Ngồi ra để Bảo vệ có thể được thực hiện bằng cách hạn chế các tên miền và đường dẫn để chấp nhận cookie, thiết lập chúng như HttpOnly, sử dụng SSL và khơng bao giờ lưu trữ dữ liệu bí mật trong các cookie. Có thể vơ hiệu hóa việc sử dụng các Script một cách an toàn từ các trang web khách hàng.
3.2.3.2. Khắc phục lỗ hổng bảo mật SQL Injection
Cơ chế tấn công SQL injection – SQLI là cách thức tận dụng hoặc khai thác triệt để những khuyết điểm, thiếu sót về mặt công nghệ được sử dụng để xây dựng website, và thông thường hacker sẽ kết hợp với những lỗ hổng trong quy trình bảo mật cơ sở dữ liệu. Nếu thành công trong việc xâm nhập này, hacker hồn tồn có thể mạo danh tài khoản chính thức của người sử dụng, truy cập vào cơ sở dữ liệu và lấy cắp thơng tin cá nhân.
Hình 3.9: Mơ phỏng q trình tấn cơng vào lỗ hổng SQL injection
Cách phịng chống SQL injection:
Điểm yếu của SQL injection bắt nguồn từ việc xử lí dữ liệu người dùng khơng tốt, do đó vấn đề xây dựng mã nguồn đảm bảo an ninh là cốt lõi của việc phịng chống SQL injection. Chính vì thế bộ phận lập trình của cơng ty phải xem lại mã nguồn của website công ty và điều chỉnh, xem lại việc chuẩn hóa dữ liệu đầu vào, xây dựng truy vấn theo mơ hình tham số hóa, làm sạch dữ liệu đầu vào……
Ngồi ra thì phải xem những biện pháp bảo vệ từ mức nền tảng hệ thống như: Các bộ lọc ngăn chặn
Hầu hết các ứng dụng tường lửa web đều được cài đặt mẫu lọc ngăn chặn trong cấu trúc của mình. Các bộ lọc này là một chuỗi các modul độc lập có thể được gắn kết với nhau để thực hiện thao tác xử lí trước và sau thao tác xử lí chính bên trong ứng dụng (Webpage, URL, Script). Chúng ta sẽ đề cập tới 2 cách triển khai bộ lọc ngăn chặn phổ biến nhất đó là dưới dạng plug – in cho các server và các modul cho các ứng dụng.
Các biện pháp bảo vệ database
Giới hạn phạm vi ảnh hưởng của ứng dụng.
Các biện pháp này nhằm chuẩn bị, đề phịng cho tình huống xấu nhất khi kẻ xâm nhập có thể tấn cơng được vào database:
Cấp quyền ưu tiên tối thiểu cho các tài khoản đăng nhập vào database.
Hủy bỏ các quyền Public: các database thường cung cấp một số chế độ mặc định cho tất cả các đăng nhập, các chế độ này có một tập mặc định các quyền, bao gồm cả quyền truy cập tới một số đối tượng thuộc hệ thống. Các quyền công khai này đôi khi cung cấp những quyền truy cập tới những stored procedure có sẵn, một số các gói hoặc hàm có thể sử dụng cho mục đích quản trị. Vì vậy cần hủy quyền này tới mức tối đa có thể
Sử dụng những thuật tốn mã hóa mạnh để mã hóa và lưu trữ những dữ liệu nhạy cảm.
Giới hạn phạm vi ảnh hưởng của database.
Các biện pháp này được chuẩn bị để phòng trường hợp các đối tượng xâm nhập chiếm được quyền điều khiển database
Khóa các quyền truy cập với các đối tượng có đặc quyền, ví dụ những tiện ích quản trị, tiện ích thực thi gián tiếp các lệnh phía điều hành hoặc các tiện ích sinh các kết nối tới các đối tượng databas khác.
Hạn chế các truy vấn đặc biệt: câu lệnh Openrowset trong SQL server là một ví dụ. Việc sử dụng câu lệnh này có thể giúp kể tấn công cướp quyền truy vấn và thực hiện các kết nối tới database khác dưới chế độ xác thực lỏng lẻo hơn. Luôn cập nhật bản update của ứng dụng quản trị database. Đây là một nguyên
tắc căn bản mà chúng ta cần tuân thủ
3.2.4. Giải pháp cho vấn đề trình độ nguồn nhân lực trong cơng ty.
Trong quá trình thực tập tại Cơng ty CP Truyền thơng Việt thì em đã làm một cuộc điều tra khảo sát và thống kê về vấn đề trình độ hiểu biết của nhân viên công ty trong lĩnh vực bảo mật thông tin ở phần 2 em đã nêu. Qua biểu đồ thống kê cho thấy tỉ lệ nhân viên có kiến thức trong vấn đề bảo mật thông tin của Công ty CP Truyền thơng Việt là cịn khá thấp. Trong khi đó bảo mật thơng tin đang là vấn đề quan trọng của nghành công nghệ thông tin trên khắp các quốc gia trên thế giới và Việt Nam khơng
nằm ngồi số này. Cùng với mục tiêu đưa lĩnh vực an tồn bảo mật thơng tin đến năm 2016 là thế mạnh của công ty như ban giám đốc đã đề ra thì với tỉ lệ như vậy là quá thấp. Điều này đặt ra vấn đề cơng ty cần có chính sách đào tạo nguồn nhân lực thật tốt để phục vụ cho lĩnh vực an tồn bảo mật thơng tin của công ty
Giải pháp cho vấn đề này là cơng ty cần có chính sách cho các nhân viên đi học để bổ sung kiến thức. Song song với việc đấy là chính sách tuyển dụng của cơng ty trong thời gian tới cần đưa vấn đề bảo mật vào là một trong những tiêu chí đánh giá tuyển dụng của công ty. Để đạt được nguồn nhân lực chất lượng cao thì cơng ty phải nhanh chóng thực hiện giải pháp này để đáp ứng nhu cầu phát triển ngày càng cao của xã hội.
