Báo cáo quản lý an toàn thông tin PTIT

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	25
Dung lượng	457,83 KB

Nội dung

Tất cả tài liệu: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN I BÁO CÁO QUẢN LÝ AN TỒN THÔNG TIN ĐỀ TÀI: ĐÁNH GIÁ RỦI RO HỆ THỐNG WEBSITE THƯƠNG MẠI GIẢNG VIÊN HƯỚNG DẪN: NHÓM LỚP – nhóm 5: T.S PHẠM HỒNG DUY NGUYỄN MINH ĐỨC NGUYỄN ĐÌNH HỒNG TỐNG ĐÌNH HỒN ĐỖ THỊ KIỀU LY HÀ NỘI - THÁNG 11/2019 MỤC LỤC Danh mục bảng biểu .2 Danh mục từ viết tắt .2 Lời mở đầu CÁC MỐI ĐE DỌA VÀ LỖ HỔNG TRONG WEBSITE TMĐT .4 1.1 Định nghĩa[1] 1.2 Các mối đe dọa thường gặp[2] .4 1.3 Các lỗ hổng thường có website TMĐT ĐÁNH GIÁ VÀ PHÂN TÍCH RỦI RO TRONG WEBSITE TMĐT 2.1 Phương pháp đánh giá OCTAVE[3] 2.1.1 Giới thiệu 2.1.2 Cách hoạt động .6 2.1.3 Cấu trúc OCTAVE 2.2 Phân tích đánh giá rủi ro cho hệ thống Web thương mại điện tử 2.2.1 Thiết lập tiêu chuẩn đánh giá rủi ro 2.3 Xây dựng hồ sơ tài sản thông tin 2.4 Xác định đối tượng chứa tài sản 10 2.5 Xác định, phân tích rủi ro theo bước kết tiếp 10 2.5.1 Cấp quyền truy cập liệu 10 2.5.2 Tấn công chèn mã XSS, SQLInjection 11 2.5.3 Tính sẵn dùng hệ thống 13 2.5.4 Sử dụng mật yếu việc quản lý hệ thống .14 2.5.5 Hệ thống bị công tràn đệm 15 2.5.6 Dữ liệu nhạy cảm bị đánh cắp 16 2.5.7 Dữ liệu toán bị thay đổi 17 2.5.8 Các công từ chối dịch vụ 18 2.5.9 Xác thực 19 2.5.10 Ảnh hưởng từ thiên tai tới hệ thống 20 2.5.11 Việc tải truy cập vào số thời điểm 22 2.5.12 Chiếm phiên đăng nhập người dùng 23 KẾT LUẬN 24 TÀI LIỆU THAM KHẢO 25 Danh mục bảng biểu Table Thiết lập tiêu chuẩn đánh giá rủi ro Table Xây dụng hồ sơ tài sản .9 Table Xác định đối tượng chứa tài sản .10 Table Cấp quyền truy cập liệu .11 Table Tấn công chèn mã 13 Table Tính sẵn dùng hệ thống 14 Table Sử dụng mật yếu 15 Table Hệ thống bị công chàn đệm 16 Table Dữ liệu nhạy cảm bị đánh cắp 17 Table 10 Dữ liệu toán bị thay đổi 18 Table 11 Các công từ chối dịch vụ 19 Table 12 Rủi ro xác thực .20 Table 13 Ảnh hưởng từ thiên tai 22 Table 14 Việc tải truy cập vào số thời điểm .23 Table 15 Chiếm phiêm đăng nhập từ người dùng 24 Danh mục từ viết tắt XSS TMĐT SQL HTTP URL ID CSRF CSDL CNTT PBMS SSL VPN ACL DEK Cross-site scripting Thương mại điện tử Structured Query Language Hypertext transfer protocolỦL Uniform Resource Locator Identification Cross Site Request Forgery Cơ sở liệu Công nghệ thông tin Predatory Bird Monitoring Scheme Secure Sockets Layer Virtual Private Network Access Control Lists Data encrypting key KEK Key encrypting key Lời mở đầu Hiện vấn đề quản lý rủi ro website vấn đề cần thiết công ty, tổ chức có quản lý website Bởi lẽ quản lý đưa danh sách, đánh giá rủi ro giúp đưa biện pháp giảm thiểu, phòng tránh hiệu phù hợp xử lý xảy rủi ro cách tốt Chúng em đưa tài liệu sau đưa cách tổng quan quản lý rủi ro website thương mại điện tử, cách đánh giá dựa