tấn công IDS/IPS và phần mềm giám sát hệ thống. + Hệ thống máy chủ: Các máy chủ (server) cài đặt hệ điều hành Windows, Linux… và các giảipháp phòng chống virus,chống thư rác (spammail) + Hệ thống lưu trữ: Cácthiết bị lưu trữ dữ liệu tích hợp SAN(Storage Area Network) Đầu tư hệ thống bảo mật Việc đầu tư một hệ thống bảo mật theo đúng tiêu chuẩnmàcác nhà tích hợp hệ thống đem lại cho DNcó thực sự hoàn hảo haykhông?DN cóthể tham khảo bảng đánhgiá của cáchãng bảo mật: Chúng ta nhìn thấy một số vấn đề nổi bật về bảo mật thông tin như: Thứ nhất là các cuộc tấn công, xâm hại vàocác hệ thống web sitecủa DN diễn ra ngày càng liêntục và tinh vi hơn (25,48%cuộc tấncôngchưa xác địnhnguồngốc). Thứ hai là các hệ thống máychủ được trangbị tấtcả các giải pháp bảo mật tiêntiếnvẫn chịu sự tấn côngtrực tiếp mà không ngăn chặn hoàn toàn được. Theo thốngkê các phương thức tấncông mạng phổ biến hiện nay, các kiểu tấn công truyền thống như SQLInjection, Cross-SiteScript,BruteForce vẫn đang gây thiệt hại cho hệ thốngmạng dù đã đượccảnh báo từ rất lâu. Theo thốngkê các phương thức tấncông hiện nay (hình 1) chúng ta thấy các kiểu tấn công truyềnthốngnhư SQL Injection, Cross-SiteScript,BruteForce vẫn đang gây thiệt hại cho hệ thống mạng dù đã được cảnh báo từ rất lâu. Các cuộc tấn công nàychủ yếu tập trung vàocácứng dụng web được phát triển trongcác dịchvụ thương mại điện tử với nềntảng ứngdụng web2.0. Vấn đề bảo mật chocác ứng dụng hiện naynói chungvà ứng dụngweb nói riêng vẫncòn khá “mới mẻ” đối vớicác DN Việt Nam. Một DN cần triển khaimột ứng dụng TMĐT họ sẽ thực hiệncácbước sau: Xây dựng ứng dụngtheocác nhu cầukinh doanhvà việcnày sẽ do một nhóm phụ trách lập trình thiết kế và xây dựng;Kế đến là trangbị hạ tầng mạng để triển khai ứng dụngnày. Các thiếtbị bảomật hiện nay như tường lửa (Firewall), IPS/IDS sẽ không thể giám sát, đánh giá được hết các ứng dụng được xây dựng trênnền tảng web(cụ thể ở đâylàgiao thức HTTP/HTTPS). Chỉ có các thiết bị bảo vệ ứng dụng web trước các cuộc tấn công - Web ApplicationFirewall (WAF)chuyên dụng mới đáp ứng yêu cầu này. Một bức tường lửa chuyên dụng sẽ làm các nhiệm vụ như sau: + Thiết lập các chínhsáchcho các kết nối người dùng HTTP thôngqua việc chọn lọc nội dung chomáy chủ dịch vụ web. + Bảo vệ hệ thốngtrước các loại hình tấn công phổ biếntrên mạngnhư: Cross-site Scripting (XSS) và SQL Injection. + Ngoài việc nhữngđộng tác kiểmtra của một bức tường lửa thôngthường, WAF sẽ kiểmtra sâu hơn, sẽ kiểm tra các nội dung HTTPở lớp ứng dụng Hình 1: Báo cáo rủi ro các cuộc tấn công Web Giải pháp bảo mật ứngdụng webđược diễnđạt như sau: Giải pháp bảo mật ứngdụng websẽ hỗ trợ tốt hơn: + Hạn chế tối đa các cuộc tấn công vàcác ứng dụng thông qua thiết bị bảo vệ ứng dụngweb chuyêndụng (Web ApplicationFirewall). + Tập trungphát triển,xâydựng các ứngdụng web theo đúng