NHÓM CÂU HỎI

Một phần của tài liệu ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - mới (Trang 38 - 50)

Câu 33: Bạn đang sử dụng một máy tính cá nhân (PC) trong công việc

Hãy liệt kê và phân tích các nguy cơ mất an toàn đối với các thông tin trong máy tính đó?

Hãy liệt kê và phân tích các lỗ hổng bảo mất có thể có của máy tính đó?

Hãy đề xuất và giải thích các giải pháp đảm bảo an toàn thông tin cho máy tính đó?

Hãy đề xuất và giải thích các giải pháp phòng tránh các lỗ hổng bảo mật cho máy tính đó?

Câu 34: Bạn đang sử dụng một máy tính tại văn phòng làm việc có kết nối mạng Internet.

Hãy liệt kê và phân tích các nguy cơ mất an toàn đối với các thông tin trong máy tính đó?

Thông tin, dữ liệu trong hệ thống bị lộ lọt, truy nhập, lấy cắp, nghe lén và sử dụng trái phép (thông tin bị rò rỉ, lộ bí mật);

Thông tin, dữ liệu trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin thiếu xác thực, toàn vẹn và thiếu tin cậy);

Thông tin, dữ liệu không đảm bảo hoặc không được cam kết về pháp lý của người cung cấp; thông tin, dữ liệu không mong muốn bị tán phát hoặc hệ thống bị tấn công mà không được, không thể kiểm soát (tính pháp lý và an ninh hệ thống…);

Thông tin, dữ liệu không đảm bảo tính thời gian thực, hệ thống hay bị sự cố, ngưng trệ, hỏng hóc; truy cập, khai thác khó khăn (tính kém sẵn sàng của hệ thống

Hãy liệt kê và phân tích các lỗ hổng bảo mật có thể có của máy tính đó? Các cổng mở trên một mạng máy in

Máy in hoạt động không khác gì một chiếc máy tính mấy. Nó cũng có hệ điều hành, ổ cứng, kết nối mạng, bộ nhớ, đảm nhận chức năng chia sẻ chung nhưng lại ít được bảo vệ, vì thường do bộ phận không liên quan đến bảo mật mua và quản lý và hầu hết không nằm trong kế hoạch củng cố an ninh bảo mật doanh nghiệp. Chúng có thể trở thành kẽ hở cho kẻ xấu khai thác. Vì máy in nối mạng đang có những cổng mở cho tin tặc lợi dụng, phá vỡ lớp tường lửa an ninh mà doanh nghiệp bỏ nhiều công sức thiết lập. Nó có thể bị tấn công qua BIOS và firmware. Hacker có thể cài cắm mã ẩn vào tác vụ in ấn, đồng thời đánh cắp thông tin từ các tác vụ in ấn thông qua mạng. Do đó, việc xây dựng chiến lược an ninh thông tin doanh nghiệp vẫn chưa được gọi là toàn diện, nếu bỏ qua việc bảo mật máy in kết nối mạng này.

Nhân viên download không hợp pháp

Mạng ngang hàng (Peer to peer- P2P) là mạng mà trong đó hai hay nhiều máy tính chia sẻ tập tin và truy cập các thiết bị như máy in mà không cần đến máy chủ hay phần mềm máy chủ. Trong một công ty lớn, sẽ là rất dễ dàng để tìm được một nhân viên sử dụng hệ thống mạng ngang hàng để download các sản phẩm bất hợp pháp hoặc tự cài đặt riêng cho mình một máy chủ nhằm tăng khả năng chuyển dữ liệu. Và việc lây nhiễm mã độc vào các file P2P không hề khó khăn chút nào. Nó có thể tạo ra một lỗ hổng để thâm nhập vào bên trong một tổ chức, dựa theo thiết kế code.

.

Các ứng dụng web được phát triển với code tồi

Rất nhiều doanh nghiệp hiện đang sử dụng ứng dụng web để cung cấp dịch vụ thương mại trực tuyến, kết nối khách hàng, đối tác và nhân viên một cách hiệu quả nhất. Tuy nhiên, ứng dụng web cũng đem đến những rủi ro đáng kể đến an toàn của hệ thống và dữ liệu. Điều này xảy ra do các ứng dụng web được tạo ra bởi thói quen lập trình ẩu. Có rất nhiều lỗi về lập trình có thể gây ra mất an toàn hệ thống.

1 vài lỗ hổng phổ biến thường gặp :

Dữ liệu đầu vào không được kiểm tra Lưu trữ thiếu an toàn

Câu 35: Bạn đang sử dụng một tài khoản email tại văn phòng làm việc có kết nối mạng internet để trao đổi thông tin với khách hàng.