chuẩn Octave CÁC MỐI ĐE DỌA VÀ LỖ HỔNG TRONG WEBSITE TMĐT 1.1 Định nghĩa[1] Website thương mại điện tử trang thông tin điện tử thiết lập để phục vụ phần tồn quy trình hoạt động mua bán hàng hóa hay cung ứng dịch vụ, từ trưng bày giới thiệu hàng hóa, dịch vụ đến giao kết hợp đồng, cung ứng dịch vụ, toán dịch vụ sau bán hàng 1.2 Các mối đe dọa thường gặp[2] Các công cách chèn xâu kí tự nguy hiểm câu truy vấn, biểu mẫu, cookies, HTTP Headers Thông tin bí mật, tối mật, tuyệt mật bị rị rỉ thay đổi liệu Từ chối dịch vụ rị rỉ thơng tin nhạy cảm từ cấp bậc hệ thống Kẻ cơng sử dụng tài khoản người dùng hợp pháp ứng dụng Kết dẫn đến việc đánh thông tin mật khách hàng Các lỗi an toàn từ người phát triển dẫn đến việc truy nhập trái phép từ kẻ cơng bên ngồi Kết dẫn đến trang web cơng ty khơng chứa liệu bí mật việc thay giao diện trang chủ hủy hoại danh tiếng công ty khách hàng tiềm đặt dấu hỏi tính an tồn tồn hệ thống Kẻ cơng dị tìm thơng tin kênh truyền quản trị từ xa hỗ trợ Kết hacker chạy trang web với quyền quản trị truy cập trực tiếp đến toàn trang Thêm sửa, xóa liệu Lộ thơng tin nhạy cảm, định danh tài khoản Lỗ hổng logic- đánh lừa tính đổi mật cho phép kẻ công đổi mật người dùng, lạm dụng tài khoản họ 10 Kẻ cơng chiếm phiên làm việc sử dụng tài khoản người dùng hợp pháp khác ứng dụng 11 Kẻ cơng chỉnh sửa liệu khơng mã hóa chuyển từ người dùng đến ứng Dữ liệu giửi câu truy vấn, cookies, HTTP header 12 Các trang web có hàm phân quyền cho người dùng Nhưng hàm khơng đồng thực đắn phía người dùng kẻ cơng lợi dụng lỗ hổng để công vào trang web với đặc quyền cao 1.3 Các lỗ hổng thường có website TMĐT SQL Injection Cross Site Scripting (XSS) Phá vỡ xác thực quản lý phiên 4 Tham chiếu đối tượng khơng an tồn ( Insecure Direct Object References) Cross Site Request Forgery Cấu hình bảo mật khơng xác (Security Misconfiguration) Lưu trữ bí mật khơng an tồn (Insecure Cryptographic Storage) Lỗi việc hạn chế quyền truy cập URL (Failure to restrict URL Access) Bảo mật tầng vận chuyển không đủ (Insufficient Transport Layer Protection) 10 Chuyển hướng không phê duyệt (Unvalidated Redirects and Forwards) ĐÁNH GIÁ VÀ PHÂN TÍCH RỦI RO TRONG WEBSITE TMĐT 2.1 Phương pháp đánh giá OCTAVE[3] 2.1.1 Giới thiệu Hiện nay, quan bảo maạt giới sử dụng phương pháp để quản lý rủi ro an ninh thông tin dựa phương pháp "Đánh giá nguy cơ, đánh giá tài sản tổn thương hoạt động" (OCTAVE) Phương pháp OCTAVE phát triển Viện Kỹ thuật phần mềm (SEI) Đại học Carnegie Mellon 2.1.2 Cách hoạt động OCTAVE phương pháp đánh giá rủi ro linh hoạt tự định hướng Một nhóm nhỏ người đơn vị hoạt động (hoặc doanh nghiệp) phận CNTT làm việc để giải nhu cầu bảo mật tổ chức Nhóm nghiên cứu rút kiến thức nhiều nhân viên để xác định tình trạng an ninh tại, xác định rủi ro tài sản quan trọng thiết lập chiến lược bảo mật Nó điều chỉnh