tiêu chuẩn Web 2.0 vớicác tiêu chíbảo mật webcao nhất (PCI DSS,OWASP…) + Khả năng giám sát, phòng chống tấn côngcó chiều sâu và tập trung. + Nâng caohiệu năng của hệ thống, phát huy tối đa các tính năng bảo mật của từng thiết bị trong hệ thống. Có cần bảo mật ứng dụng? Hiện nay,trên thế giới các dự án về bảo mật ứng dụng web trongTMĐT đều phát triển trên 2 năm và có nhiều giải pháp cho vần đề này. Bêncạnh đó cũng xuất hiện mộtsố tổ chức thường xuyên phântích, đáng giávà đưa ra những tiêu chí bảo mật mớinhất. Chúng ta có thể kể đến OWASP(Open WebApplication Security Project), một tổ chức phi lợi nhuận cung cấpcho cộng đồng các rủi rophát sinh trong các ứng dụngweb. Tại Việt Nam,các DNvẫnchưa có được khái niệm chính xácvề những rủi ro đang tiềm ẩn trong ứng dụng web.Chúng ta vẫnchưa xácđịnhđược rủi ro,saisót trên websiteđể dẫn đến hiểm họa tấn công mạng. Các DN đanghướng đến TMĐThoặcứngdụng chạy trên nền tảng webcần tăng cườngyêu cầu bảo mật chocácứng dụng. DN nên tìm hiểu các vấnđề bảo mật khi xây dựng các ứng dụng. Ví dụ: Sử dụng ngôn ngữ NoSQL thay thế chongônngữ SQL truyền thống đã “lạc hậu” và có nhiều rủi ro. Sử dụng các côngcụ mã nguồn mở như Metasploit,SQLmap,Firecat kiểm tra và đánh giácác lỗ hổng tronghệ thống mạng. Xây dựng các biểu mẫu đánh giárủi ro hệ thống(tham khảocáctiêu chuẩn bảo mật OWASP, WASC ) nhằmphân loại các rủi rođể có các hành độngcụ thể khi xảy ra sự cố.Nếucó điều kiện, nên sử dụng dịch vụ PenTest(khảo sát độ antoàn của hệ thống)chuyên nghiệp nhằm hạn chế các rủiro khi có sự cố tấn côngtừ bên ngoài. Ngoài ra, các DN cũngnên tổ chức các khóa học ngắn hạn,dài hạn về an toàn thông tin nhằm nâng cao nhận thức về bảo mật cho nhân viên. Tích cực tìm hiểu các quytrình, tiêu chuẩnbảo mật như ISO27000, 27001… Hiệu chỉnh các ứng dụng với sự hỗ trợ của các nhàlập trình rà soát các ứng dụng,nângcấp hệ thống và tiến hành khảo sát hệ thống (Audit) hàng năm để đánhgiá thực trạngcủa ứng dụng. An toàn thông tin đòihỏi cá nhân, tổ chức vàDNphải không ngừngnâng cao và phát triển liên tục. Các ứngdụngweb tuy mang lại cho người dùng vàDN nhiều tiện ích, nhưng cũngtrở thành môi trường cho hacker “trụclợi”. Trước khitriển khai các ứng dụng để kinh doanh,các DN cầnchú ý đến khâu bảo mật ứng dụng web. . vàcác ứng dụng thông qua thiết bị bảo vệ ứng dụngweb chuyêndụng (Web ApplicationFirewall). + Tập trungphát triển,xâydựng các ứngdụng web theo đúng tiêu chuẩn Web 2.0 vớicác tiêu ch bảo mật webcao. Cách bảo mật cho ứng dụng web Điều kiện bảo mật Một hệ thống mạng bảomật luôn phải đảm bảo các mục tiêu như: Cho phép hoặc cấm những dịchvụ truycập rangoài ;Cho phép hoặc cấm. kiểm tra các nội dung HTTPở lớp ứng dụng Hình 1: Báo cáo rủi ro các cuộc tấn công Web Giải pháp bảo mật ứngdụng web ược diễnđạt như sau: Giải pháp bảo mật ứngdụng websẽ hỗ trợ tốt hơn: + Hạn chế