Ngồi việc nêu ra những gì cần bảo vệ, chúng ta phải nêu rõ những lỗi gì gây ra mất an ninh và làm cách nào để bảo vệ khỏi các lỗi đó. Trước khi tiến hành các thủ tục an ninh, nhất định chúng ta phải biết mức độ quan trọng của các tài nguyên cũng như mức độ của nguy cơ.
a. Lỗi điểm truy nhập
Lỗi điểm truy nhập là điểm mà những người dùng không hợp lệ có thể đi vào hệ
thống, càng nhiều điểm truy nhập càng có nguy có mất an ninh.
b. Lỗi cấu hình hệ thống
Khi một kẻ tấn cơng thâm nhập vào mạng, hắn thường tìm cách phá hoại các máy trên hệ thống. Nếu các máy được cấu hình sai thì hệ thống càng dễ bị phá hoại. Lý do của việc cấu
hình sai là độ phức tạp của hệ điều hành, độ phức tạp của phần mềm đi kèm và hiểu biết của người có trách nhiệm đặt cấu hình. Ngồi ra, mật khẩu và tên truy nhập dễđoán cũng là một sơ hở để những kẻ tấn cơng có cơ hội truy nhập hệ thống.
Phần mềm càng phức tạp thì lỗi của nó càng phức tạp. Khó có phần mềm nào mà
không gặp lỗi. Nếu những kẻ tấn công nắm được lỗi của phần mềm, nhất là phần mềm hệ thống thì việc phá hoại cũng khá dễ dàng. Người quản trị cần có trách nhiệm duy trì các bản cập nhật, các bản sửa đổi cũng như thông báo các lỗi cho người sản xuất chương trình.
d. Lỗi người dùng nội bộ
Người dùng nội bộ thường có nhiều truy nhập hệ thống hơn những người bên ngoài, nhiều truy nhập tới phần mềm hơn phần cứng do đóđễ dàng phá hoại hệ thống. Đa số các dịch vụ TCP/IP như Telnet, tfp, … đều có điểm yếu là truyền mật khẩu trên mạng mà khơng mã hố nên nếu là người trong mạng thì họ có khảnăng rất lớn để có thể dễ dàng nắm được mật khẩu với sự trợ giúp của các chương trình đặc biệt.
e. Lỗi an ninh vật lý
Các tài nguyên trong các trục xương sống (backbone), đường liên lạc, Server quan trọng ... đều phải được giữ trong các khu vực an toàn về vật lý. An toàn vật lý có nghĩa là máy được khố ở trong một phịng kín hoặc đặt ở những nơi người ngồi khơng thể truy nhập vật lý tới dữ liệu trong máy.
f. Lỗi bảo mật
Bảo mật mà chúng ta hiểu ở đây là hành động giữ bí mật một điều gì, thơng tin rất dễ lộ ra trong những trường hợp sau:
Khi thơng tin lưu trên máy tính.
Khi thông tin đang chuyển tới một hệ thống khác.
Khi thông tin lưu trên các băng từ sao lưu.
1.7 Secure Sockets Layer (SSL)1.7.1 Mởđầu