cho hầu hết tổ chức Không giống hầu hết phương pháp đánh giá rủi ro khác, phương pháp OCTAVE thúc đẩy rủi ro hoạt động thực tiễn bảo mật khơng phải cơng nghệ Nó thiết kế phép tổ chức:  Trực tiếp quản lý đánh giá rủi ro an ninh thông tin cho họ  Đưa định tốt dựa rủi ro họ  Tập trung vào việc bảo vệ tài sản thông tin quan trọng  Giao tiếp hiệu thông tin bảo mật quan trọng 2.1.3 Cấu trúc OCTAVE Phương pháp OCTAVE dựa tám quy trình chia thành ba giai đoạn Trong tổ chức giáo dục đại học, thường bắt đầu giai đoạn thăm dò (được gọi Giai đoạn Zero) để xác định tiêu chí sử dụng q trình áp dụng phương pháp Octave Các bước phương pháp OCTAVE[4]: Thiết lập tiêu chuẩn đánh giá rủi ro Danh tiếng, tài chính, suất, sức khỏe an tồn, pháp luật, tiêu chuẩn riêng Xây dựng hồ sơ tài sản thông tin Chủ sở hữu, mô tả tài sản quan trọng, xác định yêu cầu CIA (bí mật, tồn vẹn, sẵn dùng), tìm CIA quan trọng, lý tình quan trọng Xác định đối tượng chứa tài sản Kỹ thuật, vật lý, người Xác định lĩnh vựa quan tâm Các tình tác động lên tài sản, xác định điểm yếu hay lỗ hổng Xác định tình đe dọa Mơ tả theo tiêu chí: Tài sản, phương tiện, người tiến hành, động cơ, kết Xác định rủi ro Lập danh sách rủi ro dạng: đe dọa + tác động Phân tích rủi ro Xác định mức độ ảnh hưởng theo phân loại giá trị, sau tình điểm Lựa chọn tiếp cận giảm thiểu Từ kết bước kết hợp với xác suất xảy ta chia thành nhóm: Giảm thiểu, giảm thiểu hay loại trừ, loại trừ hay chấp nhận, chấp nhận 2.2 Phân tích đánh giá rủi ro cho hệ thống Web thương mại điện tử 2.2.1 Thiết lập tiêu chuẩn đánh giá rủi ro Lĩnh vực Thấp Vừa Cao Danh tiếng/ tín nhiệm khách hang Việc ghé thăm web mua sắm giảm 2% Việc ghé thăm web mua sắm giảm mức 2% 5% Việc ghé thăm web mua sắm giảm 5% Tài Làm tăng chi phí hoạt động hàng năm 2% Làm tăng chi phí hoạt động hàng năm 2% 5% Làm tăng chi phí hoạt động hàng năm 5% Năng suất Tỷ lệ hàng bán trung bình ngày giảm 2% Tỷ lệ hàng bán trung bình ngày giảm 2% - 5% Tỷ lệ hàng bán trung bình ngày giảm 5% Sức khỏe an toàn Vấn đề an toàn đề cập khơng có phản hồi ảnh hưởng 1000$ tài Hình phạt phạt phạm luật Hình phạt 1000$ Hình phạt khoảng 1000$ 5000$ Hình phạt 5000$ Tiêu chuẩn tác động riêng Khơng Khơng Khơng Đã có ảnh hưởng Vấn đề an toàn bị vấn đề an toàn, xâm phạm, cần tiến có phản hồi hành điều tra chi mức phổ thơng phí khắc phục vượt chi phí 10.000$ khoảng 1000$ 10.000$ Table Thiết lập tiêu chuẩn đánh giá rủi ro 2.3 Xây dựng hồ sơ tài sản thông tin Tài sản quan trọng Lý lựa chọn Mô tả Thông tin thu thập từ khách hàng Việc để lộ thông tin khách hàng khiến cho website uy tín Những thơng tin thói quen mua sắm khách hàng để lộ dẫn việc sụt giảm doanh số Chứa tồn thơng tin khách hàng (tên, địa chỉ, số cmt, …) Các thông tin quan trọng để xác nhận danh tính người Chủ sở hữu tài sản quan trọng Giám đốc quản lý kinh doanh Table 