MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ Chƣơng – MỞ ĐẦU Lý chọn đề tài Mục tiêu đề tài Cách tiếp cận 10 Bố cục luận văn 10 Chƣơng – AN TOÀN THÔNG TIN WEBSITEVÀ CHUẨN ĐÁNH GIÁ OWASP 12 Tổng quan an toàn thông tin website 12 1.1 Tổng quan ứng dụng web 12 1.2 An toàn thông tin cho ứng dụng web 16 Chuẩn đánh giá website OWASP 2.1 Tổng quan 17 17 2.1.1 Giới thiệu OWASP 17 2.1.2 OWASP Top 10 18 2.2 Quy trình đánh giá website theo OWASP 20 2.2.1 Thu thập khảo sát thông tin 21 2.2.2 Kiểm tra quản lý cấu hình 22 2.2.3 Kiểm tra business logic 23 2.2.4 Kiểm tra chế xác thực 23 2.2.5 Kiểm tra quản lý phiên giao dịch 24 2.2.6 Kiểm tra quản lý uỷ quyền 25 Trang 1/89 2.2.7 Kiểm tra liệu đầu vào 26 2.2.8 Kiểm tra khả công từ chối dịch vụ 27 2.2.9 Kiểm tra web services 28 2.2.10 Kiểm tra AJAX 29 Chƣơng – ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ AN TOÀN HỆ THỐNG WEBSITE 30 Các tiêu chí kiểm tra đánh giá an toàn 30 1.1 Tiêu chí kiểm tra đánh giá an toàn cho hạ tầng mạng 30 1.2 Tiêu chí kiểm tra đánh giá an toàn dịch vụ phân giải tên miền 38 1.3 Tiêu chí kiểm tra đánh giá an toàn cho hệ thống cổng thông tin điện tử 43 1.4 Tiêu chí kiểm tra đánh giá an toàn cho hệ thống lƣu dự phòng 52 Quy trình khảo sát, đánh giá hệ thống 54 2.1 Khảo sát hệ thống mạng, thiết bị bảo mật, máy chủ DNSvà hệ thống máy chủ Web 54 2.2 Kiểm tra công tác lƣu liệu dự phòng 55 2.3 Kiểm tra đánh giá an toàn cho hệ thống mạng máy chủ DNS 55 2.4 Kiểm tra đánh giá thiết bị bảo mật IDS/IPS 56 2.5 Tổng hợp kết để lập báo cáo khảo sát 57 2.6 Kiểm tra đánh giá cấu hình lỗ hổng hệ điều hành máy chủ dịch vụ 57 2.7 Kiểm tra đánh giá ứng dụng liên quan đến hệ thống website 58 2.8 Kiểm tra, đánh giá sách triển khai, quản lý hệ thống máy chủ Website 58 2.9 Kiểm tra đánh giá an ninh bảo mật ứng dụng Website 58 2.10 Phân tích, rà soát kết kiểm tra để lập báo cáo chi tiết 61 Chƣơng – ÁP DỤNG GIẢI PHÁP VÀO WEBSITE THỰC TẾ 62 Tóm tắt công việc 62 Đối tƣợng, phạm vi phƣơng pháp 63 2.1 Đối tƣợng phạm vi 63 Trang 2/89 2.2 Phƣơng pháp thực 63 Kết khảo sát, đánh giá 63 3.1 Hạ tầng mạng 63 3.2 Máy chủ vận hành 68 3.3 Dịch vụ, ứng dụng 74 3.4 Công tác lƣu liệu dự phòng 87 Chƣơng – KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 88 TÀI LIỆU THAM KHẢO 89 Trang 3/89 LỜI CAM ĐOAN Tôi xin cam đoan đề tài nghiên cứu hoàn toàn tự làm dƣới hƣớng d n TS.Phạm Huy Hoàng.Những kết tìm hiểu nghiên cứu trình bày luận văn hoàn toàn trung thực chƣa đƣợc công bố công trình Nếu xảy điều không nhƣ lời cam đoan trên, xin chịu hoàn toàn trách nhiệm trƣớc Viện Nhà trƣờng Ngày 13 tháng 11 năm 2015 Tác giả luận văn Dƣơng Nữ Hoàng Oanh Trang 4/89 LỜI CẢM ƠN Lời đầu tiên, em xin chân thành cảm ơn Trƣờng Đại học Bách Khoa Hà Nội, viện Công nghệ Thông tin – Truyền thông, chuyên ngành Kỹ thuật Máy tính toàn thể thầy cô ân cần dạy dỗ, bảo, định hƣớng nghiên cứu cho em suốt thời gian vừa qua, truyền đạt cho chúng em kiến thức quý báu Em xin chân thành cảm ơn TS.Phạm Huy Hoàng dành nhiều tâm huyết, kinh nghiệm thầy để