Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng

56 70 0
  • Loading ...
    Loading ...
    Loading ...

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Tài liệu liên quan

Thông tin tài liệu

Ngày đăng: 21/03/2020, 14:37

Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng 1 LỜI CẢM ƠN Qua thời gian học tập, rèn luyện trường Đại học Thương mại thực tập quan UBND huyện Đông Hưng em học hỏi tích luỹ nhiều kiến thức, kinh nghiệm quý giá cho Từ kiến thức trải nghiệm thực tế sở để em xây dựng khóa luận Để hồn thành khóa luận tốt nghiệp nhờ bảo tận tình q thầy, khoa Hệ thống thông tin kinh tế thương mại điện tử, hướng dẫn tận tâm Th.S Hàn Minh Phương giúp đỡ cô lãnh đạo anh chị cán viên chức Cơ quan UBND huyện Đông Hưng Đồng thời, thông qua khoá luận, em xin tri ân đến tất thầy cô giáo dày công dạy dỗ chúng em suốt năm trường Đại Học Thương Mại Những giá trị mà cô thầy tạo tảng quan trọng cho việc cống hiến phấn đấu chúng em sau Với thời gian nghiên cứu kiến thức hạn chế nên khơng tránh khỏi sai sót q trình phân tích, đánh đưa đề xuất để hồn thiện giải pháp đảm bảo an tồn thơng tin HTTT quan UBND huyện Đơng Hưng Vì thế, em mong nhận ý kiến đóng góp q thầy cơ, ban lãnh đạo quan để khóa luận hồn thiện Sau cùng, em xin kính chúc q thầy chú, anh chị dồi sức khỏe thành công sống Em xin chân thành cảm ơn Sinh viên thực Nguyễn Thị Hồng Nhung 2 MỤC LỤC 3 DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Diễn giải HĐND UBND AES Advanced Encryption Standard TLS Transport Layer Security Nghĩa tiếng việt Hội đồng nhân dân Ủy ban nhân dân Tiêu chuẩn mã háo tiên tiến Bảo mật tầng giao vận Một giao thức kết hợp giao thức HTTP giao thức HTTPS Hypertext Transfer Protocol Secure bảo mật SSL hay TLS cho phép trao đổi thông tin LAN ATBM ATTT Local Area Network HTML HyperText Markup Language NAT CNTT CSDL HTTT IT NXB Network address translation Information Technology cách bảo mật Internet Mạng nội An toàn bảo mật An toàn thông tin Ngôn ngữ Đánh dấu Siêu văn Biên dịch địa mạng Công nghệ thông tin Cơ sở liệu Hệ thống thông tin Công nghệ thông tin Nhà xuất 4 DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ 5 PHẦN MỞ ĐẦU Tầm quan trọng, ý nghĩa tính cấp thiết đề tài ATTT HTTT Trong năm gần đây, tình hình kinh tế, xã hội nước ta trải qua thay đổi lớn Với xu hướng tồn cầu hóa giới ngày phẳng, lượng thông tin ngày lớn trình cạnh tranh quan nhà nước diễn ngày khốc liệt Dữ liệu quan đóng vai trò vơ quan trọng, việc bảo đảm an tồn thơng tin nâng cao tính bảo mật yếu tố quan trọng hàng đầu mà quan luôn phải quan tâm Theo Hiệp hội An tồn thơng tin Việt Nam (VNISA), có tới 50% quan, doanh nghiệp khơng phát bị cơng chưa đến 30% đơn vị cảnh báo có khả xử lý cố Thống kê Bkav cho thấy, tháng có khoảng 82 triệu mối đe dọa người dùng internet Việt Nam Riêng năm 2017, Việt Nam khoảng 12.300 tỷ đồng (hơn 540 triệu USD) công mã độc Ở Việt Nam nguy an tồn thơng tin tăng lên đáng báo động Những số thống kê an toàn việc khai thác thông tin người dùng Việt Nam Cùng với phát triển không gian mạng làm nảy sinh nhiều nguy cơ, thách thức an ninh quốc gia an toàn, lợi ích quan, doanh nghiệp cá nhân Cơ quan UBND huyện Đông Hưng quan hành nhà nước việc đảm bảo an tồn thơng tin vơ quan trọng Trong q trình thực tập quan, em tìm hiểu biết quan bị