KẾT LUẬN
Những năm gần đây ngành Cơng nghệ thơng tin đã có những bước phát triển rất mạnh mẽ ở Việt Nam, nó đã mở ra một thế giới mới cho sự phát triển không bị giới hạn bởi không gian. Cùng với sự phát triển của công nghệ thơng tin thì vấn đề an tồn bảo mật thơng tin là vấn đề đang rất được chú trọng quan tâm từ chính phủ, doanh nghiệp, tổ chức đến cá nhân. Khơng nằm ngồi mối quan tâm đó cơng ty Cổ phần Truyền thơng Việt cũng ln khơng ngừng đầu tư hồn thiện vấn đề an toàn bảo mật thơng tin cho cơng ty mình.
Bài khóa luận tốt nghiệp đã trình bày được một giải pháp cho vấn đề bảo mật an ninh thông tin cho cơng ty đó là: giải pháp bảo mật mạng khơng dây theo giao thức WPA2, kết nối một chạm WPS, sử dụng mạng riêng ảo, giải pháp nâng cấp hệ thống máy tính trong nội bộ cơng ty và xem xét lại chính sách phân quyền người dùng cùng với việc khắc phục các lỗ hổng XSS và lỗ hổng bảo mật SQL Injection. Cùng với việc khắc phục trong vấn đề vật lực thì trình độ của nguồn lực cũng là vấn đề cần giải quyết, cơng ty cần có chính sách đào tạo nguồn nhân lực thật tốt để phục vụ cho lĩnh vực an tồn bảo mật thơng tin của cơng ty.
Với những giải pháp được đề xuất em hi vọng công ty sẽ đạt được những mục tiêu đã đặt ra giải quyết được từ đó xây dựng cơng ty ngày càng vững mạnh và phát triển.
DANH MỤC TÀI LIỆU THAM KHẢO A. Tài liệu trong nước
1. Hồ Văn Canh, Nguyễn Viết Thế (2010), Nhập mơn phân tích thơng tin có bảo
mật, Nhà xuất bản Thông tin và Truyền thông.
2. Nguyễn Xuân Dũng (2011), Bảo mật thơng tin mơ hình và ứng dụng, Nhà xuất bản Thống kê, Hà Nội.
3. Đàm Gia Mạnh (2009), Giáo trình an tồn dữ liệu trong thương mại điện tử, Trường Đại học Thương Mại
4. Phạm Thị Quế (2008), Giáo trình mạng máy tính, Nhà xuất bản Thơng tin và Truyền thơng.
B. Tài liệu nước ngồi
1. Krishna Sankar, Sri Sundaralingam, Andrew Balinsky, Darrin Miller (2004),
Cisco Wireless LAN Security.
2. Jyh-Cheng Chen, Ming-Chia Jiang, and Yi-Wenliu (2005), Wireless LAN
security and IEEE 802.11i.
3. Eliot Gable(2005), 802.11WirelessAuthentication and Encryption.
C. Website
1. http://vi.wikipedia.org/wiki/SQL_injection 2. http://vi.wikipedia.org/wiki/WPA2
PHỤ LỤC
PHIẾU ĐIỀU TRA KHẢO SÁT
1. Cơng ty có cán bộ chun trách về quản trị HTTT hay khơng? A. Có
B. Khơng
2. Cơng ty hay gặp những lỗi nào về an toàn bảo mật HTTT? A. Thông tin bị thất lạc khi truyền trên
mạng
B. Hệ thống bị tấn công
C. Hệ thống gặp sự cố khi quá tải
3. Cơng ty có áp dụng các biện pháp an ninh mạng khơng? A. Có
B. Khơng
4. Nếu có áp dụng biện pháp an ninh mạng thì bằng hình thức nào? A. Giải pháp an ninh độc lập (tường lửa
cho check point, ngăn chặn IBM – ISS..) B. Giải pháp an ninh tích hợp (giải pháp của UTM, Cisco..)
C. Giải pháp modul hóa
D. Giải pháp anh ninh bảo mật và cơng nghệ ảo hóa.
5. Cơng ty có áp dụng các biện pháp sao lưu dữ liệu khơng? A. Có
B. Khơng
6. Khi xảy ra sự cố có khả năng phục hồi nguyên vẹn khơng? A. Có
B. Khơng
7. Cơng ty có thường xun bị tấn cơng lấy cắp thơng tin không? A. Thường xuyên
B. Thỉnh thoảng C. Không bao giờ
8. Anh chị đánh giá thế nào về hệ thống máy tính hiện tại của cơng ty? A. Rất tốt
B. Tốt
C. Bình thường D. Khơng tốt
9. Anh chị đánh giá thế nào về khả năng an tồn bảo mật thơng tin trong cơng ty? A. Rất tốt
B. Tốt
C. Bình thường D. Khơng tốt
10. Có nên cải cơ sở máy móc và HTTT hiện tại của cơng ty hay khơng? A. Có