d n, định hƣớng nghiên cứu nhƣ luôn góp ý cho em để hoàn thành đề tài luận văn Cuối em xin gửi lời cảm ơn tới gia đình, ngƣời động viên tạo điều kiện tốt cho em học tập nghiên cứu thật tốt.Và gửi lời cảm ơn tới ngƣời bạn giúp đỡ em trình học tập nhƣ hoàn thành đề tài luận văn Em xin chân thành cảm ơn! Trang 5/89 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT THUẬT NGỮ GIẢI THÍCH WEBSITE Cổng thông tin điện tử DNS Domain Name Service – Dịch vụ phân giải tên miền ROUTER Thiết bị định tuyến SWITCH Thiết bị chuyển mạch LOAD BALANCER Thiết bị cân tải FIREWALL Thiết bị tƣờng lửa IDS/IPS Thiết bị phát hiện/ngăn chặn xâm nhập trái phép DMZ Demilitarized Zone – Vùng mạng vành đai, nơi đặt máy chủ cung cấp dịch vụ Internet SERVERFARM Vùng mạng riêng biệt, nơi đặt máy chủ sở liệu VULNERABILITY Là điểm yếu bị khai thác nhiều nguy OWASP Open-source Web Application Security Project – Dự án mở bảo mật ứng dụng website Trang 6/89 DANH MỤC CÁC BẢNG Hình Mô tả Trang Bảng 3.1 Tiêu chí đánh giá an toàn cho hạ tầng mạng 38 Bảng 3.2 Tiêu chí đánh giá an toàn cho dịch vụ Internal DNS 40 Bảng 3.3 Tiêu chí đánh giá an toàn cho dịch vụ External DNS 43 Bảng 3.4 Tiêu chí đánh giá an toàn cho hệ thống cổng thông tin điện tử 52 Bảng 3.5 Tiêu chí đánh giá an toàn cho hệ thống lƣu dự phòng 53 Bảng 3.6 Quy trình khảo sát, đánh giá hệ thống 61 Bảng 4.1 Bảng tổng hợp rủi ro hạ tầng mạng 67 Bảng 4.2 Bảng tổng hợp rủi ro máy chủ 73 Bảng 4.3 Bảng tổng hợp rủi ro dịch vụ DNS 81 Bảng 4.4 Bảng tổng hợp rủi ro dịch vụ website 86 Trang 7/89 DANH MỤC CÁC HÌNH VẼ Hình Mô tả Trang Hình 2.1 Các mô hình website 13 Hình 2.2 Hoạt động giao thức HTTP 15 Hình 2.3 Quy trình kiểm thử OWASP 21 Hình 4.1 Giao diện trang web thử nghiệm 61 Trang 8/89 Chƣơng – MỞ ĐẦU Lý chọn đề tài Các doanh nghiệp xây dựng hệ thống website thƣờng ý đến việc thiết kế, triển khai cho dễ dàng vận hành mà quan tâm đến vấn đề bảo mật thông tin, d n tới tồn nhiều lỗ hổng để hacker dễ dàng khai thác Mỗi năm VN có hàng nghìn website bị công, gây ảnh hƣởng xấu tới hoạt động, uy tín tổ chức, doanh nghiệp Hiện nay, có nhiều công cụ kỹ thuật đƣợc phát triển nhằm mục đích dò quét lỗ hổng tồn hệ thống, nhiên công cụ đơn lẻ, đơn mặt kỹ thuật, với ƣu nhƣợc điểm riêng Mỗi công cụ thƣờng có chức dò quét số lỗ hổng định thuộc phần hệ thống, chƣa có công cụ cung cấp nhìn bao quát, toàn diện, triệt để tình trạng an toàn cho hệ thống website quản lý Với mong muốn có giải pháp hoàn chỉnh việc đánh giá mức độ an toàn hệ thống website để áp dụng vào hệ thống website quan, nơi học viên làm việc, học viên lựa chọn đề tài “Giải pháp đánh giá an toàn thông tin hệ thống website” làm luận văn tốt nghiệp Mục tiêu đề tài Nhiệm vụ đề tài xây dựng giải pháp toàn diện để đánh giá mức độ an toàn hệ thống website Giải pháp bao gồm thành phần: (1) Một tiêu chí đánh giá mức độ an toàn phần riêng lẻ hệ thống; (2) Một quy trình với bƣớc kết hợp công cụ kỹ thuật riêng lẻ, để tạo công cụ có hiệu tối ƣu Các nội dung đánh giá tổng thể bao gồm thành phần sau: - An toàn hạ tầngmạng liên quan đến hệ thống website (router, switch, firewall, IPS/IDS…) - Máy chủ: DNS Server (phục vụ Web), Web Server… - Ứng dụng web Trang 9/89 vấn đề: - Các lỗ hổng bảo mật - Sao lƣu dự phòng Cách tiếp cận Nhiệm vụ đề tài xây dựng giải pháp tối ƣu dựa vào lý thuyết công cụ có, việc nghiên cứu, tìm hiểu tiêu chuẩn, kỹ thuật, công cụ cần thiết Dựa kết nghiên cứu tìm hiểu đƣợc, học viên xếp, tổng hợp yêu cầu cần có thành phần hệ thống để đƣa tiêu chí đánh giá an toàn Khi có tiêu chí, việc lựa chọn công cụ để đánh giá, xếp trình tự bƣớc quy trình đánh giá tạo giải pháp hoàn thiện, từ đƣa đƣợc báo cáo tổng quan tình hình an ninh hệ thống website Các nội dung thực đề tài: - Nghiên cứu tổng quan dự án bảo mật ứng dụng web OWASP - Tìm hiểu, cài đặt, thử nghiệm công cụ đánh giá an toàn website - Xây dựng tiêu chí đánh giá an toàn website - Xây dựng quy trình đánh giá an toàn website theo tiêu chí đặt - Thử nghiệm giải pháp cách áp dụng với hệ thống website thực tế Bố cục luận văn Bố cục luận văn đƣợc chia thành chƣơng nhƣ sau: Chƣơng 1: Mở đầu: Mô tả chi tiết mục tiêu, nhiệm vụ đề tài cách tiếp cận Chƣơng 2: An toàn thông tin website chuẩn đánh giá OWASP: Nghiên cứu sở lý thuyết an toàn thông tin website, tiêu chuẩn quy trình đánh giá website OWASP Chƣơng 3: Đề xuất giải pháp đánh giá an toàn hệ thống website: Đề xuất giải pháp đánh giá an toàn hệ thống website, bao gồm thành phần: (1) Một tiêu chí đánh giá mức độ an toàn phần riêng lẻ hệ thống (2) Một quy trình với bƣớc kết hợp công cụ kỹ thuật riêng lẻ, để tạo công cụ có hiệu tối ƣu Trang 10/89  Đối với dịch vụ máy chủ DNS Internal: Hệ thống chạy phần cứng 02 máy PC đồng HP, không ổn định không an toàn Tuy hệ thống chịu tải không đáng kể, nhƣng v n khuyến nghị cần nâng cấp lên chạy máy chủ để hoạt động ổn định Ngoài cần hoàn thiện thêm hệ thống giám sát để giám sát theo dõi dịch vụ máy chủ DNS Internal tốt (tƣơng tự nhƣ dịch vụ máy chủ DNS External) Trang 75/89 Một số nội dung kiểm tra có mức độ ƣu tiên cao đƣợc tổng hợp bảng sau: Bảng tổng hợp nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung Mức độ kiểm tra ƣu tiên Mục đích Sử dụng máy chủ Hidden Primary DNS tức xây dựng máy chủ (Master) nằm “ẩn” bên mạng, không xuất ghi NS zone không phục vụ việc phân giải truy vấn tên miền Chức Sử dụng DNS External sử dụng để chuyển liệu tên máy chủ Hidden Primary DNS Mức cao miền (zone transfer) đến máy chủ thứ cấp (Slave DNS) Việc sử dụng máy chủ Hidden Primary DNS có ƣu điểm sau: o Linh hoạt việc quản trị o Tránh nguy an toàn, bảo mật đƣợc đặt mức bảo mật cao hơn, không phục vụ phân giải truy vấn tên miền, không giao tiếp Trang 76/89 Đề xuất khuyến nghị cách giải Sử dụng máy chủ Hidden Primary DNS làm máy chủ Master cho zone Đặc điểm: - Máy chủ cấu hình bình thƣờng (không cần cao) - Đặt vùng mạng có mức bảo mật cao - Không phục vụ phân giải truy vấn tên miền - Không khai báo ghi NS zone - Cấu hình master DNS cho tất zone Bảng tổng hợp nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung Mức độ kiểm tra ƣu tiên Mục đích Đề xuất khuyến nghị cách giải với vùng mạng bên o Nếu sử dụng máy chủ vừa master, vừa đáp ứng truy vấn tên miền, xảy tƣợng “timeout” zone transfer đến máy chủ slave Sử dụng Hidden Primary DNS tránh đƣợc tƣợng Kiểm tra port hoạt động máy chủ Mức cao Kiểm tra thông số port hoạt động Không sử dụng chung máy chủ DNS với máy chủ DNS từ bên ngoài, đảm bảo hệ thống dịch vụ khác, để tránh nguy đáp ứng với giao thức UDP/53 an ninh, bảo mật DNS Trang 77/89 Bảng tổng hợp nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung Mức độ kiểm tra ƣu tiên Mục đích Đề xuất khuyến nghị cách giải Cần nâng cấp lên phiên BIND để cập nhật vá lỗi sử dụng tính Kiểm tra Kiểm tra phiên phần mềm BIND để phiên phần mềm BIND Mức cao xem xét việc cập nhật vá lỗi sử dụng tính (Phiên Bind9.9.4-P1) Việc cần thiết cho hệ thống, phiên Bind cũ tiềm ẩn nhiều vấn đề nguy an ninh bảo mật cho hệ thống ISC khuyến nghị cần thƣờng xuyên nâng cấp phiên hãng có cập nhật Chi tiết vấn đề nguy phiên BIND 9.3.4-P1 tham khảo phụ lục Trang 78/89 Bảng tổng hợp nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung Mức độ kiểm tra ƣu tiên Mục đích Kiểm tra Khuyến nghị nên lƣu trữ log file theo thông tin cấu hình log Đề xuất khuyến nghị cách giải Kiểm tra, kiểm tra việc cấu hình lƣu Mức cao thông tin log, để theo dõi, giám sát kiểm tra lỗi hệ thống máy chủ DNS category riêng biệt, tránh lƣu nhiều thông tin vào file, để thuận tiện việc theo dõi quản trị hệ thống Ví dụ: Tạo file log nhƣ log_query, log_xfer-in, log_debug, … Cần bổ sung hệ thống giám sát dịch vụ DNS, để theo dõi giám sát hệ Giám sát trạng thái dịch Mức cao Giám sát trạng thái dịch vụ DNS, cụ thể thống mức dịch vụ TCP/UDP/53 Tránh trƣờng hợp máy chủ hoạt động vụ DNS bình thƣờng nhƣng dịch vụ DNS không hoạt động Trang 79/89 Bảng tổng hợp nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung Mức độ kiểm tra ƣu tiên Mục đích Đề xuất khuyến nghị cách giải Sử dụng máy chủ Hidden Primary DNS tức xây dựng máy chủ (Master) nằm Sử dụng máy chủ Hidden Primary “ẩn” bên mạng, không xuất DNS làm máy chủ Master cho zone ghi NS zone không phục vụ việc Đặc điểm: DNS Internal phân giải truy vấn tên miền Chức o Máy chủ cấu hình bình thƣờng (không Sử dụng sử dụng để chuyển liệu tên cần cao) máy chủ miền (zone transfer) đến máy chủ thứ cấp o Đặt vùng mạng có mức bảo mật (Slave DNS) cao Hidden Mức cao Primary Việc sử dụng máy chủ Hidden Primary DNS có o Không phục vụ phân giải truy vấn tên DNS ƣu điểm sau: miền o Linh hoạt việc quản trị o Không khai báo ghi NS o Tránh nguy an toàn, bảo mật đƣợc zone đặt mức bảo mật cao hơn, không phục vụ o Cấu hình master DNS cho tất phân giải truy vấn tên miền, không giao tiếp zone với vùng mạng bên Trang 80/89 Bảng tổng hợp nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung Mức độ kiểm tra ƣu tiên Mục đích Đề xuất khuyến nghị cách giải o Nếu sử dụng máy chủ vừa master, vừa đáp ứng truy vấn tên miền, xảy tƣợng “timeout” zone transfer đến máy chủ slave Sử dụng Hidden Primary