đánh cắp thông tin, khắc phục khơng có nghĩa khơng xảy Tại đề tài với mong muốn giúp quan đạt hiệu cao vấn đề đảm bảo an toàn bảo mật thông tin Em tập trung nghiên cứu sở lý luận lý thuyết an toàn bảo mật thơng tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảo mật quan Để từ khóa luận đưa số giải pháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng thiếu an tồn thơng tin Cơ quan UBND huyện Đơng Hưng tỉnh Thái Bình Q trình nghiên cứu góp phần nâng cao nhận thức cán công chức, viên chức quan vấn đề an toàn bảo mật, 6 trau dồi thêm thông tin cần thiết cho cán để phục vụ công việc vận hành quản lý HTTT đơn vị làm việc Từ thực trạng tình hình an ninh thơng tin quan, thấy tầm quan trọng ý nghĩa việc nghiên cứu đề tài, với kiến thức em học trường tìm hiểu thân em xin lựa chọn đề tài: “Một số giải pháp đảm bảo an tồn bảo mật thơng tin HTTT Cơ quan UBND huyện Đông Hưng” Mục tiêu nhiệm vụ nghiên cứu Qua trình nghiên cứu tài liệu, tìm hiểu phân tích thực trạng đảm bảo an tồn bảo mật thơng tin quan UBND huyện Đông Hưng thực nhiệm vụ sau: Nhiệm vụ thứ trình bày khái niệm ATBM thông tin khái niệm thông tin, HTTT, ATBM, HTTT bảo mật,… để từ có nhìn tổng qt đối tượng tìm hiểu khóa luận Nhiệm vụ thứ hai qua số liệu thống kê việc tìm hiểu thực tế nghiên cứu phân tích thực trạng ATBM thơng tin quan Từ khóa luận đưa số giải pháp nhằm nâng cao hiệu an tồn bảo mật thơng tin cho HTTT quan UBND huyện Đông Hưng Đối tượng phạm vi nghiên cứu Là đề tài nghiên cứu khóa luận sinh viên nên phạm vi nghiên cứu đề tài mang tầm vi mơ, giới hạn quan hành khoảng thời gian ngắn hạn Cụ thể là: Về không gian: Đưa giải pháp đảm bảo an tồn thơng tin cho hệ thống thơng tin Cơ quan UBND huyện Đông Hưng Về thời gian: Các số liệu khảo sát năm gần nhất, đồng thời trình bày nhóm giải pháp định hướng phát triển tương lai Phương pháp nghiên cứu đề tài 4.1 Khái niệm phương pháp nghiên cứu Theo (9) Phương pháp nghiên cứu cách thức, đường, phương tiện thu thập, xử lý thông tin khoa học (số liệu, kiện) nhằm làm sáng tỏ vấn đề nghiên cứu để giải nhiệm vụ nghiên cứu cuối đạt mục đích nghiên cứu Nói cách khác: Phương pháp nghiên cứu khoa học phương thức thu thập xử lý thông tin khoa học nhằm mục đích thiết lập mối liên hệ quan hệ phụ thuộc có tính quy luật xây dựng lý luận khoa học 7 Có hai loại phương pháp nghiên cứu: - Phương pháp nghiên cứu định tính: quan sát, vấn lãnh đạo, công chức, viên chức quan, nắm bắt cách chủ quan tình hình an tồn, bảo mật thơng tin mặt đơn vị làm việc - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình quan 4.2 Các phương pháp sử dụng khóa luận 4.2.1 Phương pháp thu thập số liệu - Xây dựng phiếu điều tra thu thập liệu từ đối tượng công chức viên chức quan nội dung phục vụ cho nghiên cứu - Tìm hiểu thơng tin an tồn bảo mật thương mại điện tử qua Internet, qua tài liệu sách báo liên quan đến an toàn bảo mật HTTT - Phương pháp vấn: vấn ban Lãnh đạo phận IT quan Phương pháp trưng cầu ý kiến bảng hỏi: lập danh mục câu hỏi khảo sát ý kiến nhân viên ban lãnh đạo quan để phục vụ cho việc đánh giá trình độ nguồn nhân lực trình nghiên cứu - Phương pháp chuyên gia: Hỏi ý kiến chuyên gia lĩnh vực nghiên cứu đề tài để tham khảo đưa định hướng giải tốt mục tiêu đề - Trong phương pháp nêu phương pháp nghiên cứu tài liệu phương pháp vấn