2Xây dụng hồ sơ tài sản Yêu cầu:  Tính bảo mật: quyền đọc với tài sản theo quy tắc: Nhân viên bán hàng quyền xem thông tin khách hàng, khơng có quyền thay đổi Việc truy xuất thơng tin khách hàng cần ghi vào log  Tính tồn vẹn: Các quản lý có quyền thay đổi thơng tin khách hàng Việc thay đổi, truy xuất cần ghi vào log  Tính sẵn dùng: Các thơng tin phải sẵn sang cho cá nhân làm nhiệm vụ họ Tính quan trọng tài sản: Sẵn dùng 2.4 Xác định đối tượng chứa tài sản Tài sản Chủ sở hữu Thông tin Khách hàng - Con người: Quản lý phận khách hàng - Kỹ thuật: Oracle database - Vật lý: Trung tâm liệu, Gia đình Thơng tin Sản phẩm - Giám đốc kinh doanh - Kỹ thuật: Oracle database - Vật lý: Trung tâm liệu Nhân viên - Giám đốc nhân - Kỹ thuật: Oracle database - Vật lý: Trung tâm liệu Table Xác định đối tượng chứa tài sản 2.5 Xác định, phân tích rủi ro theo bước kết tiếp 2.5.1 Cấp quyền truy cập liệu Thông tin tài sản Thông tin khách hàng Các copy thông tin khách hàng sau thực mua sắm xem người khơng có thẩm Mối quan tâm quyền (các copy tạo nhân viên quản lý) Tài sản Các copy thông tin khách hàng Người tiến Nhân viên lao cơng hành Tình Phương Thấy bàn làm việc sau dọn dẹp văn đe tiện/truy nhập phòng vào cuối ngày làm việc dọa Động Yêu cầu công việc phải dọn dẹp Hậu Tiết lộ thông tin người có thẩm quyền thơng tin xem Tác động Phân tích rủi ro 10 Lĩnh vực Danh tiếng/ Uy tín Tài Năng suất Các đối thủ cạnh tranh có An tồn thơng tin mua sắm khách sức hàng sử dụng để lôi kéo khỏe khách hàng Luật pháp Việc để lộ thông tin cá nhân khách hàng mà khơng có chấp thuận khách hàng khiến website phải đối mặt với pháp luật Phân loại Giá trị tác động Mức điểm Cao (3) 15 Trung bình (2) Trung bình (2) Thấp (1) Cao (3) 12 Tổng điểm 38 Lựa chọn giảm thiểu Giảm thiểu hay Loại trừ hay chấp Giảm thiểu loại trừ Chấp nhận nhận X Phương pháp giảm thiểu Bắt buộc tự dọn bàn làm việc sau tan làm để Nhân viên tránh việc tồn đọng giấy tờ thừa Table Cấp quyền truy cập liệu 2.5.2 Tấn công chèn mã XSS, SQLInjection Thông tin tài sản Khung đánh giá Các sản phẩm có đánh giá để khách hàng xem phản hồi người khác Việc chưa lọc kỹ đầu vào Mối quan tâm khung dẫn đến lỗi XSS, SQLInjection Cần ngăn chặn hành vi tác động đến sở liệu người khơng có thẩm quyền Tình Tài sản Cơ sở liệu Người tiến hành Hacker đe Phương tiện/Truy Sử dụng công XSS SQL Injection để dọa nhập truy cập vào CSDL qua lỗ hổng ô đánh 11 giá Lấy thông tin khách hàng phá sở Động liệu Kết Phá hủy liệu bị hacker cơng Tác động Phân tích rủi ro Giá trị Phân Mức Lĩnh vực tác loại điểm động Danh Trung tiếng/ Uy bình tín (2) Việc thể tác động Tài Cao(3) đến sở liệu website khơng thể hoạt động Năng Cao(3) 12 suất An toàn sức Cao(3) 15 khỏe Luật Trung pháp bình(2) Tổng điểm 42 Lựa chọn giảm thiểu Giảm thiểu Loại trừ hay chấp Giảm thiểu hay loại trừ Chấp nhận nhận X Phương