DNS tránh đƣợc tƣợng Cần bổ sung hệ thống giám sát dịch vụ DNS, để theo dõi giám sát hệ Giám sát trạng thái dịch Mức cao Giám sát trạng thái dịch vụ DNS, cụ thể thống mức dịch vụ TCP/UDP/53 Tránh trƣờng hợp máy chủ hoạt động vụ DNS bình thƣờng nhƣng dịch vụ DNS không hoạt động Bảng 4.3 – Bảng tổng hợp rủi ro dịch vụ DNS Trang 81/89 4.1.5 Dịch vụ Website Thông qua trình khảo sát, công thông tin có ƣu điểm sau: Ưu điểm Hệ thống website đảm bảo đƣợc yếu tố sau:  Đƣợc xây dựng, thiết kế đảm bảo an toàn liệu đƣợc phát triển tảng ổn định;  Các máy chủ dịch vụ web đƣợc cấu hình chạy mô hình cluster để cân tải đảm bảo tính sẵn sàng, dự phòng đảm bảo tính liên tục trình cung cấp thông tin cho ngƣời dùng đầu cuối;  Hệ thống cổng thông tin bảo vệ thiết bị phát ngăn chặn xâm nhập trái phép vi giảm thiểu tối đa thám, công mạng trái phép;  Cơ sở liệu đƣợc cài đặt máy chủ vùng ServerFarm, quyền truy cập đến vùng đƣợc quản lý chặt chẽ đảm bảo tính an toàn hành động truy xuất sở liệu trái phép Nhược điểm Mặc dù đƣợc đầu tƣ bản, lựa chọn nèn tảng phát triển ổn định nhƣng dịch vụ Website v n tồn nhiều lỗ hổng trình quản trị phát triển mã nguồn Những lỗ hổng không đƣợc khắc phục, tin tặc chiếm quyền điều khiển máy chủ dịch vụ, thay đổi nội dung thông tin website lấy cắp toàn sở dũ liệu trang thông tin liên quan  Chƣa kiểm soát tốt đầu vào, nguyên nhân quan trọng nhất, đầu vào không đƣợc xử lý tốt d n đến khả bị công nhằm mục đích chiếm quyền điều khiển máy chủ  Đƣờng d n truy cập tài khoản quản trị dễ đoán  Chƣa sử dụng CAPCHA form đăng nhập, liên hệ, trao đổi thông tin  Chƣa phân quyền, mật việc kiểm soát upload file thực thi file Trang 82/89  Chƣa phân quyền chặt chẽ cho loại tài khoản Từ tài khoản thông thƣờng truy cập vào tệp tin thƣ mục nhạy cảm hệ thống  Không sử dụng giao mã hóa đƣờng truyền - HTTPS truy cập trang quản trị Trong lỗ hổng bảo mật dịch vụ Website mắc phải, có lỗi đặc biệt nghiêm trọng dễ dàng khai thác.Khi khai thác thành công, tin tặc hoàn toàn kiểm soát Website gây tác động xấu khác làm ngƣng trệ khả cung cấp dịch vụ Một số lỗ hổng mức độ rủi ro nguy hiểm, cao đƣợc tổng hợp bảng sau: Trang 83/89 Bảng tổng hợp lỗ hổng bảo mật mức độ rủi ro nguy hiểm cao ứng dụng Website Nội dung kiểm tra Mô tả Kết kiểm tra lỗ hổng bảo mật ứng dụng web Các phƣơng Khai thác từ Đề xuất khuyến pháp khai Bên Bên nghị cách giải thác X X Kiểm tra Kiểm tra lƣợc đồ Sử dụng công cụ Burp Suite để khai Đăng nhập với việc vƣợt phân quyền hợp thác tài khoản khách quyền không tốt, qua chế lý hay chƣa, có cho * Kiểm tra cho liên kết sau (tài khoản có nên tài khoản phân quyền phép ngƣời dùng sử trang web test: quyền thấp có quyền thông hệ dụng quyền +http://klcmswebtest.baoviet.com.v hệ thống), thƣờng có khả thống nhóm khác, n/admin/ChangePassword.aspx thử truy cập vào truy cập vào (Nguy hay cấp độ quyền (Redirect login form) thƣ mục, tệp tài nguyên hiểm) khác hay không Ví +http://klcmswebtest.baoviet.com.v tin, tài nguyên nhạy cảm dụ nhƣ khả truy n/admin/Category.aspx nhạy cảm