Hãy liệt kê và phân tích các nguy cơ mất an toàn có thể gặp phải đối với tài khoản email đó?

Dễ bị kẻ xấu mạo danh

Việc sử dụng email cá nhân để trao đổi thông tin với khách hàng độ rủi ro rất cao. Bất cứ ai cũng có thể tạo một tài khoản tương tự và giả mạo bạn. Sẽ gây ảnh hưởng xấu đến công việc kinh doanh hoặc một vài vấn đề quan trọng về tài chính, nội bộ công ty. Đối với những kẻ có ý đồ ngay từ đầu, bạn sẽ bị lọt vào danh sách mục tiêu và email hoàn toàn có thể bị hack bởi những hacker chuyên nghiệp. Cách tốt nhất để bạn tránh khỏi nguy cơ này là sử dụng email tên miền riêng của công ty. Email doanh nghiệp có khả năng bảo mật rất cao, đồng thời có thể khôi phục dữ liệu khi không may gặp sự cố.

Thiếu chuyên nghiệp, dễ đánh mất khách hàng tiềm năng

Với email cá nhân bạn có thể để đánh mất một đối tác quan trọng chỉ vì email hoặc tên email cá nhân không thực sự nghiêm túc, phù hợp với công việc. Ngoài ra, một vài email với mục đích quảng cáo, khuyến mãi sẽ dễ dàng bị xem là tin nhắn rác và không đủ độ tin cậy nếu dùng email cá nhân.

Email theo tên miền riêng công ty có uy tín luôn luôn nhận được sự tin tưởng lớn hơn từ bất kỳ ai. Dù là khách hàng hay đối tác, khi bạn làm việc dưới danh nghĩa là nhân viên của một công ty họ sẽ dễ dàng tiếp nhận và đánh giá cao sự chuyên nghiệp.

Khó quản lý thông tin, dễ mất dữ liệu vào tay đối thủ

Sự cạnh tranh là điều không thể tránh khỏi khi ngày càng nhiều công ty, doanh nghiệp cùng ngành nghề xuất hiện. Với trường hợp cạnh tranh lành mạnh thì không có gì quá lo lắng ngoài việc không ngừng hoàn thiện sản phẩm, dịch vụ của mình. Còn với trường hợp cạnh tranh không lành mạnh, email của nhân viên có thể là một kẽ hở khiến công ty bạn mất dữ liệu. Việc thiết lập email tên miền riêng sẽ giúp công ty đồng bộ dữ liệu và quản lý nhân sự dễ dàng hơn. Đồng thời có thể kiểm soát thông tin làm việc qua email và tạm ngưng hoặc hủy email dễ dàng khi có sự thay đổi nhân sự.

Cản trở công việc kinh doanh vì không tương thích với nhiều thiết bị

Nhiều trường hợp công việc cần được giải quyết ngay lập tức, nhưng các loại email thông thường không đủ khả năng tương thích trên nhiều thiết bị khiến cho công việc không thể được xử lý. Chậm trễ có thể gây ảnh hưởng lớn về về kinh tế, đồng thời trong một vài trường hợp nguy hiểm, công ty, doanh nghiệp có thể rơi vào tình trạng điêu đứng, ngưng trệ kinh doanh, mất uy tín.

Hãy đề xuất và giải thích các biện pháp đảm bảo an toàn khi sử dụng tài khoản email đó?

Nếu bạn sử dụng một tài khoản email cho tất cả hoạt động như tin nhắn Facebook, đăng ký website an toàn hoặc không an toàn, nhân các bản tin mới từ các website đã đăng ký, quản lý nhiều tên miền... Thì có nghĩa bạn đang đặt tất cả các trứng vào cùng một giỏ. Nếu chẳng may giỏ bị rơi hoặc bị mất thì các trứng trong giỏ sẽ không còn. Chính vì vậy, bạn nên sử dụng nhiều tài khoản email, không những giúp bảo mật những email quan trọng mà còn giúp bạn an tâm khi hoạt động trên thế giới Internet. Trong thị trường cung cấp địa chỉ email miễn phí có ba dịch vụ Gmail, Yahoo!, Outlook với khả năng bảo mật khá tốt, bạn có thể đăng ký nhiều tài khoản email để phục vụ công việc và cuộc sống.