phương pháp chủ đạo phương pháp lại phương pháp bổ trợ cho việc nghiên cứu thực đề tài 4.2.1 Phương pháp xử lý liệu: Từ liệu thu thập sau tiến hành vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thơng tin phù hợp với mục đích nghiên cứu đề tài Hai phương pháp nghiên cứu sử dụng gồm: - Phương pháp nghiên cứu định tính: quan sát, vấn lãnh đạo, công chức, viên chức quan, nắm bắt cách chủ quan tình hình an tồn, bảo mật thơng tin mặt đơn vị làm việc - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình quan Kết cấu khóa luận tốt nghiệp Khóa luận chia thành ba phần chính: 8 Chương 1: Cơ sở lí luận an tồn bảo mật thơng tin hệ thống thông tin Chương 2: Cơ sở lý luận thực trạng an tồn bảo mật thơng tin Cơ quan UBND huyện Đông Hưng Chương 3: Định hướng phát triển đề xuất giải pháp an toàn bảo mật hệ thống thông tin Cơ quan UBND huyện 9 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ ATBMTT TRONG HTTT 1.1 Một số khái niệm 1.1.1 Khái niệm thông tin, hệ thống thông tin Theo (2) Thông tin liệu quan, tổ chức sử dụng phương thức định cho chúng mang lại giá trị gia tăng so với giá trị vốn có liệu Thơng tin liệu qua xử lý (phân tích, tổng hợp, thống kê) có ý nghĩa thực tiễn, phù hợp với mục đích cụ thể người sử dụng Thơng tin gồm nhiều giá trị liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho vật tượng cụ thể ngữ cảnh Theo (2) Hệ thống thông tin tập hợp phần cứng, phần mềm, sở liệu, mạng viễn thơng, người quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ truyền phát thông tin quan, tổ chức Hệ thống thông tin hỗ trợ việc định, phân tích tình hình, lập kế hoạch, điều phối kiểm soát hoạt động quan, tổ chức Hệ thống thơng tin thủ cơng dựa vào công cụ thủ công giấy, bút, thước, tủ hồ sơ,… hệ thống thơng tin đại hệ thống tự động hóa dựa vào mạng máy tính thiết bị cơng nghệ khác Hệ thống thơng tin bao gồm thành phần (còn gọi năm nguồn lực hay năm nguồn tài nguyên) trình bày hình: Hình 1.1: Các thành phần hệ thống thông tin 10 10 Nguồn lực phần cứng: Trang thiết bị phần cứng hệ thống thông tin gồm thiết bị vật lý sử dụng q trình xử lý thơng tin nhập liệu vào, xử lý truyền phát thông tin Phần cứng thiết bị hữu hình nhìn thấy, cầm nắm Nguồn lực phần mềm: Phần mềm chương trình cài đặt hệ thống, thực công việc quản lý quy trình xử lý hệ thống thơng tin Phần mềm sử dụng để kiểm soát điều phối phần cứng, thực xử lý cung cấp thông tin theo yêu cầu người sử dụng Nguồn lực liệu: Cơ sở liệu tập hợp liệu có tổ chức có liên quan đến lưu trữ thứ cấp (như băng từ, đĩa từ) để phục vụ yêu cầu khai thác thông tin đồng thời nhiều người sử dụng hay nhiều chương trình ứng dụng với mục đích nhiều thời điểm khác Nguồn lực mạng: Mạng máy tính gồm tập hợp máy tính thiết bị kết nối với nhờ đường truyền vật lý theo kiến trúc định dựa giao thức nhằm chia sẻ tài nguyên mạng quan, tổ chức Nguồn lực người: Trong hệ thống thông tin đại, yếu tố người bao gồm tất đối tượng tham gia quản lý, xây dựng, mô tả, lập trình, sử dụng, nâng cấp bảo trì hệ thống Con người coi thành phần quan trọng nhất, đóng vai trò chủ động để tích hợp thành phần hệ thống để đạt hiệu cao hoạt động Tham khảo tài liệu [2] 1.1.2 Khái niệm liệu, ATBM liệu ATBM HTTT Theo (1) Dữ liệu khái niệm trừu tượng, thông tin đưa vào máy tính Dữ liệu sau tập hợp lại xử lý cho ta thơng tin