Tương tự như những hệ thống khác, mục tiêu chính của các cuộc tấn công có chủ ý vào hệ thống thông tin giao dịch FPTS luôn luôn là cơ sở dữ liệụ Điều này hoàn toàn dễ hiểu bởi cơ sở dữ liệu là nơi lưu trữ các dữ liệu cực kỳ quan trọng như: thông tin của khách hàng, thông tin về các tài khoản, thông tin về giao dịch, thông tin
về hoạt động kinh doanh của doanh nghiệp.
Các hiểm họa gây nguy hại đến cơ sở dữ liệu, có thể đến từ bên ngoài hoặc bên trong của FPTS. Đối với những kẻ từ bên ngoài thì chúng không thể biết được rõ cấu trúc của hệt thống thông tin nên điều này ít nhiều sẽ gây khó khăn. Hệ thống thông tin của FPTS đã có các biện pháp để ngăn chặn loại tấn công này như sử dụng hệ thống tường lửa, hệ thống xác thực và phát hiện xâm nhập để ngăn chặn những người
dùng và kẻ xấu truy cập vào các thông tin cần được bảo vệ. Mặc dù vậy thì các biện pháp này cũng không thể đảm bảo an toàn tuyệt đối trước các mối nguy, lỗ hổng bảo mật bị khai thác và kỹ thuật tấn công ngày càng tinh vi hiện naỵ
Ngoài các yếu tố tấn công từ bên ngoài thì FPTS còn phải lo đến cả các nhân tố
bên trong của mình. Những nhân viên có quyền truy cập và biết rõ cấu trúc của hệ thống thông tin là một mối nguy thường trực và cần phải được quản lý đúng cách. Nếu so với các mối nguy từ bên ngoài thì các hiểm họa bên trong trong nhiều trường hợp còn nguy hiểm hơn rất nhiều vì những nhân viên này có thể biết rõ cấu trúc của hệ thống thông tin. Thậm chí những người này có thể là quản trị viên của hệ thống, những nhân viên có quyền truy cập cao hoặc có khả năng truy cập trực tiếp vào cơ sở
dữ liệụ Các tổ chức và doanh nghiệp cần phải có các biện pháp mạnh mẽ, chủ động và cả huấn luyện nhân viên các quy chuẩn làm việc để đảm bảo an ninh cho cơ sở dữ liệụ
Khóa luận tốt nghiệp
Một số các hiểm họa hàng đầu với hệ thống thông tin của FPTS:
- Lạm dụng quyền hạn: tại FPTS thì một vài nhân viên với nhiệm vụ quản trị hệ
thống có quyền truy cập vào các máy chủ trực tiếp từ máy tính của mình. Đây cũng có thể là một vấn đề nếu như máy tính cá nhân đó bị kẻ xấu truy cập được rồi truy cập vào hệ thống máy chủ để thực hiện hành vi trái phép. Cần giới hạn tối đa các công cụ có thể thực hiện cho hành vi xấu kể cả cho người có quyền truy cập, thiết lập
các chính sách an toàn, ghi chép nhật ký chi tiết các hoạt động của người dùng, chú trọng bảo vệ cả các thiết bị của nhân viên.
- SQL Injection: là một hình thức “tiêm” các câu lệnh truy vấn, lợi dụng các sai
sót trong việc kiểm tra đầu vào của các dữ liệu được nhập hay các thông báo lỗi để tìm ra cấu trúc bảng biểụ Từ đó chèn các câu lệnh tinh vi để vượt mặt chiếm quyền kiểm soát hay truy cập, sửa đổi dữ liệu một cách trái phép. Hệ thống tường lửa Nokia
IP380 của FPTS là một loại tường lửa thông thường, nó không thể kiểm tra sâu các gói tin để phát hiện được tấn công SQL Injection. Cần phải có một hệ thống tường lửa ở tầng ứng dụng để kiểm tra kỹ các gói tin và thực hiện chặn, loại bỏ các gói tin chứa các câu lệnh SQL.