để Quản trị web phân xuất sau đăng - Kiểm tra chƣa thực việc kiểm tra khả quyền chặt chẽ lại xuất, khả truy đăng nhập truy nhập phân tất loại tài xuất vào tài trực tiếp với tài nguyên, quyền trang khoản nguyên mà không đƣờng d n nhạy cảm web cần xác thực - Khi đăng nhập với tài khoản Trang 84/89 Do cấu hình phân khách (có quyền) vƣợt quyền, đạt ngang quyền quản trị * Kiểm tra việc truy nhập trực tiếp vào thƣ mực upload: +http://www.baoviet.com.vn/Uploa ds Kiểm tra - Kiểm tra Website * Kiểm tra cho trang web test: phát Tấn công vào điểm có bị lỗ hổng tiềm khả upload loại điểm đầu sung thêm phần nghi ngờ tàng hay không file có khả up shell vào, upload, kiểm tra điều kiện (Incubated mà kẻ công tìm chiếm toàn quyền điều khiển máy đăng bài… trƣớc cho phép vulnerabilit cách gây chủ web test: y testing) lỗi mã kịch liên http://klcmswebtest.baoviet.com.vn (Nguy trang, chèn câu truy /upload/ hiểm) vấn, file đƣợc tải lên Từ thông tin thu đƣợc từ web test máy chủ để công công vào trang web liên tục vào lƣợng baoviet.com.vn lấy đƣợc lớn ngƣời sử dụng quyền quản trị cao X X Quản trị web bổ upload khoảng thời gian Trang 85/89 Kiểm tra - Kiểm tra Website * Kiểm tra việc gửi email chia sẻ Tấn công gửi kiểu có bị công vào trang web: Chƣa thấy có giới hạn Email Spam công vào mail máy chủ hay việc tự động gửi email, ngƣời nhận ngƣời nhận mail máy không mà kẻ chiều dài nội dung email Có thể chiều dài nội dung chủ công gửi liệu lợi dung hệ thống để gửi Email email Có chế (SMTP- nguy hiểm thông qua Spam công hệ thống khác ngăn chặn việc tự Simple m u thƣ đóng góp ý gây tê liệt hệ thống Email động gửi mail Mail kiến lên máy chủ gửi nhiều Email Ứng dụng web TransferPro Tất link có chức chia sẻ biện tocol) link qua Email pháp giới hạn gửi (Cao) http://www.baoviet.com.vn/Tin- email số lƣợng lớn tuc-su-kien/San-pham-dich-vu/San- địa IP gây Pham-Moi-danh-cho-khach-hang- bị lợi dụng VIP/150/3148/MediaCenterDetail/ công DoS hệ Hệ thống cần có chế ngăn chặn thống thực việc tự động Bảng 4.4 – Bảng tổng hợp rủi ro dịch vụ website Trang 86/89 Có Có Giới hạn việc tự động gửi email, 4.1.6 Công tác lƣu liệu dự phòng Trong hệ thống CNTT, công tác dự phòng đóng vai trò quan trọng Công tác lƣu liệu dự phòng cho hệ thống website đƣợc trọng đầu tƣ hệ thống SAN có khả lƣu trữ dung lƣợng lớn sử dụng phần mềm lƣu liệu chuyên nghiệp nhƣ SynBackPro, … Quá trình lƣu dự phòng liệu đóng vai trò then chốt trình đảm bảo an toàn thông tin giảm thiểu rủi ro có cố xảy Ưu điểm Kết kiểm tra, đánh giá công tác lƣu dự phòng hệ thống Website đảm bảo đƣợc yếu tố sau:  Sao lƣu liệu định kỳ theo sách nội bộ;  Các tệp tin lƣu đƣợc lƣu trữ máy chủ khác máy cung cấp dịch vụ;  Sao lƣu thiết bị, hệ thống có khả lƣu trữ lớn (SAN) sử dụng phần mềm lƣu chuyên dụng (SynBackPro);  Có sách quy trình kiểm tra liệu dự phòng Nhược điểm Song song ƣu điểm kể trên, công tác lƣu liệu dự phòng v n tồn số nhƣợc điểm:  Các tệp tin lƣu cần đƣợc mã hóa lƣu, lƣu trữ;  Sử dụng giao thức bảo mật, mã hóa đƣờng truyền trình truyền tệp