Hay nói theo cách khác, liệu thông tin mã hóa máy tính Vì ta hiểu an tồn liệu an tồn thơng tin máy tính Theo (1) An tồn bảo mật liệu (Database Security) hiểu q trình đảm bảo cho hệ thống tránh khỏi nguy thay đổi chép thông tin Các nguy ngẫu nhiên (do tai nạn) có chủ định (bị phá hoại từ bên ngồi) Việc bảo vệ liệu thực thiết bị phần cứng (các hệ thống Backup liệu,…) hay chương trình phần mềm (trình diệt Virus, chương trình mã hóa,…) 42 42 Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2014 Oracle Database 12c Hệ quản trị CSDL SQL Server 2014 Ngôn ngữ Hệ quản trị CSDL Oracle Database 12c Transact-SQL (T-SQL) - phần mở Oracle sử dụng Procedural rộng SQL sử dụng SQL Language/SQL (PL/SQL) Server T-SQL gần gắn liền với PL/SQL phức tạp lại có ngơn ngữ SQL phát triển tiềm mạnh mẽ Kiểm soát giao Sybase Microsoft SQL Server thực thi (execute) Các truy vấn thực thi dịch commit command/task cách lệnh phát hành, thay đổi riêng lẻ điều gây khó khăn thực nhớ rollback lại thay đổi (RAM) chưa commit cho có lỗi gặp phải đến lệnh commit tay trình thực thực Sau commit, lệnh bắt đầu transaction mới, trình bắt đầu lại Điều cho thấy tính linh hoạt cao hỗ trợ kiểm soát lỗi tốt Tổ chức đối Oracle Với SQL Server tất đối tượng Oracle, tất đối tượng sở tượng sở table, view, store proceduce liệu (database objects) liệu lấy theo tên sở liệu (database nhóm Schema, tập hợp names) Một user đăng nhập đối tượng sở liệu tất cấp quyền truy cập vào database đối tượng sở liệu cụ thể tất đối tượng có chia sẻ tất database Ngoài ra, SQL Schema người dùng Server database private Độ tương thích khơng chia sẻ file disk server SQL tương thích với Window Oracle cài Window, Linux, Unix, … (Nguồn: Theo điều tra cá nhân) 3.2.4 Đào tạo nhân lực Do trình độ hiểu biết ATTT cán bộ, nhân viên chưa cao, quan cần có kế hoạch đào tạo, nâng cao hiểu biết ATTT cho cán bộ, nhân viên 43 43 Em xin đề xuất cho nhân viên tham gia khóa đào tạo chuyên sâu ATBM thông tin giúp đảm bảo yêu cầu bảo mật hệ thống đơn vị Cơ quan nên chọn cán bộ, nhân viên để đưa đào tạo chuyên sâu ATTT, đồng thời mời chuyên viên an ninh thông tin đến giảng dạy thuyết trình trực tiếp cho tồn cán bộ, nhân viên quan - Đào tạo kỹ thuật phòng thủ, chống cơng (Phân tích mã độc, phòng chống mã độc phần mềm gián điệp; Giám sát phân tích hệ thống dò qt lỗ hổng bảo mật; Điều tra, thu thập thông tin cố chứng điện tử; Giám sát thông tin…) - Đào tạo kỹ thuật bảo vệ an toàn hệ thống ứng dụng (mã hóa, thám mã, che dấu bảo mật nội dung thông tin, chữ ký số, nhận dạng, xác thực; tích hợp hệ thống ATTT; tư vấn thiết kế xây dựng hệ thống mạng an toàn; lập trình đảm bảo an tồn, Đảm bảo an tồn giao dịch điện tử; đảm bảo an toàn sở liệu ) - Thường xuyên đưa tin ATTT website nội công cụ truyền thơng nội - Có kế hoạch chuẩn bị trước cho cố an tồn thơng tin, ban lãnh đạo thủ trưởng đơn vị có trách nhiệm đạo kịp thời, áp dụng biện pháp để khắc phục hạn chế thiệt hại - Tuyên truyền nâng cao ý thức ATTT cho tất cán bộ, nhân viên Đưa chế an toàn liên quan đến việc tuyển, sử dụng cán bộ, nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên Cùng với công tác đào tạo nhân lực trên, quan cần kết hợp sách, quy định cụ thể cán bộ, nhân viên vấn đề liên quan đến ATTT quan quản lí nghiêm vấn đề đảm bảo giữ bí mật thơng tin lãnh