pháp loại bỏ - Thêm lọc giá trị đầu vào nhập đánh giá sản phẩm Nhân viên kỹ thuật - Tránh truy vấn trực tiếp đến sở liệu, sử dụng thủ tục để thay Khách hàng - Hạn chế sử dụng ký tự đặc biệt Table Tấn cơng chèn mã 2.5.3 Tính sẵn dùng hệ thống Thông tin tài sản Mối quan tâm Trung tâm sở liệu Thời tiết nóng đỉnh điểm khiến cho việc tiêu thụ điện tải Trung tâm liệu bị cắt điện khiến cho 12 website hoạt động khơng bình thường Cần phải có thêm server để trì hoạt động Tài sản Trung tâm sở liệu Người tiến hành Thời tiết, môi trường Tình Số lượng thiết bị sử dụng điện tăng lên nhanh Phương tiện/Truy chóng cao điểm thời tiết nóng nhập đe dọa dẫn đến điện Động Kết Gián đoạn công việc Tác động Phân tích rủi ro Giá trị Phân Lĩnh vực tác Mức điểm loại động Danh tiếng/ Uy Thấp(1) Cơ sở liệu khơng sẵn sàng tín dẫn đến việc sụt giảm doanh Tài Cao(3) 12 thu, website hoạt Năng Cao(3) 15 động suất An toàn sức Thấp(1) khỏe Luật Thấp(1) pháp Tổng điểm 33 Lựa chọn giảm thiểu Giảm Giảm thiểu thiểu hay Loại trừ hay chấp nhận Chấp nhận X loại trừ Phương pháp loại bỏ - Có khả trì trung tâm sở liệu lúc Nhân viên kỹ thuật - Khả thay database dự phòng 100% Table Tính sẵn dùng hệ thống 2.5.4 Sử dụng mật yếu việc quản lý hệ thống 13 Thông tin tài sản Thông tin khách hàng, hệ thống sở liệu Tài khoản admin sở liệu sử dụng mật yếu mặc định Tài sản Cơ sở liệu Người thực Hacker Tình Phương Dùng bruce force để tìm mật tiện/truy nhập đe dọa Động Thâm nhập vào sở liệu Kết Cở sở liệu bị phá hoại Tác động Phân tích rủi ro Giá trị Mức Việc account quản trị sở Lĩnh vực Phân loại tác động điểm liệu bị đánh cắp khiến Danh thông tin khách hàng bị tiếng/ Uy Cao(3) 12 chiếm, sửa đổi uy tín tín cơng ty Tài Cao(3) Mối quan tâm Hacker sử dụng quyền account làm hành vi khác lên hệ thống Năng suất An toàn sức khỏe Luật pháp Cao(3) Cao(3) 15 Trung bình(2) Tổng điểm 44 Lựa chọn giảm thiểu Giảm thiểu hay Giảm thiểu Loại trừ hay chấp loại trừ Chấp nhận nhận X Phương pháp giảm thiểu: Nhân viên quản trị sở Yêu cầu tài khoản quản trị csdl không liệu sử dụng mặc định, password phải đủ mạnh Table Sử dụng mật yếu 2.5.5 Hệ thống bị công tràn đệm 14 Thông tin tài sản Hệ thống sở liệu Mối quan tâm Cơ sở liệu bị tràn đệm Tài sản Cơ sở liệu Người thực Hacker Tình Phương tiện/ Khai thác lỗi hệ thống để công tràn đệm đe Truy nhập Động Làm gián đoạn công việc công ty dọa Hệ thống csdl hoạt động Kết khỏang thời gian Tác động Cơ sở liệu bị ngừng hoạt động, làm cho hệ thống web ảnh hưởng theo Cơ sở liệu bị phá hủy Đánh giá Lĩnh vực Phân loại Giá trị tác động Mức điểm Danh tiếng/ Uy tín Trung bình(2) Tài Trung bình(2) Cao(3) 15 Thấp(1) Trung bình(2) Năng suất An tồn sức khỏe Luật pháp Tổng điểm 34 Lựa chọn giảm thiểu Giảm thiểu hay Giảm thiểu Loại trừ hay chấp loại trừ Chấp nhận nhận X Phương pháp giảm thiểu: Nhân viên quản trị sở Cài đặt vá