Tạo một mật khẩu an toàn

Cùng với việc sử dụng nhiều tài khoản email, bạn cũng nên tạo cho mình một mật khẩu an toàn cho mỗi tài khoản email. Nếu bạn quyết định sử dụng một tài khoản cho mọi hoạt động thì cũng nên tạo ra một mật khẩu đủ khó và độc nhất. Mỗi website cung cấp dịch luôn có phần kiểm tra độ khó của tài khoản, các bạn cần đảm bảo rằng mật khẩu mà mình đặt ra phải ở mức "strong" và cũng phải dễ nhớ đối với bạn. Theo nhiều báo cáo cho thấy số lượng người đã và đang sử dụng chuỗi "123456" và "password" làm mật khẩu cho tài khoản email của họ là rất nhiều, chứng tỏ họ chưa quan tâm đến mức độ phức tạp của mật khẩu và sự an toàn của tài khoản email. Đôi lúc, việc sử dụng một mật khẩu cho tất cả tài khoản có thể là một sai lầm. Bởi vì khi một tin tặc đã đột nhập được vào một tài khoản email của bạn, lấy được thông tin mật khẩu thì khi đó tin tặc này hoàn toàn có thể đăng nhập vào các tài khoản khác của bạn.

Cảnh giác với Phishing lừa đảo

Phishing là một cách thức mà tin tặc sử dụng để lừa lấy những thông tin như mật khẩu, tài khoản ngân hàng, tài liệu bí mật công ty ,.... Khi nhận được một email yêu cầu nhập thông tin tài khoản thì bạn đừng nên nhập những thông tin cá nhân, mật khẩu của tài khoản email. Về cơ bản tin tặc bắt chước và mạo danh hồ sơ của các website danh tiếng như ebay, Amazon, Facebook... Để lừa gạt người dùng nhập vào những thông tin quan trọng, ngay lập tức những thông tin này sẽ được gửi đến tin tặc. Hình thức thực hiện của tác tin tặc ngày càng tinh vi, họ tạo ra các website có giao diện rất giống với website thật. Do đó, hãy cảnh giác với những email yêu cầu nhập thông tin cá nhân, luôn luôn kiểm tra đường dẫn URL để chắc chắn đó là tên miền chính thức của những dịch vụ danh tiếng.

Hạn chế bấm vào liên kết trong thư

Phishing lừa đảo và thư rác là những nỗi kinh hoàng cho người sử dụng thư điện tử. Khi nhìn thấy trong email có một liên kết thì bạn không nên bấm ngay vào nó. Bởi vì liên kết đó có thể dẫn bạn đến những website chứa mã độc, phần mềm độc hại, virus và có thể khiến bạn trở thành nạn nhân của hệ thống thư rác. Có một số đường link mà bạn có thể tin tưởng và nhấp vào đó là những đường link từ diễn đàn khi bạn đăng ký và kích hoạt tài

khoản, chẳng hạn như liên kết đăng ký diễn đàn hoặc các tài khoản game. Nếu nhận được email từ ngân hàng hay các dịch vụ khác thì bạn hãy truy cập vào từ trang chủ của ngân hàng hay dịch vụ đó, không cần phải bấm trực tiếp vào liên kết trong thư.

Không nên mở tập tin đính kèm khi không biết người gửi

Việc nhận file đính kèm với những định dang tập tin phổ biến trong email từ những người mà bạn quen biết là khá an toàn và bạn có thể mở ra ngay khi nhận được. Tuy nhiên, nếu bạn nhận được những tập tin đính kèm lạ hoặc từ những người không quen biết thì bạn không nên mở những tập tin này. Các tập tin này có thể chứa mã độc tự động tải về máy tính. Cao tay hơn là những kẻ phá hoại đã cài một file có định dạng exe được ngụy trang ở định dạng ảnh jpeg, chúng sẽ xâm nhập ngay vào hệ thống khi mở tập tin.

Quét virút và mã độc

Khi đã lỡ tay bấm vào một liên kết hoặc mở một email nghi ngờ có virus, mã độc thì việc đầu tiên mà bạn nên làm đó là sử dụng phần mềm diệt virus để quét lại toàn bộ máy tính. Việc trang bị cho máy tính một phần mềm diệt virus mạnh mẽ là hết sức cần thiết. Đây là một giải pháp đơn giản và có hiệu quả nhất trong quá trình sử dụng và quản lý tập tin. Có thể sử dụng các phần mềm diệt virút uy tín như Norton Antivirus, Avira Premium Security Suite, bitdefender Total Security, Kaspersky Internet Security, Webroot secureanywhere Antivirus…

Tránh sử dụng Wi-Fi công cộng

Cuối cùng, bạn không nên đăng nhập vào tài khoản email khi đang ở các dịch vụ Internet công cộng bằng mạng không dây bởi vì mức độ an toàn của Wi-Fi ở những nơi đó rất thấp. Tin tặc cso thể sử dụng những phần mềm đánh hơi sniffer, virus, trojan,v.v..và truyền chúng vào môi trường mạng không dây để để giám sát và thông dịch dữ liệu di chuyển trong mạng không dây, từ đó tìm kiếm thông tin người dùng, mật khẩu khi nó được truyền tải.