đạo, nhân viên, người dân khu vực huyện quản lý Tất thông tin người dân hay thông tin nội quan phải đảm bảo bí mật tất cán bộ, nhân viên phải ký thỏa thuận Với việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu Các loại giấy tờ, thông tin, phần mềm in ấn vi tính khơng mang khỏi quan Ngồi quan cần ý tới giải pháp ATTT giao dịch TMĐT như: an toàn chứng thực điện tử, an tồn thư tín điện tử, an toàn mạng riêng ảo, Firewall, Honeypot, hệ thống phát xâm nhập, kĩ thuật thăm dò,… để có 44 44 thay đổi cập nhật kịp thời nhằm đảm bảo an tồn thơng tin HTTT quan 3.2.5 Đảm bảo an toàn website 3.2.5.1Cách khắc phục lỗ hổng bảo mật XSS Theo thống kê từ Văn phòng HĐND-UBND huyện cho biết năm 2016 năm 2017 xảy vụ công , năm 2018 xảy vụ công XSS Bản chất Cross - Site Scripting hay viết tắt XSS kỹ thuật công cách chèn vào website động (ASP, PHP,CGI,…) thẻ HTML hay đoạn mã script nguy hiểm gây hại cho người sử dụng khác Trong đoạn mà nguy hiểm thường viết Client Site Script như: JavaScript, Jscript, DHTML thẻ HTML Phương thức công: Đánh cắp Cookies người dùng: Cookie nhắc nhở mà website lưu trữ máy tính định danh cho người dùng Nếu khơng có cookie bạn phải nhập lại thơng tin hình web Thông tin mà cookie lưu trữ thông tin mà thân người dùng chia sẻ với website tạo cookie Cookie chứa nhiều thơng tin quan trọng phiên làm việc Nếu hacker có đoạn cookie chưa phiên làm việc bạn, hacker có khả đăng nhập vào website tư cách người dùng mà không cần biết mật Tấn công qua mạng Intranet: Hầu hết tin lướt Web bảo vệ tường lửa, cách ly thông qua lớp địa IP riêng Với hiểu biết này, giả sử phần mềm bảo mật trang Web mạng nội giao diện Web dựa thiết bị định tuyến router, hệ thống tường lửa, IP Phone… vá lỗi chưa cập nhật an toàn khu vực bảo vệ phần mềm bảo mật trên, điều khơng khả thi Trình duyệt Web hồn tồn kiểm sốt trang web nào, cho phép người dùng trở thành tâm điểm cho công mạng nội Khi truy cập vào Website có chứa 45 45 phần mềm độc hại với đoạn mã JavaScript, cấu hình lại cách tự động router hay tường lửa từ tạo thành đường hầm thơng mạng bên ngồi Hình 3.3: Các bước khai thác XSS công qua mạng Các bước khai thác: • Bước 1: Một nạn nhân truy cập vào trang Web độc hại nhấn vào liên kết không rõ ràng, bị nhúng mã JavaScript chứa phần mềm độc hại, sau kiểm sốt trình duyệt họ • Bước 2: Mã độc JavaScript Malware tải ứng dụng Java Applet làm lộ địa IP nạn nhân thông qua NAT IP • Bước 3: Sau sử dụng trình duyệt nạn nhân tảng để công, mã độc JavaScript xác định máy chủ Web mạng nội • Bước 4: Phát động công chống lại Web nội Web bên ngồi, thu thập thơng tin đánh cắp gửi mạng bên Để khắc phục lỗ hổng bảo mật XSS ta cần: 1.Lọc Có hai khái niệm trình lọc (filter) XSS: lọc đầu vào (input filtering) lọc đầu (output filtering) Cách sử dụng phổ biến lọc đầu vào Input Filtering xem xác so với Output Filtering, đặc biệt trường hợp XSS Reflected Tuy nhiên có khác biệt nhỏ, q trình lọc đầu vào áp dụng cho tất loại liệu, loại bỏ nội dung không hợp lệ lọc đầu mang tính áp dụng lại, mục đích trừ loại mã độc xót lại.Có hai loại lọc liệu đầu vào đẩu ra: White-List Filtering Black-List Filtering Black-List Filtering 46 46 Lọc liệu định nghĩa sẵn danh sách cho trước, gặp yêu cầu không hợp lệ hủy, không thực yêu cầu Ưu điểm dễ cấu hình, triển khai nhược điểm xuất công