ổn định liệu Table Hệ thống bị công chàn đệm 2.5.6 Dữ liệu nhạy cảm bị đánh cắp 15 Thông tin tài sản Thông tin khách hàng Mối quan tâm Tình đe dọa Các liệu nhạy cảm khách hàng không mã hóa Tài sản Dữ liệu nhạy cảm Người thực Hacker, Người quản trị Phương Có thể đọc lấy liệu nhạy cảm dễ dàng tiện/truy nhập Động Đánh cắp thông tin khách hàng Kết Thông tin nhạy cảm bị lộ Tác động Phân tích rủi ro Thông tin khách hàng bị lộ cho người quản trị sở liệu biết, có hành vi xấu Hacker chiếm sở liệu có quyền kiểm sốt tài khoản khách hàng Lĩnh vực Phân loại Giá trị tác động Mức điểm Danh tiếng/ Uy tín Cao(3) 12 Tài Năng suất An tồn sức khỏe Luật pháp Trung bình(2) Trung bình(2) Cao(3) 15 Cao(3) Tổng điểm 42 Lựa chọn giảm thiểu: Giảm thiểu hay Giảm thiểu Loại trừ hay chấp loại trừ Chấp nhận nhận X Phương pháp giảm thiểu: Mã hóa liệu nhạy cảm trước lưu vào Nhân viên lập trình sở liệu Table Dữ liệu nhạy cảm bị đánh cắp 2.5.7 Dữ liệu tốn bị thay đổi Thơng tin tài sản Cơ sở liệu, tài nguyên hệ thống 16 Dữ liệu toán khách hàng bị thay đổi cá nhân không phép truy cập vào hệ thống PBMS Mối quan tâm (Một lỗ hổng hệ điều hành Windows 2003 Server sử dụng để đạt quyền truy cập quản trị vào hệ thống PBMS.) Tài sản Dữ liệu toán Người thực Hacker, khách hàng Phương Lỗ hổng hệ điều hành Windows 2003 Tình tiện/Truy nhập Server đe Muốn thực chiếm đoạt tài khoản khách Động dọa hàng, gây tổn hại danh thu cho Web điện tử Kết Dữ liệu toán bị thay đổi Tác động Phân tích rủi ro Tác Giá trị Lĩnh vực Mức điểm động tác động Danh tiếng/ Uy Cao(3) tín Ảnh hưởng lớn đến lợi ích bán Tài Cao(3) 15 hàng Web điện tử thơng tin cá nhân Năng Trung người dùng bị lộ suất bình(2) An tồn sức Cao(3) 12 khỏe Luật Cao(3) pháp Tổng điểm 44 Lựa chọn giảm thiểu Giảm Giảm thiểu thiểu hay Loại trừ hay chấp nhận Chấp nhận loại trừ X Phương pháp giảm thiểu Network - Hạn chế lưu lượng mạng để đảm bảo máy trạm người dùng ủy quyền truy cập vào PBMS 17 - Hạn chế lưu lượng mạng để đảm bảo lưu lượng truy cập tác vụ PBMS hợp lệ đạt tới hệ thống PBMS Table 10 Dữ liệu toán bị thay đổi 2.5.8 Các công từ chối dịch vụ Thông tin tài sản Cơ sở liệu, tài nguyên hệ thống Cuộc công từ chối dịch vụ vào Web thương mại điện Mối quan tâm tử làm cản trở khả giao dịch khách hàng nhà cung cấp Tài sản Cơ sở liệu, tài nguyên hệ thống Một hacker muốn nghịch ngợm thử mức độ Người thực phá hoại tài Tình Sử dụng cơng cụ DoS tìm thấy đe Phương tiện/Truy trang web hacking dọa nhập Không thể truy cập web khoảng thời gian Động Giải trí, tị mị Kết Hệ thống bị ngắt Tác động Phân tích rủi ro Lĩnh Phân Giá trị Mức điểm vực loại tác động Danh Trung tiếng/ bình(2) Uy tín Tài Trung Tắc nghẽn đường truyền bình(2) khoản thời gian lớn Không Năng đảm bảo nhu cầu truy nhập Cao(3) 15 suất khách hàng An toàn Trung sức bình(2) khỏe Luật Trung pháp bình(2) Tổng điểm 35 Lựa