tin lƣu từ máy chủ dịch vụ sang máy chủ lƣu trữ;  Cần có phƣơng án lữu liệu địa khác DataCenter Trang 87/89 Chƣơng – KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Kết luận Ngày nay, ứng dụng web ngày đóng vai trò quan trọng tổ chức Điều trở nên rõ ràng ứng dụng web bị công làm ảnh hƣởng nghiêm trọng đến chức hoạt động tổ chức Thật không may, nhiều tổ chức dựa hoàn toàn tin tƣởng vào ứng dụng quét lỗ hổng bảo mật với hi vọng chúng tìm lỗ hổng hệ thống ứng dụng web doanh nghiệp Tuy nhiên, sẵn vá lỗi (patch) cho ứng dụng web đƣợc phát triển tảng đƣợc lập trình bổ sung, tùy biến Và ngạc nhiên nhiều nghiên cứu ngành công nghiệp lớn phát rằng: “Lỗ hổng ứng dụng web nơi bị khai thác thực hành vi vi phạm xâm nhập hệ thống” Để đảm bảo an toàn cho hệ thống Website khỏi kẻ công virus, điều cần làm kiểm tra mức độ bảo mật an toàn web Việc kiểm tra quan trọng thiết kế web hay website chứa nhiều thông tin ngƣời dùng trở thành đối tƣợng công hacker, gây nhiều thiệt hại không lƣờng đƣợc An ninh ứng dụng web không giới hạn lỗ hổng mặt ứng dụng nhƣ SQL Injection XSS (Cross Site Scripting), mà liên quan đến thành phần khác hệ thống nhƣ máy chủ, hệ điều hành, sở liệu, hạ tầng mạng… Do hạn chế thời gian kiến thức nên chƣa thực đƣợc tất nội dung quy trình đánh thực số nội dung Tuy nhiên, luận văn đánh giá đƣợc mức độ bảo mật Website Hƣớng phát triển Trong thời gian tới, học viên bổ sung thêm số tiêu chí mặt kỹ thuật để đánh giá sâu bảo mật hệ thống Ngoài ra, quy trình bổ sung thêm công việc đánh giá khả ứng cứu cố trƣờng hợp phát có công Nhờ kết khảo sát, đánh giá hệ thống website đƣợc đầy đủ Trang 88/89 TÀI LIỆU THAM KHẢO  Tiếng Việt [1] TS Trần Đức Sự, KS Phạm Minh Thuấn, “Giáo trình đánh giá kiểm định an toàn hệ thống thông tin”, HVKTMM, 2013 [2] http://www.3stone.vn/2014/02/kiem-tra-bao-mat-ung-dung-web.html/ [3] http://www.lactien.com/kiem-thu-he-thong/  Tiếng Anh [4] Shon Harris, “All in one CISSP”, 2013, Mc Graw Hill [5] Troy Hunt (19 Dec 2011),“OWASP Top 10 for NET developers”.Pluralsight course [6] Creative Commons Attribution Share-Alike (2012), “OWASP Top 10 – 2010”, Release [7] ISO/IEC JTC – SC27, “ISO/IEC 27001:2005 (Information Technology – Security techniques - Information security management system)”, Oct 2005 [8] https://www.owasp.org/index.php/OWASP_Testing_Project/ [9] https://www.owasp.org/index.php/Top_10_2013-Top_10/ [10] http://www.securitydaily.net/ Trang 89/89 ... đề tài xây dựng giải pháp toàn diện để đánh giá mức độ an toàn hệ thống website Giải pháp bao gồm thành phần: (1) Một tiêu chí đánh giá mức độ an toàn phần riêng lẻ hệ thống; (2) Một quy trình... Kiểm tra, đánh giá an toàn hạ tầng mạng; - Kiểm tra, đánh giá an toàn dịch vụ phân giải tên miền; - Kiểm tra, đánh giá an toàn hệ thống cổng thông tin điện tử; - Kiểm tra, đánh giá an toàn công... 2: An toàn thông tin website chuẩn đánh giá OWASP: Nghiên cứu sở lý thuyết an toàn thông tin website, tiêu chuẩn quy trình đánh giá website OWASP Chƣơng 3: Đề xuất giải pháp đánh giá an toàn hệ