kiểu (chưa định nghĩa black-list) khơng thể phát ngăn chặn công White-List Filtering Cho phép quy định sẵn trước danh sách hợp lệ, có yêu cầu thuộc danh sách thực Vì ngăn chặn kiểu cơng mới, nhược điểm có ứng dụng phát triển phải cập nhật White-List Tuy nhiên White-List Filtering bảo mật so với Black-List Filtering Input Encoding Mã hóa đầu vào trở thành vị trí trung tâm cho tất lọc, đảm bảo có điểm cho tất lọc Mã hóa phía máy chủ tiến trình mà tất nội dung phát sinh động qua hàm mã hóa nơi mà thẻ script thay thể mã Nói chung, việc mã hóa (encoding) khuyến khích sử dụng khơng yêu cầu bạn phải đưa định kí tự hợp lệ không hợp lệ.Tuy nhiên việc mã hóa tất liệu khơng đáng tin cậy tốn tài nguyên ảnh hưởng đến khả thực thi số máy chủ 3.Output Encoding Mục đích việc mã hóa đầu (vì liên quan Cross Site Scripting) chuyển đổi đầu vào khơng tin cậy vào hình thức an tồn, nơi đầu vào hiển thị liệu cho người sử dụng mà không thực trình duyệt 4.Sử dụng thư viện Hiện có nhiều thư viện giúp ta ngăn ngừa XSS, chúng giúp ta thực bước ngăn chặn XSS liệt kê Thậm chí framework để làm 47 47 web tích hợp sẵn nhiều cơng nghệ chống loại hình công này, nhiên tất không đủ chung ta khơng có hiểu biết 3.2.5.2 Khắc phục lỗ hổng bảo mật SQL Injection Theo thống kê UBND huyện Đông Hưng xảy vụ công vào SQL Injection vào năm 2016, 2018 vụ công xảy năm 2017 Cơ chế công SQL Injection cách thức tận dụng khai thác triệt để khuyết điểm, thiếu sót mặt cơng nghệ sử dụng để xây dựng website, thông thường hacker kết hợp với lỗ hổng quy trình bảo mật sở liệu Nếu thành cơng việc xâm nhập này, hacker hồn tồn mạo danh tài khoản thức người sử dụng, truy cập vào sở liệu lấy cắp thơng tin cá nhân Hình 3.4: Mơ q trình cơng vào lỗ hổng SQL injection Điểm yếu SQL injection bắt nguồn từ việc xử lí liệu người dùng khơng tốt, vấn đề xây dựng mã nguồn đảm bảo an ninh cốt lõi việc phòng chống SQL injection Chính phận lập trình quan phải xem lại mã 48 48 nguồn website quan điều chỉnh, xem lại việc chuẩn hóa liệu đầu vào, xây dựng truy vấn theo mơ hình tham số hóa, làm liệu ðầu vào…Ngồi phải xem biện pháp bảo vệ từ mức tảng hệ thống như:  Các lọc ngăn chặn Hầu hết ứng dụng tường lửa web cài đặt mẫu lọc ngăn chặn cấu trúc Các lọc chuỗi modul độc lập gắn kết với để thực thao tác xử lí trước sau thao tác xử lí bên ứng dụng (Webpage, URL, Script) Chúng ta đề cập tới cách triển khai lọc ngăn chặn phổ biến dạng plug – in cho server modul cho ứng dụng  Các biện pháp bảo vệ database Giới hạn phạm vi ảnh hưởng ứng dụng Các biện pháp nhằm chuẩn bị, đề phòng cho tình xấu kẻ xâm nhập cơng vào database: - Cấp quyền ưu tiên tối thiểu cho tài khoản đăng nhập vào database - Hủy bỏ quyền public: database thường cung cấp số chế độ mặc định cho tất đăng nhập, chế độ có tập mặc định quyền, bao gồm quyền truy cập tới số đối tượng thuộc hệ thống Các quyền công khai cung cấp quyền truy cập tới stored procedure có sẵn, số gói hàm sử dụng cho mục đích quản trị Vì cần hủy quyền tới mức tối đa - Sử dụng thuật tốn mã hóa mạnh để mã hóa lưu trữ liệu nhạy cảm Giới hạn phạm vi ảnh hưởng database Các biện pháp sau chuẩn bị để phòng trường hợp đối tượng xâm nhập chiếm quyền điều khiển database: - Khóa quyền truy cập với đối tượng có đặc quyền, ví dụ tiện ích quản trị, tiện ích thực thi gián tiếp lệnh phía