chọn giảm thiểu Giảm thiểu Giảm Loại trừ hay chấp nhận Chấp nhận 18 thiểu hay loại trừ X Phương pháp giảm thiểu Tìm nhà cung cấp dịch vụ có nhiều giải pháp kết nối mạnh hỗ trợ Internet nhiều việc ngăn chặn công DoS Table 11 Các công từ chối dịch vụ 2.5.9 Xác thực Thông tin tài sản Cơ sở liệu, tài nguyên hệ thống Một cá nhân trái phép xem tài sản đưa đến cho người khác (Nhân viên nhập liệu vào Mối quan tâm máy chủ CSDL nằm khu vực cơng cộng nhân viên khác khách truy cập tự truy cập) Tài sản Cơ sở liệu Người thực Nhân viên khách hàng tị mị Tình Phương Vắng mặt vị trí máy chủ nhân viên khác đe dọa tiện/Truy khách thăm ngồi xuống truy nhập nhập máy để xem CSDL Động Tò mò Kết Cơ sở liệu bị tiết lộ Tác động Phân tích rủi ro Tiết lộ thông tin Phân Giá trị tác Mức Lĩnh vực khách hàng khác, loại động điểm Danh thông tin quan trọng Trung tiếng/ Uy cơng ty bình(2) tín Trung Tài bình(2) Năng Trung suất bình(2) An tồn Cao(3) 15 sức khỏe 19 Luật pháp Trung bình (2) Tổng điểm 35 Lựa chọn giảm thiểu Giảm Giảm thiểu thiểu Chấp Loại trừ hay chấp nhận X hay loại nhận trừ Phương pháp giảm thiểu Thường xuyên đào tạo, nhắc nhở Sử dụng hình tự động khóa sau 5p Nhân viên Ban hành sách quy định xử lý nghiêm đưa trách nhiệm Table 12 Rủi ro xác thực 2.5.10 Ảnh hưởng từ thiên tai tới hệ thống Thông tin tài sản Trung tâm sở liệu Do ảnh hưởng thời tiết nên khí hậu diễn biến thất thường Thiên tai xảy thường xuyên lũ lụt, sấm chớp, Mối quan tâm chí hoả hoạn gây cản trở đến việc hoạt động cách thông suốt trung tâm liệu, dẫn đến Website bị gián đoạn Tài sản Trung tâm sở liệu Người thực Môi trường Tình Phương Thiên tai làm ảnh hưởng đến trình hoạt động bình tiện/Truy đe dọa thường hệ thống nhập Động Kết Gây gián đoạn hoạt động Website Tác động Phân tích rủi ro Cơ sở liệu không Giá trị tác Mức Lĩnh vực Phân loại sẵn sàng, dẫn đến động điểm Danh tiếng/ Uy Trung bình thất doanh thu tín (2) Tài Cao (3) 15 Năng suất Cao (3) 12 20 An toàn sức khỏe Luật pháp Tổng điểm Lựa chọn giảm thiểu Giảm thiểu X Giảm thiểu hay loại trừ Nhân viên Thấp (1) Thấp (1) 36 Loại trừ hay chấp nhận Chấp nhận Phương pháp giảm thiểu - Thực việc trì hay nhiều server hoạt động lúc - Server dự phòng phải có khả thay hồn tồn xảy rui rỏ với server Table 13 Ảnh hưởng từ thiên tai 2.5.11 Việc tải truy cập vào số thời điểm Thông tin tài sản Cơ sở liệu, tài nguyên hệ thống Lưu lượng truy cập đến Website thương mại điện tử gia tăng nhanh giai đoạn cuối năm nhu cầu mua sắm Mối quan tâm khách hàng lớn Hệ thống từ bị tải dẫn đến treo diện rộng Tài sản Cơ sở liệu, tài nguyên hệ thống Người thực Khách hàng Tình Phương đe Lưu lượng khách hàng truy cập Website lớn nhu tiện/Truy dọa cầu mua sắm cao nhập Động Khơng có Kết Gây gián đoạn hoạt động Website Tác động Phân tích rủi ro Hệ thống khơng sẵn sàng Phân Giá trị tác Mức Lĩnh vực đến xử lý toàn yêu