- XSS - Cross-Site Scripting: hiện nay đang nổi lên là một trong những kỹ thuật
tấn công được sử dụng nhiều nhất, là một trong những mối lo lớn của những người phát triển ứng dụng web và người sử dụng. Những trang web mà cho phép người sử dụng đăng nội dung mà không qua kiểm duyệt thì đều có nguy cơ bị cấn công XSS. Kẻ xấu sẽ chèn vào trang web các thẻ HTML hay những đoạn mã độc viết bằng JavaScript, Jscript hay DHTML. Một số trang web của FPTS cho phép người sử dụng
nhập nội dung để hiển thị lên giao diện, đây có thể là điểm yếu để tin tặc thực hiện hình thức tấn công XSS. Cách phòng chống là chỉ cho phép các nội dung hợp lệ, loại bỏ các dữ liệu khác và thường xuyên kiểm tra dữ liệu đầu vàọ Nhưng như đã nêu ở phần trên tường lửa của FPTS sẽ không thể kiểm tra được kỹ các gói tin để phát hiện các đoạn mã độc nàỵ
- Tấn công từ chối dịch vụ: đây là loại tấn công mà khiến cho người sử dụng bình thường không thể truy cập được vào ứng dụng. Tấn công này dựa vào các điểm yếu của nền tảng hệ điều hành, phần mềm cơ sở dữ liệu, thiết bị mạng.. .gây ra quá tải tài nguyên như CPU hay số lượng kết nối cùng lúc. Hệ thống webite của FPTS sử
dụng module Application Request Routing của IIS để cân bằng tải và nó cũng hoạt động như một máy chủ ủy quyền để bảo vệ khỏi các tấn công trực tiếp tới các máy chủ web bên dướị Tuy nhiên thì khả năng cân bằng tải, xử lý một lượng lớn các kết nối cùng lúc của IIS không thể bằng được so với các máy chủ web khác trên thị trường
như Apache và NGINX. Do đó tấn công từ chối dịch vụ cũng là một mối lo lớn cho hệ thống thông tin của FPTS.
- Khai thác các lỗ hổng của nền tảng: các hệ điều hành của máy chủ cơ sở dữ liệu hay các phần mềm, dịch vụ được cài đặt trên máy chủ này có thể có các lỗ hổng. Tin tặc có thể nhắm vào các lỗ hổng này đề chiếm quyền kiểm soát, truy cập vào máy
chủ cơ sở dữ liệụ Cần cập nhật định kỳ các bản vá bảo mật cho hệ điều hành và theo dõi các lỗ hổng của các chương trình cài trên máy chủ. Máy chủ web của FPTS sử dụng hệ điều hành Windows Server, nếu so với các hệ điều hành Linux khác thì Windows Server có số lượng mã độc nhằm vào và lỗ hổng bảo mật nhiều hơn. Do đó cần cập nhật định kỳ các bản vá bảo mật cho hệ điều hành và theo dõi các lỗ hổng của cả các chương trình cài trên máy chủ web. Việc máy chủ web IIS chưa hỗ trợ giao thức TLS v1.3 và vẫn còn hỗ trợ các giao thức cũ như TLS v1.1, SSL 3.0 cũng đem lại nhiều rủi ro, tăng nguy cơ bị tấn công.
- Đánh cắp dữ liệu sao lưu: tại FPTS thì các bản sao lưu sẽ được người quản trị
cơ sở dữ liệu thực hiện thường xuyên và được lưu trên mạng lưu trữ nội bộ của công tỵ Nếu như không được bảo vệ đúng mức thì các tệp tin sao lưu này có thể bị đánh cắp bởi bởi tin tặc bên ngoài hoặc nhân viên nội bộ của công ty, từ đó kể xấu có thể lấy được dữ liệu lưu trữ và sử dụng cho mục đích xấụ Để ngăn chặn thì các bản sao lưu này cần phải được mã hóa và được lưu trữ ở nơi an toàn, không để cho người không có thẩm quyền truy cập.
Khóa luận tốt nghiệp
CHƯƠNG 3: ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN VÀ PHÒNG NGỪA RỦI RO CHO CƠ SỞ DỮ LIỆU GIAO
DỊCH CỦA FPTS