điều hành tiện ích sinh kết nối tới đối tượng databas khác - Hạn chế truy vấn đặc biệt: câu lệnh Openrowset SQL server ví dụ Việc sử dụng câu lệnh giúp kể cơng cướp quyền truy vấn thực kết nối tới database khác chế độ xác thực lỏng lẻo 49 - 49 Luôn cập nhật update ứng dụng quản trị database Đây nguyên tắc mà cần tuân thủ 3.3 Điều kiện thực giải pháp Để thực hóa giải pháp đề xuất, em xin trình bày số điều kiện kinh tế sau: 50 50 Bảng 3.3: Chi phí thực giải pháp Tên giải pháp Thiết bị/ Khóa học Số lượng Tổng tiền (đồng) Phần mềm diệt virus Kaspersky® Kaspersky® Small Office Small Office Security 35 10.400.000 270.400.000 khóa học 17.500.000 Security Hệ quản trị CSDL Oracle Database Oracle Database 12c 12c Khóa bảo mật mạng cho Đào tạo nhân lực doanh nghiệp – NIS (Network Infastructure Security) (Nguồn: Theo điều tra cá nhân) Muốn áp dụng công nghệ vào quan UBND huyện cần đảm bảo hệ thống trang thiết bị có quan đáp ứng yêu cầu tương thích thành phần cũ với Bên cạnh cán bộ, nhân viên quan cần đào tạo tìm hiểu trước cơng nghệ giúp việc áp dụng chúng công việc sau thuận tiện hiệu KẾT LUẬN 51 51 Những năm gần Việt Nam ngành Công nghệ thơng tin có bước phát triển mạnh mẽ, mở giới cho phát triển không bị giới hạn không gian Cùng với phát triển công nghệ thông tin vấn đề an tồn bảo mật thơng tin vấn đề trọng quan tâm từ phủ, doanh nghiệp, tổ chức đến cá nhân Khơng nằm mối quan tâm quan UBND huyện Đơng Hưng ln khơng ngừng đầu tư hồn thiện vấn đề an tồn bảo mật thơng tin cho quan Bài khóa luận tốt nghiệp trình bày giải pháp cho vấn đề bảo mật an ninh thơng tin cho quan là: giải pháp cho an ninh mạng Firewall, đổi phần mềm diệt virus hệ quản trị CSDL, giải pháp khắc phục lỗ hổng bảo mật website đề xuất sách đào tạo nguồn nhân lực phù hợp để phục vụ cho cơng tác đảm bảo an tồn bảo mật thông tin quan Với số giải pháp tiêu biểu cần thiết đề xuất em hi vọng đóng góp ý kiến cá nhân cho vấn đề đảm bảo ATBM thơng tin xây dựng quan UBND huyện ngày vững mạnh phát triển Khóa uận kết học tập, nghiên cứu trình vận dụng quan UBND huyện hợp lại kiến thức an tồn bảo mật có kinh nghiệm thực tế qua trình thực tập quan UBND huyện Đông Hưng Mặc dù em cố gắng điều kiện thời gian hạn chế kiến thức thân nên q trình thực đề tài khơng tránh khỏi sai sót Kính mong q thầy cơ, đóng góp ý kiến nhận xét để khóa luận em hoàn thiện Một lần nữa, em xin chân thành cảm ơn cán công chức quan UBND huyện Đông Hưng Cảm ơn thầy cô khoa Hệ thống thông tin kinh tế Thương mại điện tử đặc biệt Giảng viên Ths Hàn Minh Phương tận tâm dạy tạo điều kiện thuận lợi để em thực hoàn thành khóa luận tốt nghiệp Em xin chân thành cám ơn! TÀI LIỆU THAM KHẢO (1) Đàm Gia Mạnh (2011),Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê (2) Đàm Gia Mạnh (2017), Giáo trình Hệ thớng thơng tin quản lý, Đại học Thương mại (3) Đàm Gia Mạnh (2010), Mạng máy tính truyền thông, NXB Thông tin Truyền thông (4) William Stallings (2016), Cryptography and network security principles and practices, 7Th Edition (5)Jean-Philippe Aumasson (2017), Serious Cryptography: A Practical Introduction to Modern Encryption (6) Bruce Schneier (2015), Applied Cryptography: Protocols, Algorithms and Source Code in C (7) Giải pháp phát phòng chớng tấn cơng mạng Firewall WatchQuard (Bài báo trang web antoanthongtin.vn) (8) Trang