loại động điểm Danh tiếng/ cầSu khách hàng Cao (3) Uy tín Tài Cao (3) 15 Năng suất Cao (3) 12 21 An toàn sức khỏe Luật pháp Tổng điểm Lựa chọn giảm thiểu Giảm thiểu X Giảm thiểu hay loại trừ Thấp (1) Thấp (1) 39 Loại trừ hay chấp nhận Chấp nhận Phương pháp giảm thiểu Sử dụng thêm server chia sẻ kích hoạt tính Nhân viên cân tải Table 14 Việc tải truy cập vào số thời điểm 2.5.12 Chiếm phiên đăng nhập người dùng Thông tin tài sản Thông tin, tài sản khách hàng Hacker thực thao tác chiếm phiên người dùng, tiến hành dùng tài khoản với thông tin cá nhân, Mối quan tâm thơng tin thẻ tín dụng khách hàng để mua sắm Website Tài sản Thông tin cá nhân, tài sản khách hàng Người thực Hacker Tình Phương tiện/Truy Hacker dùng kỹ thuật Session Hijacking đe nhập Burp Suite, tool dọa Động Món đồ có giá trị Kết Khách hàng bị tiền mà lý Tác động Phân tích rủi ro Gây thiệt hại đến tài sản Phân Giá trị Lĩnh vực Mức điểm khách hàng, đồng thời loại tác động Danh làm ảnh hưởng đến danh tiếng tiếng/ Uy Cao (3) cơng ty tín Tài Cao (3) 15 Năng Thấp (1) suất An toàn Trung 22 sức khỏe Luật pháp bình (2) Tổng điểm Cao (3) 12 41 Lựa chọn giảm thiểu Giảm thiểu hay Giảm thiểu Loại trừ hay chấp nhận Chấp nhận loại trừ X Phương pháp giảm thiểu - Thực mã hoá kênh truyền để tránh việc bị nghe Session ID Nhân viên kỹ thuật - Thực phương pháp xác thực bảo mật lớp - Giới hạn thời gian sống session Table 15 Chiếm phiêm đăng nhập từ người dùng KẾT LUẬN Qua trình tìm hiểu nghiên cứu, chúng em xác định rủi ro xảy với website Thương mại điện tử đưa giải pháp để giảm thiểu, phòng tránh Việc xác định đưa giải pháp cho rủi ro website Thương mại điện tử vấn đề cần phải đặt lên đầu với nhà quản lý, công ty, ảnh hướng lớn thới danh tiếng lợi nhuận công ty Điểm mạnh phương pháp đánh giá theo Octave giúp tiết kiệm thời gian xây dựng tài liệu bổ xung, tất cung cấp sẵn Việc mơ tả đơn giản hóa Cung cấp bảng tiêu chí tác động, văn sử dụng dễ theo dõi Bên cạnh ưu điểm, ta nhận thấy nhược điểm phiên Octave đơn giản hóa 23 phức tạp, không xây dựng danh mục mối dê dọa mà sử dụng mẫu điều tra mang tình chủ quan dễ làm người thiếu kinh nghiệm bỏ sót mối đe dạo Tính chắn khơng tình tốn rõ rang Trong báo cáo sử dụng hệ thống đánh giá Octave, với ưu điểm nhược điểm thệ thống đánh giá, cần sử dụng thêm nhiều hệ thống đánh giá khác NIST để có nhìn tồn diện website hệ thống quản lý để đưa biện pháp phòng tránh, giảm thiểu hiệu TÀI LIỆU THAM KHẢO [1] [2] [3] [4] T Thành, “Website thương mại điện tử,” TMĐT, 2019 T Đ H B K T H K K H K T M Tính, “Các mối đe dạo thường gặp,” pp 1–47, 2011 Octave, “Risk Assessment Workshop [ Covering OCTAVE , NIST SP 800-30 and ISO 27005 ],” p 27005, 2012 TS Phạm Hoàng Duy, “Các hệ thống quản lý rủi ro,” BÀI GIẢNG MƠN HỌC Quản lý an tồn thơng tin, vol 40, no Slide giảng, 2015 24

Ngày đăng: 08/10/2020, 08:51