Hãy trình bày các kiểu mã hóa có thể sử dụng để tạo mật khẩu cho email đó đảm bảo tính an toàn khi sử dụng?

Câu 36: Công ty của bạn đang sử dụng một website để quảng bá và giới thiệu thông tin các sản phẩm đến đối tác và khách hàng.

Hãy liệt kê và phân tích các nguy cơ mất an toàn có thể gặp phải đối với website đó?

Tấn công vào hệ thống máy tính của người sử dụng bằng các phần mềm gián điệp bằng nhằm ăn cắp thông tin mỗi khi người dùng nhận hoặc truyền tin.

Tấn công vào hệ thống máy chủ lấy cắp thông tin của hệ thống. Kẻ tấn công có thể trực tiếp truy nhập vào máy chủ theo các tài khoản quản trị hoặc có thể dùng những phương thức điều khiển truy nhập từ xa để chiếm quyền điều khiển máy chủ và qua đó ăn cắp dữ liệu hoặc thực hiện công việc phá hoại.

Tấn công làm tê liệt hoạt động của máy chủ Web. Đây là hình thức tấn công DOS nhằm vào hệ thống máy chủ Web của chúng ta và đây cũng là hình thức tấn công khá phổ biến trên mạng nhằm vào các hệ thống máy chủ Web.

Giả mạo người dùng để thực hiện các giao dịch giả. Nghe lén thông tin trên đường truyền.

Hãy liệt kê và phân tích các lỗ hổng bảo mật có thể có của Website đó? Lỗ hổng XSS (Cross Site Scripting)

Thông qua lỗ hổng XSS, kẻ tấn công có thể chiếm quyền điều khiển phiên người dùng, gỡ bỏ trang web, và có thể đánh cắp thông tin của người dùng dựa trên trình duyệt. Bản chất của dạng tấn công này là dựa vào trình duyệt. Tin tặc có thể chèn mã javascript vào các trang web có lỗi XSS, khi người dùng truy cập vào những trang web này, lập tức mã script của tin tặc sẽ hoạt động lưu lại thông tin người dùng.

.Chèn mã độc hại (Injection flaws)

Hacker có thể sử dụng điểm yếu của các truy vấn đầu vào bên trong ứng dụng để chèn thêm dữ liệu không an toàn, từ đó máy chủ có thể bị tấn công bởi một số dạng như: SQL Injection, Xpath Injection, XML Injection, Buffer overflow, LDAP lookups, Shell command Injection.

Hậu quả: Một số hoặc tất cả những dữ liệu quan trọng của tổ chức bạn sẽ bị hacker truy cập trái pháp, chúng có thể sửa đổi, xóa bỏ thông tin hoặc thậm chí lợi dụng để tống tiến. Trong các lỗ hổng trên, SQL Injejection là phương thức tấn công thường gặp nhất trong ứng dụng web.

Tệp tin chứa mã độc

Nguy cơ bị tấn công tiềm ẩn với việc mã hóa trong tích hợp tệp tin từ xa (RFI) có thể cho phép kẻ tấn công tạo sự thỏa hiệp của máy chủ. Dạng tấn công bằng tệp tin chứa mã độc này có thể ảnh hưởng đến PHP, XML và bất kỳ tập tin nào từ người dùng.

CSRF (Cross-Site Request Fogery)

Một trong những lỗ hổng bảo mật thường gặp trong ứng dụng web là lỗ hổng CSRF. Lợi dụng cơ chế tự động đăng nhập vào một số website, tin tặc có thể điều hướng người dùng thực hiện các đoạn chứa mã độc, nhúng vào các website mà người dùng đang trong phiên làm việc. Từ đó, mã độc sẽ chạy trên trình duyệt của người dùng và hacker sẽ thực hiện các hành vi gian lận. Vì vậy, trong một số diễn đàn hoặc website khi bạn đăng nhập tài khoản, tốt nhất không nên lưu mật khẩu, tên người dùng.

Tham chiếu đối tượng trực tiếp không an toàn

Mối đe dọa tiềm ẩn ở đây là những kẻ tấn công có thể lợi dụng những tài liệu tham khảo để truy cập vào quyền của các đối tượng khác mà không sự cho phép. Ví dụ: A có thể

Một phần của tài liệu ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - mới (Trang 38 - 50)

Tải bản đầy đủ (DOC)

(50 trang)
w