web: https://quantrimang.com/bao-mat-wi-fi-lua-chon-giai-phapnao-18709 (9)Trang web: https://securitybox.vn PHỤ LỤC PHIẾU ĐIỀU TRA TRẮC NGHỆM TÌNH HÌNH BẢO MẬT CHO HTTT CỦA CƠ QUAN UBND HUYỆN ĐƠNG HƯNG 1) Tơi cam kết giữ bí mật thông tin riêng công ty dùng thông tin cung cấp phiếu điều tra cho mục đích khảo sát tổng hợp trạng bảo mật hệ thống thông tin quan 2) Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời thích hợp cách tích vào ô trống Đối với câu hỏi đánh giá ý kiến anh/chị chọn mợt đáp án nhất, với câu hỏi chọn đáp án anh/chị chọn nhiều đáp án Tên quan: UBND Huyện Đông Hưng tỉnh Thái Bình Địa trụ sở chính: Tổ 8, thị trấn huyện Đông Hưng Thông tin liên hệ người điền phiếu: Họ tên: Nam/ nữ : Năm sinh: Vị trí cơng tác: Học vị: Đại học Sau đại học Đánh giá trang thiết bị phần cứng quan nay: Rất đầy đủ Khá đầy đủ Khơng có ý kiến Đầy đủ Chưa đầy đủ Đánh giá trang thiết bị phần mềm quan nay: Rất đầy đủ Khá đầy đủ Khơng có ý kiến Đầy đủ Chưa đầy đủ Anh/chị đánh quan tâm ban lãnh đạo quan đến vấn đề bảo mật thông tin? Rất quan tâm Quan tâm Bình thường Chưa quan tâm Khá quan tâm Anh/chị đánh giá tính hiệu tường lửa quan sử dụng? Chưa tốt Tốt Khá tốt Rất tốt Khơng có ý kiến Anh/chị đánh giá khả diệt virus tính tương thích phần mềm diệt virus BKAV Pro với HTTT quan nay? Chưa tốt Tốt Khá tốt Rất tốt Khơng có ý kiến Cơ quan sử dụng phương pháp lưu trữ thông tin nào? Sử dụng điện tốn đám mây Dropbox Lưu trữ thủ cơng Lưu trữ thông tin file excel Không lưu trữ Theo anh/chị đánh giá nguồn nhân chuyên trách CNTT quan đáp ứng nhu cầu công việc? Chưa đáp ứng đủ Đã đáp ứng đủ Bình thường Q nhiều Khơng có ý kiến Anh/ chị đánh giá mức sử dụng công cụ đảm bảo ATTT nhân viên quan? Không thành thạo Khá thành thạo Thành thạo Khơng có ý kiến Rất thành thạo Theo anh/chị quan sử dụng mạng cho hệ thống máy tính? Mạng cục (LAN) Mạng dùng chung Mạng diện rộng (WAN) Không biết 10 Thông tin hệ thống quan bị cơng chưa? Có Khơng Nếu có theo anh/chị thành phần mục tiêu cơng đó? Trang thiết bị phần cứng Phấn mềm Cơ sở liệu Website Con người Mạng Chi tiết số công lỗ hổng bị khai thác? 11 Theo anh/chị hoạt động người làm ảnh hưởng đến an tồn thơng tin hệ thống thông tin? Sử dụng thiết bị, trang web chép khơng an tồn Truy cập trái phép hệ thống thông tin nội Không sử dụng diệt virut cho máy cá nhân Hoạt động khác 12 Anh/chị đánh giá thứ tự tác nhân gây an tồn bảo mật thơng tin HTTT đơn vị làm việc từ 1->5 theo mức độ ảnh hưởng tăng dần: Trang thiết bị phần cứng Phấn mềm Cơ sở liệu Mạng Con người 13 Anh/chị cho biết phần mềm quan sử dụng có quyền hay khơng? Khơng Có 14 Theo nhận định anh/chị vấn đề phần cứng dễ gây an tồn thơng tin HTTT đơn vị nay? Nhiệt độ, độ ẩm, nguồn nước Trang thiết bị phần cứng lâu đời gặp nhiều trục trặc Cháy nổ thiết bị phần cứng Hỏng RAM liệu Không biết 15 Anh/chị cho biết quan sử dụng hệ quản trị CSDL đây? SQL Server PostgreSQL MySQL SQlite Oracle MongoDB 16 Anh/chị cho biết tần suất lưu liệu quan? Theo Theo ngày Theo tuần Theo tháng Không có ý kiến 17 Theo anh/chị việc mở lớp đào tạo kiến thức CNTT quan có cần thiết hay khơng? Có Khơng
- Xem thêm -

Xem thêm: Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng, Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng

Từ khóa liên quan

Mục lục

Xem thêm